CISA Series ตอนที่ 09 : D1 - Testing & Sampling: ตรวจ Control ยังไง เลือก Sample เท่าไหร่

Recap: เรามาถึงไหนใน Engagement#

ใน ตอน 08 เราเปิด Part B ด้วยภาพ engagement lifecycle 3 phases ตอนนี้เราอยู่ใน Phase 2 — Fieldwork แล้ว — ขั้นที่ใช้เวลามากที่สุดของ engagement

ใน Phase 2 มีคำถามใหญ่ 4 ข้อที่ต้องตอบ:

ทดสอบ controls ยังไง? เลือก sample เท่าไหร่ พอ? ← บทนี้
เก็บ evidence ยังไงให้ใช้ได้? — ตอน 10
ใช้เครื่องมือ data analytics ช่วยได้มั้ย? — ตอน 11
บันทึกผลใน work papers ยังไง? — คุยใน ตอน 08 ไปแล้ว

บทนี้ตอบคำถามแรก — testing methodology ที่หนักไปทาง technical แต่จำเป็นเพราะ CISA exam ออกข้อสอบเรื่องนี้บ่อยมาก ⭐

ปัญหาที่ Sampling ตอบ#

ลองนึกถึงธนาคารที่มีธุรกรรม 10 ล้านรายการต่อวัน IS auditor จะตรวจได้หมดมั้ย?

ไม่ได้ครับ — ต่อให้ทีม audit 100 คน 24 ชั่วโมง ตรวจไม่ทัน

วิธีที่ใช้คือ sampling — ตรวจตัวอย่างบางส่วน → สรุปเกี่ยวกับ population ทั้งหมด

แต่การเลือกตัวอย่างที่ผิดวิธี = สรุปผลผิด ซึ่งน่ากลัวกว่าไม่ตรวจเลย เพราะ board จะคิดว่า “audit ผ่านแล้ว”

ดังนั้น sampling ใน audit ไม่ใช่ “หยิบมาเช็คดู” — มันมีระเบียบวิธีที่ ISACA กำหนดไว้

คู่ที่ 1: Compliance Testing vs. Substantive Testing#

ก่อนเข้าเรื่อง sampling ต้องเข้าใจคำถามที่ใหญ่กว่าก่อน — ทดสอบเพื่ออะไร?

มี 2 จุดประสงค์ที่ต่างกันโดยพื้นฐาน:

Compliance Testing — Controls ทำงานมั้ย?#

Compliance testing ทดสอบว่า controls ทำงาน ตามที่ออกแบบ มั้ย — Control EXIST และ WORKING จริงหรือเปล่า?

เปรียบเทียบ: ตรวจว่าประตูล็อคอยู่จริงไหม — ไม่ได้ดูของในห้อง

ตัวอย่างใน IS audit:

ตรวจ user access rights ว่ากำหนดตาม policy มั้ย
ตรวจ program change control procedures
ตรวจ documentation procedures + program documentation
ตรวจ exception follow-up
ตรวจ log reviews
ตรวจ software license reviews

Substantive Testing — ข้อมูลถูกมั้ย?#

Substantive testing ทดสอบ ตัวข้อมูลจริง — ธุรกรรม/ข้อมูลสะท้อน reality มั้ย?

เปรียบเทียบ: นับของในห้องเอง — ไม่ได้ดูประตูล็อค

ตัวอย่าง:

Verify การคำนวณซับซ้อนใน sample of accounts
Vouching sample transactions ไปยัง supporting documentation
ตรวจ balances + transactions ใน financial statement

ความสัมพันธ์ระหว่างสองอันนี้ (กฎผกผัน — exam ออก)#

Strong internal controls (compliance test ผ่าน) → substantive testing น้อยลง Weak internal controls (compliance test ล้มเหลว) → substantive testing มากขึ้น

ตรรกะ: ถ้า controls แข็ง → ข้อมูลน่าจะถูก → ไม่ต้องตรวจข้อมูลทุก transaction ถ้า controls อ่อน → ข้อมูลน่าจะมีปัญหา → ต้องไปยืนยันที่ข้อมูลจริงให้เยอะขึ้นเพื่อ compensate

Decision Logic 4 Steps ที่ ISACA กำหนด#

Review ระบบเพื่อระบุ controls
Test compliance — controls ทำงานหรือไม่?
Evaluate controls — เป็น basis ตัดสินใจว่า substantive ทำเท่าไหร่ (nature/scope/timing)
Perform substantive testing 2 แบบ — test balances/transactions + analytic review

→ บทนี้คุยลึกเรื่อง compliance + substantive ที่เคย mention ใน ตอน 07 แล้ว

คู่ที่ 2: Statistical vs. Nonstatistical Sampling#

หลังตัดสินใจแล้วว่าจะ test แบบไหน — ขั้นต่อไปคือ เลือก sample ยังไง

มี 2 แนวทางหลัก:

Statistical Sampling — ใช้คณิตศาสตร์#

Statistical sampling ใช้ mathematical laws of probability:

คำนวณ sample size
เลือก items
ประเมินผล + อนุมาน

IS auditor กำหนดเชิงปริมาณ:

Sampling tolerance / precision — ตัวอย่างใกล้เคียง population แค่ไหน
Confidence level — เปอร์เซ็นต์ความน่าเชื่อถือ

ผลที่ได้สามารถ quantify ทางคณิตศาสตร์ ได้

ข้อดี: อธิบายได้ — ผลรองรับด้วยตัวเลข ข้อเสีย: ต้องใช้ความรู้สถิติ + ข้อมูลครบ

Nonstatistical Sampling (Judgmental) — ใช้วิจารณญาณ#

Nonstatistical (judgmental) sampling ใช้แค่ วิจารณญาณ — sample method, sample size, selection criteria ทุกอย่างมาจากการตัดสินของ auditor

อิงกับ materiality + risk ของ items แต่ละชิ้น ไม่มีการ quantify ผลทางคณิตศาสตร์

ข้อดี: ยืดหยุ่น ใช้กับสถานการณ์ที่ statistical ทำไม่ได้ ข้อเสีย: ผลไม่มี mathematical confidence — ถ้าถูก challenge อาจอ่อน

ในทางปฏิบัติ — มักใช้ ทั้งคู่ผสมกัน เลือกตามความเหมาะสมของแต่ละ test

คำศัพท์ Statistical Sampling ที่ Exam ออก#

ขอลิสต์ศัพท์ statistical sampling ที่ IS auditor ต้องเข้าใจ — ใน exam ออกบ่อย

ศัพท์	ความหมาย
Confidence coefficient	% ที่ sample สะท้อน population (เช่น 95% = 95 ใน 100 sample จะ representative)
Level of risk	1 ลบ confidence coefficient (5% ถ้า 95% confidence)
Precision	ช่วงที่ยอมรับได้ระหว่าง sample กับ actual population (% สำหรับ attribute, $ สำหรับ variable)
Expected error rate	% errors ที่คาดว่าจะมี — สูงกว่า → sample size ใหญ่กว่า
Tolerable error rate	Max errors ที่ยอมรับได้โดยไม่เป็น material misstatement
Sample mean	ค่าเฉลี่ยของ sample
Sample standard deviation	การกระจายของข้อมูลใน sample
Population standard deviation	ความสัมพันธ์กับ normal distribution — กระจายมาก → sample size ใหญ่

Trap ที่ exam ชอบหลอก:

Higher confidence ≠ smaller sample — กลับด้าน! Higher confidence ต้องการ sample size ใหญ่กว่า
Sampling Risk ≠ Audit Risk — sampling risk เป็น component ของ detection risk (อยู่ใน audit risk) ไม่ใช่อย่างเดียวกัน

Attribute Sampling vs. Variable Sampling#

นี่คือคู่ที่ exam ออกบ่อยอีกคู่ — เลือก sampling method แบบไหน?

Attribute Sampling — เกี่ยวกับ Rates/Percentages#

ใช้ตอบคำถาม “How many?” — ตอบเป็น rate/% ของ attribute

มี 3 ประเภทย่อย:

Fixed sample size attribute sampling / frequency estimating
- ประเมิน rate of occurrence ของ attribute
- ใช้เมื่อต้องการรู้ว่าเกิดขึ้นกี่ %
Stop-or-go sampling
- หยุดที่ moment เร็วสุดเมื่อ expected errors น้อยมาก
- ใช้เมื่อคาดว่า errors น้อย ต้องการประหยัดเวลา
Discovery sampling
- ใช้เมื่อ IS auditor เชื่อว่าจะพบ items น้อยมาก
- เน้นการ “ค้นพบ” ไม่ใช่การประเมินอัตรา

Common use: Compliance testing — เช่น “transactions ที่ไม่มี approval มีกี่ %?”

Variable Sampling — เกี่ยวกับ Monetary Values#

ใช้ตอบคำถาม “How much?” — ตอบเป็นจำนวนเงิน/values

มี 3 ประเภทย่อย:

Stratified sampling
- แบ่ง population เป็นกลุ่ม → sample จากแต่ละกลุ่ม
- ใช้เมื่อ population varied มาก ต้อง represent ทุกชั้น
Unstratified mean per unit
- คำนวณ sample mean → project เป็น total
- ใช้กับ population ที่ uniform
Difference estimation
- วัด total difference ระหว่าง audited values กับ book values
- ใช้เมื่อต้องการรู้ผลรวมของส่วนต่าง

Common use: Substantive testing — เช่น “total ของ misstatement ในบัญชี AR คือเท่าไหร่?”

กฎการจดจำ#

Type	คำถาม	Common use
Attribute	How many?	Compliance testing
Variable	How much?	Substantive testing

แต่ระวัง — exam ชอบหลอกว่า “Attribute ต้องเป็น statistical เสมอ” — ผิด! Attribute sampling เป็น statistical หรือ nonstatistical ก็ได้ — ขึ้นกับวิธีเลือก sample

และอีก trap: “Variable ใช้กับเงินเท่านั้น” — ผิด! Variable = quantitative measure อะไรก็ได้ (น้ำหนัก, จำนวน, เวลา) ไม่ใช่แค่ดอลลาร์

Sampling Risk: 2 ประเภทที่ต้องระวัง#

Sampling Risk คือความเสี่ยงที่ผลจาก sample จะ บอกผิด เกี่ยวกับ population

มี 2 ประเภท:

Risk of incorrect acceptance
- Material weakness ถูกประเมินว่า OK ทั้งที่ population มี material misstatement
- ผลลัพธ์: auditor บอก “ผ่าน” ทั้งที่ระบบมีปัญหา → อันตรายมากกว่า
Risk of incorrect rejection
- Material weakness ถูกประเมินว่า “น่าจะมี” ทั้งที่ population ไม่มี material misstatement
- ผลลัพธ์: auditor ทำงานหนักกว่าที่จำเป็น → เสียเวลาเสียทรัพยากร

ในมุม audit risk: Sampling risk เป็นส่วนหนึ่งของ Detection Risk (จาก ตอน 05) — ไม่ใช่ตัว audit risk เอง

6 ขั้นตอนสร้าง Sample#

ISACA กำหนดลำดับการสร้าง sample ที่ทุก audit ต้องทำ:

Determine test objectives — กำหนดวัตถุประสงค์ของ test
Define population — population ที่จะ test คืออะไร
Determine sampling method — statistical / nonstatistical, attribute / variable
Calculate sample size — ตามวิธีที่เลือก + confidence level + precision
Select sample — random หรือ judgment
Evaluate sample — สรุปผลและอนุมานเกี่ยวกับ population

ผ่าน 6 ขั้นตอนนี้ครบ → sample ที่ได้น่าเชื่อถือ + ผลที่อนุมานออกมา defensible

Trap Patterns ที่ Exam ออกบ่อย#

ขอรวม trap ที่ exam ชอบหลอกมาให้ครบ:

Trap	ความเข้าใจผิด	ความเข้าใจที่ถูก
Compliance = Substantive	คิดว่าใช้แทนกันได้	คนละจุดประสงค์ — Compliance = “controls ทำงานมั้ย”; Substantive = “data ถูกมั้ย”
Strong controls = ไม่ต้อง substantive	คิดว่า controls ดีไม่ต้องตรวจ data	Strong controls = ลด substantive (ไม่ใช่ตัดทิ้ง)
Attribute = Statistical เสมอ	คิดว่า attribute ต้องเป็น statistical	Attribute เป็น statistical หรือ nonstatistical ก็ได้
Variable = เงินเท่านั้น	คิดว่า variable คือ dollar amounts	Variable = quantitative อะไรก็ได้
Sampling risk = Audit risk	สับสนสองอย่าง	Sampling risk เป็น component ของ detection risk
Stop-or-go = ใช้เมื่อ errors เยอะ	กลับด้าน	Stop-or-go = ใช้เมื่อคาดว่า errors น้อย
Higher confidence = smaller sample	กลับด้าน	Higher confidence = larger sample size

Cross-Reference กลับ Part A#

ภาษา sampling ที่เพิ่งเรียนเชื่อมโยงกลับสิ่งที่เคยคุยใน Part A อย่างไร?

Sampling Risk → component ของ Detection Risk ใน ตอน 05 Audit Risk Trinity
Compliance vs Substantive → ขยายจาก ตอน 07 ที่ intro ไว้
Tolerable error rate → ขึ้นกับ risk appetite ขององค์กรที่กำหนดใน ตอน 06 Risk Assessment
Test = output ของ Audit Program → จาก ตอน 08 ที่ระบุ testing types ใน program

ทุกศัพท์ใน Part B trace กลับไปได้ที่ Part A เสมอ — ถ้า Part A แน่น Part B ก็ตามมา

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 1: Section 1.6 Audit Testing and Sampling Methodology