สารบัญ
ตอนที่แล้วคุยเรื่องกฎที่กำกับ IS auditor ทั้ง Standards, Guidelines, Tools และ Code of Ethics ตอนนี้ขยับมาคำถามที่อยู่ก่อนหน้านั้นอีกขั้นครับ
ก่อนที่ auditor คนไหนจะออกไปตรวจอะไรได้สักอย่าง ต้องตอบคำถามพื้นฐานก่อน ใครให้อำนาจคุณตรวจ?
ลองนึกภาพคุณจ้างคนมาเฝ้าบ้าน แต่ไม่ได้บอกเขาชัดๆ ว่าเขามีสิทธิ์ตรวจอะไรบ้าง ไม่ได้บอกว่ารายงานให้ใคร ไม่ได้บอกว่าเจอปัญหาต้องทำอะไร ไม่ได้บอกว่าเขาตรวจห้องเก็บของชั้นสองได้มั้ย
ผลคือยาม “ทำงาน” แต่ไม่มีใครรู้ว่าเขาทำอะไรจริง management ก็ไม่รู้ว่าต้องฟังเขาหรือเปล่า เวลาเขาเจอปัญหาก็ไม่มีช่องทางที่ชัดเจนว่าควรส่งต่อให้ใคร
IS audit function ที่ไม่มี Audit Charter ก็ทำงานในสภาพแบบนั้นแหละครับ แต่ผลกระทบใหญ่กว่ามาก เพราะ Charter ไม่ใช่แค่คำบรรยายลักษณะงาน มันคือ ราก ที่ทุกอย่างใน Domain 1 งอกออกมา
ก่อนไปต่อ — IS audit function คืออะไร?
ก่อนพูดถึง Charter ขอเคลียร์คำที่จะใช้ตลอดบทนี้ก่อนครับ
IS audit function ไม่ใช่ตัวบุคคล (auditor คนเดียว) ไม่ใช่งานครั้งเดียว (audit project) แต่เป็น หน่วยงาน/ทีมที่ทำหน้าที่ตรวจสอบระบบสารสนเทศ (IS) ขององค์กรอย่างต่อเนื่อง
ลองเทียบกับโลกบัญชีดูครับ บริษัทใหญ่ๆ จะมี “ฝ่ายตรวจสอบภายใน” (internal audit department) ที่ตรวจเรื่องการเงิน operations กับ compliance อยู่ตลอด IS audit function ก็แบบเดียวกัน แต่ขอบเขตคือ ระบบ IT ทั้งหมดขององค์กร ใครเข้าถึงอะไรได้ ระบบ backup ดีไหม security ครบไหม vendor ที่จ้างมาเชื่อถือได้แค่ไหน
ในทางปฏิบัติเจอ 3 รูปแบบหลัก:
- Internal IS audit ทีมพนักงานในองค์กรเอง รายงานต่อ audit committee/board มักเจอในบริษัทใหญ่ที่มี internal audit department อยู่แล้ว
- External IS audit จ้างบริษัท audit firm ภายนอก (Big 4 หรือบริษัทเฉพาะทาง) เข้ามาตรวจเป็นรอบๆ
- Hybrid มีทีมภายในขนาดเล็กดูเรื่องประจำ บวกจ้าง external มาเสริมเฉพาะเรื่องที่ต้องการความเชี่ยวชาญพิเศษ
ทุกแบบมีจุดร่วมเดียวกัน ต้องมี Charter ที่ board อนุมัติก่อน ถึงจะเริ่มทำงานได้ ซึ่งคือเรื่องที่จะคุยกันต่อ
Audit Charter (กฎบัตรการตรวจสอบ) — เอกสารที่ให้อำนาจ IS audit function
Audit Charter คือเอกสารที่กำหนด responsibility, authority กับ accountability ของ IS audit function อย่างเป็นทางการ
ไม่ใช่แค่คำบรรยายลักษณะงานของ IS auditor แต่เป็นการทำให้เป็นทางการว่า IS audit function มี mandate อยู่ในองค์กรนี้จริง มีขอบเขตที่ board อนุมัติ และมีช่องทางรายงานที่ชัดเจน
ใครต้องอนุมัติ Charter? ระดับสูงสุดขององค์กร board of directors กับ audit committee (ถ้ามี) คือคนที่ต้องเซ็น ไม่ใช่แค่ CIO หรือ management ที่ถูก audit อยู่
ทำไมต้องเป็น board? ก็เพราะถ้า management ที่ถูกตรวจเป็นคนกำหนดขอบเขตการตรวจเอง นั่นคือ conflict of interest โดยตัวของมันเองอยู่แล้ว บริษัทที่ปล่อยให้ CIO หรือ management ระดับกลางเป็นคนกำหนดขอบเขตของ IS audit function ก็จะได้ audit ที่ออกแบบมาให้พลาดจุดที่อ่อนไหวที่สุด
Charter ต้องระบุอะไรบ้าง?
- Functional reporting relationship IS audit รายงานต่อใคร (โดยปกติคือ audit committee หรือ board ไม่ใช่ CIO)
- Authority อำนาจทำอะไรได้บ้าง เข้าถึงข้อมูลใดได้บ้าง สอบถามใครได้บ้าง
- Responsibility รับผิดชอบอะไร ครอบคลุมพื้นที่ใด
- Scope of IS audit activities ทั้งหมดในองค์กร ไม่ใช่แค่บางส่วน
- บทบาทด้าน consulting services ที่ IS audit อาจทำเพิ่มเติมจาก assurance
พอ Charter ถูกจัดทำขึ้นแล้ว ก็เปลี่ยนได้ต่อเมื่อมีเหตุผลที่หนักแน่นพอ ไม่ใช่เปลี่ยนตามใจ management ทุกครั้งที่อยากลดขอบเขตการตรวจ
Audit-specific charter vs Broader audit charter
อีกประเด็นที่ CRM ระบุไว้ตรงๆ คือ ในองค์กรที่ IT audit เป็นส่วนหนึ่งของ internal audit ทั่วไป (ไม่ได้แยกเป็นทีมเอกเทศ) Charter อาจมาในสองรูปแบบ:
- Audit-specific charter — Charter เฉพาะสำหรับ IS/IT audit function โดยตรง ระบุขอบเขตและอำนาจของงาน IT audit แยกออกมาเป็นเอกสารของตัวเอง
- Broader audit charter — Charter ของ internal audit ทั้งหมด ที่รวมเอา mandate ของ IT audit เข้าไปเป็นส่วนหนึ่งของ audit mandate รวม
ทั้งสองแบบใช้ได้ ไม่มีถูกผิด อยู่ที่โครงสร้างองค์กร — แต่ไม่ว่าจะเลือกแบบไหน Charter ก็ควรรวมบทบาท consulting-related services ที่ IS audit อาจทำเพิ่มเติมจาก assurance ไว้ด้วย
ทำไม Charter ถึงเป็น “ราก” ของ Audit Universe
นี่คือจุดที่ Charter เปลี่ยนจาก “เอกสารทางการ” เป็น “จุดตั้งต้นของทุกอย่าง” ครับ
Audit Universe คือรายการของทุกพื้นที่ในองค์กรที่ IS audit function “มีสิทธิ์” จะเข้าไปตรวจ ทุกระบบ ทุก process ทุกหน่วยงาน ทุก vendor ที่อยู่ในขอบเขตของ audit (เดี๋ยวมีบทแยกอธิบาย Audit Universe และวิธีใช้มันวางแผนตรวจในตอนถัดๆ ไป ตอนนี้รู้แค่ว่ามันคือ “ขอบเขตที่จะตรวจ” ก็พอ)
แต่คำว่า “มีสิทธิ์” มาจากไหน? มาจาก Charter ครับ
ถ้า Charter ระบุว่า IS audit ครอบคลุมทุก IT system ในองค์กร → Audit Universe = ทุก IT system
ถ้า Charter ระบุว่า IS audit ครอบคลุมเฉพาะระบบการเงินที่สำคัญที่สุด → Audit Universe = แค่ระบบเหล่านั้น ระบบ HR หรือ marketing ตกออกจาก scope ทันที
ถ้าไม่มี Charter เลย → ไม่มี Audit Universe เพราะไม่มีใครมีอำนาจมาตรวจอะไร
นี่คือเหตุผลที่ใน CRM ของ ISACA และในข้อสอบ CISA — Charter ถูกพูดถึงก่อน risk-based planning เสมอ เพราะลำดับเชิงตรรกะเป็นแบบนี้:
Board approves Charter ↓Charter defines IS audit scope/authority ↓IS audit identifies Audit Universe (ทุกพื้นที่ในขอบเขต) ↓Risk assessment ranks Audit Universe (พื้นที่ไหน risky สุด) ↓Annual audit plan (ตรวจอันไหนก่อน) ↓Individual engagement plans (ตรวจยังไง)ทุกขั้นตอนต่อมาขึ้นกับ Charter ทั้งหมด ดังนั้นถ้า Charter ผิดที่ เช่น Audit Universe เล็กเกินไปเพราะ management ล็อบบี้ขอตัดบางส่วนออก risk-based planning ก็จะ “ตรวจอย่างถูกต้อง” ในขอบเขตที่ผิดอยู่ดี ระบบที่อ่อนไหวที่สุดอาจอยู่นอก Universe ตั้งแต่ต้น แล้วไม่มีใครเข้าไปตรวจได้เลย
นี่คือเหตุผลที่ ISACA Standards ระบุว่า Charter ต้อง board-approved เพื่อปกป้องความสมบูรณ์ของ Audit Universe ทั้งหมด
Charter vs. Engagement Letter: ต่างกันยังไง?
สองเอกสารนี้คนสับสนกันบ่อยครับ เพราะทั้งคู่เกี่ยวกับ IS audit แต่ทำหน้าที่คนละอย่าง
Audit Charter คือเอกสารแม่บท ครอบคลุม scope ของ audit activities ทั้งหมดในองค์กร อายุยาว เปลี่ยนได้น้อย board เป็นคนอนุมัติ
Engagement Letter คือเอกสารเฉพาะสำหรับ audit หรือ review งานใดงานหนึ่ง ระบุเงื่อนไขการทำงานครั้งนั้นๆ โดยเฉพาะ ถ้าเป็น external audit จะลงรายละเอียดการทำงานระหว่างองค์กรผู้ว่าจ้างกับ service provider
วิธีจำง่ายๆ คือ Charter = สัญญาจ้างงาน IS audit function (ใช้ทั้งชีวิต), Engagement Letter = ใบสั่งซื้อของแต่ละงาน (ออกเป็นครั้งๆ)
Independence ของ IS Audit Function — ห้ามต่อรอง
ประเด็นที่ ISACA เน้นชัดเจน IS audit function ต้องเป็นอิสระจากพื้นที่ที่กำลังตรวจอยู่
ถ้าเป็น internal IS audit ต้องรายงานต่อ audit committee (ถ้ามี) หรือผู้บริหารระดับสูงสุด (board of directors) ไม่ใช่รายงานต่อ CIO ที่รับผิดชอบระบบที่ถูกตรวจ
ทำไม? ก็เพราะถ้า IS auditor รายงานต่อคนที่ดูแลสิ่งที่กำลังตรวจ auditor ก็จะรู้สึก (หรือถูกจูงใจ) ให้ออก finding ที่เอื้อประโยชน์เพื่อรักษาความสัมพันธ์กับ “เจ้านาย” แทนที่จะรายงานความจริง
independence ในความหมายของ ISACA คือ structural separation ระหว่าง IS audit function กับสิ่งที่ถูกตรวจ ไม่ใช่แค่ “ตั้งใจให้เป็นกลาง” ต้องมีโครงสร้างในองค์กรที่บังคับให้เป็นกลางจริงๆ
นี่แหละคือเหตุผลที่ Charter ต้องระบุสายการรายงานให้ชัด เพราะสายการรายงานคือกลไกเชิงโครงสร้างที่บังคับใช้ independence
จัดการ IS Audit Function ให้ทำงานได้จริง
นอกจาก Charter กับ independence แล้ว การบริหาร IS audit function ยังต้องครอบคลุมอีก 2 เรื่องหลัก
Resource Management — ทักษะและเครื่องมือ
IS technology เปลี่ยนตลอด IS auditor ต้องอัปเดททักษะให้ทันเทคโนโลยีใหม่ที่ต้อง audit นั่นแปลว่า:
- ต้องมี แผนฝึกอบรมพนักงานรายปี ที่ไปในทางเดียวกับทิศทางเทคโนโลยีขององค์กร
- ทบทวนแผนฝึกอบรมเป็นระยะ เพื่อให้แน่ใจว่าได้ผลจริง
- IS audit management จัดหา IT resources ที่เหมาะสม (tools, methodology, work programs)
ทักษะที่ auditor มีต้องเอามาพิจารณาเวลามอบหมายงาน — ไม่ใช่ส่งคนที่รู้เรื่อง financial audit ไปตรวจ cloud security เพราะนั่นจะผิด Code of Ethics หลักการที่ 5 (maintain competency) ทันที
การใช้บริการ Auditor ภายนอกและผู้เชี่ยวชาญ
บางครั้ง IS audit department ต้องการผู้เชี่ยวชาญจากภายนอก — เช่น ผู้เชี่ยวชาญด้าน digital forensics, networking ซับซ้อน, หรืออุตสาหกรรมเฉพาะ (banking, insurance, legal)
เวลาจ้างงานบางส่วนของ IS audit ออกไปให้ external provider ISACA กำหนดประเด็นที่ต้องพิจารณาไว้หลายข้อ:
| ประเด็น | ต้องพิจารณาอะไร |
|---|---|
| Legal restrictions | บางอุตสาหกรรมที่ถูกกำกับมีข้อกำหนดว่า audit activities ส่วนไหนที่จ้างภายนอกได้หรือไม่ในแต่ละเขตอำนาจ |
| Independence & objectivity | external expert ต้องไม่มีความสัมพันธ์กับ auditee ที่จะกระทบ objectivity |
| Professional competence | qualifications และ experience ต้องมีความสามารถจริงในพื้นที่ที่จะตรวจ ไม่ใช่แค่ auditor ทั่วไป |
| Scope & approach | กำหนดขอบเขตงานที่จ้างภายนอกให้ชัด ไม่ใช่จ้าง “งาน audit” แบบเหมารวม |
| Communication & reporting | external provider ต้องรู้ว่าจะสื่อสารกลับมาในรูปแบบใด ถึงใคร |
| NDA (Non-disclosure agreements / สัญญาห้ามเปิดเผยข้อมูล) | external provider มีสิทธิ์เห็นข้อมูลที่อ่อนไหวขององค์กร ต้องมี NDA ครอบคลุมข้อมูลเหล่านั้นทั้งระหว่างและหลังจบงาน — ISACA ระบุ NDA เป็นหนึ่งใน consideration บังคับเมื่อจ้าง audit ภายนอก |
| Standards & guidelines | external provider ต้องปฏิบัติตาม ควรเป็น ISACA standards เดิมหรือเทียบเท่า |
| Monitoring process | IS auditor ต้องมีวิธีตรวจสอบคุณภาพของงานที่ external provider ส่งกลับมา ไม่ใช่ยอมรับโดยไม่ตรวจ |
| Work paper ownership | กำหนดให้ชัดว่า work papers ที่ external provider สร้างนั้นเป็นของใคร และต้องส่งมอบมาให้เมื่องานเสร็จ |
ที่สำคัญที่สุดคือ ต่อให้มอบหมายงานออกไป ultimate professional liability ก็ยังอยู่กับ IS auditor เดิม ไม่ใช่กับ external service provider ที่รับไป
แปลว่าถ้า external provider ทำงานผิดพลาด ออกรายงานที่ทำให้เข้าใจผิด หรือมองข้ามประเด็นสำคัญ IS auditor ที่ว่าจ้างเขามาก็ต้องเป็นคนรับผิดชอบต่อ audit committee กับ board ครับ ฉะนั้นการกำกับดูแลงานของ external provider จึงไม่ใช่เรื่องเลือกได้ มันคือหน้าที่ทางวิชาชีพเลย
มุมผู้บริหาร: ทำไม Board ต้องอนุมัติ Charter เอง?
บางองค์กรปล่อยให้ CIO หรือ management ระดับกลางเป็นคนกำหนดขอบเขตของ IS audit function
นั่นคือปัญหาเชิงโครงสร้างเลยครับ เพราะ IS audit function ที่ scope ถูกกำหนดโดยคนที่ถูกตรวจ ก็คือ audit ที่ออกแบบมาให้พลาดจุดที่อ่อนไหวที่สุด ระบบที่ management ไม่อยากให้ตรวจก็จะอยู่นอก scope พอดี แล้วไม่มีใครรู้ว่ามีปัญหาจนกว่ามันจะระเบิดออกมา
Board ที่กำกับดูแลองค์กรจริงๆ จะอนุมัติ Charter ของ IS audit function เอง เพราะนั่นคือเครื่องมือสำคัญที่ board ใช้ดูว่า management บริหาร IT risk ได้ดีรึเปล่า
ถ้า board ไม่รู้ว่า IS audit function มี Charter หรือเปล่า นั่นคือสัญญาณอันตรายของ corporate governance ครับ และเป็นสิ่งแรกๆ ที่ external auditor หรือ regulator จะถามเวลามาตรวจ
ขอสรุปสั้นๆ ให้ตัวเองจำได้
อ่านมาถึงตรงนี้ ขอจดไว้สามอย่างกันลืมครับ
อย่างแรก Charter คือราก ไม่ใช่คำบรรยายลักษณะงานธรรมดาๆ มันคือเอกสารที่กำหนดว่า IS audit มี authority แค่ไหน ขยายไป Audit Universe เท่าไหร่ ทุกขั้นตอนต่อมา (risk assessment, audit plan, engagement) ขึ้นกับ Charter ทั้งหมด ถ้า Charter ผิดที่ ทุกอย่างที่งอกออกมาก็ผิดที่ตาม
อย่างที่สอง Charter ต้อง board-approve ไม่ใช่ CIO หรือ management ที่ถูกตรวจ เพราะมันมี conflict of interest อยู่ในตัวเอง การอนุมัติของ board ก็คือการปกป้อง independence เชิงโครงสร้าง
อย่างที่สาม Independence เป็นเรื่อง structural ไม่ใช่ attitude IS audit ต้องรายงานต่อ audit committee หรือ board ไม่ใช่ CIO เพราะสายการรายงานเชิงโครงสร้างคือสิ่งที่บังคับใช้ independence ในระยะยาวจริงๆ ความตั้งใจอย่างเดียวไม่พอ
ตอนนี้เห็นภาพรวมของ IS audit function แล้ว ทั้ง Charter ที่ board อนุมัติให้อำนาจ, independence ที่กันไม่ให้ถูก management กดดัน, resource management ที่ดูแลทักษะของทีม รวมถึงวิธีจ้างผู้เชี่ยวชาญภายนอกอย่างถูกต้อง
ทั้งหมดนี้คือ โครงสร้างพื้นฐาน ที่ทำให้ IS audit function อยู่ได้ในองค์กร ก่อนจะเริ่มลงมือตรวจอะไร
อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.1 IS Audit Standards, Guidelines and Codes of Ethics
