832 คำ
4 นาที
CISA Series ตอนที่ 06 : D1 - Risk-Based Planning + Audit Universe + 4 Layers
2026-05-04
บันทึกส่วนตัว
เรื่องที่เรียน เรื่องที่อ่าน
IT
/
Auditor
สารบัญ
Recap: ที่ผ่านมาเรารู้อะไรแล้ว ปัญหาที่ Risk-Based Planning ตอบ 4 Layers ของ IS Audit Planning ชั้นที่ 1: Audit Universe — “มีอะไรในขอบเขต?” ชั้นที่ 2: Annual Audit Plan — “ปีนี้ตรวจอะไรบ้าง?” ชั้นที่ 3: Individual Audit Assignment — “งานครั้งนี้วางแผนยังไง?” ชั้นที่ 4: 5-Phase Execution — “ลงมือทำยังไง?” Risk Assessment Techniques: ให้ Score กับ Risk ยังไง? Approach 1: Scoring System (เชิงปริมาณ) Approach 2: Subjective Assessment (เชิงคุณภาพ) ใครเป็นคนทำ Risk Assessment? Short-Term vs Long-Term Planning ทำไม Audit Planning ใช้เวลา? Cross-Domain Reference สิ่งที่ผมเก็บได้จากบทนี้

ผมเพิ่งเข้าใจว่า “วางแผนตรวจ” ที่ฟังดูเรียบง่าย จริงๆ เป็นชั้นความคิดที่ซ้อนกัน 4 ชั้นไม่ใช่ขั้นตอนเดียว

ตอนที่อ่าน Section 1.3 รอบแรก ผมรู้สึกท่วมท้นมากครับ มันมีคำว่า Audit Universe, Annual Plan, Engagement Planning, Risk Assessment, Risk Appetite วิ่งสลับกันไปมาในหน้าเดียว ผมอ่านไปสามรอบยังไม่เคลียร์ว่าอันไหนเกิดก่อนอันไหน อันไหนซ้อนอยู่ในอันไหน

จุดที่ปลดล็อกของผมคือคำว่า Audit Universe ครับ พอเข้าใจว่ามันคือ “รายการครบของทุกอย่างที่ตรวจได้” จักรวาลของสิ่งที่ audit เอื้อมมือถึง ทุกคำที่เหลือก็เริ่มเข้าที่ — Annual Plan คือการเลือกชิ้นจากจักรวาล Engagement คือการลงมือชิ้นนั้น พอวาง mental model นี้ไว้ในหัว 4 ชั้นที่จะเล่าต่อไปนี้มันเรียงตัวเอง

บันทึกตอนนี้ของผมเลยอยากย้อนตั้งแต่ recap ก่อน ค่อยๆ ปูภาษา risk ที่เพิ่งเรียนใน ตอน 05 แล้วเอามาวางทับกับ 4 layers ให้เห็นว่าทำไม ISACA ต้องซ้อยขั้นตอนวางแผนขนาดนี้

Recap: ที่ผ่านมาเรารู้อะไรแล้ว#

ก่อนเข้าเรื่องวันนี้ ขอย้อนสั้นๆ ครับ

ใน ตอน 03 เราเล่า flow ของ IS audit ครบวง — ส่วนที่ 2 ของบทนั้น (มุมมอง auditor) วางขั้นตอนการทำงานไว้แบบนี้:

Charter → Audit Universe → Risk Assessment → Annual Plan
       → เลือกประเภท Audit → Engagement → ดู Control → Evidence → Report

ใน ตอน 04 เราเจาะ “เลือกประเภท Audit” ไปแล้ว — รู้ว่ามี 11 ประเภท + CSA + Integrated กับวิธีคิดที่ ISACA ใช้แบ่ง

ใน ตอน 05 เราปูพื้น ภาษา Risk + Control — Audit Risk Trinity, Materiality, 3 Methods, 5 Classifications, Risk-Control Link

ตอนนี้ถึงเวลาเอาทั้งหมดมาใช้จริงแล้วครับ — วางแผนตรวจยังไงให้ resource ที่จำกัดถูกใช้ตรงจุด

ปัญหาที่ Risk-Based Planning ตอบ#

ลองนึกภาพคุณเป็น IS auditor ที่เพิ่งได้รับมอบหมายให้ดูแล IS audit function ของบริษัทใหม่

บริษัทมีระบบ IT 40 ระบบ ทีมของคุณมี 5 คน เวลา 1 ปี

คำถามแรก — ตรวจระบบไหนก่อน?

  • ตอบว่า “ตามที่ management ขอ” → ผิด (management อาจเลี่ยงพื้นที่ที่ตัวเองอ่อน)
  • ตอบว่า “ตามลำดับหมายเลข” → ผิด (ไม่มี logic)
  • ตอบว่า “ที่ auditor คิดว่าน่าสนใจ” → ผิด (ไม่ objective)

คำตอบที่ถูก — ตรวจตาม risk ใช้ภาษา risk ที่เพิ่งคุยใน ตอน 05 มาจัดอันดับว่าระบบไหน “เสี่ยงสูงสุด”

แต่ “ตรวจตาม risk” ไม่ใช่แค่ประโยคเดียว — มันเป็น กระบวนการที่มี 4 ชั้นซ้อนกัน ที่ ISACA กำหนดให้ทุก IS audit function ต้องทำ

4 Layers ของ IS Audit Planning#

แต่ละชั้นตอบคำถามคนละอย่าง — ต้องผ่านชั้นบนก่อนถึงจะลงไปชั้นล่างได้

ชั้นที่ 1: Audit Universe — “มีอะไรในขอบเขต?”#

Audit Universe = รายการครบของทุก process / ระบบ / หน่วยงาน / vendor ที่ผูกพันต่อการถูก audit

ไม่ใช่แค่ “ระบบ IT” — แต่รวม business processes ทั้งหมดที่ใช้ IT สนับสนุนด้วย เช่น กระบวนการสั่งซื้อ payroll จัดการข้อมูลลูกค้า

ที่มาของ Audit Universe — มาจาก Charter ที่ board อนุมัติ (ตอน 02) ขอบเขตที่ Charter กำหนด = ขนาดของ Audit Universe

ถ้าไม่รู้ว่ามีอะไรทั้งหมด — ก็ไม่มีทางรู้ว่า “ตรวจครบ” รึยัง Audit Universe คือ inventory ของจักรวาลที่ตรวจได้

ชั้นที่ 2: Annual Audit Plan — “ปีนี้ตรวจอะไรบ้าง?”#

จาก Audit Universe ทั้งหมด — IS auditor ทำ risk assessment เพื่อจัดลำดับ

Risk factors ที่ใช้พิจารณาว่าถ้า process มีปัญหาจะส่งผลเสียแค่ไหน:

  • High — ถ้าเกิดปัญหา ใช้เวลาฟื้นเกิน 6 เดือน
  • Medium — ฟื้นใน 3-6 เดือน
  • Low — ฟื้นภายใน 3 เดือน

Annual Plan = รายการ processes ที่ถูกจัดเป็น High risk — สิ่งที่ต้องตรวจปีนี้เป็นอย่างน้อย

ความจริงที่ซ่อนอยู่ — ทรัพยากร audit team มักไม่พอสำหรับ High risk ทั้งหมดหรอก พอเกิด resource gap ก็ต้องบันทึกว่า gap มีอยู่ และ residual risk ถูกยอมรับโดย management ระดับที่เหมาะสม — ไม่ใช่ข้ามไปเฉยๆ โดยไม่บอกใคร

Annual Plan ต้องผ่านใคร? ทบทวนโดย senior audit management แล้วอนุมัติโดย audit committee (หรือ board ถ้าไม่มี audit committee) แล้วต้องสื่อสารให้ management ที่เกี่ยวข้องรับรู้

Annual Plan ไม่ใช่เอกสาร “ทำแล้วจบ” — ถ้า risk environment เปลี่ยนอย่างมีนัยสำคัญ (เพิ่งย้ายไป cloud มีการเปลี่ยนกฎหมาย) ก็ต้องอัปเดตแผน

ชั้นที่ 3: Individual Audit Assignment — “งานครั้งนี้วางแผนยังไง?”#

พอ Annual Plan กำหนดแล้วว่าตรวจอะไร — แต่ละงาน audit ต้องวางแผน เฉพาะของตัวเอง อีก

ISACA กำหนด 10 ขั้นตอน สำหรับการวางแผน IS audit engagement:

  1. เข้าใจ mission, objectives, processes ขององค์กร รวมถึง availability, integrity, security, privacy ของข้อมูล
  2. เข้าใจ governance structure ที่เกี่ยวกับ audit objectives
  3. เข้าใจการเปลี่ยนแปลงใน business/IT environment
  4. ระบุ policies, standards, guidelines, procedures ที่บังคับใช้
  5. ทำ risk analysis เพื่อออกแบบ audit plan
  6. กำหนด audit scope และ objectives ให้ชัด
  7. พัฒนา audit approach หรือ audit strategy
  8. จัดสรรทรัพยากรบุคคล
  9. จัดการ engagement logistics (การเข้าถึง, ตารางเวลา, จุดติดต่อ)
  10. ระบุวิธีการสำหรับ continuous audit ถ้าจะใช้ CAATs

แต่ละงาน audit ต้องพิจารณา — ผล risk assessment รอบล่าสุด การเปลี่ยนแปลงเทคโนโลยี regulatory requirements ตารางเวลาการ implement ระบบ

ชั้นที่ 4: 5-Phase Execution — “ลงมือทำยังไง?”#

ชั้นที่ลงมือจริง แบ่งเป็น 5 phases (จะเจาะลึกใน Part B):

  • Planning — กำหนด subject, objectives, scope, risk assessment
  • Fieldwork — เก็บข้อมูล ทดสอบ controls
  • Documentation — บันทึกทุกอย่างใน work papers
  • Reporting — ร่าง ทบทวน ออก audit report
  • Follow-up — ติดตาม corrective actions

แต่ละ phase มีกิจกรรมและสิ่งที่ต้องส่งมอบเฉพาะของมัน

Risk Assessment Techniques: ให้ Score กับ Risk ยังไง?#

ในชั้นที่ 2 (Annual Plan) เราบอกว่า “ใช้ risk เป็นตัวจัดลำดับ” — แต่จะให้คะแนน risk ยังไงล่ะ?

ISACA กำหนด 2 แนวทางหลัก:

Approach 1: Scoring System (เชิงปริมาณ)#

ให้ค่าตัวเลขกับ risk factors ต่างๆ → คำนวณ overall risk score

Risk factors ที่ใช้ประเมินอาจรวม:

  • ความซับซ้อนทางเทคนิคของระบบ/process
  • ระดับของ existing control procedures
  • ระดับของ financial loss/ผลกระทบถ้าเกิดปัญหา

ตัวแปรเหล่านี้อาจถ่วงน้ำหนักต่างกัน (เช่น financial impact สำคัญกว่าความซับซ้อนทางเทคนิค 2 เท่า) ขึ้นกับ risk appetite ขององค์กร ผล risk scores จากทุก process จะถูกเอามาเปรียบเทียบเพื่อจัดลำดับ

ข้อดี — อธิบายได้ ถ้าถูกถาม “ทำไมไม่ตรวจระบบ X ปีนี้?” คำตอบที่มีตัวเลขรองรับน่าเชื่อถือกว่า “เพราะคิดว่า risk ไม่สูง”

Approach 2: Subjective Assessment (เชิงคุณภาพ)#

ใช้ความรู้เกี่ยวกับธุรกิจ + วิจารณญาณ + ประสบการณ์แทนตัวเลข

แหล่งข้อมูลที่ป้อนเข้า:

  • ความรู้เกี่ยวกับธุรกิจที่ audit team มีต่อองค์กร
  • คำสั่งจาก executive management ว่ากังวลอะไรเป็นพิเศษ
  • มุมมองทางประวัติศาสตร์ — อะไรที่เคยเป็นปัญหา
  • เป้าหมายธุรกิจปัจจุบัน
  • ปัจจัยแวดล้อมที่เปลี่ยน (กฎหมาย, ตลาด)

ทั้งสองแนวทางใช้ร่วมกันได้ และในทางปฏิบัติก็มักทำแบบนั้น — scoring system เป็นฐาน + ปรับด้วย subjective judgment

ใครเป็นคนทำ Risk Assessment?#

จาก ตอน 05 คุยไปแล้วว่า — management เป็นคนทำ risk assessment ไม่ใช่ IS auditor

IS auditor:

  • ช่วย management ในกระบวนการ risk assessment ได้
  • ประเมินคุณภาพ ว่า risk assessment ที่ management ทำนั้น เหมาะสม ทันเวลา ครอบคลุมรึเปล่า

CISA exam ชอบทดสอบเรื่องนี้ — คำถามว่า “ใครเป็นเจ้าของ risk assessment?” → คำตอบ = management (ไม่ใช่ IS auditor)

Short-Term vs Long-Term Planning#

ISACA เน้นว่า planning ต้องมีทั้ง 2 ระยะ:

Short-term planning = audit issues ที่จัดการในปีนี้ — มาจาก risk assessment ปัจจุบัน findings จาก audits ก่อนหน้า การเปลี่ยนกฎหมายที่เพิ่งเกิด

Long-term planning = audit issues จาก IT strategy ระยะยาว — เช่น ถ้าบริษัทวางแผนย้ายไป cloud ใน 3 ปี audit function ต้องเตรียมขีดความสามารถสำหรับ cloud environment ล่วงหน้า

ทั้งสองต้องทบทวนอย่างน้อยปีละครั้ง + อัปเดตถ้า risk environment เปลี่ยน

ทำไม Audit Planning ใช้เวลา?#

หลายองค์กรรู้สึกว่า IS audit ใช้เวลา “เตรียมตัว” นานเกินไป

แต่ถ้าเข้าใจ 4-layer planning hierarchy แล้วจะเห็นว่า:

ถ้า IS auditor ข้ามขั้น planning → Audit Universe อาจไม่ครบ Annual Plan อาจตรวจผิดบริเวณ Individual assignment อาจกำหนด scope ผิด → audit report ที่ไม่จัดการ risk จริง

ถ้า planning ทำได้ดี → ทรัพยากรถูกใช้ตรงจุด ทุก finding มีบริบทว่าทำไม material management รู้สึกว่า audit เพิ่มคุณค่าจริง

IS audit ที่ดีต้องอาศัยเวลา planning พอๆ กับ fieldwork — นั่นไม่ใช่ข้อเสีย แต่เป็นสัญญาณว่า audit function ทำงานอย่างมืออาชีพต่างหาก

Cross-Domain Reference#

แนวคิด planning ที่เรียนที่นี่จะกลับมาเจอใน Part B และ Domain อื่นด้วยครับ:

  • Domain 4 (Operations) → Business Impact Analysis เป็นการนำ risk-based thinking ไปใช้กับ business continuity
  • Part B ของ Domain 1 → 5-Phase Execution ที่เกริ่นไว้ในชั้น 4 จะเจาะลึก

สิ่งที่ผมเก็บได้จากบทนี้#

ในมุมผม คำว่า “วางแผน” ในชีวิตทั่วไปกับในวิชา audit คนละน้ำหนักเลยครับ คนทั่วไปคิดว่าวางแผน = นั่งเขียน list แต่ ISACA วางมันเป็น โครงสร้างคำตอบที่ป้องกันการตัดสินใจตามอำเภอใจ ทุกชั้นมีคำถามที่ต้องตอบก่อนถึงจะลงไปชั้นล่าง

สิ่งที่ทำให้ผมต้องหยุดคิดคือกฎที่ว่า management เป็นเจ้าของ risk assessment ไม่ใช่ IS auditor ตอนแรกผมเข้าใจว่า auditor คือคนที่ “บอกว่าอะไรเสี่ยง” พอรู้ว่า auditor มีหน้าที่ ประเมินคุณภาพของ risk assessment ที่ management ทำ ไม่ใช่ทำเอง บทบาทของ audit ในใจผมเปลี่ยนเลย จาก “ผู้ตัดสิน” กลายเป็น “ผู้ตรวจคุณภาพการตัดสินใจของคนอื่น” ซึ่งเป็นเรื่องที่ละเอียดอ่อนกว่ามาก

ที่จดไว้ในสมุดของผมตอนนี้คือสามคำง่ายๆ — Universe → Plan → Engagement ถ้าจำลำดับนี้ได้เวลาเปิดข้อสอบ คำที่ดูเหมือนกันก็แยกไม่ยากแล้วครับ

บทถัดไปจะเข้า “เลือกประเภท audit ยังไง” ซึ่งคือชั้นที่ 2.5 ระหว่าง Annual Plan กับ Engagement Planning — ถ้าเข้าใจ Audit Universe แล้ว ชั้นต่อไปก็ตามมา

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.3 Risk-Based Audit Planning

Ciel
orchestrated by Ciel
JustNotOrdinary's Chief-of-Staff →
CISA Series ตอนที่ 05 : D1 - ภาษา Risk + Control: ปูพื้นก่อนวางแผน
CISA Series ตอนที่ 07 : D1 - Compliance + Laws & ปิดท้าย Part A เตรียมตัวสู่ Part B
© 2026 Just Not Ordinary. All Rights Reserved. / Sitemap