753 คำ
4 นาที
CISA Series ตอนที่ 04 : D1 - 11 ประเภท Audit + เมื่อ Auditor กลายเป็น Facilitator
2026-05-04
บันทึกส่วนตัว
เรื่องที่เรียน เรื่องที่อ่าน
IT
/
Auditor
สารบัญ
ก่อนไล่ประเภท — มุมมองที่ ISACA ใช้แบ่งคืออะไร? วิธีจัดประเภทของ ISACA: 3 แกนความคิด Formal Audits vs. Assessments/Reviews — ระดับความเข้มข้นที่ต่างกัน 11 ประเภท: Palette ของ IS Auditor กลุ่ม A — ตรวจตามขอบเขตและวัตถุประสงค์ทั่วไป (5 ประเภท) กลุ่ม B — รวมศาสตร์เข้าด้วยกัน (1 ประเภท) กลุ่ม C — ตรวจในมุมเฉพาะของระบบสารสนเทศ (1 ประเภท) กลุ่ม D — ตรวจ third-party (2 ประเภท) กลุ่ม E — สำหรับคดีและการสืบสวน (2 ประเภท) 3 ประเภทที่ CISA ออกข้อสอบบ่อย IS Audit vs. Compliance vs. Operational: ความต่างของ Scope Forensic vs. IS Forensic: ห่วงโซ่หลักฐานที่ต่างกัน Integrated Audit: รวมศาสตร์ในยุคที่ธุรกิจวิ่งบน IT CSA: เมื่อ Management ตรวจตัวเอง — Auditor เปลี่ยนบทบาท IS Auditor ใน CSA = Facilitator ไม่ใช่ผู้ตรวจ เป้าหมายหลักของ CSA (กับดักข้อสอบ) ช่องทางที่ CSA ใช้ ข้อจำกัดของ CSA Trap Pattern: CSA = Independence ทำงานต่างจาก Formal Audit เลือกประเภท Audit ให้ตรงกับความต้องการ

ใน ตอน 03 ที่เราเล่า flow ของ IS audit ตั้งแต่ Charter ถึง Report ผมแย้มไว้จุดหนึ่งว่า “เลือกประเภท audit ที่เหมาะ” แล้วก็ข้ามไปเฉยๆ

ตอนนี้ขอกลับมาขยายตรงนั้น แต่ก่อนจะไล่รายชื่อ 11 ประเภทให้ฟัง อยากให้เข้าใจก่อนว่า ISACA แบ่ง audit ในมุมไหน เพราะถ้าไล่รายชื่อโดยไม่รู้กรอบคิดเบื้องหลัง ก็ท่องจำเปล่าๆ พอออกจากห้องสอบก็ลืม

ก่อนไล่ประเภท — มุมมองที่ ISACA ใช้แบ่งคืออะไร?#

ลองนึกย้อนไป มุมของ business owner ใน ตอน 03 ส่วนที่ 1

ทุกธุรกิจที่โตขึ้นจะเจอคำถามทำนองเดียวกัน แต่ คำถามนั้นไม่ได้เป็นคำถามเดียว มันมีหลายคำถามที่ถามคนละมุมกัน ขึ้นอยู่กับว่า stakeholder ไหนเป็นคนถาม ในจังหวะไหน:

  • ผู้ถือหุ้นถาม: “งบการเงินเชื่อถือได้มั้ย?
  • ลูกค้าถาม: “ข้อมูลที่ฝากปลอดภัยมั้ย?
  • regulator ถาม: “ปฏิบัติตามกฎที่ออกใหม่หรือยัง?
  • board ถาม: “ระบบ IT โดยรวมแข็งแรงพอมั้ย?
  • ตำรวจถาม (เมื่อสงสัยทุจริต): “หลักฐานในระบบบ่งชี้ว่าใครทำ?

แต่ละคำถามต้องการ วิธีตรวจคนละแบบ เพราะวัตถุประสงค์ต่าง ขอบเขตต่าง ความเข้มงวดของหลักฐานต่าง ผู้รับรายงานต่าง

นี่แหละคือต้นกำเนิดของ “ประเภท audit หลายแบบ” ไม่ใช่ ISACA แต่งขึ้นมาให้ท่องจำ แต่เกิดจาก stakeholder ในโลกจริงที่ถามคำถามต่างกัน

วิธีจัดประเภทของ ISACA: 3 แกนความคิด#

ลองดู 11 ประเภทแล้วถามตัวเองว่า “ทำไมแยกแบบนี้?” จะเห็นว่ามีอย่างน้อย 3 แกนที่ ISACA ใช้พิจารณา:

แกน 1 ขอบเขต (Scope): ตรวจกว้างทั้งระบบ หรือตรวจเฉพาะเรื่อง?

  • กว้างทั้ง IT environment → IS Audit
  • เฉพาะกฎเกณฑ์เดียว → Compliance Audit
  • เฉพาะ process → Operational Audit

แกน 2 วัตถุประสงค์ (Purpose): ตรวจเพื่อยืนยัน เพื่อสำรวจ หรือหาหลักฐานคดี?

  • ยืนยันว่างบการเงินถูก → Financial Audit
  • สำรวจประสิทธิภาพ → Administrative Audit
  • หาหลักฐานคดี → Forensic / IS Forensic Audit

แกน 3 ผู้ถูกตรวจ (Subject): ตรวจองค์กรเอง หรือตรวจ vendor ที่บริษัทใช้?

  • ตรวจระบบของบริษัท → IS Audit
  • ตรวจ third-party service provider → Third-Party Service Audit / Service Audit

ทุก audit ใน 11 ประเภทตอบ 3 แกนนี้ในรูปแบบที่ต่างกัน เข้าใจ 3 แกนแล้ว จำ 11 ประเภทได้แบบมีบริบท ไม่ใช่ท่องเปล่าๆ

Formal Audits vs. Assessments/Reviews — ระดับความเข้มข้นที่ต่างกัน#

นอกจาก 3 แกน ยังมีมิติอีกอันที่ต้องรู้ก่อนเข้ารายชื่อ นั่นคือ ระดับความเข้มข้น

Formal Audits ให้ระดับ assurance ที่สูงกว่า เพราะ:

  • มีระเบียบวิธีที่เป็นโครงสร้าง
  • มีหลักฐานที่จัดเก็บเป็นระบบ
  • มีมาตรฐานวิชาชีพกำกับทุกขั้นตอน
  • ออกเป็น formal audit opinion ที่รับผิดชอบได้

Assessments / Reviews เป็นทางการน้อยกว่า:

  • ใช้ทีมภายในหรือภายนอกก็ได้
  • ตรวจว่าแนวปฏิบัติถูกทำตามรึเปล่า
  • ความเข้มงวดและ assurance ต่ำกว่า formal audit

ทั้ง 11 ประเภทที่จะคุยกันต่อจากนี้เป็น formal audit ทั้งหมด ส่วน assessment/review เป็นเครื่องมือเสริมที่อาจใช้ระหว่างรอ formal audit ครั้งถัดไป

11 ประเภท: Palette ของ IS Auditor#

จัดกลุ่มตามแกนความคิดข้างบน:

กลุ่ม A — ตรวจตามขอบเขตและวัตถุประสงค์ทั่วไป (5 ประเภท)#

ประเภทคำถามหลักที่ตอบScope
IS Auditระบบสารสนเทศของเรารับใช้องค์กรได้ดีในทุกมิติมั้ย?กว้างทั้ง IT
Compliance Auditปฏิบัติตามกฎเกณฑ์/มาตรฐานเฉพาะข้อนี้มั้ย?แคบเฉพาะกฎ
Financial Auditงบการเงิน/รายงานถูกต้องตามมาตรฐานมั้ย?เฉพาะการเงิน
Operational Auditกระบวนการ/หน่วยงานเฉพาะนี้มี control พอมั้ย?กลาง — เฉพาะ process
Administrative Auditการดำเนินงานในองค์กรมีประสิทธิภาพมั้ย?กว้างเชิงปฏิบัติการ

กลุ่ม B — รวมศาสตร์เข้าด้วยกัน (1 ประเภท)#

ประเภทคำถามหลักที่ตอบScope
Integrated Auditงบการเงิน + IT controls ทำงานครบมั้ย?รวม Financial + IT

กลุ่ม C — ตรวจในมุมเฉพาะของระบบสารสนเทศ (1 ประเภท)#

ประเภทคำถามหลักที่ตอบScope
IS-Related Auditcontrols ของ input/processing/output/storage ของระบบนี้ทำงานมั้ย?เฉพาะ IS controls

กลุ่ม D — ตรวจ third-party (2 ประเภท)#

ประเภทคำถามหลักที่ตอบSubject
Third-Party Service Auditservice provider ทำตามสัญญา/SLA ที่ตกลงมั้ย?vendor
Service Auditservice organization ทำตาม documented standards ของตัวเองมั้ย?service org

กลุ่ม E — สำหรับคดีและการสืบสวน (2 ประเภท)#

ประเภทคำถามหลักที่ตอบPurpose
Forensic Auditมีหลักฐานยืนยันการทุจริต/อาชญากรรมมั้ย?สำหรับศาล/บังคับใช้กฎหมาย
IS Forensic Auditหลักฐานดิจิทัลในระบบบ่งชี้อะไรในคดี?สำหรับศาล + เน้นดิจิทัล

3 ประเภทที่ CISA ออกข้อสอบบ่อย#

ใน 11 ประเภท มี 3 กลุ่มที่ผู้สอบมักสับสน ขอเจาะลึกหน่อย

IS Audit vs. Compliance vs. Operational: ความต่างของ Scope#

ทั้งสามมี scope ที่ต่างกันอย่างชัดเจน

IS Audit คือคำถามที่กว้างที่สุด “ระบบ IT ขององค์กรนี้รับใช้องค์กรได้ดีมั้ยในทุกมิติ?” ครอบคลุมทั้งการปกป้องทรัพย์สิน ความถูกต้องของข้อมูล ความพร้อมใช้งาน ประสิทธิผลในการบรรลุเป้าหมาย และประสิทธิภาพในการใช้ทรัพยากร

Compliance Audit คือคำถามที่แคบลงและเฉพาะเจาะจง “องค์กรทำตามกฎเกณฑ์ X ที่กำหนดมั้ย?” ไม่สนใจว่าระบบ IT โดยรวมดีแค่ไหน สนใจเฉพาะข้อกำหนดที่ระบุ

ตัวอย่าง ธนาคารแห่งประเทศไทยส่งผู้ตรวจมาดูว่าธนาคารทำตามหนังสือเวียนเรื่อง IT security ล่าสุดรึเปล่า นั่นคือ Compliance Audit ของกฎเฉพาะชุดนั้น

Operational Audit อยู่ตรงกลาง เน้นโครงสร้าง internal control ของ process หรือพื้นที่ใดพื้นที่หนึ่ง ไม่ใช่ทั้งองค์กร แต่ก็ไม่ได้ผูกกับกฎเกณฑ์เฉพาะเช่นกัน

เช่น “ตรวจสภาพแวดล้อม control ของกระบวนการจัดซื้อ” หรือ “ตรวจ logical security ของระบบ payroll”

หลักจำสำหรับ exam:

  • “กฎเกณฑ์เฉพาะ” / “มาตรฐานเฉพาะ” → Compliance Audit
  • “กระบวนการเฉพาะ” / “ฟังก์ชันเฉพาะ” → Operational Audit
  • “สภาพแวดล้อม IT โดยรวม” / “information security” แบบกว้าง → IS Audit

Forensic vs. IS Forensic: ห่วงโซ่หลักฐานที่ต่างกัน#

คู่ที่คนสับสนมากที่สุด เพราะชื่อคล้ายกัน

Forensic Audit คือสอบสวนการทุจริต/อาชญากรรมโดยทั่วไป จุดประสงค์คือพัฒนาหลักฐานที่ใช้ในการบังคับใช้กฎหมาย/กระบวนการตุลาการ อาจเกี่ยวกับบันทึกทางการเงิน ทรัพย์สินที่จับต้องได้ คำให้การพยาน ไม่จำกัดแค่ระบบดิจิทัล

Forensic auditor ต้องเข้าใจข้อกำหนดทางกฎหมายเรื่องการเก็บหลักฐาน เพื่อให้หลักฐานใช้ในชั้นศาลได้ ถ้าทำให้ chain of custody ขาดแม้ครั้งเดียว หลักฐานทั้งหมดอาจถูกตัดออกได้เลย

IS Forensic Audit เน้นเฉพาะ หลักฐานดิจิทัล IS forensic specialist สืบสวนในระบบดิจิทัล เพื่อสร้างความเห็นของผู้เชี่ยวชาญสำหรับศาล/หน่วยงานทางปกครอง

ตัวอย่างชัดๆ:

  • บริษัทสงสัย CFO ปลอมแปลงบันทึกทางการเงินผ่านระบบ ERP → IS Forensic Audit (หลักฐานหลักอยู่ในดิจิทัล)
  • สงสัยผู้จัดการฝ่ายจัดซื้อยักยอกเงินค่าเช่าออฟฟิศโดยสร้างผู้ขายปลอม → Forensic Audit (หลักฐานอาจเป็นสัญญากระดาษ บัญชีธนาคาร)

Integrated Audit: รวมศาสตร์ในยุคที่ธุรกิจวิ่งบน IT#

Integrated Audit น่าสนใจในยุคนี้ เพราะธุรกิจพึ่งพา IT มากขึ้นเรื่อยๆ

เมื่อก่อน financial auditor ตรวจงบการเงิน และ IT auditor ตรวจระบบ IT แยกกัน ปัญหาคือธุรกรรมการเงินทั้งหมดเกิดในระบบ IT ถ้าตรวจแยกกัน ภาพมันไม่ครบ

Integrated Audit รวมสองอย่างนี้เข้าด้วยกัน ทีมมีทั้งผู้เชี่ยวชาญด้านการเงินและ IT ทำงานร่วมกัน ออกรายงานฉบับเดียวที่ครอบคลุมทั้งสองด้าน

6 ขั้นตอนของ Integrated Audit Process:

  1. สร้างคำอธิบายของพื้นที่ key และเตรียมการ
  2. ระบุ key controls ที่เกี่ยวข้อง
  3. ทบทวนและทำความเข้าใจการออกแบบของ key controls
  4. ทดสอบการรองรับของ IT system สำหรับ key controls
  5. ทดสอบประสิทธิผลในการดำเนินงานของ management controls
  6. สร้างรายงาน/ความเห็นรวมเกี่ยวกับ control risk การออกแบบ และจุดอ่อน

ใน Integrated Audit IS auditor ต้องขยายขอบเขตออกไปครอบคลุม financial/operational ด้วย ส่วน financial auditor ก็ต้องเข้าใจโครงสร้าง IT control พอที่จะเห็นว่า IT systems ส่งผลต่อรายงานการเงินยังไง

ประโยชน์คือ องค์กรถูกรบกวนน้อยกว่า รายงานครบกว่า ค่าใช้จ่ายอาจถูกกว่าด้วย

CSA: เมื่อ Management ตรวจตัวเอง — Auditor เปลี่ยนบทบาท#

นอกจาก 11 ประเภทดั้งเดิม ISACA ยังมีอีกแนวทางหนึ่งที่ เปลี่ยนบทบาทของ auditor อย่างชัดเจน นั่นคือ Control Self-Assessment (CSA)

Control Self-Assessment คือแนวทางที่ staff กับ management ของหน่วยงานที่กำลังถูกตรวจ ประเมิน internal controls ของตัวเอง ไม่ใช่รอให้ IS auditor มาตรวจ

ฟังดูขัดกับหลักการ audit ใช่มั้ยครับ? ในเมื่อ ตอน 02 เพิ่งคุยกันว่าความเป็นอิสระ (independence) สำคัญ แล้วจะให้คนตรวจตัวเองได้ยังไง?

คำตอบอยู่ที่วัตถุประสงค์ที่ต่างกัน CSA ไม่ได้มีเป้าหมายเพื่อออกความเห็น audit อย่างเป็นทางการ แต่เพื่อทำให้ management เข้าใจและรับผิดชอบ internal controls ของตัวเอง ก่อนที่ IS auditor จะมา

IS Auditor ใน CSA = Facilitator ไม่ใช่ผู้ตรวจ#

นี่แหละคือจุดที่ข้อสอบ CISA ชอบถาม

ใน CSA process บทบาทของ IS auditor เปลี่ยนจาก “คนที่มาตรวจ” → “คนที่ช่วยให้เจ้าของกระบวนการตรวจตัวเองได้ดีขึ้น

IS auditor ทำหน้าที่:

หน้าที่ทำอะไร
ช่วยนิยาม controlsช่วยเจ้าของกระบวนการนิยาม controls ที่เหมาะสม + ประเมินว่าพอมั้ย
อธิบาย riskบอกว่ากระบวนการทางธุรกิจกำลังเจอ risk อะไรอยู่
นำ workshopจัดเวทีที่ management กับ IS auditor ร่วมกันคิดวิธีพัฒนา control
สร้างบรรยากาศทำให้ผู้เข้าร่วมแชร์ข้อมูลได้สบายใจ

ใน CSA workshop IS auditor คือ facilitator management คือ ผู้เข้าร่วมที่เป็นเจ้าของการตัดสินใจ

เป้าหมายหลักของ CSA (กับดักข้อสอบ)#

คำถาม “what is the KEY benefit of CSA?” เกือบทุกครั้งจะมีตัวเลือกที่ถูกว่า management ownership of internal controls is reinforced

ไม่ใช่ “ลดค่าใช้จ่าย audit” (บางครั้งได้ บางครั้งไม่ได้) ไม่ใช่ “ตรวจจับการทุจริตได้ดีขึ้น” (เป็นประโยชน์รอง) ไม่ใช่ “ให้ auditor ขยับไปทำหน้าที่ที่ปรึกษา” (เป็นผลพลอยได้)

วัตถุประสงค์หลัก คือย้ายบางส่วนของ control monitoring ไปยังหน่วยงาน functional พร้อมทำให้ management ตระหนักว่าตัวเองรับผิดชอบ internal controls

ช่องทางที่ CSA ใช้#

  • แบบสอบถาม / survey ถามเป็นแบบฟอร์มให้เจ้าของกระบวนการประเมิน
  • Facilitated workshops มีคน facilitate การพูดคุย
  • Peer review แบบไม่เป็นทางการ ทีมงานตรวจสอบกันเอง

ข้อจำกัดของ CSA#

CSA ไม่ได้สมบูรณ์แบบ:

  1. CSA ไม่แทนที่ formal IS audit ทำงานเสริมกัน ถ้า management มองว่า “มี CSA แล้วไม่ต้องมี formal” จะอันตรายมาก เพราะ CSA ขาด independence ที่ formal audit ต้องการ
  2. ถ้าออกแบบไม่ดี กลายเป็นภาระเพิ่ม แต่ไม่ได้คุณค่ากลับมา
  3. ถ้า management ฟังผลแล้วไม่ลงมือทำ พนักงานก็จะถอนตัวในรอบถัดไป

Trap Pattern: CSA = Independence ทำงานต่างจาก Formal Audit#

จุดที่ exam ชอบหลอก ผู้สอบเห็นคำถามแบบ “ใน CSA, IS auditor ทำหน้าที่อะไร?” แล้วตอบเหมือน formal audit (“ตรวจและออกความเห็น”) ผิดทันที

คำตอบที่ถูกใน CSA context IS auditor คือ facilitator (ไม่ใช่ examiner) / management คือ participant ที่เป็นเจ้าของผล

หลักจำง่ายๆ ใน CSA auditor ลดบทบาทลงเป็น “ผู้ช่วย” / management เป็น “ผู้ตรวจ” ของกระบวนการตัวเอง

เลือกประเภท Audit ให้ตรงกับความต้องการ#

จาก 11 ประเภท + CSA + Integrated — เวลา management หรือ board ว่าจ้าง IS audit การระบุประเภทที่ต้องการคือก้าวแรกที่สำคัญที่สุด

ความต้องการประเภทที่เหมาะ
ตรวจประจำปี — สุขภาพ IT โดยรวมIS Audit หรือ Operational Audit
หน่วยงานกำกับถาม PDPA complianceCompliance Audit (เน้นการคุ้มครองข้อมูล)
กำลัง IPO ต้องการความเห็นสำหรับนักลงทุนFinancial Audit ที่รวมส่วน IT
เจอเหตุการณ์ — สงสัยทุจริตผ่าน ITIS Forensic Audit
อยากให้ business unit ตรวจตัวเองก่อน auditor มาCSA
ต้องการภาพรวมที่รวม Financial + IT ในการตรวจครั้งเดียวIntegrated Audit
ตรวจ vendor ที่ host ระบบให้Third-Party Service Audit / Service Audit

เลือกผิดประเภทแล้วผลลัพธ์ก็ไม่ตอบโจทย์ เหมือนไปหาหมอทั่วไปทั้งที่ต้องการ forensic examination มันจะหลุดประเด็นไปเลย

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.2 Types of Audits, Assessments and Reviews

Ciel
interviewed by Ciel
JustNotOrdinary's Chief-of-Staff →
CISA Series ตอนที่ 03 : D1 - IS Audit ตั้งแต่เริ่ม...จนจบ
CISA Series ตอนที่ 05 : D1 - ภาษา Risk + Control: ปูพื้นก่อนวางแผน
© 2026 Just Not Ordinary. All Rights Reserved. / Sitemap