สารบัญ
วันนี้ผมจะมาแนะนำให้รู้จัก Cert ใบหนึ่งที่เรียกว่า CISA (ที่ไม่ได้เกี่ยวกับ CISA ที่เป็นของสายการเงินนะ อันนี้สาย IT)
CISA คืออะไรในประโยคเดียว
CISA = Certified Information Systems Auditor วุฒิบัตรสากลที่ออกโดย ISACA (Information Systems Audit and Control Association) สำหรับคนทำงานสาย:
- IT Audit / IS Audit (ตรวจสอบระบบสารสนเทศ)
- Controls (การควบคุม)
- Assurance (การประกันคุณภาพ)
- Information Security (ความมั่นคงปลอดภัยทางไซเบอร์)
Fact ที่น่าสนใจ:
- อยู่มาตั้งแต่ปี 1978 48 ปีแล้วครับ ในยุคที่เทคโนโลยีพลิกทุก 2-3 ปี certification ตัวนึงยังยืนเป็นมาตรฐานสากลได้ขนาดนี้ ก็เป็น signal ของความน่าเชื่อถือในตัวอยู่แล้ว
- มีคนถือมากกว่า 207,000 คนทั่วโลก
- ถูกเรียกว่า “Gold Standard” ของวงการ IT Audit บริษัท Big 4 (Deloitte, EY, KPMG, PwC) ธนาคาร บริษัทประกัน หน่วยงานรัฐ มักระบุไว้ในประกาศรับสมัครงานสาย IT Audit / Compliance / GRC
ทำไม CISA ถึงน่าเอามาเรียน (สำหรับคนทำงานจริง)
ตอนค้นข้อมูล ผมไม่ได้สนใจมุม “หางาน” หรือ “เงินเดือนสูงขึ้น” นะครับ เพราะทำกิจการของตัวเองอยู่ ไม่ได้ไปสมัครงานที่ไหน
ที่สนใจจริงๆ คืออีก 3 มุม ที่ฟิตกับคนทำงานสาย IT / consultant / เจ้าของกิจการ:
1. ความรู้ที่เอามาใช้กับงานจริงได้ทันที
CISA syllabus ครอบคลุม framework ที่วงการ enterprise IT ใช้กันจริง ทั้ง SOX, ISO 27001, PCI DSS, GDPR, PDPA, COBIT, NIST, ITIL ฯลฯ
ถ้าจะไปไล่อ่านแต่ละ framework แยกๆ จาก 10 แหล่งคือ ปวดหัว แต่เรียนผ่าน CISA syllabus คือได้ภาพรวมของ “วิธีคิดในการ audit/control ระบบ IT” จากมุมที่ ISACA ออกแบบมา 48 ปี ในเล่มเดียว
ตอนวางระบบ ERP ลูกค้าถาม “ระบบที่ออกแบบมานี้รองรับ PDPA ยังไง?” “Audit trail เพียงพอมั้ย?” “Segregation of duties ทำได้ครบมั้ย?” ความรู้พวกนี้ใช้ตอบลูกค้าได้ทันที ไม่ต้องแอบเปิด google ตอบ 555+
2. Proof ความสามารถกับลูกค้า / สังคมวงการ
เวลาเสนองานให้ลูกค้า โดยเฉพาะลูกค้าที่ต้อง audit (ธนาคาร ประกัน บริษัทมหาชน multinational) มี CISA ติดตัว ก็คือ signal ความน่าเชื่อถือตั้งแต่หน้าโปรไฟล์
ลูกค้าไม่ต้องนั่งฟังเราอธิบายว่า “เราเข้าใจ control / governance ดีนะ” เพราะ CISA ก็คือใบรับรองนั้นอยู่ในตัวมันเองแล้ว ลด friction ในการ pitch ไปเยอะ
3. เปิดประตูสู่ certification อื่นๆ
CISA Active เอาไป ยกเว้นประสบการณ์ สำหรับ certification สายเดียวกันได้:
- CISM (Information Security Management) ยกเว้นได้ 2 ปี
- CIA Challenge Exam (Internal Audit) สอบเฉพาะ Challenge Exam แทนสอบเต็ม
แปลว่าไป CISA หนึ่งใบ ก็คือ pre-position ตัวเองสำหรับ cert อื่นไปในตัว ถ้าวันหนึ่งอยากต่อยอด
โครงสร้างข้อสอบ — รวบสั้น
| รายการ | รายละเอียด |
|---|---|
| จำนวนข้อ | 150 ข้อ multiple choice |
| เวลา | 4 ชั่วโมง (240 นาที) |
| คะแนนผ่าน | ≥ 450 จาก 800 (Scaled Score) |
| ภาษา | 7 ภาษา (อังกฤษ สเปน จีนตัวย่อ ฝรั่งเศส เยอรมัน เกาหลี ญี่ปุ่น) ไม่มีไทย |
| ศูนย์สอบ | PSI Testing Centers หรือ Remote Proctoring สอบที่บ้าน |
| ลงทะเบียน | เปิดตลอดปี มี 365 วันเลือกวันสอบหลังชำระ |
| Content Outline | ECO Effective August 2024 (ยังใช้อยู่ในปี 2026) |
ข้อสอบแบ่งเป็น 5 Domains น้ำหนักไม่เท่ากัน:
| # | Domain | สัดส่วน | ~ ข้อ |
|---|---|---|---|
| 1 | Information System Auditing Process | 18% | 27 |
| 2 | Governance and Management of IT | 18% | 27 |
| 3 | IS Acquisition, Development & Implementation | 12% | 18 |
| 4 | IS Operations and Business Resilience | 26% | 39 |
| 5 | Protection of Information Assets | 26% | 39 |
Domain 4 + 5 รวมกัน 52% ของข้อสอบ ใครจะเตรียมตัวสอบ ต้องลงเวลากับ 2 ส่วนนี้มากที่สุดครับ
เนื้อหาแต่ละ Domain เดี๋ยวจะ review แยกในบทถัดๆ ไป สรุปสั้นๆ ก่อน:
- Domain 1 (Process): Audit Standards, Risk-Based Audit Planning, Evidence Collection, Audit Data Analytics, Reporting
- Domain 2 (Governance): IT Strategy, Enterprise Risk, Privacy (PDPA/GDPR), Vendor Management
- Domain 3 (Acquisition): Project Management, SDLC (Agile/Waterfall/DevOps), UAT, Migration
- Domain 4 (Operations): ITIL, Change Management, BCP/DRP, Backup, BIA (RTO/RPO/MTD)
- Domain 5 (Protection): ISO 27001/NIST, IAM, Encryption (PKI/TLS), DLP, Cloud Security, Incident Response
อ่านปุ๊บก็เห็นเลยว่ามันคือ ภาพรวมของระบบ IT ทั้งบริษัท มองจากมุมของคนที่ต้องตรวจสอบและรับรองว่ามันทำงานได้ปลอดภัย เชื่อถือได้
คุณสมบัติและประสบการณ์ที่ต้องการ
จุดที่หลายคนสะดุดคือ ต้องมีประสบการณ์ 5 ปี ใน IS Audit, Control, Assurance หรือ Security
แต่… มี ตัวยกเว้น ได้สูงสุด 3 ปี (รวม):
Education Waivers (เลือก 1):
| วุฒิ | ยกเว้นได้ |
|---|---|
| Associate’s Degree (60 หน่วยกิต) | 1 ปี |
| Bachelor’s / Master’s / Doctorate (สาขาใดก็ได้) | 2 ปี |
| Master’s สาย Information Systems | 3 ปี |
Experience Substitutions (รวมได้ไม่เกิน 1 ปีจากแต่ละแถว):
| ทดแทนจาก | ได้กี่ปี |
|---|---|
| ประสบการณ์ Information Systems (ที่ไม่ใช่ audit) | สูงสุด 1 ปี |
| ประสบการณ์ Non-IS / Financial Audit | สูงสุด 1 ปี |
| สอนมหาวิทยาลัยเต็มเวลา 2 ปี ในสาขาที่เกี่ยวข้อง | เทียบเท่า 1 ปี |
📌 ตัวอย่าง: ป.โท สาขา Information Systems → ยกเว้น 3 ปี → ต้องมีประสบการณ์จริงแค่ 2 ปี
CISA Associate — ทางเลือกใหม่ปี 2025
เปิดตัวกรกฎาคม 2025 สำหรับคนที่สอบผ่านแล้ว แต่ยังไม่มีประสบการณ์ครบ 5 ปี
- ค่าสมัคร US$ 25 (จ่ายครั้งเดียว)
- ไม่ต้องเก็บ CPE ระหว่างเป็น Associate
- อายุสถานะสูงสุด 4 ปี (พอครบประสบการณ์ → ยกระดับเป็น CISA เต็ม)
- 92% ของ Hiring Managers เห็นว่า CISA Associate ส่งผลเชิงบวกต่อการจ้าง entry-level (ผลสำรวจ ISACA)
แปลว่า เด็กจบใหม่ / คนทำงาน 1-2 ปี ก็สอบได้เลย ไม่ต้องรอครบ 5 ปี
อันนี้คือ game changer ครับ เมื่อก่อน CISA คือ “ของผู้มีประสบการณ์เท่านั้น” ตอนนี้เปิดประตูแล้ว
ค่าใช้จ่าย — รวมทั้งหมดในปีแรก
| รายการ | สมาชิก ISACA | ไม่เป็นสมาชิก |
|---|---|---|
| ค่าสมัครสอบ | $575 | $760 |
| ค่าสมาชิกรายปี | $135 | — |
| ค่า Chapter (Bangkok) | $10 | — |
| ค่าสมัครสมาชิกใหม่ | $10 | — |
| ค่าสมัครวุฒิบัตร (หลังสอบผ่าน) | $50 | $50 |
| ค่ารักษาสถานะภาพปีแรก | $45 | $85 |
| รวม | ~$825 | ~$895 |
💡 เป็นสมาชิกก่อนสอบ = ประหยัด ~$185 บวกได้ส่วนลดสื่อ บวก free CPE webinars
ตีเป็นเงินไทยประมาณ 30,000-32,000 บาท สำหรับปีแรก (รวมสอบ + วุฒิบัตร + รักษาสถานะ) ไม่ถูกครับ แต่ถ้าเทียบกับ ROI ของ certification level นี้ในตลาดงาน ก็ค่อนข้างคุ้ม
หลังสอบผ่าน — ยังต้องทำอะไรต่อ
1. ขอวุฒิบัตรภายใน 5 ปี หลังสอบผ่าน (ไม่งั้นต้องสอบใหม่)
ขั้นตอน:
- ชำระค่าสมัครวุฒิบัตร $50
- ยื่น Application + Experience Verification Form (หัวหน้างาน หรือ ลูกค้ารับรอง ขึ้นกับสถานะของผู้สอบ)
- ยอมรับ Code of Professional Ethics
- ปฏิบัติตาม IS Auditing Standards
2. รักษาสถานะด้วย CPE (Continuing Professional Education)
- 20 ชั่วโมง/ปี ขั้นต่ำ
- 120 ชั่วโมง/3 ปี ขั้นต่ำ
- ค่ารักษา 85/ปี (ไม่สมาชิก)
- แหล่ง CPE: อบรม สัมมนา webinars ตีพิมพ์ สอน mentor วิจัย
- รายงานภายใน 15 ก.พ. ของทุกปี
- ⚠️ ISACA สุ่มตรวจหลักฐานได้
ไม่ใช่สอบแล้วจบนะครับ ต้อง active ต่อเนื่องเรื่อยๆ ก็เป็นตัว filter อีกชั้นที่กรองคนจริงจังออกจากคนที่แค่อยากได้ใบ
สอบที่ไหน + เตรียมตัวยังไง
สอบที่ไหน — 2 ทาง:
- PSI Testing Center (ศูนย์สอบ) มีในกรุงเทพ
- Remote Proctoring (สอบที่บ้าน) ผ่าน PSI Secure Browser มี proctor live chat คุม Webcam ตลอดเวลา ห้ามมีอะไรในห้องสอบเลย
เตรียมตัวยังไง:
- CISA Review Manual (CRM) 28th Edition หนังสือหลักของ ISACA เล่มเดียว
- QAE Database ข้อสอบมากกว่า 1,000 ข้อจาก ISACA พร้อม dashboard ติดตามความคืบหน้า
- Free Practice Quiz จาก ISACA ลองวัดระดับก่อน
- อบรม ISACA Bangkok Part 1 (3 วัน) + Part 2 (4 วัน) + Mock Exam (1 วัน) มี 3 รอบต่อปี
- Mock Exam รัน 150 ข้อ 4 ชม. ในเงื่อนไขจริง อย่างน้อย 3 ครั้ง
ทำไม “ผม” ถึงเริ่มสนใจ
งานปกติของผมคือ วางระบบ ERP ให้บริษัทขนาดกลางขึ้นไป ลูกค้าเฉลี่ยยอดขาย 100-500 ล้านขึ้นไป (บางเจ้าก็พันล้านบวกๆ)
เวลาวางระบบ ERP ให้ลูกค้าหนึ่งเจ้า มันไม่ใช่แค่ “ติดตั้ง software แล้วจบ” ครับ
มันคือ:
- วาง requirement จาก stakeholder หลายฝ่าย (Finance, Sales, Inventory, HR, IT)
- ออกแบบ workflow ที่จะ enforce control ในระบบ (ใครเห็นอะไร ใคร approve อะไร segregation of duties)
- จัดการ data migration จากระบบเก่ามาระบบใหม่ verify ความถูกต้อง
- UAT กับผู้ใช้จริงหลายๆ รอบ
- Go-live + post-implementation review ว่าระบบทำงานตามที่ออกแบบหรือเปล่า
- Vendor management บริหารผู้ให้บริการ ระบบที่ลูกค้าจ้างเข้ามาเชื่อม
ทีนี้ลองมาดู CISA Domain 3 — IS Acquisition, Development & Implementation:
Project Governance, Business Case, SDLC (Agile/Waterfall/DevOps), Control Identification, UAT, Migration, Post-Implementation Review
🤯 คือสิ่งที่ผมทำทุกวัน แทบจะ word-for-word เลย
แล้วยังไม่นับ:
- Domain 2 (Governance): IT Strategy, Vendor Management, Data Governance เจอทุกโปรเจกต์
- Domain 4 (Operations): Change Management, System Interfaces, Backup, BCP ที่ลูกค้าทุกเจ้าถาม “ถ้าระบบล่มจะกู้ยังไง”
สรุปคืองานที่ทำอยู่ทุกวัน มี overlap กับ CISA syllabus เกินครึ่ง โดยที่ผมไม่ได้ตั้งใจตั้งแต่แรก
เรื่องประสบการณ์ 5 ปี — ISACA เปิดทางสำหรับเจ้าของกิจการ / consultant
จุดที่ไป research แล้ว “เอ้อ ดี” คือ ISACA ออกแบบมาให้ใช้ portfolio งานที่ลูกค้ารับรอง แทน employment record ได้ตั้งแต่ต้น
แปลว่าต่อให้ไม่มีหัวหน้างานเซ็นรับรอง (เพราะเป็นเจ้าของกิจการเอง) ก็ยื่น Experience Verification ได้อย่างเป็นทางการ ใช้ลูกค้าที่เคยวางระบบให้เป็นผู้รับรองว่าเราทำงานนี้จริง
นี่ทำให้ CISA ที่ดูเหมือน “ของพนักงานบริษัทใหญ่” จริงๆ แล้วก็เปิดให้ เจ้าของกิจการ / freelance / consultant ได้เหมือนกัน แค่ต้องเก็บหลักฐาน + ลายเซ็นลูกค้าให้ครบ
งั้นก็ลองดูครับ ขำๆ ไปสอบดู อ่านหนังสือเอานิดนึง 555+
บทถัดไป
โพสต์นี้คือเปิดเรื่อง เนื้อหาจริงๆ ของแต่ละ Domain เดี๋ยววันหลังค่อยมาเล่าให้ฟังเรื่อยๆ ครับ ตามที่ตัวเองอ่านไปถึงไหน
ไม่ได้สัญญาว่าจะเขียนครบทุก Domain ตามตารางนะครับ แต่ที่แน่ๆ คือจะเป็น “บันทึกการเรียน” ในมุมของคนที่จะลองสอบจริง ไม่ใช่ summary หนังสือ (เพราะแบบนั้นในเน็ตเยอะแล้ว)
แล้วเจอกันบทถัดไป 🚀
