COBIT กับการวางแผนกลยุทธ์ IT

องค์กรธุรกิจระดับสากลจึงได้นำแนวคิดการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีหรือที่รู้จักกันอย่างแพร่หลายว่า “ไอทีภิบาล” (IT Governance) มาปรับใช้เป็นแนวทาง เพื่อสร้างความเชื่อมั่นให้กับองค์กรว่าจะสามารถบริหารจัดการกระบวนการทำงานทางด้านไอทีให้มีความสอดประสานกับวัตถุประสงค์ขององค์กร (IT Alignment)

Wednesday, September 10, 2008

Performance Scorecard

โดย ดร.สันติพัฒน์ อรุณธารี Chief Technology Officer : PTT ICT Solutions, and CEO MBA program


ในโลกธุรกิจมีการปรับเปลี่ยนอย่างรวดเร็วตามกระแสการเปลี่ยนแปลงแบบโลกาภิวัฒน์ ทำให้ทุกองค์กรต้องปรับตัวให้สอดคล้องกับสภาพแวดล้อมทางเศรษฐกิจของแต่ล่ะประเทศ โดยไอซีทีถูกปรับเปลี่ยนจากเครื่องอำนวยความสะดวก มาเป็นเครื่องมือขับเคลื่อนทางธุรกิจ ในการสร้างศักยภาพและเพิ่มขีดความสามารถทางการแข่งขันให้องค์กรธุรกิจมากยิ่งขึ้น
อย่างไรก็ตามเมื่อไอซีทีเข้ามามีบทบาทมากขึ้น องค์กรธุรกิจส่วนใหญ่ต่างให้ความสำคัญกับการเชื่อมโยงลูกค้า ผู้ขาย และคู่ค้าทางธุรกิจ ไว้ด้วยสถาปัตยกรรมหลักขององค์กร เมื่อความต้องการทางธุรกิจมีการเปลี่ยนแปลงพร้อมความก้าวหน้าทางเทคโนโลยีจะสามารถสร้างโอกาสให้กับธุรกิจในการทำกำไร องค์กรธุรกิจปัจจุบันจึงต้องมีกำหนดวัตถุประสงค์พื้นฐานตามสภาพแวดล้อมที่ทุกองค์กรต่างต้องเผชิญจากปัจจัยภายในและภายนอก รวมทั้งกำหนดมาตรการที่จำเป็นเพื่อการบริหารจัดการความเสี่ยงจากการนำไอซีทีมาใช้สนองตอบความต้องการทางธุรกิจ ทำให้ส่งผลกระทบต่อวัตถุประสงค์เชิงกลยุทธ์ โดยถูกเชื่อมโยงตามระดับขั้นลดหลั่นกันมา 4 ประการ คือ 1) ความสอดคล้องและสนับสนุนพันธกิจขององค์กร 2) ใช้ทรัพยากรอย่างมีประสิทธิผลและมีประสิทธิภาพ 3) มีความน่าเชื่อถือของรายงาน และ 4) การปฏิบัติให้ถูกต้องตามกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง (กรอบโครงสร้างการบริหารความเสี่ยงเชิงบูรณาการ, 2551)
กรอบวัตถุประสงค์ของการบริหารความเสี่ยงเชิงบูรณาการณ์ที่จะนำความสำเร็จมาสู่องค์กร เป็นกรอบแนวทางปฏิบัติที่ดีที่ได้รับการยอมรับอย่างกว้างขวาง ในการกำหนดกระบวนการทำงานภายใน เริ่มตั้งแต่การกำหนดกลยุทธ์ให้ตรงกับวัตถุประสงค์เพื่อสร้างความเชื่อมั่นในการดำเนินงานให้บรรลุผลสัมฤทธิ์ ซึ่งองค์กรชั้นนำของโลก อันได้แก่ PricewaterhouseCoopers KPMG Ernst & Young และ Deloitte Touche Tohmatsu ผู้ให้บริการงานที่ปรึกษาโดยเฉพาะงานตรวจสอบหรือรู้จักกันแพร่หลายในกลุ่มที่ถูกเรียกว่า “Big Four” ได้นำหลักของการควบคุมภายในที่ดีตามมาตรฐาน COSO (Committee of Sponsoring Organizations of The Treadway Commission) มาเป็นกรอบแนวปฏิบัติตามนโยบายขององค์กรที่ต้องยึดถือปฏิบัติควบคู่กับกระบวนการตรวจสอบภายใน (Internal Audit) ขององค์กร เป็นกลไกขับเคลื่อนองค์กรให้สามารถบริหารจัดการเชิงรุกทั้งในปัจจุบันและอนาคต
การควบคุมภายในตามมาตรฐาน COSO เกิดขึ้นครั้งแรกในปีพ.ศ. 2535 โดยออกเป็นรายงานเรียกว่า COSO Internal Control Integrated Framework 5 องค์ประกอบสำคัญเพื่อผนวกเข้ากับกระบวนการบริหารขององค์กร จากอดีตเป็นต้นมาทำให้ระบบการควบคุมมีประสิทธิภาพมากยิ่งขึ้น ปัจจุบันนี้แนวทางการบริหารธุรกิจมีการปรับเปลี่ยนให้สอดคล้องกับสภาพทางธุรกิจ มาตรฐาน COSO เพิ่มมุมมองเป็น 8 องค์ประกอบเพื่อรองรับวิธีการกำหนดกลยุทธ์ทางธุรกิจให้มีทิศทางเดียวกันกับกลยุทธ์ตามวัตถุประสงค์อื่นๆ ขององค์กร โดยเน้นการบริหารเชิงรุกเพื่อจัดการความเสี่ยงที่เกิดขึ้น จะสร้างความได้เปรียบในการแข่งขันเชิงธุรกิจ แล้วปรับ กลยุทธ์เพื่อจัดการกระบวนการทำงานภายในที่มีความเสี่ยงอันไม่อาจยอมรับได้ ด้วยระบบการควบคุมภายในของกิจการของตนตามกรอบการควบคุมภายในเชิงบูรณาการ หรือ COSO ERM (Enterprise Risk Management — Integrated Framework ) ถูกพัฒนาขึ้นเป็นกรอบให้องค์กรสามารถปฏิบัติตามตาม ขณะเดียวกัน เพื่อความสอดคล้องกับการเปลี่ยนแปลงของเทคโนโลยีที่ส่งผลโดยตรงต่อธุรกิจ เราสามารถนำกรอบโครงสร้างการบริหารความเสี่ยงประยุกต์ใช้ในการบริหารจัดการไอซีทีขององค์กร ด้วยกระบวนการคิดที่เป็นระบบระเบียบจะทำให้คลอบคลุมการให้บริการด้านไอซีต่อหน่วยงานอื่นที่เกี่ยวข้องได้ผลลัพธ์ที่คุ้มค่ากับการลงทุน
ขณะเดียวกันนอกเหนือกลยุทธ์ตามวัตถุประสงค์ต่างๆ มีความสอดคล้องกันทั่วทั้งองค์กรแล้ว ในเรื่องการจัดการด้านข้อมูลธุรกิจ การสร้างศักยภาพด้านไอซีที การวิเคราะห์ข้อมูลสนองตอบต่อลูกค้า สิ่งต่างๆ เหล่านี้ล้วนประกอบด้วยวิธีการปฏิบัติที่มีความแตกต่างกัน จำเป็นต้องอาศัยแนวทางหรือมาตรการควบคุมและดูแลไอซีทีภายในองค์กร ให้มีความสอดประสานกันกับกลยุทธ์ตามวัตถุประสงค์ระดับองค์กร และเดินไปในทิศทางเดียวกับกลยุทธ์ทางธุรกิจ หนึ่งในแนวมาตรฐานที่ได้รับการยอมรับระดับสากล คือ กรอบมาตรฐานโคบิต (COBIT Framework) ที่ได้รับการรับรองมาตรฐาน CISA (Certified Information Systems Auditor) โคบิตย่อมาจาก COBIT-Control Objective for Information and Related Technology เป็นแนวทางในการตรวจสอบระบบเทคโนโลยีสารสนเทศทุกระดับในองค์กร เน้นการควบคุมการกำกับดูแล เกี่ยวกับกฎระเบียบและกระบวนการที่องค์กรต้องปฏิบัติ ในด้านเทคโนโลยีสารสนเทศ ซึ่งเป็นรูปแบบวิธีปฏิบัติที่ได้ถูกพัฒนาขึ้นโดยกลุ่มความร่วมมือ Information Systems Audit and Control Association (ISACA) และสถาบันไอทีภิบาล (IT Governance Institute: ITGI) สำหรับการสร้างไอทีภิบาล (IT Governance) ที่เป็นส่วนสำคัญต่อความสำเร็จตามหลักธรรมาภิบาล ที่มุ่งปรับปรุงมาตรฐานด้านประสิทธิภาพและประสิทธิผลของกระบวนการปฏิบัติงาน ตามมาตรฐานที่เป็นที่ยอมรับในระดับสากล โดยมีการพัฒนาอย่างต่อเนื่องตามกรอบการดำเนินงานให้ตรงกับตรงกับสภาพแวดล้อมทางธุรกิจปัจจุบัน




ภาพที่ 1 การผสมผสานระหว่างองค์ประกอบของ COSO และ COBIT (ดัดแปลงจาก COSO ERM, 2004)

โดยทั่วไประบบการควบคุมภายในขององค์กรจะอาศัยผู้ตรวจสอบระบบ (Auditor) เป็นผู้สอบทานการดำเนินงานภายในขององค์กร โดยเชื่อมโยงระบบงานเข้ากับแนวทางการปฏิบัติ COSO ประกอบด้วย 8 องค์ประกอบหลักคือ 1) สภาพแวดล้อมภายใน 2) การกำหนดวัตถุประสงค์ 3) การระบุเหตุการณ์ 4) การระบุเหตุการณ์ 4) การประเมินความเสี่ยง 5) การตอบสนองต่อความเสี่ยง 6) การกำหนดกิจกรรมการควบคุม 7) การจัดการสารสนเทศและการสื่อสาร และ 8) ต้องมีการติดตามประเมินผลกรอบปฏิบัติโคบิตคือหนึ่งในแนวทางที่ถูกนำมาประยุกต์ใช้ ดังจะเห็นได้จาก ตลาดหลักทรัพย์สหรัฐอเมริกาต้องการสร้างความมั่นใจให้นักลงทุนโดยออกระเบียบที่เป็นรัฐบัญญัติของสหรัฐอเมริกา มีชื่อเรียกว่า The Sarbanes-Oxley Act of 2002 มีชื่อย่ออย่างเป็นทางการของกฎหมายฉบับนี้ คือ Public Company Accounting Reform and Investor Protection Act of 2002 (SOX หรือ Sarbox) ได้กล่าวไว้ว่ากระบวนการทางธุรกิจต้องทำหน้าที่เชื่อมโยงความสัมพันธ์ของ COSO และ COBIT เข้าไว้ด้วยกันเพราะเชื่อว่าจะสามารถทำให้กระบวนการดำเนินงานของไอซีทีมีประสิทธิภาพโดยอาศัยองค์ประกอบหลักทั้ง 5 ของ COSO เดิมเชื่อมโยงกระบวนการด้านไอซีทีไว้ในแต่ละโดเมนตามมาตรฐาน COBIT ทั้งนี้เมื่อ COSO ถูกปรับเปลี่ยนเป็น COSO ERM แล้ว เพื่อทำการปรับกระบวนการไอซีทีให้บรรลุวัตถุประสงค์ด้วยกระบวนการคิดที่เป็นระบบระเบียบมากยิ่งขึ้น เราจึงได้ Mapping วัตถุประสงค์ของ COBIT กับองค์ประกอบของ COSO ERM ทั้ง 8 องค์ประกอบเข้าไว้ด้วยกัน ปรากฏในรูปภาพที่ 1



จากภาพที่ 1 เมื่อพิจารณาตามกรอบมาตรฐานโคบิต 4 โดเมนหลัก จะมีความสอดคล้องกับวัตถุประสงค์ที่จะเป็นกรอบในการควบคุมไอซีที องค์ประกอบหลักของCOSO ERM เป็นการนำวิธีการบริหารความเสี่ยงเป็นกรอบ หรือหลักในการวิเคราะห์เพื่อประเมินความเสี่ยงร่วมกับการกำหนดแผนกลยุทธ์ตามวัตถุประสงค์ด้านไอซีทีขององค์กรเข้าไว้ด้วยกันกับมาตรฐาน COBIT
แม้ว่ากรอบการบริหารความเสี่ยงถูกเชื่อมโยงกับวัตถุประสงค์ของการควบคุมไอซีทีตามทิศทางที่น่าจะถูกต้องแล้ว แต่สิ่งสำคัญที่จะเป็นหลักประกันความมั่นใจว่ากระบวนการเชื่อมโยงความสัมพันธ์เชิงเหตุผลดังกล่าว จะถูกนำไปประยุกต์ปฏิบัติให้สอดคล้องกับสภาพแวดล้อมทางธุรกิจ โดยผลลัพธ์ของความสำเร็จดังกล่าวยังต้องสามารถวัดผลงานได้ด้วยเครื่องมือสร้างดุลยภาพการปฏิบัติงานตาม 4 มุมมองหลักของ Balanced Scorecard (BSC) ซึ่งเป็นทฤษฎีของโรเบิร์ต เอส แคปแลน และเดวิด พี นอร์ตัน (Robert S. Kaplan and David P. Norton) ได้ถูกพัฒนาขึ้นในปีพ.ศ. 2535 จากมหาวิทยาลัยฮาร์วาร์ด BSC เป็นระบบการวัดผลการดำเนินงานที่สามารถเชื่อมโยงกลยุทธ์ทางธุรกิจ ทำให้ส่งผลสัมฤทธิ์ในการประกอบธุรกิจ โดยองค์กรต้องพิจารณาร่วมกันใน 4 มุมมองหลัก อันได้แก่ 1) การมุ่งเน้นรายงานทางการเงินและการบัญชี 2) การตอบสนองความต้องการของลูกค้า 3) เน้นกระบวนการทำงานภายในให้มีประสิทธิภาพ และมุมมองที่ 4 ความมุ่งมั่นให้เกิดนวัตกรรมและกระบวนการเรียนรู้อย่างต่อเนื่อง ซึ่งแต่ละมุมมองประกอบด้วยวัตถุประสงค์ที่มีการเชื่อมโยงกันตามหลักของเหตุและผล (Cause and Effect Relationship) การประเมินและติดตามผลการดำเนินงานโดยใช้แนวคิด BSC ในการวัดผลการดำเนินงานพร้อมติดตามอย่างสม่ำเสมอของ BSC ได้ถูกประยุกต์ใช้ในหน่วยงานราชการ รัฐวิสาหกิจ และเอกชนในประเทศไทย ซึ่งหน่วยงานกำกับต่างให้ความสำคัญสะท้อนออกมาในมุมของการควบคุม กำกับและดูแล (Compliance Perspective) ให้องค์กรธุรกิจภายใต้การกำกับนั้นๆ ต้องปฏิบัติตาม บทบาทหน้าที่ของผู้ตรวจสอบ ในการให้คำปรึกษาและสร้างความเชื่อมั่นได้ออกแบบการควบคุมและแนวทางในการปฏิบัติทางด้านเทคโนโลยีสารสนเทศ ให้กระบวนการต่างๆ เกิดขึ้นเหมือนการทำงานปกติและมีการปฏิบัติอย่างสม่ำเสมอ โดยระบบการควบคุมภายในที่ดี จะสร้างความน่าเชื่อถือให้ว่าองค์กรมีการกำกับดูแลกิจการที่ดี (Good Corporate Governance) สามารถปฏิบัติงานได้มีประสิทธิภาพและเกิดประโยชน์สูงสุดต่อองค์กร (Corporate Performance) ทำให้เกิดการพัฒนากระบวนการเรียนรู้ ส่งผลให้เกิดการปรับปรุงกระบวนการภายในองค์กร อันมีความสอดประสานกับมุมมองในเรื่องกฎระเบียบและข้อบังคับทั้งภายในและภายนอกองค์กร (Compliance Perspective) ซึ่งเมื่อกระบวนการถูกปรับปรุงอย่างต่อเนื่อง ก็จะสร้างความพึงพอใจให้กับลูกค้าและทำให้รายงานทางการเงินและบัญชีขององค์กรเกิดความถูกต้องโปร่งใส นั่นคือมุมมองทั้ง 8 ที่เกิดขึ้นจากกระบวนการแสดงความสัมพันธ์ Performance Scorecard ตามภาพที่ 2




ที่มา จุลสาร สมาคมผู้ตรวจสอบภายในแห่งประเทศไทย พ.ศ. 2551 (www.theiiat.or.th)

การใช้ COBIT ในการช่วยวางแผนกลยุทธ์ทางด้าน IT

โดย ดร.สันติพัฒน์ อรุณธารี
Chief Technology Officer : PTT ICT Solutions, and CEO MBA program Director,


การดำเนินธุรกิจปัจจุบัน เทคโนโลยีสารสนเทศ (Information Technology หรือ IT) เป็นเครื่องมือหนึ่งที่องค์กรธุรกิจนำมาประยุกต์ใช้เพื่อเป้าหมายทางธุรกิจ (Business Goal) ในการช่วงชิงความได้เปรียบทางการแข่งขัน เช่น การเข้าถึงข้อมูลทางธุรกิจ การช่วยอำนวยความสะดวกในการดำเนินธุรกิจ เป็นต้น ขณะเดียวกันองค์กรธุรกิจหลายแห่งก็ประสบปัญหาการสูญเสียเงินลงทุนในระบบเทคโนโลยีสารสนเทศที่ไม่คุ้มค่า หรือระบบเทคโนโลยีสารสนเทศที่เลือกไม่สามารถตอบสนองเป้าหมายขององค์กร ซึ่งทำให้เกิดช่องว่าง (Gap) ในการประยุกต์ไอทีและการปรับเปลี่ยนกระบวนการทำงานไม่สอดคล้องสัมพันธ์กับเป้าหมายทางธุรกิจ ดังนั้นองค์กรธุรกิจระดับสากลจึงได้นำแนวคิดการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีหรือที่รู้จักกันอย่างแพร่หลายว่า “ไอทีภิบาล” (IT Governance) มาปรับใช้เป็นแนวทาง เพื่อสร้างความเชื่อมั่นให้กับองค์กรว่าจะสามารถบริหารจัดการกระบวนการทำงานทางด้านไอทีให้มีความสอดประสานกับวัตถุประสงค์ขององค์กร ทั้งนี้เครื่องมือที่ช่วยให้องค์กรสามารถปฏิบัติตามระเบียบข้อบังคับจากทั้งภายในและภายนอกองค์กร (Compliance Management) ให้สอดคล้องกับหลักไอทีภิบาล คือกรอบแนวคิดโคบิต (COBIT Framework) ซึ่งเป็นหนึ่งในแนวคิดที่ถูกปรับประยุกต์ใช้ ในองค์กรธุรกิจ ช่วยประสานกลวิธีทางธุรกิจให้สามารถจัดการไอทีได้อย่างลงตัว

โคบิต (COBIT) คืออะไร?
โคบิตได้รับการพัฒนาโดยถูกตีพิมพ์และเผยแพร่ในปี พ.ศ. 2539 เวอร์ชั่นแรก (COBIT 1st Edition) โดยสมาคมการควบคุมและการตรวจสอบระบบสารสนเทศ หรือ The Information Systems Audit and Control Association (ISACA) และ สถาบันเทคโนโลยีสารสนเทศภิบาล หรือ Information Technology Governance Institute (ITGI) มาตรฐานโคบิตที่ถูกเผยแพร่ในเว็บไซด์ ISACA ปัจจุบันถูกปรับปรุงอยู่ในเวอร์ชั่น 4.1การปรับปรุงเนื้อหาให้มีความใกล้เคียงกับมาตรฐานสากลต่างๆ เช่น Sarbanes-Oxley Act. สร้างความมั่นใจให้กับองค์กรมากขึ้นในการปรับปรุงเป้าหมายการควบคุมเทคโนโลยีสารสนเทศ ในทิศทางเดียวกับเป้าหมายทางธุรกิจโดยกำหนดความรับผิดชอบต่อกระบวนการไอที ให้สอดคล้องกับโครงสร้างความสัมพันธ์ขององค์กร ขณะเดียวกันการดำเนินธุรกิจปัจจุบันที่ต้องการความฉับไวเพื่อขยายขีดความสามารถในการตอบสนองความต้องการของลูกค้า เมื่อองค์กรต้องมี กลยุทธ์ทางธุรกิจ (Business Strategy) กำหนดทิศทางของการดำเนินงาน ที่ประกอบไปด้วยแผนระยะสั้นและแผนระยะยาว อันจะเป็นแนวทางที่ชี้ให้เห็นว่าองค์กรจะก้าวไปข้างหน้าอย่างไรให้ประสบความสำเร็จ องค์กรจำเป็นต้องอาศัยปัจจัยดังกล่าวในการกำหนดกลยุทธ์ในการจัดการทางด้านเทคโนโลยีสารสนเทศ (IT Strategy) เพื่อจัดสรรทรัพยากรสารสนเทศ เงินทุน เวลาและทรัพยากรบุคคลในการพัฒนาประยุกต์ใช้ระบบเทคโนโลยีสารสนเทศขององค์กรให้เหมาะสมสอดคล้องกับธุรกิจ โดยพิจารณาถึงสภาพแวดล้อมภายในองค์กร (Internal Environment) และสภาพแวดล้อมภายนอก (External Environment) เพื่อสร้างความได้เปรียบจากการใช้ทรัพยากรขององค์กรในการปรับตัว และได้ประโยชน์จากความเปลี่ยนแปลงที่เกิดขึ้นในสิ่งแวดล้อมภายนอก
เทคโนโลยีสารสนเทศกับมุมมองของผู้บริหาร
กลายเป็นวาระของผู้บริหารด้านสารสนเทศ (CIO: Chief Information Officer) และผู้บริหารระดับสูงขององค์กร (CEO: Chief Executive Officer) ต้องตระหนักถึงการวิเคราะห์จุดแข็ง (Strength) จุดอ่อน (Weakness) โอกาส (Opportunity) และอุปสรรค์ (Threat) ไปพร้อมๆ กับการกำหนดนโยบายที่สำคัญที่เกี่ยวข้องกับการนำไอทีมาใช้ประยุกต์ใช้ ซึ่งปัจจุบันแนวทางการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรมี 2 ประการ คือ ประการที่หนึ่ง เพื่อช่วยสนับสนุนธุรกิจในแง่ของการเปลี่ยนแปลง โดยองค์กรมีการปรับเปลี่ยนตัวเองให้เหมาะสม เพื่อรองรับกับการเปลี่ยนแปลงแบบพลวัตร (to support Dynamic changes) และ ประการที่สองเป็นตัวส่งเสริม (Enable) หรือผลักดัน (Drive) ธุรกิจ ให้สามารถสร้างความได้เปรียบทางการแข่งขันให้องค์กรประสบความสำเร็จได้
แม้ว่าเทคโนโลยีจะเป็นปัจจัยสำคัญที่ช่วยเพิ่มความสะดวกให้กับภาคธุรกิจ หากแต่หลายครั้งพบว่าองค์กรธุรกิจไม่สามารถจัดการเทคโนโลยีสารสนเทศได้อย่างมีประสิทธิภาพ หรืออย่างคุ้มค่า ตัวอย่างเช่น การนำระบบการวางแผนทรัพยากรในองค์กร (ERP: Enterprise Resource Planning) มาใช้ ซึ่งเป็นระบบเชื่อมโยงทุกหน่วยงานในองค์กร และงานหลัก(core business process) ต่างๆ เข้าไว้ด้วยกัน ผู้บริหารองค์กรย่อมคาดหวังผลตอบแทนจากการลงทุน โดยอาจไม่ได้คำนึงถึงผลลัพธ์จากความเสี่ยง ไม่ว่าจะเป็นการประมาณต้นทุนผิดพลาด หรือระบบใหม่ที่ไม่สามารถทำงานร่วมกับระบบเดิมได้ ซึ่งล้วนเป็นความเสี่ยงที่เกิดจากการใช้เทคโนโลยีอย่างไม่คุ้มค่าและไม่ตรงตามวัตถุประสงค์ของธุรกิจ (Business Objective) อย่างแท้จริง
ซีไอโอนอกเหนือจากมีหน้าที่กำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศแล้ว ยังมีหน้าที่รับผิดชอบตามสายการบังคับบัญชาหลัก ดังนั้นจึงต้องทำหน้าที่เชื่อมโยงกลยุทธ์ทางเทคโนโลยีสารสนเทศ ให้มีความสอดคล้องกับเป้าหมาย ภารกิจหลักหรือกลยุทธ์ทางธุรกิจ ซึ่งมีรูปความสัมพันธ์แบบบนลงล่าง (Top-down) ในขณะเดียวกันนั้น อาจมีการร้องขอความต้องการทางด้านเทคโนโลยีสารสนเทศจากภายในองค์กร (Strategy demand for IT) หรือการขอให้มีการพัฒนาซอฟแวร์โดยมีวัตถุประสงค์หรือเป้าหมายเพื่ออำนวยความสะดวกและช่วยให้สามารถปฏิบัติงานได้รวดเร็ว ในลักษณะการบริหารจัดการเชิงกลยุทธ์ตามหน้าที่ของหน่วยงาน (Functional Strategy) ที่มีลักษณะการเชื่อมโยงแบบล่างขึ้นบน (Bottom-up) ตามแผนภาพที่ 1 ดังนี้


























ดัดแปลงจาก: Pearlson, K.&Saunders, C.(2549)

ภาพที่ 1

จากแผนภาพ สามารถอธิบายได้ว่าธุรกิจโดยส่วนใหญ่มักพบปัญหาการขาดการสอดประสานกันระหว่างหน่วยงานที่เกี่ยวข้อง และช่องว่างของความต้องการทางด้านเทคโนโลยีสารสนเทศ ในลักษณะเชื่อมโยงแบบบนลงล่าง และรูปแบบการเชื่อมโยงจากล่างขึ้นบน หรือมีการดำเนินงานตามสายการบังคับบัญชาที่ไม่สอดคล้องกัน มุ่งไปยังเป้าหมายและทิศทางที่แตกต่างกันไป ปัญหาที่องค์กรส่วนใหญ่พบ คือ การจัดการภายใน ที่ส่วนงานแต่ละแผนกมีความต้องการที่ไม่ตรงกัน เช่น การร้องขอโปรแกรมปฏิบัติการต่างจากที่องค์กรกำหนด หรือมีการร้องขอการเข้าถึงระบบฐานข้อมูลที่มากกว่าเดิม เป็นต้น
ดังนั้น หากธุรกิจมีการกำหนดด้านทิศทางขององค์กร แต่กำหนดแผนระยะสั้นและระยะยาวไม่สอดคล้องกัน จะทำให้เกิดช่องว่างระหว่างกลยุทธ์ของธุรกิจ และกลยุทธ์ด้านเทคโนโลยีสารสนเทศ สิ่งสำคัญในการบริหารจัดการองค์กร คือ ควรเติมเต็มส่วนที่ขาดหายไปและเชื่อมต่อความต้องการด้านเทคโนโลยีสารสนเทศของระบบงานทั้งหมดเข้าไว้ด้วยพร้อมพัฒนาและปรับปรุงแผนกลยุทธ์ของธุรกิจให้มีความต่อเนื่องควบคู่กันไป

บทบาทของคณะกรรมการบริษัทฯ
อย่างไรก็ดี ผู้ทีเป็นกำลังสำคัญในการเชื่อมโยงความต้องการทั้งหมดเข้าไว้ด้วยกัน และผลักดันให้เกิดขึ้นอย่างเป็นรูปธรรม คือ คณะกรรมการบริษัทฯ (Board of Director) ต้องตระหนักถึง ความสำคัญในการกำหนดนโยบายองค์กรให้สอดคล้องกับกลยุทธ์องค์กรและกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศ โดยสนับสนุนให้มีการประชุมหารือร่วมกัน ระหว่างคณะกรรมการบริษัทฯ ผู้บริหารระดับสูง (C-Level) และผู้บริหารทุกระดับขององค์กร ตั้งแต่การกำหนดแผนกลยุทธ์ขององค์กร กลยุทธ์การใช้เทคโนโลยีสารสนเทศและการจัดสรรทรัพยากรบุคคล ทั้งนี้อาจกล่าวได้ว่าคณะกรรมการบริษัทฯ คือบุคคลหนึ่ง ที่มีความสำคัญในการสนับสนุนให้เป้าหมายทางด้านเทคโนโลยีสารสนเทศสอดประสานไปในทิศทางเดียวกับวัตถุประสงค์ขององค์กร (IT Alignment) ทำให้ผู้บริหารสามารถตัดสินใจได้อย่างรอบคอบ สามารถลด TCO (Total Cost of Ownership) และ เพิ่ม ROI (Return on Investment) ให้กับองค์กร หากธุรกิจมีการดำเนินงานตามแนวปฏิบัติที่ดีดังกล่าวแล้ว ยังมีประโยชน์อีกประการช่วยให้องค์กรมีการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศที่มีความโปร่งใสและสามารถตรวจสอบเพื่อประโยชน์โดยรวมสู่องค์กรธุรกิจ





การประยุกต์ใช้เทคโนโลยีทางธุรกิจมีความสำคัญหลายประการต่อองค์กรธุรกิจ เพื่อให้การดำเนินงานร่วมกันสามารถก้าวต่อไปอย่างมีระบบระเบียบปัจจุบันมีแนวคิดและแนวทางปฏิบัติของผู้บริหารระบบสารสนเทศ สามารถนำมาประยุกต์ให้องค์กรปฏิบัติตามแนวคิดต่างๆ ได้จริงนั้น มาตรฐานที่นิยมใช้กันอย่างแพร่หลาย อาทิเช่น มาตรฐาน ISO/IEC 27001 ISMS Requirement หรือ CMMI (Capability Maturity Model Integration) มาตรฐาน ITIL (IT Infrastructure Library) /BS15000 หรือมาตรฐาน COBIT (Control Objective for Information and Related Technology) เป็นต้น
กรอบวิธีปฏิบัติโคบิต (COBIT Framework) เป็นรูปแบบหนึ่งที่มีพัฒนาขึ้นโดยกลุ่มความร่วมมือ (Information Systems Audit and Control Association -ISACA) สำหรับผู้ตรวจสอบเทคโนโลยีสารสนเทศ (IT Audit) ใช้เป็นกรอบควบคุมการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ โดยเนื้อหาโคบิตในเว็บไซด์ ISACA ได้กล่าวว่า โคบิตเป็นทั้งแนวคิดและแนวทางการปฎิบัติ (Framework) เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่างๆที่จะใช้อ้างอิงถึงแนวทางการปฎิบัติที่ดี (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ประเทศไทยก็เป็นประเทศหนึ่งที่นำแนวความคิดเกี่ยวกับมาตรฐานโคบิตมาประยุกต์ใช้ เป็นกรอบให้หน่วยงานรัฐวิสาหกิจภายใต้กำกับดูแลของรัฐต้องมีการกำกับดูแลการปฏิบัติงาน (Compliance Controls) ทางด้านไอทีขององค์กรให้ดำเนินงานอยู่ภายใต้หลักการพื้นฐานไอทีภิบาล เพื่อสร้างความมั่นใจให้กับประชาชนทั่วไปหรือผู้ประกอบการที่ต้องเกี่ยวข้องกับสาธารณูปโภคภายในประเทศ ในการบริหารจัดการทรัพยากรด้านสารสนเทศไม่ให้ถูกใช้อย่างสิ้นเปลืองหรือไม่คุ้มค่ากับการลงทุน ประโยชน์ของโคบิตยังประกอบไปด้วยตัววัดผลการดำเนินงานในแต่ละกระบวนการ ซึ่งได้รับความนิยมแพร่หลายในกลุ่มธุรกิจการเงินและการธนาคาร นอกจากนี้ยังมีการประยุกต์ใช้มาตรฐานโคบิตเพื่อช่วยเชื่อมโยงความสัมพันธ์ (Alignment) ระหว่างเป้าหมายทางธุรกิจ (Business Goal) และเป้าหมายทางด้านเทคโนโลยีสารสนเทศ (IT Goal) รวมถึงกระบวนการทางเทคโนโลยีสารสนเทศ (IT Process) (COBIT 4.1,IT Governance Institute, 2551) และโครงสร้างพื้นฐานของเทคโนโลยีสารสนเทศ (IT Infrastructure) ซึ่งเป็นการเชื่อมโยงระบบข้อมูลเข้าไว้ด้วยกัน ส่งผลให้เกิดความสอดคล้องกันในกระบวนการทำงาน ในขณะเดียวกันการวางแผนจัดสรรทรัพยากรขององค์กรก็จำเป็นต้องเชื่อมโยงระบบการบริหารและระบบเทคโนโลยีสารสนเทศเพื่อให้เกิดการทำงานอย่างมีประสิทธิภาพและประสิทธิผล ซึ่งสอดคล้องกับหลักการพื้นฐานของการบริหารจัดการเทคโนโลยีสารสนเทศที่ดี ก่อให้เกิดประโยชน์ในการบริหารตามหลักการพื้นฐานขององค์กรที่มีการบริหารจัดการเทคโนโลยีสารสนเทศที่ดี 5 ประการ คือ การจัดวางกลยุทธ์ (IT Strategic Alignment) การนำเสนอคุณค่า (Value Delivery) การจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resource Management) การจัดการความเสี่ยง (Risk Management) และการวัดประสิทธิภาพ (Performance Measurement)
เมื่อองค์กรธุรกิจมีความคาดหวังจะมีการบริหารจัดการเทคโนโลยีสารสนเทศที่ดี จึงต้องพิจารณาถึงกรอบปฏิบัติ 4 กระบวนการหลักของโคบิต อันได้แก่ 1) การวางแผนและการจัดการองค์กร (Planning and Organization) 2) การจัดหาและติดตั้ง (Acquisition and Implementation) 3) การส่งมอบและบำรุงรักษา (Delivery and Support) และ 4) การติดตามผล (Monitoring) แต่ละกระบวนการหลักมีความสำคัญแตกต่างกันไป เพื่อสร้างศักยภาพในการบริหารจัดการเทคโนโลยีสารสนเทศให้ครอบคลุมทุกด้านขององค์กร แต่สำหรับองค์กรที่เพิ่งเริ่มจัดตั้งขึ้นผู้บริหารทุกระดับต่างให้ความสำคัญกับการวางกลยุทธ์ขององค์กรพร้อมกับการเร่งพัฒนาเทคโนโลยีในการขับเคลื่อนธุรกิจ
จุดเริ่มต้นของนำแนวคิดโคบิตมาประยุกต์ใช้เป็นกรอบในการควบคุมระบบสารสนเทศ และเชื่อมโยงกลยุทธ์ขององค์กรให้สอดคล้องกับกลยุทธ์ในการบริหารจัดการสารสนเทศได้อย่างลงตัว องค์กรต้องคำนึงถึงกระบวนการแรกของโคบิตในเรื่องการวางแผนและการจัดองค์กร เพื่อสร้างแนวทางในการบริหารจัดการที่ดี ประกอบด้วยกระบวนการดังต่อไปนี้
PO1 การกำหนดแผนกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (Define a Strategic IT Plan)
PO2 การกำหนดโครงสร้างด้านสารสนเทศ (Define the Information Architecture)
PO3 การกำหนดทิศทางด้านเทคโนโลยี (Determine Technological Direction)
PO4 การจัดโครงสร้างองค์กรด้านเทคโนโลยีสารสนเทศและความสัมพันธ์กับ หน่วยงานอื่น (Define the IT Organization and Relationships)
PO5 การจัดการด้านการลงทุนในเทคโนโลยีสารสนเทศ (Manage the IT Investment)
PO6 การจัดการเป้าหมายของการสื่อสารและทิศทางขององค์กร (Communicate Management Aims and Direction)
PO7 การจัดการทรัพยากรบุคคล (Manage Human Resources)
PO8 การจัดการคุณภาพ (Management Quality)
PO9 การประเมินและจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (Assess and Manage IT Risks)
PO10 การจัดการโครงการ (Manage projects. )













ภาพที่ 2 (ที่มา : ดัดแปลงจากเอกสาร IT Governance Institute, 2551)

Plan and Organise จากแผนภาพที่ 2 ได้แสดงความสัมพันธ์ของการจัดวางกลยุทธ์ ตามวัตถุประสงค์ทำให้องค์กรมีการบริหารจัดการเทคโนโลยีสารสนเทศที่ดี มีความสอดคล้องกับขอบเขตโดเมนวางแผนการจัดองค์กร (Planning and Organization) ตามกรอบปฏิบัติแนวคิดโคบิต ซึ่งเป็นวิธีที่ดีที่สุดสำหรับองค์กรที่กำลังเริ่มจัดตั้งขึ้น โดยมุ่งเน้นการวางแผนและจัดการองค์กรไปพร้อมกับการกำหนดกลยุทธ์ในการพัฒนาระบบสารสนเทศให้มีความต่อเนื่องสัมพันธ์กัน และเพื่อเป็นประโยชน์ในการวางโครงสร้างด้านเทคโนโลยีสารสนเทศให้บรรลุผลสัมฤทธิ์
การวางแผนและการจัดองค์กรเป็นขอบเขตการบริหารจัดการสารสนเทศที่ดีให้กับองค์กรแล้ว การดำเนินธุรกิจที่มุ่งเน้นสร้างกำไรสูงสุด อาจเกิดปัญหาการจัดการองค์กรภายใน ที่ผู้บริหารระดับสูงหรือบุคลากรในองค์กรไม่ให้ความร่วมมือในการจัดการเทคโนโลยีสารสนเทศ อย่างจริงจัง ทำให้ประสบปัญหาสูญเสียเงินจำนวนมากในการลงทุนในเทคโนโลยีสารสนเทศ ดังนั้นเพื่อช่วยเพิ่มประสิทธิภาพและประสิทธิผลในการปฏิบัติงาน ผู้บริหารระบบสารสนเทศควรให้น้ำหนักเฉลี่ยของงบประมาณการลงทุนเพื่อปรับปรุงกระบวนการทำงานที่สำคัญ 3 ประการ คือ 1) People เรื่องบุคลากร 2) Process หรือ Policy กล่าวคือกระบวนการปฏิบัติหรือนโยบายที่ดี (Policy and Procedure) และ 3) Technology คือ เทคโนโลยีสารสนเทศ ตามแนวคิด PT Concept สามารถสรุปเป็นแผนภาพได้ดังนี้




ภาพที่ 3 (Thailand ICT Law, 2549)
จากแผนภาพที่ 3 แสดงให้เห็นถึงความสัมพันธ์ระหว่างปัจจัย People Process Policy และ Technology ที่มีความเกี่ยวเนื่องกัน แต่ปัจจัยที่มีความสำคัญที่สุดที่มีผลต่อความสำเร็จในการปรับปรุงกระบวนการทำงาน คือ People หรือบุคลากร เพราะเป็นแรงผลักดันที่ทำให้เป้าหมายขององค์กรบรรลุผลสัมฤทธิ์และมีการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีได้ กรอบแนวคิดโคบิต 4.0 ได้มีการปรับเปลี่ยนเวอร์ชั่นจาก 3.2 โดยให้ความสำคัญบุคลากรขององค์กรมากขึ้น เพิ่มการจัดการรูปแบบโครงสร้างความสัมพันธ์หน้าที่และความรับผิดชอบของผู้มีส่วนเกี่ยวข้องกับองค์กร (RACI Diagram) กล่าวว่า ผู้บริหารทุกระดับในองค์กร ไม่ว่าจะซีไอโอ, ซีอีโอ, IT Service Manager หรือ Development Manager ก็ตาม ควรถูกกำหนดหน้าที่และรับผิดชอบต่อกระบวนในแต่ละกิจกรรมตามโครงสร้างความสัมพันธ์ RACI ควรแสดงให้เห็นถึง 4 องค์ประกอบ คือ 1) ความรับผิดชอบให้กับเจ้าของกระบวนการ (Responsible) 2) มีการกำหนดตัวผู้รับผิดชอบได้ต่อกระบวนการนั้นๆ (Accountable) 3) กำหนดผู้ที่มีหน้าที่ให้การสนับสนุนหรือให้ความรู้คำแนะนำต่างๆ ในกระบวนการปฏิบัติงาน (Consulted) และ 4) ผู้ที่รับรู้ถึงข้อมูลในส่วนข้องหน้าที่ความรับผิดชอบของกระบวนการนั้นๆ(Informed) (http://www.itgi.org,IT Governance Institute,2551, RACI Chart, หน้า 40)
บทสรุป
การดำเนินธุรกิจปัจจุบัน เทคโนโลยีสารสนเทศก้าวเข้ามามีบทบาท ในการสนับสนุนฝ่ายต่างๆ ให้ทำงานได้สะดวกรวดเร็วขึ้น และช่วยปรับเปลี่ยนกระบวนการทำงานทำให้ธุรกิจสามารถแข่งขันได้อย่างยั่งยืน ขณะเดียวกันองค์กรหลายแห่งอาจพบปัญหาการสูญเสียเงินลงทุนในเทคโนโลยีสารสนเทศ ที่ไม่คุ้มค่าหรือการใช้งานที่ไม่สอดคล้องสัมพันธ์กัน ทำให้เกิดช่องว่าง (Gap) ในการวางแผนกลยุทธ์ขององค์กร ดังนั้นการเชื่อมโยงความสัมพันธ์ (Alignment) ระหว่างเป้าหมายทางธุรกิจ (Business Goal) และเป้าหมายทางด้านเทคโนโลยีสารสนเทศ จะทำให้องค์กรสามารถปรับตัวได้สอดคล้องกับสภาวการณ์ทางธุรกิจ อาจกล่าวได้ว่าองค์กรมีการบริหารจัดการเทคโนโลยีสารสนเทศตามแนวปฏิบัติที่ดีตามหลักการพื้นฐาน 5 ประการ สามารถบริหารจัดการเทคโนโลยีสารสนเทศได้อย่างมีประสิทธิภาพ (Performance Management) และเป็นกรอบปฏิบัติให้องค์กรทำตามระเบียบข้อบังคับจากภายในและภายนอกองค์กร (Compliance Management) โดยใช้เครื่องมือกรอบแนวคิดโคบิต สนับสนุนปรับปรุงและพัฒนาการบริหารกลยุทธ์ขององค์กรให้สามารถจัดการเทคโนโลยีสารสนเทศได้อย่างลงตัว ทั้งนี้ปัจจัยความสำเร็จที่ผู้บริหารควรคำนึงถึง คือ บุคลากร ที่นอกจากการกำหนดบทบาท หน้าที่ และความรับผิดชอบในสายงานหลักและสายงานรองแล้ว ยังต้องมีการส่งเสริมให้เกิดการเรียนรู้อย่างต่อเนื่องเพื่อให้เกิดการเตรียมความพร้อมในการรับมือกับการเปลี่ยนแปลงที่อาจเกิดขึ้นได้ตลอดเวลา และยังช่วยให้สามารถปฏิบัติงานได้สอดคล้องกับการปรับปรุงและพัฒนาแผนกลยุทธ์ขององค์กร



ที่มา : วารสารตลาดหลักทรัพย์ประจำเดือนมิถุนายน 2551

Labels: