คำถามที่ดูตลก: ใครตรวจ Auditor?#

ถ้าผมถามคุณว่า “ใครตรวจ auditor?” คุณอาจหัวเราะว่าเป็นคำถามที่ตลก

แต่จริงๆ แล้วนี่คือ หัวใจของ Section 1.10 ของ Domain 1 และเป็นสิ่งสุดท้ายที่ผู้สอบ CISA ต้องเข้าใจก่อนปิด Domain 1

ลองคิดดู — ใน ตอน 02 เราคุยเรื่อง independence ที่ทำให้ auditor “ตรวจสอบใครก็ได้” ใน ตอน 12 เราคุยเรื่อง report ที่ออกไป แต่ถ้า audit function ไม่มีใครกำกับดูแล:

มาตรฐานการทำงานอาจตก ไม่มีใครเช็คว่า audit ทำตาม Standards มั้ย
ผลประโยชน์ทับซ้อนอาจเกิด auditor อาจสนิทกับ auditee จนเสีย independence
ทีมงานฝ่อ ไม่มี training plan, ไม่ตามทันเทคโนโลยี

audit function ก็เลยต้อง audit ตัวเอง ผ่าน Quality Assurance process ที่ ISACA กำหนด

นี่คือเรื่องสุดท้ายของ Domain 1 แล้วเราจะ recap ทั้งหมดที่เรียนมาก่อนเข้า Domain 2

4 Layers ของ QA สำหรับ Audit Function#

Layer 1: Audit Committee Oversight (Governance)#

Audit committee = รับผิดชอบ oversight ของ IS audit function + การปฏิสัมพันธ์กับ chief inside (internal audit) executive

ถ้าไม่มี audit committee → ต้องมี designated group / individual มารับ oversight responsibilities

Requirements:

ต้องตั้ง IS audit oversight function + continuous performance monitoring ขึ้นมา
Review ผ่าน periodic reporting

Connection กลับไป Charter#

จำได้มั้ยใน ตอน 02 ที่ Audit Charter ต้อง board-approve — Section 1.10 คือผลทาง operational ของหลักการนั้น

Audit committee ที่ approve Charter → คนเดียวกันที่ oversee performance ของ audit function ในระยะยาว = governance loop ปิดวง

ถ้าไม่มี oversight ที่ regular → independence ที่ Charter พยายามปกป้องก็จะเสื่อมไปตามเวลา

Layer 2: IS Audit Quality Assurance (Operational)#

Quality ของ individual audit = ความรับผิดชอบของ audit leadership + assigned project lead

ต้องดูแลว่า documented audit procedures ถูก follow จริง:

Audit manuals
Rules
Auditing guidance

ต้อง clearly identified + known ใน members ทุกคนของ IS audit function ไม่ใช่แค่เก็บอยู่ในลิ้นชัก

Formal Review Process#

IS audit leadership ต้องมีกระบวนการ review:

Work papers
Final deliverables (audit reports)

Review ระดับต่างๆ:

Level review — หัวหน้าทีมเดียวกัน review งานของลูกน้องในระดับ engagement
Engagement quality review (EQR) — independent reviewer ที่ไม่อยู่ใน engagement มา challenge ผลลัพธ์ก่อน issue
QA review — function ระดับ audit organization ทำ periodic review ทั้ง engagement

ต้องตั้งขึ้น สำหรับ audit type ทุกแบบ ตาม:

Risk
Industry best practice guidance

Layer 3: Audit Team Training + Development (Capability)#

Formal development plan ต้องครอบคลุม members ทุกคนใน IS audit function

Plan ครอบคลุม:

Training program ตาม role ใน function
Certifications ตาม role
Budget + resources ที่รองรับ development need

Connection กลับ Code of Ethics#

จำ Code of Ethics หลักการที่ 5 (Maintain competency) จาก ตอน 01 ได้มั้ย?

Section 1.10.3 คือ operational implementation ของหลักการนั้น

หลักการบอกว่า “auditor ต้องรักษา competency” Section 1.10.3 บอกว่า “audit leadership ต้องสร้าง formal training plan + monitor”

กฎของ ISACA: Competency ไม่ใช่ความรับผิดชอบส่วนตัวของ auditor แต่ละคน แต่เป็น institutional responsibility ของ audit function

Layer 4: Maintenance (Continuous Compliance)#

Maintenance = monitor compliance กับ applicable requirements ตลอดเวลา

มี 4 เรื่องที่ต้อง monitor:

4.1 Audit QA#

Review + summarize ผล QA procedure เป็นระยะ
หา trends + lessons learned
Actionable items → remediation → tracked to closure

4.2 Independence Monitoring#

มี process ให้ IS auditor self-report potential impairments ของ independence
Leadership + IS audit management monitor + report changes

สำคัญ: Independence ไม่ใช่ declared แค่ครั้งเดียวตอน start of engagement ต้อง monitor ต่อเนื่อง

ตัวอย่าง — auditor เริ่ม engagement ในเดือน 1 declare independence ไว้ ในเดือน 5 พ่อของ auditor ได้ position ใน auditee company → Auditor ต้อง self-report ทันที ไม่ใช่รอ next engagement

4.3 Certification + Accreditation#

Oversight ของ certification / accreditation ที่ assign ให้ audit leadership ดู
ต้องมั่นใจว่า comply กับ certification requirements

ตัวอย่าง — CISA certification = IS audit leadership ต้องดูแล:

ทุกคนในทีมที่อ้าง CISA → มี active CISA จริงมั้ย
CPE requirements ต่อปีของแต่ละคน → met หรือเปล่า

4.4 Continued Professional Education (CPE)#

Leadership ดูแลให้มี process monitor compliance กับ CPE / training requirements
Requirements อาจมาจาก:
- Internal development plan
- External certification body (เช่น ISACA CPE สำหรับ CISA holder)

ISACA กำหนดให้ CISA holder ต้องมี 20 CPE ต่อปี + 120 CPE ทุก 3 ปี IS audit leadership ก็เลยต้อง monitor ว่าทีม comply

Why QA = ROI ของ Audit Function#

ในมุมผู้บริหาร — Section 1.10 ตอบคำถามว่า:

“ทำไม board ต้องลงทุนในระบบ QA ของ audit function เอง?”

คำตอบ — เพราะ audit opinion ที่ board ใช้ตัดสินใจ ขึ้นอยู่กับ quality ของ audit work

ถ้าไม่มี QA program → board ก็ไม่รู้ว่า audit ที่ออกมา reliable แค่ไหน → ตัดสินใจบน foundation ที่อ่อน

Basic governance hygiene ที่ทุก board ควรถาม audit function เป็นประจำ:

“QA program ของเรามีอะไรบ้าง”
“12 เดือนที่ผ่านมา มีกี่ engagement ที่ผ่าน QA review โดยไม่มี issue”
“ทีม IS audit ของเรา มี CPE compliance rate เท่าไหร่”
“Independence incident ที่ self-report ในรอบปีนี้กี่เคส”

ถ้าตอบไม่ได้ ก็ไม่รู้ว่า audit function ของบริษัทตัวเอง working หรือเปล่า

Trap Patterns ที่ Exam ออก#

Trap	ความเข้าใจผิด	ความเข้าใจที่ถูก
Audit QA = auditing the auditee	คิดว่า QA = ตรวจ client อีกที	Audit QA = ตรวจ audit process + audit team ของตัวเอง
Audit committee = optional	คิดว่า nice-to-have	Audit committee = essential governance ที่ปกป้อง independence
Training = individual responsibility	คิดว่า auditor manage CPE ของตัวเอง	Audit leadership = institutional responsibility ในการ establish + monitor
Independence = declared once	คิดว่า declare ตอน start of engagement พอ	Independence ต้อง monitored continuously + self-report ongoing
QA = แค่ final reports	คิดว่า QA review เฉพาะ deliverables	QA ครอบคลุม work papers + final deliverables + ทุก audit types
ไม่มี audit committee = ไม่ต้อง oversight	คิดว่าถ้าไม่มี committee = OK	ไม่มี committee → designated group/individual ต้อง assume oversight

Recap: Domain 1 ทั้งหมดในภาพเดียว#

ตอนนี้เราจบ Domain 1 ทั้งหมดแล้ว — 13 ตอน + ตอน 0 (overview) = 14 ตอน

ขอย้อนภาพรวมทั้งหมด

Map ของ Domain 1 — 13 ตอน#

ตอน	Part	เรื่อง	Section CRM
0	Setup	CISA คืออะไร — เปิดเรื่อง	(intro)
01	A	Rule Book — Standards/Guidelines/Tools/Code of Ethics/ITAF	1.1.1-1.1.4
02	A	Internal Audit Function + Charter	1.1.5
03	A	IS Audit ตั้งแต่เริ่ม…จนจบ (storyboard)	1.1-1.4 ภาพรวม
04	A	11 ประเภท Audit + CSA + Integrated	1.2
05	A	ภาษา Risk + Control: ปูพื้นก่อนวางแผน	1.2 + 1.4
06	A	Risk-Based Planning + Audit Universe + 4 Layers	1.3
07	A	Compliance + Laws + ปิด Part A	1.3 cont.
08	B	เปิด Part B — Audit Engagement = Project Management	1.5
09	B	Testing & Sampling	1.6
10	B	Evidence Collection	1.7
11	B	Data Analytics + CAATs + AI	1.8
12	B	Reporting & Communication	1.9
13	B	ปิด Domain 1 (ตอนนี้) + QA + Recap	1.10 + close

Part A (ตอน 01-07): “เตรียมตัวก่อนลงสนาม” — รู้กฎ → มีอำนาจ → ปูพื้น → วางแผน Part B (ตอน 08-13): “ลงสนามจริง” — Engagement → Testing → Evidence → Analytics → Report → QA

5 บทเรียนสำคัญที่ Domain 1 ฝังในหัว#

ถ้าจำได้แค่ 5 อย่างจาก Domain 1 ทั้งหมด ขอให้จำ:

1. Risk เป็นรากของทุกอย่าง#

ตั้งแต่ Charter (ให้คนกลางมาดู risk), Audit Universe (ขอบเขตที่ risk-based plan ทำงาน), ประเภท audit (เลือกตาม risk ของพื้นที่), Control (ออกแบบเพื่อจัดการ risk), Sampling (เลือกตาม risk-based approach) ไปจนถึง audit testing approach (ขึ้นกับ control risk) — ทุกการตัดสินใจของ auditor มี risk เป็นแกน

2. Independence คือ Structural ไม่ใช่ Attitude#

ตั้งแต่ Charter ที่ board อนุมัติ (ไม่ใช่ CIO), reporting line ที่ตรงต่อ audit committee, CSA ที่เปลี่ยน auditor เป็น facilitator ไปจนถึง Independence monitoring ใน QA — โครงสร้างคือสิ่งที่บังคับความเป็นกลางในระยะยาว ความตั้งใจอย่างเดียวไม่พอ

3. Management ทำ Risk Assessment — Auditor ตรวจคุณภาพ#

เส้นแบ่งความรับผิดชอบที่ ISACA เน้นมาก:

Management = คนระบุ risk + ออกแบบ control + ตรวจ compliance + ตอบสนอง finding
IS auditor = คน ประเมินอย่างอิสระ ว่า risk assessment + controls + reporting ของ management เหมาะสมมั้ย

อย่าสับสน — auditor ไม่ใช่คนทำ control, ไม่ใช่นักสืบ fraud, ไม่ใช่ implementer ของ recommendation

4. Traceability เป็นหัวใจของ Professional Audit#

ทุก finding ใน final report ต้อง trace กลับ ไปได้ถึง:

Work paper ที่บันทึกหลักฐาน
Audit step ใน audit program
Audit objective ที่กำหนดให้ทดสอบ
Risk ที่ระบุใน planning phase

ถ้า trace ไม่ได้ → finding “ลอย” → ตอน audit committee review หรือเจอ legal challenge อาจถูกตัดทิ้ง

5. Audit ที่ดี = Audit ที่ Improve Things#

ROI ของ audit ไม่ใช่ output ของ report แต่คือ controls ที่ improve หลัง audit

Audit ที่:

✅ มี Follow-up จริง — ตามดู corrective action
✅ Balanced report — ยอมรับทั้งที่ดีและที่ต้องแก้
✅ Recommendations practical — implement ได้จริงในบริบทธุรกิจ
✅ Build relationship กับ auditee แทนที่จะเป็น adversarial

= Audit ที่ board และ management เห็นว่า เพิ่มมูลค่า ไม่ใช่แค่ compliance exercise

เกริ่น Domain 2: Governance#

ตอนนี้เรารู้ภาษาของ IS audit ครบแล้ว Domain 2 จะเปลี่ยนมุมมอง

ใน Domain 1 เรามองจากมุม auditor — auditor ทำงานยังไง มีกฎอะไร วางแผนยังไง

ใน Domain 2 จะมองจากมุม organization ที่ถูก audit — organization ที่ดี ควร มี IT governance + risk management ยังไง

หัวข้อหลักใน Domain 2 (18% ของข้อสอบ):

IT governance frameworks (COBIT, ISO 27001, etc.)
Enterprise Risk Management
IT strategy alignment with business
Privacy & data governance (PDPA, GDPR)
Vendor management
Resource management
Organizational structure ของ IT function

ทำไม Domain 2 ถึงสำคัญสำหรับ IS auditor?

เพราะ ถ้า governance ขององค์กรอ่อนแอ controls, processes, IS audit เองก็ทำงานในสภาพแวดล้อมที่ไม่เอื้อหนุน

ใน Domain 2 เราจะเห็น “สิ่งที่ IS auditor ตรวจ” ในรายละเอียด แทนที่จะเห็น “วิธีที่ auditor ตรวจ” อย่าง Domain 1

ลองนึก — Domain 1 = วิธีของหมอ / Domain 2 = สรีระวิทยาของผู้ป่วย

ถ้า Domain 1 แน่น Domain 2 ก็จะอ่านง่าย เพราะมี framework ที่เอาไปวิเคราะห์สิ่งที่เห็นแล้ว

จบ Domain 1 ขอบคุณที่อ่านมาถึงตรงนี้ครับ 14 ตอนเป็นการเดินทางที่ยาวอยู่ แต่หวังว่ามันให้ภาพ IS audit ที่ครบและ make sense ในแบบที่ตำราอ่านไม่ได้ให้

เจอกันใน Domain 2

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.10 Quality Assurance + Domain 1 wrap-up