วันจันทร์ที่ 28 มกราคม พ.ศ. 2556

กรอบงานโคบิต (CoBIT Framework)

  • 1.1 ภาพรวมของโคบิต         โคบิตได้รับการพัฒนาขึ้นในปี 1992 โดยสมาคมการควบคุมและการตรวจสอบระบบสารสนเทศ หรือ The Information Systems Audit and Control Association (ISACA) และ สถาบันเทคโนโลยีสารสนเทศาภิบาล หรือ Information Technology Governance Institute (ITGI) เป็นผู้ดูแลในปัจจุบัน (ซึ่ง ISACA และ ITGI เป็นองค์กรชั้นนำในด้านของการตรวจสอบและการควบคุมด้านเทคโนโลยีสารสนเทศระดับโลกที่ตั้งอยู่ในประเทศสหรัฐอเมริกา) โคบิตเวอร์ชันแรก (CoBIT 1st edition) ได้รับการตีพิมพ์และเผยแพร่ในปี 1996 จากนั้นได้มีการปรับปรุงเป็นเวอร์ชันที่ 2 (CoBIT 2rdedition) ในปี 1998 โดยในเวอร์ชันที่ 2 มีการเพิ่มเติมแหล่งข้อมูลและมีการทบทวนเนื้อหาในส่วนของวัตถุประสงค์การควบคุมหลักและเนื้อหาอื่นๆ บางส่วน ต่อมาได้มีการพัฒนาเป็นเวอร์ชันที่ 3 (CoBIT 3 edition) ในปี 2000 (ส่วนที่เป็น on-line edition ได้รับการเผยแพร่ในปี 2003) และเวอร์ชันที่ 4 (CoBIT 4.0) ซึ่งเป็นเวอร์ชันล่าสุดโดยได้มีการเผยแพร่ในเดือนธันวาคมปี 2005 โดยเป็นการปรับปรุงเนื้อหาให้มีความใกล้เคียงกับมาตรฐานสากลต่างๆ เช่น Sarbanes-Oxley Act. เป็นต้น
             สถาบันเทคโนโลยีสารสนเทศาภิบาล (ITGI) จัดตั้งขึ้นเมื่อปีค.ศ. 1998 โดยสมาคมการควบคุมและตรวจสอบระบบสารสนเทศ (ISACA) และสมาคมอื่นๆ ที่เกี่ยวข้อง โดยมีวัตถุประสงค์เพื่อเสริมสร้างความเข้าใจและนำหลักการด้านการกำกับดูแลที่ดีด้านเทคโนโลยีสารสนเทศมาใช้งาน โดยมีการเพิ่มเติมแนวทางในการบริหาร หรือ แนวทางสำหรับผู้บริหาร (Management Guideline) เข้ามาในโคบิตเวอร์ชันที่ 3 รวมถึงการเสริมสร้างและยกระดับการกำกับดูแลที่ดีด้านเทคโนโลยีสารสนเทศ
    โคบิตนั้นถูกพัฒนาโดยมีพื้นฐานมาจากกรอบวิธีปฏิบัติต่างๆ หลายตัว เช่น Capability Maturity Model (CMM) ของ Software Engineering Institute (SEI), ISO 9000 และ Information Technology Infrastructure Library (ITIL) โดยเดิมทีผู้พัฒนาตั้งใจที่จะสร้างให้โคบิตเป็นเครื่องมือ หรือ แนวทางที่ใช้ในการปฏิบัติงานของผู้ตรวจสอบการควบคุมภายในด้านเทคโนโลยีสารสนเทศ แต่ต่อมามีการนำไปใช้โดยผู้บริหารธุรกิจ และผู้บริหารระบบสารสนเทศมากขึ้น เนื่องจากโคบิตเป็นทั้งแนวคิดและแนวทางในการปฏิบัติ เพื่อให้การควบคุมภายในด้านเทคโนโลยีสารสนเทศสามารถดำเนินไปได้อย่างมีประสิทธิภาพ โดยมีการอ้างอิงถึงแนวทางการปฏิบัติที่ดีที่สุด (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ เพื่อมุ่งเน้นในการยกระดับประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่เป็นส่วนผลักดันงานขององค์กร (มากกว่าการมุ่งเน้นทางด้านของการรักษาความมั่นคงปลอดภัยของเทคโนโลยีสรสนเทศเหมือนมาตรฐาน ISO/IEC 27001) ดังนั้นโคบิตจึงเริ่มเป็นที่แพร่หลายในกลุ่มของผู้บริหารงานด้านเทคโนโลยีสารสนเทศด้วย
            โคบิตเป็นบทสรุปรวมของความรู้หรือข้อมูลต่างๆ ที่องค์กรต้องการสำหรับการนำไปปรับใช้เพื่อให้องค์กรมีการควบคุมภายในด้านเทคโนโลยีสารสนเทศที่ดี และเพื่อพัฒนาองค์กรให้เข้าสู่การเป็นองค์กรที่มี “ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ” หรือ IT Governance กล่าวคือ สามารถบริหารจัดการระบบสารสนเทศขององค์กรให้สามารถใช้งานได้อย่างมีประสิทธิภาพ มีความคุ้มค่ากับการลงทุน และมีการบริหารจัดการที่โปร่งใสสามารถตรวจสอบได้ โดยโคบิตจะรวบรวมตัววัด (Measures) เครื่องบ่งชี้ (Indicators) ขั้นตอนการปฏิบัติงาน (Processes) และ แนวทางการปฏิบัติที่ดีที่สุด (Best Practices) ซึ่งเป็นข้อมูลที่มีโครงสร้าง สามารถเข้าใจและนำไปใช้ได้โดยง่ายอีกทั้งเป็นที่ยอมรับกันโดยทั่วไป ผู้ที่นำโคบิตไปใช้ (ได้แก่ ผู้บริหารธุรกิจ ผู้บริหารระบบสารสนเทศ และผู้ตรวจสอบ) สามารถนำสิ่งต่างๆ เหล่านี้ไปใช้เป็นเครื่องมือเพื่อสร้างประโยชน์สูงสุดจากการนำเทคโนโลยีสารสนเทศเข้ามาใช้งานภายในองค์กร และช่วยให้การลงทุนทางด้านเทคโนโลยีสารสนเทศประสบความสำเร็จอย่างตรงตามความต้องการทางด้านธุรกิจ เนื่องจากการนำโคบิตเข้ามาใช้จะช่วยให้ผู้ที่ปฏิบัติงานต่างๆ มีความเข้าใจในระบบเทคโนโลยีสารสนเทศที่ตนเองเกี่ยวข้องมากยิ่งขึ้น อีกทั้งยังช่วยในเรื่องของการยกระดับของการควบคุมด้านความปลอดภัยที่จำเป็นสำหรับการป้องกันสินทรัพย์ต่างๆ ขององค์กร
            แนวทางในการบริหารจัดการของโคบิตเขียนขึ้นเพื่อให้สามารถนำไปใช้ปฏิบัติได้จริง และเพื่อให้สามารถตอบคำถามต่างๆ ของผู้บริหารได้ เช่น
    • องค์กรสามารถเติบโตได้ถึงขั้นไหน (ในด้านของการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร)
    • การลงทุนทางด้านเทคโนโลยีสารสนเทศคุ้มค่ากับประโยชน์ที่องค์กรจะได้รับหรือไม่
    • ควรใช้อะไรเป็นตัวชี้วัดถึงประสิทธิภาพในการดำเนินงานด้านเทคโนโลยีสารสนเทศที่ดี
    • อะไรเป็นปัจจัยที่สำคัญที่จะทำให้องค์กรประสบความสำเร็จได้ตรงตามเป้าหมายที่กำหนดไว้
    • ความเสี่ยงที่จะทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่ตั้งไว้มีอะไรบ้าง จะมีวิธีการตรวจสอบและการควบคุมอย่างไร เพื่อลดโอกาสเกิดของความเสี่ยงดังกล่าวให้น้อยลง

            เราสามารถนำมาตรฐาน หรือ แนวทางปฏิบัติอื่นๆ ที่มีจุดมุ่งหมายที่ต้องการจะเน้นที่การควบคุมเฉพาะจุดใดจุดหนึ่ง มาประยุกต์ใช้ร่วมกับโคบิตได้ เช่น กลุ่มมาตรฐานของ ISO/IEC 27000 (ISO/IEC 27000 series) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการรักษาความปลอดภัยของเทคโนโลยีสารสนเทศ หรือ มาตรฐาน ISO/IEC 9001:2000 ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการจัดการความต้องการทางด้านคุณภาพของระบบ (Quality Management Systems Requirement) หรือ มาตรฐานของ Information Technology Infrastructure Library (ITIL) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการให้บริการด้านเทคโนโลยีสารสนเทศที่มีคุณภาพ หรือ มาตรฐาน Capability Maturity Model Integration (CMMI) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการพัฒนาและผลิตซอร์ฟแวร์ที่มีคุณภาพ รวมไปถึงมาตรฐาน Projects in Controlled Environments 2 (PRINCE2) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการบริหารจัดการโครงการที่มีประสิทธิภาพ เป็นต้น เนื่องจากโคบิตเป็นกรอบการปฏิบัติที่บอกให้ผู้ปฏิบัติทราบว่าต้องการอะไรบ้าง (what to do) แต่ไม่มีรายละเอียดในแง่ของวิธีการปฏิบัติที่จะนำไปสู่จุดนั้น (how to do) ดังนั้นผู้ปฏิบัติจึงควรนำมาตรฐาน หรือแนวทางปฏิบัติอื่นๆ เข้ามาช่วยเสริมในส่วนของรายละเอียดที่เจาะลึกลงไปในเรื่องที่ต้องการได้
    โครงสร้างของโคบิตถูกออกแบบให้อยู่บนพื้นฐานของกระบวนการทางธุรกิจ (Business Process) ซึ่งแบ่งเป็น 4 กระบวนการหลัก (Domains) ได้แก่
    1. การวางแผนและการจัดองค์กร (Plan and Organize : PO)
    2. การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
    3. การส่งมอบและการสนับสนุน (Delivery and Support : DS)
    4. การติดตามและประเมินผล (Monitor and Evaluate : ME)
            ในแต่ละกระบวนการหลักข้างต้น โคบิตยังได้แสดงถึงวัตถุประสงค์การควบคุมหลัก (High-Level Control Objectives) รวมทั้งหมด 34 หัวข้อ และในแต่ละหัวข้อจะประกอบไปด้วยวัตถุประสงค์การควบคุมย่อย (Detailed Control Objectives) รวมทั้งหมดถึง 318 หัวข้อย่อย พร้อมทั้งยังมีแนวทางการตรวจสอบ (Audit Guideline) สำหรับแต่ละหัวข้อการควบคุมอีกด้วย (ซึ่งรายละเอียดจะกล่าวในหัวข้อถัดไป) นอกจากนี้โคบิตได้แสดงถึงความสัมพันธ์ต่อปัจจัยหลัก 2 ตัว ในทุกๆ หัวข้อของวัตถุประสงค์การควบคุม ได้แก่
    • คุณภาพของสารสนเทศ (Information Criteria)
    • ทรัพยากรด้านเทคโนโลยี (IT Resources)

            คุณภาพของสารสนเทศ 7 ประการ
    1. ประสิทธิภาพ (Effectiveness) หมายถึง มีการจัดการกับข้อมูลที่ใช้หรือเกี่ยวข้องกับกระบวนการทางธุรกิจ โดยเฉพาะการส่งมอบสารสนเทศต่างๆ ให้แก่ผู้ใช้ได้อย่างถูกต้อง ทันเวลา และสามารถใช้ประโยชน์ได้
    2. ประสิทธิผล (Efficiency) หมายถึง มีการใช้ประโยชน์จากทรัพยากรอย่างเต็มที่ (คือให้ผลตอบแทนสูงสุดในขณะที่ใช้ต้นทุนที่ต่ำที่สุด) เพื่อให้ได้มาซึ่งสารสนเทศที่ผู้ใช้ต้องการ
    3. การรักษาความลับ (Confidentiality) หมายถึง มีการป้องกันการเปิดเผยข้อมูลที่มีความสำคัญต่อบุคคลหรือหน่วยงานที่ไม่ได้รับอนุญาต
    4. ความสมบูรณ์ของข้อมูล (Integrity) หมายถึง ความถูกต้องตรงกันและความครบถ้วนสมบูรณ์ของสารสนเทศที่มีอยู่ในองค์กร
    5. ความพร้อมใช้งานของข้อมูล (Availability) หมายถึง การที่สามารถเรียกใช้ข้อมูลสารสนเทศได้ตลอดเวลาเมื่อผู้ใช้ต้องการ รวมถึงการป้องกันและรักษาความปลอดภัยให้กับทรัพยากรที่จำเป็นต่างๆ และการรักษาระดับความสามารถในการทำงานของทรัพยากรเหล่านั้น ห้ามารถทำงานได้อย่างมีประสิทธิภาพอยู่ตลอดเวลา
    6. การปฏิบัติตามระเบียบ (Compliance) หมายถึง การที่องค์กรปฏิบัติตามกฎ ระเบียบ ข้อบังคับ หลักเกณฑ์ ข้อตกลง หรือกฎหมาย ที่เกี่ยวข้องกับกระบวนการทางธุรกิจที่มีขึ้นเพื่อบังคับใช้ทั้งจากหน่วยงานภายในและภายนอกองค์กร
    7. ความน่าเชื่อถือของข้อมูล (Reliability) หมายถึง ความสามรถในการหาข้อมูลที่เหมาะสมและเชื่อถือได้ ให้แก่ผู้บริหารเพื่อใช้ในการดำเนินธุรกิจและให้สามารถจัดทำรายงานทางการเงินหรือรายงานอื่นๆ ที่จำเป็น

            ทรัพยากรด้านเทคโนโลยีสารสนเทศ 4 ประเภท
    1. ระบบงานประยุกต์ (Application Systems) ได้แก่ ขั้นตอนและกระบวนการที่ใช้ในการปฏิบัติงานทั้งแบบที่ปฏิบัติเองด้วยมือและแบบที่ทำด้วยโปรแกรมคอมพิวเตอร์
    2. สารสนเทศ (Information) ได้แก่ ข้อมูลหรือสารสนเทศในรูปแบบต่างๆ ทั้งที่เป็นรูปภาพ ข้อมูลเสียง เป็นต้น โดยสามารถเป็นได้ทั้งข้อมูลที่มีโครงสร้างและที่ไม่มีโครงสร้าง ที่องค์กรนำมาใช้ในการปฏิบัติงาน
    3. โครงสร้างพื้นฐาน (Infrastructure) ได้แก่ โครงสร้างพื้นฐานทางด้านเทคโนโลยีสารสนเทศขององค์กร ที่ใช้ในการปฏิบัติงานต่างๆ ภายในองค์กร ซึ่งรวมตั้ง hardware, software, ระบบปฏิบัติการ ระบบบริหารฐานข้อมูล ระบบเครือข่าย และยังรวมไปถึงทรัพยากรต่างๆ ที่ใช้ในสนับสนุนการปฏิบัติงานขององค์กร เช่น อาคาร สถานที่ และสาธารณูปโภคต่างๆ
    4. บุคลากร (People) ได้แก่ บุคลากรที่มีความรู้ความชำนาญในการบริหารและการปฏิบัติงานทางด้านเทคโนโลยีสารสนเทศ เพื่อให้สามารถมั่นใจได้ว่าระบบสารสนเทศจะได้รับการดูแลที่ดีจากบุคลากรที่มีความสามารถ
    Image01
    ภาพที่ 1 Cobit Cube

  • 1.2 ภาพรวมของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
            โคบิตถือเป็นกรอบวิธีปฏิบัติตัวหนึ่งที่เน้นให้องค์กรเป็นองค์กรที่มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี ดังนั้นองค์กรที่ต้องการประสบความสำเร็จในการเป็นองค์กรที่มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดีควรที่จะนำโคบิตไปปรับใช้ในการบริหารงานขององค์กร ซึ่งในตัวของโคบิตเองก็ได้มีเนื้อหาสำคัญที่เกี่ยวพันธ์กับเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศด้วย ด้วยเหตุนี้จึงอยากจะให้ผู้ที่นำไปใช้ได้เข้าใจในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศก่อน
            ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศคือ การนำกรอบวิธีการปฏิบัติและวิธีการปฏิบัติที่ดีที่สุด จากมาตรฐานต่างๆ มาปรับใช้ในองค์กร เพื่อช่วยในการตรวจสอบติดตาม และปรับปรุงกระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร เพื่อเพิ่มมูลค่าทางธุรกิจและเป็นการลดความเสี่ยงด้านธุรกิจที่องค์กรต้องเผชิญไปด้วยในตัว และให้สามารถแน่ใจได้ว่าเทคโนโลยีสารสนเทศขององค์กร ได้สนับสนุนวัตถุประสงค์ของธุรกิจ เพื่อที่จะทำให้องค์กรสามารถได้รับประโยชน์อย่างเต็มที่ จากข้อมูลของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
            ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพจะช่วยให้องค์กรสามารถแน่ใจได้ว่า เทคโนโลยีที่องค์กรนำมาใช้จะสามารถสนับสนุนเป้าหมายทางธุรกิจ ช่วยเพิ่มประสิทธิภาพสูงสุดทางด้านธุรกิจให้กับการลงทุนทางด้านเทคโนโลยีสารสนเทศ และช่วยให้องค์กรมีวิธีที่ใช้ในการจัดการกับความเสี่ยงอย่างเหมาะสม การที่มีความเข้าใจที่ดีในเรื่องของ สภาพแวดล้อมทางธุรกิจ ความเสี่ยงต่างๆ ที่เกี่ยวข้อง กลยุทธ์ทางด้านธุรกิจขององค์กร โครงสร้างในด้านเทคโนโลยีสารสนเทศขององค์กร ความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่สำคัญต่อองค์กร และแนวโน้มในการใช้งานของเทคโนโลยีสารสนเทศ จะเป็นส่วนสำคัญของการประสบความสำเร็จในการนำธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมาใช้ในองค์กร ซึ่งหน้าที่ในการดูแลและรับผิดชอบในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศนั้น ถือเป็นอีกหน้าที่หลักของผู้บริหารระดับสูงและคณะกรรมการผู้จัดการ (Broad of Directors) ในการผลักดันให้องค์กรก้าวเข้าสู่หลักธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี

    ความสำคัญของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
    • ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศทำให้องค์กรมีการบริหารงานที่เป็นระบบ ระเบียบ มีขั้นตอนที่แน่นอน ลดความซ้ำซ้อน และลดความเสี่ยง ทำให้องค์กรสามารใช้สารสนเทศได้อย่างเต็มประสิทธิภาพ ยังผลให้เกิดประโยชน์สูงสุดแก่องค์กร
    • ช่วยป้องกันการทุจริตของผู้บริหารหรือผู้ปฏิบัติงานได้ เนื่องจากมีการบริหารงานที่โปร่งใส สามารถตรวจสอบได้
    • ช่วยให้การลงทุนทางด้านเทคโนโลยีสารสนเทศประสบความสำเร็จได้อย่างมีประสิทธิภาพสูงสุด คือ ได้ผลประโยชน์สูงสุดกับองค์กรโดยที่ใช้ต้นทุนที่ต่ำที่สุด
    • ช่วยสร้างและส่งเสริมภาพลักษณ์ที่ดีต่อองค์กร ทำให้ผู้ที่มีส่วนเกี่ยวข้องกับองค์กร (เช่น ผู้ถือหุ้น องค์กรที่ทำธุรกิจร่วมกัน และลูกค้าขององค์กร) เกิดความเชื่อมั่นและความไว้วางใจในองค์กรมากยิ่งขึ้น

    ความต้องการในเรื่องธรรมาภิบาลด้านเทคโนโลยีสารสนเทศของผู้มีส่วนเกี่ยวข้อง        ในองค์กรมีผู้ที่มีส่วนเกี่ยวข้องหลายคนที่จำเป็นจะต้องให้ความสนใจกับเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ เพื่อที่จะสามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพ ซึ่งโคบิตได้จัดเตรียมเนื้อหาในหัวข้อ “IT Governance Implementation Guide” เพื่อช่วยตอบคำถามที่ผู้มีส่วนเกี่ยวข้องต่างๆ ต้องการทราบในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศเหล่านี้
    • ผู้บริหารระดับสูงและคณะกรรมการผู้จัดการ (Executive and Broad of Director) ต้องการที่จะทราบว่าจะสามารถกำหนดเป้าหมายทางธุรกิจอย่างไรให้สามารถบรรลุเป้าหมายดังกล่าวได้โดยก่อให้เกิดประโยชน์สูงสุดแก่องค์กร และจะนำแนวทางปฏิบัติของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมาปรับใช้กับองค์กรให้เหมาะสมได้อย่างไร เพื่อให้สามารถแน่ใจได้ว่าความเสี่ยงต่างๆ ที่เกี่ยวข้องกับสารสนเทศที่มีความสำคัญต่อองค์กรจะได้รับการจัดการอย่างเหมาะสม
    • ผู้บริหารด้านธุรกิจ (Business Manager) ต้องการที่จะทราบว่าฝ่ายบริหารจะสามารถกำหนดความต้องการทางด้านธุรกิจที่เกี่ยวข้องกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศได้อย่างไร เพื่อให้สามารถมั่นใจได้ว่าโอกาสที่จะเกิดความเสี่ยงต่างๆ ที่เกี่ยวข้องจะถูกทำให้ลดน้อยลง
    • ผู้บริหารด้านเทคโนโลยีสารสนเทศ (IT Manager)ต้องการที่จะทราบว่าจะต้องทำอย่างไรเพื่อให้การให้บริการทางด้านเทคโนโลยีสารสนเทศสามารถตอบสนองได้ตรงตามความต้องการของธุรกิจอยู่ตลอดเวลา
    • ผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Auditor)ต้องการที่จะทราบว่าจะต้องทำอย่างไรในการที่จะนำเนื้อหาต่างๆ ของโคบิตมาปรับใช้ในกระบวนการตรวจสอบด้านเทคโนโลยีสารสนเทศ เพื่อให้สามารถแน่ใจได้ว่ากระบวนการตรวจสอบจะมีประสิทธิภาพและมีความเป็นอิสระจากฝ่ายงานอื่น
    • ความเสี่ยง และ พนักงานทั่วไป(compliance officer) ต้องการที่จะทราบว่าผู้จัดการด้านความเสี่ยง (risk manager) และ พนักงานทั่วไป จะสามารถนำโคบิตมาใช้ในเรื่องที่เกี่ยวกับกิจกรรมด้านความเสี่ยงและการปฏิบัติตามกฎระเบียบข้อบังคับได้อย่างไร เพื่อให้สามารถแน่ใจได้ว่าความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศใหม่ๆ จะถูกค้นพบได้อย่างรวดเร็ว และ พนักงานที่จำเป็นต้องปฏิบัติตามกฎ (IT complies) มีการปฏิบัติตามนโยบาย ระเบียบข้อบังคับ และกฎหมายหรือไม่


  • 1.3 โคบิตกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
            ในเนื้อหาของโคบิตได้มีหลายหัวข้อที่มีความเกี่ยวเนื่องกับเรื่องของธรรมาภิลาบด้านเทคโนโลยีสารสนเทศ เพื่อต้องการที่จะให้องค์กรที่นำโคบิตไปใช้ได้เป็นองค์กรที่มีธรรมาภิบาลที่ดี โดยเรื่องที่โคบิตกล่าวถึงเกี่ยวกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมีดังนี้
    • วัตถุประสงค์ของโคบิตในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
    • IT Governance Focus Areas

    วัตถุประสงค์ของโคบิตในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ         ซึ่งโคบิตสนับสนุนในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยมีการจัดเตรียมกรอบวิธีปฏิบัติต่างๆ เพื่อต้องการให้แน่ใจว่า :
    • เทคโนโลยีสารสนเทศที่นำมาใช้จะเป็นไปในทิศทางเดียวกันกับธุรกิจขององค์กร
    • เทคโนโลยีสารสนเทศสามารถที่จะสนับสนุนความต้องทางด้านธุรกิจได้อย่างเต็มประสิทธิภาพ
    • ทรัพยากรด้านเทคโนโลยีสารสนเทศถูกใช้อย่างเหมาะสม
    • สามารถจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม


    IT Governance Focus Areas
            โคบิตนำเสนอเนื้อหาที่เกี่ยวกับการจัดการในส่วนของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยแบ่งออกเป็น 5 ส่วนหลัก ซึ่งมีเนื้อหาที่ครอบคลุมในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศทั้งหมด ดังข้อมูลด้านล่างนี้
    • การจัดวางกลยุทธ์ (IT strategic alignment) มีเนื้อหาในการเน้นที่เรื่องของการเชื่อมโยงให้เกิดความสอดคล้องกันระหว่างแผนทางธุรกิจกับแผนทางเทคโนโลยีสารสนเทศ โดยจะครอบคลุมไปถึงการกำหนดและการวางแผน การดูแลรักษา และการตรวจสอบความถูกต้องของเทคโนโลยีสารสนเทศ และรวมไปถึงการทำให้กระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ดำเนินไปในทิศทางเดี่ยวกับกระบานการปฏิบัติงานขององค์กร
    • การนำเสนอคุณค่า (Value delivery) มีเนื้อหาในการเน้นที่เรื่องของการนำเสนอคุณค่าตลอดจนวงจรของการนำส่ง หลักการพื้นฐานของการสร้างคุณค่าด้านเทคโนโลยีสารสนเทศคือ การส่งมอบให้ตรงเวลา อยู่ในงบประมาณที่กำหนด ผลประโยชน์ที่ได้รับจะต้องสามารถระบุได้และเป็นไปตามที่ได้กำหนดไว้ เพื่อทำให้มั่นใจได้ว่าเทคโนโลยีสารสนเทศสามารถสร้างประโยชน์ได้ตามที่กำหนดไว้ในกลยุทธ์ขององค์กร
    • การจัดการกับทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resources management) มีเนื้อหาในการเน้นที่เรื่องของการบริหารจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ ซึ่งครอบคลุมในส่วนของการลงทุนอย่างไรเพื่อให้ได้รับผลตอบแทนสูงสุด และเรื่องการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร (ได้แก่ ระบบงานประยุกต์ สารสนเทศ โครงสร้างพื้นฐาน และบุคลากร) อย่างเหมาะสม ซึ่งประเด็นของเรื่องนี้จะอยู่ที่การนำความรู้และโครงสร้างพื้นฐานที่องค์กรมีอยู่มาใช้ประโยชน์ให้ได้มากที่สุด
    • การจัดการความเสี่ยง (Risk management) มีเนื้อหาในการเน้นที่เรื่องของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อให้เกิดความเข้าใจที่ชัดเจนในเรื่องของความเสี่ยงต่างๆ ที่เกี่ยวข้องกับการดำเนินงานขององค์กร และสามารถตระหนักถึงความเสี่ยงที่มีความสำคัญต่อองค์กร เพื่อเป็นการปลูกฝังในเรื่องของหน้าที่ความรับผิดชอบของผู้ที่มีส่วนเกี่ยวข้องต่างๆ ในองค์กร
    • การวัดประสิทธิภาพ (Performance measurement) มีเนื้อหาในการเน้นที่เรื่องของกลยุทธ์และวิธีที่ใช้ในการตรวจสอบและติดตามในด้านของ การทำให้เป็นผล (implementation) ความครบถ้วนสมบูรณ์ของโครงการ (project completion) การใช้งานทรัพยากร (resource usage) ประสิทธิภาพของกระบวนการ (process performance) และ การส่งมอบการให้บริการ (service delivery) ซึ่งการวัดประสิทธิภาพถือเป็นส่วนที่มีความสำคัญมากที่สุดในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ เพราะจะทำให้องค์กรทราบได้ว่าหลักการที่องค์กรได้นำมาใช้นั้นประสบผลสำเร็จมากน้อยแค่ไหน และควรที่จะปรับปรุงไปในทิศทางไหน
    Image02
    ภาพที่ 2 IT Governance Focus Areas

  • 1.4 สิ่งที่องค์กรได้จากการโคบิต
            กรอบงานโคบิตสามารถตอบสนองสิ่งที่จำเป็นต่างๆ เหล่านี้ให้กับองค์กรได้
    • ทำให้เกิดการเชื่อมโยงกันระหว่างเป้าหมายทางธุรกิจ (Business Goals) กับเป้าหมายทางเทคโนโลยีสารสนเทศ (IT Goals) ซึ่งเป้าหมายทางด้านเทคโนโลยีสารสนเทศจะต้องเป็นทำหน้าที่ในการสนับสนุนให้เป้าหมายทางธุรกิจประสบความสำเร็จได้อย่างมีประสิทธิภาพ
    • มีการจัดโครงสร้างของกิจกรรมด้านเทคโนโลยีสารสนเทศ เพื่อให้กิจกรรมเหล่านั้นมีความเป็นมาตรฐานซึ่งเป็นที่ยอมรับกันโดยทั่วไป
    • ช่วยในการระบุให้องค์กรทราบถึงทรัพยากรทางด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร เพื่อให้สามารถเตรียมมาตรการที่ใช้ในการดูแลรักษาทรัพยากรเหล่านั้นได้อย่างเหมาะสม
    • มีการกำหนดวัตถุประสงค์การควบคุมในการบริหารจัดการต่างๆ ภายในองค์กรเพื่อให้ผู้ที่เกี่ยวข้องทุกคนมีความเข้าใจในวัตถุประสงค์ของงานต่าง ๆ ที่ตรงกัน
    • มีการจัดเตรียมเครื่องมือต่างๆ ที่ใช้ในการบริหารจัดการองค์กร ได้แก่
      • จัดเตรียมตัววัด (Metrics) เพื่อใช้ในการวัดประสิทธิภาพของเทคโนโลยีสารสนเทศที่องค์กรนำมาใช้
      • มีระดับการควบคุมต้นแบบ (Maturity Models) เพื่อใช้ในการวัดและจัดระดับความสามารถของกระบวนการทางด้านเทคโนโลยีสารสนเทศ
      • มีการใช้ RACI chart (Responsible, Accountable, Consulted, and Informed) เพื่อใช้ในการระบุบทบาทและหน้าที่ของผู้ที่เกี่ยวข้องให้ชัดเจน


  • 1.5 ประโยชน์ของการนำโคบิตมาใช้        การนำโคบิตมาประยุกต์ใช้ในองค์กรสามารถสร้างประโยชน์หลายประการให้แก่องค์กร ดังตัวอย่างด้านล่างนี้ :
    • ทำให้ธุรกิจและเทคโนโลยีสารสนเทศดำเนินไปในทิศทางเดียวกัน โดยให้ภาคธุรกิจเป็นเป้าหมายหลักในการดำเนินนโยบาย
    • เกิดการแบ่งปันในส่วนของความรู้และความเข้าใจให้กับผู้ที่มีส่วนเกี่ยวข้องทุกคน โดยเป็นการใช้ภาษาเดียวกันทำให้เกิดความเข้าใจที่ตรงกัน
    • ทำให้เกิดความเข้าใจมุมมองหรือภาพรวมในเรื่องของการนำเทคโนโลยีสารสนเทศเข้ามาใช้ในการจัดการด้านธุรกิจขององค์กรอย่างไร
    • ทำให้เกิดความกระจ่างในเรื่องของบทบาท หน้าที่ความรับผิดชอบ และความเป็นเจ้าของ ในการปฏิบัติงานของพนักงานในองค์กร
    • เพื่อให้เกิดความไว้วางใจและการยอมรับกันอย่างแพร่หลายจากองค์กรหรือบริษัทภายนอกที่เกี่ยวข้องและผู้วางกฎระเบียบ (regulator) ต่างๆ


  • 1.6 กลุ่มผลิตภัณฑ์ของโคบิต        นอกจากโคบิตจะมีกรอบวิธีปฏิบัติในด้านของการบริหารจัดการเทคโนโลยีสารสนเทศแล้ว โคบิตยังมีเนื้อหาอีกหลายส่วนที่สามารถนำมาปรับใช้ในองค์กรเพื่อช่วยให้องค์กรมีการบริหารจัดการด้านสารสนเทศที่ดี ซึ่งเนื้อหาในแต่ละส่วนโคบิตได้จัดทำให้เหมาะสมกับผู้ใช้งานที่แตกต่างกัน เช่น ผู้บริหารระดับสูง ผู้บริหารด้านธุรกิจ ผู้บริหารจัดการด้าน IT ผู้ตรวจสอบ IT และรวมไปถึงผู้ปฏิบัติงานต่างๆ ด้วย โดยกลุ่มผลิตภัณฑ์ของโคบิตแบ่งได้ดังนี้
    • Board Briefing on IT Governance 2rd edition ซึ่งถูกสร้างขึ้นมาเพื่อช่วยให้ผู้บริหารระดับสูงเข้าใจถึงความสำคัญของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ ทำไมจึงต้องนำมาใช้ภายในองค์กร อะไรคือประเด็นที่สำคัญ และพวกเขาจะต้องมีหน้าที่รับผิดชอบอะไรบ้างในการที่จะบริหารจัดการสิ่งเหล่านั้น
    • Executive Summary  ประกอบด้วยมุมมองในภาพรวมของการบริหารจัดการ (Executive Overview) โดยมีเนื้อหาในการกระตุ้นและสร้างให้เกิดความเข้าใจในแนวคิดและหลักการหลักๆ ที่สำคัญของโคบิต และรวมถึงเนื้อหาที่เป็นการสรุปในส่วนของ framework เพื่อให้ผู้บริหารสามารถเข้าใจในรายละเอียดของ framework ได้อย่างถูกต้อง
    • Management Guideline  เป็นเครื่องมือสำหรับผู้บริหารด้านธุรกิจและผู้บริหารด้าน IT ซึ่งมีการจัดเตรียมเนื้อหาในส่วนของหลักหรือวิธีที่ใช้ในการบริหารจัดการด้าน IT รวมถึงคำแนะนำในการนำ framework ของโคบิตมาปรับใช้ในการบริหารจัดการ และ guideline นี้ยังมีการจัดเตรียมเครื่องมือที่ใช้ในการวัดประสิทธิภาพของการบริหารจัดการองค์กรในหลายๆ ด้าน เช่น
      • Maturity Model เป็นเครื่องมือหลักที่ช่วยในการวัดและจัดระดับความสามารถของกระบวนการด้าน IT
      • Critical Success Factors เป็นเครื่องมือที่ช่วยในการระบุให้ทราบว่ามีการกระทำที่สำคัญอะไรบ้างที่จะทำให้การควบคุมที่นำมาใช้ประสบความสำเร็จ
      • Key Goal Indicators เป็นเครื่องมือที่ช่วยในการกำหนดระดับของเป้าหมายด้านประสิทธิภาพของ IT ที่ใช้ในปัจจุบัน
      • Key Performance Indicators เป็นเครื่องมือที่ช่วยในการวัดให้ทราบว่าการนำกระบวนการในการควบคุมด้าน IT เข้ามาใช้นั้นตรงตามกับวัตถุประสงค์หรือไม่
    • Control Objectives  เป็นเครื่องมือที่ช่วยให้ผู้ใช้สามารถเข้าใจในรายละเอียดที่จำเป็นของการควบคุมแต่ละตัว เพื่อให้เข้าใจถึงเป้าหมาย วัตถุประสงค์ และนโยบายของการควบคุมนั้นๆ พร้อมทั้งยังมีการบอกถึงความต้องการขั้นต่ำของการนำการควบคุมแต่ละตัวเข้ามาใช้เพื่อให้การควบคุมนั้นมีประสิทธิภาพ ทำให้ผู้ใช้สามารถนำไปปฏิบัติได้สำเร็จตามเป้าหมายที่ต้องการ ซึ่งจะแบ่งเป็น 2 ส่วนคือ
      • High-Level Control Objectives โดยจะเป็นการพูดถึงภาพรวมของการควบคุม ซึ่งมีทั้งหมด 34 หัวข้อการควบคุมหลัก
      • Detailed Control Objectives จะเป็นการพูดถึงรายละเอียดของหัวข้อการควบคุมหลักแต่ละตัว ซึ่งมีทั้งหมด 318 หัวข้อการควบคุมย่อย
    • Control Practices  เป็นเครื่องมือที่มีเนื้อหาในการให้คำแนะนำในการนำ control ต่างๆ ไปใช้อย่างเป็นขั้นตอน โดยจะบอกให้ทราบว่าทำไมการควบคุมจึงเป็นสิ่งที่จำเป็น และอะไรคือแนวทางปฏิบัติที่ดีที่สุดที่มีความสำคัญและจำเป็นต่อการที่จะประสบความสำเร็จตามวัตถุประสงค์ของการควบคุมนั้นๆ จุดประสงค์ของ control practices คือ ช่วยให้สามารถแน่ใจได้ว่ากระบวนการควบคุมที่นำมาใช้ได้รับการกำหนดแนวทางที่ถูกต้อง เพื่อให้ผู้ปฏิบัติสามารถนำไปปรับใช้ได้อย่างถูกต้องและมีประสิทธิภาพ
    • IT Control Objectives for Sarbanes-Oxley  เป็นเครื่องมือที่มีเนื้อหาในการให้คำแนะนำและแนวทางในการปฏิบัติ เพื่อให้สามารถแน่ใจได้ว่าองค์กรนำการควบคุมต่างๆ เข้ามาใช้อย่างถูกต้องตามความต้องการของมาตรฐาน Sarbanes-Oxley (เป็นการนำ control ของโคบิตมาปรับใช้เพื่อให้สอดคล้องและเป็นไปตามมาตรฐานของ Sarbanes-Oxley)
    • IT Governance Implementation Guide  เป็นเครื่องมือที่มีเนื้อหาในการอธิบายแนวทางและภาพรวมในการนำเครื่องมือต่างๆ ของโคบิตมาปรับใช้ เพื่อให้องค์กรก้าวเข้าสู่องค์กรที่มีหลักธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี
    • CoBIT Quickstart  เป็นเครื่องมีที่มีเนื้อหาในการจัดเตรียมความรู้และรายละเอียดพื้นฐานของการนำโคบิตมาปรับใช้กับองค์กรขนาดเล็ก รวมถึงรายละเอียดในการเตรียมการขั้นเริ่มต้นของการนำโคบิตไปใช้จริง
    • CoBIT Security Baseline  เป็นส่วนของเนื้อหารที่เน้นในเรื่องของขั้นตอนที่สำคัญในการนำมาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศมาปรับใช้ภายในองค์กร เพื่อให้แน่ใจได้ว่าสารสนเทศที่องค์กรนำมาใช้จะได้รับการป้องกันอย่างมีประสิทธิภาพและเกิดความปลอดภัยสูงสุด
    Image03
    รูปที่ 3 กลุ่มผลิตภัณฑ์ของโคบิต

  • โครงสร้างของโคบิต (CoBIT Structure)        การนำระบบเทคโนโลยีสารสนเทศเข้ามาใช้เพื่อสนับสนุนการทำงานและกลยุทธ์ต่างๆ ขององค์กร จะสามารถประสบความสำเร็จได้นั้น องค์กรจะต้องมีการกำหนดหน้าที่ความรับผิดชอบต่างๆ ให้ชัดเจน และพนักงานทุกคนจะต้องเข้าใจว่าอะไรคือสิ่งที่ได้จากการนำเทคโนโลยีสารสนเทศเข้ามาใช้ และจะใช้สิ่งต่างๆ เหล่านั้นให้เกิดประโยชน์ได้อย่างไร ซึ่งโคบิตได้จัดเตรียมเนื้อหาที่ครอบคลุมในเรื่องของการบริหารจัดการเทคโนโลยีสารสนเทศที่นำมาใช้ในองค์กร โดยจะแบ่งออกเป็น 4 โดเมนหลักๆ ซึ่งมีรายละเอียดดังนี้

      การวางแผนและการจัดองค์กร (Plan and Organize : PO)
             เนื้อหาในโดเมนนี้ครอบคลุมในเรื่องของกลยุทธ์และวิธีการที่นำมาใช้ในองค์กร โดยจะเน้นในเรื่องของการกำหนดวิธีที่จะทำให้เทคโนโลยีสารสนเทศมีบทบาทสำคัญ เพื่อให้สารสนเทศนั้นสามารถตอบสนองความต้องการทางด้านธุรกิจขององค์กรได้ ซึ่งการกำหนดกลยุทธ์ที่สามารถนำมาใช้ได้จริงนั้นจำเป็นที่จะต้องมีการวางแผน มีการบริหารจัดการที่ดี และต้องมีการสื่อสารให้พนักงานทั้งองค์กรรับทราบร่วมกัน และท้ายสุดองค์กรจำเป็นต้องมีการจัดวางโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่เหมาะสม จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
    • ทำให้ผู้บริหารทราบว่ากลยุทธ์ทางด้าน IT และกลยุทธ์ทางด้านธุรกิจเป็นไปในทิศทางเดียวกันหรือไม่
    • ประสิทธิภาพและคุณภาพของระบบ IT ที่องค์กรนำมาใช้ มีความเหมาะสมกับความต้องการทางด้านธุรกิจหรือไม่
    • เพื่อให้ผู้บริหารสามารถทราบได้ว่าองค์กรกำลังประสบความสำเร็จด้วยการใช้ทรัพยากรต่างๆ อย่างเต็มที่หรือไม่
    • เพื่อให้ทราบได้ว่าพนักงานในองค์กรมีความเข้าใจในวัตถุประสงค์ขององค์กรหรือไม่
    • เพื่อให้ทราบว่าผู้ปฏิบัติงานมีความรู้ความเข้าใจในความเสี่ยงทางด้าน IT ที่เกี่ยวข้องกับการปฏิบัติงานของตนหรือไม่ และจะมีวิธีการบริหารจัดการกับความเสี่ยงดังกล่าวได้อย่างไร

         การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
    เนื้อหาในโดเมนนี้จะเน้นที่เรื่องของการทำให้กลยุทธ์ที่ได้กำหนดไว้ประสบผลสำเร็จ ซึ่งการดำเนินงานตามกลยุทธ์ที่ได้วางไว้นั้น จะต้องมีการระบุ พัฒนาหรือจัดซื้อจัดหา นำไปติดตั้งใช้งาน รวมถึงการผนวกรวมเทคโนโลยีสารสนเทศเข้าเป็นส่วนหนึ่งของกระบวนการทางธุรกิจ และในโดเมนนี้ยังรวมถึงการเปลี่ยนแปลงและการดูแลรักษาระบบงานที่องค์กรมีอยู่ เพื่อให้สามารถมั่นใจได้ว่าเทคโนโลยีสารสนเทศยังคงสามารถสนับสนุนการทำงานและวัตถุประสงค์ของธุรกิจได้อยู่ตลอดเวลา จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
    • โครงการด้านเทคโนโลยีสารสนเทศใหม่ที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้เพื่อแก้ไขปัญหาหรือสร้างประโยชน์ให้กับธุรกิจได้หรือไม่
    • โครงการที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้งานได้ทันตามระยะเวลาและงบประมาณที่กำหนดไว้หรือไม่
    • ระบบใหม่ที่นำมาใช้งานนั้น สามารถทำงานได้อย่างมีประสิทธิภาพ ตรงตามความต้องการของธุรกิจหรือไม่
    • การเปลี่ยนแปลงที่เกิดขึ้นทำให้เกิดผลเสียต่อการปฏิบัติงานของธุรกิจในปัจจุบันหรือไม่

             การส่งมอบและการสนับสนุน (Delivery and Support : DS)
    เนื้อหาในโดเมนนี้จะเน้นในเรื่องของการส่งมอบบริการด้านเทคโนโลยีสารสนเทศเมื่อมีความต้องการจากภาคธุรกิจ ซึ่งรวมตั้งแต่การส่งมอบบริการ การดำเนินงานด้านการรักษาความปลอดภัยและความต่อเนื่องของการให้บริการ การบริหารจัดการสารสนเทศและอุปกรณ์อำนวยความสะดวกต่างๆ ที่ใช้ในการปฏิบัติงาน ไปจนถึงการฝึกอบรมพนักงานเพื่อให้มีความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับงานที่ตนเองปฏิบัติ จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
    • การให้บริการด้านเทคโนโลยีสารสนเทศสามารถสนับสนุนกรปฏิบัติงานด้านธุรกิจได้อย่างสอดคล้องกับเป้าหมายและวัตถุประสงค์ของธุรกิจหรือไม่
    • ต้นทุนด้านเทคโนโลยีสารสนเทศที่ใช้ไปคุ้มค่าแล้วหรือไม่
    • การปฏิบัติงานต่างๆ ขององค์กรสามารถที่จะใช้งานระบบสารสนเทศได้อย่างมีประสิทธิภาพและเกิดความปลอดภัยหรือไม่
    • ระบบเทคโนโลยีสารสนเทศที่ใช้อยู่ในปัจจุบันมีการรักษาความลับ (Confidentiality) ความถูกต้องตรงกัน (Integrity) และความพร้อมใช้งาน (Availability) เพียงพอแล้วหรือไม่

             การติดตามและประเมินผล (Monitor and Evaluate)
    เนื้อหาในโดเมนนี้จะเน้นในเรื่องของการตรวจสอบติดตามและประเมินผลของระบบเทคโนโลยีสารสนเทศ โดยกระบวนการด้านเทคโนโลยีสารสนเทศทั้งหมดจะต้องได้รับการประเมินอยู่เสมอ เพื่อรับประกันได้ถึงคุณภาพและการปฏิบัติตามขอบังคับของการควบคุม ในโดเมนนี้จะเป็นการระบุถึงการบริหารจัดการในด้านของประสิทธิภาพของระบบสารสนเทศ ซึ่งจะต้องได้รับการประเมินจากผู้ตรวจสอบทั้งภายในและภายนอกองค์กร จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
    • มีการประเมินหรือวัดประสิทธิภาพของระบบเทคโนโลยีสารสนเทศ เพื่อตรวจหาปัญหาก่อนที่ปัญหานั้นจะเกิดขึ้นจริงหรือไม่
    • ผู้บริหารจะสามารถมั่นใจได้อย่างไรว่าการควบคุมต่างๆ ที่องค์กรนำมาใช้นั้นมีประสิทธิภาพและประสิทธิผลจริง
    • ประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่มีอยู่นั้นสามารถสนับสนุนเป้าหมายทางด้านธุรกิจหรือไม่
    • มีการวัดผลและรายงานในเรื่องของความเสี่ยง การควบคุม การปฏิบัติตามกฎ และประสิทธิภาพ ไปยังผู้บริหารระดับสูงขององค์กรหรือไม่


CoBIT 4.0

         สถาบัน ITGI ได้ประกาศมาตรฐานโคบิต 4.0 ในปี 2005 โดยได้รับความร่วมมือจากผู้เชี่ยวชาญทั่วโลกกว่าหนึ่งร้อยคนเข้ามาช่วยในการปรับปรุงเนื้อหาต่างๆ ซึ่งมาตรฐานโคบิต 4.0 ได้มีการเปลี่ยนแปลงหลายอย่างเกิดขึ้น เพื่อให้เกิดความสอดคล้องกับโลกสารสนเทศและภัยอันตรายจากอินเทอร์เน็ตในปัจจุบันที่มีการเปลี่ยนแปลงอย่างรวดเร็ว อีกทั้งยังเน้นในเรื่องของการเชื่อมโยงใน 3 เรื่องหลักๆ คือ ความต้องการของธุรกิจ (Business Requirements) ทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resources) และกระบวนการด้านเทคโนโลยีสารสนเทศ (IT Processes) ดังรูปที่ 4 ด้านล่าง
Image04
รูปที่ 4 ปัจจัยเชื่อมโยงหลักของโคบิต
         มาตรฐานโคบิต 4.0 จะเน้นในเรื่องของ “Compliance” และ “Governance” มากขึ้น ดังรูปที่ 5 จะเห็นได้ว่าโคบิตเวอร์ชัน 3 นั้นจะเน้นในเรื่องของวัตถุประสงค์ทางด้านธุรกิจ (Business Objectives) เป็นหลักคือเน้นในเรื่องของการบริหารจัดการระบบสารสนเทศมากกว่า แต่ในโคบิต 4.0 นี้จะมีเนื้อหาเพิ่มเติมในเรื่องของ “Governance Objectives” หรือวัตถุประสงค์ด้านธรรมาภิบาลมากขึ้น เพื่อให้สอดคล้องกับยุคสมัยที่ “Regulatory Compliance” (การปฏิบัติตามกฎระเบียบ) กำลังมาแรงในปัจจุบัน
Image05
รูปที่ 5 CoBIT Areas

  • 2.1 เนื้อหาหลักที่เปลี่ยนแปลงจากโคบิตเวอร์ชัน 3
             ในโคบิต 4.0 ได้มีการเพิ่มและเปลี่ยนแปลงแก้ไขเนื้อหาบางส่วนจากโคบิตเวอร์ชัน 3 เพื่อเป็นการปรับให้มีความทันสมัยและมีเนื้อหาที่ครอบคลุมมากขึ้น โดยสิ่งที่เปลี่ยนแปลงแก้ไขหลักๆ มีดังต่อไปนี้
    • ในโดเมนการตรวจสอบติดตาม (Monitor : M) ในโคบิตเวอร์ชัน 3 ได้มีการเปลี่ยนชื่อเป็นโดเมนการติดตามและประเมินผล (Monitor and Evaluate : ME)
    • ในโดเมนการตรวจสอบติดตาม (M) ของโคบิตเวอร์ชัน 3 ในหัวข้อการควบคุมหลักที่ 3 และ 4 (M3 และ M4) เป็นกระบวนการในการตรวจสอบไม่ใช่กระบวนการทางด้านเทคโนโลยีสารสนเทศ ดังนั้นในโคบิต 4.0 จึงได้ทำการลบ 2 หัวข้อดังกล่าวออกไป เนื่องจากเนื้อหาในหัวข้อเหล่านี้มีการกล่าวถึงอยู่มากในมาตรฐานการตรวจสอบ (Audit Standards) ทั่วๆ ไป เช่น ISO/IEC 27001 หรือ CMMI เป็นต้น
    • มีการเพิ่มหัวข้อการควบคุมหลักในโดเมนการติดตามและประเมินผล (ME) ซึ่งเป็นหัวข้อใหม่อีก 2 หัวข้อ คือ ME3 และ ME4 โดยเนื้อหาในส่วนของ ME3 จะเป็นเรื่องของกระบวนการที่เกี่ยวกับการการกำกับดูแลให้เป็นไปตามระเบียบข้อบังคับ และเนื้อหาในส่วนของ ME4 จะมีเนื้อหาที่ครอบคลุมในส่วนของกระบวนการในการกำกับดูแล เพื่อให้เกิดธรรมาภิบาลที่ดีบนระบบเทคโนโลยีสารสนเทศขององค์กร ซึ่งถือเป็นวัตถุประสงค์หลักของโคบิตอยู่แล้วในการผลักดันให้องค์กรมีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพ
    • มีการเปลี่ยนชื่อและเนื้อหาบางส่วนของหัวข้อการควบคุมหลักในโดเมนการติดตามและประเมินผล (ME) ในหัวข้อการควบคุมหลักที่ 1 และ 2 (ME1 และ ME2) โดยหัวข้อ ME1 เปลี่ยนจาก Manage IT Performance เป็น Monitor and Evaluate IT Performance โดยเน้นในเรื่องของการตรวจสอบและประเมินประสิทธิภาพของเทคโนโลยีสารสนเทศเพิ่มมากขึ้น และในหัวข้อ ME2 เปลี่ยนจาก Monitor Internal Control เป็น Monitor and Evaluate Internal Control โดยเน้นในเรื่องของการควบคุมดูแลหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้อง
    • ในโดเมนการวางแผนและการจัดองค์กร (PO) ของโคบิตเวอร์ชัน 3 ในส่วนของหัวข้อการควบคุมหลักหัวขอที่ 8 (PO8) ได้ถูกลบออกไป และได้นำหัวข้อ PO11 คือเรื่องการจัดการคุณภาพ (Manage Quality) มาไว้แทนที่ในหัวข้อที่ 8 เพื่อต้องการที่จะให้หัวข้อ PO9 คือเรื่องการประเมินความเสี่ยง (Assess Risk) และหัวข้อ PO10 คือเรื่องการจัดการโครงการ (Manage Projects) ยังคงอยู่ในลำดับเดิม เพื่อป้องกันความสับสนในการเปลี่ยนหมายเลขลำดับ ดังนั้นจึงทำให้โดเมนการวางแผนและการจัดองค์กรเหลือหัวข้อการควบคุมหลักเพียง 10 หัวข้อ (จากเดิมที่มี 11 หัวข้อในโคบิตเวอร์ชัน 3)
    • ในโดเมนการจัดหาและนำระบบออกใช้งานจริง (AI) ได้มีการเพิ่มหัวข้อการควบคุมหลักขึ้นมาอีก 1 หัวข้อ โดยทำการย้ายมาจากหัวข้อที่ 5 (AI5) คือ Install and Accredit System กลายมาเป็นหัวข้อที่ 7 (AI7) และได้เปลี่ยนชื่อเป็น Install and Accredit Solutions and Changes ซึ่งผู้เชี่ยวชาญทั้งหลายต่างลงความเห็นว่าหัวข้อนี้ควรที่จะอยู่ในลำดับสุดท้ายของโดเมน AI ทำให้ในโดเมนนี้มีหัวข้อการควบคุมหลักทั้งหมด 7 หัวข้อ (จากเดิมในโคบิตเวอร์ชัน 3 มีทั้งหมด 6 หัวข้อ)
    • ในโดเมน AI ได้มีการเปลี่ยนเนื้อหาในหัวข้อการควบคุมหลักที่ 5 หรือ AI5 (ซึ่งเนื้อหาเดิมได้ถูกย้ายไปเป็นหัวข้อ AI7 แล้ว) โดยมีชื่อว่า Procure IT Resource ซึ่งมีเนื้อหาเน้นในเรื่องของขั้นตอนในการจัดหาทรัพยากรด้านเทคโนโลยีสารสนเทศ (Procurement Process) มากขึ้น
    • ในโคบิต 4.0 ได้มีการปรับเปลี่ยนปัจจัยเรื่องทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resource) ให้เหลือเพียง 4 ปัจจัย ได้แก่ สารสนเทศ (Information) ระบบงานประยุกต์ (Application) โครงสร้างพื้นฐาน (Infrastructure) และ บุคลากร (People) จากเดิมที่โคบิตเวอร์ชัน 3 มี คือ 5 ปัจจัย (ได้แก่ Data, Application, Technology, Facilities, People)
    • ในโคบิต 4.0 ในส่วนของรายละเอียดในหัวข้อการควบคุมหลัก (High-Level Control Objectives) แต่ละหัวข้อ ได้มีการเพิ่มเนื้อหาและรายละเอียดต่างๆ เข้ามาอีก 4 ส่วนคือ Generic Inputs and Outputs, RACI Chart, Key Activity Goals และ Metrics (Maturity Model) ลงไปในทุกๆ หัวข้อการควบคุมย่อย (ซึ่งรายละเอียดในแต่ละส่วนจะขออธิบายในหัวข้อถัดไป) เพื่อให้เนื้อหาในโคบิต 4.0 มีความครอบคลุมมากขึ้นและสามารถนำไปใช้งานได้ง่ายขึ้น
    • 2.2 สิ่งที่เพิ่มเข้ามาในหัวข้อการควบคุมหลัก
             ในโคบิต 4.0 ได้มีการเพิ่มเนื้อหาเข้ามาในส่วนของหัวข้อการควบคุมหลักทั้งหมด 34 หัวข้อ ซึ่งในแต่ละหัวข้อจะมีเนื้อหาหลักที่แตกต่างกันออกไป เพื่อเป็นแนวทางปฏิบัติให้ผู้ที่นำไปใช้สามารถเข้าใจในรายละเอียดของหัวข้อการควบคุมต่างๆ ได้ดีขึ้น โดยสิ่งที่เพิ่มเข้ามาในหัวข้อการควบคุมหลักมีดังนี้
    1. Generic Inputs and Outputs โดยมีเนื้อหาเพื่อบอกให้ผู้ใช้หรือผู้ที่เป็นเจ้าของกระบวนการทราบว่าหัวข้อการควบคุมนั้นๆ ต้องการข้อมูลเข้า (inputs) อะไรบ้าง และมาจากกระบวนการใด รวมทั้งยังบอกให้ทราบถึงผลลัพธ์ (Outputs) ของหัวข้อการควบคุมนั้นๆ อีกด้วย ว่าผลลัพธ์ที่ได้คืออะไร และเกี่ยวข้องกับกระบวนการใดต่อไป เพื่อให้ผู้ใช้งานและเจ้าของกระบวนการทราบได้ว่ากระบวนการปฏิบัติงานที่ตนต้องเกี่ยวข้องด้วยนั้นมีข้อมูลเข้าและข้อมูลออกคืออะไรบ้าง และข้อมูลเหล่านั้นมาจากแหล่งหรือกระบวนการใด โดยโคบิตจะทำการเชื่อมโยงข้อมูลเหล่านั้นเข้ากับหัวข้อการควบคุมของโคบิตด้วย ดังตัวอย่างในรูปที่ 6
      2. Image06
      รูปที่ 6 Generic Inputs and Outputs ในโคบิต 4.0
    2. RACI Chart เนื้อหาในส่วนนี้จะเป็นการพูดถึงเรื่องของหน้าที่และความรับผิดชอบของเจ้าของกระบวนการปฏิบัติงานต่างๆ โดยโคบิตเน้นที่การสร้างความเข้าใจในเรื่องของบทบาท หน้าที่ และความรับผิดชอบของกระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ซึ่งถือเป็นประเด็นหลักในการทำให้เกิดธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพ ดังตัวอย่างในภาพที่ 7
      3. Image07
      รูปที่ 7 ตัวอย่าง RACI Chart
               โดย RACI ย่อมาจาก Responsible, Accountable, Consulted and Informed ซึ่งแต่ละตัวมีบทบาทดังต่อไปนี้
      • Responsible คือ บุคคลที่มีหน้าที่ในการดูแลรับผิดชอบ และดำเนินการเพื่อให้งานนั้นๆ ประสบผลสำเร็จ (ถือเป็นเจ้าของกระบวนการนั้นๆ)
      • Accountable คือ บุคคลที่มีหน้าที่ในการกำหนดแนวทาง หรือเป้าหมายของกิจกรรมต่างๆ รวมไปถึงการกำหนดอำนาจหน้าที่ในกระบวนการปฏิบัติงานนั้นๆ ด้วย
      • Consulted คือ บุคคลที่มีหน้าที่ในการสนับสนุน ให้ความรู้และคำแนะนำต่างๆ ในกระบวนการปฏิบัติงานที่เกี่ยวข้อง เพื่อให้กระบวนการปฏิบัติงานดังกล่าวมีประสิทธิภาพสูงสุด
      • Informed คือ บุคคลต่างๆ ที่เกี่ยวข้องกับกระบวนการปฏิบัติงานนั้นๆ (ยกเว้นกลุ่มบุคคลข้างต้น) เพื่อให้ผู้บริหารสามารถแน่ใจได้ว่าพนักงานทุกคนที่เกี่ยวข้อง (แม้จะไม่ได้เป็นคนปฏิบัติงานดังกล่าว) รับรู้ถึงข้อมูลในส่วนข้องหน้าที่ความรับผิดชอบของกระบวนการนั้นๆ
    3. Key Goals and Metrics เนื้อหาในส่วนนี้เป็นการพูดถึงเป้าหมายและเกณฑ์ที่ใช้ในการวัดประสิทธิภาพของเป้าหมายของหัวข้อการควบคุมต่างๆ ดังตัวอย่างในรูปที่ 8 โดยจะเน้นที่ 2 ส่วนคือ
      • เป้าหมาย (Goals) ซึ่งแบ่งเป็น
        • เป้าหมายของกิจกรรม (Activity Goals)
        • เป้าหมายของกระบวนการ (Process Goals)
        • เป้าหมายด้านเทคโนโลยีสารสนเทศ (IT Goals)
      • เกณฑ์ที่ใช้ในการวัด (Metrics) ซึ่งแบ่งตามเป้าหมายด้านบน ดังนี้
        • IT Key Goal Indicators เป็นเกณฑ์ที่ใช้วัดเป้าหมายของกิจกรรม
        • Process Key Goal Indicators เป็นเกณฑ์ที่ใช้วัดเป้าหมายของกระบวนการ
        • Key Performance Indicators เป็นเกณฑ์ที่ใช้วัดเป้าหมายด้าน IT
      Image08
      รูปที่ 8 ตัวอย่างของ Goals and Metrics
    4. Maturity Model เป็นระดับของการควบคุมในหัวข้อการควบคุมต่างๆ ซึ่งเป็นส่วนทำให้ผู้บริหารทราบว่าการบริหารจัดการด้านเทคโนโลยีสารสนเทศในปัจจุบันอยู่ในระดับใด ทำให้สามารถวัดระดับและกำหนดเป้าหมายที่ต้องการได้ ซึ่งในโคบิต 4.0 ได้นำ Maturity Model เข้ามาไว้ในหัวข้อการควบคุมหลักทุกหัวข้อ โดยในแต่ละหัวข้อการควบคุมก็จะมี Maturity Model ที่มีเนื้อหาเฉพาะเจาะจงกับหัวข้อการควบคุมนั้นๆ จึงทำให้ผู้บริหารสามารถมองเห็นและวัดระดับประสิทธิภาพของการบริหารจัดการในหัวข้อนั้นๆ ได้ดียิ่งขึ้น โดยโคบิตได้แบ่งระดับของการควบคุมออกเป็น 6 ระดับ (ตั้งแต่ระดับที่ 0-5 โดยเรียงจากน้อยไปมาก) ซึ่งระดับของ Maturity Model แบ่งได้ตามรูปที่ 9
      5. Image09
      รูปที่ 9 ระดับของ Maturity Model
    เขียนโดย ที่

    ไม่มีความคิดเห็น:

    แสดงความคิดเห็น

    สมัครสมาชิก: ส่งความคิดเห็น (Atom)