สารบัญ
จบ Domain 2 ครับ — 9 ตอน + recap ก่อนเข้า Domain 3
ขอบคุณคนที่อ่านมาถึงจุดนี้ ผมรู้ว่า Domain 2 อ่านหนักกว่า Domain 1 — เพราะ concept มันเป็น abstract กว่า ใน D1 เราเห็น auditor เดินทำงานจริง ใน D2 เราเห็น โครงสร้างที่ค้ำ business ทั้งบริษัท ที่ touch ได้ยาก แต่หายไปก็พังหนัก
ในบทนี้ผมจะ:
- Recap ทั้ง 9 ตอนให้เห็นภาพในแผนที่เดียว
- 5 บทเรียนสำคัญ ที่ Domain 2 ฝังในหัว
- เกริ่น Domain 3 — เปลี่ยนเรื่องจาก governance ไป SDLC
Recap: Domain 2 ทั้งหมดในภาพเดียว
Map ของ Domain 2 — 9 ตอน
| ตอน | Part | เรื่อง | Section CRM |
|---|---|---|---|
| 14 | Setup | เปิด Domain 2 (storyboard) — Governance vs Management | (intro) |
| 15 | A | กฎที่ IT ต้องอยู่ใต้ — Laws / Regulations / Policies / Standards / Procedures | 2.1 + 2.3 |
| 16 | A | EGIT + Three Lines + SoD + Enterprise Architecture | 2.2 + 2.4 |
| 17 | A | ERM + Privacy + Data Governance | 2.5 + 2.6 + 2.7 |
| 18 | B | เปิด Part B — IT Resource Management (HR + Financial) | 2.8 |
| 19 | B | IT Vendor Management — Outsourcing ที่ Accountability ไม่หาย | 2.9 |
| 20 | B | Performance Monitoring — KPI/KRI/KGI + PDCA + Balanced Scorecard | 2.10 |
| 21 | B | Quality Assurance + Quality Management ของ IT | 2.11 |
| 22 | Close | ปิด Domain 2 (ตอนนี้) + Recap + เกริ่น Domain 3 | (close) |
Part A (ตอน 14-17): “Foundation of Governance” — ตัวกฎ + โครงสร้าง + ความเสี่ยง + ข้อมูล
Part B (ตอน 18-21): “Operational Governance” — คน + เงิน + vendor + measurement + quality
ภาพ Mental Model ทั้ง Domain
[ External: Laws + Regulations + Industry Standards ] ↓ (translated by org into)[ Internal: Policies → Standards → Procedures → Guidelines ] ↓ (governed through)[ EGIT — Board responsibility ] ├── Governance Committees (Strategy + Steering) ├── Three Lines Model (Operational / Risk / Audit) ├── Roles + SoD (Data Owner vs Custodian) └── Enterprise Architecture (the map) ↓ (protects against)[ Risks → ERM lifecycle (Identify/Assess/Respond/Monitor) ] ├── Privacy Program (Personal Data subset) └── Data Governance + Classification (all data) ↓ (operationalized through)[ Resource Management (HR / Change / Financial / Security) ] └── Vendor Management (outsourced functions) ↓ (measured by)[ Performance Monitoring (KPI / KRI / KGI / PDCA / BSC) ] ↓ (quality assured by)[ QA + Quality Management + Operational Excellence ] ↓ (independently assessed by)[ IS Auditor (Third Line) ]นี่คือทั้ง โลก ของ Domain 2 — ทุก concept อยู่ในแผนผังนี้
5 บทเรียนสำคัญที่ Domain 2 ฝังในหัว
ถ้าจำได้แค่ 5 อย่างจาก Domain 2 ทั้งหมด ขอให้จำ:
1. Accountability ไม่ Transfer
ไม่ว่าจะ outsource ไปกี่ vendor ไม่ว่าจะใช้ cloud หนักแค่ไหน ไม่ว่า committee จะตั้งกี่ชุด — ความรับผิดชอบสุดท้ายต่อ stakeholder ยังอยู่กับองค์กร
นี่คือ theme ที่กลับมาในหลายตอน:
- ตอน 16 — EGIT = board responsibility (ไม่ใช่ของ CIO)
- ตอน 19 — outsourcing โอน execution ไม่โอน accountability
- ตอน 17 — risk acceptance ต้อง document, ไม่ใช่ “ปล่อย”
ผู้บริหารที่เข้าใจประโยคนี้ — outsource อย่างมี governance ผู้บริหารที่เข้าใจผิด — outsource เพื่อหลีกเลี่ยงความรับผิดชอบ (และจะเจอความผิดหวังเมื่อเกิดเหตุ)
2. Governance ≠ Management
เส้นแบ่ง 2 คำที่คนใช้สลับตลอด:
- Governance = board เป็นคนทำ — กำหนดทิศทาง, อนุมัติ risk appetite, monitor outcome
- Management = CIO + ทีม — execute ตามทิศทาง, run day-to-day
ทุก trap ของ Domain 2 ที่เกี่ยวกับ committee, role, structure มี root อยู่ที่นี่:
- IT Strategy Committee (board level — advise) ≠ IT Steering Committee (management level — execute)
- EGIT (board) ≠ IT operations (CIO)
- Risk appetite (board approves) ≠ Risk tolerance per category (operational)
3. วงจรไม่หยุด
Risk management ไม่ใช่ทำครั้งเดียว Privacy program ไม่ใช่ post notice แล้วจบ Vendor management ไม่ใช่เซ็น contract แล้วจบ Performance measurement ไม่ใช่ collect ตัวเลขครั้งเดียว — ทุกอย่างคือ วงจร ที่ต้อง monitor + improve ต่อเนื่อง
ตัวอย่าง pattern ของ “วงจรไม่หยุด” ใน Domain 2:
- ERM lifecycle — Identify → Assess → Respond → Monitor → (loop)
- PDCA — Plan → Do → Check → Act → (loop)
- Vendor governance — Due diligence → Contract → Monitor → Review → (loop)
- Privacy program — Inventory → Notice → Train → Audit → Update → (loop)
บริษัทที่ทำ governance เป็น project (เริ่ม–จบ) → governance หายไปเมื่อ project หมดแรง บริษัทที่ทำ governance เป็น culture (ต่อเนื่อง) → governance ปรับตัวตาม environment ที่เปลี่ยน
4. Independence = Structural ไม่ใช่ Attitude
ใน Domain 1 เราเรียนเรื่อง audit independence — Domain 2 เราเห็นว่า principle เดียวกัน apply ที่อื่น ๆ ของ governance:
- Audit Independence (ตอน 02 — D1) — รายงานต่อ audit committee ไม่ใช่ CFO
- CISO Reporting (ตอน 16) — ไม่ควรอยู่ใต้ CIO
- QA Independence (ตอน 21) — ไม่อยู่ใต้ development manager
- Data Owner vs Custodian (ตอน 17) — DBA ไม่ approve access ตัวเอง
- SoD (ตอน 16) — Custody ≠ Authorization ≠ Recording
ทุกกรณี — โครงสร้าง enforce independence ในระยะยาว ไม่ใช่ความตั้งใจของบุคคล
ในบริษัทเล็กที่ทำไม่ได้ทาง structural → compensating controls (ไม่ใช่ skip)
5. Documentation = Asset
หลายผู้บริหารมอง documentation เป็น overhead — เปลืองเวลา ไม่ generate revenue
แต่ Domain 2 ฝังในหัวว่า documentation = asset ของ governance:
- Policy ที่ไม่ document = ไม่มีใครรู้ว่ามี = control ที่ไม่มีอยู่จริง
- Procedure ที่ไม่ document = process ขึ้นกับคน = หายไปเมื่อคนลาออก
- Risk acceptance ที่ไม่ document = neglect ในมุม auditor
- PIA ที่ไม่ document = compliance ที่พิสูจน์ไม่ได้
- Training ที่ไม่ document = “พนักงานเรารู้แล้ว” ที่ไม่มี evidence
- SOC report จาก vendor = ระบบ documentation ที่ทำให้ accountability ไม่หายเมื่อ outsource
ถ้าไม่มี documentation = control ไม่มีอยู่ในมุม auditor
นี่คือ litmus test ที่กลับมาตลอด Domain 2
เกริ่น Domain 3: Acquisition, Development, Implementation
ถึงจุดนี้ — เราเดินทางจาก:
- Domain 1 = วิธีของหมอ (auditor process)
- Domain 2 = สรีระวิทยาของผู้ป่วย (governance ขององค์กร)
Domain 3 จะเปลี่ยนเรื่องอีกครั้ง — ไม่ใช่ governance เป็นภาพรวมแล้ว แต่จะ ลึกลงไปที่ project ที่กำลังสร้าง / ซื้อ / deploy ระบบใหม่
Mental Model ของ Domain 3
ลองคิดว่า Domain 1+2 เป็นการเตรียมความพร้อมเชิงระบบ — ตอนนี้ business ของเรามี idea ว่าจะสร้างระบบใหม่ (เช่น app ใหม่, ระบบ ERP ใหม่, AI platform ใหม่)
จาก idea → ระบบที่ go-live ใน production มี lifecycle ที่ยาว:
Idea → Feasibility → Design → Build/Acquire → Test → Deploy → ReviewDomain 3 จะคุยทุก phase นี้ — ในมุม IS auditor ที่เข้าไปตรวจ project ตั้งแต่ต้นจนจบ
หัวข้อที่จะมาใน Domain 3
| หัวข้อ | จะคุยอะไร |
|---|---|
| Project Governance | ใครรับผิดชอบ project, business case, feasibility |
| SDLC (Software Development Life Cycle) | Waterfall, Agile, Scrum, DevOps |
| Build vs Buy | Develop เองหรือซื้อ — RFP, vendor evaluation |
| Application Controls | Input/Process/Output controls — 3 ด่าน |
| Testing | UAT, integration test, security test |
| Go-Live | Configuration, Release, Migration, Data Conversion |
| Postimplementation Review | ระบบทำงานจริงตามที่หวังมั้ย |
Cross-references จาก Domain 2 ที่จะกลับมา
- Project governance ใน Domain 3 → ใช้ EGIT framework จาก Domain 2 ตอน 16
- Vendor evaluation ใน acquisition → ใช้ knowledge จาก Domain 2 ตอน 19 (Vendor Management)
- Right-to-audit clause ใน software acquisition → จาก Domain 2 ตอน 19
- Project risk → ใช้ ERM framework จาก Domain 2 ตอน 17
- Test data privacy → จาก Domain 2 ตอน 17 (developer ห้าม access production data)
ถ้า Domain 2 แน่น Domain 3 จะอ่านไหลขึ้นมาก เพราะ governance ที่ Domain 2 วางไว้คือ constraint ที่ project ของ Domain 3 ทำงานภายใต้
Trap Patterns ที่ Domain 3 จะมา
แย้มไว้ก่อน:
- IS auditor ที่ joining project = consultant ไม่ใช่ auditor (independence ที่หาย)
- WBS = deliverable-based ไม่ใช่ task-based
- Steering Committee ≠ Project Manager
- Agile ≠ no documentation
- Vendor ทำ testing ของซอฟต์แวร์ที่ขายให้บริษัท ≠ เพียงพอ — บริษัทต้อง test เอง
ปิดทั้งสองครึ่งของ Series ที่ผ่านมา
ตอนนี้เราจบ 22 ตอน + 14 ตอนของ D1 = ครึ่งทางของ series ครับ
ถ้านึกย้อนกลับไป — เราเริ่มจากคำถาม “IS audit คืออะไร” ใน ตอน 0 — ตอนนี้เราเดินผ่าน:
- D1 — auditor ทำงานยังไง: Charter, Universe, Risk-based plan, Engagement, Evidence, Report, Follow-up
- D2 — organization ที่ดีต้องมี governance ยังไง: Laws, EGIT, Three Lines, Risk, Privacy, Resource, Vendor, Performance, Quality
จากนี้ไป — Domain 3, 4, 5 จะลงไปที่ เทคนิค ของ IT audit จริง:
- Domain 3 = ตรวจ project ที่กำลังสร้างระบบใหม่
- Domain 4 = ตรวจ operations + business resilience (ระบบ live แล้วทำงานยังไง + รอดเมื่อล่มยังไง)
- Domain 5 = ตรวจ security ของระบบที่ live
ภาษา risk + control + independence + governance ที่เราเรียนมาทั้ง 22 ตอน — ทั้งหมดจะ apply ตลอด D3-D5 ในบริบทเฉพาะของแต่ละ domain
ขอบคุณที่ติดตามมาถึงจุดนี้ครับ 22 ตอนเป็นการเดินทางที่ยาว — แต่ผมหวังว่ามันให้ภาพ governance ของ IT ที่ครบและ make sense ในแบบที่ตำราเรียนอาจไม่ได้ให้
เจอกันใน Domain 3 ครับ
อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 2: Governance and Management of IT — Domain 2 wrap-up
