CISA Series ตอนที่ 16A : D2 - EGIT + Three Lines + Information Security Governance — ใครรับผิดชอบ Governance

Section 2.2 ของ CRM เป็น section ที่ใหญ่ที่สุดใน Domain 2 มี 8 sub-section ยาวกว่า section อื่นใน Domain 2 หลายเท่า แล้วยังต้องเอา Section 2.4 (Enterprise Architecture) มารวมด้วย เพราะ EA = “แผนที่ IT ที่ governance กำกับ” ตัดออกไม่ได้ครับ

ผมเคยลองอัดทุกอย่างไว้บทเดียว เขียนเสร็จแล้วอ่านเองยังเหนื่อยเลย 555+ เพราะ 2 thesis มันอยู่ในบทเดียวกัน — “ใครรับผิดชอบ governance” กับ “ทำงานยังไงในชีวิตจริง” — แต่ละอันสมควรหายใจในบทของตัวเอง

เลยแยกเป็น 2 ตอน ที่เชื่อมกัน:

ตอน 16A (บทนี้) — “ใครรับผิดชอบ governance” — Corporate Governance, EGIT, Three Lines, Information Security Governance
ตอน 16B — “ทำงานยังไงในชีวิตจริง” — IS Strategy + Strategic Planning, IT Strategy/Steering Committee, Org Structure + SoD, Business Intelligence + Data Architecture, Enterprise Architecture

ทั้งคู่ตอบ Section 2.2 + 2.4 ของ CRM ครับ แต่แยกตามคำถามที่ต่างกัน อ่าน 16A จบ จะมี mental model พร้อมรับ 16B ทันที

โครงของบทนี้ (ตอน 16A):

Corporate Governance + COBIT 7 components — รากของทุกอย่าง
EGIT — IT governance ของ board (ไม่ใช่ของ CIO)
Governance vs Management — ความต่างที่คนสับสนตลอด
Three Lines Model — โครงสร้างที่ป้องกันตัวเอง
Information Security Governance — security ก็ต้องมี governance
Trap Patterns รวม

ส่วนที่ 0: Corporate Governance — รากของทุกอย่าง#

ก่อนจะคุยเรื่อง IT governance ต้องรู้จัก corporate governance ก่อน เพราะ IT governance = subset ของมัน

📚 อยากเข้าใจ corporate governance ลึกกว่านี้? ผมเขียนบทแยกชื่อ Organization Anatomy 101 — จากเถ้าแก่คนเดียว ถึง Conglomerate Group ครอบคลุมตั้งแต่ Board, Committee, C-Suite ทั้งหมด, Three Lines, GRC, conflict-of-interest rules และ case study Enron/Wirecard/FTX/Theranos แบบเต็ม — บทนี้จะเล่าเฉพาะมุมที่เกี่ยวกับ IT governance + ที่ออกข้อสอบ CISA

Corporate Governance = ระบบที่บริษัทถูก direct + control ครอบคลุมความสัมพันธ์ระหว่าง 4 ฝ่าย:

Management — ทำงานประจำวัน
Board of Directors — กำกับ + ติดตาม management
Shareholders — เจ้าของบริษัท เลือก board + auditor
Other stakeholders — ลูกค้า, regulator, supplier, พนักงาน

หน้าที่หลัก:

กำหนด objectives ของบริษัท
ระบุวิธีบรรลุ objectives
กำหนดวิธีติดตาม performance
สร้างสภาพแวดล้อม trust + transparency + accountability

หลายประเทศบังคับให้ management เซ็นรับรอง adequacy ของ internal control ในรายงานประจำปี auditor ก็ต้อง assess + ระบุใน report เช่นกัน

COBIT Components — 7 ส่วนของ Governance System#

ISACA’s COBIT framework ระบุว่า governance system ต้องมี 7 components ที่เชื่อมกัน:

Processes — กระบวนการที่ design ไว้
Organizational Structures — โครงสร้างที่กำหนด accountability
Principles, Policies, Procedures — กฎที่ทุกคนต้องตาม (เราคุยใน ตอน 15 แล้ว)
Information — data ที่ขับเคลื่อนการตัดสินใจ
Culture, Ethics and Behavior — บรรยากาศองค์กร
People, Skills and Competencies — ทรัพยากรบุคคล
Service, Infrastructure and Applications — เทคโนโลยี

ที่น่าสังเกตคือ 7 components นี้ครอบคลุมทั้งสิ่งที่จับต้องได้ (process, structure, infrastructure) และ สิ่งที่จับต้องไม่ได้ (culture, ethics, principles) governance ไม่ใช่แค่ “กฎ + คนทำ” แต่รวม “ค่านิยม + วัฒนธรรม” ด้วย

Trap ที่ exam ออก: คนที่จำแค่ “ProcessXOrgStructure” ตอบไม่ได้เมื่อถามถึง Culture/Ethics — ที่ ISACA เน้นมากคือ tone at the top ผู้บริหารเป็นแบบอย่างของ ethics หรือเปล่า เพราะ governance system ที่ขาด ethical culture = process แข็งแรงแต่ไม่ทำงาน

Figure 2.1 ของ CRM แสดงทั้ง 7 components เป็นวงกลมที่ล้อมรอบ “Governance System” เน้นว่าทุกอันต้องประสานกัน

IT Governance = Corporate Governance Subset#

พอรู้ corporate governance แล้ว IT governance คือ corporate governance ที่ apply กับ IT-related decisions โดยเฉพาะ:

IT strategy alignment กับ business strategy
IT investment decisions
IT risk management
IT performance + value delivery

หลักการเดียวกัน 7 components — แต่ context = IT

นี่คือ entry point เข้าสู่ EGIT

ส่วนที่ 1: EGIT — IT Governance ที่ Board เป็นคนรับผิดชอบ#

EGIT คืออะไร?#

EGIT = Enterprise Governance of Information and Technology — กรอบที่ board และ executive management ใช้ ทำให้แน่ใจ ว่า IT ของบริษัท สนับสนุน เป้าหมายธุรกิจ และ ขยาย ความสามารถขององค์กร

จุดที่อยากให้สังเกตในนิยาม: “board และ executive management” ไม่ใช่ “CIO” ไม่ใช่ “ฝ่าย IT”

นี่คือ trap ใหญ่อันแรกเลยครับ:

EGIT = หน้าที่ของ board ไม่ใช่หน้าที่ของ IT department

ทำไมถึง trap? เพราะคนทั่วไปเห็นคำว่า “IT” แล้วคิดอัตโนมัติว่า “เรื่องของฝ่าย IT” เถ้าแก่หลายคนเซ็นมอบเรื่อง EGIT ให้ CIO ไปจัดการเอง แล้วก็หายไปไม่มาเช็คอีก

ถ้า board ไม่ engage กับ EGIT จริงๆ EGIT ก็เป็นแค่กระดาษที่ CIO เขียนคนเดียวเอามาแขวนข้างฝา

ทำไม EGIT ต้องเป็นของ Board?#

ลองคิดดู IT investment ของบริษัทขนาดกลางอยู่ระดับ 5-15% ของ revenue ทั้งบริษัท เป็นค่าใช้จ่ายที่ใหญ่เป็นอันดับต้นๆ

ถ้า board ไม่ดู:

IT investment อาจไม่ตรงกับทิศทางธุรกิจ → ลงทุนใน technology ที่ไม่ generate value
IT risk (data breach, system failure) อาจไม่ถูก escalate ขึ้น → board รู้ตัวก็ตอนเกิดเหตุ
ไม่มีคนถามว่า “เงินที่ลงไปคืนมายังไง” ROI ของ IT หายไปในระบบ

EGIT ที่ดี = board ตอบคำถาม 4 ข้อนี้ได้:

Strategic Alignment — IT strategy ของเรา align กับ business strategy ที่ board approve มั้ย
Value Delivery — IT investment สร้าง value จริงมั้ย
Risk Management — IT risk อยู่ในระดับที่ board ยอมรับมั้ย
Resource Management — IT resource (คน เงิน เครื่อง) ถูกใช้คุ้มค่ามั้ย

(สังเกตว่ามันคือ balance ของ benefits, risk, resources — ไม่ใช่แค่ “ระบบ IT ดีหรือไม่ดี”)

ส่วนที่ 2: Governance vs Management — เส้นที่คนข้ามตลอด#

นี่คือคำที่ผมว่าออกข้อสอบมากที่สุดใน Domain 2 เลยครับ Governance กับ Management คนละเรื่องเลย แต่คนใช้สลับกันตลอด

นิยามตาม COBIT#

Governance = ประเมินความต้องการของ stakeholder กำหนดทิศทาง monitor performance board เป็นคนทำ

Management = วางแผน สร้าง รัน monitor ตามทิศทางที่ governance วางไว้ CIO และทีมเป็นคนทำ

ถ้านึกไม่ออก ลองเปรียบเทียบกับโรงเรียนที่เคยใช้ใน ตอน 14:

Governance (board)	Management (CIO + team)
อนุมัติงบประมาณ	จัดงบประมาณภายในกรอบ
กำหนด risk appetite	ตอบสนอง risk ในระดับ operational
Approve IT strategy 3 ปี	execute strategy ปีต่อปี
Monitor outcome	Monitor process
Set policy (high-level)	Set procedure (detailed)

คำถามที่ทดสอบความเข้าใจ:

ใครเป็นคนกำหนด risk appetite ของ IT? → Board (governance)
ใครเป็นคนตัดสินใจซื้อ firewall ยี่ห้อไหน? → CIO (management)
ใครรับผิดชอบสุดท้ายถ้า data breach? → Board (accountability ที่หาคนแทนไม่ได้)
ใครต้อง execute incident response? → CISO + ทีม (management)

Trap ที่เจอตลอด: “EGIT = หน้าที่ของ CIO” — ผิดครับ CIO รัน IT ตามทิศทางที่ board วาง ส่วน EGIT คือกระบวนการที่ board วางทิศทาง + ตรวจสอบ

ส่วนที่ 3: Three Lines Model — โครงสร้างที่ป้องกันตัวเอง#

ใน ตอน 02 ของ D1 เราคุยเรื่อง audit independence ไปแล้ว — แต่ยังไม่ได้ลงโครงสร้างว่า “ความอิสระ” นั้นถูกจัดวางในระบบ governance ยังไง ตอนนี้มาลงรายละเอียดเต็มครับ มันคือ Three Lines Model

3 Lines คืออะไร?#

1
First Line  → operational management ที่ owns risk
2
Second Line → risk + compliance functions ที่ monitor
3
Third Line  → internal audit ที่ provide assurance อย่างอิสระ

แต่ละ Line มีบทบาทต่างกัน — และต้อง ไม่ทำหน้าที่ของกันและกัน

First Line — คนทำงาน + คุม risk ของตัวเอง#

First Line คือ operational management — คนที่ทำงานจริง

เช่น:

ฝ่ายขายต้อง own risk ของการเก็บข้อมูลลูกค้า
ฝ่ายผลิตต้อง own risk ของระบบ MES ของตัวเอง
ฝ่าย IT operation ต้อง own risk ของระบบที่ตัวเอง maintain

First Line ไม่ใช่ “พนักงานระดับล่าง” นะครับ แต่หมายถึง “คนที่รับผิดชอบ risk ในงานของตัวเอง” ใครก็ตามที่ทำงาน + ตัดสินใจประจำวัน อยู่ใน First Line

Second Line — คนกำกับ risk + compliance#

Second Line = ฝ่ายที่ monitor ว่า First Line จัดการ risk ดีมั้ย

เช่น:

ฝ่าย Risk Management
ฝ่าย Compliance (ตามกฎหมาย/regulation)
CISO + ทีม Information Security
Quality Assurance

Second Line ไม่ใช่คนทำเอง แต่ คอยช่วย + ตรวจ + report ขึ้นไปที่ผู้บริหาร

Third Line — Internal Audit (Independent Assurance)#

Third Line = internal audit / IS audit — ทีมที่ provide independent assurance ต่อ board ว่า First Line + Second Line ทำงานจริงมั้ย

ลักษณะสำคัญที่เราเรียนใน D1:

รายงานตรงต่อ audit committee (ไม่ใช่ CFO ไม่ใช่ CIO)
มี Audit Charter ที่ board approve
มี independence ทั้งทาง structural และ attitude

คำถามคลาสสิก: IS audit อยู่ Line ไหน? → Third Line

Trap: Auditor ทำงานเป็น Line อื่นแทน#

ใน scenario ของข้อสอบ ISACA ชอบเล่นกับ trap นี้:

Scenario: ฝ่าย IT ขอให้ internal audit ช่วยออกแบบ control ใหม่ + train พนักงานใช้ — auditor ตกลงไหม?

คำตอบ: ไม่ครับ เพราะ auditor ที่ออกแบบ control + train = ทำหน้าที่ของ Second Line (และ First Line) → independence หายเมื่อต้องกลับมาตรวจ control ที่ตัวเองออกแบบ

(ยกเว้นใน CSA — Control Self-Assessment ที่ auditor เป็น facilitator ไม่ใช่ owner — ดู ตอน 04)

ส่วนที่ 4: Information Security Governance#

Security ไม่ใช่แค่เรื่อง technical — ต้องมี governance กำกับ

Pattern ที่เจอบ่อย#

หลายบริษัทมองว่า security = หน้าที่ของ CISO + IT board ไม่ engage

ผลลัพธ์: ถ้าไม่มี breach board ก็ไม่รู้ว่า security ดีหรือไม่ดี ถ้ามี breach board ก็ตอบ stakeholder ไม่ได้ เพราะไม่เคยเข้าใจ security posture ของตัวเอง

Information Security Governance ที่ดี#

Board = อนุมัติ risk appetite ของ security, รับ report เป็นรายไตรมาส (ไม่ใช่ปีละครั้ง)
CEO = accountable ต่อ security outcomes ทั้งบริษัท
CISO = implement security strategy, report ขึ้น board
IS audit = ประเมินความเหมาะสมของ governance + control

CISO Reporting Line — Trap#

Trap: CISO รายงานต่อ CIO

ทำไม trap? เพราะ CIO มีแรงจูงใจให้ระบบ uptime สูงสุด (ผลงาน CIO) แต่ security บางทีต้อง take down ระบบเพื่อแก้ vulnerability ถ้า CISO รายงาน CIO โดยตรง CISO อาจถูกบีบให้ลด priority security เพื่อรักษา uptime

Best practice: CISO รายงาน CEO หรือ board ไม่อยู่ใต้ CIO

(แต่ในความเป็นจริง บริษัทขนาดกลางหลายแห่ง CISO ยังอยู่ใต้ CIO — กรณีนั้น auditor ต้องดู compensating control เช่น CISO มี dotted line รายงานตรงต่อ audit committee เป็นรายไตรมาส)

รวม Trap Patterns ของตอน 16A#

Trap	ความเข้าใจผิด	ความเข้าใจที่ถูก
EGIT = หน้าที่ของ CIO	board ไม่เกี่ยว	EGIT = board responsibility
CIO รายงาน CFO	OK ถ้าทุก CFO ดูแล	สร้าง conflict — IT priorities ถูก financial control
CISO รายงาน CIO	natural reporting line	conflict — security อาจถูก demote เพื่อ uptime
Internal audit help design control	ช่วยฝ่ายอื่นเป็นเรื่องดี	independence หาย — Third Line อย่ากระโดดไป Second Line
Governance = Management	ใช้สลับกันได้	Governance = ทิศทาง (board) / Management = execute (CIO)
Tone at the top ไม่สำคัญ	กฎเขียนชัดพอแล้ว	culture + ethics เป็น 1 ใน 7 components ของ governance system

ปิดบท: Mental Map ของ “ใครรับผิดชอบ”#

ตอน 16A เน้นที่ คน + โครงสร้าง ของ governance:

1
[ Corporate Governance — board + shareholders + management ]
2
              ↓ subset
3
[ EGIT — IT governance ที่ board รับผิดชอบ ]
4
              ↓ structured through
5
[ Three Lines Model ]
6
   ├── First Line  — operational management (own risk)
7
   ├── Second Line — risk + compliance + CISO (monitor)
8
   └── Third Line  — Internal/IS Audit (independent assurance)
9
              ↓ specific subset
10
[ Information Security Governance — board approves security risk appetite ]

ใครรับผิดชอบอะไร ผังนี้ตอบครบ

แต่นี่เป็นแค่ “ใคร” คำถามที่ใหญ่ไม่แพ้กันคือ “ทำงานยังไง” — board ตั้ง direction ผ่านอะไร? Strategy ทำเป็น process ยังไง? Org structure แบ่ง role ลงรายละเอียดยังไง? แล้วถ้าจะ govern ระบบ IT ทั้งบริษัท จะ “เห็น” landscape ที่ตัวเอง govern ได้ยังไง?

ทั้งหมดนี้คือเรื่องของ ตอน 16B ที่จะลง IS Strategy + Strategic Planning, IT Strategy/Steering Committee, Org Structure + SoD ลึกๆ, Business Intelligence + Data Architecture, และ Enterprise Architecture (Section 2.4)

โดยรวมแล้ว 16A + 16B = ครอบ Section 2.2 + 2.4 ของ CRM ทั้งหมด แค่แยกตามคำถามที่ต่างกันเฉยๆ

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 2: Section 2.2.1-2.2.4 Organizational Structure, IT Governance and IT Strategy (EGIT, Three Lines, Information Security Governance) + Section 2.1.3 Corporate Governance + Figure 2.1 COBIT Governance Components