- 23
- กุมภาพันธ์
การตรวจสอบภายใน (Internal Audit) เป็นกลไกสำคัญที่ช่วยให้องค์กรมั่นใจว่ากระบวนการทำงาน การใช้จ่ายงบประมาณ และการปฏิบัติตามกฎระเบียบเป็นไปอย่างถูกต้อง แต่ตลอดหลายทศวรรษที่ผ่านมา งานตรวจสอบภายในมีข้อจำกัดสำคัญ นั่นคือ ผู้ตรวจสอบสามารถตรวจได้เพียงตัวอย่าง (sample) จาก transaction ทั้งหมด — ไม่มีทางตรวจสอบได้ 100% ด้วยแรงคน วันนี้ AI กำลังเปลี่ยนภาพนั้นทั้งหมด
การตรวจสอบภายในแบบเดิม — ข้อจำกัดที่หลีกเลี่ยงไม่ได้
ในงานตรวจสอบภายในแบบดั้งเดิม ผู้ตรวจสอบจะใช้วิธี Sampling คือสุ่มตัวอย่างข้อมูลมาตรวจเพียงบางส่วน เช่น สุ่มตรวจใบสั่งซื้อ 30 รายการจากทั้งหมด 10,000 รายการ หรือเลือกตรวจสอบหน่วยงานเพียง 3 จาก 20 หน่วยงาน วิธีนี้มีข้อจำกัดหลายประการ:
- ตรวจไม่ครบ — transaction ที่ผิดปกติอาจหลุดจาก sample ที่สุ่มมา
- ใช้เวลานาน — การรวบรวมข้อมูล จัดทำ working paper และเขียนรายงาน ใช้เวลาหลายสัปดาห์ต่อหนึ่งประเด็น
- ตรวจย้อนหลัง — กว่าจะพบปัญหา อาจผ่านมาแล้วหลายเดือนหรือหลายปี
- ขึ้นอยู่กับดุลพินิจ — ผู้ตรวจสอบแต่ละคนอาจมองต่างมุม ทำให้ผลการตรวจสอบไม่สม่ำเสมอ
ด้วยข้อจำกัดเหล่านี้ องค์กรจำนวนมากจึงเริ่มมองหาเทคโนโลยีที่ช่วยยกระดับงานตรวจสอบภายใน — และ AI คือคำตอบที่กำลังได้รับความสนใจอย่างมาก
AI ช่วยงานตรวจสอบภายในได้อย่างไร?
AI สามารถเข้ามาช่วยงานตรวจสอบภายในได้หลายมิติ ตั้งแต่การวิเคราะห์ข้อมูลจำนวนมหาศาลไปจนถึงการตรวจจับ Fraud แบบ real-time:
1. Continuous Auditing — ตรวจสอบทุกรายการแบบ real-time
แทนที่จะสุ่มตรวจปีละครั้ง AI สามารถ ตรวจสอบ transaction ทุกรายการแบบต่อเนื่อง (Continuous Auditing) ทันทีที่มีรายการเกิดขึ้นในระบบ AI จะวิเคราะห์โดยอัตโนมัติว่ารายการนั้นเป็นไปตามกฎระเบียบหรือไม่ มียอดเกินวงเงินอนุมัติหรือไม่ หรือมีรูปแบบที่ผิดปกติหรือไม่
ข้อดีของ Continuous Auditing คือ ไม่มี transaction ไหนหลุด — จากเดิมที่ตรวจได้เพียง 1-5% ของ transaction ทั้งหมด AI ช่วยให้ตรวจสอบได้ 100% โดยไม่ต้องเพิ่มจำนวนผู้ตรวจสอบ
2. Fraud Detection — ตรวจจับการทุจริตและรายการผิดปกติ
AI มีความสามารถในการ ตรวจจับ pattern ที่ผิดปกติ ซึ่งคนมองไม่เห็นด้วยตาเปล่า เช่น การจ่ายเงินซ้ำ (Duplicate Payment), การทำรายการในเวลาผิดปกติ, หรือยอดเงินที่มีรูปแบบเลขกลมๆ บ่อยผิดปกติ ซึ่งอาจเป็นสัญญาณของการตกแต่งตัวเลข
3. Compliance Monitoring — ตรวจสอบการปฏิบัติตามกฎระเบียบ
AI สามารถตั้งกฎ (Rules) ตามระเบียบขององค์กรและตรวจสอบโดยอัตโนมัติว่า ทุก transaction เป็นไปตามระเบียบ เช่น การจัดซื้อทุกรายการมีการอนุมัติครบตามขั้นตอนหรือไม่ การเบิกจ่ายเป็นไปตามวงเงินที่กำหนดหรือไม่ การแก้ไขข้อมูลย้อนหลังมีเหตุผลรองรับหรือไม่
4. Data Analytics — วิเคราะห์ข้อมูลปริมาณมากหา pattern ที่ซ่อนอยู่
AI สามารถวิเคราะห์ข้อมูลหลายล้านรายการภายในไม่กี่นาที หา pattern ที่คนมองไม่เห็น เช่น ความสัมพันธ์ระหว่างผู้จำหน่ายกับพนักงานจัดซื้อ (Conflict of Interest), แนวโน้มการใช้จ่ายที่ผิดปกติในบางช่วงเวลา, หรือหน่วยงานที่มีอัตราการแก้ไข transaction สูงผิดปกติ
5. Document Analysis — AI อ่านและสรุปเอกสารจำนวนมาก
ในงานตรวจสอบภายใน ผู้ตรวจสอบต้องอ่านเอกสารจำนวนมาก ตั้งแต่สัญญาจ้าง ระเบียบจัดซื้อจัดจ้าง นโยบายภายใน ไปจนถึงรายงานการประชุม AI สามารถ อ่านและสรุปประเด็นสำคัญ จากเอกสารหลายร้อยฉบับได้ภายในเวลาอันสั้น ช่วยให้ผู้ตรวจสอบมุ่งเน้นที่การวิเคราะห์และตัดสินใจ แทนที่จะเสียเวลากับการอ่านเอกสาร
6. Risk Assessment — AI จัดอันดับความเสี่ยง
AI สามารถ วิเคราะห์และจัดลำดับความเสี่ยง ของแต่ละหน่วยงานหรือกระบวนการทำงาน โดยพิจารณาจากข้อมูลหลายมิติ เช่น ประวัติข้อตรวจพบ จำนวน transaction ที่ผิดปกติ ระดับ turnover ของบุคลากร และความซับซ้อนของกระบวนการ ทำให้ผู้ตรวจสอบสามารถ จัดสรรทรัพยากรไปยังจุดที่มีความเสี่ยงสูงที่สุด ได้อย่างมีข้อมูลสนับสนุน
สรุป: AI เปลี่ยนงานตรวจสอบภายในอย่างไร?
- จาก Sample-based เป็น 100% coverage
- จาก ตรวจย้อนหลัง เป็น Real-time monitoring
- จาก ใช้ดุลพินิจ เป็น Data-driven decision
- จาก เอกสารกองโต เป็น สรุปอัตโนมัติ
ตัวอย่าง AI ตรวจจับ Fraud
ตารางด้านล่างแสดงตัวอย่างสัญญาณ Fraud ที่ AI สามารถตรวจจับได้โดยอัตโนมัติ:
| สัญญาณ | วิธีตรวจจับของ AI | ตัวอย่าง |
|---|---|---|
| Duplicate Payment | Hash matching — เปรียบเทียบ invoice number, vendor, ยอดเงิน, วันที่ | จ่ายเงินซ้ำ invoice เดียวกัน 2 ครั้ง คนละวัน แต่เลข invoice เดียวกัน |
| Round Numbers | Statistical analysis — วิเคราะห์ความถี่ของตัวเลขกลมๆ | ยอดเบิกจ่ายลงท้ายด้วย ,000 บ่อยผิดปกติ เช่น 50,000 / 100,000 / 200,000 |
| Weekend/Holiday | Timestamp analysis — ตรวจสอบเวลาทำรายการ | Transaction ถูกสร้างเวลา 02:00 น. วันเสาร์ ทั้งที่สำนักงานปิดทำการ |
| Benford's Law | First-digit analysis — ตรวจสอบการกระจายตัวของหลักแรก | ยอดเงินที่ขึ้นต้นด้วยเลข 8 และ 9 มากผิดปกติ (ตามกฎ Benford ควรพบน้อย) |
| Split Transactions | Threshold analysis — ตรวจสอบรายการที่แตกเพื่อหลีกเลี่ยงวงเงินอนุมัติ | ซื้อของจาก vendor เดียวกัน แตกเป็น 5 ใบสั่งซื้อ รายการละ 99,000 (วงเงินอนุมัติ 100,000) |
| Ghost Vendors | Entity matching — ตรวจสอบข้อมูล vendor ที่ซ้ำซ้อนหรือเป็นบริษัทผี | Vendor 3 รายมีที่อยู่เดียวกัน เลขบัญชีธนาคารเดียวกัน แต่ชื่อต่างกัน |
สำคัญ: Benford's Law คือกฎทางสถิติที่พบว่าในชุดข้อมูลตัวเลขธรรมชาติ (เช่น ยอดเงินในใบแจ้งหนี้) ตัวเลขหลักแรกจะไม่กระจายเท่ากัน — เลข 1 ควรพบประมาณ 30% ในขณะที่เลข 9 ควรพบเพียง 4.6% หากพบว่าการกระจายไม่เป็นไปตามกฎนี้ อาจเป็นสัญญาณของการตกแต่งตัวเลข
เครื่องมือ AI สำหรับงาน Audit
ปัจจุบันมีเครื่องมือหลายตัวที่ช่วยนำ AI และ Data Analytics มาใช้ในงานตรวจสอบภายใน:
| เครื่องมือ | จุดเด่น | เหมาะกับ |
|---|---|---|
| ACL Analytics / Galvanize (Diligent) | เครื่องมือ Data Analytics สำหรับ Auditor โดยเฉพาะ รองรับ Continuous Auditing, Fraud Detection, Compliance Testing | องค์กรขนาดใหญ่ หน่วยงานรัฐ |
| IDEA (Interactive Data Extraction and Analysis) | ซอฟต์แวร์วิเคราะห์ข้อมูลสำหรับ Auditor รองรับ Benford's Law Analysis, Gap Detection, Duplicate Testing | สำนักงานตรวจสอบ ผู้สอบบัญชี |
| Power BI + AI Insights | Dashboard แสดงผลข้อมูล real-time พร้อมฟีเจอร์ AI ช่วยหา Anomaly Detection และ Key Influencers | องค์กรที่ใช้ Microsoft ecosystem |
| ChatGPT / Claude | สรุปเอกสาร, ร่าง Audit Report, วิเคราะห์ระเบียบ, ช่วยเขียน SQL query สำหรับดึงข้อมูล | ผู้ตรวจสอบที่ต้องการเพิ่มผลิตภาพ |
| Python + Pandas | เขียน script วิเคราะห์ข้อมูลเองได้อิสระ ยืดหยุ่นสูง ค่าใช้จ่ายต่ำ (ฟรี) | ผู้ตรวจสอบที่มีทักษะเขียนโค้ด |
เทรนด์ที่น่าสนใจ:
The Institute of Internal Auditors (IIA) ซึ่งเป็นสมาคมผู้ตรวจสอบภายในระดับโลก ระบุว่า Data Analytics เป็นทักษะสำคัญที่ผู้ตรวจสอบภายในยุคใหม่ต้องมี — ไม่ใช่แค่เรื่อง "nice to have" แต่เป็น "must have" สำหรับวิชาชีพนี้ในอนาคต
ความเสี่ยงและข้อจำกัดของ AI ในงานตรวจสอบภายใน
แม้ AI จะมีศักยภาพสูง แต่ก็มีความเสี่ยงและข้อจำกัดที่ต้องตระหนัก:
1. False Positive — แจ้งเตือนผิดบ่อย ทำให้เสียเวลา
AI อาจ แจ้งเตือนว่ามีสิ่งผิดปกติทั้งที่เป็นรายการปกติ (False Positive) เช่น การจ่ายเงินจำนวนเท่ากัน 2 ครั้งอาจไม่ใช่ Duplicate Payment แต่เป็นการจ่ายงวดที่ 1 และงวดที่ 2 ตามสัญญา หาก False Positive มีมากเกินไป ผู้ตรวจสอบจะเสียเวลาตรวจสอบรายการปกติ และอาจเกิด "Alert Fatigue" — คือเพิกเฉยต่อการแจ้งเตือนเพราะเคยชินว่าส่วนใหญ่เป็นเรื่องปกติ
2. Black Box — อธิบายเหตุผลไม่ได้
โมเดล AI บางประเภท (โดยเฉพาะ Deep Learning) ทำงานแบบ "กล่องดำ" (Black Box) — ให้คำตอบได้แต่ไม่สามารถอธิบายเหตุผลได้อย่างชัดเจน สำหรับงานตรวจสอบภายในนี่เป็นปัญหาสำคัญ เพราะรายงานการตรวจสอบต้อง อธิบายเหตุผลและหลักฐานสนับสนุน ได้ — ไม่สามารถเขียนรายงานว่า "AI บอกว่าผิดปกติ" โดยไม่มีคำอธิบายประกอบ
3. Data Quality — ข้อมูลไม่ดี ผลลัพธ์ไม่ดี
AI ทำงานได้ดีเท่ากับคุณภาพข้อมูลที่ป้อนให้ ถ้าข้อมูลในระบบ ไม่ครบถ้วน ไม่ถูกต้อง หรือไม่สม่ำเสมอ ผลลัพธ์จาก AI ก็จะไม่น่าเชื่อถือ ตัวอย่างเช่น หากระบบ ERP ไม่บันทึก timestamp ของ transaction อย่างถูกต้อง AI ก็ไม่สามารถวิเคราะห์ว่ามี transaction นอกเวลาทำการได้
หลักการ "Garbage In, Garbage Out" (GIGO): ถ้าข้อมูลนำเข้าเป็นขยะ ผลลัพธ์ที่ออกมาก็เป็นขยะเช่นกัน — ไม่ว่า AI จะฉลาดแค่ไหนก็ตาม
4. Over-reliance — พึ่ง AI มากเกินไป
ข้อกังวลสำคัญที่สุดคือผู้ตรวจสอบอาจ พึ่งพา AI มากเกินไปจนขาด Professional Skepticism (ทัศนคติสงสัยเยี่ยงผู้ประกอบวิชาชีพ) ซึ่งเป็นหัวใจของงานตรวจสอบ AI ควรเป็น เครื่องมือช่วย ไม่ใช่ ผู้ตัดสินใจแทน — ผู้ตรวจสอบยังคงต้องใช้วิจารณญาณ ประสบการณ์ และความรู้ความเข้าใจในบริบทขององค์กรประกอบการตัดสินใจเสมอ
5. ความปลอดภัยและความเป็นส่วนตัวของข้อมูล
การนำข้อมูลการเงินและข้อมูลสำคัญขององค์กรไปวิเคราะห์ด้วย AI (โดยเฉพาะ AI บน Cloud) มีความเสี่ยงด้าน ความปลอดภัยของข้อมูล และอาจขัดกับนโยบายการจัดการข้อมูลขององค์กรหรือกฎหมาย PDPA ต้องมั่นใจว่าข้อมูลได้รับการปกป้องอย่างเหมาะสมก่อนนำไปวิเคราะห์
| ความเสี่ยง | ผลกระทบ | แนวทางบรรเทา |
|---|---|---|
| False Positive | เสียเวลา, Alert Fatigue | ปรับ Threshold, สร้าง Whitelist สำหรับรายการปกติที่เกิดซ้ำ |
| Black Box | อธิบายในรายงานไม่ได้ | ใช้ Explainable AI (XAI), เลือกโมเดลที่อธิบายได้ |
| Data Quality | ผลวิเคราะห์ไม่น่าเชื่อถือ | ทำ Data Cleansing ก่อนวิเคราะห์, ใช้ ERP ที่บังคับ data entry |
| Over-reliance | ขาด Professional Skepticism | กำหนดนโยบาย "AI-assisted, Human-decided" |
| Data Privacy | ข้อมูลรั่วไหล ขัด PDPA | ใช้ AI On-premise, ไม่ส่งข้อมูลออก Cloud สาธารณะ |
กรณีศึกษาภาครัฐ — สำนักงานการตรวจเงินแผ่นดิน (สตง.)
ในภาครัฐไทย สำนักงานการตรวจเงินแผ่นดิน (สตง.) ซึ่งเป็นองค์กรอิสระที่มีหน้าที่ตรวจสอบการใช้จ่ายเงินแผ่นดิน เริ่มนำ Data Analytics มาใช้ในงานตรวจสอบอย่างจริงจัง โดยมีแนวทางที่น่าสนใจหลายประการ:
- การเชื่อมต่อข้อมูลจากระบบ GFMIS (Government Fiscal Management Information System) เพื่อวิเคราะห์การเบิกจ่ายงบประมาณของหน่วยงานรัฐ
- การใช้ Data Analytics ตรวจสอบการจัดซื้อจัดจ้าง เช่น ตรวจสอบว่ามีการแบ่งซื้อแบ่งจ้างเพื่อหลีกเลี่ยงวิธีประกวดราคาหรือไม่
- การวิเคราะห์ความสัมพันธ์ ระหว่างเจ้าหน้าที่จัดซื้อกับผู้ค้า เพื่อตรวจสอบ Conflict of Interest
- การใช้ Visualization แสดงภาพรวมการใช้จ่ายงบประมาณ ทำให้มองเห็นจุดที่ต้องตรวจสอบเชิงลึก
นอกจาก สตง. แล้ว หน่วยงานกำกับดูแลอื่นๆ เช่น สำนักงาน ก.ล.ต. (กรณีตรวจสอบบริษัทจดทะเบียน) และ สำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) ก็เริ่มนำ AI และ Data Analytics มาใช้ในงานตรวจสอบมากขึ้น
แนวโน้ม: ในอนาคตอันใกล้ หน่วยงานรัฐอาจกำหนดให้ระบบสารสนเทศที่ใช้จัดการเงินงบประมาณ ต้องมี Audit Trail ที่สมบูรณ์ เพื่อรองรับการตรวจสอบด้วย AI — องค์กรที่เตรียมข้อมูลให้พร้อมตั้งแต่วันนี้จะได้เปรียบ
Saeree ERP กับงานตรวจสอบภายใน
Saeree ERP ถูกออกแบบมาโดยคำนึงถึงงานตรวจสอบภายในตั้งแต่ระดับสถาปัตยกรรม:
- Audit Trail ทุก Transaction — ทุกการสร้าง แก้ไข อนุมัติ และลบข้อมูล ถูกบันทึกอย่างสมบูรณ์ ระบุผู้ทำรายการ วันเวลา และรายละเอียดการเปลี่ยนแปลง
- Approval Workflow — กระบวนการอนุมัติหลายขั้นตอนตามวงเงินและประเภทรายการ ป้องกันการข้ามขั้นตอน
- Role-Based Access Control — กำหนดสิทธิ์การเข้าถึงข้อมูลและฟังก์ชันได้ละเอียดถึงระดับเมนูและปุ่ม รองรับหลักการ Segregation of Duties
- ข้อมูลครบถ้วนและสม่ำเสมอ — ระบบบังคับให้กรอกข้อมูลที่จำเป็น (Required Fields) ทำให้ข้อมูลมีคุณภาพพร้อมสำหรับการวิเคราะห์
- รายงานสำหรับผู้ตรวจสอบ — มีรายงานที่ผู้ตรวจสอบภายในใช้บ่อย เช่น รายงานการแก้ไขข้อมูลย้อนหลัง รายงาน transaction ตามช่วงเวลา รายงานการอนุมัติ
หมายเหตุ: Saeree ERP ยังไม่มีฟีเจอร์ AI ในตัวในขณะนี้ แต่ข้อมูลที่ระบบจัดเก็บอย่างมีโครงสร้างและสมบูรณ์ พร้อมสำหรับการนำไปวิเคราะห์ด้วยเครื่องมือ AI ภายนอก เช่น ACL Analytics, Power BI หรือ Python ได้ทันที — เพราะข้อมูลที่ดีคือจุดเริ่มต้นที่สำคัญที่สุดของ AI
แนวทางเริ่มต้นใช้ AI ในงานตรวจสอบภายใน
สำหรับองค์กรที่ต้องการเริ่มต้นใช้ AI ในงานตรวจสอบภายใน แนะนำให้เริ่มจากขั้นตอนเหล่านี้:
| ขั้นตอน | รายละเอียด | ระยะเวลา |
|---|---|---|
| 1. ทำให้ข้อมูลพร้อม | ใช้ระบบ ERP ที่มี Audit Trail สมบูรณ์ บังคับ data entry ที่มีคุณภาพ | 3-6 เดือน |
| 2. เริ่มจาก Data Analytics | ใช้เครื่องมือง่ายๆ เช่น Excel, Power BI ดึงข้อมูลจากระบบ ERP มาวิเคราะห์ | 1-3 เดือน |
| 3. สร้าง Rules-based Alert | ตั้งกฎอัตโนมัติ เช่น แจ้งเตือนเมื่อมี transaction เกินวงเงิน หรือมีการแก้ไขข้อมูลย้อนหลัง | 1-2 เดือน |
| 4. นำ AI เข้ามาเสริม | ใช้ AI สำหรับ Anomaly Detection, Fraud Scoring, Benford's Law Analysis | 3-6 เดือน |
| 5. Continuous Auditing | เชื่อมต่อ AI กับระบบ ERP แบบ real-time ตรวจสอบทุก transaction โดยอัตโนมัติ | 6-12 เดือน |
AI จะไม่มาแทนที่ผู้ตรวจสอบภายใน — แต่ผู้ตรวจสอบที่ใช้ AI จะแทนที่ผู้ตรวจสอบที่ไม่ใช้ AI ยุคของ "ดินสอกับ working paper" กำลังจะผ่านไป สิ่งที่ต้องเตรียมไม่ใช่แค่เครื่องมือ แต่เป็นข้อมูลที่มีคุณภาพและทัศนคติที่เปิดรับเทคโนโลยี
- ทีมที่ปรึกษา Grand Linux Solution
หากองค์กรของคุณต้องการระบบ ERP ที่มี Audit Trail สมบูรณ์ พร้อมรองรับการวิเคราะห์ด้วย AI ในอนาคต สามารถนัดหมาย Demo หรือติดต่อทีมที่ปรึกษาเพื่อพูดคุยเพิ่มเติม
