ใน ตอน 03 ส่วนที่ 1 เราเล่า flow วิวัฒนาการในมุมเจ้าของธุรกิจไว้แบบนี้:

1
ปัญหาเกิด (Risk) → หาวิธีแก้ (Control) → Control เยอะขึ้น → Framework

Risk และ Control เป็นคู่หูที่เกิดมาคู่กันในโลกธุรกิจ รู้ Risk ก่อน → สร้าง Control มาตอบ Risk

ก่อนจะลงไปคุยเรื่องวางแผนตรวจในตอนถัดไป ตอนนี้ขอปูพื้น “ภาษา” ของสองคำนี้ให้ครบก่อน เพราะภาษา Risk และ Control คือภาษาที่ IS auditor ใช้สื่อสารกันตลอดทั้ง Domain ตั้งแต่วางแผน fieldwork ไปจนถึง report

บทนี้ยาวหน่อยครับ เพราะรวม 3 เรื่องเข้าด้วยกัน:

ส่วนที่ 1 ภาษาของ Risk ในมุม audit (Trinity + Materiality)
ส่วนที่ 2 ภาษาของ Control (3 Methods + 5 Classifications)
ส่วนที่ 3 เชื่อม Risk + Control เข้าด้วยกัน + Prescriptive Frameworks

ลุยทีเดียวให้จบ แล้วบทถัดไป (ตอน 06) ค่อยเอาความรู้นี้ไปใช้วางแผนตรวจจริง

ส่วนที่ 1: ภาษาของ Risk ใน Audit#

Risk ใน Audit ไม่เหมือน Risk ในธุรกิจ#

ก่อนเริ่ม ต้องแยกให้ชัดก่อน เพราะนี่คือจุดที่ผู้บริหารหลายคนสับสน

Business Risk คือความเสี่ยงที่บริษัทจะไม่บรรลุเป้าหมาย (ขายไม่ได้, ระบบล่ม, ลูกค้าหาย)

Audit Risk คือความเสี่ยงที่ IS auditor จะให้ความเห็นที่ไม่ถูกต้อง เพราะพลาด material error

สองอย่างนี้คนละเรื่องกัน IS audit ที่มี audit risk ต่ำ ไม่ได้แปลว่า business risk ของบริษัทต่ำ แค่แปลว่าความเห็นที่ออกมานั้นน่าเชื่อถือมากเฉยๆ

ในบทนี้เราคุยเรื่อง Audit Risk ภาษาที่ auditor ใช้ตอบคำถาม “ผมจะมั่นใจขนาดไหนว่าตรวจครบ?”

Audit Risk Trinity: 3 องค์ประกอบที่ซ้อนกัน#

ลองนึกภาพหมอที่ต้องตรวจสุขภาพคนไข้ 100 คนภายในวันเดียว

หมอตรวจทุกอย่างกับทุกคนไม่ได้ ต้องตัดสินใจว่า “ใครเสี่ยงสูง ตรวจละเอียด” “ใครเสี่ยงต่ำ ตรวจเบื้องต้นก็พอ” — แต่นั่นแปลว่ามีโอกาสที่หมอจะ พลาดบางอย่าง ได้เสมอ

โอกาสพลาดนั้นขึ้นกับ 3 อย่าง คนไข้สุขภาพพื้นฐานดีแค่ไหน + ระบบตรวจมาตรฐานดีแค่ไหน + การตรวจของหมอเองดีแค่ไหน

นี่แหละคือตรรกะของ Audit Risk Trinity ที่ ISACA กำหนด

1. Inherent Risk — ความเสี่ยงตามธรรมชาติ#

Inherent Risk คือระดับความเสี่ยงของกระบวนการ/หน่วยงานที่กำลังถูก audit โดยไม่คิดถึง controls

ถ้าสมมติว่าไม่มี internal control อะไรเลย กระบวนการนี้มีโอกาสเกิดปัญหาแค่ไหน?

Inherent Risk ขึ้นกับ ธรรมชาติของธุรกิจ เอง:

บริษัทจัดการเงินสดจำนวนมาก → inherent risk สูงกว่าบริษัททำซอฟต์แวร์
ระบบประมวลธุรกรรมล้านรายการ/วัน → สูงกว่าระบบใช้เดือนละครั้ง
กระบวนการที่ใช้วิจารณญาณคน → สูงกว่ากระบวนการอัตโนมัติตรงๆ

ที่สำคัญ IS auditor “ลด” Inherent Risk ไม่ได้ มันเป็นลักษณะเฉพาะของกระบวนการ สิ่งที่ทำได้คือ รับรู้ ว่ามันสูงหรือต่ำ แล้วปรับความเข้มข้นของการ audit ตามนั้น

2. Control Risk — ความเสี่ยงที่ Internal Control จะล้มเหลว#

Control Risk คือความเสี่ยงที่ material error จะเกิดและ ไม่ถูกป้องกันหรือตรวจจับได้ทันเวลา โดย internal control ที่มีอยู่

นี่คือความเสี่ยงแนวที่ว่า “controls มีอยู่ แต่ไม่ทำงาน” หรือ “มีช่องโหว่”

ตัวอย่าง:

Control risk สูง ตรวจ computer logs ด้วยมือ คนตรวจมักพลาดความผิดปกติ
Control risk ต่ำ ตรวจสอบข้อมูลแบบอัตโนมัติที่ตั้งค่าถูกต้อง ทุกธุรกรรมผ่านการตรวจเหมือนกัน

ต่างจาก Inherent Risk ตรงที่ Control Risk เป็นลักษณะของ control system ที่ management ออกแบบ ไม่ใช่ลักษณะของกระบวนการธุรกิจเอง

3. Detection Risk / Overall Audit Risk — ความเสี่ยงที่ Auditor จะพลาด#

Detection Risk หรือ Overall Audit Risk คือความเสี่ยงที่ IS auditor จะ ไม่ตรวจจับ material error

นี่คือ risk ที่ตรงที่สุดสำหรับ IS auditor เพราะมันคือความเสี่ยงว่าความเห็นจาก audit จะ ผิด

เป้าหมายของแนวทาง audit คือคุม overall audit risk ให้อยู่ในระดับที่ “ต่ำเพียงพอ” เมื่อ audit เสร็จ

ความสัมพันธ์ระหว่าง 3 องค์ประกอบ#

องค์ประกอบ	ขึ้นอยู่กับ	IS Auditor ควบคุมได้?
Inherent Risk	ธรรมชาติของกระบวนการธุรกิจ	ไม่ได้ — รับรู้และตอบสนอง
Control Risk	คุณภาพของ internal controls	ไม่ได้โดยตรง — แต่ประเมินและรายงาน
Detection Risk	ขั้นตอนของ audit ที่ใช้	ได้ — ผ่านการออกแบบแนวทาง audit

ตรรกะการใช้ 3 องค์ประกอบ:

Inherent สูง + Control สูง → ต้องทุ่ม audit effort มากกว่า
Inherent ต่ำ + Control ต่ำ → audit ที่เบากว่าก็บรรลุ overall risk ในระดับที่ยอมรับได้

Materiality: ไม่ใช่ทุก Error ที่ต้องรายงาน#

Materiality คือความสำคัญของข้อมูลชิ้นหนึ่งว่ามีผลต่อหน่วยงานที่ถูก audit ขนาดไหน

เข้าใจง่ายๆ error บางตัวเล็กมากจนไม่มีผลต่อการตัดสินใจของใคร นั่นคือ error ที่ ไม่ material

แต่ถ้า error นั้นใหญ่พอที่จะเปลี่ยนข้อสรุปของคนที่อ่านรายงาน นั่นคือ material error ที่ต้องรายงาน

กฎผกผันที่ออกข้อสอบบ่อย#

ความสัมพันธ์ผกผันระหว่าง Materiality กับ Acceptable Audit Risk:

ยิ่ง Materiality สูง → ยิ่งรับ audit risk ได้น้อย ยิ่ง Materiality ต่ำ → ยิ่งรับ audit risk ได้มากขึ้น

ทำไม? ก็เพราะถ้าพื้นที่ที่ audit มี materiality สูง พลาดไปผลกระทบใหญ่ ก็ต้อง audit ระมัดระวังกว่า ลด audit risk ให้ต่ำ

ถ้าพื้นที่ materiality ต่ำ พลาดผลกระทบน้อย รับ audit risk สูงขึ้นได้

ผลรวมของจุดอ่อน#

จุดอ่อน internal control บางอย่างที่ดูเล็ก อาจรวมกับความเสี่ยงอื่นๆ จนกลายเป็น material ต่อระบบโดยรวมได้

เช่น ระบบไม่จับ error เล็กรายการเดียว แต่ถ้า error เกิดซ้ำในทุกธุรกรรมของวัน ผลสะสมอาจ material มาก

Risk Analysis: ใครเป็นคนทำ?#

ISACA กำหนดชัดเจน management เป็นผู้รับผิดชอบ risk assessment ไม่ใช่ IS auditor

บทบาทของ management ระบุ risk คำนวณ จัดลำดับ ออกแบบ controls ตอบ risk

บทบาทของ IS auditor:

ช่วย management ในกระบวนการ risk assessment ได้ (advisory role)
ประเมินอย่างอิสระ ว่า risk assessment ที่ management ทำนั้นเหมาะสม ทันเวลา ครอบคลุมรึเปล่า

แยกให้ชัด management ทำ risk assessment / IS auditor ตรวจคุณภาพ ของ risk assessment นั้น

ส่วนที่ 2: ภาษาของ Control#

ตอนนี้เปลี่ยนจาก Risk มาที่ “อีกฝั่งของคู่หู” คือ Control

Control คืออะไรจริงๆ?#

Control คือองค์ประกอบของ policies, procedures, practices กับ organizational structures ที่ถูกติดตั้งไว้เพื่อ ลด risk

Internal Controls คือ controls ที่พัฒนาขึ้นเพื่อให้ reasonable assurance แก่ management ว่า:

วัตถุประสงค์ทางธุรกิจจะบรรลุผล
risks จะถูกป้องกัน หรือถูกตรวจพบและแก้ไข

สังเกตคำว่า “reasonable assurance” ไม่ใช่ “absolute assurance” เพราะ internal control ทุกระบบมีข้อจำกัด ไม่มีระบบไหนรับประกัน 100%

สองสิ่งที่ Controls ต้องตอบ#

Controls ที่ดีต้องตอบ 2 คำถาม:

What should be achieved controls ต้องช่วยให้บรรลุวัตถุประสงค์
What should be prevented controls ต้องกันการกระทำที่ไม่ต้องการ

ทั้งสองมิตินี้ต้องอยู่ในระบบ control เสมอ control ที่ป้องกันเฉยๆ โดยไม่เอื้อให้ทำงานได้ก็เป็นปัญหา เพราะกลายเป็นอุปสรรคทางธุรกิจไปซะอย่างนั้น

Control Activities เกิดทุกระดับ#

Control activities ไม่ได้เกิดแค่ที่ IT department แต่ทั่วทั้งองค์กร:

การให้การอนุมัติและการมอบอำนาจ
การตรวจสอบและกระทบยอด
การทบทวนผลการดำเนินงาน
การปกป้องทรัพย์สิน
การทำให้เกิด separation of duties

Control มี 2 มิติที่ต่างกัน#

ทุก control มี 2 มิติ ที่ต่างกัน:

มิติที่ 1 Method (ทำงานยังไง) Managerial / Technical / Physical
มิติที่ 2 Classification (ทำงานเมื่อไหร่) Preventive / Deterrent / Detective / Corrective / Compensating

ทุก control จะมีทั้ง method และ classification เสมอ เช่น Firewall = Technical method + Preventive classification

มาดูทีละมิติเลยครับ

มิติที่ 1: 3 Methods — ทำงานยังไง?#

ลองนึกภาพธนาคารที่มีเงินสดจำนวนมากใน vault เขาจะมีมาตรการหลายอย่างพร้อมกัน:

ประตู vault แข็งแรง (Physical)
ระบบ access card จำกัดว่าใครเข้าได้ (Technical)
นโยบายต้องมีคนสองคนเสมอเวลาเปิด vault (Managerial)

ไม่มีอันไหน “เพียงพอ” ตัวเดียว ทั้งสามต้องทำงานร่วมกัน

Managerial (Administrative) Controls#

Managerial Controls คือ controls ที่เกี่ยวกับการกำกับดูแล การรายงาน ขั้นตอนปฏิบัติ และการดำเนินงานของ process

ลักษณะเฉพาะคือ ไม่ใช้ technology หรือสิ่งกีดขวางทางกายภาพ ใช้ organizational processes + การตัดสินใจของมนุษย์ เป็นกลไก

ตัวอย่าง:

Policies and procedures เอกสารระบุว่าควรทำอะไรยังไง
Accounting controls เช่น balancing ตรวจความถูกต้องผ่านการทบทวนโดยคน
Compliance and development controls กระบวนการที่ทำให้กิจกรรมเป็นไปตามข้อกำหนด

Managerial controls คือ กระดูกสันหลัง ของ control system ทั้งหมด เพราะ Technical และ Physical ต้องอาศัย Managerial ถึงจะทำงานได้ถูกต้อง

Technical (Logical) Controls#

Technical Controls คือ controls ที่ใช้ technology, equipment หรือ devices

อีกชื่อในบริบท CISA คือ Logical Controls

ตัวอย่าง:

Firewall ruleset กำหนด traffic ที่อนุญาต/ปฏิเสธ
Antivirus software สแกน malicious code
Intrusion Detection Systems (IDS) เฝ้าระวังและแจ้งเตือน
Encryption ปกป้องข้อมูล at-rest และ in-transit

กฎสำคัญ: Technical ต้องอาศัย Managerial#

นี่คือจุดที่ CISA ออกข้อสอบบ่อย ลองนึก scenario คลาสสิคของวงการ

โรงพยาบาลแห่งหนึ่งซื้อระบบ encryption ราคาหลายล้านมาปกป้องข้อมูลคนไข้ ทุกอย่าง deploy ครบ encryption เปิด log เปิดครบ

หกเดือนผ่านไป auditor เดินเข้าไปถามคำถามง่ายๆ ว่า “ใครเป็นคนถือ encryption key?” คำตอบคือ “ฝ่าย IT ทุกคนเข้าได้เพราะใส่ไว้ใน shared drive ตอน deploy”

ถามอีกว่า “ถ้าวันนี้พนักงาน IT ลาออก keys ถูกเปลี่ยนทันทีมั้ย?” คำตอบคือ “ไม่เคยทำเลย”

ถามอีกว่า “ถ้า log แจ้งว่ามีการเข้าถึงข้อมูลผิดปกติ ใครเป็นคนรับ?” คำตอบคือ “เปิด alert ไว้ แต่ไม่มีใคร assign ให้ดู”

นั่นแหละสภาพของ Technical control ที่ขาด Managerial เครื่องมือทำงานได้ แต่ คนไม่ได้บริหารเครื่องมือ ผลคือ:

key ที่ควรปกป้องข้อมูล กลายเป็นข้อมูลสาธารณะในแผนก
ถ้ามีการรั่วของข้อมูลจริงๆ ไม่มีใครรู้ทัน เพราะไม่มีคนดู alert
พนักงานที่ลาออกยังถือ access อยู่หลายเดือนหลังจากนั้น

ผมเรียกแบบนี้ว่า “ความปลอดภัยจอมปลอม” ครับ ผู้บริหารเชื่อว่ามี security แล้วเพราะเสียเงินซื้อมาแพง ทั้งที่กลไกบริหารเครื่องมือไม่มีอยู่จริง อันตรายกว่าตอนรู้ตัวว่าไม่มี security เพราะอย่างน้อยรู้ตัวก็ระวังตัวได้

Managerial control ที่ขาดไปในเคสนี้คือ key management policy, leaver process, alert assignment matrix เรื่องที่ดูธรรมดาแต่เป็น “กระดูกสันหลัง” ที่ทำให้ technical investment คืนทุนได้

กฎที่ต้องจำ ลงทุน Technical control เป็นล้านโดยไม่มี Managerial control รองรับ ก็คือลงทุนเสียเปล่า แถมอันตรายกว่าไม่ลงทุนเพราะคิดว่าตัวเองปลอดภัย

Physical Controls#

Physical Controls คือ controls ที่จำกัดการเข้าถึงสถานที่หรือ hardware ด้วยวิธีทางกายภาพ

ตัวอย่าง:

Surveillance solutions cameras, motion sensors
CCTV เฝ้าระวังและบันทึก
Administration controls security guards, visitor logs, access badges

Physical controls ต้องการการบำรุงรักษา + เฝ้าระวัง + ความสามารถตอบสนอง alerts ไม่ใช่แค่ติดตั้งแล้วจบครับ

ทำไมต้องมีทั้งสาม?#

Method	ลดความเสี่ยงด้านไหน	ตัวอย่าง
Managerial	Unauthorized processes, Policy violations	SoD policy, Approval workflows
Technical	Unauthorized access, System vulnerabilities	Firewall, Encryption, IDS
Physical	Unauthorized physical access	CCTV, Access badges, Security guards

มีแต่ Technical ไม่มี Physical → คนเดินเข้าถึง server โดยตรงได้
มีแต่ Physical ไม่มี Technical → การเข้าถึง network ไม่จำกัด
มีแต่ Managerial → นโยบายอยู่บนกระดาษไม่มีกลไกบังคับใช้

มิติที่ 2: 5 Classifications — ทำงานเมื่อไหร่?#

มิติแรกตอบ “ทำงานยังไง” มิติที่สองตอบ “ทำงานเมื่อไหร่” ในวงจรของ threat

ลองนึกภาพเจ้าของบ้านปกป้องบ้านจากการโจรกรรม:

ติดป้าย “บ้านนี้มีกล้องวงจรปิด” → Deterrent
ใส่กุญแจหลายชั้น → Preventive
ติดกล้อง CCTV บันทึกตลอด → Detective
เตรียมประกันภัยไว้ → Compensating
มีแผนติดต่อตำรวจทันที → Corrective

ทุก control เป้าหมายเดียวกัน คือปกป้องบ้าน แต่ทำงานกัน คนละช่วงเวลา

Preventive Controls — หยุดก่อนเกิด#

Preventive คือป้องกันไม่ให้ threat event เกิดตั้งแต่แรก

ตัวอย่าง Encryption, User authentication, Vault construction doors

เป็นประเภทที่ แข็งแกร่งที่สุด ในการลดความเสี่ยง

Deterrent Controls — ลด Likelihood ก่อนเกิด#

Deterrent คือยับยั้ง ไม่ได้หยุดโดยตรง แต่ทำให้ threat actor คิดหนักก่อนลงมือ

ตัวอย่าง Warning banners บน login screen, Visible cameras, Rewards for arrest of hackers

ต่างจาก Preventive ตรงที่ Deterrent ไม่ได้หยุด ทางกายภาพ แต่ ลดแรงจูงใจ ของ threat actor

Detective Controls — รู้เมื่อเกิดแล้ว#

Detective คือให้คำเตือน/ข้อมูลเกี่ยวกับ event เมื่อมันเกิดขึ้นแล้ว โดยไม่ได้ยับยั้ง

ตัวอย่าง Audit trails, IDS, Checksums

Detective ไม่ได้ป้องกัน แต่ทำให้องค์กร รู้ว่ามันเกิด เพื่อตอบสนองได้

⭐ IDS Trap: Detective ไม่ใช่ Preventive#

นี่คือกับดักข้อสอบที่ออกบ่อยที่สุดใน CISA เรื่อง control classifications

Intrusion Detection System (IDS) ฟังชื่อแล้วอาจคิดว่าเป็น preventive แต่ตามนิยามของ ISACA IDS คือ Detective Control

ทำไม? ก็เพราะ IDS ไม่ได้หยุด การบุกรุก มัน ตรวจจับและแจ้งเตือน เท่านั้น

เปรียบเทียบ:

Firewall Preventive (บล็อก traffic ก่อนเข้า)
IDS Detective (ตรวจจับ traffic ผิดปกติและแจ้ง)
IPS (Intrusion Prevention System) Preventive (บล็อก traffic ที่ตรวจพบ)

Corrective Controls — แก้ไขหลังเกิด#

Corrective คือเยียวยาข้อผิดพลาด/การละเลย/การบุกรุก หลังจากที่ตรวจจับได้แล้ว

ตัวอย่าง Data backups, Error correction procedures, Incident response procedures

ทำงาน after threat event เกิดและหลัง detective controls ตรวจพบ

Compensating Controls — ทดแทนเมื่อ Primary Control ทำไม่ได้#

Compensating คือชดเชยจุดอ่อนหรือข้อบกพร่อง มักเกิดเมื่อ baseline controls ทำไม่ได้เพราะข้อจำกัดทางเทคนิค/ธุรกิจที่ชอบธรรม

ตัวอย่าง:

วางระบบที่ไม่ปลอดภัยไว้บน isolated network segment ที่มี perimeter security แข็งแกร่ง
เพิ่ม third-party challenge-response mechanisms สำหรับอุปกรณ์ที่ไม่รองรับ digital login

ที่สำคัญ Compensating control ต้องบรรลุ ผลลัพธ์เดียวกัน กับ control ที่ออกแบบมาเดิม ไม่ใช่แค่ “มีบางอย่างอยู่”

ตารางสรุป 5 Classifications#

Classification	ทำงานเมื่อไหร่	หยุด/แก้ได้?	ตัวอย่าง
Preventive	before threat event	หยุด threat	Encryption, Authentication
Deterrent	before threat event	ลดแรงจูงใจ	Warning banners, Visible cameras
Detective	during/after threat event	ไม่หยุด แต่รู้	Audit trails, IDS, Checksums
Corrective	after threat event ถูก detect	แก้ไขผลกระทบ	Backups, Incident response
Compensating	แทน control ที่ทำไม่ได้	ทดแทน baseline	Isolated network segments

Layered Defense: 5 Classifications ทำงานเป็นลำดับ#

Control classifications ไม่ได้ทำงานแยกกัน แต่เสริมกันเป็น layered defense

ลองดู threat journey ผ่าน control layers:

ขั้น 1 — Deterrent: ลด likelihood ก่อน threat actor ลงมือ ป้าย “บ้านนี้มีกล้องวงจรปิด” ทำให้ขโมยเปลี่ยนใจ → ในโลก IS คือ warning banner

ขั้น 2 — Preventive: หยุด threat ที่ตัดสินใจลงมือแล้ว กุญแจ 3 ชั้น ประตูกระจกนิรภัย → ในโลก IS คือ strong authentication, encryption

ขั้น 3 — Detective: รู้ว่ามีบางอย่างผ่าน Preventive มา ขโมยมีกุญแจมาสเตอร์ (insider) → CCTV บันทึก, IDS แจ้ง → ในโลก IS คือ audit trails, IDS

นี่คือจุดตรวจที่สำคัญที่สุดเลย เพราะ Preventive ไม่เคยสมบูรณ์ 100%

ขั้น 4 — Corrective: แก้ความเสียหายหลัง Detective เตือน เคลมประกัน กู้ของคืน เปลี่ยนกุญแจ → ในโลก IS คือ กู้คืน backup, แพตช์ช่องโหว่, เพิกถอน accounts

Compensating ทำงานต่างออกไป ไม่อยู่ในลำดับนี้ แต่ทำงาน “แทน” control ที่ทำไม่ได้ ถ้าประตูหน้าติดกุญแจไม่ได้เพราะข้อจำกัดด้านการออกแบบ ก็มียามรักษาความปลอดภัยนั่งประจำแทนได้

ทำไม Detective ถูก Underinvest?#

องค์กรมักลงทุนใน Preventive มากกว่า ทั้ง firewall ใหม่ strong auth encryption เพราะรู้สึกว่า “กำลังทำอะไรเพื่อป้องกัน”

แต่ Detective มักถูกลงทุนน้อยเกินไป เพราะรู้สึกว่า “ป้องกันดีแล้ว ทำไมต้องตรวจจับ?”

นั่นคือความผิดพลาดใหญ่เลย

Preventive ไม่เคยสมบูรณ์ 100% มี 2 กรณีเสมอที่ Preventive ล้มเหลว:

ผู้โจมตีมี legitimate credentials (insider threat / compromised credentials)
ช่องโหว่ใหม่ที่ยังไม่ถูกแพตช์

ในทั้ง 2 กรณีนี้ Detective คือสิ่งเดียวที่จะจับเหตุการณ์ได้

Methods + Classifications: ทุก Control มี 2 มิติ#

Control	Method	Classification
Firewall ruleset	Technical	Preventive
Audit log review policy	Managerial	Detective
CCTV in server room	Physical	Detective + Deterrent
Backup procedure	Managerial + Technical	Corrective
Encryption	Technical	Preventive
Security guard	Physical	Deterrent + Detective

เข้าใจ 2 มิตินี้ → IS auditor วิเคราะห์ control ได้ครบทุกแง่

ส่วนที่ 3: เชื่อม Risk + Control เข้าด้วยกัน#

ตอนนี้รู้ภาษา Risk และ Control แยกกันแล้ว เวลาทำงานจริง 2 อย่างนี้ทำงานเป็นคู่ที่ ต้องอ้างถึงกันได้

Risk-Control Link: หลักการ 2 ทิศทาง#

หลักการ Risk-Control Relationship ของ ISACA:

Risk is addressed through Control, and Control is justified by the Risk it addresses.

ความสัมพันธ์ 2 ทิศทาง:

Risk → Control ทุก risk ที่ระบุไว้ต้องมี control คอยจัดการ
Control → Risk ทุก control ที่วางไว้ต้อง trace กลับ ไปถึง risk ที่มันออกแบบมาเพื่อจัดการได้

ถ้า control ไม่สามารถ trace กลับไปถึง risk ได้ ก็เป็นคำถามเลยว่าทำไมถึงมี control ตัวนั้น

IS Auditor ต้องทำอะไรกับ Link นี้?#

เวลา IS auditor ประเมิน controls:

ตรวจว่า controls โยงกลับไปถึง risk ที่เกี่ยวข้อง management ระบุ controls ที่สอดคล้องกับ risk แล้วรึยัง
ประเมินนัยสำคัญของ control weaknesses ถ้า control ไม่ทำงาน มีผลต่อ overall audit risk มั้ย?
ประเมินความเพียงพอ controls ที่มี ลด risk ถึงระดับที่ยอมรับได้แล้วรึยัง?

ความรับผิดชอบของ Management ต้องดูแลให้ controls ถูกบันทึกและวางตาม risk assessment ของตัวเอง

บทบาทของ IS auditor ประเมินอย่างอิสระและรายงานว่า controls นั้นได้ผลรึเปล่า

เมื่อ Controls ไม่พอ#

ถ้า controls ลด risk ลงไปถึงระดับที่ยอมรับไม่ได้ ต้องวาง controls เพิ่มเติม

ถ้าวาง controls ที่เหมาะสมไม่ได้เพราะข้อจำกัด Compensating Controls อาจเป็นทางออก แต่ต้องบรรลุผลลัพธ์เดียวกันกับ control ที่ออกแบบมาเดิม

เมื่อ Control พังจน Fraud เกิด — ประเด็น Whistleblower#

Internal control ไม่มีระบบไหนรับประกัน 100% เคสที่ปรากฏบ่อยที่สุดเวลา control พังคือ fraud ซึ่งอาจมาจาก vulnerability ของระบบ การ override โดย management หรือ collusion ของพนักงานหลายคน

ข้อหนึ่งที่ ISACA เน้นซึ่งคนมักลืม คือเรื่อง whistleblower เวลาเจอหรือสงสัยว่ามี fraud เกิดขึ้น คนที่กล้าออกมาแจ้ง (whistleblower) ก็เผชิญ risk ของตัวเองด้วย — ทั้ง retaliation จากคนถูกกล่าวหา การถูกเปิดเผยตัวตน หรือผลกระทบต่อหน้าที่การงานในระยะยาว

IS auditor และ management จึงต้องตระหนักว่า การแจ้งเหตุภายใน (complaining / whistleblowing) มี downside ต่อผู้แจ้งเสมอ การจัดการเคส fraud จึงต้องทำอย่าง discreet ตาม policy และข้อกำหนดทางกฎหมายที่เกี่ยวข้อง รวมถึงดูแล confidentiality ของ whistleblower เป็นพิเศษ ไม่ใช่แค่จัดการตัวเคสแล้วจบ

นี่คือเหตุผลที่หลายองค์กรมี whistleblower channel แยก (hotline หรือกล่องรับเรื่องที่บริหารโดยภายนอก) และมีนโยบาย anti-retaliation เขียนไว้ชัด — เพราะถ้าคนกลัวที่จะแจ้ง control failure ตัวที่ใหญ่ที่สุดก็จะไม่มีใครเห็นมัน

สำหรับ guidance เพิ่มเติม CRM อ้างถึง Standard 1207 Irregularities and Illegal Acts และ Guideline 2207

Prescriptive vs Risk-Based Frameworks#

มีอีกมิติของ controls ที่สำคัญในทางปฏิบัติ คือ Prescriptive Control Frameworks

แทนที่จะให้องค์กรประเมิน risk เองและออกแบบ controls เอง บางหน่วยงานหรือแหล่งอ้างอิงกำหนด ชุด controls มาตรฐาน ที่องค์กรควรเอาไปใช้

ตัวอย่าง Prescriptive Frameworks ที่ CISA ต้องรู้จัก#

Framework	ออกแบบมาสำหรับ	จุดเด่น
CIS 18 Critical Security Controls	ทุกองค์กรที่ต้องการเสริม cybersecurity	จัดลำดับความสำคัญ ใช้ best practices ที่เรียบง่าย
OWASP SAMM (Software Assurance Maturity Model / โมเดลวัดวุฒิภาวะการรักษาความปลอดภัยของซอฟต์แวร์)	องค์กรที่พัฒนาซอฟต์แวร์	open framework วัดวุฒิภาวะ security ของกระบวนการพัฒนา ปรับตาม risk เฉพาะองค์กร — มักใช้คู่กับ BSIMM
SOC Reports (AICPA)	Service organizations ที่ประมวลข้อมูลลูกค้า	Framework ให้ความเชื่อมั่นแก่ลูกค้า
PCI DSS	องค์กรที่จัดเก็บ/ประมวลข้อมูลบัตรเครดิต	ข้อกำหนดบังคับ
CSA Cloud Controls Matrix	สภาพแวดล้อม cloud computing	หลักการ security สำหรับ cloud

ใช้ Prescriptive Framework ยังไงให้ถูกต้อง#

1. ระบุมาตรการรับมือเพิ่มเติม Framework ให้แค่ baseline แต่องค์กรอาจมี risk เฉพาะที่ framework ไม่ครอบคลุม ต้องระบุและวาง controls เพิ่มเติม

2. ระบุ controls ที่ไม่ applicable บาง prescribed controls อาจไม่เกี่ยวข้องเลย

ตัวอย่าง องค์กรรับบัตรเครดิตแต่ไม่ได้ store credit card data → controls ใน PCI DSS ที่เกี่ยวกับ “storing credit card data” ก็ไม่ apply

3. บันทึกเหตุผลของ non-applicability ถ้าตัดสินใจว่า control ไม่ apply ต้องบันทึกว่าทำไม IS auditor จะมาตรวจเหตุผลนั้น

Prescriptive vs Risk-Based: ต่างกันอย่างไร?#

	Prescriptive	Risk-Based
จุดเริ่มต้น	External framework กำหนด	องค์กรประเมิน risk เอง
ความยืดหยุ่น	ต่ำ — ต้อง justify ทุกการเบี่ยงเบน	สูง — สร้างตาม risk เฉพาะ
ความสามารถในการตรวจสอบ	ชัดเจน — เทียบกับ checklist	ต้องใช้วิจารณญาณมากกว่า
ช่องว่างของความครอบคลุม	อาจครอบคลุมเกินบางพื้นที่ ครอบคลุมไม่พอในเฉพาะ	จัดการ risk เฉพาะได้ตรงกว่า

ในทางปฏิบัติ หลายองค์กรใช้ ทั้งสองแบบ prescriptive เป็น baseline (compliance) และ risk-based สำหรับพื้นที่ที่ prescriptive ครอบคลุมไม่พอ

Control Environment ต้องพัฒนา#

โครงสร้าง control ไม่ใช่สิ่งที่วางครั้งเดียวแล้วจบ ISACA กำหนดว่า control environment ต้องประเมินใหม่ตาม risk-based audit plan อยู่เสมอ

เหตุผลคือ สภาพแวดล้อมของ risk เปลี่ยน สภาพแวดล้อมธุรกิจเปลี่ยน threat landscape เปลี่ยน controls ที่เพียงพอเมื่อวานอาจไม่เพียงพอวันนี้

นอกจาก IS auditor ที่ตรวจแล้ว management เองก็ควร เฝ้าติดตามประสิทธิผลของ control ระหว่างรอบ audit ด้วย ประโยชน์คือตรวจพบการเบี่ยงเบนก่อน formal audit จะมา

ความต่างที่สำคัญ: “มีอยู่” vs “ทำงานจริง”#

เรื่องที่เห็นบ่อยมากในการเตรียมองค์กรก่อน audit คือ management พยายามทำเอกสาร controls หลังจากที่ IS auditor แจ้งจะมาตรวจ

นั่นคือความผิดพลาดที่แพงครับ เพราะ IS auditor ไม่ได้แค่ดูว่า “มีเอกสารรึเปล่า” แต่ต้องทดสอบว่า control นั้น ทำงานจริง ในสภาพแวดล้อมการทำงานจริง

ความต่างระหว่าง:

Controls “on paper” Policy เขียนว่ามี access review ทุกไตรมาส
Controls “in operation” Access review ทำจริงทุกไตรมาส มี sign-off records ถ้าพบ access ที่ไม่เหมาะสมมีหลักฐานว่าถูกเพิกถอน

IS auditor ต้องการหลักฐานแบบที่สอง ไม่ใช่แค่แบบแรก

ปิดบท: ภาษาพร้อม → ขั้นต่อไปวางแผนตรวจ#

ตอนนี้เรามีภาษาครบแล้วครับ:

ภาษา Risk:

Inherent / Control / Detection Risk (Trinity)
Materiality + กฎผกผัน
Risk Analysis (management ทำ — auditor ประเมิน)

ภาษา Control:

3 Methods (Managerial / Technical / Physical)
5 Classifications (Preventive / Deterrent / Detective / Corrective / Compensating)
ทุก control มี 2 มิติเสมอ

Risk-Control Link:

Bi-directional: Risk → Control / Control → Risk
Prescriptive vs Risk-Based: ใช้คู่กันในทางปฏิบัติ
Controls ต้อง “ทำงานจริง” ไม่ใช่ “อยู่บนกระดาษ”

ภาษาพวกนี้แหละคือเครื่องมือที่ใช้ในขั้น Risk-Based Planning ที่จะมาในตอนถัดไป เมื่อ IS auditor มีรายชื่อพื้นที่ที่ต้องตรวจ (Audit Universe) แล้วต้องตัดสินใจว่า “ตรวจอันไหนก่อน ตรวจลึกแค่ไหน ใช้ resource เท่าไหร่”

คำตอบทุกข้อขึ้นอยู่กับ Risk + Control ที่เพิ่งคุยกันไปนั่นแหละครับ

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.2 (Audit Risk + Materiality), Section 1.4 (Controls)