341 คำ
2 นาที
CIA Series ตอนที่ 00 : ทำไมต้อง CIA — และมันต่างจาก CISA ตรงไหน
สารบัญ

หนึ่งในแผนที่ตั้งใจไว้ของปีนี้ครับ สอบ CISA ผ่านไปแล้ว ด่านถัดไปที่วางไว้ก็คือ CIA

ไม่ใช่หน่วยสืบราชการลับนะครับ 555+ (แล้วก็ไม่ใช่ CIA Triad ของสาย security ที่เคยเล่าไว้ในซีรีส์ CyberSecurity Foundationด้วย) ในโลกวิชาชีพ ตัวย่อสามตัวนี้หมายถึง Certified Internal Auditor วุฒิบัตรสากลของสายตรวจสอบภายใน

ตอนนี้เป็นบทเปิดของซีรีส์ใหม่ สูตรเดียวกับตอนเปิดของซีรีส์ CISA เลย เล่าให้ฟังก่อนว่าเจ้าวุฒินี้คืออะไร มีไว้ทำอะไร แล้วค่อยตามด้วยบันทึกการเรียนทีละบทเหมือนเดิม

CIA คืออะไรในประโยคเดียว#

CIA = Certified Internal Auditor วุฒิบัตรสากลที่ออกโดย IIA (The Institute of Internal Auditors) สมาคมวิชาชีพของผู้ตรวจสอบภายในระดับโลก

ข้อมูลที่น่าสนใจ:

  • IIA ก่อตั้งมาตั้งแต่ปี 1941 ส่วนวุฒิ CIA เริ่มมีตั้งแต่ปี 1973 อยู่มากว่าครึ่งศตวรรษแล้ว
  • เป็นวุฒิบัตรเดียวของสายตรวจสอบภายในที่ได้รับการยอมรับทั่วโลก (ไม่ใช่ของประเทศใดประเทศหนึ่ง)
  • ในไทยมี สตท. (สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย) เป็นตัวแทนของ IIA ดูแลทั้งการสมัครสอบและกิจกรรมของวงการ

ถ้า CISA คือ gold standard ของคนตรวจระบบ IT — CIA ก็คือ gold standard ของคนตรวจทั้งองค์กร

ตรวจสอบภายในมีไว้ทำอะไร — เล่าแบบภาษาคน#

ลองคิดดูนะครับ ถ้ากิจการหนึ่งเติบโตจากร้านเดียว กลายเป็นสิบสาขา มีโรงงาน มีคลังสินค้า มีทีมงานหลายร้อยคน

เจ้าของที่เคยเดินดูเองได้ทุกวัน ตอนนี้ตาไปไม่ทั่วถึงแล้ว รายงานที่ส่งขึ้นมาก็ผ่านมือหลายชั้น กว่าจะถึงโต๊ะก็ถูกปัดฝุ่นแต่งหน้ามาเรียบร้อย คำถามที่น่ากลัวที่สุดของคนเป็นเจ้าของคือ “สิ่งที่เราเห็นในรายงาน กับสิ่งที่เกิดขึ้นจริงหน้างาน มันตรงกันรึเปล่า?”

นี่แหละคือช่องว่างที่ทำให้เกิดอาชีพผู้ตรวจสอบภายใน (internal auditor) — คนของ “บ้านตัวเอง” ที่ถูกตั้งขึ้นมาเพื่อไปดูหน้างานจริง แล้วรายงานตรงต่อระดับสูงสุดขององค์กร

จุดที่คนมักเข้าใจผิดมี 2 เรื่อง:

เรื่องแรก — ไม่ใช่หน่วยจับผิดพนักงาน งานหลักจริงๆ คือให้ความเชื่อมั่น (assurance) กับคณะกรรมการและผู้บริหาร ว่า governance การบริหารความเสี่ยง และการควบคุมภายในขององค์กร มันทำงานได้จริง แถมด้วยงานให้คำแนะนำ (advisory) เวลาองค์กรอยากปรับปรุงอะไรสักอย่าง

เรื่องที่สอง — ไม่ใช่คนเดียวกับผู้สอบบัญชี อันนี้สับสนกันเยอะสุดครับ

ผู้สอบบัญชี (External Auditor)ผู้ตรวจสอบภายใน (Internal Auditor)
ทำงานให้ใครคนนอก — ผู้ถือหุ้น, ตลาดทุน, เจ้าหนี้คนใน — คณะกรรมการและองค์กรเอง
ตรวจอะไรงบการเงิน เป็นหลักทุกอย่าง — กระบวนการ ความเสี่ยง control วัฒนธรรม fraud ระบบ IT
ความถี่ปีละครั้งเป็นรอบๆทั้งปี ต่อเนื่อง
ผลลัพธ์ความเห็นต่องบการเงินรายงาน + ข้อเสนอแนะให้องค์กรดีขึ้น

พูดง่ายๆ ผู้สอบบัญชีตรวจ “เพื่อให้คนนอกเชื่องบ” ส่วนผู้ตรวจสอบภายในตรวจ “เพื่อให้คนในนอนหลับ”

แล้วมันต่างจาก CISA ตรงไหน#

คำถามนี้ผมก็ถามตัวเองเหมือนกันครับ ก่อนตัดสินใจลุยใบนี้ต่อ เพราะเพิ่งผ่าน CISA มาหมาดๆ สองใบนี้อยู่สายตรวจสอบเหมือนกันก็จริง แต่คนละเลนส์กันเลย:

CISACIA
เจ้าของวุฒิISACAIIA
ขอบเขตการตรวจระบบ IT — infrastructure, security, การพัฒนาระบบ, operationsทั้งองค์กร — governance, ความเสี่ยง, control, fraud, ทุกกระบวนการ
ตำแหน่งของคนตรวจมักเป็นคนนอกหรือทีมเฉพาะทาง เข้ามาตรวจระบบเป็นคนในองค์กร (หรือทีมที่องค์กรตั้ง) ตรวจต่อเนื่อง
มาตรฐานที่ใช้ISACA Standards / ITAFGlobal Internal Audit Standards (GIAS) ของ IIA
คำถามหลักที่ตอบ”ระบบ IT นี้เชื่อถือได้และปลอดภัยไหม""องค์กรนี้กำกับดูแลตัวเองได้จริงไหม”

มุมที่ผมมองคือสองใบนี้เสริมกันพอดี CISA ให้เลนส์เจาะลึกลงไปในห้องเครื่อง IT ส่วน CIA ให้เลนส์มุมกว้างมองทั้งอาคาร

ยิ่งยุคนี้ทุกกระบวนการขององค์กรวิ่งอยู่บนระบบ IT หมดแล้ว ผู้ตรวจสอบภายในที่ไม่เข้าใจ IT ก็ตรวจได้ไม่สุด ส่วนผู้ตรวจ IT ที่ไม่เห็นภาพองค์กร ก็ตอบคำถามใหญ่ไม่ได้เหมือนกัน

ใครตามซีรีส์ CISA มาก่อน จะเจอของคุ้นเคยหลายอย่างในซีรีส์นี้ ทั้ง risk, control, governance, evidence แต่รอบนี้เล่าจากอีกฝั่งของโต๊ะครับ

จังหวะที่ดีพอดี — มาตรฐานเพิ่งเปลี่ยนใหม่ทั้งชุด#

อีกเหตุผลที่ทำให้ตอนนี้เป็นจังหวะน่าเรียนเป็นพิเศษ คือ IIA เพิ่งยกเครื่องมาตรฐานวิชาชีพใหม่ทั้งชุด

มาตรฐานเดิม (IPPF 2017) ถูกแทนที่ด้วย Global Internal Audit Standards หรือ GIAS ซึ่งมีผลบังคับใช้เมื่อมกราคม 2025 และข้อสอบ CIA ก็ปรับตาม syllabus ใหม่ในปีเดียวกัน

ที่ต้องรู้คือมันไม่ใช่แค่เปลี่ยนเลขข้อ แต่ภาษาเปลี่ยนทั้งชุด เช่น:

  • internal audit activity → internal audit function
  • consulting services → advisory services
  • engagement opinion → engagement conclusion
  • purpose, authority, and responsibilities → internal audit mandate

แปลว่าหนังสือกับบทความภาษาไทยที่เขียนไว้ก่อนหน้านี้จำนวนไม่น้อย ใช้ศัพท์คนละชุดกับข้อสอบปัจจุบันไปแล้วครับ ซีรีส์นี้จะใช้ศัพท์ GIAS 2025 เป็นหลักตลอดทั้งซีรีส์ และถ้าตรงไหนศัพท์เก่ายังพบบ่อยในหนังสืออื่น จะวงเล็บบอกไว้ให้ว่าเดิมเคยเรียกว่าอะไร

โครงสร้างข้อสอบ — รวบสั้น#

CIA สอบ 3 Parts แยกกัน สอบผ่านทีละ Part ได้ ไม่ต้องรวดเดียว:

Partชื่อ (syllabus 2025)ข้อสอบเวลา
1Internal Audit Fundamentals — รากฐาน: mandate, จรรยาบรรณ, governance/risk/control, fraud125 ข้อ150 นาที
2Internal Audit Engagement — ภาคปฏิบัติของงานตรวจหนึ่งงาน ตั้งแต่วางแผนถึงรายงาน100 ข้อ120 นาที
3Internal Audit Function — บริหารหน่วยงานตรวจสอบภายในทั้งหน่วย ในมุมของหัวหน้า (CAE)100 ข้อ120 นาที

สังเกตว่าสาม Parts นี้คือกล้องสามระยะ — ทำไมต้องมี → ลงมือตรวจยังไง → บริหารทั้งทีมยังไง เดี๋ยวซีรีส์นี้ก็จะเดินตามเส้นนั้นเป๊ะๆ เลยครับ

แผนของซีรีส์นี้#

สไตล์เดียวกับซีรีส์ CISA ครับ — บันทึกการเรียนของคนที่จะไปสอบจริง ไม่ใช่สรุปหนังสือ เล่าเป็นภาษาคน มีเรื่องราว มีกับดักข้อสอบที่เจอระหว่างทาง

ที่ต่างออกไปหน่อยคือรอบนี้ผมวางโครงเรื่องไว้ตั้งแต่ต้นเลย ทั้งซีรีส์จะเล่าผ่านภาพของกิจการที่โตจนเจ้าของตาไปไม่ทั่วถึง แล้วต้องตั้ง “กองผู้ตรวจการ” ของตัวเองขึ้นมา ใครออกตราตั้งให้กองนี้ กติกาของคนถือตราคืออะไร ออกตรวจหน้างานจริงทำยังไง แล้ววันที่ต้องบริหารทั้งกองต้องคิดแบบไหน

  • Part 1 — ว่าด้วยตราตั้ง: อำนาจ ความเป็นอิสระ จรรยาบรรณ และภาษา risk/control ที่ต้องพูดให้เป็น
  • Part 2 — ว่าด้วยการออกตรวจ: ตามภารกิจจริงหนึ่งงานตั้งแต่รับโจทย์จนส่งรายงาน
  • Part 3 — ว่าด้วยการเป็นแม่ทัพ: มุมของคนที่ต้องดูแลทั้งหน่วยและคุยกับคณะกรรมการ

ใครที่ตามซีรีส์ก่อนๆ ของบล็อกนี้อยู่แล้ว ทั้ง Organization Anatomy, Project Management 101, CyberSecurity Foundation, Database 101 ของพวกนั้นจะกลายเป็นพื้นฐานที่แวะอ้างถึงเป็นระยะ ไม่ต้องอ่านก่อนก็ตามได้ แต่ถ้าอ่านแล้วจะเห็นภาพไวขึ้นเยอะ

ไม่ได้สัญญาว่าจะเขียนเสร็จตามตารางนะครับ 555+ แต่ที่แน่ๆ คือเขียนจากที่เรียนจริง สอบจริง เหมือนทุกซีรีส์ที่ผ่านมา


แล้วเจอกันตอนถัดไป เปิดเรื่องด้วยกำเนิดของกองผู้ตรวจการ 🚀