กลุ่ม A — ตรวจตามขอบเขตและวัตถุประสงค์ทั่วไป (5 ประเภท)#

กลุ่ม B — รวมศาสตร์เข้าด้วยกัน (1 ประเภท)#

กลุ่ม C — ตรวจในมุมเฉพาะของระบบสารสนเทศ (1 ประเภท)#

กลุ่ม D — ตรวจ third-party (2 ประเภท)#

กลุ่ม E — สำหรับคดีและการสืบสวน (2 ประเภท)#

IS Audit vs. Compliance vs. Operational: ความต่างของ Scope#

ทั้งสามมี scope ที่ต่างกันอย่างชัดเจน:

IS Audit = คำถามที่กว้างที่สุด — “ระบบ IT ขององค์กรนี้รับใช้องค์กรได้ดีมั้ยในทุกมิติ?” ครอบคลุมทั้งการปกป้องทรัพย์สิน ความถูกต้องของข้อมูล ความพร้อมใช้งาน ประสิทธิผลในการบรรลุเป้าหมาย และประสิทธิภาพในการใช้ทรัพยากร

Compliance Audit = คำถามที่แคบลงและเฉพาะเจาะจง — “องค์กรปฏิบัติตามกฎเกณฑ์ X ที่กำหนดมั้ย?” ไม่สนใจว่าระบบ IT ดีแค่ไหนโดยรวม สนใจเฉพาะข้อกำหนดที่ระบุ

ตัวอย่าง: ธนาคารแห่งประเทศไทยส่งผู้ตรวจมาดูว่าธนาคารปฏิบัติตามหนังสือเวียนเรื่อง IT security ล่าสุดหรือเปล่า → นั่นคือ Compliance Audit ของกฎเฉพาะชุดนั้น

Operational Audit = อยู่ตรงกลาง — เน้นโครงสร้าง internal control ของ process หรือพื้นที่ใดพื้นที่หนึ่ง ไม่ใช่ทั้งองค์กร แต่ก็ไม่ได้ผูกกับกฎเกณฑ์เฉพาะ

เช่น “ตรวจสภาพแวดล้อม control ของกระบวนการจัดซื้อ” หรือ “ตรวจ logical security ของระบบ payroll”

หลักจำสำหรับ exam:

• “กฎเกณฑ์เฉพาะ” / “มาตรฐานเฉพาะ” → Compliance Audit
• “กระบวนการเฉพาะ” / “ฟังก์ชันเฉพาะ” → Operational Audit
• “สภาพแวดล้อม IT โดยรวม” / “information security” แบบกว้าง → IS Audit

Forensic vs. IS Forensic: ห่วงโซ่หลักฐานที่ต่างกัน#

คู่ที่ถูกสับสนมากที่สุด เพราะชื่อคล้ายกัน

Forensic Audit = สอบสวนการทุจริต/อาชญากรรมโดยทั่วไป จุดประสงค์คือพัฒนาหลักฐานที่ใช้ในการบังคับใช้กฎหมาย/กระบวนการตุลาการ — อาจเกี่ยวข้องกับบันทึกทางการเงิน ทรัพย์สินที่จับต้องได้ คำให้การพยาน ไม่จำกัดแค่ระบบดิจิทัล

Forensic auditor ต้องเข้าใจข้อกำหนดทางกฎหมายเรื่องการเก็บหลักฐาน เพื่อให้หลักฐานใช้ในชั้นศาลได้ การทำให้ chain of custody ขาดแม้ครั้งเดียวอาจทำให้หลักฐานทั้งหมดถูกตัดออก

IS Forensic Audit = เน้นเฉพาะ หลักฐานดิจิทัล — IS forensic specialist ทำการสืบสวนในระบบดิจิทัล เพื่อสร้างความเห็นของผู้เชี่ยวชาญสำหรับศาล/หน่วยงานทางปกครอง

ตัวอย่างชัด:

• บริษัทสงสัย CFO ปลอมแปลงบันทึกทางการเงินผ่านระบบ ERP → IS Forensic Audit (หลักฐานหลักอยู่ในดิจิทัล)
• สงสัยผู้จัดการฝ่ายจัดซื้อยักยอกเงินค่าเช่าออฟฟิศโดยสร้างผู้ขายปลอม → Forensic Audit (หลักฐานอาจเป็นสัญญากระดาษ บัญชีธนาคาร)

Integrated Audit: รวมศาสตร์ในยุคที่ธุรกิจวิ่งบน IT#

Integrated Audit น่าสนใจในยุคปัจจุบัน เพราะธุรกิจพึ่งพา IT มากขึ้นเรื่อยๆ

เมื่อก่อน financial auditor ตรวจงบการเงิน และ IT auditor ตรวจระบบ IT แยกกัน ปัญหาคือ — ธุรกรรมการเงินทั้งหมดเกิดในระบบ IT ถ้าตรวจแยกกัน ภาพไม่ครบ

Integrated Audit รวมทั้งสองเข้าด้วยกัน — ทีมมีทั้งผู้เชี่ยวชาญด้านการเงินและ IT ทำงานร่วมกัน ผลิตรายงานฉบับเดียวที่ครอบคลุมทั้งสองด้าน

6 ขั้นตอนของ Integrated Audit Process:

1. สร้างคำอธิบายของพื้นที่ key และเตรียมการ
2. ระบุ key controls ที่เกี่ยวข้อง
3. ทบทวนและทำความเข้าใจการออกแบบของ key controls
4. ทดสอบการรองรับของ IT system สำหรับ key controls
5. ทดสอบประสิทธิผลในการดำเนินงานของ management controls
6. สร้างรายงาน/ความเห็นรวมเกี่ยวกับ control risk การออกแบบ และจุดอ่อน

ใน Integrated Audit: IS auditor ต้องขยายขอบเขตออกไปครอบคลุม financial/operational ด้วย ขณะที่ financial auditor ต้องเข้าใจโครงสร้าง IT control พอที่จะเห็นว่า IT systems ส่งผลต่อรายงานการเงินอย่างไร

ประโยชน์: องค์กรถูกรบกวนน้อยกว่า, รายงานครบกว่า, ค่าใช้จ่ายอาจถูกกว่า

IS Auditor ใน CSA = Facilitator ไม่ใช่ผู้ตรวจ#

นี่คือจุดที่ข้อสอบ CISA ชอบถาม

ใน CSA process บทบาทของ IS auditor เปลี่ยนจาก “คนที่มาตรวจ” เป็น “คนที่ช่วยให้เจ้าของกระบวนการตรวจตัวเองได้ดีขึ้น”

IS auditor ทำหน้าที่:

• ช่วยเจ้าของกระบวนการนิยาม controls ที่เหมาะสม + ประเมินว่าเพียงพอไหม
• อธิบาย risk ที่กระบวนการทางธุรกิจเผชิญอยู่
• นำ workshop ที่ management และ IS auditor ร่วมพิจารณาวิธีพัฒนา control
• สร้างบรรยากาศที่เอื้อ ให้ผู้เข้าร่วมแชร์ข้อมูลได้สบายใจ

ใน CSA workshop: IS auditor = facilitator / management = ผู้เข้าร่วมที่เป็นเจ้าของการตัดสินใจ

เป้าหมายหลักของ CSA (กับดักข้อสอบ)#

คำถาม “what is the KEY benefit of CSA?” เกือบทุกครั้งจะมีตัวเลือกที่ถูก = management ownership of internal controls is reinforced

ไม่ใช่ “ลดค่าใช้จ่าย audit” (บางครั้งได้ บางครั้งไม่ได้) ไม่ใช่ “ตรวจจับการทุจริตได้ดีขึ้น” (เป็นประโยชน์รอง) ไม่ใช่ “ให้ auditor ขยับไปทำหน้าที่ที่ปรึกษา” (เป็นผลพลอยได้)

วัตถุประสงค์หลัก = ย้ายบางส่วนของ control monitoring ไปยังหน่วยงาน functional + ทำให้ management ตระหนักว่าตัวเองรับผิดชอบ internal controls

ช่องทางที่ CSA ใช้#

• แบบสอบถาม / survey — ถามเป็นแบบฟอร์มให้เจ้าของกระบวนการประเมิน
• Facilitated workshops — มีคน facilitate การพูดคุย
• Peer review แบบไม่เป็นทางการ — ทีมงานตรวจสอบกันเอง

ข้อจำกัดของ CSA#

CSA ไม่ได้สมบูรณ์แบบ:

1. CSA ไม่แทนที่ formal IS audit — ทำงานเสริมกัน ถ้า management มองว่า “มี CSA แล้วไม่ต้องมี formal” = อันตราย เพราะ CSA ขาด independence ที่ formal audit ต้องการ
2. ถ้าออกแบบไม่ดี → กลายเป็นภาระเพิ่มโดยไม่ได้คุณค่า
3. ถ้า management ฟังผลแล้วไม่ลงมือทำ → พนักงานถอนตัวในรอบถัดไป