COBIT
§ เป็นกรอบแนวคิดในการที่จะใช้สำหรับการควบคุมทางด้านเทคโนโลยีสารสนเทศ
การใช้ COBIT
§ เป็นตัวช่วยในด้านการควบคุมภายในของเทคโนโลยีสารสนเทศ
§ เป็นการเชื่อมโยงระหว่างเป้าหมายทางธุรกิจและเป้าหมายทางเทคโนโลยีสารสนเทศเข้าด้วยกัน
§ มุ่งเน้นที่ตัวแบบกระบวนการ
ซึ่งพยายามทำให้เทคโนโลยีสารสนเทศอยู่ภายใต้การควบคุมให้ได้
§ COBIT จะนำเสนอ
ตัวแบบกระบวนการทั่วไปที่เป็นกระบวนการที่พบได้ในงานทางด้าน IT
COBIT
การทำ IT Governance มุ่งเน้นใน 5 ด้าน คือ
§ การจัดวางกลยุทธ์ (Strategic
Alignment)
§ การนำเสนอคุณค่า (Value Delivery)
§ การจัดการทรัพยากร (Resource
Management)
§ การจัดการความเสี่ยง (Risk
Management)
§ การวัดผลการดำเนินงาน (Performance
Measurement)
COBIT
§ มีขอบเขตของกระบวนการ 4 ด้านหลักด้วยกัน คือ
• การวางแผนและการจัดองค์กร (Planning and
Organization : PO)
• การจัดหาและนำไปใช้ (Acquisition and
Implementation : AI)
• การนำส่งและสนับสนุน
(Delivery and Support : DS)
• การตรวจสอบและประเมินผล (Monitoring and
Evaluation : ME)
§ โดยที่แต่ละด้านนั้นจะมีกระบวนการย่อยอยู่ภายใน
ซึ่งจะมีกระบวนการรวมทั้งหมด 34กระบวนการ
§ COBIT
§ โดยกรอบแนวคิด จะอธิบายว่ากระบวนการทาง
เทคโนโลยีสารสนเทศ จะนำข้อมูลข่าวสารไปให้กับความต้องการทางธุรกิจได้อย่างไร
จึงจะบรรลุวัตถุประสงค์ที่ได้ตั้งไว้ และการนำส่งนี้มีการควบคุมผ่าน
วัตถุประสงค์การควบคุมระดับสูงในแต่ละกระบวนการ
§ COBIT
§ กรอบแนวคิดนี้จะระบุว่า ข้อมูลข่าวสารหลักทั้ง 7
ด้านที่ได้ คือ ประสิทธิภาพ(effectiveness), ประสิทธิผล (efficiency), การเป็นความลับ
(confidentiality), ความสมบูรณ์ (integrity), การมีอยู่ (availability), การปฏิบัติตาม
(compliance) และ ความเชื่อถือได้ (reliability)ด้วยทรัพยากรทาง
เทคโนโลยีสารสนเทศ ได้แก่ คน (people), โปรแกรมประยุกต์
(applications), เทคโนโลยี (technology), สิ่งอำนวยความสะดวก (facilities) และ ข้อมูล
(data)
3. แนวทางการใช้งานกรอบแนวคิดในการกำกับดูแลเทคโนโลยีสารสนเทศ
3.2 แนวทางประยุกต์ใช้ COBIT ให้เข้ากับธุรกิจ
§ ในกรอบแนวคิดของ COBIT จะมีรูปแบบแนวทางการบริหารจัดการ
ซึ่งจะมีองค์ประกอบย่อยๆ ที่อยู่ภายใน
ทำให้ธุรกิจสามารถที่จะเชื่อมโยงและได้รับข้อมูลสารสนเทศที่จำเป็นสำหรับการบรรลุเป้าหมายขององค์กร
§ COBIT สนับสนุนการทำงานทางด้าน IT
Governance การบริหารงาน การควบคุม
§ COBIT จะเป็นเครื่องมือที่ช่วยให้ผู้บริหารเชื่อมโยงช่องว่างระหว่าง
ความต้องการในการควบคุม เรื่องทางด้านเทคนิค กับความเสี่ยงทางธุรกิจได้
พร้อมทั้งสื่อสารให้ผู้ที่เกี่ยวข้องรับทราบ
§ เริ่มต้น
ให้ความต้องการทางธุรกิจแก่กระบวนการทางด้านเทคโนโลยีสารสนเทศต่างๆ
§ ให้กระบวนการทางด้านเทคโนโลยีสารสนเทศมีการทำงานให้ได้ตามเป้าหมายของระดับกิจกรรม
§ วัดผลได้โดย KPIs (Key Performance
Indicators) เป็นตัววัดผลการดำเนินงาน และใช้ KGI (Key Goal
Indicators) ซึ่งเป็นการวัดผลได้ในกระบวนการ
§ วัดระดับความสามารถขององค์กร ว่าอยู่ในขั้นใด (ระดับ 0-5) ซึ่งโดยสามารถใช้ COBIT เป็นแนวทาง
และทราบได้ว่าอยู่ระดับใดในแต่ละกระบวนการ
§ ความเชื่อมโยงที่เกิดขึ้น คือ
สามารถจัดกลุ่มขององค์ประกอบที่เกี่ยวข้องกับ ปัจจัยทางด้าน สารสนเทศ
โดยมีองค์ประกอบหลักคือ เป้าหมายทางธุรกิจ
§ มีตัวผลักดันในเรื่องของการกำกับดูแลเข้ามาเกี่ยวข้อง
โดยจะดูจากผลลัพธ์ที่เกิดขึ้นทางธุรกิจ
§ ตัวผลักดันนั้นจะมาจากกระบวนการทางเทคโนโลยีสารสนเทศ
§ กระบวนการทางเทคโนโลยีสารสนเทศนี้จะมีการใช้ทรัพยากรทั้ง
4 ด้านที่เกี่ยวข้อง คือ โปรแกรมประยุกต์ ข้อมูลสารสนเทศ โครงสร้างพื้นฐาน และคน
เป็นตัวผลักดันให้ทำงานได้
มี KPIs เป็นตัววัดผลสำเร็จของกระบวนการ
§ จากลูกบาศก์ COBIT จะเห็นได้ว่าความต้องการของธุรกิจจะมีอยู่
7 ด้าน ก็คือ ประสิทธิผล ประสิทธิภาพ การเป็นความลับ ความสมบูรณ์ การมีใช้งาน
การปฏิบัติตามกฎ และความเชื่อถือได้
§ มีการใช้ทรัพยากรทางด้าน IT เข้าไปเพื่อทำให้การทำงานในกระบวนการต่างๆ
ของ IT สามารถที่จะให้ข้อมูลสารสนเทศตรงนี้ออกมาได้ และจะได้วัดใน 7 ด้านทางธุรกิจด้วย
§ กระบวนการทางด้าน IT จะมีขอบเขตที่เกี่ยวข้องอยู่
ดูว่าสิ่งที่ทำ อยู่ในขอบเขตเรื่องใด และแบ่งออกเป็นกระบวนการต่างๆ จากนั้น
ก็จะมีการแบ่งย่อยในระดับกิจกรรมด้วยว่าแต่ละกระบวนการจำเป็นต้องทำกิจกรรมใดบ้าง
3.3 การนำไปใช้
§ มีแนวคิดการทำ IT Governance เปิดเผยข้อมูลตามที่กฎหมายกำหนด
§ ใช้แนวทางของ COBIT มาช่วยสร้างความเชื่อมโยงทางด้านเป้าหมายทางธุรกิจ
กับเป้าหมายทางด้าน เทคโนโลยีสารสนเทศ
§ การนำมาใช้นั้นไม่จำเป็นจะต้องนำมาทั้งหมด
แต่ให้เลือกกระบวนการที่เกี่ยวข้องกับเป้าหมายทางธุรกิจเป็นหลักก่อน
§ เริ่มต้นที่การควบคุมในระดับบน
ซึ่งหมายถึงภาพรวมของกระบวนการนั้นๆ
และทราบว่ากระบวนการที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศนี้ จะต้องทำอะไร เพื่อที่จะตอบสนองความต้องการด้านธุรกิจด้านไหน
รวมถึงทราบตัววัดโดยรวมด้วยว่า จะวัดผลการดำเนินการของกระบวนการนี้ด้วย
ว่าจะใช้ตัวชี้วัดหลักใด มาวัดผลสำเร็จของกระบวนการ
§ ทราบว่า ทรัพยากรใดที่เกี่ยวข้องกับกระบวนการนี้
ในแต่ละกระบวนการเองนั้น ก็จะมีเรื่องของ IT Governance เข้ามาเกี่ยวข้องด้วย
คือ ทาง COBIT เองก็จะบอกว่า
เป็นการกำกับดูแลเทคโนโลยีสารสนเทศทางด้านใด และบอกต่อด้วยว่า ด้านใดเป็นด้านหลัก
และด้านใดเป็นด้านสนับสนุน
โครงสร้างของโคบิต (COBIT Structure)
การนำระบบเทคโนโลยีสารสนเทศเข้ามาใช้เพื่อสนับสนุนการทำงานและกลยุทธ์ต่างๆ
ขององค์กร จะสามารถประสบความสำเร็จได้นั้น
องค์กรจะต้องมีการกำหนดหน้าที่ความรับผิดชอบต่างๆ ให้ชัดเจน
และพนักงานทุกคนจะต้องเข้าใจว่าอะไรคือสิ่งที่ได้จากการนำเทคโนโลยีสารสนเทศเข้ามาใช้
และจะใช้สิ่งต่างๆ เหล่านั้นให้เกิดประโยชน์ได้อย่างไร
ซึ่งโคบิตได้จัดเตรียมเนื้อหาที่ครอบคลุมในเรื่องของการบริหารจัดการเทคโนโลยีสารสนเทศที่นำมาใช้ในองค์กร
โดยจะแบ่งออกเป็น 4 โดเมนหลักๆ ซึ่งมีรายละเอียดดังนี้
วางแผนและการจัดองค์กร (Plan and Organize : PO)
ในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
§ ทำให้ผู้บริหารทราบว่ากลยุทธ์ทางด้าน IT และกลยุทธ์ทางด้านธุรกิจเป็นไปในทิศทางเดียวกันหรือไม่
§ ประสิทธิภาพและคุณภาพของระบบ IT ที่องค์กรนำมาใช้
มีความเหมาะสมกับความต้องการทางด้านธุรกิจหรือไม่
§ เพื่อให้ผู้บริหารสามารถทราบได้ว่าองค์กรกำลังประสบความสำเร็จด้วยการใช้ทรัพยากรต่างๆ
อย่างเต็มที่หรือไม่
§ เพื่อให้ทราบได้ว่าพนักงานในองค์กรมีความเข้าใจในวัตถุประสงค์ขององค์กรหรือไม่
§ เพื่อให้ทราบว่าผู้ปฏิบัติงานมีความรู้ความเข้าใจในความเสี่ยงทางด้าน IT ที่เกี่ยวข้องกับการปฏิบัติงานของตนหรือไม่
และจะมีวิธีการบริหารจัดการกับความเสี่ยงดังกล่าวได้อย่างไร
การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement :
AI)
§ โครงการด้านเทคโนโลยีสารสนเทศใหม่ที่กำลังพัฒนาหรือจัดหานั้น
สามารถนำมาใช้เพื่อแก้ไขปัญหาหรือสร้างประโยชน์ให้กับธุรกิจได้หรือไม่
§ โครงการที่กำลังพัฒนาหรือจัดหานั้น
สามารถนำมาใช้งานได้ทันตามระยะเวลาและงบประมาณที่กำหนดไว้หรือไม่
การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement :
AI)
§ ระบบใหม่ที่นำมาใช้งานนั้น
สามารถทำงานได้อย่างมีประสิทธิภาพ ตรงตามความต้องการของธุรกิจหรือไม่
§ การเปลี่ยนแปลงที่เกิดขึ้นทำให้เกิดผลเสียต่อการปฏิบัติงานของธุรกิจในปัจจุบันหรือไม่การส่งมอบและการสนับสนุน (Delivery
and Support : DS)
§ การให้บริการด้านเทคโนโลยีสารสนเทศสามารถสนับสนุนกรปฏิบัติงานด้านธุรกิจได้อย่างสอดคล้องกับเป้าหมายและวัตถุประสงค์ของธุรกิจหรือไม่
§ ต้นทุนด้านเทคโนโลยีสารสนเทศที่ใช้ไปคุ้มค่าแล้วหรือไม่
§ การปฏิบัติงานต่างๆ
ขององค์กรสามารถที่จะใช้งานระบบสารสนเทศได้อย่างมีประสิทธิภาพและเกิดความปลอดภัยหรือไม่
§ ระบบเทคโนโลยีสารสนเทศที่ใช้อยู่ในปัจจุบันมีการรักษาความลับ (Confidentiality) ความถูกต้องตรงกัน
(Integrity) และความพร้อมใช้งาน (Availability) เพียงพอแล้วหรือไม่
การติดตามและประเมินผล (Monitor and Evaluate)
§ มีการประเมินหรือวัดประสิทธิภาพของระบบเทคโนโลยีสารสนเทศ
เพื่อตรวจหาปัญหาก่อนที่ปัญหานั้นจะเกิดขึ้นจริงหรือไม่
§ ผู้บริหารจะสามารถมั่นใจได้อย่างไรว่าการควบคุมต่างๆ
ที่องค์กรนำมาใช้นั้นมีประสิทธิภาพและประสิทธิผลจริง
§ ประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่มีอยู่นั้นสามารถสนับสนุนเป้าหมายทางด้านธุรกิจหรือไม่
§ มีการวัดผลและรายงานในเรื่องของความเสี่ยง
การควบคุม การปฏิบัติตามกฎ และประสิทธิภาพ ไปยังผู้บริหารระดับสูงขององค์กรหรือไม่
ประโยชน์ของการนำโคบิตมาใช้
การนำโคบิตมาประยุกต์ใช้ในองค์กรสามารถสร้างประโยชน์หลายประการให้แก่องค์กร
ดังตัวอย่างด้านล่างนี้ :
§ ทำให้ธุรกิจและเทคโนโลยีสารสนเทศดำเนินไปในทิศทางเดียวกัน
โดยให้ภาคธุรกิจเป็นเป้าหมายหลักในการดำเนินนโยบาย
§ เกิดการแบ่งปันในส่วนของความรู้และความเข้าใจให้กับผู้ที่มีส่วนเกี่ยวข้องทุกคน
โดยเป็นการใช้ภาษาเดียวกันทำให้เกิดความเข้าใจที่ตรงกัน
§ ทำให้เกิดความเข้าใจมุมมองหรือภาพรวมในเรื่องของการนำเทคโนโลยีสารสนเทศเข้ามาใช้ในการจัดการด้านธุรกิจขององค์กรอย่างไร
§ ทำให้เกิดความกระจ่างในเรื่องของบทบาท
หน้าที่ความรับผิดชอบ และความเป็นเจ้าของ ในการปฏิบัติงานของพนักงานในองค์กร
§ เพื่อให้เกิดความไว้วางใจและการยอมรับกันอย่างแพร่หลายจากองค์กรหรือบริษัทภายนอกที่เกี่ยวข้องและผู้วางกฎระเบียบ (regulator) ต่างๆ
4. สรุป
COBIT เป็นกรอบแนวคิดที่ช่วยเชื่อมโยงการดำเนินธุรกิจกับการใช้งานทางด้าน
เทคโนโลยีสารสนเทศ ให้มีความสอดคล้องกัน โดยเริ่มต้นที่ตั้งวัตถุประสงค์ทางธุรกิจ
และมีแนวคิดในการนำ เทคโนโลยีสารสนเทศ มาใช้งานซึ่งจะต้องมีการกำกับดูแล
ให้ชัดเจนและมีวัตถุประสงค์ในการกำกับดูแลควบคุมไว้ด้วย
การจะควบคุมได้นั้นก็จะต้องมีข้อมูลสารสนเทศที่จำเป็นจะต้องใช้
ซึ่งจะทำให้การควบคุมการใช้งาน เทคโนโลยีสารสนเทศ
ในองค์กรเป็นไปอย่างถูกต้องและมีประสิทธิผล
และสุดท้ายส่งผลให้ตรงกับความต้องการทางธุรกิจและบรรลุเป้าหมายทางธุรกิจที่ได้วางเอาไว้ได้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น