883 คำ
4 นาที
CISA Series ตอนที่ 02 : D1 - Internal Audit Function: Charter ที่เป็นรากของ Audit Universe
2026-05-04
บันทึกส่วนตัว
เรื่องที่เรียน เรื่องที่อ่าน
IT
/
Auditor
สารบัญ
ก่อนไปต่อ — IS audit function คืออะไร? Audit Charter (กฎบัตรการตรวจสอบ) — เอกสารที่ให้อำนาจ IS audit function ทำไม Charter ถึงเป็น “ราก” ของ Audit Universe Charter vs. Engagement Letter: ต่างกันยังไง? Independence ของ IS Audit Function — ห้ามต่อรอง จัดการ IS Audit Function ให้ทำงานได้จริง Resource Management — ทักษะและเครื่องมือ การใช้บริการ Auditor ภายนอกและผู้เชี่ยวชาญ มุมผู้บริหาร: ทำไม Board ต้องอนุมัติ Charter เอง? ขอสรุปสั้นๆ ให้ตัวเองจำได้

ตอนที่แล้วคุยเรื่องกฎที่กำกับ IS auditor — Standards, Guidelines, Tools และ Code of Ethics ตอนนี้ขยับมาคำถามที่อยู่ก่อนหน้านั้นอีกขั้นครับ

ก่อนที่ auditor คนไหนจะออกไปตรวจอะไรได้สักอย่าง ต้องตอบคำถามพื้นฐานก่อน — ใครให้อำนาจคุณตรวจ?

ลองนึกภาพคุณจ้างคนมาเฝ้าบ้าน แต่ไม่ได้บอกเขาชัดๆ ว่าเขามีสิทธิ์ตรวจอะไรบ้าง ไม่ได้บอกว่ารายงานให้ใคร ไม่ได้บอกว่าเจอปัญหาต้องทำอะไร ไม่ได้บอกว่าเขาตรวจห้องเก็บของชั้นสองได้มั้ย

ผลคือยาม “ทำงาน” แต่ไม่มีใครรู้ว่าเขาทำอะไรจริง management ก็ไม่รู้ว่าต้องฟังเขาหรือเปล่า เวลาเขาเจอปัญหาก็ไม่มีช่องทางที่ชัดเจนว่าควรส่งต่อให้ใคร

IS audit function ที่ไม่มี Audit Charter ก็ทำงานในสภาพแบบนั้นแหละครับ — แต่ผลกระทบใหญ่กว่ามาก เพราะ Charter ไม่ใช่แค่คำบรรยายลักษณะงาน มันคือ ราก ที่ทุกอย่างใน Domain 1 งอกออกมา

ก่อนไปต่อ — IS audit function คืออะไร?#

ก่อนพูดถึง Charter ขอเคลียร์คำที่จะใช้ตลอดบทนี้ก่อนครับ

IS audit function ไม่ใช่ตัวบุคคล (auditor คนเดียว) ไม่ใช่งานครั้งเดียว (audit project) — แต่เป็น หน่วยงาน/ทีมที่ทำหน้าที่ตรวจสอบระบบสารสนเทศ (IS) ขององค์กรอย่างต่อเนื่อง

ลองเทียบกับโลกบัญชี — บริษัทใหญ่ๆ จะมี “ฝ่ายตรวจสอบภายใน” (internal audit department) ที่ตรวจเรื่องการเงิน operations กับ compliance อยู่ตลอด IS audit function ก็แบบเดียวกัน แต่ขอบเขตคือ ระบบ IT ทั้งหมดขององค์กร ใครเข้าถึงอะไรได้ ระบบ backup ดีไหม security ครบไหม vendor ที่จ้างมาเชื่อถือได้แค่ไหน

ในชีวิตจริงเจอ 3 รูปแบบหลัก:

  • Internal IS audit — ทีมพนักงานในองค์กรเอง รายงานต่อ audit committee/board มักเจอในบริษัทใหญ่ที่มี internal audit department อยู่แล้ว
  • External IS audit — จ้างบริษัท audit firm ภายนอก (Big 4 หรือบริษัทเฉพาะทาง) เข้ามาตรวจเป็นรอบๆ
  • Hybrid — มีทีมภายในขนาดเล็กดูเรื่องประจำ + จ้าง external มาเสริมเฉพาะเรื่องที่ต้องการความเชี่ยวชาญพิเศษ

ทุกแบบมีจุดร่วมเดียวกัน — ต้องมี Charter ที่ board อนุมัติก่อน ถึงจะเริ่มทำงานได้ ซึ่งคือเรื่องที่จะคุยกันต่อ

Audit Charter (กฎบัตรการตรวจสอบ) — เอกสารที่ให้อำนาจ IS audit function#

Audit Charter คือเอกสารที่กำหนด responsibility, authority กับ accountability ของ IS audit function อย่างเป็นทางการ

ไม่ใช่แค่คำบรรยายลักษณะงานของ IS auditor — แต่เป็นการทำให้เป็นทางการว่า IS audit function มี mandate อยู่ในองค์กรนี้จริง มีขอบเขตที่ board อนุมัติ และมีช่องทางรายงานที่ชัดเจน

ใครต้องอนุมัติ Charter? ระดับสูงสุดขององค์กร — board of directors กับ audit committee (ถ้ามี) คือคนที่ต้องเซ็น ไม่ใช่แค่ CIO หรือ management ที่ถูก audit อยู่

ทำไมต้องเป็น board? ก็เพราะถ้า management ที่ถูกตรวจเป็นคนกำหนดขอบเขตการตรวจเอง — นั่นคือ conflict of interest โดยตัวของมันเองอยู่แล้ว บริษัทที่ปล่อยให้ CIO หรือ management ระดับกลางเป็นคนกำหนดขอบเขตของ IS audit function = audit ที่ออกแบบมาให้พลาดจุดที่อ่อนไหวที่สุด

Charter ต้องระบุอะไรบ้าง?

  • Functional reporting relationship — IS audit รายงานต่อใคร (โดยปกติคือ audit committee หรือ board ไม่ใช่ CIO)
  • Authority — อำนาจทำอะไรได้บ้าง เข้าถึงข้อมูลใดได้บ้าง สอบถามใครได้บ้าง
  • Responsibility — รับผิดชอบอะไร ครอบคลุมพื้นที่ใด
  • Scope of IS audit activities — ทั้งหมดในองค์กร ไม่ใช่แค่บางส่วน
  • บทบาทด้าน consulting services ที่ IS audit อาจทำเพิ่มเติมจาก assurance

พอ Charter ถูกจัดทำขึ้นแล้ว ก็เปลี่ยนได้ต่อเมื่อมีเหตุผลที่หนักแน่นพอ ไม่ใช่เปลี่ยนตามใจ management ทุกครั้งที่อยากลดขอบเขตการตรวจ

ทำไม Charter ถึงเป็น “ราก” ของ Audit Universe#

นี่คือจุดที่ Charter เปลี่ยนจาก “เอกสารทางการ” เป็น “จุดตั้งต้นของทุกอย่าง” ครับ

Audit Universe คือรายการของทุกพื้นที่ในองค์กรที่ IS audit function “มีสิทธิ์” จะเข้าไปตรวจ — ทุกระบบ ทุก process ทุกหน่วยงาน ทุก vendor ที่อยู่ในขอบเขตของ audit (เดี๋ยวมีบทแยกอธิบาย Audit Universe + วิธีใช้มันวางแผนตรวจ ในตอนถัดๆ ไป — ตอนนี้รู้แค่ว่ามันคือ “ขอบเขตที่จะตรวจ” ก็พอ)

แต่คำว่า “มีสิทธิ์” มาจากไหน? — มาจาก Charter ครับ

ถ้า Charter ระบุว่า IS audit ครอบคลุมทุก IT system ในองค์กร → Audit Universe = ทุก IT system

ถ้า Charter ระบุว่า IS audit ครอบคลุมเฉพาะระบบการเงินที่สำคัญที่สุด → Audit Universe = แค่ระบบเหล่านั้น ระบบ HR หรือ marketing ตกออกจาก scope ทันที

ถ้าไม่มี Charter เลย → ไม่มี Audit Universe เพราะไม่มีใครมีอำนาจมาตรวจอะไร

นี่คือเหตุผลที่ใน CRM ของ ISACA และในข้อสอบ CISA — Charter ถูกพูดถึงก่อน risk-based planning เสมอ เพราะลำดับเชิงตรรกะเป็นแบบนี้:

Board approves Charter
    
Charter defines IS audit scope/authority
    
IS audit identifies Audit Universe (ทุกพื้นที่ในขอบเขต)
    
Risk assessment ranks Audit Universe (พื้นที่ไหน risky สุด)
    
Annual audit plan (ตรวจอันไหนก่อน)
    
Individual engagement plans (ตรวจยังไง)

ทุกขั้นตอนต่อมาขึ้นกับ Charter ทั้งหมด ดังนั้นถ้า Charter ผิดที่ — เช่น Audit Universe เล็กเกินไปเพราะ management ล็อบบี้ขอตัดบางส่วนออก — risk-based planning จะ “ตรวจอย่างถูกต้อง” ในขอบเขตที่ผิดอยู่ดี ระบบที่อ่อนไหวที่สุดอาจอยู่นอก Universe ตั้งแต่ต้น แล้วไม่มีใครเข้าไปตรวจได้เลย

นี่คือเหตุผลที่ ISACA Standards ระบุว่า Charter ต้อง board-approved — เพื่อปกป้องความสมบูรณ์ของ Audit Universe ทั้งหมด

Charter vs. Engagement Letter: ต่างกันยังไง?#

สองเอกสารนี้คนสับสนกันบ่อยครับ เพราะทั้งคู่เกี่ยวกับ IS audit แต่ทำหน้าที่คนละอย่าง

Audit Charter คือเอกสารแม่บท — ครอบคลุม scope ของ audit activities ทั้งหมดในองค์กร อายุยาว เปลี่ยนได้น้อย board เป็นคนอนุมัติ

Engagement Letter คือเอกสารเฉพาะสำหรับ audit หรือ review งานใดงานหนึ่ง — ระบุเงื่อนไขการทำงานครั้งนั้นๆ โดยเฉพาะ ถ้าเป็น external audit จะลงรายละเอียดการทำงานระหว่างองค์กรผู้ว่าจ้างกับ service provider

วิธีจำง่ายๆ — Charter = สัญญาจ้างงาน IS audit function (ใช้ทั้งชีวิต), Engagement Letter = ใบสั่งซื้อของแต่ละงาน (ออกเป็นครั้งๆ)

Independence ของ IS Audit Function — ห้ามต่อรอง#

ประเด็นที่ ISACA เน้นชัดเจน — IS audit function ต้องเป็นอิสระจากพื้นที่ที่กำลังตรวจอยู่

ถ้าเป็น internal IS audit ต้องรายงานต่อ audit committee (ถ้ามี) หรือผู้บริหารระดับสูงสุด (board of directors) — ไม่ใช่รายงานต่อ CIO ที่รับผิดชอบระบบที่ถูกตรวจ

ทำไม? ก็เพราะถ้า IS auditor รายงานต่อคนที่ดูแลสิ่งที่กำลังตรวจ — auditor จะรู้สึก (หรือถูกจูงใจ) ให้ออก finding ที่เอื้อประโยชน์เพื่อรักษาความสัมพันธ์กับ “เจ้านาย” แทนที่จะรายงานความจริง

independence ในความหมายของ ISACA = structural separation ระหว่าง IS audit function กับสิ่งที่ถูกตรวจ ไม่ใช่แค่ “ตั้งใจให้เป็นกลาง” — ต้องมีโครงสร้างในองค์กรที่บังคับให้เป็นกลางจริงๆ

นี่แหละคือเหตุผลที่ Charter ต้องระบุสายการรายงานให้ชัด เพราะสายการรายงานคือกลไกเชิงโครงสร้างที่บังคับใช้ independence

จัดการ IS Audit Function ให้ทำงานได้จริง#

นอกจาก Charter กับ independence แล้ว การบริหาร IS audit function ยังต้องครอบคลุมอีก 2 เรื่องหลัก

Resource Management — ทักษะและเครื่องมือ#

IS technology เปลี่ยนตลอด IS auditor ต้องอัปเดททักษะให้ทันเทคโนโลยีใหม่ที่ต้อง audit นั่นแปลว่า:

  • ต้องมี แผนฝึกอบรมพนักงานรายปี ที่ไปในทางเดียวกับทิศทางเทคโนโลยีขององค์กร
  • ทบทวนแผนฝึกอบรมเป็นระยะ เพื่อให้แน่ใจว่าได้ผลจริง
  • IS audit management จัดหา IT resources ที่เหมาะสม (tools, methodology, work programs)

ทักษะที่ auditor มีต้องเอามาพิจารณาเวลามอบหมายงาน — ไม่ใช่ส่งคนที่รู้เรื่อง financial audit ไปตรวจ cloud security เพราะนั่นจะผิด Code of Ethics หลักการที่ 5 (maintain competency) ทันที

การใช้บริการ Auditor ภายนอกและผู้เชี่ยวชาญ#

บางครั้ง IS audit department ต้องการผู้เชี่ยวชาญจากภายนอก — เช่น ผู้เชี่ยวชาญด้าน digital forensics, networking ซับซ้อน, หรืออุตสาหกรรมเฉพาะ (banking, insurance, legal)

เวลาจ้างงานบางส่วนของ IS audit ออกไปให้ external provider ISACA กำหนดประเด็นที่ต้องพิจารณาไว้หลายข้อ:

  • Legal restrictions — บางอุตสาหกรรมที่ถูกกำกับมีข้อกำหนดว่า audit activities ส่วนไหนที่จ้างภายนอกได้หรือไม่ในแต่ละเขตอำนาจ
  • Independence และ objectivity ของ external expert — ต้องไม่มีความสัมพันธ์กับ auditee ที่จะกระทบ objectivity
  • Professional competence, qualifications และ experience — ต้องมีความสามารถจริงในพื้นที่ที่จะตรวจ ไม่ใช่แค่ auditor ทั่วไป
  • Scope และ approach ของงานที่จะจ้างภายนอก — ต้องกำหนดขอบเขตชัดเจน ไม่ใช่จ้าง “งาน audit” แบบเหมารวม
  • Communication และ reporting — external provider ต้องรู้ว่าจะสื่อสารกลับมาในรูปแบบใด ถึงใคร
  • Non-disclosure agreements — external provider มีสิทธิ์เห็นข้อมูลที่อ่อนไหวขององค์กร ต้องมี NDA ครอบคลุมข้อมูลเหล่านั้น
  • Standards และ guidelines ที่ external provider ต้องปฏิบัติตาม — ควรเป็น ISACA standards เดิมหรือเทียบเท่า
  • Monitoring process — IS auditor ต้องมีวิธีตรวจสอบคุณภาพของงานที่ external provider ส่งกลับมา ไม่ใช่ยอมรับโดยไม่ตรวจ
  • Work paper ownership — กำหนดให้ชัดว่า work papers ที่ external provider สร้างนั้นเป็นของใคร และต้องส่งมอบมาให้เมื่องานเสร็จ

ที่สำคัญที่สุด — ต่อให้มอบหมายงานออกไป ultimate professional liability ก็ยังอยู่กับ IS auditor เดิม ไม่ใช่กับ external service provider ที่รับไป

แปลว่าถ้า external provider ทำงานผิดพลาด ออกรายงานที่ทำให้เข้าใจผิด หรือมองข้ามประเด็นสำคัญ — IS auditor ที่ว่าจ้างเขามาก็ต้องเป็นคนรับผิดชอบต่อ audit committee กับ board ครับ ฉะนั้นการกำกับดูแลงานของ external provider จึงไม่ใช่เรื่องเลือกได้ มันคือหน้าที่ทางวิชาชีพเลย

มุมผู้บริหาร: ทำไม Board ต้องอนุมัติ Charter เอง?#

บางองค์กรปล่อยให้ CIO หรือ management ระดับกลางเป็นคนกำหนดขอบเขตของ IS audit function

นั่นคือปัญหาเชิงโครงสร้างเลยครับ เพราะ IS audit function ที่ scope ถูกกำหนดโดยคนที่ถูกตรวจ = audit ที่ออกแบบมาให้พลาดจุดที่อ่อนไหวที่สุด ระบบที่ management ไม่อยากให้ตรวจก็จะอยู่นอก scope พอดี — แล้วไม่มีใครรู้ว่ามีปัญหาจนกว่ามันจะระเบิดออกมา

Board ที่กำกับดูแลองค์กรจริงๆ จะอนุมัติ Charter ของ IS audit function เอง เพราะนั่นคือเครื่องมือสำคัญที่ board ใช้ดูว่า management บริหาร IT risk ได้ดีรึเปล่า

ถ้า board ไม่รู้ว่า IS audit function มี Charter หรือเปล่า — นั่นคือสัญญาณอันตรายของ corporate governance ครับ และเป็นสิ่งแรกๆ ที่ external auditor หรือ regulator จะถามเวลามาตรวจ

ขอสรุปสั้นๆ ให้ตัวเองจำได้#

อ่านมาถึงตรงนี้ ขอจดไว้สามอย่างกันลืมครับ

อย่างแรก: Charter คือราก — ไม่ใช่คำบรรยายลักษณะงานธรรมดาๆ มันคือเอกสารที่กำหนดว่า IS audit มี authority แค่ไหน ขยายไป Audit Universe เท่าไหร่ ทุกขั้นตอนต่อมา (risk assessment, audit plan, engagement) ขึ้นกับ Charter ทั้งหมด ถ้า Charter ผิดที่ ทุกอย่างที่งอกออกมาก็ผิดที่ตาม

อย่างที่สอง: Charter ต้อง board-approve — ไม่ใช่ CIO หรือ management ที่ถูกตรวจ เพราะมันมี conflict of interest อยู่ในตัวเอง การอนุมัติของ board = การปกป้อง independence เชิงโครงสร้าง

อย่างที่สาม: Independence = structural ไม่ใช่ attitude — IS audit ต้องรายงานต่อ audit committee หรือ board ไม่ใช่ CIO เพราะสายการรายงานเชิงโครงสร้างคือสิ่งที่บังคับใช้ independence ในระยะยาวจริงๆ ความตั้งใจอย่างเดียวไม่พอ

ตอนนี้เห็นภาพรวมของ IS audit function แล้ว — Charter ที่ board อนุมัติให้อำนาจ, independence ที่กันไม่ให้ถูก management กดดัน, resource management ที่ดูแลทักษะของทีม รวมถึงวิธีจ้างผู้เชี่ยวชาญภายนอกอย่างถูกต้อง

ทั้งหมดนี้คือ โครงสร้างพื้นฐาน ที่ทำให้ IS audit function อยู่ได้ในองค์กร — ก่อนจะเริ่มลงมือตรวจอะไร

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.1 IS Audit Standards, Guidelines and Codes of Ethics

Ciel
ghostwritten by Ciel
JustNotOrdinary's Chief-of-Staff →
CISA Series ตอนที่ 01 : D1 - Rule Book ของวิชาชีพ — ITAF, Standards, Guidelines, Tools และ Code of Ethics
CISA Series ตอนที่ 03 : D1 - IS Audit ตั้งแต่เริ่ม...จนจบ
© 2026 Just Not Ordinary. All Rights Reserved. / Sitemap