by A.Pinya Hom-anek, CISSP,CISA
ACIS Professional Team
ในยุค ICT ทุกวันนี้นั้น ความจำเป็นในการใช้งานระบบสารสนเทศเป็นเรื่องสำคัญของทุกองค์กร เรียกได้ว่าระบบคอมพิวเตอร์ได้ถูกนำมาใช้ในการประมวลผล, การนำเสนอข้อมูล และอื่นๆ อีกมากมาย จนเราต้องใช้งานคอมพิวเตอร์ในวันทำงานแทบทุกวันอย่างหลีกเลี่ยงไม่ได้ ที่เห็นชัดเจนก็คือ ระบบอีเล็กทรอนิกส์เมล์ หรือ e-mail ที่เราคุ้นเคยกันดี ทุกคนในองค์กรต้องมีอีเมล์แอดเดรส (e-mail address) เป็นของตนเอง ปรากฎอยู่ในนามบัตรทุกใบ e-mail กลายเป็นสิ่งจำเป็นสำหรับชีวิตประจำวันไปแล้ว นอกจากนี้ Web Site หรือ URL ที่อยู่ในนามบัตร ก็เป็นตัวอย่างที่ดีเช่นกัน เรียกว่าใครไม่มี Web Site สมัยนี้ก็ถือว่า “เชย” ใช่ไหมครับ

จากการที่เรานำระบบ IT มาใช้ในชีวิตประจำวันของการทำงานในองค์กรอย่างที่ยกตัวอย่างให้ท่านผู้อ่านได้ทราบแล้วนั้น จึงมีความจำเป็นที่ต้องมีฝ่ายหรือบุคลากรที่จะมาตรวจสอบด้าน IT ซึ่งเรามักเรียกว่า “IT Auditor” หรือ “IS Auditor” โดยทั่วไปแล้ว จะมีทั้ง Internal Audit (ฝ่ายตรวจสอบภายในองค์กรเอง) และ External Audit (ผู้ตรวจสอบที่มาจากองค์กรที่เชื่อถือได้มาตรวจสอบเราอีกที)

ผู้ตรวจสอบภายในที่ได้รับการยอมรับโดยทั่วไปเราเรียกว่า CIA (Certified Internal Auditor) ซึ่งทางสมาคมผู้ตรวจสอบภายใน หรือ IIAT นั้นได้มีการจัดสอบ เป็นประจำทุกปี ปีละ 2 ครั้ง (ข้อมูลเพิ่มเติมดูได้ที่ www.theiiat.or.th) ยกตัวอย่าง บริษัทที่จดทะเบียนในตลาดหลักทรัพย์ ต้องแต่งตั้งคณะกรรมการกำกับงานตรวจสอบ หรือ Audit Committee ขึ้นเพื่อดูแลให้บริษัทมีระบบตรวจสอบภายในที่มีประสิทธิภาพเป็นต้น
วุฒิบัตร CIA นั้น สามารถรับรองความรู้ความสามารถของผู้ที่สอบผ่าน CIA ว่าเป็น “Professional” ในงานที่ตนเองทำอยู่เช่นเดียวกับการยอมรับใน CPA (Certified Public Accountant) หรือ “ผู้สอบบัญชีรับอนุญาต” ที่เรารู้จักกันเป็นอย่างดีนั่นเอง (ขณะที่ในประเทศไทยมี CIA ทั้งสิ้น 131 คน)

ทั้ง CIA และ CPA นั้น ยังไม่ได้มุ่งไปที่การตรวจสอบระบบสารสนเทศ (IT & IS AUDIT) โดยตรง เมื่อเราพูดถึงระบบสารสนเทศที่มีความเกี่ยวข้องกับการใช้งานเทคโนโลยีเครือข่าย ระบบโครงสร้างพื้นฐานด้าน IT เช่น Router, Switching,Remote Access, ระบบป้องกันด้าน Security เช่น Firewall, IDS รวมทั้ง Application Server ต่างๆ เช่น Proxy Server , Mail Server หรือ WEB Server เป็นต้น

ผู้ตรวจสอบด้าน IT และ IS จึงจำเป็นต้องวัดความรู้ทางด้านเทคนิค ประกอบกับ ความรู้ทางด้านการตรวจสอบไปด้วยกัน ในเมืองไทยมี “สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ-ภาคพื้นกรุงเทพ” เรียกโดยย่อว่า ISACA-BANGKOK CHAPTER ทำการจัดสอบวัดความรู้ผู้ตรวจสอบด้าน IT&IS ซึ่งเรารู้จักกันในนาม “CISA” หรือ “Certified Information System Auditor”

CISA นั้นถือกำเนิดจากองค์กรในสหรัฐอเมริกาที่ได้รับการยอมรับทั่วโลก นั่นคือ ISACA (www.isaca.org) ตั้งแต่ปี 1978 การสอบ CISA EXAM นั้น จะวัดความรู้ในเรื่อง IS Auditing, Control และ Security ขณะนี้ทั่วโลกมีผู้สอบผ่าน CISA แล้วทั้งสิ้น 29,000 คน ในปี 2545 มีผู้เข้าสอบทั่วโลกมากกว่า 10,000 คน

สำหรับในเมืองไทย ขณะนี้มีจำนวนผู้สอบผ่าน CISA ยังมีไม่ถึง 100 คน จากสถิติปีที่แล้ว มีผู้สอบผ่าน 26 คนจากผู้เข้าสอบทั้งหมด 48 คน จะเห็นได้ว่ายังมีจำนวนน้อยมาก เมื่อเทียบกับความต้องการของตลาด IT ในบ้านเรา

ธนาคารแห่งประเทศไทย ได้นำมาตรฐานด้านการตรวจสอบของ ISACA มาใช้ ได้แก่มาตรฐาน CobiT ย่อมาจาก “Control Objective for Information and related Technology” ซึ่งขณะนี้เป็น Version 3
การพัฒนา CobiT นั้น รับผิดชอบโดย IT Governance Institute (ข้อมูลเพิ่มเติมดูได้ที่ www.itgi.org) ซึ่งจะเน้นไปในเรื่องของ Business Objective กับการนำ IT มาใช้งานในองค์กรให้มีประสิทธิภาพและประสิทธิผลมุ่งสู่การเป็น “บรรษัทภิบาล”
ทาง ISACA จะทำการจัดสอบ CISA ขึ้นในประเทศไทยในวันที่ 14 มิถุนายน 2546 นี้ ซึ่งข้อมูลเพิ่มเติมสามารถเข้าไปดูได้ที่ http://www.isaca.org/cisa.htmจึงนับเป็นโอกาสที่ดีสำหรับผู้ที่ต้องการพัฒนาตนเองไปเป็น “Professional IT Auditor” ซึ่งปกติจะทำงานอยู่ในบริษัท “BIG SIX” เสียเป็นส่วนใหญ่ ตลอดจนองค์กรที่ต้องการพัฒนาบุคลากรด้านการตรวจสอบระบบสารสนเทศ (IT & IS AUDIT) ก็ควรจะให้ความสนใจและความสำคัญกับการสอบ CISA ด้วยเช่นกัน ผู้ที่สอบข้อเขียน CISA EXAM ผ่านแล้วนั้น ยังไม่สามารถเป็น CISA ได้ เพราะทาง ISACA มีข้อกำหนดว่าต้องมีประสบการณ์ในด้าน IT AUDIT หรือ Security ไม่ต่ำกว่า 5 ปีขึ้นไป โดยต้องมีหัวหน้าฝ่ายที่ตนเองทำงานอยู่รับรองให้ด้วย

จะเห็นได้ว่าผู้ที่สอบผ่าน Professional Certification ไม่ว่าจะเป็น CISSP, CPA, CIA หรือ CISA นั้น ถือได้ว่าต้องมีทั้งความรู้ และ ประสบการณ์ในการทำงานด้วย จึงเป็นที่ต้องการของหลายองค์กรที่อยากได้พนักงานหรือบุคลากรที่มีความสามารถเฉพาะทางมาทำงานให้ ถ้ามองในมุมมองพนักงานแล้วก็ถือว่า การสอบผ่าน Professional Certification นั้นก็เป็นการรับประกัน “Career Path” ของเราได้เป็นอย่างดี
ถ้าถามผมว่าจำเป็นไหมกับการได้มาซึ่ง CPA, CIA หรือ CISA ผมว่าท่านผู้อ่านคงพอจะสามารถตอบคำถามได้ด้วยตัวเองใช่ไหมครับ พบกันใหม่ฉบับหน้านะครับ

จาก : หนังสือ eLeader Thailand
ปีที่ 15 ฉบับที่168 ประจำเดือนกุมภาพันธ์ 2546
Update Information : 21 มีนาคม 2546