สารบัญ
หนึ่งในแผนที่ตั้งใจไว้ของปีนี้ครับ สอบ CISA ผ่านไปแล้ว ด่านถัดไปที่วางไว้ก็คือ CIA
ไม่ใช่หน่วยสืบราชการลับนะครับ 555+ (แล้วก็ไม่ใช่ CIA Triad ของสาย security ที่เคยเล่าไว้ในซีรีส์ CyberSecurity Foundationด้วย) ในโลกวิชาชีพ ตัวย่อสามตัวนี้หมายถึง Certified Internal Auditor วุฒิบัตรสากลของสายตรวจสอบภายใน
ตอนนี้เป็นบทเปิดของซีรีส์ใหม่ สูตรเดียวกับตอนเปิดของซีรีส์ CISA เลย เล่าให้ฟังก่อนว่าเจ้าวุฒินี้คืออะไร มีไว้ทำอะไร แล้วค่อยตามด้วยบันทึกการเรียนทีละบทเหมือนเดิม
CIA คืออะไรในประโยคเดียว
CIA = Certified Internal Auditor วุฒิบัตรสากลที่ออกโดย IIA (The Institute of Internal Auditors) สมาคมวิชาชีพของผู้ตรวจสอบภายในระดับโลก
ข้อมูลที่น่าสนใจ:
- IIA ก่อตั้งมาตั้งแต่ปี 1941 ส่วนวุฒิ CIA เริ่มมีตั้งแต่ปี 1973 อยู่มากว่าครึ่งศตวรรษแล้ว
- เป็นวุฒิบัตรเดียวของสายตรวจสอบภายในที่ได้รับการยอมรับทั่วโลก (ไม่ใช่ของประเทศใดประเทศหนึ่ง)
- ในไทยมี สตท. (สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย) เป็นตัวแทนของ IIA ดูแลทั้งการสมัครสอบและกิจกรรมของวงการ
ถ้า CISA คือ gold standard ของคนตรวจระบบ IT — CIA ก็คือ gold standard ของคนตรวจทั้งองค์กร
ตรวจสอบภายในมีไว้ทำอะไร — เล่าแบบภาษาคน
ลองคิดดูนะครับ ถ้ากิจการหนึ่งเติบโตจากร้านเดียว กลายเป็นสิบสาขา มีโรงงาน มีคลังสินค้า มีทีมงานหลายร้อยคน
เจ้าของที่เคยเดินดูเองได้ทุกวัน ตอนนี้ตาไปไม่ทั่วถึงแล้ว รายงานที่ส่งขึ้นมาก็ผ่านมือหลายชั้น กว่าจะถึงโต๊ะก็ถูกปัดฝุ่นแต่งหน้ามาเรียบร้อย คำถามที่น่ากลัวที่สุดของคนเป็นเจ้าของคือ “สิ่งที่เราเห็นในรายงาน กับสิ่งที่เกิดขึ้นจริงหน้างาน มันตรงกันรึเปล่า?”
นี่แหละคือช่องว่างที่ทำให้เกิดอาชีพผู้ตรวจสอบภายใน (internal auditor) — คนของ “บ้านตัวเอง” ที่ถูกตั้งขึ้นมาเพื่อไปดูหน้างานจริง แล้วรายงานตรงต่อระดับสูงสุดขององค์กร
จุดที่คนมักเข้าใจผิดมี 2 เรื่อง:
เรื่องแรก — ไม่ใช่หน่วยจับผิดพนักงาน งานหลักจริงๆ คือให้ความเชื่อมั่น (assurance) กับคณะกรรมการและผู้บริหาร ว่า governance การบริหารความเสี่ยง และการควบคุมภายในขององค์กร มันทำงานได้จริง แถมด้วยงานให้คำแนะนำ (advisory) เวลาองค์กรอยากปรับปรุงอะไรสักอย่าง
เรื่องที่สอง — ไม่ใช่คนเดียวกับผู้สอบบัญชี อันนี้สับสนกันเยอะสุดครับ
| ผู้สอบบัญชี (External Auditor) | ผู้ตรวจสอบภายใน (Internal Auditor) | |
|---|---|---|
| ทำงานให้ใคร | คนนอก — ผู้ถือหุ้น, ตลาดทุน, เจ้าหนี้ | คนใน — คณะกรรมการและองค์กรเอง |
| ตรวจอะไร | งบการเงิน เป็นหลัก | ทุกอย่าง — กระบวนการ ความเสี่ยง control วัฒนธรรม fraud ระบบ IT |
| ความถี่ | ปีละครั้งเป็นรอบๆ | ทั้งปี ต่อเนื่อง |
| ผลลัพธ์ | ความเห็นต่องบการเงิน | รายงาน + ข้อเสนอแนะให้องค์กรดีขึ้น |
พูดง่ายๆ ผู้สอบบัญชีตรวจ “เพื่อให้คนนอกเชื่องบ” ส่วนผู้ตรวจสอบภายในตรวจ “เพื่อให้คนในนอนหลับ”
แล้วมันต่างจาก CISA ตรงไหน
คำถามนี้ผมก็ถามตัวเองเหมือนกันครับ ก่อนตัดสินใจลุยใบนี้ต่อ เพราะเพิ่งผ่าน CISA มาหมาดๆ สองใบนี้อยู่สายตรวจสอบเหมือนกันก็จริง แต่คนละเลนส์กันเลย:
| CISA | CIA | |
|---|---|---|
| เจ้าของวุฒิ | ISACA | IIA |
| ขอบเขตการตรวจ | ระบบ IT — infrastructure, security, การพัฒนาระบบ, operations | ทั้งองค์กร — governance, ความเสี่ยง, control, fraud, ทุกกระบวนการ |
| ตำแหน่งของคนตรวจ | มักเป็นคนนอกหรือทีมเฉพาะทาง เข้ามาตรวจระบบ | เป็นคนในองค์กร (หรือทีมที่องค์กรตั้ง) ตรวจต่อเนื่อง |
| มาตรฐานที่ใช้ | ISACA Standards / ITAF | Global Internal Audit Standards (GIAS) ของ IIA |
| คำถามหลักที่ตอบ | ”ระบบ IT นี้เชื่อถือได้และปลอดภัยไหม" | "องค์กรนี้กำกับดูแลตัวเองได้จริงไหม” |
มุมที่ผมมองคือสองใบนี้เสริมกันพอดี CISA ให้เลนส์เจาะลึกลงไปในห้องเครื่อง IT ส่วน CIA ให้เลนส์มุมกว้างมองทั้งอาคาร
ยิ่งยุคนี้ทุกกระบวนการขององค์กรวิ่งอยู่บนระบบ IT หมดแล้ว ผู้ตรวจสอบภายในที่ไม่เข้าใจ IT ก็ตรวจได้ไม่สุด ส่วนผู้ตรวจ IT ที่ไม่เห็นภาพองค์กร ก็ตอบคำถามใหญ่ไม่ได้เหมือนกัน
ใครตามซีรีส์ CISA มาก่อน จะเจอของคุ้นเคยหลายอย่างในซีรีส์นี้ ทั้ง risk, control, governance, evidence แต่รอบนี้เล่าจากอีกฝั่งของโต๊ะครับ
จังหวะที่ดีพอดี — มาตรฐานเพิ่งเปลี่ยนใหม่ทั้งชุด
อีกเหตุผลที่ทำให้ตอนนี้เป็นจังหวะน่าเรียนเป็นพิเศษ คือ IIA เพิ่งยกเครื่องมาตรฐานวิชาชีพใหม่ทั้งชุด
มาตรฐานเดิม (IPPF 2017) ถูกแทนที่ด้วย Global Internal Audit Standards หรือ GIAS ซึ่งมีผลบังคับใช้เมื่อมกราคม 2025 และข้อสอบ CIA ก็ปรับตาม syllabus ใหม่ในปีเดียวกัน
ที่ต้องรู้คือมันไม่ใช่แค่เปลี่ยนเลขข้อ แต่ภาษาเปลี่ยนทั้งชุด เช่น:
- internal audit activity → internal audit function
- consulting services → advisory services
- engagement opinion → engagement conclusion
- purpose, authority, and responsibilities → internal audit mandate
แปลว่าหนังสือกับบทความภาษาไทยที่เขียนไว้ก่อนหน้านี้จำนวนไม่น้อย ใช้ศัพท์คนละชุดกับข้อสอบปัจจุบันไปแล้วครับ ซีรีส์นี้จะใช้ศัพท์ GIAS 2025 เป็นหลักตลอดทั้งซีรีส์ และถ้าตรงไหนศัพท์เก่ายังพบบ่อยในหนังสืออื่น จะวงเล็บบอกไว้ให้ว่าเดิมเคยเรียกว่าอะไร
โครงสร้างข้อสอบ — รวบสั้น
CIA สอบ 3 Parts แยกกัน สอบผ่านทีละ Part ได้ ไม่ต้องรวดเดียว:
| Part | ชื่อ (syllabus 2025) | ข้อสอบ | เวลา |
|---|---|---|---|
| 1 | Internal Audit Fundamentals — รากฐาน: mandate, จรรยาบรรณ, governance/risk/control, fraud | 125 ข้อ | 150 นาที |
| 2 | Internal Audit Engagement — ภาคปฏิบัติของงานตรวจหนึ่งงาน ตั้งแต่วางแผนถึงรายงาน | 100 ข้อ | 120 นาที |
| 3 | Internal Audit Function — บริหารหน่วยงานตรวจสอบภายในทั้งหน่วย ในมุมของหัวหน้า (CAE) | 100 ข้อ | 120 นาที |
สังเกตว่าสาม Parts นี้คือกล้องสามระยะ — ทำไมต้องมี → ลงมือตรวจยังไง → บริหารทั้งทีมยังไง เดี๋ยวซีรีส์นี้ก็จะเดินตามเส้นนั้นเป๊ะๆ เลยครับ
แผนของซีรีส์นี้
สไตล์เดียวกับซีรีส์ CISA ครับ — บันทึกการเรียนของคนที่จะไปสอบจริง ไม่ใช่สรุปหนังสือ เล่าเป็นภาษาคน มีเรื่องราว มีกับดักข้อสอบที่เจอระหว่างทาง
ที่ต่างออกไปหน่อยคือรอบนี้ผมวางโครงเรื่องไว้ตั้งแต่ต้นเลย ทั้งซีรีส์จะเล่าผ่านภาพของกิจการที่โตจนเจ้าของตาไปไม่ทั่วถึง แล้วต้องตั้ง “กองผู้ตรวจการ” ของตัวเองขึ้นมา ใครออกตราตั้งให้กองนี้ กติกาของคนถือตราคืออะไร ออกตรวจหน้างานจริงทำยังไง แล้ววันที่ต้องบริหารทั้งกองต้องคิดแบบไหน
- Part 1 — ว่าด้วยตราตั้ง: อำนาจ ความเป็นอิสระ จรรยาบรรณ และภาษา risk/control ที่ต้องพูดให้เป็น
- Part 2 — ว่าด้วยการออกตรวจ: ตามภารกิจจริงหนึ่งงานตั้งแต่รับโจทย์จนส่งรายงาน
- Part 3 — ว่าด้วยการเป็นแม่ทัพ: มุมของคนที่ต้องดูแลทั้งหน่วยและคุยกับคณะกรรมการ
ใครที่ตามซีรีส์ก่อนๆ ของบล็อกนี้อยู่แล้ว ทั้ง Organization Anatomy, Project Management 101, CyberSecurity Foundation, Database 101 ของพวกนั้นจะกลายเป็นพื้นฐานที่แวะอ้างถึงเป็นระยะ ไม่ต้องอ่านก่อนก็ตามได้ แต่ถ้าอ่านแล้วจะเห็นภาพไวขึ้นเยอะ
ไม่ได้สัญญาว่าจะเขียนเสร็จตามตารางนะครับ 555+ แต่ที่แน่ๆ คือเขียนจากที่เรียนจริง สอบจริง เหมือนทุกซีรีส์ที่ผ่านมา
แล้วเจอกันตอนถัดไป เปิดเรื่องด้วยกำเนิดของกองผู้ตรวจการ 🚀