สารบัญ
วันนี้ผมจะมาแนะนำให้รู้จัก Cert ใบหนึ่งที่เรียกว่า CISA (ที่ไม่ได้เกี่ยวกับ CISA ที่เป็นของสายการเงินนะ อันนี้สาย IT)
CISA คืออะไรในประโยคเดียว
CISA = Certified Information Systems Auditor วุฒิบัตรสากลที่ออกโดย ISACA (Information Systems Audit and Control Association) สำหรับคนทำงานสาย:
- IT Audit / IS Audit (ตรวจสอบระบบสารสนเทศ)
- Controls (การควบคุม)
- Assurance (การประกันคุณภาพ)
- Information Security (ความมั่นคงปลอดภัยทางไซเบอร์)
ข้อมูลที่น่าสนใจ:
- อยู่มาตั้งแต่ปี 1978 48 ปีแล้วครับ ในยุคที่เทคโนโลยีพลิกทุก 2-3 ปี certification ตัวนึงยังยืนเป็นมาตรฐานสากลได้ขนาดนี้ ก็เป็นสัญญาณของความน่าเชื่อถือในตัวอยู่แล้ว
- มีคนถือมากกว่า 207,000 คนทั่วโลก
- ถูกเรียกว่า “Gold Standard” ของวงการ IT Audit บริษัท Big 4 (Deloitte, EY, KPMG, PwC) ธนาคาร บริษัทประกัน หน่วยงานรัฐ มักระบุไว้ในประกาศรับสมัครงานสาย IT Audit / Compliance / GRC
ทำไม CISA ถึงน่าเอามาเรียน (สำหรับคนทำงานจริง)
ตอนค้นข้อมูล ผมไม่ได้สนใจมุม “หางาน” หรือ “เงินเดือนสูงขึ้น” นะครับ เพราะทำกิจการของตัวเองอยู่ ไม่ได้ไปสมัครงานที่ไหน
ที่สนใจจริงๆ คืออีก 3 มุม ที่ฟิตกับคนทำงานสาย IT / consultant / เจ้าของกิจการ:
1. ความรู้ที่เอามาใช้กับงานจริงได้ทันที
CISA syllabus ครอบคลุม framework ที่วงการ enterprise IT ใช้กันจริง ทั้ง SOX, ISO 27001, PCI DSS, GDPR, PDPA, COBIT, NIST, ITIL ฯลฯ
ถ้าจะไปไล่อ่านแต่ละ framework แยกๆ จาก 10 แหล่งคือ ปวดหัว แต่เรียนผ่าน CISA syllabus คือได้ภาพรวมของ “วิธีคิดในการ audit/control ระบบ IT” จากมุมที่ ISACA ออกแบบมา 48 ปี ในเล่มเดียว
ตอนวางระบบ ERP ลูกค้าถาม “ระบบที่ออกแบบมานี้รองรับ PDPA ยังไง?” “Audit trail เพียงพอมั้ย?” “Segregation of duties ทำได้ครบมั้ย?” ความรู้พวกนี้ใช้ตอบลูกค้าได้ทันที ไม่ต้องแอบเปิด google ตอบ 555+
2. พิสูจน์ความสามารถกับลูกค้า / สังคมวงการ
เวลาเสนองานให้ลูกค้า โดยเฉพาะลูกค้าที่ต้อง audit (ธนาคาร ประกัน บริษัทมหาชน multinational) มี CISA ติดตัว ก็คือสัญญาณความน่าเชื่อถือตั้งแต่หน้าโปรไฟล์
ลูกค้าไม่ต้องนั่งฟังเราอธิบายว่า “เราเข้าใจ control / governance ดีนะ” เพราะ CISA ก็คือใบรับรองนั้นอยู่ในตัวมันเองแล้ว ลดแรงเสียดทานในการเสนองานไปเยอะ
3. เปิดประตูสู่ certification อื่นๆ
CISA Active เอาไป ยกเว้นประสบการณ์ สำหรับ certification สายเดียวกันได้:
- CISM (Information Security Management) ยกเว้นได้ 2 ปี
- CIA Challenge Exam (Internal Audit) สอบเฉพาะ Challenge Exam แทนสอบเต็ม
แปลว่าไป CISA หนึ่งใบ ก็คือวางตำแหน่งตัวเองสำหรับ cert อื่นไปในตัว ถ้าวันหนึ่งอยากต่อยอด
โครงสร้างข้อสอบ — รวบสั้น
| รายการ | รายละเอียด |
|---|---|
| จำนวนข้อ | 150 ข้อ multiple choice |
| เวลา | 4 ชั่วโมง (240 นาที) |
| คะแนนผ่าน | ≥ 450 จาก 800 (Scaled Score) |
| ภาษา | 7 ภาษา (อังกฤษ สเปน จีนตัวย่อ ฝรั่งเศส เยอรมัน เกาหลี ญี่ปุ่น) ไม่มีไทย |
| ศูนย์สอบ | PSI Testing Centers หรือ Remote Proctoring สอบที่บ้าน |
| ลงทะเบียน | เปิดตลอดปี มี 365 วันเลือกวันสอบหลังชำระ |
| Content Outline | ECO Effective August 2024 (ยังใช้อยู่ในปี 2026) |
ข้อสอบแบ่งเป็น 5 Domains น้ำหนักไม่เท่ากัน:
| # | Domain | สัดส่วน | ~ ข้อ |
|---|---|---|---|
| 1 | Information System Auditing Process | 18% | 27 |
| 2 | Governance and Management of IT | 18% | 27 |
| 3 | IS Acquisition, Development & Implementation | 12% | 18 |
| 4 | IS Operations and Business Resilience | 26% | 39 |
| 5 | Protection of Information Assets | 26% | 39 |
Domain 4 + 5 รวมกัน 52% ของข้อสอบ ใครจะเตรียมตัวสอบ ต้องลงเวลากับ 2 ส่วนนี้มากที่สุดครับ
เนื้อหาแต่ละ Domain เดี๋ยวจะทบทวนแยกในบทถัดๆ ไป ขอเล่าสั้นๆ ก่อนว่าแต่ละบทเขาทดสอบอะไรบ้าง:
Domain 1 — กระบวนการ Audit ระบบ IT ทดสอบว่าผู้สอบรู้วิธีทำงาน audit ตั้งแต่ต้นจนจบรึเปล่า ตั้งแต่อ่านมาตรฐานวิชาชีพ วางแผนตามความเสี่ยง เก็บหลักฐาน วิเคราะห์ข้อมูล จนถึงการเขียนรายงานออกมา domain นี้คือ “วิธีคิดของ auditor” เป็นรากฐานของอีก 4 domain ที่เหลือ
Domain 2 — การกำกับดูแลและการบริหารงาน IT ดูเรื่องระดับนโยบายและการบริหาร ตั้งแต่กลยุทธ์ IT ที่ต้องสอดคล้องกับธุรกิจ การบริหารความเสี่ยงทั่วองค์กร เรื่องความเป็นส่วนตัวของข้อมูล (PDPA ของไทย / GDPR ของยุโรป) ไปจนถึงการบริหาร vendor ที่บริษัทจ้างเข้ามาทำระบบ
Domain 3 — การจัดหา พัฒนา และนำระบบขึ้นใช้งาน ทดสอบเรื่องวงจรการสร้างระบบ IT ตั้งแต่บริหารโปรเจกต์ การพัฒนาแบบต่างๆ (Waterfall, Agile, DevOps) การทดสอบกับผู้ใช้จริง (UAT) จนถึงการย้ายข้อมูลจากระบบเก่ามาระบบใหม่
Domain 4 — การดำเนินงานและความสามารถในการฟื้นตัว ดูเรื่องการเดินระบบ IT ในชีวิตประจำวัน framework การจัดการบริการ (ITIL) การจัดการการเปลี่ยนแปลงในระบบ และที่สำคัญคือการเตรียมพร้อมรับมือกับเหตุไม่คาดฝัน — แผน BCP/DRP, การสำรองข้อมูล, การวิเคราะห์ผลกระทบทางธุรกิจ (BIA) เวลาที่ระบบล่ม
Domain 5 — การปกป้องสินทรัพย์สารสนเทศ เรื่องความปลอดภัยทั้งหมด ตั้งแต่ framework ระดับโลก (ISO 27001, NIST) การจัดการสิทธิ์เข้าถึงระบบ (IAM) การเข้ารหัสข้อมูล (PKI/TLS) การป้องกันข้อมูลรั่ว (DLP) ความปลอดภัยบน cloud จนถึงการรับมือเมื่อเกิดเหตุ incident
อ่านปุ๊บก็เห็นเลยว่ามันคือ ภาพรวมของระบบ IT ทั้งบริษัท มองจากมุมของคนที่ต้องตรวจสอบและรับรองว่ามันทำงานได้ปลอดภัย เชื่อถือได้
คุณสมบัติและประสบการณ์ที่ต้องการ
จุดที่หลายคนสะดุดคือ ต้องมีประสบการณ์ 5 ปี ใน IS Audit, Control, Assurance หรือ Security
แต่… มี ตัวยกเว้น ได้สูงสุด 3 ปี (รวม):
Education Waivers (เลือก 1):
| วุฒิ | ยกเว้นได้ |
|---|---|
| Associate’s Degree (60 หน่วยกิต) | 1 ปี |
| Bachelor’s / Master’s / Doctorate (สาขาใดก็ได้) | 2 ปี |
| Master’s สาย Information Systems | 3 ปี |
Experience Substitutions (รวมได้ไม่เกิน 1 ปีจากแต่ละแถว):
| ทดแทนจาก | ได้กี่ปี |
|---|---|
| ประสบการณ์ Information Systems (ที่ไม่ใช่ audit) | สูงสุด 1 ปี |
| ประสบการณ์ Non-IS / Financial Audit | สูงสุด 1 ปี |
| สอนมหาวิทยาลัยเต็มเวลา 2 ปี ในสาขาที่เกี่ยวข้อง | เทียบเท่า 1 ปี |
📌 ตัวอย่าง: ป.โท สาขา Information Systems → ยกเว้น 3 ปี → ต้องมีประสบการณ์จริงแค่ 2 ปี
CISA Associate — ทางเลือกใหม่ปี 2025
เปิดตัวกรกฎาคม 2025 สำหรับคนที่สอบผ่านแล้ว แต่ยังไม่มีประสบการณ์ครบ 5 ปี
- ค่าสมัคร US$ 25 (จ่ายครั้งเดียว)
- ไม่ต้องเก็บ CPE ระหว่างเป็น Associate
- อายุสถานะสูงสุด 4 ปี (พอครบประสบการณ์ → ยกระดับเป็น CISA เต็ม)
- 92% ของ Hiring Managers เห็นว่า CISA Associate ส่งผลเชิงบวกต่อการจ้าง entry-level (ผลสำรวจ ISACA)
แปลว่า เด็กจบใหม่ / คนทำงาน 1-2 ปี ก็สอบได้เลย ไม่ต้องรอครบ 5 ปี
อันนี้คือพลิกเกมเลยครับ เมื่อก่อน CISA คือ “ของผู้มีประสบการณ์เท่านั้น” ตอนนี้เปิดประตูแล้ว
ค่าใช้จ่าย — รวมทั้งหมดในปีแรก
| รายการ | สมาชิก ISACA | ไม่เป็นสมาชิก |
|---|---|---|
| ค่าสมัครสอบ | $575 | $760 |
| ค่าสมาชิกรายปี | $135 | — |
| ค่า Chapter (Bangkok) | $10 | — |
| ค่าสมัครสมาชิกใหม่ | $10 | — |
| ค่าสมัครวุฒิบัตร (หลังสอบผ่าน) | $50 | $50 |
| ค่ารักษาสถานะภาพปีแรก | $45 | $85 |
| รวม | ~$825 | ~$895 |
💡 เป็นสมาชิกก่อนสอบ = ประหยัด ~$185 บวกได้ส่วนลดสื่อ บวก free CPE webinars
ตีเป็นเงินไทยประมาณ 30,000-32,000 บาท สำหรับปีแรก (รวมสอบ + วุฒิบัตร + รักษาสถานะ) ไม่ถูกครับ แต่ถ้าเทียบกับ ROI ของ certification ระดับนี้ในตลาดงาน ก็ค่อนข้างคุ้ม
หลังสอบผ่าน — ยังต้องทำอะไรต่อ
1. ขอวุฒิบัตรภายใน 5 ปี หลังสอบผ่าน (ไม่งั้นต้องสอบใหม่)
ขั้นตอน:
- ชำระค่าสมัครวุฒิบัตร $50
- ยื่น Application + Experience Verification Form (หัวหน้างาน หรือ ลูกค้ารับรอง ขึ้นกับสถานะของผู้สอบ)
- ยอมรับ Code of Professional Ethics
- ปฏิบัติตาม IS Auditing Standards
2. รักษาสถานะด้วย CPE (Continuing Professional Education)
- 20 ชั่วโมง/ปี ขั้นต่ำ
- 120 ชั่วโมง/3 ปี ขั้นต่ำ
- ค่ารักษา 85/ปี (ไม่สมาชิก)
- แหล่ง CPE: อบรม สัมมนา webinars ตีพิมพ์ สอน mentor วิจัย
- รายงานภายใน 15 ก.พ. ของทุกปี
- ⚠️ ISACA สุ่มตรวจหลักฐานได้
ไม่ใช่สอบแล้วจบนะครับ ต้องเคลื่อนไหวต่อเนื่องเรื่อยๆ ก็เป็นตัวกรองอีกชั้นที่กรองคนจริงจังออกจากคนที่แค่อยากได้ใบ
สอบที่ไหน + เตรียมตัวยังไง
สอบที่ไหน — 2 ทาง:
- PSI Testing Center (ศูนย์สอบ) มีในกรุงเทพ
- Remote Proctoring (สอบที่บ้าน) ผ่าน PSI Secure Browser มี proctor live chat คุม Webcam ตลอดเวลา ห้ามมีอะไรในห้องสอบเลย
เตรียมตัวยังไง:
- CISA Review Manual (CRM) 28th Edition หนังสือหลักของ ISACA เล่มเดียว
- QAE Database ข้อสอบมากกว่า 1,000 ข้อจาก ISACA พร้อม dashboard ติดตามความคืบหน้า
- Free Practice Quiz จาก ISACA ลองวัดระดับก่อน
- อบรม ISACA Bangkok Part 1 (3 วัน) + Part 2 (4 วัน) + Mock Exam (1 วัน) มี 3 รอบต่อปี
- Mock Exam ทำ 150 ข้อ 4 ชม. ในเงื่อนไขจริง อย่างน้อย 3 ครั้ง
ทำไม “ผม” ถึงเริ่มสนใจ
งานปกติของผมคือ วางระบบ ERP ให้บริษัทขนาดกลางขึ้นไป ลูกค้าเฉลี่ยยอดขาย 100-500 ล้านขึ้นไป (บางเจ้าก็พันล้านบวกๆ)
เวลาวางระบบ ERP ให้ลูกค้าหนึ่งเจ้า มันไม่ใช่แค่ “ติดตั้ง software แล้วจบ” ครับ
มันคือ:
- วาง requirement จาก stakeholder หลายฝ่าย (Finance, Sales, Inventory, HR, IT)
- ออกแบบ workflow ที่จะบังคับใช้ control ในระบบ (ใครเห็นอะไร ใครอนุมัติอะไร segregation of duties)
- จัดการ data migration จากระบบเก่ามาระบบใหม่ ตรวจสอบความถูกต้อง
- UAT กับผู้ใช้จริงหลายๆ รอบ
- Go-live + post-implementation review ว่าระบบทำงานตามที่ออกแบบหรือเปล่า
- Vendor management บริหารผู้ให้บริการ ระบบที่ลูกค้าจ้างเข้ามาเชื่อม
ทีนี้ลองมาดู CISA Domain 3 — IS Acquisition, Development & Implementation:
Project Governance, Business Case, SDLC (Agile/Waterfall/DevOps), Control Identification, UAT, Migration, Post-Implementation Review
อ่านแล้ว “เอ๊ะ” ครับ หลายเรื่องในนี้คืองานที่ผมเจอบ่อยอยู่แล้ว ไม่ใช่ทุกอันหรอก ผมไม่ได้เป็น project manager เต็มตัว ไม่ได้ทำ DevOps pipeline เอง แต่เรื่อง requirement, control design, UAT, migration นี่อยู่ในงาน ERP ที่ทำกับลูกค้าตลอด
แล้วพอเหลือบไปดู Domain อื่นๆ ก็เริ่มเห็นรูปแบบเดียวกัน:
- Domain 2 (Governance): เรื่อง vendor management, data governance — เจอบ่อย เพราะลูกค้ามักถามว่า “vendor ที่บริษัทใช้อยู่ น่าเชื่อถือมั้ย ดูยังไง”
- Domain 4 (Operations): Change management, BCP เจอตลอด ลูกค้าทุกเจ้าถาม “ถ้าระบบล่มจะกู้ยังไง”
ไม่ได้ทำครบทุกเรื่องนะครับ แต่ก็มีจุดทับซ้อนกับงานจริงพอสมควร โดยที่ผมไม่ได้ตั้งใจตั้งแต่แรก
เรื่องประสบการณ์ 5 ปี — ISACA เปิดทางสำหรับเจ้าของกิจการ / consultant
จุดที่ไปค้นหาข้อมูลแล้ว “เอ้อ ดี” คือ ISACA ออกแบบมาให้ใช้แฟ้มผลงานที่ลูกค้ารับรอง แทนประวัติการจ้างงานได้ตั้งแต่ต้น
แปลว่าต่อให้ไม่มีหัวหน้างานเซ็นรับรอง (เพราะเป็นเจ้าของกิจการเอง) ก็ยื่น Experience Verification ได้อย่างเป็นทางการ ใช้ลูกค้าที่เคยวางระบบให้เป็นผู้รับรองว่าเราทำงานนี้จริง
นี่ทำให้ CISA ที่ดูเหมือน “ของพนักงานบริษัทใหญ่” จริงๆ แล้วก็เปิดให้ เจ้าของกิจการ / freelance / consultant ได้เหมือนกัน แค่ต้องเก็บหลักฐาน + ลายเซ็นลูกค้าให้ครบ
งั้นก็ลองดูครับ ขำๆ ไปสอบดู อ่านหนังสือเอานิดนึง 555+
ก่อนลง Domain — ขอวาง mental model สั้นๆ ก่อน
ตอนเริ่มอ่าน CISA ใหม่ๆ ผมงงครับ เพราะเจอ framework เพียบ — COBIT, ISACA Standards, ITAF, ISO 27001, NIST, ITIL — อ่านไปสักพักก็ถามตัวเองว่า “เอ๊ะ CISA สอบทั้งหมดนี้เหรอ ต้องจำทุก control ของทุก framework เลยมั้ย”
ความงงนี้หายไปตอนที่ผมเชื่อมมันกับโลกบัญชีที่คุ้นเคยอยู่แล้วครับ เพราะมันขนานกันเป๊ะ
ในโลกบัญชี มี framework สองชุดที่คนละบทบาท:
- TFRS / IFRS — มาตรฐานจัดทำงบ ใช้โดยนักบัญชี
- TSAs / ISAs — มาตรฐานตรวจสอบงบ ใช้โดยผู้สอบบัญชี
นักบัญชีกับผู้สอบบัญชีคนละบทบาทกัน framework คนละชุด ไม่มีใครคาดหวังให้คนคนเดียวทำทั้งสองหน้าที่พร้อมกัน
โลก IT ก็แบ่งแบบเดียวกัน:
| Doer (คนสร้าง) | Auditor (คนตรวจ) | |
|---|---|---|
| โลกบัญชี | นักบัญชี | ผู้สอบบัญชี (CPA) |
| Framework บัญชี | TFRS / IFRS | TSAs / ISAs |
| โลก IT | CTO / CIO team | IS Auditor |
| Framework IT | COBIT | ISACA Standards / ITAF |
จุดที่งงเป็นพิเศษคือ — ISACA เป็นองค์กรเดียวกันที่ดูแลทั้งคู่ ทั้ง COBIT (ฝั่ง doer) และ ISACA Standards (ฝั่ง auditor) แต่ไม่ได้แปลว่ามันใช้ร่วมกัน บทบาทยังแยกกันชัดเจน เหมือนสภาวิชาชีพบัญชีดูแลทั้ง TFRS และ TSAs แต่นักบัญชีกับผู้สอบบัญชีก็ยังเป็นคนละหน้าที่
Takeaway: CISA สอบฝั่ง auditor เป็นหลัก ไม่ใช่ implementer — แต่ auditor ที่ดีก็ต้องรู้ฝั่ง implementer ด้วย เพราะจะตรวจสิ่งที่ไม่รู้ว่ามันควรทำงานยังไงนั้น… ก็คงตรวจไม่ออก 555+
จำไว้แค่นี้ก่อนครับ ทุกครั้งที่ตามซีรีส์นี้แล้วเจอ framework แปลกๆ โผล่มา ให้ถามตัวเองว่า “อันนี้ของฝั่ง doer หรือ auditor” สมองจะจัดเรียงได้ทันที
บทถัดไป
โพสต์นี้คือเปิดเรื่อง เนื้อหาจริงๆ ของแต่ละ Domain เดี๋ยววันหลังค่อยมาเล่าให้ฟังเรื่อยๆ ครับ ตามที่ตัวเองอ่านไปถึงไหน
ไม่ได้สัญญาว่าจะเขียนครบทุก Domain ตามตารางนะครับ แต่ที่แน่ๆ คือจะเป็น “บันทึกการเรียน” ในมุมของคนที่จะลองสอบจริง ไม่ใช่สรุปหนังสือ (เพราะแบบนั้นในเน็ตเยอะแล้ว)
แล้วเจอกันบทถัดไป 🚀
