
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 24 : D3 - Project Governance + Business Case + Feasibility — ก่อนตอกเสาเข็ม
2026-05-06 · #IT #Auditor
Section 3.1 + 3.2 — ก่อนจะเริ่มสร้างระบบ ต้องมี governance structure (sponsor, steering committee, PM, PMO), business case ที่วัดได้, และ feasibility study ที่เปรียบเทียบทางเลือกอย่างซื่อตรง บทนี้รวม WBS, Gantt, CPM, PERT, EVA และเรื่องที่ IS auditor มักพลาดที่สุด — independence ที่หายไปเมื่อเข้าไปอยู่ในทีมโปรเจ็ค

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 23 : D3 - เปิด Domain 3: ระบบใหม่เกิดยังไง — จากไอเดียถึงวันที่ขึ้น production
2026-05-06 · #IT #Auditor
เปิด Domain 3 — ก่อนจะลงรายละเอียด SDLC, methodology หลายแบบ, application controls, testing, migration และ postimplementation review ผมขอวาด map ทั้ง domain ก่อน — ตั้งแต่วันที่ business โยนไอเดียมา จนถึงวันที่ระบบขึ้น production แล้วยังต้องมีคนกลับมาตรวจอีกรอบ

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 22 : D2 - ปิด Domain 2 + Recap + เกริ่น Domain 3 (Acquisition/Development)
2026-05-05 · #IT #Auditor
ปิด Domain 2 — recap ทั้ง 9 ตอน, 5 บทเรียนสำคัญที่ Domain 2 ฝังในหัว (Accountability ไม่ transfer, Governance vs Management, วงจรไม่หยุด, Independence = Structural, Documentation = Asset) บวกเกริ่น Domain 3 ที่เปลี่ยนเรื่องไปยัง 'สร้าง IT system ใหม่'

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 21 : D2 - Quality Assurance + Quality Management ของ IT
2026-05-05 · #IT #Auditor
QA vs QC ที่คนใช้สลับกันตลอด, QA Independence ที่ต้อง structural ไม่ใช่แค่ stated, Quality Management ที่ทำให้ process เป็น repeatable, Operational Excellence — ที่มาของ continuous improvement บวก trap คลาสสิก: developer review code ตัวเอง

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 20 : D2 - Performance Monitoring — KPI/KRI/KGI + PDCA + Balanced Scorecard
2026-05-05 · #IT #Auditor
วัด IT performance ที่ไม่ใช่แค่ตัวเลขบน dashboard — KPI (จะถึงเป้ามั้ย), KRI (เสี่ยงเพิ่มขึ้นมั้ย), KGI (control ทำงานจริงมั้ย) — 3 ตัวที่บอกคนละเรื่อง บวก PDCA cycle และ IT Balanced Scorecard ที่ทำให้ board เห็น IT ครบทุกมิติ

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 19 : D2 - IT Vendor Management — Outsourcing ที่ Accountability ไม่หาย
2026-05-05 · #IT #Auditor
Outsourcing เป็น sourcing ที่ใหญ่ที่สุดของ IT ในยุคนี้ — แต่ผู้บริหารเข้าใจผิดบ่อยที่สุดว่า 'ส่งออกแล้วไม่ต้องรับผิดชอบ' จริง ๆ accountability ไม่ transfer สัญญา outsourcing ที่ดี + SOC report + right-to-audit + cloud governance + concentration risk

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 18 : D2 - เปิด Part B: IT Resource Management (HR + Financial Controls)
2026-05-05 · #IT #Auditor
Part B ของ D2 เริ่มแล้ว — ลงไปดู operational governance: portfolio management ที่จัดสรร IT investment, HR controls (background check, mandatory leave, termination), enterprise change management, financial management (chargeback, capex vs opex), security management ที่เป็นระบบ

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 17B : D2 - Privacy Program + Data Governance — ข้อมูลที่ Governance ปกป้อง
2026-05-05 · #IT #Auditor
Section 2.6 + 2.7 ลึก — Privacy Program (data controller vs processor, consent + opt-in/out + withdrawal, 8 documentation types, ISACA Privacy Principle 9, Privacy Audit), Data Governance (4 classification levels, Information Owner, Legal Purpose / Consent / Legitimate Interest), NIST Privacy Framework (Control-P + Communicate-P), Transborder Data Flow

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 17A : D2 - Enterprise Risk Management — บริหารความเสี่ยงเป็นวงจร
2026-05-05 · #IT #Auditor
Section 2.5 ERM ลึก — Risk Appetite vs Risk Tolerance, ISRM = management function (ไม่ใช่ audit), Risk Lifecycle 4 ขั้น (Identify/Assess/Respond/Monitor), Threat actors (script kiddie / hacktivist / nation-state), Environmental threats, Vulnerabilities, Risk Responses 4 แบบ, Control Matrix, Risk Methods (Qualitative/Semiquantitative/Quantitative + Delphi)

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 16B : D2 - IS Strategy + Org Structure + Business Intelligence + EA — Governance ทำงานยังไงในชีวิตจริง
2026-05-05 · #IT #Auditor
ส่วนที่ 2 ของ Section 2.2 + Section 2.4 — ทำงานยังไงในชีวิตจริง: IS Strategy + Strategic Planning Lifecycle (agile/rolling vs 5-year cycle), IT Strategy vs IT Steering Committee (trap คลาสสิก), Organizational Structure + SoD + Job Rotation + Mandatory Leave, Business Intelligence + Data Architecture (11 layers), Enterprise Architecture (Zachman + TOGAF)
2026
10 โพสต์
05-06
CISA Series ตอนที่ 24 : D3 - Project Governance + Business Case + Feasibility — ก่อนตอกเสาเข็ม
#IT #Auditor
05-06
CISA Series ตอนที่ 23 : D3 - เปิด Domain 3: ระบบใหม่เกิดยังไง — จากไอเดียถึงวันที่ขึ้น production
#IT #Auditor
05-05
CISA Series ตอนที่ 22 : D2 - ปิด Domain 2 + Recap + เกริ่น Domain 3 (Acquisition/Development)
#IT #Auditor
05-05
CISA Series ตอนที่ 21 : D2 - Quality Assurance + Quality Management ของ IT
#IT #Auditor
05-05
CISA Series ตอนที่ 20 : D2 - Performance Monitoring — KPI/KRI/KGI + PDCA + Balanced Scorecard
#IT #Auditor
05-05
CISA Series ตอนที่ 19 : D2 - IT Vendor Management — Outsourcing ที่ Accountability ไม่หาย
#IT #Auditor
05-05
CISA Series ตอนที่ 18 : D2 - เปิด Part B: IT Resource Management (HR + Financial Controls)
#IT #Auditor
05-05
CISA Series ตอนที่ 17B : D2 - Privacy Program + Data Governance — ข้อมูลที่ Governance ปกป้อง
#IT #Auditor
05-05
CISA Series ตอนที่ 17A : D2 - Enterprise Risk Management — บริหารความเสี่ยงเป็นวงจร
#IT #Auditor
05-05
CISA Series ตอนที่ 16B : D2 - IS Strategy + Org Structure + Business Intelligence + EA — Governance ทำงานยังไงในชีวิตจริง
#IT #Auditor