697 คำ
3 นาที
CISA Series ตอนที่ 06 : D1 - Risk-Based Planning + Audit Universe + 4 Layers
2026-05-04
บันทึกส่วนตัว
เรื่องที่เรียน เรื่องที่อ่าน
IT
/
Auditor
สารบัญ
Recap: ที่ผ่านมาเรารู้อะไรแล้ว ปัญหาที่ Risk-Based Planning ตอบ 4 Layers ของ IS Audit Planning ชั้นที่ 1: Audit Universe — “มีอะไรในขอบเขต?” ชั้นที่ 2: Annual Audit Plan — “ปีนี้ตรวจอะไรบ้าง?” ชั้นที่ 3: Individual Audit Assignment — “งานครั้งนี้วางแผนยังไง?” ชั้นที่ 4: 5-Phase Execution — “ลงมือทำยังไง?” Risk Assessment Techniques: ให้ Score กับ Risk ยังไง? Approach 1: Scoring System (เชิงปริมาณ) Approach 2: Subjective Assessment (เชิงคุณภาพ) ใครเป็นคนทำ Risk Assessment? Short-Term vs Long-Term Planning ทำไม Audit Planning ใช้เวลา? Cross-Domain Reference

Recap: ที่ผ่านมาเรารู้อะไรแล้ว#

ก่อนเข้าเรื่องวันนี้ ขอย้อนสั้นๆ ครับ

ใน ตอน 03 เราเล่า flow ของ IS audit ครบวง — ครึ่งหลังของบทนั้น (มุมมอง auditor) วางขั้นตอนการทำงานไว้แบบนี้:

Charter → Audit Universe → Risk Assessment → Annual Plan
       → เลือกประเภท Audit → Engagement → ดู Control → Evidence → Report

ใน ตอน 04 เราเจาะ “เลือกประเภท Audit” ไปแล้ว — รู้ว่ามี 11 ประเภท + CSA + Integrated และวิธีคิดที่ ISACA ใช้แบ่ง

ใน ตอน 05 เราปูพื้น ภาษา Risk + Control — Audit Risk Trinity, Materiality, 3 Methods, 5 Classifications, Risk-Control Link

ตอนนี้ถึงเวลาเอาทั้งหมดมาใช้จริง — วางแผนตรวจอย่างไรให้ resource ที่จำกัดถูกใช้ตรงจุด

ปัญหาที่ Risk-Based Planning ตอบ#

ลองนึกภาพคุณเป็น IS auditor และเพิ่งได้รับมอบหมายให้ดูแล IS audit function ของบริษัทใหม่

บริษัทมีระบบ IT 40 ระบบ ทีมของคุณมี 5 คน เวลา 1 ปี

คำถามแรก: ตรวจระบบไหนก่อน?

  • ตอบว่า “ตามที่ management ขอ” → ผิด (management อาจเลี่ยงพื้นที่ที่ตัวเองอ่อน)
  • ตอบว่า “ตามลำดับหมายเลข” → ผิด (ไม่มี logic)
  • ตอบว่า “ที่ auditor คิดว่าน่าสนใจ” → ผิด (ไม่ objective)

คำตอบที่ถูก: ตรวจตาม risk — ใช้ภาษา risk ที่เพิ่งคุยใน ตอน 05 มาจัดอันดับว่าระบบไหน “เสี่ยงสูงสุด”

แต่ “ตรวจตาม risk” ไม่ใช่แค่ประโยคเดียว — มันเป็น กระบวนการที่มี 4 ชั้นซ้อนกัน ที่ ISACA กำหนดให้ทุก IS audit function ต้องทำ

4 Layers ของ IS Audit Planning#

แต่ละชั้นตอบคำถามคนละอย่าง — ต้องผ่านชั้นบนก่อนถึงจะลงไปชั้นล่างได้

ชั้นที่ 1: Audit Universe — “มีอะไรในขอบเขต?”#

Audit Universe = รายการครบของทุก process / ระบบ / หน่วยงาน / vendor ที่ผูกพันต่อการถูก audit

ไม่ใช่แค่ “ระบบ IT” — แต่รวม business processes ทั้งหมดที่ใช้ IT สนับสนุน เช่น กระบวนการสั่งซื้อ, payroll, จัดการข้อมูลลูกค้า

ที่มาของ Audit Universe: มาจาก Charter ที่ board อนุมัติ (ตอน 02) ขอบเขตที่ Charter กำหนด = ขนาดของ Audit Universe

ถ้าไม่รู้ว่ามีอะไรทั้งหมด — ก็ไม่มีทางรู้ว่า “ตรวจครบ” หรือยัง Audit Universe คือ inventory ของจักรวาลที่ตรวจได้

ชั้นที่ 2: Annual Audit Plan — “ปีนี้ตรวจอะไรบ้าง?”#

จาก Audit Universe ทั้งหมด — IS auditor ทำ risk assessment เพื่อจัดลำดับ

Risk factors ที่ใช้พิจารณาว่าถ้า process มีปัญหาจะส่งผลเสียแค่ไหน:

  • High — ถ้าเกิดปัญหา ใช้เวลาฟื้นเกิน 6 เดือน
  • Medium — ฟื้นใน 3-6 เดือน
  • Low — ฟื้นภายใน 3 เดือน

Annual Plan = รายการ processes ที่จัดเป็น High risk — สิ่งที่ต้องตรวจปีนี้เป็นอย่างน้อย

ความจริงที่ซ่อนอยู่: ทรัพยากร audit team มักไม่พอสำหรับ High risk ทั้งหมด เมื่อเกิด resource gap ต้องบันทึกว่า gap มีอยู่ และ residual risk ถูกยอมรับโดย management ระดับที่เหมาะสม — ไม่ใช่แค่ข้ามไปโดยไม่บอกใคร

Annual Plan ต้องผ่านใคร? ทบทวนโดย senior audit management และอนุมัติโดย audit committee (หรือ board ถ้าไม่มี audit committee) และต้องสื่อสารให้ management ที่เกี่ยวข้องรับรู้

Annual Plan ไม่ใช่เอกสาร “ทำแล้วจบ” — ถ้า risk environment เปลี่ยนอย่างมีนัยสำคัญ (เพิ่งย้ายไป cloud, มีการเปลี่ยนกฎหมาย) ต้องอัปเดตแผน

ชั้นที่ 3: Individual Audit Assignment — “งานครั้งนี้วางแผนยังไง?”#

เมื่อ Annual Plan กำหนดแล้วว่าตรวจอะไร — แต่ละงาน audit ต้องวางแผน เฉพาะของตัวเอง

ISACA กำหนด 10 ขั้นตอน สำหรับการวางแผน IS audit engagement:

  1. เข้าใจ mission, objectives, processes ขององค์กร รวมถึง availability, integrity, security, privacy ของข้อมูล
  2. เข้าใจ governance structure ที่เกี่ยวกับ audit objectives
  3. เข้าใจการเปลี่ยนแปลงใน business/IT environment
  4. ระบุ policies, standards, guidelines, procedures ที่บังคับใช้
  5. ทำ risk analysis เพื่อออกแบบ audit plan
  6. กำหนด audit scope และ objectives ให้ชัด
  7. พัฒนา audit approach หรือ audit strategy
  8. จัดสรรทรัพยากรบุคคล
  9. จัดการ engagement logistics (การเข้าถึง, ตารางเวลา, จุดติดต่อ)
  10. ระบุวิธีการสำหรับ continuous audit ถ้าจะใช้ CAATs

แต่ละงาน audit ต้องพิจารณา: ผล risk assessment รอบล่าสุด, การเปลี่ยนแปลงเทคโนโลยี, regulatory requirements, ตารางเวลาการ implement ระบบ

ชั้นที่ 4: 5-Phase Execution — “ลงมือทำยังไง?”#

ชั้นที่ลงมือจริง แบ่งเป็น 5 phases (จะเจาะลึกใน Part B):

  • Planning — กำหนด subject, objectives, scope, risk assessment
  • Fieldwork — เก็บข้อมูล ทดสอบ controls
  • Documentation — บันทึกทุกอย่างใน work papers
  • Reporting — ร่าง ทบทวน ออก audit report
  • Follow-up — ติดตาม corrective actions

แต่ละ phase มีกิจกรรมและสิ่งที่ต้องส่งมอบเฉพาะของมัน

Risk Assessment Techniques: ให้ Score กับ Risk ยังไง?#

ในชั้นที่ 2 (Annual Plan) เราบอกว่า “ใช้ risk เป็นตัวจัดลำดับ” — แต่จะให้คะแนน risk ยังไง?

ISACA กำหนด 2 แนวทางหลัก:

Approach 1: Scoring System (เชิงปริมาณ)#

ให้ค่าตัวเลขกับ risk factors ต่างๆ → คำนวณ overall risk score

Risk factors ที่ใช้ประเมินอาจรวม:

  • ความซับซ้อนทางเทคนิคของระบบ/process
  • ระดับของ existing control procedures
  • ระดับของ financial loss/ผลกระทบถ้าเกิดปัญหา

ตัวแปรเหล่านี้อาจถ่วงน้ำหนักต่างกัน (เช่น financial impact สำคัญกว่าความซับซ้อนทางเทคนิค 2 เท่า) ขึ้นกับ risk appetite ขององค์กร ผล risk scores จากทุก process ถูกนำมาเปรียบเทียบเพื่อจัดลำดับ

ข้อดี: อธิบายได้ — ถ้าถูกถาม “ทำไมไม่ตรวจระบบ X ปีนี้?” คำตอบที่มีตัวเลขรองรับน่าเชื่อถือกว่า “เพราะคิดว่า risk ไม่สูง”

Approach 2: Subjective Assessment (เชิงคุณภาพ)#

ใช้ความรู้เกี่ยวกับธุรกิจ + วิจารณญาณ + ประสบการณ์แทนตัวเลข

แหล่งข้อมูลที่ป้อนเข้า:

  • ความรู้เกี่ยวกับธุรกิจที่ audit team มีต่อองค์กร
  • คำสั่งจาก executive management ว่ากังวลอะไรเป็นพิเศษ
  • มุมมองทางประวัติศาสตร์ — อะไรที่เคยเป็นปัญหา
  • เป้าหมายธุรกิจปัจจุบัน
  • ปัจจัยแวดล้อมที่เปลี่ยน (กฎหมาย, ตลาด)

ทั้งสองแนวทางใช้ร่วมกันได้ และในทางปฏิบัติมักทำแบบนั้น — scoring system เป็นฐาน + ปรับด้วย subjective judgment

ใครเป็นคนทำ Risk Assessment?#

จาก ตอน 05 เราคุยไปแล้วว่า — management เป็นคนทำ risk assessment ไม่ใช่ IS auditor

IS auditor:

  • ช่วย management ในกระบวนการ risk assessment ได้
  • ประเมินคุณภาพ ว่า risk assessment ที่ management ทำนั้น เหมาะสม ทันเวลา ครอบคลุมหรือเปล่า

CISA exam ชอบทดสอบเรื่องนี้: คำถามว่า “ใครเป็นเจ้าของ risk assessment?” → คำตอบ = management (ไม่ใช่ IS auditor)

Short-Term vs Long-Term Planning#

ISACA เน้นว่า planning ต้องมีทั้ง 2 ระยะ:

Short-term planning = audit issues ที่จัดการในปีนี้ — มาจาก risk assessment ปัจจุบัน, findings จาก audits ก่อนหน้า, การเปลี่ยนกฎหมายที่เพิ่งเกิด

Long-term planning = audit issues จาก IT strategy ระยะยาว — เช่น ถ้าบริษัทวางแผนย้ายไป cloud ใน 3 ปี, audit function ต้องเตรียมขีดความสามารถสำหรับ cloud environment ล่วงหน้า

ทั้งสองต้องทบทวนอย่างน้อยปีละครั้ง + อัปเดตถ้า risk environment เปลี่ยน

ทำไม Audit Planning ใช้เวลา?#

หลายองค์กรรู้สึกว่า IS audit ใช้เวลา “เตรียมตัว” นานเกินไป

แต่ถ้าเข้าใจ 4-layer planning hierarchy แล้ว จะเห็นว่า:

ถ้า IS auditor ข้ามขั้น planning → Audit Universe อาจไม่ครบ, Annual Plan อาจตรวจผิดบริเวณ, Individual assignment อาจกำหนด scope ผิด → audit report ที่ไม่จัดการ risk จริง

ถ้า planning ทำได้ดี → ทรัพยากรถูกใช้ตรงจุด, ทุก finding มีบริบทว่าทำไม material, management รู้สึกว่า audit เพิ่มคุณค่าจริง

IS audit ที่ดีต้องอาศัยเวลา planning พอๆ กับ fieldwork — นั่นไม่ใช่ข้อเสีย แต่เป็นสัญญาณว่า audit function ทำงานอย่างมืออาชีพ

Cross-Domain Reference#

แนวคิด planning ที่เรียนที่นี่จะกลับมาเจอใน Part B และ Domain อื่นด้วย:

  • Domain 4 (Operations) → Business Impact Analysis เป็นการนำ risk-based thinking ไปใช้กับ business continuity
  • Part B ของ Domain 1 → 5-Phase Execution ที่เกริ่นไว้ในชั้น 4 จะเจาะลึก

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.3 Risk-Based Audit Planning

Ciel
orchestrated by Ciel
JustNotOrdinary's Chief-of-Staff →
CISA Series ตอนที่ 05 : D1 - ภาษา Risk + Control: ปูพื้นก่อนวางแผน
CISA Series ตอนที่ 07 : D1 - Compliance + Laws & ปิดท้าย Part A เตรียมตัวสู่ Part B
© 2026 Just Not Ordinary. All Rights Reserved. / Sitemap