Control ทุกอันต้องสามารถ justify ตัวเองกับ risk ที่มันออกแบบมาเพื่อจัดการ ISACA กำหนดว่า controls ต้อง trace กลับไปถึง risk ที่ระบุไว้ — และเมื่อ prescriptive frameworks กำหนดชุด controls ให้ องค์กรต้องเข้าใจว่า 'จะใช้ ข้าม หรือทดแทน' ตรงไหน

Controls ไม่ได้แตกต่างกันแค่ 'เป็น IT หรือไม่ใช่ IT' — แต่แตกต่างกันที่ timing ว่าทำงาน before, during หรือ after threat event ISACA กำหนด 5 classifications ที่ CISA exam ชอบถามมาก โดยเฉพาะ IDS ที่ดูเหมือน Preventive แต่จริงๆ เป็น Detective

Control ไม่ใช่แค่ 'กฎ' หรือ 'ข้อบังคับ' — มันคือกลไกที่ออกแบบมาเพื่อลด risk ให้อยู่ในระดับที่องค์กรยอมรับได้ ISACA แบ่ง control methods ออกเป็น 3 ประเภทหลัก: Managerial, Technical, Physical ซึ่งแต่ละอย่างมีบทบาทที่ต่างกัน

Audit risk ไม่ใช่แค่ 'ความเสี่ยงที่จะตรวจผิด' — มันคือระบบที่มีสามองค์ประกอบซ้อนกัน: Inherent Risk, Control Risk และ Overall Audit Risk แต่ละตัวบอกคนละเรื่อง และ IS auditor ต้องเข้าใจทั้งสามเพื่อวางแผน audit ได้อย่างถูกต้อง

บางครั้ง IS audit ที่ดีที่สุดคือ audit ที่ management ตรวจตัวเอง — นั่นคือ Control Self-Assessment และ Integrated Auditing ที่รวมศาสตร์เข้าด้วยกัน ทั้งสองแนวทางเปลี่ยนบทบาทของ IS auditor จากผู้ตรวจเป็น facilitator และผู้ร่วมงาน

IS audit ไม่ใช่การตรวจแบบเดียว — มี 11 รูปแบบหลักที่ออกแบบมาสำหรับวัตถุประสงค์ที่ต่างกัน ตั้งแต่ IS audit มาตรฐาน ไปจนถึง forensic audit ที่ต้องหาหลักฐานสำหรับศาล เข้าใจความต่างนี้เพื่อกำหนด scope ได้ถูกและจัดสรรทรัพยากรได้ตรงจุด

IS audit planning ไม่ได้เริ่มจากแค่ risk assessment ภายใน — กฎหมายและ regulations ภายนอกเป็น mandatory input ที่บังคับให้ audit scope ครอบคลุมบางพื้นที่ ไม่ว่า risk score จะสูงหรือต่ำแค่ไหน

IS audit planning มี 4 ชั้นซ้อนกัน ตั้งแต่ Audit Universe ทั้งองค์กร ไปจนถึง 5-phase execution ของแต่ละงาน — เข้าใจชั้นเหล่านี้แล้วจะรู้ว่าทำไม risk-based approach ถึงเป็นหัวใจที่ ISACA เน้นหนักที่สุดใน Domain 1

ก่อน IS auditor จะมี audit ให้ตรวจ ต้องมี mandate ที่ board อนุมัติให้ทำงานก่อน — Audit Charter คือเอกสารที่กำหนด authority, scope, independence และสายการรายงานที่เป็นรากของ Audit Universe ทั้งหมดในองค์กร

ก่อน IS auditor จะออกไปตรวจอะไร ต้องรู้ว่าตัวเองถูกกำกับด้วยกฎอะไรบ้าง — ITAF เป็นบ้านที่ครอบ 3 ชั้นกฎ (Standards บังคับ, Guidelines ต้องพิจารณา, Tools เลือกได้) บวก Code of Ethics 7 ข้อที่กำกับว่าคุณเป็น auditor แบบไหน

เปิดตัวเรื่อง CISA — Certified Information Systems Auditor วุฒิบัตรสากลของสาย IT Audit ที่อยู่มา 48 ปี ทำไมยังเป็น gold standard, โครงสร้างข้อสอบเป็นยังไง, ค่าใช้จ่าย/ประสบการณ์เท่าไหร่ และทำไมผมถึงเริ่มสนใจ — บทเปิดก่อนซีรีส์ทบทวนเนื้อหาแต่ละ Domain

อาจารย์บอกว่า Open Book + เอาคอมเข้าได้ แต่ห้ามต่อเน็ต — เลยลองทำ AI ติดเครื่องไปเองดูซะเลย 555+ บันทึก 3-4 วัน (หมดเป็นวันๆ เลย) ลุย Local LLM + RAG บน gaming laptop เครื่องเดียว อธิบายทุก tool ตั้งแต่ Ollama, Embedding, ChromaDB, RAG, Hybrid RRF ให้เข้าใจตั้งแต่ศูนย์ — เผื่อตัวเองมา refer หรือใครเจอสถานการณ์คล้ายกัน หรือแค่อยากมี AI ส่วนตัวพกไว้ในเครื่อง ไม่ต้องพึ่ง cloud

ทำไมผมถึงให้ทีมคุยกับ AI แทนที่จะเรียน technical setup ของ 10+ platforms — เก็บเวลาไปคิดกลยุทธ์ดีกว่า

เคยอัปรูปขึ้น Facebook Page cover แล้วบนมือถือเห็นเต็ม แต่บนเดสก์ท็อปหัวคนถูกตัดมั้ย? บล็อกผมก็เจอปัญหาเดียวกัน — เลยออกแบบ Safe-Zone Discipline ให้ AI รู้ว่าควรวาง subject ตรงไหนเพื่อให้รอดทุก crop

จาก Nano Banana API ไม่ฟรีอีกต่อไป ถึง Flux Schnell บน RTX 4060 8GB — เรื่องราวของการทำ cover blog ฟรี 100% สั่งผ่านแชทอย่างเดียว

ตอนจบของ IT Foundation — Agile vs Waterfall vs MVP, วิธีรันโปรเจ็ค software ตั้งแต่ศูนย์ถึงร้อย สำหรับเจ้าของกิจการ

ตอนที่ 9 ของ IT Foundation — Zero-Trust Architecture, Offensive Security, Incident Response สำหรับธุรกิจที่อยากรอดในยุค AI

ตอนที่ 8 ของ IT Foundation — จากการเขียนโค้ดในยุค AI ไปจนถึง Git, Hosting, Deploy, Monitoring ครบวงจรส่งของถึงลูกค้า

ตอนที่ 7 ของ IT Foundation — ทำยังไงให้เว็บเร็ว ทดสอบไม่ให้พัง และขยายให้รองรับคนล้านคน

ตอนที่ 6 ของ IT Foundation — รู้จักโจรดิจิทัล OWASP, Authentication แบบยาม, Encryption แบบรถขนเงิน อธิบายแบบป้อมปราการ

ตอนที่ 5 ของ IT Foundation — เครื่องมือจริงที่คนทำเว็บใช้ ทั้งฝั่ง frontend backend และการไหลของข้อมูล อธิบายแบบโรงงานกับพัสดุ

ตอนที่ 4 ของ IT Foundation — วิวัฒนาการของ server architecture และกลยุทธ์ mobile app เปรียบเทียบแบบวางผังเมือง

ตอนที่ 3 ของ IT Foundation — ซอฟต์แวร์ทำงานแบบร้านอาหาร: Frontend คือห้องอาหาร Backend คือห้องครัว Data Flow คือวงจรออเดอร์

ตอนที่ 2 ของ IT Foundation — Data Structures, Algorithms, Networking, DNS, Database อธิบายแบบคนคุยกับคน

เริ่ม series IT Foundation — รากฐานคอมพิวเตอร์ตั้งแต่ลูกคิด ENIAC ซิลิคอน IoT ไปจนถึง Quantum Computing อธิบายเป็นภาษาคน

ตอนปิด series — Enneagram 8sp ยืนยัน core driver ของผม คือ autonomy. ทุก framework ตลอดซีรีส์ชี้ทางเดียวกัน ทำตามแล้วชีวิตอยู่ในที่ของมัน

ต่อจาก Zone of Genius — Human Design ตอบเรื่อง energy management. ผมเป็น Manifestor — สาย sprint ทำตู้มแล้วพัก ไม่ใช่สายมาราธอน

ต่อจาก Wealth Dynamics — Zone of Genius อธิบายว่าทำไมเราหา supporter ที่ดีพอไม่เจอสักที ผมดันเป็น Operation Expert เลยติดอยู่ในกับดัก Zone of Excellence

ต่อจาก MBTI — Wealth Dynamics ยืนยันว่าผมเป็น Lord ตามทฤษฎี — แต่ในชีวิตจริงเรากลับไม่ค่อยได้นั่งในที่ของ Lord สักที

ต่อจาก DISC — MBTI ขุดต่อว่าในหัวเราคิดยังไง ผมออกมาเป็น INTJ ตัวเดิมตั้งแต่อายุ 20 ปลายๆมาตลอด

เปิด series 5 ตอน เริ่มจาก DISC — framework ตัวแรกที่ผมใช้คุยกับ AI assistant ให้รู้จักผมมากขึ้น

เดือนเดียวประหยัดค่าโฮสไปหลายพันบาท ย้ายเว็บทั้งหมดออกจาก WordPress + Cloudways มาอยู่บน Cloudflare ecosystem ล้วนๆ เขียนเว็บผ่านแชทกับ Claude — ทำไม ใช้อะไรแทน ดีกว่าเดิมยังไง

เรียนคอมที่ศูนย์การศึกษาต่อเนื่องจุฬาฯ ตั้งแต่ ป.2 ยุคไม่มี IDE เจอ bug ต้องร้องไห้ — จนมาเจอ AI ที่ทำให้พื้นฐานที่เรียนมา pay off

แนะนำตัวให้รู้จักกัน เรียนอะไรมา ทำอะไรมาบ้าง ชีวิตการทำงานตั้งแต่เด็กจนถึงปัจจุบัน