สารบัญ
ก่อน IS auditor จะออกไปตรวจอะไรได้สักอย่างหนึ่ง ต้องตอบคำถามพื้นฐานก่อน — ตัวเองถูกกำกับด้วยกฎอะไรบ้าง?
ฟังดูเหมือนคำถามน่าเบื่อ แต่ลองคิดดูครับ ปีนี้บริษัทคุณจ้าง audit firm ทีม A มาตรวจ บอกว่า “ระบบ OK” ปีหน้าทีม B มาตรวจ บอกว่า “ระบบ OK” เหมือนกัน แต่ถ้าวิธีที่สองทีมทำงาน หลักฐานที่เก็บ และมาตรฐานที่ใช้ตัดสิน “OK” แตกต่างกันสุดขั้ว — คุณจะรู้ได้ยังไงว่า “OK” สองครั้งนั้นหมายความเหมือนกัน
นั่นคือเหตุผลที่ ISACA สร้าง framework และ standards ขึ้นมา — เพื่อให้คำว่า “IS audit” มีความหมายเหมือนกันทั่วโลก ไม่ว่า auditor คนนั้นอยู่กรุงเทพ โตเกียว หรือลอนดอน
ตอนนี้เลยขอเปิดเรื่องด้วย “บ้านหลังใหญ่” ที่ครอบทุกอย่างไว้ก่อนครับ — ITAF
ITAF — บ้านที่ทุกอย่างอาศัยอยู่
ITAF (IT Audit Framework) คือ framework ที่ ISACA ออกแบบมาเพื่อกำหนดมาตรฐานวิชาชีพสำหรับ IT Auditor โดยเฉพาะ ครอบคลุมทุกมิติของการทำงาน ITAF ทำสามอย่างพร้อมกัน:
- กำหนด Standards — บอกว่า IS auditor ต้องทำอะไร มีความรับผิดชอบอะไร ต้องมีทักษะระดับไหน รายงานยังไง
- นิยามคำศัพท์และแนวคิด ที่ใช้ใน IS assurance — ทำให้ทุกคนใช้ภาษาเดียวกัน
- ให้แนวทางและเครื่องมือ สำหรับวางแผน ออกแบบ ดำเนินการ และรายงาน IS audit
ถ้าเปรียบกับระบบการศึกษาไทย — ITAF คือเหมือน “หลักสูตรแกนกลางการศึกษาขั้นพื้นฐาน” ของ สพฐ. ที่กำหนดว่า “ครูทั่วประเทศต้องสอนอะไรบ้าง อย่างน้อยแค่ไหน” ส่วน CISA Review Manual ก็คือตำรา ม.ปลาย ที่เขียนขึ้นจากหลักสูตรนั้น
ITAF ฉบับปัจจุบันคือ 5th Edition ออกเมื่อ ก.พ. 2026 — ฉบับก่อนหน้า (4th Edition) ออกตั้งแต่ 2020 ห่างกัน 6 ปีในโลก IT คือ “นานมาก” — AI/ML ระเบิดขึ้นมา, Cloud กลายเป็นเรื่องปกติ, third-party risk ซับซ้อนขึ้น, กฎหมาย privacy ทั่วโลกเข้มงวดขึ้น ITAF 5 เลยจัดการกับเรื่องเหล่านี้เพิ่มเข้ามา
จุดที่ดีคือ ITAF ดาวน์โหลดฟรี จากเว็บ ISACA ไม่มีค่าใช้จ่าย ใครก็เข้าถึงได้ ต่างจาก CRM ที่ต้องซื้อ ถ้าใครอ่านแล้วอยากดูต้นทาง ก็ลองโหลดมาดูได้
ใน ITAF มีหลายส่วน แต่ส่วนที่สำคัญที่สุดสำหรับสอบ CISA คือ 3 ชั้นของกฎ ที่กำหนดว่า “อะไรบังคับ อะไรแนะนำ อะไรเลือกใช้”
กฎจราจร ครูฝึก และนักแข่ง — 3 ชั้นของ ISACA Framework
วิธีที่ผมเข้าใจระบบนี้ได้ดีที่สุดคือเปรียบกับการขับรถครับ
Standards คือกฎจราจร — ห้ามฝ่าไฟแดง ต้องมีใบขับขี่ ต้องสวมเข็มขัดนิรภัย ถ้าฝ่าฝืนมีโทษชัดเจน คนขับรถในไทย อเมริกา ญี่ปุ่น ทุกคนต้องปฏิบัติตามกฎในประเทศของตัวเอง ไม่มีใครอ้างว่า “ผมมีเหตุผล เลยไม่ยืนยันตัวตนก่อนขึ้นรถ” ได้
Guidelines คือคำแนะนำของครูฝึกขับรถ — รักษาระยะห่าง 2 วินาที ใช้กระจกส่องหลังทุก 5-8 วินาที ถ้าฝนตกควรลดความเร็วอีก 20% สิ่งเหล่านี้ไม่ได้มีใบสั่ง แต่ครูฝึกที่ดีจะบอกว่า “ถ้าไม่ทำตาม คุณควรมีเหตุผลชัดเจนว่าทำไม” และถ้าเกิดอุบัติเหตุขึ้น การที่คุณออกนอก guideline โดยไม่มีเหตุผลก็จะเป็นปัจจัยหนึ่งที่ถูกตรวจสอบ
Tools and Techniques คือเทคนิคเสริมของคนขับรถเก่งๆ — เช่น เทคนิคถอยเข้าซองแคบๆ, วิธีออกตัวบนเนินไม่ให้รถไหล, การควบคุมรถตอนขับผ่านน้ำท่วม สิ่งเหล่านี้เป็น “ตัวอย่าง” วิธีที่ทำได้ ไม่ได้บังคับ ไม่ได้เป็นข้อกำหนด ใช้ถ้าเหมาะ ไม่ใช้ถ้าไม่เหมาะ
ใน IS audit framework ของ ISACA ทั้งสามชั้นนี้คือ:
| ชั้น | ลักษณะ | ถ้าไม่ทำตาม |
|---|---|---|
| Standards | Mandatory — ต้องทำตาม | ฝ่าฝืน = violate professional standard ผลกระทบต่อสถานะ CISA |
| Guidelines | Advisory — ควรพิจารณา | ต้องอธิบายเหตุผลเมื่อ departure + พร้อมโต้แย้งถ้าถูกถาม |
| Tools & Techniques | Optional examples — ใช้ถ้าเหมาะ | ไม่ทำตามก็ได้ ไม่ต้องอธิบาย |
จุดที่หลายคนเข้าใจผิดคือคิดว่า “Standard = สำคัญ, Guideline = ไม่สำคัญ” — ความจริงไม่ใช่แบบนั้น ITAF ระบุชัดว่า Guidelines ก็ต้อง “carefully considered” ถ้าจะออกนอก guideline ต้องมีเหตุผลรองรับและต้องบันทึกไว้ด้วย ไม่ใช่อ่านแล้ว “ข้ามไปก็ได้”
สิ่งที่สำคัญที่สุดสำหรับข้อสอบ CISA: ถ้า IS auditor ไม่ปฏิบัติตาม Guideline ต้องอธิบายเหตุผลของ departure ได้ ไม่ใช่แค่ “ไม่รู้” หรือ “ลืม”
ภายใน Standards: 3 หมวดตามวงจรชีวิตของ Audit
Standards เองยังแบ่งย่อยอีก 3 หมวดครับ ที่ตามลำดับการทำงานจริงของ auditor
หมวด General — “ฉันเป็นใครในฐานะ auditor”
หลักการพื้นฐานที่กำกับ “ตัวตน” ของ IS auditor — ไม่ใช่วิธีทำงาน แต่เป็นว่าเป็นคนแบบไหนในฐานะมืออาชีพ ครอบคลุม:
- Independence — ความเป็นอิสระจากสิ่งที่กำลังตรวจ
- Objectivity — ความเป็นกลาง ไม่ลำเอียงตามผลประโยชน์
- Due care — ความระมัดระวังที่เหมาะสม เหมือนหมอที่ตรวจผู้ป่วยอย่างรอบคอบ
- Knowledge, Competency, Skill — รู้จริงในสิ่งที่ตรวจ และมีทักษะที่จำเป็น
- Reasonable expectation และ criteria ที่เหมาะสมในการประเมิน
ถ้า auditor ขาด independence — ก็เหมือนจ้างคนที่เป็นเพื่อนสนิทของ CEO มาตรวจว่า CEO ทำงานได้มาตรฐานมั้ย ผลออกมาจะน่าเชื่อถือแค่ไหน?
CISA exam ชอบทดสอบหมวด General ในรูปแบบ “auditor มีความสัมพันธ์ส่วนตัวกับ auditee แบบนี้ ควรทำอะไร?” คำตอบมักเป็น: ต้องเปิดเผยและถอนตัวออกจาก engagement นั้น เพราะ independence เป็นสิ่งที่ห้ามต่อรอง
หมวด Performance — “ผมทำงานยังไง”
มาตรฐานสำหรับ “การทำงาน” ในแต่ละ engagement — ตั้งแต่วางแผนจนถึงเก็บหลักฐาน ครอบคลุม:
- Risk assessment ระหว่างวางแผน
- Engagement scoping และ supervision
- Performance and quality control
- Evidence collection และการประเมินหลักฐาน
- การใช้ผลงานของ other experts
- การจัดการ irregularities และ illegal acts
ถ้า General Standards คือ “คุณเป็นใคร” — Performance Standards คือ “คุณทำอะไร อย่างไร” ทุกส่วนต้องทำ ไม่ใช่เลือกทำบางส่วน
หมวด Reporting — “ผมสื่อสารยังไง”
เมื่อทำงานเสร็จแล้ว IS auditor ต้องรายงาน ซึ่งมีมาตรฐานเองว่ารายงานต้องประกอบด้วยอะไร และต้องติดตามผล (follow-up) อย่างไร
Reporting Standards นี้จะเชื่อมโยงกับเนื้อหาช่วงท้ายๆ ของ Domain 1 — เรื่อง audit reporting, communication, และ quality assurance เพราะ QA ก็ต้องตรวจว่ารายงานที่ออกมาเป็นไปตาม Reporting Standards หรือเปล่า เดี๋ยวเรามาว่ากันอีกทีตอนถึงหัวข้อนั้นครับ
สามหมวดนี้ครอบคลุมครบวงจรของ IS audit ตั้งแต่ “ใคร” → “ทำอะไร” → “บอกผลยังไง”
Code of Ethics — กฎอีกชุดที่ไม่ได้อยู่ใน 3 ชั้น แต่อยู่เหนือทุกชั้น
นอกจากกฎของวิชาชีพ (Standards/Guidelines/Tools) ที่บอกว่า “คุณทำงานยังไง” — ISACA ยังมีกฎอีกชุดที่บอกว่า “คุณเป็นคนแบบไหน” นั่นคือ Code of Professional Ethics
ข้อผิดพลาดที่เห็นบ่อยคือคนอ่าน Code of Ethics แล้วสรุปว่า “ก็แค่บอกให้ทำตัวดีๆ” แล้วข้ามไป — แต่จริงๆ มันทำงานในระดับที่ลึกกว่านั้น เพราะมันตอบคำถามว่า: ในฐานะ IS auditor คุณมีความรับผิดชอบต่อใครบ้าง?
- ต่อ ISACA ในฐานะสมาชิกและผู้ถือ certification
- ต่อ stakeholders (board, ลูกค้า, ผู้ถือหุ้น) ที่ตัดสินใจจากผลงานของคุณ
- ต่อวิชาชีพทั้งวงการ — ทุกครั้งที่ auditor คนไหนทำงานแย่ ความน่าเชื่อถือของวิชาชีพทั้งหมดก็สั่นคลอน
- ต่อตัวเอง — ในฐานะมืออาชีพที่ต้องดูแลความสามารถของตัวเองให้ทันสมัย
Code of Ethics คือกรอบของความสัมพันธ์ครับ ไม่ใช่แค่ checklist ห้ามทำอะไร
7 หลักการของ ISACA Code of Professional Ethics
| # | หลักการ | ภาษาคน |
|---|---|---|
| 1 | Support standards + governance | สนับสนุนกฎที่ถูกต้อง ส่งเสริมให้คนอื่นปฏิบัติตาม |
| 2 | Objectivity + due diligence + professional care | เป็นกลาง + ระมัดระวัง + อย่างมืออาชีพ |
| 3 | Serve stakeholders lawfully | รับใช้ทุก stakeholder ตามกฎหมาย ไม่ใช่แค่คนจ่ายเงิน |
| 4 | Privacy + confidentiality | ข้อมูลที่เห็นระหว่าง audit ต้องปกป้อง |
| 5 | Maintain competency | รับเฉพาะงานที่ทำได้จริง |
| 6 | Disclose all significant facts | แจ้งทุก significant fact ที่รู้ |
| 7 | Support professional education | ช่วย stakeholder เข้าใจ IT governance |
ขอสรุปสั้นๆ ให้ตัวเองจำได้
อ่านมาถึงตรงนี้ ขอจดไว้สี่อย่างกันลืมครับ
อย่างแรก: ITAF คือบ้าน Standards/Guidelines/Tools คือห้องในบ้าน — ถ้าใครพูดถึง ITAF ลอยๆ ให้นึกถึง framework ภาพรวมที่ ISACA ใช้กำกับวิชาชีพทั้งหมด
อย่างที่สอง: 3 ชั้นไม่เท่ากัน — Standards = mandatory, Guidelines = advisory + must justify departure, Tools = optional ความต่างนี้สำคัญในชีวิตจริงและในข้อสอบ
อย่างที่สาม: Code of Ethics ใช้กับ candidates ด้วย — ไม่ใช่แค่คนที่ได้ใบรับรองแล้ว ผู้สมัครสอบ CISA ก็ต้องปฏิบัติตาม 7 หลักการแล้ว — โดยข้อ #6 (disclose significant facts) เป็นข้อที่ออกสอบบ่อยที่สุด
อย่างที่สี่: ข้อสอบ CISA ไม่ได้ถามตัวเลขมาตรฐาน — ทั้ง Standards และ Code of Ethics ข้อสอบถามว่า “ถ้าเจอสถานการณ์แบบนี้ auditor ควรทำอะไร” ไม่ใช่ “Standard 1201 พูดว่าอะไร” ต้องเข้าใจเจตนา ไม่ใช่จำหมายเลข
ตอนนี้เรารู้แล้วว่า IS auditor ถูกกำกับด้วย “กฎ” อะไรบ้าง — ทั้งกฎวิชาชีพและกฎจริยธรรม คำถามถัดมาคือ: ในระดับองค์กร ใครเป็นคนสร้าง IS audit function ขึ้นมา? ให้อำนาจอะไร? และบริหารทรัพยากรของทีม audit ยังไง? นั่นคือเรื่องของ Internal Audit Function และ Audit Charter ที่เราจะคุยกันต่อ
อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.1 IS Audit Standards, Guidelines and Codes of Ethics
