ปัจจุบันเทคโนโลยีสารสนเทศได้เข้ามาเป็นส่วนหนึ่งในระบบการทำงานของในแต่ละองค์กร ในยุคของการค้าเสรีและเศรษฐกิจยุคใหม่ อีกทั้งการแข่งขันที่นับวันจะทวีความยิ่งรุนแรงขึ้น การนำเทคโนโลยีสารสนเทศเข้ามาพัฒนา บริหารงานระบบงานต่างๆ จึงพิ่มมากขึ้น ทั้งช่วยการเพิ่มผลิตผล การควบคุมการทำงาน การลดความเสี่ยงต่างๆ ที่จะเกิดขึ้น เพื่อให้ธุรกิจดำเนินก้าวหน้าไป แต่เนื่องจากเทคโนโลยีสารสนเทศที่นับวันจะยิ่งสลับซับซ้อนมากขึ้น แนวทางในการควบคุม การตรวจสอบ และการป้องกันระบบทั้งจากภายในและภายนอกจึงต้องมีการตรวจสอบกันและป้องกันกันอย่างเข้มงวด เพื่อป้องกันปัญหาต่างๆ ที่จะเกิดขึ้นในอนาคต ดังนั้นผู้บริหารองค์กรจึงต้องหามาตรการต่างๆ มาป้องกัน เพื่อมากำหนดนโยบาย การตรวจสอบ การควบคุมการใช้เทคโนโลยีสารสนเทศ ให้อยู่ในกรอบที่สามารถติดตามตรวจสอบและควบคุมได้ในอนาคต
ไอทีภิบาล (ไอที + ธรรมภิบาล) = ธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ คือหน้าที่และความรับผิดชอบเกี่ยวกับการจัดการด้านเทคโนโลยีสารสนเทศควบคู่ไปกับการวางนโยบาย กลยุทธ์ แนวทาง การวัดผล การลดความเสี่ยงและการจัดการ เพื่อเพิ่มผลผลิตและคุณค่าของผลิตภัณฑ์และมวลรวมขององค์กร เป็นกรอบทางความคิดและแนวทางในการปฏิบัติงาน ซึ่งมีวิธีการหลายๆ วิธีการหลายมาตรฐานด้วยกัน
ไอทีภิบาลเป็นหน้าที่ของผู้บริหาร โดยมีหน้าที่และความรับผิดชอบเกี่ยวกับการจัดการที่ดีทางด้าน เทคโนโลยีสารสนเทศควบคู่กันไปกับความสามารถด้านอื่น ๆ ของคณะกรรมการและผู้บริหารระดับสูงที่ใช้เป็น กรอบและองค์ประกอบของกระบวนการบริหารงานในการปฏิบัติตามนโยบาย กลยุทธ์เพื่อสร้างศักยภาพ คุณค่า เพิ่ม และการเติบโตอย่างยั่งยืนอย่างรู้คุณค่าให้กับองค์กรควบคู่กันไปกับหลักการกํากับดูแลกิจการที่ดีที่แยกกันไม่ได้ ในกระบวนการบริหารความเสี่ยงตามองค์ประกอบของการจัดการตั้งแต่การวางแผน การจัดองค์กร การจัดพนักงาน การดําเนินการและการควบคุม
ความสําคัญ IT Governance
1. ความจําเป็นที่ต่องมีการควบคุมการจัดการและการใช้เทคโนโลยีสารสนเทศ เพื่อการบรรลุกลยุทธ์และเป้าหมายขององค์การ ความก้าวหน้าในการพัฒนาเทคโนโลยีสารสนเทศมาก ทําให้ข้อมูลสามารถส่งผ่านถึงผู้รับได้อย่างรวดเร็วโดยปราศจากข้อจํากัดด้านเวลา ระยะทางและความรวดเร็ว องค์กรที่มีการปฏิบัติงานในระบบอัตโนมัติจําเป็นต้องมีกลไกในการควบคุมที่ดียิ่งขึ้น โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร์ และระบบเครือ ข่าย ทั้งในด้านของ hardware และ software ซึ่งระบบการควบคุมจําเป็นต้องพัฒนาไปพร้อมกับการพัฒนาของเทคโนโลยีที่เกิดขึ้นอย่างรวดเร็วและเป็นไปแบบก้าวกระโดด จึงจําเป็นต้องมีการจัดการความเสี่ยงที่มาพร้อมกับการเปลี่ยนแปลงนี้ให้ดียิ่งขึ้น ไม่ว่าจะเป็นการจัดการกับข้อมูลที่เปิดเผย และข้อมูลที่เป็นความลับ รวมทั้งการนํา ข้อมูลไปใช่กระทําการที่ผิดกฎหมาย ดังนั้นการบริหารความเสี่ยงที่เกี่ยวข้องเทคโนโลยีสารสนเทศจึงกลายมาเป็น ส่วนสําคัญในการกํากับดูแลกิจการที่ดีขององค์กร (Corporate Governance)
ผู้บริหารจะต้องสามารถตัดสินใจได้ว่าควรจะลงทุน ณ ระดับใดในเรื่องการรักษาความปลอดภัยและการควบคุม และจะรักษาจุดสมดุลอย่างไรระหว่างความเสี่ยงที่รับได้กับการลงทุนในด้านการควบคุมและผลตอบแทน
2. ความจําเป็นของการควบคุมและกํากับทางด้านเทคโนโลยีสารสนเทศ ตามกฎหมายที่ยอมรับในระดับสากลกับบริษัทในตลาดหลักทรัพย์ องค์การ ต่างๆ ที่อยู่ในตลาดหลักทรัพย์ในสหรัฐฯ จําเป็นต้องให้ความสําคัญกับการควบคุมและการประมวลข้อมูลโดยมีการระบุในกฎหมาย Sarbanes-Oxley Act, 2002 ใน section 404 ที่ กล่าวถึง “Management’s Report on Internal Controls over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports” ว้ารายงานของการควบคุมภายในจะต้องครอบคลุมเนื้อหาดังนี้
2.1 การระบุความรับผิดชอบของผู้บริหารที่มีต้อการจัดการให้มีการควบคุมภายในในการจัดทํา
รายงานทางการเงินของบริษัท
2.2 การตรวจสอบของผู้บริหารถึงความถูกต้องและความมีประสิทธิผลในการควบคุมภายในของการ
จัดทํารายงานทางการเงินของบริษัท ณ วันสิ้นสุดรอบการเงิน
2.3 การระบุถึงกรอบการจัดการในการประเมินความถูกต้องและความมีประสิทธิผลในการควบคุม
ภายในของการจัดทํารายงานทางการเงินขององค์การ
2.4 การตรวจรับรองโดยบริษัทตรวจสอบบัญชีและรายงานถึงการตรวจสอบของผู้บริหารถึงความถูก
ต้องและความมีประสิทธิผลในการควบคุมภายในของการจัดทํารายงานทางการเงินขององค์การซึ่ง
การใช้ข้อมูลโดยพึ่งพาเทคโนโลยีสารสนเทศเป็นสิ่งที่จําเป็น การมีการควบคุมที่ดีในการจัดการข้อมูล
รวมทั้งการควบคุมคุณภาพและการรักษาความปลอดภัยในการเข้าถึงข้อมูล จึงมีความสําคัญอย่างยิ่ง
โดยปกติการเซ็นชื่อรับรองงบการเงินซึ่งมิใช่การสอบบัญชีนั้น จะกระทําโดย CEO และ CFO แต่ใน ปัจจุบันเริ่มมีหลายบริษัทให้ CIO เซ็นชื่อร่วมด้วย โดยให้ความสําคัญกับ technology support เพื่อให้ได้มาซึ่งรายงานทางการเงินที่เชื่อถือได้
องค์ประกอบหลักของ IT Governance
1.Strategic alignment : การใช้ทรัพยากรด้านไอทีการวางแผนดำเนินงานโดยใช้ไอทีให้สอดคล้องกับธุรกิจและใช้ไอทีเป็น เครื่องมือในการนำพาธุรกิจให้ถึงจุดหมาย
2.Value delivery : ขบวนการตรวจสอบและควบคุมการลงทุนด้านไอทีให้เป็นไปตามวัตถุประสงค์และตรงกับจุดมุ่งหมาย เพราะเนื่องจากในปัจจุบันการลงทุนไปกับไอทีระบบใดระบบหนึ่งต้องใช้เงินลงทุนค่อนข้างสูงกับระบบการบริหารองค์กร เช่น ERP, CRM หรือ Application ทางธุรกิจสำหรับหน่วยงานราชการหรือเอกชนที่มีจำนวนผู้ใช้หลายร้อยหลาย พันคนซึ่งส่วนใหญ่ก็มักจะได้ผลตอบการลงทุนที่ค่อนข้างช้า
3.Resource management : การบริหารจัดการทรัพยากรไอทีผู้ใช้ขบวนการข้อมูลโครงสร้างของระบบและอื่นๆ ที่เกี่ยวข้องเพื่อ ให้ได้ประสิทธิภาพและประสิทธิผลสูงสุด
4. Risk management : การบริหารและจัดการความเสี่ยงต่างๆ ที่อาจจะเกิดขึ้นจากกระบวนการทำงานใดๆของไอทีในองค์กร
5.Performance measurement : การใช้ไอทีเพื่อติดตามและตรวจสอบรวมถึงการวัดประสิทธิผลของกระบวนการการทำงานต่างๆ ในองค์กร เช่น ความคืบหน้าของโครงการ การใช้ทรัพยากร การวัดความสำเร็จของเป้าหมายต่างๆที่วางไว้
หลักการและความเป็นจริงในการกำหนดกรอบ IT Governance
ความจำเป็นที่ต้องมีการควบคุมการจัดการและการใช้เทคโนโลยีสารสนเทศ
1. การพัฒนาเทคโนโลยีสารสนเทศ (IT) มีความก้าวหน้าขึ้นเป็นอันมาก ทำให้สารสนเทศสามารถส่งผ่านถึงผู้รับได้อย่างรวดเร็วโดยปราศจากข้อจำกัดด้านเวลา ระยะทาง และสถานที่ซึ่งมีผลถึงศักยภาพการแข่งขันอย่างสำคัญ
1.1. การพึ่งพาการใช้งานจากสารสนเทศและระบบต่างๆ ที่เพิ่มมากขึ้น
1.2. การเพิ่มขึ้นของการใช้สารสนเทศที่ใช้ในการพัฒนา Business Process และการให้บริการลูกค้า
1.3. การเปลี่ยนแปลงของต้นทุน และขนาดของการลงทุนของข้อมูล และ Information Systems ใน
ปัจจุบัน และในอนาคต
1.4. ศักยภาพที่เพิ่มขึ้นของเทคโนโลยีที่ขับเคลื่อนการเปลี่ยนแปลงให้เกิดขึ้นในองค์กร รวมทั้ง
ปรับเปลี่ยนหลักการการจัดการ และการปฏิบัติงาน (Business Practices) ซึ่งก่อให้เกิดโอกาสทางธุรกิจ
ใหม่ ๆ และช่วยให้ต้นทุนลดลงด้วย
2. การแข่งขันที่รุนแรงขึ้นก่อให้เกิดการเปลี่ยนแปลงขององค์กรในด้านต่าง ๆ ไม่ว่าจะเป็นการปรับเปลี่ยนระบบ และกระบวนการทำงานให้กระชับขึ้น โดยนำเทคโนโลยีสารสนเทศมาช่วยในการปรับปรุงเพื่อเพิ่มความสามารถในการแข่งขันมากขึ้น มีการปรับขนาดขององค์กรให้กระชับและมีความเหมาะสม มีการใช้บริการจากภายนอกมากขึ้น มีการกระจายอำนาจและปรับโครงสร้างองค์กรให้เป็นแนวราบมากขึ้น สิ่งเหล่านี้มีผลกระทบต่อการปฏิบัติงานทั้งขององค์กรเอกชนและองค์กรของรัฐบาล โดยเฉพาะการเน้นไปที่การได้เปรียบในด้านการแข่งขัน (Competitive Advantage) และการเกิดประสิทธิภาพด้านต้นทุน (Cost Efficiency) ซึ่งเป็นผลให้แต่ละองค์กรจำเป็นต้องพึ่งพาเทคโนโลยีมากขึ้นและกลายเป็นยุทธศาสตร์ที่สำคัญขององค์กร
การดำเนินธุรกิจที่ต่อเนื่องเป็นความสำคัญยิ่งยวดที่ทุกองค์กรจะต้องตระหนัก โดยจัดให้มีการบริหารความเสี่ยงในมุมมองต่าง ๆ ที่เหมาะสม ตั้งแต่ Logical Control และ Environmental Control เพราะความไม่แน่นอนในการพึ่งพา Offsite Backup มีความเสี่ยงสูงและเป็นความเสี่ยงที่ไม่อาจยอมรับได้ในหลาย ๆ กรณี เมื่อมีการศึกษา Business Impact Analysis
3. องค์กรต่าง ๆ มองเห็นความสำคัญของสารสนเทศและเทคโนโลยีที่พัฒนา อันถือได้ว่าเป็นสินทรัพย์ที่มีค่ายิ่งโดยเฉพาะในโลกของการแข่งขันที่รุนแรง ผู้บริหารจะให้ความสำคัญ และความคาดหวังกับเทคโนโลยีสารสนเทศมากยิ่งขึ้นโดยเฉพาะการตอบสนองที่รวดเร็ว มีคุณภาพ สามารถใช้งานได้หลากหลาย และสะดวกต่อการใช้งาน โดยใช้เวลาน้อยลง เพิ่มระดับการบริการให้ดียิ่งขึ้น โดยมีต้นทุนที่ต่ำลง
4. องค์กรที่มีการปฏิบัติงานในระบบอัตโนมัติจำเป็นต้องมีกลไกในการควบคุมที่ดียิ่งขึ้น โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร์ และระบบเครือข่าย (Network) ทั้งในด้านของ Hardware และ Software ซึ่งระบบการควบคุมจำเป็นต้องพัฒนาไปพร้อมกับการพัฒนาของเทคโนโลยีที่เกิดขึ้นอย่างรวดเร็ว และเป็นไปแบบก้าวกระโดด
5. หลายองค์กรได้เล็งเห็นถึงประโยชน์ที่จะได้รับจากเทคโนโลยี สำหรับองค์กรที่ประสบความสำเร็จก็มีความเข้าใจ และสามารถบริหารความเสี่ยงที่มาพร้อมกับการนำเทคโนโลยีมาใช้ได้เป็นอย่างดี โดยเฉพาะการเปลี่ยนแปลงทางด้านเทคโนโลยีสารสนเทศ ได้เกิดมากขึ้นเป็นลำดับ และรวดเร็ว จึงจำเป็นต้องมีการจัดการความเสี่ยงที่มาพร้อมกับการเปลี่ยนแปลงนี้ให้ดียิ่งขึ้น ไม่ว่าจะเป็นการจัดการกับข้อมูลที่เปิดเผย และข้อมูลที่เป็นความลับ รวมทั้งการนำข้อมูลไปใช้กระทำการที่ผิดกฎหมาย ดังนั้น การบริหารความเสี่ยงที่เกี่ยวข้องกับ เทคโนโลยีสารสนเทศ จึงกลายมาเป็นส่วนสำคัญในการกำกับดูแลกิจการที่ดีขององค์กรขององค์กร (Corporate Governance)
6. ที่ผ่านมาความต้องการในการมีกรอบมาตรฐาน (Framework) สำหรับการจัดการเรื่องความปลอดภัย และการควบคุมทางด้านเทคโนโลยีสารสนเทศมีค่อนข้างมาก โดยเฉพาะองค์กรที่ประสบความสำเร็จต่าง ๆ ได้มีความเข้าใจ และประเมินค่าของความเสี่ยงเทียบกับข้อจำกัดในการใช้เทคโนโลยีสารสนเทศในทุกระดับขององค์กร เพื่อให้มั่นใจว่าองค์กรจะสามารถมีการกำกับดูแลที่มีประสิทธิผล และมีการควบคุมที่เพียงพอ
7. ระดับบริหารจะต้องสามารถตัดสินใจได้ว่าควรจะลงทุน ณ ระดับใด ในเรื่องการรักษาความปลอดภัย และการควบคุม (Security and Control) และจะรักษาจุดสมดุลอย่างไร ระหว่างความเสี่ยงที่รับได้กับการลงทุนในด้านการควบคุม ถึงแม้การรักษาความปลอดภัย และการควบคุม (Security and Control) ทางด้านเทคโนโลยีสารสนเทศจะช่วยในการบริหารความเสี่ยง แต่ความเสี่ยงก็ยังคงมีอยู่ไม่ได้ถูกกำจัดออกไปทั้งหมด เพราะไม่มีผู้ใดสามารถกำหนดระดับความเสี่ยงได้ชัดเจนแน่นอน
ดังนั้น ผู้บริหารจึงต้องกำหนดระดับความเสี่ยงที่รับได้ โดยเปรียบเทียบกับต้นทุนที่ต้องลงทุน ซึ่งถือได้ว่าเป็นการตัดสินใจที่ค่อนข้างยาก จึงจำเป็นต้องมีกรอบมาตรฐาน (Framework) เพื่อให้ทราบถึงการกำหนดนโยบายการรักษาความปลอดภัย และการควบคุมด้านเทคโนโลยีสารสนเทศ โดยคำนึงถึงสภาวะของเทคโนโลยีสารสนเทศในปัจจุบัน และที่จะเป็นในอนาคต
8. ระดับผู้ใช้ (Users) ก็ต้องมีความมั่นใจว่ามีการรักษาความปลอดภัย และการควบคุม (Security and Control) อย่างเพียงพอในการใช้งานด้านเทคโนโลยีสารสนเทศ ไม่ว่าจะเป็นการใช้บริการจากภายในองค์กร หรือจากผู้ให้บริการจากภายนอก (Third Party) ก็ตามซึ่งที่ผ่านมาการควบคุมทางด้านเทคโนโลยีสารสนเทศจะค่อนข้างสับสนเนื่องจากมีมาตรฐานหลากหลายวิธีจากองค์กรต่าง ๆ
9. ระดับผู้ตรวจสอบ (Auditors) ก็จำเป็นจะต้องมีมาตรฐานสากลในการตรวจสอบ เนื่องจากจะต้องมีจุดยืนในการให้แนวคิด และเหตุผลเกี่ยวกับการตรวจสอบภายในกับระดับบริหาร ซึ่งถ้าปราศจากกรอบมาตรฐานแล้วจะหาจุดพิจารณาถึงระดับการรักษาความปลอดภัย และการควบคุม (Security and Control) ด้านเทคโนโลยีสารสนเทศที่เหมาะสมได้ค่อนข้างยาก
ความสัมพันธ์ของ IT Governance กับ Corporate Governance
ธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ (IT Governance) เป็นส่วนสำคัญที่รวมอยู่ในความสำเร็จของธรรมาภิบาลขององค์กร (Corporate Governance) โดยจะเป็นจุดวัดของการปรับปรุงในด้านประสิทธิผล และประสิทธิภาพของกระบวนการปฏิบัติงานขององค์กร ธรรมาภิบาลขององค์กรจะเป็นกรอบในการกำหนดแนวทางสำหรับธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ (IT Governance) ส่วนกิจกรรม / กระบวนการต่าง ๆ ขององค์กรจะต้องใช้ข้อมูลจาก กิจกรรม / กระบวนการของเทคโนโลยีสารสนเทศอย่างมีนัยสำคัญยิ่ง โดยเฉพาะธุรกิจหลัก ๆ ขององค์กร
Corporate Governance เป็นผู้ขับเคลื่อน และกำหนดรูปแบบของ IT Governance ขณะเดียวกันเทคโนโลยีสารสนเทศก็ได้สนับสนุนข้อมูลที่จำเป็นต่าง ๆ เพื่อใช้ในการวางแผนด้านกลยุทธ์ (Strategic Planning) และในบางครั้งยังเป็นส่วนที่มีอิทธิพลในการสร้างโอกาสใหม่ ๆ ให้กับองค์กร จึงถือได้ว่าเทคโนโลยีสารสนเทศ และการวางแผนด้านกลยุทธ์มีความสัมพันธ์แบบพึ่งพากัน โดยกิจกรรมในองค์กร (Corporate Activities) จำเป็นต้องใช้ข้อมูลจาก IT Activities เพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจ โดย IT Activities จะต้องสอดคล้องกับกิจกรรมในองค์กร และช่วยให้องค์กรสามารถใช้ประโยชน์จากข้อมูลอย่างเต็มที่ในการสร้างประโยชน์สูงสุด และได้ผลตอบแทนจากการลงทุนจากโอกาสทางธุรกิจต่าง ๆ รวมทั้งสามารถเพิ่มความได้เปรียบในการแข่งขันมากขึ้น
โดยปกติแล้วองค์กรจะมีการกำกับ บริหาร และควบคุมโดยใช้หลักการจัดการ และการปฏิบัติที่เหมาะสมหรือที่ดีที่สุด เพื่อให้มั่นใจว่าองค์กรจะสามารถบรรลุเป้าหมายหรือวัตถุประสงค์ที่ต้องการ โดยต้องมีการควบคุมที่ดีด้วย และในขณะเดียวกันเทคโนโลยีสารสนเทศก็จำเป็นต้องมีการกำกับ บริหาร และควบคุมที่ดี โดยยึดหลักการของ Best Practices เช่นเดียวกัน เพื่อให้ข้อมูล และเทคโนโลยีที่ใช้ในองค์กร สามารถช่วยให้องค์กรบรรลุวัตถุประสงค์ทางธุรกิจได้ รวมทั้งการใช้ทรัพยากรต่าง ๆ อย่างมีเหตุมีผล และมีการบริหารความเสี่ยงที่เหมาะสม
ขอบเขต IT Governance
ขั้นตอนการนำ IT Governance มาปฎิบัติ
ขั้นตอนที่ 1
• จัดตั้งคณะกรรมการทางด้านกลยุทธ์ IT Strategy Committee และ IT Steering Committee
• กําหนดหน้าที่และความรับผิดชอบของคณะกรรมการและผู้บริหาร โดยความรับผิดชอบหลักคือการมุ่งไปที่การเพิ่มคุณค่าในการใช้ IT การบริหารความเสี่ยงที่เกี่ยวข้องกับ IT และผลการปฏิบัติงานอันเนื่องมาจากการใช้ IT
• คณะกรรมการจะเป็นผู้กําหนด นโยบายทางด้านธุรกิจ (Business Policy), นโยบายของข้อมูล (Information Policy), นโยบายด้านเทคโนโลยีสารสนเทศ (IT Policy), การจัดการไอทีภิบาล (IT Governance organization), การดำเนินการไอทีภิบาล (IT Governance Process) และการวัดผลการปฎิบัติงาน (Measurements)
ขั้นตอนที่ 2
• สร้างความเชื่อมโยงของ IT เข้ากับ เป้าหมาย กลยุทธ์ ความต้องการทางธุรกิจขององค์กร รวมทั้งการจัดลําดับความสําคัญ
• นำนโยบายและกลยุทธ์ทางด้าน IT ไปสู่การปฏิบัติ โดยมีการกําหนดพฤติกรรมในองค์กรให้มีการปฏิบัติสอด คล้องกับกลยุทธ์ เป้าหมายของการลงทุน และการมีระดับความเสี่ยงที่ยอมรับได้ โดยคณะกรรมการบริหาร โดย IT Strategy Committee ให้แนวทางในการกําหนดนโยบาย และกําหนดทิศทางกลยุทธ์ทางด้าน IT เพื่อให้มีความสอดคล้องกับกลยุทธ์ของธุรกิจ ในขณะที่ผู้บริหาร (IT Steering Committee) จะต้องพิจารณา/ทบทวน IT portfolio เพื่อให้เกิดความต่อเนื่องกับกลยุทธ์ รวมทั้งประเมินแต่ละโครงการว่ามีความสอดคล้องและเหมาะสมกับกลยุทธ์หรือไม่ และจัดลําดับความสําคัญของโครงการต่างๆ
ขั้นตอนที่ 3
• การจัดการทางด้าน IT Portfolio และ IT Investment
IT Portfolio คือ กล่มของการลงทุนทางด้าน IT (IT Investment) และทรัพยากรที่ใช้ รวมทั้งข้อมูลที่เกี่ยวข้องกับการลงทุนในแต่ละส่วน โดยประกอบด้วยแต่ละรายการที่แบ่งอยู่ในกลุ่มการบริหารงาน ต่อไปนี้
- Application ประกอบด้วยกลุ่มของ user applications ที่มีการใช้งานและบํารุงรักษาที่เป็นความรับผิดชอบของ IT ต้นทุนที่เกี่ยวข้องและบันทึกใน portfolio จะรวมถึงผู้บริหารและพนักงานที่เกี่ยวข้องกับ application นั้นๆ
- Infrastructure ประกอบด้วย hardware และ software ที่ให้บริการกับ user ซึ่งจะรวมถึง processors, peripherals, communications, operating software และ สถานที่/ อุปกรณ์อํานวยความสะดวกต่างๆ ต้นทุนที่เกี่ยว ข้องและบันทึกใน portfolio จะรวมถึงผู้บริหารและพนักงานที่เกี่ยวข้องกับ infrastructure ทั้งหมด
- Service ประกอบด้วยการให้การบริการ และสนับสนุนการใช้งานของ user เช้น help desk และบริการซ่อม PC โดยจะไม่รวมการบริการที่ให้แก่ภายในหน่วยงานด้าน IT แต่จะเป็นบริการที่มีการเรียกใช้ตามตารางการบริการที่มีให้แก่ user หรือตามที่ user ร้องขอ ต้นทุนที่เกี่ยวข้องและบันทึกใน portfolio จะรวมถึงผู้บริหารและพนักงานที่เกี่ยวข้องกับการให้บริการแก่ user ทั้งหมด
- Management ประกอบด้วยกิจกรรมที่เกี่ยวข้องกับการบริหาร และการให้บริการที่สนับสนุนการทําในของหน่วยงานทางด้าน IT ที่เกี่ยวข้องกับ application, infrastructure และ service กับ user
ตัวอย่างรูปแบบเบื้องต้นของ IT Portfolio
การจัดการทางด้าน IT Portfolio ถือได้ว่าเป็นเครื่องมือที่สําคัญที่จะช่วยผู้บริหารในการทําความเข้าใจถึงการลงทุนทางด้าน IT ในมุมมองของต้นทุน และทรัพยากรต่างๆที่เกี่ยวข้อง เพื่อช่วยในการวางแผน และเป็นเครื่องมือที่ช่วยในการตัดสินใจ
ขั้นตอนที่ 4
• กําหนด IT processes และส่วนที่เป็นเป้าหมายหลักในการปรับให้สอดคล้องกับกรอบของ IT Governance
- กรอบ IT Governance ภายใต้การกํากับของกระทรวงการคลัง
- กรอบ IT Governance ตามมาตรฐาน COBIT
ขั้นตอนที่ 5
• กําหนดบุคลากรและการแต่งตั้งคณะกรรมการที่เหมาะสม
ความสําเร็จของ IT Governance จะขึ้นอยู่กับความเกี่ยวข้องโดยตรงของผู้บริหาร โดยผู้ดําเนินการหลักนั้นควรจะเป็นบุคคลที่ทําให้ IT Governance ประสบความสําเร็จได้ และไม่ควรจะมีการเปลี่ยนแปลงตัวบุคคล บ่อย เพราะจะขาดความต่อเนื่อง ซึ่ง โดยคณะกรรมการใน IT Strategy Committee ควรจะมีอย่างน้อย 2 ท่าน เพื่อความต่อเนื่องเมื่อมีผู้ใดขาดไป และสามารถมีผู้เชี่ยวชาญอยู่ในคณะได้เพื่อให้ความเข้าใจทางด้านข้อมูลในเชิงลึก ส่วนที่เป็น IT Steering Committee จะประกอบด้วยผู้บริหารระดับสูงที่เกี่ยวข้อง รวมทั้ง CIO และที่ปรึกษาที่ เป็น ผู้เชี่ยวชาญ ที่จะต้องตัดสินใจใน IT investment ขนาดใหญ่ โดยประสานงานร่วมกับ Program Management Office (PMO) ที่รับผิดชอบดูแลทางด้าน project management และ project portfolio managementในขณะที่ IT investment ที่มีขนาดเล็กอาจแต่งตั้งคณะอนุกรรมการ (subcommittee) เพื่อพิจารณาแทนได้
การกําหนดคณะทํางานเฉพาะเรื่อง เช่น IT Portfolio Management Committee หรือ IT Infrastructure Planning Committee ก็สามารถรวมทีมจากผู้ที่มีคุณสมบัติที่เหมาะสมเพื่อให้กําหนดขั้นตอนมาตรฐาน และกรอบการทํางาน โดยจะต้องมีผู้ที่มีความรู้ความเขฃ้าใจในด้านนั้นเป็นหลัก
ควรมีการกําหนดบทบาทหน้าที่ความรับผิดชอบของคณะทํางานในแต่ละ committee ที่ชัดเจน รวมทั้งขอบเขตของอํานาจ และแนวทางในการตัดสินใจ
ขั้นตอนที่ 6
• รูปแบบการกํากับทางด้าน IT Government ควรมีการจัดทําเป็นกฎบัตร IT Government ที่เป็นลายลักษณ์อักษร และควรครอบคลุมถึง
- วัตถุประสงค์ของการกํากับทางด้าน IT Governance คู่กับ Corporate Governance
- ขอบเขต IT Governance ในองค์กร
- ผู้ที่เกี่ยวข้องและมีส่วนร่วม
- กระบวนการ IT Governance
- กิจกรรมด้าน IT Governance
- นโยบายและวัตถุประสงค์ที่เป็น IT Policy และส่งเสริม IT Governance
- บทบาทและหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้องกับ IT Governance
- กําหนดตัวชี้วัดความสําเร็จ ที่จะบ่งชี้ถึงความมีประสิทธิผลในการปฏิบัติ
- กําหนดความเสี่ยงที่เกี่ยวข้องและสมมติฐานที่ใช้ในการประเมินความเสี่ยง
การมีกฎบัตรที่ระบุข้อมูลต่างๆที่จําเป็นในการทําให้ IT Governance ประสบผลสําเร็จนั้น จะทําให้องค์กรเห็นถึงความสําคัญ และจําเป็นต้องมีการสื่อสารอย่างทั่วถึงและต่อเนื่อง เพื่อให้มีการปฏิบัติอย่างจริงจังและต่อเนื่อง ซึ่งจะสอดคล้องและเป็นส่วนหนึ่งของ การกํากับและบริหารกิจการที่ดีขององค์กร (enterprise governance)
ขั้นตอนที่ 7
• การวัดผลและประเมินผลเพื่อการปรับปรุงอย่างต่อเนื่อง
องค์กรควรจัดให้มี IT Steering Committee มีหน้าที่ในการติดตาม และประเมินผลของการดําเนินงานทางด้าน IT และ IT Governance โดยมีการพิจารณาติดตาม project ที่อยู่ใน IT Project Portfolio/ IT Development Portfolio และ IT Asset Portfolio โดยพิจารณา service level agreements, balanced scorecard และรายงานการประเมินผลที่แสดงถึงสถานภาพและความก้าวหน้า เทียบกับที่วางแผนไว้ การวัดและประเมินผลจะครอบคลุมทั้งในด้าน tangible asset และ intangible asset โดยจําเป็นต่องพิจารณาจาก architecture และ IT Asset Inventory (ที่อยู่ในรูปของ IT Infrastructure Plan) ซึ่งจะมีผลรวมถึงการพิจารณาถึงผลตอบแทนที่ให้กับพนักงาน ซึ่งอยู่ในส่วนของการประเมินผลด้าน IT ตามหลักของ balanced scorecard
ในการวัดผลนั้นวัตถุประสงค์ก็เพื่อมุ่งไปสู่การปรับปรุงให้ดีขึ้น ดังนั้นเมื่อมีการวัดผลเกิดขึ้น จะสามารถช่วยกําหนดเป็น baseline เพื่อหาเป้าหมายในการปรับปรุง การที่จะตั้งเป้าหมายเพื่อการปรับปรุงนั้น จําเป็นต้องมีการ benchmarking กับผู้ประกอบการในกลุ่มอุตสาหกรรมที่เกี่ยวข้องด้วยกันเพื่อเทียบเคียงว่ามีจุดใดที่องค์กรมีความก้าวหน้าหรือล้าหลังกว่าองค์กรในกลุ่มอุตสาหกรรมเดียวกัน และมีความสําคัญในการที่จะต้องปรับปรุง รวมทั้งเทียบกับมาตรฐานสากลของ COBIT สําหรับการจัดการทางด้าน IT ที่ดี โดยใช้ maturity model ของ COBIT ในการวัดและประเมินผลจะทําได้อย่างมีประสิทธิภาพและไม่ต้องสูญเสียเวลา และทรัพยากรนั้น จําเป็นต้องใช้เทคโนโลยีเข้ามาช่วยเช่นกัน
เอกสารอ้างอิง
- http://gotoknow.org/blog/xxl/159155
- http://www.itgthailand.com
- http://www.isaca-bangkok.org/article/May09/IT%20GOV%20n%20Value%20Creation.pdf
- http://www.acisonline.net/
ไม่มีความคิดเห็น:
แสดงความคิดเห็น