"CAE ต้องมี Certificate" จุดเริ่มต้นที่ดี แต่ยังไม่ใช่คำตอบทั้งหมดของงานตรวจสอบภายใน

จากข่าวที่เริ่มมีการพูดถึงมากขึ้นเรื่องการเปิดรับฟังความคิดเห็นเกี่ยวกับหลักเกณฑ์ใหม่ ที่อาจกำหนดให้ CAE ต้องมี Certificate หรือคุณวุฒิวิชาชีพที่เกี่ยวข้องกับงานตรวจสอบภายใน เช่น CIA, IAP, CPIAT หรือ PIAC
สำหรับคนที่อยู่ในวงการ เรื่องนี้ไม่ได้เพิ่งมีสัญญาณเมื่อวานครับ ตั้งแต่ช่วงปลายปีที่ผ่านมาจนถึงต้นปี เราเริ่มเห็นความเคลื่อนไหวผ่านลูกค้าและเพื่อนๆ เช่น มีลูกค้าโทรมาสอบถามว่า ผมและทีมงานมี Certificate อะไรบ้าง หรือส่ง mail สำรวจข้อมูลคุณวุฒิทางวิชาชีพของทีมตรวจสอบภายในที่บริษัทใช้อยู่ จนกระทั่งล่าสุด เรื่องนี้ก็เริ่มปรากฏเป็นข่าวชัดเจนขึ้น
ถ้ามองในเชิงปริมาณ บริษัทจดทะเบียนทั้ง 3 ตลาดรวมกันมีประมาณ 800 กว่าบริษัท ขณะที่บริษัทเตรียม IPO ในแต่ละปีก็มีจำนวนหนึ่ง(ปีนี้ก็น้อยหน่อย) ในอีกด้านหนึ่ง จำนวนผู้ถือ Certificate ด้านตรวจสอบภายในในประเทศไทย แม้ยังไม่มีตัวเลขยืนยันอย่างเป็นทางการครบถ้วน แต่จากการพูดคุยในแวดวงวิชาชีพ
อาจประมาณการได้ดังนี้ :
- CIA: มีประมาณ 700 คน (หากนับเฉพาะผู้ที่ยัง Active อยู่จริง อาจเหลือประมาณ 400–500 คน)
- CPIAT: มีประมาณ 1,500 คน หรืออาจมากกว่านั้นอีกเล็กน้อย
- PIAC: อาจมีเพียงประมาณ 10 คนเพราะเปิดมาไม่นาน
- IAP: ยังไม่มีข้อมูลที่แน่ชัด
นอกจากนี้ยังมี Certificate อื่น ๆ ที่เกี่ยวข้องกับงานตรวจสอบ การควบคุม ความเสี่ยง หรือการทุจริต เช่น CPA, CISA และ CFE ซึ่งอาจเกี่ยวข้องและตอบโจทย์งานตรวจสอบภายในได้ในบางมิติ หากดูเพียงตัวเลข อาจกล่าวได้ว่า “ตลาดพอมีคนที่ถือ Certificate อยู่จำนวนหนึ่ง” ซึ่งน่าจะเพียงพอต่อการตอบโจทย์เชิงเกณฑ์ระดับหนึ่งหากมีการบังคับใช้จริง แต่คำถามที่สำคัญกว่านั้นคือ การมี Certificate เพียงอย่างเดียว ทำให้การตรวจสอบภายในมีคุณภาพและน่าเชื่อถือจริงหรือไม่?
ผมไม่ได้ตั้งคำถามนี้แบบ "องุ่นเปรี้ยว" เพื่อลดทอนคุณค่าของ Certificate นะครับ เพราะส่วนตัวผมเห็นด้วยอย่างยิ่งว่าการมีคุณวุฒิทางวิชาชีพเป็นเรื่องสำคัญ อย่างน้อยก็เป็นหลักฐานเบื้องต้นว่าบุคคลนั้นมีความรู้ ความเข้าใจ และผ่านกระบวนการเรียนรู้หลักการสำคัญของวิชาชีพมาแล้ว แต่ในโลกของการทำงานจริง งานตรวจสอบภายในไม่ได้จบลงที่กระดาษใบเดียว มันต้องประกอบไปด้วย คุณภาพของทีมงาน ประสบการณ์ (ที่ไม่ใช่แค่อายุงาน) และเครื่องมือต่าง ๆ และที่สำคัญที่สุดคือ ความเป็นอิสระ (Independence) และ ความเที่ยงธรรม (Objectivity)
ความเป็นอิสระไม่ได้เกิดจากตัวย่อที่ต่อท้ายชื่อ แต่เกิดจากโครงสร้างการรายงาน อำนาจหน้าที่ และการได้รับการยอมรับจากองค์กร ส่วนความเที่ยงธรรมก็ไม่ได้เกิดจากใบประกาศ แต่เกิดจากตัวผู้ตรวจสอบเอง ว่าสามารถยืนหยัดบนหลักวิชาชีพได้มากน้อยเพียงใด เรื่องหนึ่งที่ผมคิดว่าสำคัญมาก (และเป็นเรื่องที่คนสอบ CIA Part 1 ต้องทำความเข้าใจให้ขาด) คือ Internal Audit Charter หรือกฎบัตรการตรวจสอบภายใน
ทำไมผมถึงหยิบเรื่องนี้มาพูด? จากประสบการณ์ของผมในฐานะผู้ให้บริการตรวจสอบภายในแบบ Outsource ปัญหาที่พบในหลายองค์กรไม่ได้เริ่มจากการขาดแคลนคนตรวจ แต่เริ่มจากความไม่เข้าใจตั้งแต่ระดับบนสุด (Tone at the Top) ว่า “ฝ่ายตรวจสอบภายในควรมีบทบาทอย่างไร”
หลายครั้ง Internal Audit Charter ถูกมองเป็นเพียงเอกสารที่ต้องมีให้ครบตามแบบฟอร์ม หรือเตรียมไว้เพื่อให้ผ่านการประเมิน แต่ไม่ได้ถูกนำมาใช้เป็นเครื่องมือกำหนดบทบาท อำนาจหน้าที่ ความรับผิดชอบ ความเป็นอิสระ และความสัมพันธ์ระหว่างฝ่ายตรวจสอบภายใน ฝ่ายบริหาร และคณะกรรมการตรวจสอบอย่างแท้จริง พูดให้ตรงกว่านั้น เชื่อไหมครับว่า แม้แต่บริษัทจดทะเบียนขนาดใหญ่บางแห่ง พอผมรับงานและขอดู Internal Audit Charter กลับพบว่า "ไม่มี" หรือ "มีแต่ไม่ถูกนำมาใช้จริง" เจอเมื่อไรก็ยังอดประหลาดใจไม่ได้ทุกครั้ง
สำหรับผม แค่เรื่อง Charter เรื่องเดียว หากองค์กรเข้าใจ ทำให้ถูกต้อง ใช้จริง ตรวจตราให้เกิดผล ก็สามารถทำให้งานตรวจสอบภายในเข้มแข็งขึ้นได้มากกว่าที่หลายคนคิด บางครั้ง IA มือเก๋าที่อาจไม่ได้มี Certificate แต่ได้รับความเป็นอิสระ สามารถเข้าถึงข้อมูล บุคลากร และทรัพย์สินที่เกี่ยวข้องได้จริง มีช่องทางรายงานตรงต่อคณะกรรมการตรวจสอบ และได้รับการยอมรับจากองค์กร อาจสร้างคุณค่าและตรวจพบประเด็นสำคัญได้มากกว่าทีมที่มี Certificate ครบ แต่โครงสร้างไม่เอื้อให้ทำงานอย่างอิสระเลยด้วยซ้ำ
อย่างไรก็ตาม ผมเข้าใจว่าการกำหนดเรื่อง Certificate อาจเป็นจุดเริ่มต้นที่จำเป็น เพราะในเชิงการกำกับดูแล อะไรที่จับต้องได้ วัดผลได้ และตรวจสอบได้ ย่อมทำให้เกิดการเปลี่ยนแปลงได้เร็วกว่าการพูดถึงคุณภาพในเชิงนามธรรม อย่างน้อย การกำหนดให้ CAE ต้องมีคุณสมบัติหรือ Certificate ที่เหมาะสม ก็น่าจะช่วยสร้างความตระหนักรู้ให้กับผู้บริหารและกรรมการบางส่วน ที่อาจยังเข้าใจผิดว่างานตรวจสอบภายในมีไว้เพียงเพื่อ “จัดทำแผน ตรวจ Checklist ตามรอบ และเขียนรายงานให้ครบจบไป” ซึ่งในความเป็นจริง งานตรวจสอบภายในควรเป็นกลไกสำคัญที่ช่วยให้องค์กรเห็นความเสี่ยง เห็นจุดอ่อนของระบบควบคุมภายใน และสร้างความมั่นใจให้กับคณะกรรมการ ผู้ถือหุ้น และผู้มีส่วนได้เสีย
ดังนั้น หากเกณฑ์ใหม่เรื่อง CAE และ Certificate เกิดขึ้นจริง ผมมองว่าเป็นเรื่องที่ดีครับ แต่ต้องไม่หยุดอยู่แค่การถามว่า “CAE มี Certificate หรือไม่”
ควรมีคำถามต่อเนื่อง (ที่ ก.ล.ต. อาจต้องสำรวจและประเมินในเชิงลึก) ด้วยว่า :
- CAE มีความเป็นอิสระเพียงพอหรือไม่?
- CAE รายงานตรงต่อใคร?
- Internal Audit Charter มีอยู่จริง และถูกใช้งานจริงหรือไม่?
- คณะกรรมการตรวจสอบเข้าใจบทบาทของ CAE มากน้อยเพียงใด?
- ฝ่ายตรวจสอบได้รับทรัพยากรเพียงพอหรือไม่?
- แผนการตรวจสอบเชื่อมโยงกับความเสี่ยงที่สำคัญขององค์กรหรือไม่?
- ข้อเสนอแนะจากการตรวจสอบ ถูกติดตามจนเกิดการแก้ไขจริงหรือไม่?
ท้ายที่สุด Certificate เป็นจุดเริ่มต้นที่ดีครับ แต่คุณภาพของงานตรวจสอบภายในจะเกิดขึ้นจริงได้ ก็ต่อเมื่อองค์กรมีโครงสร้างที่ถูกต้อง มีบุคลากรที่เข้าใจบทบาทของตนเอง และมีความกล้าพอที่จะสนับสนุนให้ Internal Audit ทำหน้าที่อย่างที่ควรจะเป็น
สำหรับ IA Signature เราไม่ได้กังวลว่าเกณฑ์ใหม่จะออกมากำหนดไว้อย่างไร เพราะสิ่งที่เราทำมาตลอด คือการเตรียมทีม เตรียมความรู้ ส่งเสริมคุณวุฒิ และพัฒนาระบบการทำงานให้พร้อมรับมืออยู่เสมอ แต่สิ่งที่ผมอยากเห็นมากกว่า คือการที่เกณฑ์ใหม่นี้จะช่วยยกระดับความเข้าใจของตลาดว่า Internal Audit ไม่ใช่งานเอกสาร ไม่ใช่งานตรวจตาม Checklist และไม่ใช่งานที่ทำเพียงเพื่อให้ผ่านข้อกำหนด แต่เป็นกลไกสำคัญของการกำกับดูแลกิจการที่ดี
หากเราเริ่มต้นจาก Certificate แล้วสามารถต่อยอดไปสู่โครงสร้างที่ถูกต้อง ความเป็นอิสระที่แท้จริง และความเข้าใจในบทบาทของ CAE อย่างลึกซึ้ง... นั่นแหละครับ ถึงจะเป็นจุดเปลี่ยนที่มีความหมายต่อวิชาชีพตรวจสอบภายในในประเทศไทยอย่างแท้จริง
สุธี ตาณวาณิชกุล
CEO of Signature Group
CIA, CPIAT, FAC, CAC-SME, C-DPO
https://www.facebook.com/st.risk.9/posts/pfbid02GadtWzQq8XGAWy3TGBvFJh44RR9rrpj7bx9LTVLHVjxnQqX9b4YyeSMonAvZ3yFpl