- 04
- พฤษภาคม
หลังบทความ ISO/IEC 29110 คืออะไร มีคำถามตามมาเยอะมาก — ทีมพัฒนาซอฟต์แวร์ขนาดเล็ก (VSE) ที่ต้องการขอ ISO 29110 จริง ๆ ต้อง เริ่มต้นยังไง, ใช้เวลานานแค่ไหน, มีค่าใช้จ่ายเท่าไหร่, และ auditor ตรวจอะไรบ้าง
EP2 นี้ตอบคำถามเหล่านั้นทีละข้อ — ครอบคลุม 6 phase ของ certification process, สิ่งที่ auditor ขอดูจริง, สาเหตุที่ทีมตกบ่อย ๆ, และค่าใช้จ่าย/เวลาที่ต้องเตรียม
เนื้อหาในบทนี้เหมาะกับ:
- ทีมพัฒนาซอฟต์แวร์ภาครัฐที่กำลังเตรียมขอ certification
- หน่วยงานราชการที่กำลังคัดเลือก vendor และอยากรู้ว่า "ผ่าน ISO 29110" หมายความว่าอะไรในเชิงเทคนิค
- ผู้บริหารที่ต้องตัดสินใจลงทุนใน ISO 29110
โครงสร้าง 6 Phase ของ Certification
| Phase | งานหลัก | ระยะเวลาเฉลี่ย |
|---|---|---|
| 1. Pre-assessment / Gap Analysis | ประเมินช่องว่างเทียบมาตรฐาน | 2-4 สัปดาห์ |
| 2. Process Implementation | เขียน/ปรับปรุง process + เอกสาร | 2-4 เดือน |
| 3. Internal Audit | ตรวจตัวเองก่อนออกไปสอบจริง | 2-3 สัปดาห์ |
| 4. Stage 1 Audit (Document Review) | CB ตรวจเอกสาร | 1-2 สัปดาห์ |
| 5. Stage 2 Audit (On-site) | CB ตรวจการ implement จริง | 2-3 วัน on-site + รายงาน |
| 6. Issuance + Surveillance | ออกใบ cert + ตรวจปีละครั้ง | 3 ปี ก่อน re-cert |
หมายเหตุ: CB = Certification Body — องค์กรที่ออกใบรับรอง เช่น TÜV NORD, SGS, BV หรือ CB ในไทยที่ accredited จาก NAC (สำนักงานคณะกรรมการการมาตรฐานแห่งชาติ ภายใต้ สมอ.)
Phase 1 — Pre-assessment / Gap Analysis
เริ่มต้นด้วยการ "เปรียบเทียบสภาพปัจจุบันกับมาตรฐาน" — ใช้ ISO/IEC 29110-5-1-2 (Management and engineering guide) เป็นเช็คลิสต์
สิ่งที่ต้องตรวจ
- 2 Process Areas ของ Basic Profile:
- Project Management (PM)
- Software Implementation (SI)
- Required activities ของแต่ละ process
- Required artifacts ที่ต้องมี (work products)
ผลลัพธ์ของ Phase นี้
- Gap report — รายการสิ่งที่ขาด/ต้องปรับ
- Action plan + timeline
- ประเมินทรัพยากรที่ต้องใช้
Phase 2 — Process Implementation
เป็น phase ที่ใช้เวลานานที่สุดและสำคัญที่สุด — ต้องเขียน + implement process ให้ครบตามที่มาตรฐานกำหนด
เอกสารที่ต้องมี (Work Products)
| Process | Work Products หลัก |
|---|---|
| Project Management (PM) | Statement of Work, Project Plan, Risk Register, Change Request Log, Status Report, Acceptance Record |
| Software Implementation (SI) | Requirements Specification, Software Design, Source Code, Test Cases, Test Report, User Manual, Installation Guide, Maintenance Plan |
กฎทอง
- "Show me the evidence" — เอกสารต้องมีจริงและใช้จริง ไม่ใช่ทำขึ้นเพื่อสอบ
- Traceability — Requirements ↔ Design ↔ Code ↔ Test ต้อง trace ได้
- Reviews / Approvals — เอกสารสำคัญต้องมีหลักฐานการ review
Phase 3 — Internal Audit
ก่อนออกไปสอบจริง ทีมต้อง "ตรวจตัวเอง" ก่อน — เป็นข้อกำหนดของมาตรฐาน + ช่วยให้ลด surprise ตอน Stage 2
- มอบหมายผู้ตรวจภายในที่ ไม่ได้ทำ process นั้น (เลี่ยง conflict of interest)
- ใช้ checklist เดียวกับ external audit
- บันทึก non-conformities (NC) และ opportunities for improvement (OFI)
- ปิด NC ทั้งหมดก่อน Stage 1
Phase 4 — Stage 1 Audit (Document Review)
CB ส่ง auditor มาตรวจเอกสารก่อน — ปกติทำ remote หรือมาที่บริษัท 1-2 วัน
สิ่งที่ Auditor ตรวจ
- Quality Management System Manual
- Process documentation ครบทุก required process
- Sample work products จริงจาก project ปัจจุบัน
- Internal audit results + corrective actions
- Management review records
ผลลัพธ์
- Pass — ไป Stage 2
- Major NC — ต้องแก้แล้วรอนัดใหม่ (3-6 เดือน)
- Minor NC — แก้ก่อนหรือพร้อม Stage 2
Phase 5 — Stage 2 Audit (On-site)
Auditor เข้าไปสำนักงานจริง 2-3 วัน — ตรวจ การ implement จริงของ process
สิ่งที่เกิดขึ้นวันสอบ
- Opening meeting — auditor อธิบาย scope + plan
- Document sampling — ขอดูเอกสารของ project ที่ active
- Interview — สัมภาษณ์ทีม PM, dev, tester, lead
- Walk-through — เดินดู workspace + tool ที่ใช้จริง
- Closing meeting — สรุป findings
คำถามที่ Auditor ถามบ่อย
- "แสดง project plan ของ project ปัจจุบัน"
- "แสดง requirements traceability matrix"
- "แสดง test report ของ release ล่าสุด"
- "พบ defect ตอน production แล้ว trace กลับไปที่ requirement ได้ไหม"
- "แสดง change request ที่ผ่าน review ในรอบ 3 เดือนล่าสุด"
- "Internal audit รอบล่าสุดเจออะไร แก้แล้วยัง"
Phase 6 — Issuance + Surveillance
ผ่าน Stage 2 แล้ว CB จะออกใบรับรองที่ ใช้ได้ 3 ปี — แต่ระหว่าง 3 ปีนั้น ต้องผ่าน Surveillance Audit ปีละครั้ง
Surveillance Audit (ปีที่ 1, 2)
- Mini-audit 1-2 วัน
- เน้นการตรวจ process ที่เปลี่ยนแปลง + ปิด non-conformities เก่า
- ค่าใช้จ่ายประมาณ 30-50% ของ Stage 2
Re-certification Audit (ปีที่ 3)
- เต็ม scope เหมือน Stage 1+2 รอบแรก
- ออกใบใหม่ 3 ปี
ค่าใช้จ่ายและเวลา (ตัวประมาณการ)
| รายการ | เวลา | ค่าใช้จ่าย (โดยประมาณ) |
|---|---|---|
| Pre-assessment + Implementation | 3-5 เดือน | ส่วนใหญ่เป็น internal effort |
| External Consultant (optional) | 3-6 เดือน | ขึ้นกับ scope + ทีมที่จ้าง |
| Stage 1 + Stage 2 Audit (CB) | 2-4 สัปดาห์ | ~100,000 บาท สำหรับ VSE ขนาดเล็ก* |
| Surveillance Audit รายปี | 1-2 วัน | ประมาณ 30-50% ของ Stage 2 |
| Re-certification (ปีที่ 3) | 2-4 สัปดาห์ | ใกล้เคียง Stage 2 ครั้งแรก |
| เทียบสากล (lifecycle 3 ปี) | 3 ปี | USD 10,000-50,000 (~350,000-1,750,000 บาท) |
* อ้างอิง: สำนักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) มีโครงการสนับสนุนการรับรอง ISO/IEC 29110 ปี 2567 — สนับสนุน 70% ของค่าใช้จ่าย ไม่เกิน 70,000 บาท/ราย สำหรับ 100 รายแรก ซึ่งสะท้อนค่าใช้จ่ายเฉลี่ยรอบ certification ครั้งแรก ~100,000 บาท สำหรับ VSE ขนาดเล็ก ปี 2568 depa ดำเนินโครงการต่อร่วมกับสภาอุตสาหกรรมฯ
หมายเหตุ: ตัวเลขเหล่านี้เป็นช่วงประมาณการ — ค่าใช้จ่ายจริงต่างกันตามขนาดทีม, scope, จำนวน site และ CB ที่เลือก ขอใบเสนอราคาจาก CB ที่ accredited ใน IAF หรือ NAC (ภายใต้ สมอ.) เพื่อตัวเลขที่แน่นอน
5 สาเหตุที่ทีมตก Audit บ่อยที่สุด
- เอกสารทำขึ้นเฉพาะตอน audit — auditor จับได้จาก revision history หรือ filename pattern
- Traceability ขาด — Requirements → Design → Code → Test มีจุดที่หาย
- ทีมไม่ทราบ process — ตอบคำถามไม่ตรงกับเอกสาร = ไม่ใช่ "process ที่ใช้จริง"
- Internal audit หลวม — ไม่มี evidence ว่า audit จริง / ไม่มี follow-up
- Change Request ไม่มี approval trail — โดยเฉพาะใน scope/requirement changes
Choose CB อย่างไร
- Accreditation — CB ต้อง accredited จาก IAF member (สำหรับสากล) หรือ NAC ภายใต้ สมอ. (สำหรับไทย)
- Auditor's experience — auditor ที่เคยตรวจซอฟต์แวร์มาก่อนเข้าใจ context ดีกว่า
- Geographic coverage — ถ้าทีมอยู่ในประเทศ → CB ที่มี office ในประเทศจะลด travel cost
- Reputation — ใบ cert จาก CB ระดับสากล (SGS, BV, TÜV) มี recognition กว่า
หลังได้ใบ — ต้องทำอะไรต่อ
- Continual improvement — process ต้องวัด + ปรับปรุงต่อเนื่อง (vital สำหรับ Surveillance)
- Management Review รายไตรมาส — บันทึก issues + decisions
- Internal Audit รายปี — ก่อน Surveillance Audit
- Update เอกสารตามกฎหมายและ tooling change
ผลกระทบต่อหน่วยงานราชการที่จัดซื้อ
หน่วยงานที่กำลัง เลือก vendor ระบบซอฟต์แวร์ — โดยเฉพาะ ERP หรือ system ขนาดใหญ่ — ใช้ ISO 29110 เป็น filter ระดับเบื้องต้นได้:
- Vendor มี ISO 29110 = มี process management ที่ตรวจสอบได้
- Vendor มี ISO 27001 ด้วย = + มีระบบ security ที่ตรวจสอบได้ — ดู ISO 27001 คืออะไร
- ตรวจสอบใบรับรองได้จริง — ขอเลขใบ + ตรวจกับ CB website
- ตรวจสอบ scope — บางทีใบ cert มี scope แค่บางส่วนของบริษัท
เกี่ยวกับ Saeree ERP
Saeree ERP ของบริษัท แกรนด์ลีนุกซ์ โซลูชั่น ผ่าน ISO/IEC 29110 Basic Profile ตั้งแต่ปี 2558 (ใบรับรองปัจจุบันออกโดย TÜV NORD ตามมาตรฐาน ISO/IEC 29110-4-1:2018 มีผล 13 พ.ย. 2567 - 12 พ.ย. 2570) และผ่าน Surveillance ต่อเนื่องทุกรอบ — ทุก project ที่ deploy ให้ลูกค้าใช้ process ตามมาตรฐาน รวมถึง Project Management Plan, Requirements Spec, Test Report และ User Manual ที่ trace ได้
ดู เหตุการณ์การได้รับ ISO 29110 และ ทำไมต้อง Saeree ERP
3 ประโยคที่อยากให้จำ
- ISO 29110 ไม่ใช่กระดาษ — เป็น process ที่ใช้จริงและตรวจสอบได้
- Audit ที่ดีจับได้ว่าเอกสารทำขึ้นเฉพาะตอนสอบ
- Cert ใช้ได้ 3 ปี + Surveillance ทุกปี — ไม่ใช่ "ได้ครั้งเดียวจบ"
ใบรับรอง ISO/IEC 29110 ไม่ได้ยืนยันว่าทีมพัฒนาทำงานได้ดีเฉพาะในวันสอบ — แต่ยืนยันว่าทีมรักษามาตรฐานเดียวกันทุกวัน ผ่านการตรวจประเมินจากหน่วยรับรองภายนอกอย่างต่อเนื่อง สำหรับเรา คือ 10 ปีติดต่อกัน ตั้งแต่ปี 2558
— Grand Linux Solution
บทความที่เกี่ยวข้อง:
- ISO/IEC 29110 คืออะไร — ทำไมบริษัทพัฒนาซอฟต์แวร์ควรต้องได้
- ISO 27001 คืออะไร? มาตรฐานความปลอดภัยข้อมูลที่องค์กรต้องรู้
บทความนี้เขียนจากประสบการณ์การผ่าน ISO 29110 Audit จริงของทีม Grand Linux Solution — ติดต่อ sale@grandlinux.com หรือ 02-347-7730
