ISACA และ CObIT คืออะไร?

<เนื้อหาดังกล่าวเกี่ยวกับ IT Auditing ซึ่งมีการแสดงความเห็นส่วนตัวที่ไม่ใช่ความเชี่ยวชาญของผู้เขียน กรุณาอ่านหน้า "ข้อตกลงและคำเตือนเกี่ยวกับเนื้อหา" ก่อน>
<เชิญดู บทนำ ซึ่งชี้แจงวัตถุประสงค์ของเนื้อหาในหมวด IT Auditing>
<สารบัญ (กำลังตามมาใน 2-3 อาทิตย์)>

ความหมายและวัตถุประสงค์ขององค์กร
ISACA (Information Systems Audit and Control Association) เป็นองค์กรในเครือของ IFAC ที่ดูแลเกี่ยวกับมาตรฐานและการทดสอบสำหรับสายงานทางด้านการตรวจสอบและการควบคุมระบบ IT

กิจกรรมและชิ้นงานที่เป็นที่รู้จักในวงกว้าง

• จัดทำการทดสอบรับรองความเชี่ยวชาญทางด้าน IT Audit โดยการรับรองที่เป็นที่รู้จักกันดีคือ CISA (Certified Information Systems Auditor) ซึ่งถ้าเทียบกับสายงาน Audit ทางบัญชี "เหมือนจะ" เทียบเท่า CPA (Certified Public Accountant) ของ AICPA
• นอกจากนัันจะมี CISM, CRISC, และ CGEIT แต่ไม่เป็นที่นิยมแพร่หลายในปัจจุบัน เนื่องจากหัวข้อดังกล่าวเน้นไปทางสายงานบริหารไม่ใช่สายงานผู้เชี่ยวชาญ
• สำหรับความ "เหมือนจะ" กลับไปดูเหตุผลที่ บทนำ ได้ในช่วงที่กล่าวถึง IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals [ลิ๊งค์เอกสาร] หรือคลิ๊ก Link ไปหา Standard ดังกล่าวที่ หน้า 43 หัวข้อ 3.1.4 ซึ่งใจความคือ 
• "3.1.4 กรณีที่ทำ IT Audit หากระบบดังกล่าวเกี่ยวกับธุรกรรมทางการเงิน (Financial Transaction) ต้องพิจารณานำมาตรวัดทางสาระสำคัญ (Materiality [ลิ๊งค์นิยาม]) ของการทำ Financial Audit มาประกอบกับการ IT Audit ระบบดังกล่าวด้วย"
• CObIT [ลิ๊งค์เอกสาร] (Control Objectives for Information and related Technology) Framework ซึ่งเป็นกรอบงานที่แนะนำการ Implement IT Governance ซึ่งถ้าเทียบกับด้านการบัญชีจะเทียบเท่ากับ Internal Control - Integrated Framework [ลิ๊งค์เอกสาร] ของ COSO (Committee of Sponsoring Organisations of the Treadway Commission’s) หรือใน Version ที่ใหม่กว่าจะเป็น Enterprise Risk Management - Integrated Framework [ลิ๊งค์เอกสาร]
• ในเอกสารของทาง CObIT หน้า 5 ย่อหน้าที่ 4 กล่าวว่า Framework ของ COSO (หรือของสถาบันอื่นเทียบเท่า) จะเป็น Internal Control Framework ของทั้งองค์กร (Enterprise) ส่วน CObIT จะเป็น Internal Control [ลิ๊งค์นิยาม] Framework ของแผนก IT
• ตัวอย่างของ Internal Control เช่น Segregation of Duties, Input Validation, Business Continuity Plan ฯลฯ
• IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals [ลิ๊งค์เอกสาร] ซึ่งเป็นมาตรฐานที่จัดทำขึ้นเพื่อให้ผู้เป็น CISA รวมทั้งผู้ที่เกี่ยวข้องในการ Audit มีหลักเกณฑ์ที่ชัดเจนว่าจำเป็นต้องพิจารณาทำการ IT Audit ในหัวข้อใดบ้าง โดยจะมีการอ้างอิงถึง CObIT ในแต่ละหัวข้อภายใน Standard ดังกล่าว
• ในหน้าที่ 6 หัวข้อ IT Audit and Assurance Standards Overview ของ Standard อธิบายแนวทางอย่างชัดเจนของการใช้ CObIT ในการทำ IT Audit ดังนี้ 
• Control Objectives แต่ละหัวข้อ (เช่น PO9, AI4, DS3 ฯลฯ) อธิบายถึงการควบคุมที่ดีขั้นน้อยที่สุด (minimum good control) ในกระบวนการด้าน IT ที่ต้องการทำ Audit
• Management Guidelines ที่ประกอบ Control Objectives แต่ละหัวข้อจะใช้ประเมินและพัฒนา (assess and improve) สมรรถนะของกระบวนการด้าน IT
• Standard ดังกล่าวจึงสรุปใจความการประยุกต์ใช้ CObIT ว่าสามารถใช้ได้ทั้งการเป็น IT Process Audit และ IT Process Improvement ได้ทั้งสองรูปแบบ

ข้อตกลงและคำเตือนเกี่ยวกับเนื้อหาใน Blog

เนื่องจากเนื้อหาบางส่วนใน Blog นี้เกี่ยวกับหัวข้อ IT Auditing ซึ่งหลีกเลี่ยงไม่ได้ที่จะต้องอ้างอิงและกล่าวถึงกฎระเบียบข้อบังคับจากภายนอกที่เกี่ยวข้อง

ดังนั้นข้าพเจ้า tao36240 (นามแฝง) ผู้เขียน Blog นี้จึงขอตกลงและเตือนให้ผู้อ่านในหัวข้อต่างๆที่พาดพิงถึงกฎระเบียบข้อบังคับต่างๆใน Blog นี้ตามประเด็นต่างๆดังนี้

• ผู้เขียนจบการศึกษาทางศาสตร์ด้านคอมพิวเตอร์ ไม่ได้จบมาทางด้านการบัญชีหรือกฎหมาย ดังนั้นเนื้อหาต่างๆจึงเป็น ความคิดเห็นส่วนตัว จากการอ่านและค้นคว้าด้วยตนเอง
• เนื่องจากเป็น ความคิดเห็นส่วนตัว ดังนั้นเนื้อหาต่างๆจึงไม่สามารถไปอ้างอิงเพื่อใช้งานได้ในทางกฎหมาย ผู้อ่านที่จำเป็นต้องใช้ความรู้จากเนื้อหาดังกล่าวได้จริง จำเป็นต้องใช้บริการการปรึกษาจากผู้เชี่ยวชาญซึ่งได้ผ่านการรับรองจากสถาบันที่มีความน่าเชื่อถือทางความเชี่ยวชาญด้านต่างๆดังกล่าวด้วยตนเอง
• ผู้เขียนมีจุดประสงค์ในการแสดงความเห็นส่วนตัวในเชิงวิชาการ ไม่ได้มีเครือข่ายหรือเพื่อนที่เชี่ยวชาญเกี่ยวกับความเห็นส่วนตัวที่ได้เขียนใน Blog นี้ ดังนั้นไม่ต้องทำการติดต่อมาทางผู้เขียนเพราะผู้เขียนก็ไม่ทราบว่าจะไปติดต่อที่ปรึกษาผู้เชี่ยวชาญต่อไปได้อย่างไร
• ถ้าผู้อ่านจำเป็นต้องทำการปรึกษาจริงๆจังๆ กรุณาติดต่อเครือข่ายหรือเพื่อนที่รู้จักเพื่อหาผู้เชี่ยวชาญมาดำเนินการต่อไป

บทนำของ IT Auditing in Organization Series: องค์การ ISACA, มาตรฐาน CObIT และความสำคัญสำหรับการตรวจสอบระบบ IT ขององค์กร

<เนื้อหาดังกล่าวเกี่ยวกับ IT Auditing ซึ่งมีการแสดงความเห็นส่วนตัวที่ไม่ใช่ความเชี่ยวชาญของผู้เขียน กรุณาอ่านหน้า "ข้อตกลงและคำเตือนเกี่ยวกับเนื้อหา" ก่อน>


ทำไมจึงอยากเขียน Series ของบทความเกี่ยวกับเรื่อง IT Auditing in Organization

• จากประสบการณ์ทำงานแผนก IT ขององค์กรระดับมหาชนทั้งองค์กรท้องถิ่นและองค์กรข้ามชาติ คิดว่าเรื่องดังกล่าวเป็นเรื่องสำคัญ ด้วยเหตุผลดังนี้
• พนักงานที่ทำงานเป็นลูกจ้างหรือเป็นที่ปรึกษาอิสระทางด้าน IT ให้กับองค์กรขนาดค่อนข้างใหญ่จะรู้สึกหงุดหงิดว่าทำอะไรไม่ได้ดั่งใจ ติดกระบวนการและระเบียบงานต่างๆที่ทำให้ดำเนินการเรื่องต่างๆได้ล่าช้า
• คอร์สและหลักสูตรด้านสายคอมพิวเตอร์หรือเทคโนโลยีสารสนเทศของสถาบันการศึกษาต่างๆให้ความสำคัญทางด้านเทคนิคและทฤษฎีค่อนข้างมาก อันเป็นการปูพื้นฐานด้านความรู้ให้นักศีกษาจบใหม่ได้เพียบพร้อมกับการทำงาน แต่ทำให้นักศึกษาจบใหม่ส่วนใหญ่เข้าใจผิดว่าตนมีความเชี่ยวชาญที่ดีพอแล้วจากการเล่าเรียนที่ใช้เวลานาน ซึ่งในความเป็นจริงยังขาดความเข้าใจและประสบการณ์เกี่ยวกับกระบวนการของระบบ IT ที่สอดคล้องกับระเบียบข้อบังคับที่เป็นสากล (จำเป็นต้องปฏิบัติตามโดยไม่สามารถหลีกเลี่ยงได้ ซึ่งเหตุผลดังกล่าวอธิบายอยู่ในหัวข้อ "ทำไมต้อง ISACA และ CObIT")

ISACA และ CObIT คืออะไร
(กำลังเรียบเรียง ใครเป็นนักเรียนรู้ที่ดีลอง Google และ Wikipedia ดูก่อนได้)

ทำไมต้อง ISACA และ CObIT

• เป็นคำถามที่ตนเองใคร่ครวญมานาน (และการโดนล้างสมองหลังจากไปสมัคร Free-Membership กับ ISACA แล้วโดนถล่มด้วย Brochure ให้ไปสอบ Certification CISA และอื่นๆขององค์กรทุกๆครี่งปี) และค้นพบคำตอบในปลายเดือน ก.ค. 2012 ทีผ่านมา (ด้วยอาจารย์ Google และหอสมุด Wikipedia อีกนั่นแหละ)
• จากบทความเกี่ยวกับ ISACA บน Wikipedia ทางองค์กรเป็นองค์กรย่อยของ IFAC (International Federation of Accountants) ซึ่งถ้ากด Link ไปดู IFAC และกด Link อีกทีไปดูสมาชิกและองค์กรย่อยของ IFAC (IFAC Member Bodies and Associates) จะเห็นว่า AICPA, IIA, CIMA ฯลฯ ก็เป็นสมาชิกของ IFAC ด้วย
• สำหรับคนจบสายด้านบัญชีมาจะรู้ได้ทันทีเลยว่า AICPA และ IIA หมายถึงองค์กรใด (ถ้าหลับในวิชา Audit หรือว่าเคยนั่งเรียนมานานแล้ว อ่านต่อไป :p) 
• องค์กรดังกล่าวเป็นองค์กรกำหนดมาตรฐานด้านการบัญชีสาธารณะ (Public Accounting Standard) และการตรวจสอบบัญชีภายใน (Internal Auditing) ของประเทศสหรัฐอเมริกา
• หรือให้พูดง่ายๆ AICPA คือองค์กรที่จัดทำข้อสอบเพื่อรับรอง CPA (Certified Public Accountant) ที่เด็กบัญชีรู้ดีว่าเป็นใบรับรองที่สำคัญอย่างไร
• ถ้าจะให้เห็นความสำคัญ (หรือการโดนมัดมือชก) การรับรอง CPA ดังกล่าวเป็นเงื่อนไขบังคับในการได้ทำงาน Audit ระดับสูงในองค์กร Audit Big Four (PwC, E&Y, KPMG, DT)
• เนื่องจาก IFAC เป็นองค์กรร่ม (Umbrella Organization) ที่มี AICPA เป็นสมาชิก จึงไม่แปลกว่า CPA และ Auditor ใน Big Four จะต้องโปรดปราน (หรือไม่มีทางเลือกอื่น) ที่จะใช้ CObIT ของ ISACA ในการทำ IT Audit ด้วย
• มาตรฐานที่มีเนื้อหาใกล้เคียงและเทียบเคียงพอได้คือมาตรฐาน CMMI for Development [ลิ๊งค์เอกสาร] และ CMMI for Services [ลิ๊งค์เอกสาร] (ซึ่งเปิดกว้างให้สามารถ Download เนื้อหามาศึกษาเพิ่มเติมได้เองมากกว่า) โดย CMMI for Development จะเทียบกับ CObIT ส่วนที่เกี่ยวกับการพัฒนาระบบและ CMMI for Service จะเทียบกับ CObIT ในส่วนที่เกี่ยวกับการให้บริการและดูแลรักษาระบบ
• แม้จะมีเนื้อหาใกล้เคียงกัน ทางผู้เขียนคิดว่า CObIT น่าจะยังคงเป็นมาตรฐานที่น่าจะมีอิทธิพลมากกว่า เนื่องจากเป็นมาตรฐานของ ISACA ซึ่งเป็นองค์กรที่เกี่ยวพันกับ IFAC ที่มีอิทธิพลกับองค์กร Audit Big Four และกฎหมายบังคับเกี่ยวกับการ Audit ระบบงานขององค์กรทั้งโลกส่วนใหญ่เน้นไปที่การตรวจสอบระบบบัญชีเป็นหลัก โดยระบบ IT เป็นเพียงส่วนสนับสนุนทำให้ทำงานระบบบัญชีได้สะดวกขึ้น
• ตัวอย่างกฎหมายเกี่ยวกับการตรวจสอบบัญชีในประเทศไทย ได้แก่ 
• บริษัทจำกัด: หมวด 4 ส่วนที่ 5 มาตรา 1213 และ 1214 ของประมวลกฎหมายแพ่งและพาณิชย์ พ.ศ. 2486  (ฉบับปรับปรุง ก.พ. 2551) [ลิ๊งค์เอกสาร] [หน้า 229]
• บริษัทมหาชนจำกัด: หมวด 8 มาตรา 109 , 121 และ 122 (รวมทั้งมาตราอื่นๆที่เกี่ยวข้อง) ของพรบ. บริษัทมหาชนจำกัด พ.ศ. 2535 [ลิ๊งค์เอกสาร] [หน้า 21 และ 23]
• สถาบันการเงิน: ส่วนที่ 8 มาตรา 66 ถึง 71 ของพรบ. ธุรกิจสถาบันการเงิน พ.ศ. 2551 [ลิ๊งค์เอกสาร] [หน้า 20 ถึง 22]
• ฯลฯ สำหรับองค์กรธุรกิจและราชการประเภทอื่นๆ
• (ทั้งนี้จะมีอำนาจหน้าที่ และที่สำคัญกว่าคือ บทลงโทษหากไม่ปฏิบัติตาม ในส่วนอื่นๆของกฎหมายแต่ละฉบับ)
• ในด้านที่ระบบ IT เป็นเพียงส่วนสนับสนุนและเน้นในการตรวจสอบด้านบัญชีที่เกี่ยวกับตัวเงินเป็นหลักนั้นจะเห็นได้ชัดจาก IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals [ลิ๊งค์เอกสาร] (มาตรฐานของ ISACA ที่เริ่มจัดทำช่วงค.ศ. 2006 เพื่อให้ผู้ถือ CISA และผู้เกี่ยวข้องมีหลักเกณฑ์ชัดเจนมากขึ้นในการทำ IT Audit ) ใน Guideline G6 หัวข้อ 3.1.4 [หน้า 43] ที่กล่าวไว้ดังนี้
• "3.1.4 กรณีที่ทำ IT Audit หากระบบดังกล่าวเกี่ยวกับธุรกรรมทางการเงิน (Financial Transaction) ต้องพิจารณานำมาตรวัดทางสาระสำคัญ (Materiality [ลิ๊งค์นิยาม]) ของการทำ Financial Audit มาประกอบกับการ IT Audit ระบบดังกล่าวด้วย"
• ดังนั้นผู้ตรวจสอบระบบบัญชีจึงน่าจะมีอิทธิพลมากกว่าผู้ตรวจสอบระบบ IT ซึ่งเป็นส่วนสนับสนุนงานขององค์กรทั่วไป การเรียกใช้บริการตรวจสอบขององค์กรต่างๆจึงเน้นที่ระบบบัญชีตามที่กฎหมายบังคับเป็นสำคัญซึ่งเป็นความเชี่ยวชาญหลักของ IFAC อยู่แล้ว