COBIT กับการวางแผนกลยุทธ์ IT

องค์กรธุรกิจระดับสากลจึงได้นำแนวคิดการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีหรือที่รู้จักกันอย่างแพร่หลายว่า “ไอทีภิบาล” (IT Governance) มาปรับใช้เป็นแนวทาง เพื่อสร้างความเชื่อมั่นให้กับองค์กรว่าจะสามารถบริหารจัดการกระบวนการทำงานทางด้านไอทีให้มีความสอดประสานกับวัตถุประสงค์ขององค์กร (IT Alignment)

Thursday, May 24, 2012

- IT Governance และเครื่องมือช่วยทำให้เกิด IT Governance


หลักในการบริหารจัดการด้านไอทีเรียกว่า IT governance ซึ่งเมื่อกล่าวถึง IT Governance คือการที่องค์กรมุ่งเน้นประโยชน์จากการนำไอทีมาใช้เพื่อให้องค์กรสามารถดำเนินธุรกิจได้ตามเป้าหมาย 2 ด้านคือ
ทั้ง 2 ด้านดังกล่าวคือประโยชน์ที่ธุรกิจจะได้รับจากการที่องค์กรมี ธรรมาภิบาลด้านไอทีหรือที่เรียกว่า  IT Governance ทั้งนี้ IT Governance จะสามารถเกิดขึ้นได้ในองค์กรอาจทำโดยเครื่องมือที่ช่วยในการขับเคลื่อนให้องค์กรเกิด IT Governance เรียกว่า Cobit ซึ่งเครื่องมือหรือกรอบวิธีปฏิบัติโคบิตดังกล่าวเป็นเครื่องมือสมาคมผู้ตรวจสอบเทคโนโลยีสารสนเทศ (ISACA) พัฒนามาใช้ตั้งแต่เวอร์ชั่น2 -3 สำหรับผู้ตรวจสอบทางด้านไอที Cobit  มีวิวัฒนาการมากยิ่งขึ้นนอกจากใช้เป็นเครื่องมือตรวจสอบแล้วยังใช้เป็นเครื่องมือที่ช่วยตั้งแต่วางแผนกลยุทธ์ให้กับองค์กรในการนำไอทีมาใช้เพราะตั้งแต่โคบิต 4 เป็นต้นมากรอบวิธีปฏิบัติได้พัฒนาการเชื่อมโยงกระบวนการหลักทางด้านไอที 4 ด้าน เข้ากับเป้าหมายทางธุรกิจตามหลัก BSC ไว้ตั้งแต่การวางแผนและการจัดการองค์กรของตน จึงเห็นได้ว่าปัจจุบันกรอบวิธีปฏิบัติโคบิตได้กลายเป็นที่นิยมแพร่หลายในวงการตรวจสอบไอทีและ IT management สำหรับองค์กรธุรกิจอีกด้วย จนปัจจุบัน ISACA ได้พัฒนาจนถึงเวอร์ชั่น 5 ล่าสุดครอบคลุมหลักการในการบริหารจัดการไอทีที่เป็นรูปธรรมมากยิ่งขึ้น
กรอบวิธีปฏิบัติโคบิตสามารถนำมาใช้วางแผนกลยุทธ์ให้กับองค์กรและนำมาใช้เป็นเครื่องมือช่วยผู้ตรวจสอบภายด้านไอทีใช้เป็น checklist ช่วยตรวจสอบเพื่อสร้างความมั่นใจให้กับองค์กรนั้นๆ ว่ากระบวนการปฏิบัติงานเหล่านั้นตั้งแต่การวางแผน การจัดหาและติดตั้ง การพัฒนาระบบ ตลอดจนกระบวนการควบคุมและตรวจสอบ องค์กรของท่านได้ดำเนินงานอย่างมีระเบียบแบบแผนอย่างมีขั้นมีตอนตลอดจนตรวจสอบการทำงานที่เกี่ยวข้องกับกระบวนการด้านไออย่างโปร่งใส
การวางรากฐานขององค์กรให้ดำเนินธุรกิจและใช้ไอทีตามหลัก IT governance เป็นสิ่งสำคัญอย่างยิ่งที่จะช่วยให้องค์กรสามารถบริหารจัดการไอทีทั่วทั้งองค์กรได้อย่างเหมาะสม และเกิดประโยชน์คุณค่ากับองค์กรสูงสุด โดยอาศัยเครื่องมือเช่น Cobit framework ITIL CMMI กรอบวิธีปฏิบัติหรือมาตรฐานในการทำงาน เป็นต้น หากนำมาเลือกใช้อย่างเหมาะสมแล้วจะเป็นตัวขับเคลื่อนองค์กรให้ใช้ไอทีในการสร้างศักยภาพทางการแข่งขันให้ต่อสู้ในโลกธุรกิจปัจจุบันที่ได้ 

-      IT Governance VS GRC
หลักของการบริหารจัดการไอทีตาม IT Governance เป็นเพียงเครื่องมือที่ช่วยบริหารจัดการไอทีขององค์กรให้มีประสิทธิภาพเท่านั้น แต่การที่องค์กรขนาดใหญ่จะอยู่ดำเนินธุรกิจอยู่รอดภายใต้คู่แข่งขันมากมายและทำอย่างไรธุรกิจจะเจริญเติบโตอย่างยั่งยืนและมั่นคงต่อไปได้นั้น นอกจากการนำไอทีมาใช้แล้ว หลักในการบริหารจัดการองค์กรอย่างยั่งยืนที่ได้รับการยอมรับและนำมาใช้อย่างแพร่หลายและอาจเรียกได้ว่าเป็นยุคของ GRC ก็ว่าได้ เพราะแนวคิด GRC เป็นการรวมส่วนประกอบหลักของการบริหารจัดการธุรกิจทั่วทั้งองค์กรภายใต้ 3 แนวคิดหลักได้แก่ Governance Risk และ compliance ที่ได้รวมเข้ากันอย่างสอดคล้องสัมพันธ์กัน
ดังนั้นหลักธรรมาภิบาลด้านไอทีที่ดีของ IT Governance กลายเป็นส่วนหนึ่งของความสำเร็จที่จะช่วยองค์กรธุรกิจบริหารจัดการองค์กรได้ตั้งแต่การวางแผน การจัดหาการพัฒนาและติดตั้ง ตลอดจนกระบวนการในการควบคุมและตรวจสอบ ครอบคลุม 4 กระบวนการหลักด้านไอที

 ทำไมองค์กรต้องมี GRC
GRC มาจากคำว่า Governance Risk and Compliance
·        G : Governance : ครอบคลุมด้านนโยบาย หน้าที่ความรับผิดชอบของผู้บริหารระดับสูงขององค์กรที่จะต้องกำหนดนโยบาย ทิศทาง ตามวิสัยทัศน์ ที่ได้วางไว้เป็นแบบอย่างให้กับองค์กร เช่น นโยบายในการบริหารธุรกิจอย่างโปร่งใส การดำเนินกิจการโดยใช้กลยุทธ์แบบ Synergy group เป็นต้น
·        R: Risk คือหลักในการบริหารความเสี่ยงขององค์กรที่ครอลคลุมการบริหารความเสี่ยง 4 ด้านหลัก  Operational risk, IT risk,,……… ตลอดจนความเสี่ยงด้านกลยุทธ์ขององค์กรที่อาจทำให้องค์กรไม่ประสบความสำเร็จในการดำเนินงานได้เช่น การประเมินความเสี่ยงในการดำเนินธุรกิจ จัดการความเสี่ยงที่อาจจำเกิดขึ้น การยอมรับกับความเสี่ยงนั้นๆ ได้ เป็นต้น
·        C:  Compliance คือการปฏิบัติตามระเบียบข้อบังคับขององค์กร ที่ได้กำหนดไว้ โดยจะต้องสอดคล้องกับวิสัยทัศน์  เช่น การปฏิบัติตามกฎหมายพระราชบัญญํติ ..... การที่องค์กรปฏิบัติตาม CMMI ในการพัฒนาโปรแกรมเพราะองค์กรดำเนินธุรกิจแบบพัฒนาซอฟแวร์ ธุรกิจหลักคือพัฒนาโปรแกรมขายลูกค้า ดังนั้นกรอบในการดำเนินงานจึงต้องได้รับการรับรองเป็นมาตรฐานสากล เพื่อให้องค์กรต่างๆ ที่ใช้บริการยอมรับในสินค้าและบริการ เป็นต้น

        ·           การนำ GRC มาใช้งาน
แม้ว่า G , R และ C จะเป็นหลักในการบริหารจัดการองค์กรที่เกิดขึ้นมานานแล้ว แต่เมื่อเวลาเปลี่ยนแปลงไป เทคโนโลยีมีความทันสมัยมากยิ่งขึ้น มาตรฐานหรือกรอบในการทำงานจะต้องถูกพัฒนาขึ้นอย่างต่อเนื่องให้ทันกับการเปลี่ยนแปลง ดังนั้นแม้เป็นเพียงกรอบ GRC ก็พบว่ามีการเปลี่ยนแปลงปรับปรุงให้ทันสมัยอยู่เสมอ จากเดิมกล่าถึงคำว่า “G” , “R” , “C” แยกจากกันต่างแผนกกันต่างทำ แล้วต่างพูดกันว่าองค์กรมีการทำ GRC เรียบร้อยแล้ว กรอบดังกล่าวเป็นความเชื่อที่ผิด เนื่องจากปัจจุบันวิธีการพัฒนา GRC ให้เกิดขึ้นในองค์กรจะต้องพัฒนาในเชิงบูรณณาการหรือเรียกว่า GRC integrated เพราะการแบ่งแยกพัฒนาทีละ module ทีละเรื่องโดยแยกจากกันไม่คุยกัน จะทำให้องค์กรได้รับ solutions ที่แบ่งแยกกันอย่างชัดเจน การปรับแก้ไขทำได้ยากในอนาคต และทำให้เกิดความซ้ำซ้อนของข้อมูลในระบบเมื่อทำการ integrate กันแล้ว  ซึ่งไม่ก่อให้เกิดประโยชน์กับองค์กร
โดยปกติการ implement GRC ขององค์กร หลายองค์กรโดยเฉพาะหน่วยงาน Regulator เช่น สคร ตลาดหลักทรัพย์แห่งประเทศไทย ต่างใช้ GRC เป็นเครื่องมือในการประเมินความสามารถของการบริหารจัดการองค์กรตามแนวคิดของ COSO ที่องค์กรมุ่งเน้นการออกรายงานทางการเงินที่ถูกต้องเพื่อให้เกิดความน่าเชื่อถือต่อองค์กรธุรกิจนั้นๆ มากยิ่งขึ้น ประกอบกับ Regulator หลายทีนำ COSO มาเป็นต้นแบบในการประเมินผลการปฏิบัติงาน  จึงไม่แปลกอะไรเลยถ้าเราจะเห็นองค์เหล่านี้มีการนำ COSO framework มาใช้ทำ GRC ตัวอย่าง product ที่ใช้ framework coso ในการพัฒนา GRC 


Labels: , ,