สารบัญ
ก่อน IS auditor จะออกไปตรวจอะไรได้สักอย่าง ต้องตอบคำถามพื้นฐานก่อน ตัวเองถูกกำกับด้วยกฎอะไรบ้าง?
ฟังดูเหมือนคำถามน่าเบื่อ แต่ลองคิดดูครับ ปีนี้บริษัทคุณจ้าง audit firm ทีม A มาตรวจ บอกว่า “ระบบ OK” ปีหน้าทีม B มาตรวจ ก็บอกว่า “ระบบ OK” เหมือนกัน แต่ถ้าวิธีทำงานของสองทีม หลักฐานที่เก็บ มาตรฐานที่ใช้ตัดสิน “OK” มันคนละเรื่องกันเลย แล้วจะรู้ได้ยังไงว่า “OK” สองครั้งนั้นแปลว่าเหมือนกัน
นี่แหละครับคือเหตุผลที่ ISACA สร้าง framework กับ standards ขึ้นมา เพื่อให้คำว่า “IS audit” มีความหมายเหมือนกันทั่วโลก ไม่ว่า auditor คนนั้นจะอยู่กรุงเทพ โตเกียว หรือลอนดอน
ขอเปิดเรื่องด้วย “บ้านหลังใหญ่” ที่ครอบทุกอย่างไว้ก่อน นั่นคือ ITAF
ITAF — บ้านที่ทุกอย่างอาศัยอยู่
ITAF (IT Audit Framework) คือ framework ที่ ISACA ออกแบบมาเพื่อกำหนดมาตรฐานวิชาชีพสำหรับ IT Auditor โดยเฉพาะ ครอบคลุมทุกมิติของการทำงาน ITAF ทำสามอย่างพร้อมกัน:
- กำหนด Standards บอกว่า IS auditor ต้องทำอะไร มีความรับผิดชอบอะไร ต้องมีทักษะระดับไหน รายงานยังไง
- นิยามคำศัพท์และแนวคิด ที่ใช้ใน IS assurance ทำให้ทุกคนใช้ภาษาเดียวกัน
- ให้แนวทางและเครื่องมือ สำหรับวางแผน ออกแบบ ดำเนินการ และรายงาน IS audit
ถ้าเปรียบกับระบบการศึกษาไทย ITAF ก็เหมือน “หลักสูตรแกนกลางการศึกษาขั้นพื้นฐาน” ของ สพฐ. ที่กำหนดว่า “ครูทั่วประเทศต้องสอนอะไรบ้าง อย่างน้อยแค่ไหน” ส่วน CISA Review Manual ก็คือตำรา ม.ปลาย ที่เขียนขึ้นจากหลักสูตรนั้น
ITAF ฉบับปัจจุบันคือ 5th Edition ออกเมื่อ ก.พ. 2026 ฉบับก่อนหน้า (4th Edition) ออกตั้งแต่ 2020 ห่างกัน 6 ปีในโลก IT คือ “นานมาก” AI/ML ระเบิดขึ้นมา Cloud กลายเป็นเรื่องปกติ third-party risk ซับซ้อนขึ้น กฎหมาย privacy ทั่วโลกเข้มงวดขึ้น ITAF 5 เลยเข้ามาครอบคลุมเรื่องเหล่านี้เพิ่ม
ที่ดีอีกอย่างคือ ITAF ดาวน์โหลดฟรี จากเว็บ ISACA ไม่มีค่าใช้จ่าย ใครก็เข้าถึงได้ ต่างจาก CRM ที่ต้องซื้อ ใครอยากดูต้นทางก็ลองโหลดมาดูได้
ใน ITAF มีหลายส่วน แต่ส่วนที่สำคัญที่สุดสำหรับสอบ CISA คือ 3 ชั้นของกฎ ที่บอกว่า “อะไรบังคับ อะไรแนะนำ อะไรเลือกใช้”
กฎจราจร ครูฝึก และนักแข่ง — 3 ชั้นของ ISACA Framework
วิธีที่ผมเข้าใจระบบนี้ได้ดีที่สุดคือเปรียบกับการขับรถครับ
Standards คือกฎจราจร ห้ามฝ่าไฟแดง ต้องมีใบขับขี่ ต้องคาดเข็มขัดนิรภัย ฝ่าฝืนปุ๊บมีโทษชัดเจน คนขับรถในไทย อเมริกา ญี่ปุ่น ทุกคนต้องทำตามกฎในประเทศของตัวเอง ไม่มีใครอ้างว่า “ผมมีเหตุผลส่วนตัว เลยไม่คาดเข็มขัด” ได้
Guidelines คือคำแนะนำของครูฝึกขับรถ รักษาระยะห่าง 2 วินาที ใช้กระจกส่องหลังทุก 5-8 วินาที ฝนตกควรลดความเร็วอีก 20% พวกนี้ไม่มีใบสั่ง แต่ครูฝึกที่ดีจะบอกว่า “ถ้าไม่ทำตาม ก็ต้องมีเหตุผลชัดเจนว่าทำไม” แล้วถ้าเกิดอุบัติเหตุขึ้น การที่ออกนอก guideline โดยไม่มีเหตุผลก็จะเป็นปัจจัยหนึ่งที่ถูกตรวจ
Tools and Techniques คือเทคนิคเสริมของคนขับรถเก่งๆ เช่น เทคนิคถอยเข้าซองแคบ วิธีออกตัวบนเนินไม่ให้รถไหล การคุมรถตอนขับผ่านน้ำท่วม พวกนี้เป็น “ตัวอย่าง” วิธีที่ทำได้ ไม่ได้บังคับ ไม่ได้เป็นข้อกำหนด เหมาะก็ใช้ ไม่เหมาะก็ไม่ใช้
ตำแหน่งของ Tools and Techniques ใน framework คือชั้นล่างสุดของ ITAF document hierarchy ครับ — ISACA นิยามไว้ตรงๆ ว่า “examples of processes an IS auditor might follow” คือเป็นตัวอย่างกระบวนการที่ auditor “อาจ” ใช้ในงาน engagement หนึ่งๆ เพื่อให้บรรลุ Standards ไม่ใช่ข้อกำหนด ตัวอย่างก็เช่น Information Systems Auditing: Tools and Techniques — Creating Audit Programs ซึ่งเป็นเอกสารแนะนำวิธีออกแบบ audit program ที่ ISACA เผยแพร่ ใครจะเลือกใช้ฉบับนั้นหรือออกแบบเองก็ได้ ไม่บังคับ
ใน IS audit framework ของ ISACA ทั้งสามชั้นนี้คือ:
| ชั้น | ลักษณะ | ถ้าไม่ทำตาม |
|---|---|---|
| Standards | Mandatory — ต้องทำตาม | ฝ่าฝืน = violate professional standard ผลกระทบต่อสถานะ CISA |
| Guidelines | Advisory — ควรพิจารณา | ต้องอธิบายเหตุผลเมื่อ departure + พร้อมโต้แย้งถ้าถูกถาม |
| Tools & Techniques | Optional examples — ใช้ถ้าเหมาะ | ไม่ทำตามก็ได้ ไม่ต้องอธิบาย |
จุดที่หลายคนเข้าใจผิดคือคิดว่า “Standard สำคัญ Guideline ไม่สำคัญ” จริงๆ ไม่ใช่นะครับ ITAF ระบุชัดว่า Guidelines ก็ต้อง “carefully considered” ถ้าจะออกนอก guideline ต้องมีเหตุผลรองรับและบันทึกไว้ด้วย ไม่ใช่อ่านแล้ว “ข้ามไปก็ได้”
ที่สำคัญที่สุดสำหรับข้อสอบ CISA: ถ้า IS auditor ไม่ทำตาม Guideline ต้องอธิบายเหตุผลของ departure ได้ ไม่ใช่แค่ “ไม่รู้” หรือ “ลืม”
ภายใน Standards: 3 หมวดตามวงจรชีวิตของ Audit
Standards เองยังแบ่งย่อยอีก 3 หมวดครับ ที่ตามลำดับการทำงานจริงของ auditor
หมวด General “ฉันเป็นใครในฐานะ auditor”
หลักการพื้นฐานที่กำกับ “ตัวตน” ของ IS auditor ไม่ใช่วิธีทำงาน แต่ว่าคุณเป็นคนแบบไหนในฐานะมืออาชีพ ครอบคลุม:
- Independence เป็นอิสระจากสิ่งที่กำลังตรวจ
- Objectivity เป็นกลาง ไม่ลำเอียงตามผลประโยชน์
- Due care ระมัดระวังที่เหมาะสม เหมือนหมอที่ตรวจคนไข้อย่างรอบคอบ
- Knowledge, Competency, Skill รู้จริงในสิ่งที่ตรวจ มีทักษะที่จำเป็น
- Reasonable expectation กับ criteria ที่เหมาะสมในการประเมิน
ถ้า auditor ขาด independence ก็เหมือนจ้างเพื่อนสนิทของ CEO มาตรวจว่า CEO ทำงานได้มาตรฐานมั้ย ผลออกมาจะน่าเชื่อถือแค่ไหนล่ะครับ
CISA exam ชอบทดสอบหมวด General ในแนว “auditor มีความสัมพันธ์ส่วนตัวกับ auditee แบบนี้ ควรทำอะไร?” คำตอบมักเป็น ต้องเปิดเผยและถอนตัวออกจาก engagement นั้นไปเลย เพราะ independence เป็นเรื่องที่ห้ามต่อรอง
หมวด Performance “ผมทำงานยังไง”
มาตรฐานของ “การทำงาน” ในแต่ละ engagement ตั้งแต่วางแผนจนถึงเก็บหลักฐาน ครอบคลุม:
- Risk assessment ระหว่างวางแผน
- Engagement scoping และ supervision
- Performance and quality control
- Evidence collection และการประเมินหลักฐาน
- การใช้ผลงานของ other experts
- การจัดการ irregularities และ illegal acts
ถ้า General Standards คือ “คุณเป็นใคร” Performance Standards ก็คือ “คุณทำอะไร ยังไง” ทุกส่วนต้องทำ ไม่ใช่เลือกทำบางส่วน
หมวด Reporting “ผมสื่อสารยังไง”
ทำงานเสร็จแล้ว IS auditor ต้องรายงาน ซึ่งมีมาตรฐานของตัวเองว่ารายงานต้องประกอบด้วยอะไรบ้าง แล้วต้องติดตามผล (follow-up) ยังไง
Reporting Standards จะไปเชื่อมกับเนื้อหาช่วงท้ายๆ ของ Domain 1 — เรื่อง audit reporting, communication, quality assurance เพราะ QA ก็ต้องตรวจว่ารายงานที่ออกมาเป็นไปตาม Reporting Standards รึเปล่า เดี๋ยวมาว่ากันอีกทีตอนถึงหัวข้อนั้นครับ
สามหมวดนี้ครอบคลุมครบวงจรของ IS audit ตั้งแต่ “ใคร” → “ทำอะไร” → “บอกผลยังไง”
เลขที่ Standards ที่ CRM อ้างถึงบ่อย
ISACA บอกชัดว่า CISA candidate ไม่ต้องท่องเลข Standard เพื่อสอบ — ข้อสอบจะถามการ apply ไม่ใช่ “1201 พูดอะไร” แต่ในการอ่าน CRM ทั้ง Domain 1 จะเจอเลขพวกนี้โผล่ตลอด ขอรวมไว้ตรงนี้เป็น reference เผื่อกลับมาดูได้ ไม่ต้องท่อง:
| Standard # | ชื่อ | หมวด |
|---|---|---|
| 1201 | Engagement Planning | Performance |
| 1202 | Risk Assessment in Planning | Performance |
| 1203 | Performance and Supervision | Performance |
| 1204 | Materiality | Performance |
| 1207 | Irregularities and Illegal Acts | Performance |
| 1401 | Reporting | Reporting |
| 1402 | Follow-up Activities | Reporting |
ข้อสอบไม่ถาม “1401 ว่าอะไร” แต่ถามแนวว่า “auditor ออก report แล้วยังต้องทำอะไรต่อ” ซึ่งคำตอบคือ follow-up ตามหลักของ Standard 1402 จำเจตนาดีกว่าจำเลข
Code of Ethics — กฎอีกชุดที่ไม่ได้อยู่ใน 3 ชั้น แต่อยู่เหนือทุกชั้น
นอกจากกฎวิชาชีพ (Standards/Guidelines/Tools) ที่บอกว่า “คุณทำงานยังไง” ISACA ยังมีกฎอีกชุดที่บอกว่า “คุณเป็นคนแบบไหน” นั่นคือ Code of Professional Ethics
ที่เห็นบ่อยคือคนอ่าน Code of Ethics แล้วสรุปว่า “ก็แค่บอกให้ทำตัวดีๆ” แล้วข้ามไป จริงๆ มันทำงานในระดับที่ลึกกว่านั้นเยอะ เพราะมันตอบคำถามว่า ในฐานะ IS auditor คุณมีความรับผิดชอบต่อใครบ้าง?
- ต่อ ISACA ในฐานะสมาชิกและผู้ถือ certification
- ต่อ stakeholders (board, ลูกค้า, ผู้ถือหุ้น) ที่ตัดสินใจโดยอิงผลงานของคุณ
- ต่อวิชาชีพทั้งวงการ ทุกครั้งที่ auditor คนไหนทำงานแย่ ความน่าเชื่อถือของวิชาชีพทั้งวงก็สั่นไปด้วย
- ต่อตัวเอง ในฐานะมืออาชีพที่ต้องดูแลความสามารถของตัวเองให้ทันสมัยอยู่เสมอ
Code of Ethics คือกรอบของความสัมพันธ์ครับ ไม่ใช่แค่ checklist ห้ามทำนู่นห้ามทำนี่
7 หลักการของ ISACA Code of Professional Ethics
| # | หลักการ | ภาษาคน |
|---|---|---|
| 1 | Support standards + governance | สนับสนุนกฎที่ถูกต้อง ส่งเสริมให้คนอื่นปฏิบัติตาม |
| 2 | Objectivity + due diligence + professional care | เป็นกลาง + ระมัดระวัง + อย่างมืออาชีพ |
| 3 | Serve stakeholders lawfully | รับใช้ทุก stakeholder ตามกฎหมาย ไม่ใช่แค่คนจ่ายเงิน |
| 4 | Privacy + confidentiality | ข้อมูลที่เห็นระหว่าง audit ต้องปกป้อง |
| 5 | Maintain competency | รับเฉพาะงานที่ทำได้จริง |
| 6 | Disclose all significant facts | แจ้งทุก significant fact ที่รู้ |
| 7 | Support professional education | ช่วย stakeholder เข้าใจ IT governance |
ขอสรุปสั้นๆ ให้ตัวเองจำได้
อ่านมาถึงตรงนี้ ขอจดไว้สี่อย่างกันลืมครับ
อย่างแรก ITAF คือบ้าน Standards/Guidelines/Tools คือห้องในบ้าน ใครพูดถึง ITAF ลอยๆ ให้นึกถึง framework ภาพรวมที่ ISACA ใช้กำกับวิชาชีพทั้งหมด
อย่างที่สอง 3 ชั้นไม่เท่ากัน Standards = mandatory, Guidelines = advisory + ต้องอธิบายเหตุผลถ้า departure, Tools = optional ความต่างนี้สำคัญทั้งในชีวิตจริงและในข้อสอบ
อย่างที่สาม Code of Ethics ใช้กับ candidates ด้วย ไม่ใช่แค่คนที่ได้ใบรับรองแล้ว ผู้สมัครสอบ CISA ก็ต้องทำตาม 7 หลักการนี้ตั้งแต่ก่อนสอบ ข้อ 6 (disclose significant facts) ออกสอบบ่อยที่สุด
อย่างที่สี่ ข้อสอบ CISA ไม่ได้ถามตัวเลขมาตรฐาน ทั้ง Standards และ Code of Ethics ข้อสอบถามว่า “ถ้าเจอสถานการณ์แบบนี้ auditor ควรทำอะไร” ไม่ใช่ “Standard 1201 พูดว่าอะไร” ต้องเข้าใจเจตนา ไม่ใช่จำหมายเลข
ตอนนี้รู้แล้วว่า IS auditor ถูกกำกับด้วย “กฎ” อะไรบ้าง ทั้งกฎวิชาชีพและกฎจริยธรรม คำถามถัดมาคือ ในระดับองค์กร ใครเป็นคนสร้าง IS audit function ขึ้นมา ให้อำนาจอะไร แล้วบริหารทรัพยากรของทีม audit ยังไง — นั่นคือเรื่องของ Internal Audit Function และ Audit Charter ที่จะคุยกันต่อ
อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.1 IS Audit Standards, Guidelines and Codes of Ethics
