878 คำ
4 นาที
CISA Series ตอนที่ 02 : D1 - Internal Audit Function: Charter ที่เป็นรากของ Audit Universe
2026-05-04
บันทึกส่วนตัว
เรื่องที่เรียน เรื่องที่อ่าน
IT
/
Auditor
สารบัญ
ก่อนไปต่อ — IS audit function คืออะไร? Audit Charter (กฎบัตรการตรวจสอบ) — เอกสารที่ให้อำนาจ IS audit function ทำไม Charter ถึงเป็น “ราก” ของ Audit Universe Charter vs. Engagement Letter: ต่างกันยังไง? Independence ของ IS Audit Function — ห้ามต่อรอง จัดการ IS Audit Function ให้ทำงานได้จริง Resource Management — ทักษะและเครื่องมือ การใช้บริการ Auditor ภายนอกและผู้เชี่ยวชาญ มุมผู้บริหาร: ทำไม Board ต้องอนุมัติ Charter เอง? ขอสรุปสั้นๆ ให้ตัวเองจำได้

ตอนที่แล้วคุยเรื่องกฎที่กำกับ IS auditor — Standards, Guidelines, Tools และ Code of Ethics ตอนนี้ขยับมาคำถามที่อยู่ก่อนหน้านั้นอีกขั้นครับ

ก่อนที่ auditor คนใดจะออกไปตรวจอะไรได้สักอย่าง ต้องตอบคำถามพื้นฐานก่อน — ใครให้อำนาจคุณตรวจ?

ลองสมมติว่าคุณจ้างคนมาเฝ้าบ้าน แต่ไม่ได้บอกเขาชัดเจนว่าเขามีสิทธิ์ตรวจอะไรบ้าง ไม่ได้บอกว่ารายงานให้ใคร ไม่ได้บอกว่าถ้าเจอปัญหาต้องทำอะไร ไม่ได้บอกว่าเขาสามารถตรวจห้องเก็บของชั้นสองได้มั้ย

ผลคือยาม “ทำงาน” แต่ไม่มีใครรู้ว่าเขาทำอะไรจริงๆ management ก็ไม่รู้ว่าต้องฟังเขาหรือเปล่า เวลาเขาเจอปัญหาก็ไม่มีช่องทางที่ชัดเจนว่าควรส่งต่อให้ใคร

IS audit function ที่ไม่มี Audit Charter ก็ทำงานในสภาพแบบนั้นครับ — แต่ผลกระทบใหญ่กว่ามาก เพราะ Charter ไม่ใช่แค่คำบรรยายลักษณะงาน มันคือ ราก ที่ทุกอย่างใน Domain 1 งอกออกมา

ก่อนไปต่อ — IS audit function คืออะไร?#

ก่อนพูดถึง Charter ขอเคลียร์คำที่จะใช้ตลอดบทนี้ก่อนครับ

IS audit function ไม่ใช่ตัวบุคคล (auditor คนเดียว) ไม่ใช่งานครั้งเดียว (audit project) — แต่เป็น หน่วยงาน/ทีมที่ทำหน้าที่ตรวจสอบระบบสารสนเทศ (IS) ขององค์กรอย่างต่อเนื่อง

นึกถึงเปรียบเทียบกับโลกบัญชี: บริษัทใหญ่ๆ มี “ฝ่ายตรวจสอบภายใน” (internal audit department) ที่ตรวจเรื่องการเงิน operations และ compliance อยู่ตลอด — IS audit function ก็คือแบบเดียวกัน แต่ขอบเขตคือ ระบบ IT ทั้งหมดขององค์กร ใครเข้าถึงอะไรได้ ระบบ backup ดีไหม security ครบไหม vendor ที่จ้างมาเชื่อถือได้แค่ไหน

มี 3 รูปแบบหลักที่เจอในชีวิตจริง:

  • Internal IS audit — ทีมพนักงานในองค์กรเอง รายงานต่อ audit committee/board มักเจอในบริษัทใหญ่ที่มี internal audit department อยู่แล้ว
  • External IS audit — จ้างบริษัท audit firm ภายนอก (Big 4 หรือบริษัทเฉพาะทาง) เข้ามาตรวจเป็นรอบ
  • Hybrid — มีทีมภายในขนาดเล็กดูเรื่องประจำ + จ้าง external มาเสริมเฉพาะเรื่องที่ต้องการความเชี่ยวชาญพิเศษ

ทุกแบบมีจุดร่วมเดียวกัน: ต้องมี Charter ที่ board อนุมัติ ก่อนจะทำงานได้ — ซึ่งคือเรื่องที่จะคุยกันต่อ

Audit Charter (กฎบัตรการตรวจสอบ) — เอกสารที่ให้อำนาจ IS audit function#

Audit Charter คือเอกสารที่กำหนด responsibility, authority และ accountability ของ IS audit function อย่างเป็นทางการ

ไม่ใช่แค่คำบรรยายลักษณะงานของ IS auditor — แต่เป็นการทำให้เป็นทางการว่า IS audit function มี mandate อยู่ในองค์กรนี้จริง มีขอบเขตที่ board อนุมัติ และมีช่องทางรายงานที่ชัดเจน

ใครต้องอนุมัติ Charter? ระดับสูงสุดขององค์กร — board of directors และ audit committee (ถ้ามี) คือคนที่ต้องเซ็น ไม่ใช่แค่ CIO หรือ management ที่ถูก audit อยู่

ทำไมถึงต้องเป็น board? เพราะถ้า management ที่ถูกตรวจเป็นคนกำหนดขอบเขตการตรวจ — นั่นคือ conflict of interest โดยตัวของมันเอง บริษัทที่ปล่อยให้ CIO หรือ management ระดับกลางเป็นคนกำหนดขอบเขตของ IS audit function = audit ที่ออกแบบมาให้พลาดจุดที่อ่อนไหวที่สุด

Charter ต้องระบุอะไรบ้าง?

  • Functional reporting relationship — IS audit รายงานต่อใคร (โดยปกติคือ audit committee หรือ board ไม่ใช่ CIO)
  • Authority — อำนาจทำอะไรได้บ้าง เข้าถึงข้อมูลใดได้บ้าง สอบถามใครได้บ้าง
  • Responsibility — รับผิดชอบอะไร ครอบคลุมพื้นที่ใด
  • Scope of IS audit activities — ทั้งหมดในองค์กร ไม่ใช่แค่บางส่วน
  • บทบาทด้าน consulting services ที่ IS audit อาจทำเพิ่มเติมจาก assurance

เมื่อ Charter ถูกจัดทำขึ้นแล้ว ต้องเปลี่ยนแปลงได้ก็ต่อเมื่อมีเหตุผลที่หนักแน่นเพียงพอ ไม่ใช่เปลี่ยนตามใจ management ทุกครั้งที่ต้องการลดขอบเขตการตรวจ

ทำไม Charter ถึงเป็น “ราก” ของ Audit Universe#

นี่คือจุดที่ Charter เปลี่ยนจาก “เอกสารทางการ” เป็น “จุดตั้งต้นของทุกอย่าง” ครับ

Audit Universe คือรายการของทุกพื้นที่ในองค์กรที่ IS audit function “มีสิทธิ์” จะเข้าไปตรวจ — ทุกระบบ ทุก process ทุกหน่วยงาน ทุก vendor ที่อยู่ในขอบเขตของ audit (เดี๋ยวมีบทแยกอธิบาย Audit Universe + วิธีใช้มันวางแผนตรวจ ในตอนถัดๆ ไป — ตอนนี้รู้แค่ว่ามันคือ “ขอบเขตที่จะตรวจ” ก็พอ)

แต่คำว่า “มีสิทธิ์” มาจากไหน? — มาจาก Charter ครับ

ถ้า Charter ระบุว่า IS audit ครอบคลุมทุก IT system ในองค์กร → Audit Universe = ทุก IT system

ถ้า Charter ระบุว่า IS audit ครอบคลุมเฉพาะระบบการเงินที่สำคัญที่สุด → Audit Universe = แค่ระบบเหล่านั้น ระบบ HR หรือ marketing ตกออกจาก scope ทันที

ถ้าไม่มี Charter เลย → ไม่มี Audit Universe เพราะไม่มีใครมีอำนาจมาตรวจอะไร

นี่คือเหตุผลที่ใน CRM ของ ISACA และในข้อสอบ CISA — Charter ถูกพูดถึงก่อน risk-based planning เสมอ เพราะลำดับเชิงตรรกะเป็นแบบนี้:

Board approves Charter
    
Charter defines IS audit scope/authority
    
IS audit identifies Audit Universe (ทุกพื้นที่ในขอบเขต)
    
Risk assessment ranks Audit Universe (พื้นที่ไหน risky สุด)
    
Annual audit plan (ตรวจอันไหนก่อน)
    
Individual engagement plans (ตรวจยังไง)

ทุกขั้นตอนต่อมาขึ้นอยู่กับ Charter ทั้งหมด ดังนั้นถ้า Charter ผิดที่ — เช่น Audit Universe เล็กเกินไปเพราะ management ล็อบบี้เพื่อตัดบางส่วนออก — risk-based planning จะ “ตรวจอย่างถูกต้อง” ในขอบเขตที่ผิด ระบบที่อ่อนไหวที่สุดอาจอยู่นอก Universe ตั้งแต่ต้น และไม่มีใครเข้าไปตรวจได้เลย

ตรงนี้คือเหตุผลที่ ISACA Standards ระบุว่า Charter ต้อง board-approved — เพื่อปกป้องความสมบูรณ์ของ Audit Universe ทั้งหมด

Charter vs. Engagement Letter: ต่างกันยังไง?#

สองเอกสารนี้ถูกสับสนกันบ่อยครับ เพราะทั้งคู่เกี่ยวกับ IS audit แต่ทำหน้าที่คนละอย่าง

Audit Charter คือเอกสารแม่บท — ครอบคลุม scope ของ audit activities ทั้งหมดในองค์กร มีอายุยาวนาน เปลี่ยนได้น้อย board เป็นคนอนุมัติ

Engagement Letter คือเอกสารเฉพาะสำหรับ audit หรือ review งานใดงานหนึ่ง — ระบุเงื่อนไขของการทำงานครั้งนี้โดยเฉพาะ สำหรับ external audit จะลงรายละเอียดการทำงานระหว่างองค์กรผู้ว่าจ้างกับ service provider

วิธีที่จำง่ายที่สุด: Charter = สัญญาจ้างงาน IS audit function (ใช้ทั้งชีวิต), Engagement Letter = ใบสั่งซื้อของแต่ละงาน (ออกเป็นครั้งๆ)

Independence ของ IS Audit Function — ห้ามต่อรอง#

ประเด็นที่ ISACA เน้นอย่างชัดเจน: IS audit function ต้องเป็นอิสระจากพื้นที่ที่กำลังตรวจอยู่

ถ้าเป็น internal IS audit ต้องรายงานต่อ audit committee (ถ้ามี) หรือผู้บริหารระดับสูงสุด (board of directors) — ไม่ใช่รายงานต่อ CIO ที่รับผิดชอบระบบที่ถูกตรวจ

ทำไม? เพราะถ้า IS auditor รายงานต่อคนที่ดูแลสิ่งที่กำลังตรวจ — auditor จะรู้สึก (หรือถูกจูงใจ) ให้ออก finding ที่เอื้อประโยชน์เพื่อรักษาความสัมพันธ์กับ “เจ้านาย” ไม่ใช่รายงานความจริง

independence ในความหมายของ ISACA = structural separation ระหว่าง IS audit function กับสิ่งที่ถูกตรวจ ไม่ใช่แค่ “ตั้งใจให้เป็นกลาง” — ต้องมีโครงสร้างในองค์กรที่บังคับให้เป็นกลาง

นี่คือเหตุผลที่ Charter ต้องระบุสายการรายงานให้ชัด เพราะสายการรายงานคือกลไกเชิงโครงสร้างที่บังคับใช้ independence

จัดการ IS Audit Function ให้ทำงานได้จริง#

นอกเหนือจาก Charter และ independence — การบริหาร IS audit function ยังต้องครอบคลุมอีกสองเรื่องหลัก

Resource Management — ทักษะและเครื่องมือ#

IS technology เปลี่ยนตลอด IS auditor ต้องอัพเดททักษะให้ทันกับเทคโนโลยีใหม่ที่ต้อง audit ซึ่งหมายความว่า:

  • มี แผนฝึกอบรมพนักงานรายปี ที่สอดคล้องกับทิศทางเทคโนโลยีขององค์กร
  • ทบทวนแผนฝึกอบรมเป็นระยะ เพื่อให้มั่นใจว่าการฝึกอบรมได้ผลจริง
  • IS audit management จัดหา IT resources ที่เหมาะสม (tools, methodology, work programs)

ทักษะที่ auditor มีต้องถูกนำมาพิจารณาเมื่อมอบหมายงาน — ไม่ใช่ส่งคนที่รู้เรื่อง financial audit ไปตรวจ cloud security เพราะนั่นจะละเมิด Code of Ethics หลักการที่ 5 (maintain competency) ทันที

การใช้บริการ Auditor ภายนอกและผู้เชี่ยวชาญ#

บางครั้ง IS audit department ต้องการผู้เชี่ยวชาญจากภายนอก — เช่น ผู้เชี่ยวชาญด้าน digital forensics, networking ซับซ้อน, หรืออุตสาหกรรมเฉพาะ (banking, insurance, legal)

เมื่อจ้างภายนอกในส่วนหนึ่งของ IS audit ไปยัง external provider ISACA กำหนดประเด็นที่ต้องพิจารณาหลายข้อ:

  • Legal restrictions — บางอุตสาหกรรมที่ถูกกำกับมีข้อกำหนดว่า audit activities ส่วนไหนที่จ้างภายนอกได้หรือไม่ในแต่ละเขตอำนาจ
  • Independence และ objectivity ของ external expert — ต้องไม่มีความสัมพันธ์กับ auditee ที่จะกระทบ objectivity
  • Professional competence, qualifications และ experience — ต้องมีความสามารถจริงในพื้นที่ที่จะตรวจ ไม่ใช่แค่ auditor ทั่วไป
  • Scope และ approach ของงานที่จะจ้างภายนอก — ต้องกำหนดขอบเขตชัดเจน ไม่ใช่จ้าง “งาน audit” แบบเหมารวม
  • Communication และ reporting — external provider ต้องรู้ว่าจะสื่อสารกลับมาในรูปแบบใด ถึงใคร
  • Non-disclosure agreements — external provider มีสิทธิ์เห็นข้อมูลที่อ่อนไหวขององค์กร ต้องมี NDA ครอบคลุมข้อมูลเหล่านั้น
  • Standards และ guidelines ที่ external provider ต้องปฏิบัติตาม — ควรเป็น ISACA standards เดิมหรือเทียบเท่า
  • Monitoring process — IS auditor ต้องมีวิธีตรวจสอบคุณภาพของงานที่ external provider ส่งกลับมา ไม่ใช่ยอมรับโดยไม่ตรวจ
  • Work paper ownership — กำหนดให้ชัดว่า work papers ที่ external provider สร้างนั้นเป็นของใคร และต้องส่งมอบมาให้เมื่องานเสร็จ

และสิ่งที่สำคัญที่สุด: แม้จะมอบหมายงานออกไป ultimate professional liability ยังคงอยู่กับ IS auditor เดิม — ไม่ใช่กับ external service provider ที่รับไป

นั่นหมายความว่า ถ้า external provider ทำงานผิดพลาด ออกรายงานที่ทำให้เข้าใจผิด หรือมองข้ามประเด็นสำคัญ — IS auditor ที่ว่าจ้างเขามานั้นต้องรับผิดชอบต่อ audit committee และ board ครับ ดังนั้นการกำกับดูแลงานของ external provider ไม่ใช่เรื่องเลือกได้ มันเป็นหน้าที่ทางวิชาชีพ

มุมผู้บริหาร: ทำไม Board ต้องอนุมัติ Charter เอง?#

บางองค์กรปล่อยให้ CIO หรือ management ระดับกลางเป็นคนกำหนดขอบเขตของ IS audit function

นั่นคือปัญหาเชิงโครงสร้างครับ เพราะ IS audit function ที่ scope ถูกกำหนดโดยคนที่ถูกตรวจ = audit ที่ออกแบบมาให้พลาดจุดที่อ่อนไหวที่สุด ระบบที่ management ไม่อยากให้ตรวจ ก็จะอยู่นอก scope พอดี — และไม่มีใครรู้ว่ามีปัญหาจนกว่าจะระเบิดออกมา

Board ที่รับผิดชอบกำกับดูแลองค์กรจริงๆ จะอนุมัติ Charter ของ IS audit function เอง เพราะนั่นคือเครื่องมือสำคัญที่ board ใช้ดูแลว่า management บริหาร IT risk ได้ดีหรือเปล่า

ถ้า board ไม่รู้ว่า IS audit function มี Charter หรือเปล่า — นั่นเป็นสัญญาณอันตรายของ corporate governance ครับ และเป็นสิ่งแรกที่ external auditor หรือ regulator จะถามเมื่อมาตรวจ

ขอสรุปสั้นๆ ให้ตัวเองจำได้#

อ่านมาถึงตรงนี้ ขอจดไว้สามอย่างกันลืมครับ

อย่างแรก: Charter คือราก — ไม่ใช่คำบรรยายลักษณะงานธรรมดา มันคือเอกสารที่กำหนดว่า IS audit มี authority แค่ไหน ขยายไป Audit Universe เท่าไหร่ ทุกขั้นตอนต่อมา (risk assessment, audit plan, engagement) ขึ้นอยู่กับ Charter ทั้งหมด ถ้า Charter ผิดที่ ทุกอย่างก็ผิดที่ตาม

อย่างที่สอง: Charter ต้อง board-approve — ไม่ใช่ CIO หรือ management ที่ถูกตรวจ เพราะ conflict of interest ในตัวมันเอง การอนุมัติของ board = การปกป้อง independence เชิงโครงสร้าง

อย่างที่สาม: Independence = structural ไม่ใช่ attitude — IS audit ต้องรายงานต่อ audit committee หรือ board ไม่ใช่ CIO เพราะสายการรายงานเชิงโครงสร้างคือสิ่งที่บังคับใช้ independence ในระยะยาว ความตั้งใจอย่างเดียวไม่พอ

ตอนนี้เห็นภาพรวมของ IS audit function แล้ว — Charter ที่ board อนุมัติให้อำนาจ, independence ที่ป้องกันไม่ให้ถูก management กดดัน, resource management ที่ดูแลทักษะของทีม, รวมถึงวิธีจ้างผู้เชี่ยวชาญภายนอกอย่างถูกต้อง

ทั้งหมดนี้คือ โครงสร้างพื้นฐาน ที่ทำให้ IS audit function ดำรงอยู่ในองค์กรได้ — ก่อนจะเริ่มลงมือตรวจอะไร

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.1 IS Audit Standards, Guidelines and Codes of Ethics

Ciel
ghostwritten by Ciel
JustNotOrdinary's Chief-of-Staff →
CISA Series ตอนที่ 01 : D1 - Rule Book ของวิชาชีพ — ITAF, Standards, Guidelines, Tools และ Code of Ethics
CISA Series ตอนที่ 03 : D1 - IS Audit ตั้งแต่เริ่ม...จนจบ
© 2026 Just Not Ordinary. All Rights Reserved. / Sitemap