คำถามที่ดูตลก: ใครตรวจ Auditor?#

ถ้าผมถามคุณว่า — “ใครตรวจ auditor?” — คุณอาจหัวเราะว่าเป็นคำถามที่ตลก

แต่จริงๆ แล้วนี่คือ หัวใจของ Section 1.10 ของ Domain 1 — และเป็นสิ่งสุดท้ายที่ผู้สอบ CISA ต้องเข้าใจก่อนปิด Domain 1

ลองคิดดู — ใน ตอน 02 เราคุยเรื่อง independence ที่ทำให้ auditor “ตรวจสอบใครก็ได้”. ใน ตอน 12 เราคุยเรื่อง report ที่ออกไป. แต่ถ้า audit function ไม่มีใครกำกับดูแล:

มาตรฐานการทำงานอาจตก — ไม่มีใครเช็คว่า audit ทำตาม Standards มั้ย
ผลประโยชน์ทับซ้อนอาจเกิด — auditor อาจสร้างความสัมพันธ์กับ auditee จนเสีย independence
ทีมงาน de-skill — ไม่มี training plan, ไม่ตามทันเทคโนโลยี

ดังนั้น audit function ต้อง audit ตัวเอง ผ่าน Quality Assurance process ที่ ISACA กำหนด

นี่คือเรื่องสุดท้ายของ Domain 1 — แล้วเราจะ recap ทั้งหมดที่เรียนมาก่อนเข้า Domain 2

4 Layers ของ QA สำหรับ Audit Function#

Layer 1: Audit Committee Oversight (Governance)#

Audit committee = รับผิดชอบ oversight ของ IS audit function + interactions กับ chief inside (internal audit) executive

ถ้าไม่มี audit committee → designated group/individual ต้องรับ oversight responsibilities

Requirements:

IS audit oversight functions + continuous performance monitoring ต้อง established
Review ผ่าน periodic reporting

Connection กลับไป Charter#

จำได้ใน ตอน 02 ว่า Audit Charter ต้อง board-approve? — Section 1.10 คือ operational consequence ของหลักการนั้น

Audit committee ที่ approve Charter → คนเดียวกันที่ oversee performance ของ audit function ในระยะยาว = governance loop ปิดวง

ถ้าไม่มี oversight regular → independence ที่ Charter พยายามปกป้องก็จะเสื่อมไปตามเวลา

Layer 2: IS Audit Quality Assurance (Operational)#

Quality ของ individual audits = responsibility ของ audit leadership + assigned project leads

ทำให้มั่นใจว่า documented audit procedures ถูก followed:

Audit manuals
Rules
Auditing guidance

ต้อง clearly identified + known ทุก members ใน IS audit function — ไม่ใช่แค่อยู่ใน drawer

Formal Review Process#

IS audit leadership ต้องมีกระบวนการ review:

Work papers
Final deliverables (audit reports)

Review ระดับต่างๆ:

Level review
Engagement quality review
QA review

ต้อง established สำหรับทุก audit types based on:

Risk
Industry best practice guidance

Layer 3: Audit Team Training + Development (Capability)#

Formal development plan ต้องครอบคลุมทุก members ใน IS audit function

Plan รวม:

Training programs ตาม role ใน function
Certifications ตาม role
Budget + resources support development needs

Connection กลับ Code of Ethics#

จำ Code of Ethics หลักการที่ 5 (Maintain competency) จาก ตอน 01 ได้มั้ย?

Section 1.10.3 คือ operational implementation ของหลักการนั้น

หลักการบอกว่า “auditor ต้องรักษา competency” — Section 1.10.3 บอกว่า “audit leadership ต้องสร้าง formal training plan + monitor”

กฎของ ISACA: Competency ไม่ใช่ความรับผิดชอบส่วนตัวของ auditor แต่ละคน — เป็น institutional responsibility ของ audit function

Layer 4: Maintenance (Continuous Compliance)#

Maintenance = monitor compliance กับ applicable requirements ตลอดเวลา

มี 4 monitoring matters:

4.1 Audit QA#

Periodically review + summarize QA procedure results
ระบุ trends + lessons learned
Actionable items → remediation → tracked to closure

4.2 Independence Monitoring#

Process สำหรับ IS auditors self-report potential impairments ของ independence
Leadership + IS audit management monitor + report changes

สำคัญ: Independence ไม่ใช่ declared once ตอน start of engagement — ต้อง monitored continuously

ตัวอย่าง: auditor เริ่ม engagement ในเดือน 1 — declare independence ในเดือน 5 พ่อของ auditor ได้ position ใน auditee company → Auditor ต้อง self-report ทันที ไม่ใช่รอ next engagement

4.3 Certification + Accreditation#

Oversight ของ certifications/accreditations ที่ assigned ไปยัง audit leadership
ต้องมั่นใจ compliance กับ certification requirements

ตัวอย่าง: CISA certification = IS audit leadership ต้องดูแล:

ทุกคนในทีมที่อ้าง CISA → จริงๆ มี active CISA มั้ย
CPE requirements ต่อปี ของแต่ละคน → met หรือเปล่า

4.4 Continued Professional Education (CPE)#

Leadership ensures process to monitor compliance กับ CPE/training requirements
Requirements อาจมาจาก:
- Internal development plan
- External certification body (เช่น ISACA CPE สำหรับ CISA holders)

ISACA กำหนด CISA holders ต้องมี 20 CPE ต่อปี + 120 CPE ทุก 3 ปี — IS audit leadership ต้อง monitor ว่าทีม comply

Why QA = ROI ของ Audit Function#

ในมุมผู้บริหาร — Section 1.10 ตอบคำถามว่า:

“ทำไม board ต้องลงทุนในระบบ QA ของ audit function เอง?”

คำตอบ: เพราะ audit opinion ที่ board ใช้ตัดสินใจ depend on quality ของ audit work

ถ้าไม่มี QA program → board ไม่รู้ว่า audit ที่ออกมา reliable แค่ไหน → ตัดสินใจบน foundation ที่อ่อน

Basic governance hygiene ที่ทุก board ควรถาม audit function เป็นประจำ:

“QA program ของเรามีอะไรบ้าง?”
“Last 12 เดือน — มีกี่ engagement ที่ผ่าน QA review โดยไม่มี issues?”
“ทีม IS audit ของเรา มี CPE compliance rate เท่าไหร่?”
“Independence incidents ที่ self-reported ในรอบปี?”

ถ้าตอบไม่ได้ — ก็ไม่รู้ว่า audit function ของบริษัทตัวเอง working หรือเปล่า

Trap Patterns ที่ Exam ออก#

Trap	ความเข้าใจผิด	ความเข้าใจที่ถูก
Audit QA = auditing the auditee	คิดว่า QA = ตรวจ client อีกที	Audit QA = ตรวจ audit process + audit team ของตัวเอง
Audit committee = optional	คิดว่า nice-to-have	Audit committee = essential governance ที่ปกป้อง independence
Training = individual responsibility	คิดว่า auditor manage CPE ของตัวเอง	Audit leadership = institutional responsibility ในการ establish + monitor
Independence = declared once	คิดว่า declare ตอน start of engagement พอ	Independence ต้อง monitored continuously + self-report ongoing
QA = แค่ final reports	คิดว่า QA review เฉพาะ deliverables	QA ครอบคลุม work papers + final deliverables + ทุก audit types
ไม่มี audit committee = ไม่ต้อง oversight	คิดว่าถ้าไม่มี committee = OK	ไม่มี committee → designated group/individual ต้อง assume oversight

Recap: Domain 1 ทั้งหมดในภาพเดียว#

ตอนนี้เราจบ Domain 1 ทั้งหมดแล้ว — 13 ตอน + ตอน 0 (overview) = 14 ตอน

ขอย้อนภาพรวมทั้งหมด

Map ของ Domain 1 — 13 ตอน#

ตอน	Part	เรื่อง	Section CRM
0	Setup	CISA คืออะไร — เปิดเรื่อง	(intro)
01	A	Rule Book — Standards/Guidelines/Tools/Code of Ethics/ITAF	1.1.1-1.1.4
02	A	Internal Audit Function + Charter	1.1.5
03	A	IS Audit ตั้งแต่เริ่ม…จนจบ (storyboard)	1.1-1.4 ภาพรวม
04	A	11 ประเภท Audit + CSA + Integrated	1.2
05	A	ภาษา Risk + Control: ปูพื้นก่อนวางแผน	1.2 + 1.4
06	A	Risk-Based Planning + Audit Universe + 4 Layers	1.3
07	A	Compliance + Laws + ปิด Part A	1.3 cont.
08	B	เปิด Part B — Audit Engagement = Project Management	1.5
09	B	Testing & Sampling	1.6
10	B	Evidence Collection	1.7
11	B	Data Analytics + CAATs + AI	1.8
12	B	Reporting & Communication	1.9
13	B	ปิด Domain 1 (ตอนนี้) + QA + Recap	1.10 + close

Part A (ตอน 01-07): “เตรียมตัวก่อนลงสนาม” — รู้กฎ → มีอำนาจ → ปูพื้น → วางแผน Part B (ตอน 08-13): “ลงสนามจริง” — Engagement → Testing → Evidence → Analytics → Report → QA

5 บทเรียนสำคัญที่ Domain 1 ฝังในหัว#

ถ้าจำได้แค่ 5 อย่างจาก Domain 1 ทั้งหมด ขอให้จำ:

1. Risk เป็นรากของทุกอย่าง#

ตั้งแต่ Charter (เพื่อให้คนกลางมาดู risk), Audit Universe (ขอบเขตที่ risk-based plan ทำงาน), ประเภท audit (เลือกตาม risk ของพื้นที่), Control (ออกแบบเพื่อจัดการ risk), Sampling (เลือกตาม risk-based approach), จนถึง audit testing approach (ขึ้นกับ control risk) — ทุกการตัดสินใจของ auditor มี risk เป็นแกน

2. Independence คือ Structural ไม่ใช่ Attitude#

ตั้งแต่ Charter ที่ board อนุมัติ (ไม่ใช่ CIO), reporting line ที่ตรงต่อ audit committee, CSA ที่เปลี่ยน auditor เป็น facilitator, จนถึง Independence monitoring ใน QA — โครงสร้างคือสิ่งที่ enforce ความเป็นกลางในระยะยาว ความตั้งใจอย่างเดียวไม่พอ

3. Management ทำ Risk Assessment — Auditor ตรวจคุณภาพ#

เส้นแบ่งความรับผิดชอบที่ ISACA เน้นมาก:

Management = คนระบุ risk + ออกแบบ control + ตรวจสอบ compliance + ตอบสนอง finding
IS auditor = คน ประเมินอย่างอิสระ ว่า risk assessment + controls + reporting ของ management นั้นเหมาะสม

อย่าสับสน — auditor ไม่ใช่คนทำ control, ไม่ใช่นักสืบ fraud, ไม่ใช่ implementer ของ recommendation

4. Traceability เป็นหัวใจของ Professional Audit#

ทุก finding ใน final report → ต้อง trace กลับ ไปได้ถึง:

Work paper ที่บันทึกหลักฐาน
Audit step ใน audit program
Audit objective ที่กำหนดให้ทดสอบ
Risk ที่ระบุใน planning phase

ถ้า trace ไม่ได้ → finding “ลอย” → ใน audit committee review หรือใน legal challenge อาจถูกตัดทิ้ง

5. Audit ที่ดี = Audit ที่ Improve Things#

ROI ของ audit ≠ output ของ report — แต่คือ controls ที่ improve หลัง audit

Audit ที่:

✅ มี Follow-up จริง — ตามดู corrective actions
✅ Balanced report — acknowledge ที่ดีและที่ต้องแก้
✅ Recommendations practical — implement ได้จริงในบริบทธุรกิจ
✅ Build relationship กับ auditee แทน adversarial

= Audit ที่ board และ management เห็นว่า เพิ่มมูลค่า ไม่ใช่แค่ compliance exercise

เกริ่น Domain 2: Governance#

ตอนนี้เรารู้ภาษาของ IS audit ครบแล้ว — Domain 2 จะเปลี่ยนมุมมอง

ใน Domain 1 เรามองจากมุม auditor — auditor ทำงานยังไง, มีกฎอะไร, วางแผนยังไง

ใน Domain 2 จะมองจากมุม organization ที่ถูก audit — organization ที่ดี ควร มี IT governance + risk management ยังไง?

หัวข้อหลักใน Domain 2 (18% ของข้อสอบ):

IT governance frameworks (COBIT, ISO 27001, etc.)
Enterprise Risk Management
IT strategy alignment with business
Privacy & data governance (PDPA, GDPR)
Vendor management
Resource management
Organizational structure ของ IT function

ทำไม Domain 2 สำคัญสำหรับ IS auditor?

เพราะ ถ้า governance ของ organization อ่อนแอ — controls, processes, IS audit เองก็ทำงานในสภาพแวดล้อมที่ไม่เกื้อหนุน

ใน Domain 2 เราจะเห็น “สิ่งที่ IS auditor ตรวจ” ในรายละเอียด — แทนที่จะเห็น “วิธีที่ auditor ตรวจ” อย่าง Domain 1

ลองนึก: Domain 1 = วิธีของหมอ / Domain 2 = สรีระวิทยาของผู้ป่วย

ถ้า Domain 1 แน่น → Domain 2 จะอ่านง่าย เพราะคุณมี framework ที่ใช้วิเคราะห์สิ่งที่เห็นแล้ว

จบ Domain 1 — ขอบคุณที่อ่านมาถึงจุดนี้ครับ 14 ตอนเป็นการเดินทางที่ยาว แต่ผมหวังว่ามันให้ภาพ IS audit ที่ครบและ make sense ในแบบที่ตำราอ่านไม่ได้ให้

เจอกันใน Domain 2

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.10 Quality Assurance + Domain 1 wrap-up