ใน ตอน 03 ครึ่งแรก เราเล่า flow วิวัฒนาการในมุมเจ้าของธุรกิจไว้แบบนี้:

1
ปัญหาเกิด (Risk) → หาวิธีแก้ (Control) → Control เยอะขึ้น → Framework

Risk และ Control เป็นคู่หูที่เกิดมาคู่กันในโลกธุรกิจ — รู้ Risk ก่อน → สร้าง Control ตอบ Risk

ก่อนจะลงไปคุยเรื่องการวางแผนตรวจในตอนถัดไป ตอนนี้ขอปูพื้น “ภาษา” ของสองคำนี้ให้ครบเสียก่อน เพราะภาษา Risk และ Control เป็นภาษาที่ IS auditor ใช้สื่อสารกันตลอดทั้ง Domain — ตั้งแต่วางแผน, fieldwork, จนถึง report

บทนี้ยาวหน่อยครับ เพราะรวม 3 เรื่องเป็นหนึ่ง:

ส่วนที่ 1: ภาษาของ Risk ในมุม audit (Trinity + Materiality)
ส่วนที่ 2: ภาษาของ Control (3 Methods + 5 Classifications)
ส่วนที่ 3: เชื่อม Risk + Control เข้าด้วยกัน + Prescriptive Frameworks

ลุยทีเดียวให้จบ — แล้วบทถัดไป (ตอน 06) จะเอาความรู้นี้ไปใช้วางแผนตรวจจริง

ส่วนที่ 1: ภาษาของ Risk ใน Audit#

Risk ใน Audit ไม่เหมือน Risk ในธุรกิจ#

ก่อนเริ่ม ต้องแยกให้ชัดเจนก่อน เพราะนี่คือจุดที่ผู้บริหารหลายคนสับสน

Business Risk = ความเสี่ยงที่บริษัทจะไม่บรรลุเป้าหมาย (ขายไม่ได้, ระบบล่ม, ลูกค้าหาย)

Audit Risk = ความเสี่ยงที่ IS auditor จะให้ความเห็นที่ไม่ถูกต้อง เพราะพลาด material error

สองอย่างนี้คนละเรื่อง — IS audit ที่มี audit risk ต่ำ ไม่ได้แปลว่า business risk ของบริษัทต่ำ แค่แปลว่าความเห็นที่ออกมานั้นน่าเชื่อถือมาก

ในบทนี้เราคุยเรื่อง Audit Risk — ภาษาที่ auditor ใช้ตอบคำถาม “ผมจะมั่นใจขนาดไหนว่าตรวจครบ?”

Audit Risk Trinity: 3 องค์ประกอบที่ซ้อนกัน#

ลองนึกถึงหมอที่ต้องตรวจสุขภาพผู้ป่วย 100 คนภายในหนึ่งวัน

หมอตรวจทุกอย่างกับทุกคนไม่ได้ ต้องตัดสินใจว่า “ใครเสี่ยงสูง ตรวจละเอียด” และ “ใครเสี่ยงต่ำ ตรวจเบื้องต้นก็พอ” — แต่นั่นหมายความว่ามีโอกาสที่หมอจะ พลาดบางอย่าง

โอกาสพลาดนั้นขึ้นกับ 3 อย่าง: ผู้ป่วยมีสุขภาพพื้นฐานดีแค่ไหน + ระบบตรวจมาตรฐานดีแค่ไหน + การตรวจของหมอเองดีแค่ไหน

นั่นคือตรรกะของ Audit Risk Trinity ที่ ISACA กำหนด:

1. Inherent Risk — ความเสี่ยงตามธรรมชาติ#

Inherent Risk = ระดับความเสี่ยงของกระบวนการ/หน่วยงานที่กำลังถูก audit โดยไม่คำนึงถึง controls

ถ้าสมมติว่าไม่มี internal control อะไรเลย — กระบวนการนี้มีโอกาสเกิดปัญหาแค่ไหน?

Inherent Risk ขึ้นอยู่กับ ธรรมชาติของธุรกิจ เอง:

บริษัทจัดการเงินสดจำนวนมาก → inherent risk สูงกว่าบริษัททำซอฟต์แวร์
ระบบประมวลธุรกรรมล้านรายการ/วัน → สูงกว่าระบบใช้เดือนละครั้ง
กระบวนการที่ใช้วิจารณญาณคน → สูงกว่ากระบวนการอัตโนมัติตรงๆ

สิ่งสำคัญ: IS auditor “ลด” Inherent Risk ไม่ได้ มันเป็นลักษณะเฉพาะของกระบวนการ สิ่งที่ทำได้คือ รับรู้ ว่ามันสูงหรือต่ำ และปรับความเข้มข้นของการ audit ตามนั้น

2. Control Risk — ความเสี่ยงที่ Internal Control จะล้มเหลว#

Control Risk = ความเสี่ยงที่ material error จะเกิดและ ไม่ถูกป้องกันหรือตรวจจับได้ทันเวลา โดย internal control ที่มีอยู่

นี่คือความเสี่ยงที่ว่า “controls มีอยู่ — แต่ไม่ทำงาน” หรือ “มีช่องโหว่”

ตัวอย่าง:

Control risk สูง: ตรวจ computer logs ด้วยมือ — คนตรวจมักพลาดความผิดปกติ
Control risk ต่ำ: ตรวจสอบข้อมูลแบบอัตโนมัติที่ตั้งค่าถูกต้อง — ทุกธุรกรรมผ่านการตรวจเหมือนกัน

ความต่างจาก Inherent Risk: Control Risk เป็นลักษณะของ control system ที่ management ออกแบบ ไม่ใช่ลักษณะของกระบวนการธุรกิจเอง

3. Detection Risk / Overall Audit Risk — ความเสี่ยงที่ Auditor จะพลาด#

Detection Risk หรือ Overall Audit Risk = ความเสี่ยงที่ IS auditor จะ ไม่ตรวจจับ material error

นี่คือ risk ที่ตรงที่สุดสำหรับ IS auditor เพราะมันคือความเสี่ยงว่าความเห็นจาก audit จะ ผิด

เป้าหมายของแนวทาง audit คือจำกัด overall audit risk ให้อยู่ในระดับที่ “ต่ำเพียงพอ” เมื่อ audit เสร็จ

ความสัมพันธ์ระหว่าง 3 องค์ประกอบ#

องค์ประกอบ	ขึ้นอยู่กับ	IS Auditor ควบคุมได้?
Inherent Risk	ธรรมชาติของกระบวนการธุรกิจ	ไม่ได้ — รับรู้และตอบสนอง
Control Risk	คุณภาพของ internal controls	ไม่ได้โดยตรง — แต่ประเมินและรายงาน
Detection Risk	ขั้นตอนของ audit ที่ใช้	ได้ — ผ่านการออกแบบแนวทาง audit

ตรรกะการใช้ 3 องค์ประกอบ:

Inherent สูง + Control สูง → ต้องทุ่ม audit effort มากกว่า
Inherent ต่ำ + Control ต่ำ → audit ที่เบากว่าก็บรรลุ overall risk ในระดับที่ยอมรับได้

Materiality: ไม่ใช่ทุก Error ที่ต้องรายงาน#

Materiality = ความสำคัญของข้อมูลชิ้นหนึ่งว่ามีผลกระทบต่อหน่วยงานที่ถูก audit ขนาดไหน

เข้าใจง่ายๆ: error บางตัวเล็กมากจนไม่มีผลต่อการตัดสินใจของใคร — นั่นคือ error ที่ ไม่ material

แต่ถ้า error นั้นใหญ่พอที่จะเปลี่ยนข้อสรุปของคนที่อ่านรายงาน — นั่นคือ material error ที่ต้องรายงาน

กฎผกผันที่ออกข้อสอบบ่อย#

ความสัมพันธ์ผกผันระหว่าง Materiality กับ Acceptable Audit Risk:

ยิ่ง Materiality สูง → ยิ่งรับ audit risk ได้น้อย ยิ่ง Materiality ต่ำ → ยิ่งรับ audit risk ได้มากขึ้น

ทำไม? เพราะถ้าพื้นที่ที่ audit มี materiality สูง — พลาดไปผลกระทบใหญ่ → ต้อง audit ระมัดระวังกว่า ลด audit risk ให้ต่ำ

ถ้าพื้นที่ materiality ต่ำ — พลาดผลกระทบน้อย → รับ audit risk สูงขึ้นได้

ผลรวมของจุดอ่อน#

จุดอ่อน internal control บางอย่างที่ดูเล็ก อาจรวมกับผลของความเสี่ยงอื่นๆ และกลายเป็น material ต่อระบบโดยรวม

เช่น ระบบไม่จับ error เล็กรายการเดียว แต่ถ้า error เกิดซ้ำในทุกธุรกรรมของวัน — ผลสะสมอาจ material มาก

Risk Analysis: ใครเป็นคนทำ?#

ISACA กำหนดชัดเจน — management เป็นผู้รับผิดชอบ risk assessment ไม่ใช่ IS auditor

บทบาทของ management: ระบุ risk, คำนวณ, จัดลำดับ, ออกแบบ controls ตอบ risk

บทบาทของ IS auditor:

ช่วย management ในกระบวนการ risk assessment ได้ (advisory role)
ประเมินอย่างอิสระ ว่า risk assessment ที่ management ทำนั้นเหมาะสม ทันเวลา และครอบคลุมหรือเปล่า

แยกชัด — management ทำ risk assessment / IS auditor ตรวจคุณภาพ ของ risk assessment นั้น

ส่วนที่ 2: ภาษาของ Control#

ตอนนี้เปลี่ยนจาก Risk มาที่ “อีกฝั่งของคู่หู” — Control

Control คืออะไรจริงๆ?#

Control = องค์ประกอบของ policies, procedures, practices, และ organizational structures ที่ถูกติดตั้งเพื่อ ลด risk

Internal Controls = controls ที่พัฒนาขึ้นเพื่อให้ reasonable assurance แก่ management ว่า:

วัตถุประสงค์ทางธุรกิจจะบรรลุผล
risks จะถูกป้องกัน หรือถูกตรวจพบและแก้ไข

สังเกตคำว่า “reasonable assurance” — ไม่ใช่ “absolute assurance” เพราะ internal control ทุกระบบมีข้อจำกัด ไม่มีระบบใดรับประกัน 100%

สองสิ่งที่ Controls ต้องตอบ#

Controls ที่ดีต้องตอบ 2 คำถาม:

What should be achieved — controls ต้องช่วยให้บรรลุวัตถุประสงค์
What should be prevented — controls ต้องป้องกันการกระทำที่ไม่ต้องการ

ทั้งสองมิตินี้ต้องอยู่ในระบบ control เสมอ — control ที่ป้องกันเฉยๆ โดยไม่เอื้อให้ทำงานได้ก็เป็นปัญหา เพราะกลายเป็นอุปสรรคทางธุรกิจ

Control Activities เกิดทุกระดับ#

Control activities ไม่ได้เกิดแค่ที่ IT department — แต่ทั่วทั้งองค์กร:

การให้การอนุมัติและการมอบอำนาจ
การตรวจสอบและกระทบยอด
การทบทวนผลการดำเนินงาน
การปกป้องทรัพย์สิน
การทำให้เกิด separation of duties

Control มี 2 มิติที่ต่างกัน#

ทุก control มี 2 มิติ ที่ต่างกัน:

มิติที่ 1 — Method (ทำงานยังไง): Managerial / Technical / Physical
มิติที่ 2 — Classification (ทำงานเมื่อไหร่): Preventive / Deterrent / Detective / Corrective / Compensating

ทุก control จะมีทั้ง method และ classification เสมอ — เช่น Firewall = Technical method + Preventive classification

มาดูทีละมิติ

มิติที่ 1: 3 Methods — ทำงานยังไง?#

ลองนึกถึงธนาคารที่มีเงินสดจำนวนมากใน vault ธนาคารจะมีมาตรการหลายอย่างพร้อมกัน:

ประตู vault แข็งแรง (Physical)
ระบบ access card จำกัดว่าใครเข้าได้ (Technical)
นโยบายต้องมีคนสองคนเสมอเมื่อเปิด vault (Managerial)

ไม่มีอันไหน “เพียงพอ” คนเดียว — ทั้งสามต้องทำงานร่วมกัน

Managerial (Administrative) Controls#

Managerial Controls = controls ที่เกี่ยวกับการกำกับดูแล การรายงาน ขั้นตอนปฏิบัติ การดำเนินงานของ process

ลักษณะเฉพาะ: ไม่ใช้ technology หรือสิ่งกีดขวางทางกายภาพ — ใช้ organizational processes + การตัดสินใจของมนุษย์ เป็นกลไก

ตัวอย่าง:

Policies and procedures — เอกสารระบุว่าควรทำอะไรอย่างไร
Accounting controls เช่น balancing — ตรวจความถูกต้องผ่านการทบทวนโดยคน
Compliance and development controls — กระบวนการที่ทำให้กิจกรรมเป็นไปตามข้อกำหนด

Managerial controls = กระดูกสันหลัง ของ control system ทั้งหมด เพราะ Technical และ Physical ต้องอาศัย Managerial เพื่อทำงานได้ถูกต้อง

Technical (Logical) Controls#

Technical Controls = controls ที่ใช้ technology, equipment หรือ devices

อีกชื่อในบริบท CISA: Logical Controls

ตัวอย่าง:

Firewall ruleset — กำหนด traffic ที่อนุญาต/ปฏิเสธ
Antivirus software — สแกน malicious code
Intrusion Detection Systems (IDS) — เฝ้าระวังและแจ้งเตือน
Encryption — ปกป้องข้อมูล at-rest และ in-transit

กฎสำคัญ: Technical ต้องอาศัย Managerial#

นี่เป็นจุดที่ CISA ออกข้อสอบบ่อย — ลองนึกถึง scenario ที่ผมเจอจริงในงาน consulting

โรงพยาบาลแห่งหนึ่งซื้อระบบ encryption ราคาหลายล้านมาปกป้องข้อมูลผู้ป่วย ทุกอย่าง deploy ครบ encryption เปิด log เปิดครบ

หกเดือนผ่านไป ผมไปเยี่ยมและถามคำถามง่ายๆ — “ใครเป็นคนถือ encryption key?” คำตอบ: “ฝ่าย IT ทุกคนเข้าได้เพราะใส่ใน shared drive ตอน deploy”

อีกคำถาม — “ถ้าวันนี้พนักงาน IT ลาออก keys ถูกเปลี่ยนทันทีมั้ย?” คำตอบ: “ไม่เคยทำเลย”

อีกคำถาม — “ถ้า log แจ้งว่ามีการเข้าถึงข้อมูลผิดปกติ ใครได้รับ?” คำตอบ: “เปิด alert ไว้แต่ไม่มีใคร assign ให้ดู”

นั่นคือสภาพของ Technical control ที่ขาด Managerial — เครื่องมือทำงานได้ แต่ คนไม่ได้บริหารเครื่องมือ ผลคือ:

key ที่ควรปกป้องข้อมูล กลายเป็นข้อมูลสาธารณะภายในแผนก
ถ้ามีการรั่วของข้อมูลจริงๆ ไม่มีใครรู้ทันเพราะไม่มีคนดู alert
พนักงานที่ลาออกยังถือ access อยู่หลายเดือนหลังจากนั้น

ที่ผมเรียกว่า “ความปลอดภัยจอมปลอม” ครับ — ผู้บริหารเชื่อว่ามี security แล้วเพราะเสียเงินซื้อมาแพง ทั้งที่กลไกบริหารเครื่องมือไม่มีอยู่จริง อันตรายกว่ารู้ตัวว่าไม่มี security เพราะอย่างน้อยรู้ตัวก็ระวังตัว

Managerial control ที่ขาดไปในเคสนี้คือ key management policy, leaver process, alert assignment matrix — เรื่องที่ดูธรรมดาแต่เป็น “กระดูกสันหลัง” ที่ทำให้ technical investment คืนทุน

กฎที่ต้องจำ: ลงทุน Technical control เป็นล้านโดยไม่มี Managerial control รองรับ = ลงทุนเสียเปล่า + อันตรายกว่าไม่ลงทุนเพราะคิดว่าตัวเองปลอดภัย

Physical Controls#

Physical Controls = controls ที่จำกัดการเข้าถึงสถานที่หรือ hardware ด้วยวิธีทางกายภาพ

ตัวอย่าง:

Surveillance solutions — cameras, motion sensors
CCTV — เฝ้าระวังและบันทึก
Administration controls — security guards, visitor logs, access badges

Physical controls ต้องการการบำรุงรักษา + เฝ้าระวัง + ความสามารถตอบสนอง alerts — ไม่ใช่แค่ติดตั้งแล้วจบ

ทำไมต้องมีทั้งสาม?#

Method	ลดความเสี่ยงด้านไหน	ตัวอย่าง
Managerial	Unauthorized processes, Policy violations	SoD policy, Approval workflows
Technical	Unauthorized access, System vulnerabilities	Firewall, Encryption, IDS
Physical	Unauthorized physical access	CCTV, Access badges, Security guards

มีแต่ Technical ไม่มี Physical → คนเดินเข้าถึง server โดยตรงได้
มีแต่ Physical ไม่มี Technical → การเข้าถึง network ไม่จำกัด
มีแต่ Managerial → นโยบายอยู่บนกระดาษไม่มีกลไกบังคับใช้

มิติที่ 2: 5 Classifications — ทำงานเมื่อไหร่?#

มิติแรกตอบ “ทำงานยังไง” — มิติที่สองตอบ “ทำงานเมื่อไหร่” ในวงจรของ threat

ลองนึกภาพเจ้าของบ้านปกป้องบ้านจากการโจรกรรม:

ติดป้าย “บ้านนี้มีกล้องวงจรปิด” → Deterrent
ใส่กุญแจหลายชั้น → Preventive
ติดกล้อง CCTV บันทึกตลอด → Detective
เตรียมประกันภัย → Compensating
มีแผนติดต่อตำรวจทันที → Corrective

ทุก control เป้าหมายเดียวกัน — ปกป้องบ้าน — แต่ทำงาน คนละช่วงเวลา

Preventive Controls — หยุดก่อนเกิด#

Preventive = ป้องกันไม่ให้ threat event เกิดตั้งแต่แรก

ตัวอย่าง: Encryption, User authentication, Vault construction doors

เป็นประเภทที่ แข็งแกร่งที่สุด ในการลดความเสี่ยง

Deterrent Controls — ลด Likelihood ก่อนเกิด#

Deterrent = ยับยั้ง — ไม่ได้หยุดโดยตรง แต่ทำให้ threat actor คิดหนักก่อนลงมือ

ตัวอย่าง: Warning banners บน login screen, Visible cameras, Rewards for arrest of hackers

ต่างจาก Preventive ตรงที่ Deterrent ไม่ได้หยุด ทางกายภาพ — แต่ ลดแรงจูงใจ ของ threat actor

Detective Controls — รู้เมื่อเกิดแล้ว#

Detective = ให้คำเตือน/ข้อมูลเกี่ยวกับ event เมื่อมันเกิดขึ้นแล้ว โดยไม่ได้ยับยั้ง

ตัวอย่าง: Audit trails, IDS, Checksums

Detective ไม่ได้ป้องกัน — แต่ทำให้องค์กร รู้ว่ามันเกิด เพื่อตอบสนองได้

⭐ IDS Trap: Detective ไม่ใช่ Preventive#

นี่คือกับดักข้อสอบที่ออกบ่อยที่สุดใน CISA เกี่ยวกับ control classifications

Intrusion Detection System (IDS) — ฟังชื่อแล้วอาจคิดว่าเป็น preventive แต่ ตามนิยาม ISACA: IDS = Detective Control

ทำไม? เพราะ IDS ไม่ได้หยุด การบุกรุก — มัน ตรวจจับและแจ้งเตือน เท่านั้น

เปรียบเทียบ:

Firewall = Preventive (บล็อก traffic ก่อนเข้า)
IDS = Detective (ตรวจจับ traffic ผิดปกติและแจ้ง)
IPS (Intrusion Prevention System) = Preventive (บล็อก traffic ที่ตรวจพบ)

Corrective Controls — แก้ไขหลังเกิด#

Corrective = เยียวยาข้อผิดพลาด/การละเลย/การบุกรุก หลังจากที่ตรวจจับได้แล้ว

ตัวอย่าง: Data backups, Error correction procedures, Incident response procedures

ทำงาน after threat event เกิดและหลัง detective controls ตรวจพบ

Compensating Controls — ทดแทนเมื่อ Primary Control ทำไม่ได้#

Compensating = ชดเชยจุดอ่อนหรือข้อบกพร่อง — มักเกิดเมื่อ baseline controls ทำไม่ได้เนื่องจากข้อจำกัดทางเทคนิค/ธุรกิจที่ชอบธรรม

ตัวอย่าง:

วางระบบที่ไม่ปลอดภัยบน isolated network segment ที่มี perimeter security แข็งแกร่ง
เพิ่ม third-party challenge-response mechanisms สำหรับอุปกรณ์ที่ไม่รองรับ digital login

สิ่งสำคัญ: Compensating control ต้องบรรลุ ผลลัพธ์เดียวกัน กับ control ที่ออกแบบมาเดิม ไม่ใช่แค่ “มีบางอย่างอยู่”

ตารางสรุป 5 Classifications#

Classification	ทำงานเมื่อไหร่	หยุด/แก้ได้?	ตัวอย่าง
Preventive	before threat event	หยุด threat	Encryption, Authentication
Deterrent	before threat event	ลดแรงจูงใจ	Warning banners, Visible cameras
Detective	during/after threat event	ไม่หยุด แต่รู้	Audit trails, IDS, Checksums
Corrective	after threat event ถูก detect	แก้ไขผลกระทบ	Backups, Incident response
Compensating	แทน control ที่ทำไม่ได้	ทดแทน baseline	Isolated network segments

Layered Defense: 5 Classifications ทำงานเป็นลำดับ#

Control classifications ไม่ได้ทำงานแยกกัน — เสริมกันเป็น layered defense

ลองดู threat journey ผ่าน control layers:

ขั้น 1 — Deterrent: ลด likelihood ก่อน threat actor ลงมือ ป้าย “บ้านนี้มีกล้องวงจรปิด” ทำให้ขโมยเปลี่ยนใจ → ในโลก IS: warning banner

ขั้น 2 — Preventive: หยุด threat ที่ตัดสินใจลงมือแล้ว กุญแจ 3 ชั้น ประตูกระจกนิรภัย → ในโลก IS: strong authentication, encryption

ขั้น 3 — Detective: รู้ว่ามีบางอย่างผ่าน Preventive มา ขโมยมีกุญแจมาสเตอร์ (insider) → CCTV บันทึก, IDS แจ้ง → ในโลก IS: audit trails, IDS

นี่คือจุดตรวจที่สำคัญที่สุด เพราะ Preventive ไม่เคยสมบูรณ์ 100%

ขั้น 4 — Corrective: แก้ความเสียหายหลัง Detective เตือน เคลมประกัน, กู้ของคืน, เปลี่ยนกุญแจ → ในโลก IS: กู้คืน backup, แพตช์ช่องโหว่, เพิกถอน accounts

Compensating ทำงานต่างออกไป: ไม่อยู่ในลำดับนี้ แต่ทำงาน “แทน” control ที่ทำไม่ได้ — ถ้าประตูหน้าติดกุญแจไม่ได้เพราะข้อจำกัดด้านการออกแบบ → ก็มียามรักษาความปลอดภัยนั่งประจำแทน

ทำไม Detective ถูก Underinvest?#

องค์กรมักลงทุนใน Preventive มากกว่า — firewall ใหม่, strong auth, encryption เพราะรู้สึกว่า “กำลังทำอะไรเพื่อป้องกัน”

แต่ Detective มักถูกลงทุนน้อยเกินไปเพราะรู้สึกว่า “ป้องกันดีแล้ว ทำไมต้องตรวจจับ?”

นั่นคือความผิดพลาดใหญ่

Preventive ไม่เคยสมบูรณ์ 100% มี 2 กรณีเสมอที่ Preventive ล้มเหลว:

ผู้โจมตีมี legitimate credentials (insider threat / compromised credentials)
ช่องโหว่ใหม่ที่ยังไม่ถูกแพตช์

ในทั้ง 2 กรณี Detective เป็นสิ่งเดียวที่จะจับเหตุการณ์ได้

Methods + Classifications: ทุก Control มี 2 มิติ#

Control	Method	Classification
Firewall ruleset	Technical	Preventive
Audit log review policy	Managerial	Detective
CCTV in server room	Physical	Detective + Deterrent
Backup procedure	Managerial + Technical	Corrective
Encryption	Technical	Preventive
Security guard	Physical	Deterrent + Detective

เข้าใจ 2 มิตินี้ → IS auditor วิเคราะห์ control ได้ครบทุกแง่

ส่วนที่ 3: เชื่อม Risk + Control เข้าด้วยกัน#

ตอนนี้รู้ภาษา Risk และ Control แยกกันแล้ว — เวลาจริง 2 อย่างนี้ทำงานเป็นคู่ที่ ต้องอ้างถึงกันได้

Risk-Control Link: หลักการ 2 ทิศทาง#

หลักการ Risk-Control Relationship ของ ISACA:

Risk is addressed through Control, and Control is justified by the Risk it addresses.

ความสัมพันธ์ 2 ทิศทาง:

Risk → Control: ทุก risk ที่ระบุไว้ต้องมี control ที่จัดการ
Control → Risk: ทุก control ที่วางไว้ต้องสามารถ trace กลับ ไปถึง risk ที่มันออกแบบมาเพื่อจัดการ

ถ้า control ไม่สามารถ trace กลับไปถึง risk ได้ → เป็นคำถามว่าทำไมถึงมี control นั้น?

IS Auditor ต้องทำอะไรกับ Link นี้?#

เมื่อ IS auditor ประเมิน controls:

ตรวจว่า controls โยงกลับไปถึง risk ที่เกี่ยวข้อง — management ระบุ controls ที่สอดคล้องกับ risk หรือยัง
ประเมินนัยสำคัญของ control weaknesses — ถ้า control ไม่ทำงาน มีผลต่อ overall audit risk มั้ย?
ประเมินความเพียงพอ — controls ที่มีลด risk ถึงระดับที่ยอมรับได้หรือยัง?

ความรับผิดชอบของ Management: ต้องดูแลให้ controls ถูกบันทึกและวางตาม risk assessment ของตัวเอง

บทบาทของ IS auditor: ประเมินอย่างอิสระและรายงานว่า controls นั้นได้ผลหรือเปล่า

เมื่อ Controls ไม่พอ#

ถ้า controls ลด risk ถึงระดับที่ยอมรับไม่ได้ — ต้องวาง controls เพิ่มเติม

ถ้าวาง controls ที่เหมาะสมไม่ได้เนื่องจากข้อจำกัด — Compensating Controls อาจเป็นทางออก แต่ต้องบรรลุผลลัพธ์เดียวกันกับ control ที่ออกแบบมาเดิม

Prescriptive vs Risk-Based Frameworks#

มีอีกมิติของ controls ที่สำคัญในทางปฏิบัติ — Prescriptive Control Frameworks

แทนที่จะให้องค์กรประเมิน risk เองและออกแบบ controls เอง — บางหน่วยงานหรือแหล่งอ้างอิงกำหนด ชุด controls มาตรฐาน ที่องค์กรควรนำไปใช้

ตัวอย่าง Prescriptive Frameworks ที่ CISA ต้องรู้จัก#

Framework	ออกแบบมาสำหรับ	จุดเด่น
CIS 18 Critical Security Controls	ทุกองค์กรที่ต้องการเสริม cybersecurity	จัดลำดับความสำคัญ ใช้ best practices ที่เรียบง่าย
OWASP SAMM	องค์กรที่พัฒนาซอฟต์แวร์	กลยุทธ์ security ที่ปรับตาม risk
SOC Reports (AICPA)	Service organizations ที่ประมวลข้อมูลลูกค้า	Framework ให้ความเชื่อมั่นแก่ลูกค้า
PCI DSS	องค์กรที่จัดเก็บ/ประมวลข้อมูลบัตรเครดิต	ข้อกำหนดบังคับ
CSA Cloud Controls Matrix	สภาพแวดล้อม cloud computing	หลักการ security สำหรับ cloud

ใช้ Prescriptive Framework ยังไงให้ถูกต้อง#

1. ระบุมาตรการรับมือเพิ่มเติม: Framework ให้แค่ baseline — แต่องค์กรอาจมี risk เฉพาะที่ framework ไม่ครอบคลุม ต้องระบุและวาง controls เพิ่มเติม

2. ระบุ controls ที่ไม่ applicable: บาง prescribed controls อาจไม่เกี่ยวข้อง

ตัวอย่าง: องค์กรรับบัตรเครดิตแต่ไม่ได้ store credit card data → controls ใน PCI DSS ที่เกี่ยวกับ “storing credit card data” ไม่ apply

3. บันทึกเหตุผลของ non-applicability: ถ้าตัดสินใจว่า control ไม่ apply — ต้องบันทึกว่าทำไม IS auditor จะตรวจเหตุผลนั้น

Prescriptive vs Risk-Based: ต่างกันอย่างไร?#

	Prescriptive	Risk-Based
จุดเริ่มต้น	External framework กำหนด	องค์กรประเมิน risk เอง
ความยืดหยุ่น	ต่ำ — ต้อง justify ทุกการเบี่ยงเบน	สูง — สร้างตาม risk เฉพาะ
ความสามารถในการตรวจสอบ	ชัดเจน — เทียบกับ checklist	ต้องใช้วิจารณญาณมากกว่า
ช่องว่างของความครอบคลุม	อาจครอบคลุมเกินบางพื้นที่ ครอบคลุมไม่พอในเฉพาะ	จัดการ risk เฉพาะได้ตรงกว่า

ในทางปฏิบัติ: หลายองค์กรใช้ ทั้งสองแบบ — prescriptive เป็น baseline (compliance) และ risk-based สำหรับพื้นที่ที่ prescriptive ครอบคลุมไม่พอ

Control Environment ต้องพัฒนา#

โครงสร้าง control ไม่ใช่สิ่งที่วางครั้งเดียวแล้วจบ — ISACA กำหนดว่า control environment ต้องประเมินใหม่ตาม risk-based audit plan อยู่เสมอ

เหตุผล: สภาพแวดล้อมของ risk เปลี่ยน, สภาพแวดล้อมธุรกิจเปลี่ยน, threat landscape เปลี่ยน — controls ที่เพียงพอเมื่อวานอาจไม่เพียงพอวันนี้

นอกจาก IS auditor ที่ตรวจ — management เองก็ควร เฝ้าติดตามประสิทธิผลของ control ระหว่างรอบ audit ด้วย ประโยชน์: ตรวจพบการเบี่ยงเบนก่อน formal audit จะมา

ความต่างที่สำคัญ: “มีอยู่” vs “ทำงานจริง”#

หนึ่งในเรื่องที่เห็นบ่อยในการเตรียมองค์กรก่อน audit คือ management พยายามทำเอกสาร controls หลังจากที่ IS auditor แจ้งจะมาตรวจ

นั่นคือความผิดพลาดที่แพง เพราะ IS auditor ไม่ได้แค่ดูว่า “มีเอกสารหรือเปล่า” — แต่ต้องทดสอบว่า control นั้น ทำงานจริง ในสภาพแวดล้อมการทำงานจริง

ความต่างระหว่าง:

Controls “on paper”: Policy เขียนว่ามี access review ทุกไตรมาส
Controls “in operation”: Access review ทำจริงทุกไตรมาส มี sign-off records, ถ้าพบ access ที่ไม่เหมาะสมมีหลักฐานว่าถูกเพิกถอน

IS auditor ต้องการหลักฐานแบบที่สอง — ไม่ใช่แค่แบบแรก

ปิดบท: ภาษาพร้อม → ขั้นต่อไปวางแผนตรวจ#

ตอนนี้เรามีภาษาครบแล้วครับ:

ภาษา Risk:

Inherent / Control / Detection Risk (Trinity)
Materiality + กฎผกผัน
Risk Analysis (management ทำ — auditor ประเมิน)

ภาษา Control:

3 Methods (Managerial / Technical / Physical)
5 Classifications (Preventive / Deterrent / Detective / Corrective / Compensating)
ทุก control มี 2 มิติเสมอ

Risk-Control Link:

Bi-directional: Risk → Control / Control → Risk
Prescriptive vs Risk-Based: ใช้คู่กันในทางปฏิบัติ
Controls ต้อง “ทำงานจริง” ไม่ใช่ “อยู่บนกระดาษ”

ภาษาเหล่านี้คือเครื่องมือที่ใช้ในขั้น Risk-Based Planning ที่จะมาในตอนถัดไป — เมื่อ IS auditor มีรายชื่อพื้นที่ที่ต้องตรวจ (Audit Universe) แล้วต้องตัดสินใจว่า “ตรวจอันไหนก่อน, ตรวจลึกแค่ไหน, ใช้ resource เท่าไหร่”

คำตอบทุกข้อขึ้นอยู่กับ Risk + Control ที่เพิ่งคุยกันไป

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.2 (Audit Risk + Materiality), Section 1.4 (Controls)