CISA Series ตอนที่ 22 : D2 - ปิด Domain 2 + Recap + เกริ่น Domain 3 (Acquisition/Development)

จบ Domain 2 แล้วครับ — 11 ตอน + recap ก่อนเข้า Domain 3

ขอบคุณคนที่อ่านมาถึงจุดนี้ครับ ผมรู้ว่า Domain 2 อ่านหนักกว่า Domain 1 เพราะ concept มันเป็น abstract กว่า ใน D1 เราเห็น auditor เดินทำงานจริง พอ D2 เราเห็น โครงสร้างที่ค้ำ business ทั้งบริษัท ที่ touch ได้ยาก แต่หายไปก็พังหนัก

ในบทนี้ผมจะ:

Recap ทั้ง 11 ตอนให้เห็นภาพในแผนที่เดียว
5 บทเรียนสำคัญ ที่ Domain 2 ฝังในหัว
เกริ่น Domain 3 — เปลี่ยนเรื่องจาก governance ไป SDLC

Recap: Domain 2 ทั้งหมดในภาพเดียว#

Map ของ Domain 2 — 11 ตอน#

ตอน	Part	เรื่อง	Section CRM
14	Setup	เปิด Domain 2 (storyboard) — Governance vs Management	(intro)
15	A	กฎที่ IT ต้องอยู่ใต้ — Laws + IIA 7 + Policies/Standards/Procedures hierarchy	2.1 + 2.3
16A	A	EGIT + Three Lines + Information Security Governance — ใครรับผิดชอบ	2.2.1-2.2.4
16B	A	IS Strategy + Org/SoD + Business Intelligence + EA — ทำงานยังไง	2.2.5-2.2.8 + 2.4
17A	A	Enterprise Risk Management — บริหาร risk เป็นวงจร	2.5
17B	A	Privacy Program + Data Governance — ข้อมูลที่ governance ปกป้อง	2.6 + 2.7
18	B	เปิด Part B — IT Value + Resource Management (HR + Financial)	2.8
19	B	IT Vendor Management — Outsourcing ที่ Accountability ไม่หาย	2.9
20	B	Performance Monitoring — KPI/KRI/KGI + CSF + PDCA + BSC + Six Sigma	2.10
21	B	Quality Assurance + Quality Management ของ IT	2.11
22	Close	ปิด Domain 2 (ตอนนี้) + Recap + เกริ่น Domain 3	(close)

Part A (ตอน 14-17B): “Foundation of Governance” — ตัวกฎ + โครงสร้าง + ความเสี่ยง + ข้อมูล

Part B (ตอน 18-21): “Operational Governance” — คน + เงิน + vendor + measurement + quality

ภาพ Mental Model ทั้ง Domain#

1
[ External: Laws + Regulations + Industry Standards ]
2
           ↓ (translated by org into)
3
[ Internal: Policies → Standards → Procedures → Guidelines ]
4
           ↓ (governed through)
5
[ EGIT — Board responsibility ]
6
   ├── Governance Committees (Strategy + Steering)
7
   ├── Three Lines Model (Operational / Risk / Audit)
8
   ├── Roles + SoD (Data Owner vs Custodian)
9
   └── Enterprise Architecture (the map)
10
           ↓ (protects against)
11
[ Risks → ERM lifecycle (Identify/Assess/Respond/Monitor) ]
12
   ├── Privacy Program (Personal Data subset)
13
   └── Data Governance + Classification (all data)
14
           ↓ (operationalized through)
15
[ Resource Management (HR / Change / Financial / Security) ]
16
   └── Vendor Management (outsourced functions)
17
           ↓ (measured by)
18
[ Performance Monitoring (KPI / KRI / KGI / PDCA / BSC) ]
19
           ↓ (quality assured by)
20
[ QA + Quality Management + Operational Excellence ]
21
           ↓ (independently assessed by)
22
[ IS Auditor (Third Line) ]

นี่คือทั้ง โลก ของ Domain 2 ครับ ทุก concept อยู่ในแผนผังนี้

5 บทเรียนสำคัญที่ Domain 2 ฝังในหัว#

ถ้าจำได้แค่ 5 อย่างจาก Domain 2 ทั้งหมด ขอให้จำ:

1. Accountability ไม่ Transfer#

ไม่ว่าจะ outsource ไปกี่ vendor ไม่ว่าจะใช้ cloud หนักแค่ไหน ไม่ว่า committee จะตั้งกี่ชุด ความรับผิดชอบสุดท้ายต่อ stakeholder ยังอยู่กับองค์กร อยู่ดี

นี่คือ theme ที่กลับมาในหลายตอน:

ตอน 16A — EGIT = board responsibility (ไม่ใช่ของ CIO)
ตอน 19 — outsourcing โอน execution ไม่โอน accountability
ตอน 17A — risk acceptance ต้อง document ไม่ใช่ “ปล่อย”

ผู้บริหารที่เข้าใจประโยคนี้ → outsource อย่างมี governance ผู้บริหารที่เข้าใจผิด → outsource เพื่อหลีกเลี่ยงความรับผิดชอบ (แล้วก็จะเจอความผิดหวังตอนเกิดเหตุ)

2. Governance ≠ Management#

เส้นแบ่ง 2 คำที่คนใช้สลับกันตลอด:

Governance = board เป็นคนทำ — กำหนดทิศทาง อนุมัติ risk appetite monitor outcome
Management = CIO + ทีม — execute ตามทิศทาง run day-to-day

ทุก trap ของ Domain 2 ที่เกี่ยวกับ committee, role, structure มี root อยู่ที่นี่ทั้งนั้น:

IT Strategy Committee (board level — advise) ≠ IT Steering Committee (management level — execute) — รายละเอียดใน ตอน 16B
EGIT (board) ≠ IT operations (CIO) — รายละเอียดใน ตอน 16A
Risk appetite (board approves) ≠ Risk tolerance per category (operational) — รายละเอียดใน ตอน 17A

3. วงจรไม่หยุด#

Risk management ไม่ใช่ทำครั้งเดียวจบ Privacy program ไม่ใช่ post notice แล้วจบ Vendor management ไม่ใช่เซ็น contract แล้วจบ Performance measurement ไม่ใช่ collect ตัวเลขครั้งเดียว — ทุกอย่างคือ วงจร ที่ต้อง monitor + improve ต่อเนื่องครับ

ตัวอย่าง pattern ของ “วงจรไม่หยุด” ใน Domain 2:

ERM lifecycle — Identify → Assess → Respond → Monitor → (loop)
PDCA — Plan → Do → Check → Act → (loop)
Vendor governance — Due diligence → Contract → Monitor → Review → (loop)
Privacy program — Inventory → Notice → Train → Audit → Update → (loop)

บริษัทที่ทำ governance เป็น project (เริ่ม–จบ) → governance หายไปตอน project หมดแรง บริษัทที่ทำ governance เป็น culture (ต่อเนื่อง) → governance ปรับตัวตาม environment ที่เปลี่ยน

4. Independence = Structural ไม่ใช่ Attitude#

ใน Domain 1 เราเรียนเรื่อง audit independence — Domain 2 เราเห็นว่า principle เดียวกัน apply ที่อื่นๆ ของ governance ด้วย:

Audit Independence (ตอน 02 — D1) — รายงานต่อ audit committee ไม่ใช่ CFO
CISO Reporting (ตอน 16A) — ไม่ควรอยู่ใต้ CIO
QA Independence (ตอน 21) — ไม่อยู่ใต้ development manager
Data Owner vs Custodian (ตอน 17B) — DBA ไม่ approve access ตัวเอง
SoD (ตอน 16B) — Custody ≠ Authorization ≠ Recording

ทุกกรณีคือ โครงสร้าง enforce independence ในระยะยาว ไม่ใช่ความตั้งใจของบุคคล

ในบริษัทเล็กที่ทำไม่ได้ทาง structural → compensating controls ครับ (ไม่ใช่ skip)

5. Documentation = Asset#

หลายผู้บริหารมอง documentation เป็น overhead เปลืองเวลา ไม่ generate revenue

แต่ Domain 2 ฝังในหัวว่า documentation = asset ของ governance ครับ:

Policy ที่ไม่ document = ไม่มีใครรู้ว่ามี = control ที่ไม่มีอยู่จริง
Procedure ที่ไม่ document = process ขึ้นกับคน = หายไปเมื่อคนลาออก
Risk acceptance ที่ไม่ document = neglect ในมุม auditor
PIA ที่ไม่ document = compliance ที่พิสูจน์ไม่ได้
Training ที่ไม่ document = “พนักงานเรารู้แล้ว” ที่ไม่มี evidence
SOC report จาก vendor = ระบบ documentation ที่ทำให้ accountability ไม่หายเมื่อ outsource

ถ้าไม่มี documentation = control ไม่มีอยู่ในมุม auditor

นี่คือ litmus test ที่กลับมาตลอด Domain 2 เลยครับ

เกริ่น Domain 3: Acquisition, Development, Implementation#

ถึงจุดนี้ เราเดินทางจาก:

Domain 1 = วิธีของหมอ (auditor process)
Domain 2 = สรีระวิทยาของผู้ป่วย (governance ขององค์กร)

Domain 3 จะเปลี่ยนเรื่องอีกครั้ง — ไม่ใช่ governance เป็นภาพรวมแล้ว แต่จะ ลึกลงไปที่ project ที่กำลังสร้าง / ซื้อ / deploy ระบบใหม่ แทน

Mental Model ของ Domain 3#

ลองคิดว่า Domain 1+2 เป็นการเตรียมความพร้อมเชิงระบบ ตอนนี้ business ของเรามี idea ว่าจะสร้างระบบใหม่ (เช่น app ใหม่ ระบบ ERP ใหม่ AI platform ใหม่)

จาก idea → ระบบที่ go-live ใน production มี lifecycle ที่ยาวมาก:

1
Idea → Feasibility → Design → Build/Acquire → Test → Deploy → Review

Domain 3 จะคุยทุก phase นี้ ในมุม IS auditor ที่เข้าไปตรวจ project ตั้งแต่ต้นจนจบ

หัวข้อที่จะมาใน Domain 3#

หัวข้อ	จะคุยอะไร
Project Governance	ใครรับผิดชอบ project, business case, feasibility
SDLC (Software Development Life Cycle)	Waterfall, Agile, Scrum, DevOps
Build vs Buy	Develop เองหรือซื้อ — RFP, vendor evaluation
Application Controls	Input/Process/Output controls — 3 ด่าน
Testing	UAT, integration test, security test
Go-Live	Configuration, Release, Migration, Data Conversion
Postimplementation Review	ระบบทำงานจริงตามที่หวังมั้ย

Cross-references จาก Domain 2 ที่จะกลับมา#

Project governance ใน Domain 3 → ใช้ EGIT framework จาก Domain 2 ตอน 16
Vendor evaluation ใน acquisition → ใช้ knowledge จาก Domain 2 ตอน 19 (Vendor Management)
Right-to-audit clause ใน software acquisition → จาก Domain 2 ตอน 19
Project risk → ใช้ ERM framework จาก Domain 2 ตอน 17
Test data privacy → จาก Domain 2 ตอน 17 (developer ห้าม access production data)

ถ้า Domain 2 แน่น Domain 3 จะอ่านไหลขึ้นเยอะเลยครับ เพราะ governance ที่ Domain 2 วางไว้คือ constraint ที่ project ของ Domain 3 ทำงานภายใต้

Trap Patterns ที่ Domain 3 จะมา#

แย้มไว้ก่อน:

IS auditor ที่ joining project = consultant ไม่ใช่ auditor (independence ที่หาย)
WBS = deliverable-based ไม่ใช่ task-based
Steering Committee ≠ Project Manager
Agile ≠ no documentation
Vendor ทำ testing ของซอฟต์แวร์ที่ขายให้บริษัท ≠ เพียงพอ — บริษัทต้อง test เอง

ปิดไปแล้ว 2 Domain จาก 5 — เกือบครึ่งทางแล้วครับ#

ตอนนี้เราจบไปแล้ว 2 Domain จากทั้งหมด 5 (รวม 11 ตอนของ D2 + 13 ตอนของ D1 = 24 ตอน) ถือว่าเกือบครึ่งทางของ series แล้ว

ถ้านึกย้อนกลับไป เราเริ่มจากคำถาม “IS audit คืออะไร” ใน ตอน 0 ตอนนี้เราเดินผ่าน:

D1 — auditor ทำงานยังไง: Charter, Universe, Risk-based plan, Engagement, Evidence, Report, Follow-up
D2 — องค์กรที่ดีต้องมี governance ยังไง: Laws, EGIT, Three Lines, Risk, Privacy, Resource, Vendor, Performance, Quality

จากนี้ไป Domain 3, 4, 5 จะลงไปที่ เทคนิค ของ IT audit จริง:

Domain 3 = ตรวจ project ที่กำลังสร้างระบบใหม่
Domain 4 = ตรวจ operations + business resilience (ระบบ live แล้วทำงานยังไง + รอดเมื่อล่มยังไง)
Domain 5 = ตรวจ security ของระบบที่ live

ภาษา risk + control + independence + governance ที่เราเรียนมาทั้ง 22 ตอน ทั้งหมดจะ apply ตลอด D3-D5 ในบริบทเฉพาะของแต่ละ domain

ขอบคุณที่ติดตามมาถึงจุดนี้ครับ 22 ตอนเป็นการเดินทางที่ยาว แต่หวังว่ามันให้ภาพ governance ของ IT ที่ครบและ make sense ในแบบที่ตำราเรียนอาจไม่ได้ให้

เจอกันใน Domain 3 ครับ

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 2: Governance and Management of IT — Domain 2 wrap-up