- IT Governance และเครื่องมือช่วยทำให้เกิด IT Governance
หลักในการบริหารจัดการด้านไอทีเรียกว่า
IT
governance ซึ่งเมื่อกล่าวถึง IT Governance คือการที่องค์กรมุ่งเน้นประโยชน์จากการนำไอทีมาใช้เพื่อให้องค์กรสามารถดำเนินธุรกิจได้ตามเป้าหมาย
2 ด้านคือ
ทั้ง 2 ด้านดังกล่าวคือประโยชน์ที่ธุรกิจจะได้รับจากการที่องค์กรมี
ธรรมาภิบาลด้านไอทีหรือที่เรียกว่า IT
Governance ทั้งนี้ IT Governance จะสามารถเกิดขึ้นได้ในองค์กรอาจทำโดยเครื่องมือที่ช่วยในการขับเคลื่อนให้องค์กรเกิด
IT Governance เรียกว่า Cobit ซึ่งเครื่องมือหรือกรอบวิธีปฏิบัติโคบิตดังกล่าวเป็นเครื่องมือสมาคมผู้ตรวจสอบเทคโนโลยีสารสนเทศ
(ISACA) พัฒนามาใช้ตั้งแต่เวอร์ชั่น2 -3
สำหรับผู้ตรวจสอบทางด้านไอที Cobit มีวิวัฒนาการมากยิ่งขึ้นนอกจากใช้เป็นเครื่องมือตรวจสอบแล้วยังใช้เป็นเครื่องมือที่ช่วยตั้งแต่วางแผนกลยุทธ์ให้กับองค์กรในการนำไอทีมาใช้เพราะตั้งแต่โคบิต
4
เป็นต้นมากรอบวิธีปฏิบัติได้พัฒนาการเชื่อมโยงกระบวนการหลักทางด้านไอที 4 ด้าน เข้ากับเป้าหมายทางธุรกิจตามหลัก BSC ไว้ตั้งแต่การวางแผนและการจัดการองค์กรของตน
จึงเห็นได้ว่าปัจจุบันกรอบวิธีปฏิบัติโคบิตได้กลายเป็นที่นิยมแพร่หลายในวงการตรวจสอบไอทีและ
IT management สำหรับองค์กรธุรกิจอีกด้วย จนปัจจุบัน ISACA ได้พัฒนาจนถึงเวอร์ชั่น 5
ล่าสุดครอบคลุมหลักการในการบริหารจัดการไอทีที่เป็นรูปธรรมมากยิ่งขึ้น
กรอบวิธีปฏิบัติโคบิตสามารถนำมาใช้วางแผนกลยุทธ์ให้กับองค์กรและนำมาใช้เป็นเครื่องมือช่วยผู้ตรวจสอบภายด้านไอทีใช้เป็น
checklist
ช่วยตรวจสอบเพื่อสร้างความมั่นใจให้กับองค์กรนั้นๆ ว่ากระบวนการปฏิบัติงานเหล่านั้นตั้งแต่การวางแผน
การจัดหาและติดตั้ง การพัฒนาระบบ ตลอดจนกระบวนการควบคุมและตรวจสอบ
องค์กรของท่านได้ดำเนินงานอย่างมีระเบียบแบบแผนอย่างมีขั้นมีตอนตลอดจนตรวจสอบการทำงานที่เกี่ยวข้องกับกระบวนการด้านไออย่างโปร่งใส
การวางรากฐานขององค์กรให้ดำเนินธุรกิจและใช้ไอทีตามหลัก
IT
governance เป็นสิ่งสำคัญอย่างยิ่งที่จะช่วยให้องค์กรสามารถบริหารจัดการไอทีทั่วทั้งองค์กรได้อย่างเหมาะสม
และเกิดประโยชน์คุณค่ากับองค์กรสูงสุด โดยอาศัยเครื่องมือเช่น Cobit
framework ITIL CMMI กรอบวิธีปฏิบัติหรือมาตรฐานในการทำงาน เป็นต้น
หากนำมาเลือกใช้อย่างเหมาะสมแล้วจะเป็นตัวขับเคลื่อนองค์กรให้ใช้ไอทีในการสร้างศักยภาพทางการแข่งขันให้ต่อสู้ในโลกธุรกิจปัจจุบันที่ได้
-
IT Governance VS GRC
หลักของการบริหารจัดการไอทีตาม IT
Governance เป็นเพียงเครื่องมือที่ช่วยบริหารจัดการไอทีขององค์กรให้มีประสิทธิภาพเท่านั้น
แต่การที่องค์กรขนาดใหญ่จะอยู่ดำเนินธุรกิจอยู่รอดภายใต้คู่แข่งขันมากมายและทำอย่างไรธุรกิจจะเจริญเติบโตอย่างยั่งยืนและมั่นคงต่อไปได้นั้น
นอกจากการนำไอทีมาใช้แล้ว หลักในการบริหารจัดการองค์กรอย่างยั่งยืนที่ได้รับการยอมรับและนำมาใช้อย่างแพร่หลายและอาจเรียกได้ว่าเป็นยุคของ
GRC ก็ว่าได้ เพราะแนวคิด GRC เป็นการรวมส่วนประกอบหลักของการบริหารจัดการธุรกิจทั่วทั้งองค์กรภายใต้
3 แนวคิดหลักได้แก่ Governance Risk และ
compliance ที่ได้รวมเข้ากันอย่างสอดคล้องสัมพันธ์กัน
ดังนั้นหลักธรรมาภิบาลด้านไอทีที่ดีของ
IT
Governance กลายเป็นส่วนหนึ่งของความสำเร็จที่จะช่วยองค์กรธุรกิจบริหารจัดการองค์กรได้ตั้งแต่การวางแผน
การจัดหาการพัฒนาและติดตั้ง ตลอดจนกระบวนการในการควบคุมและตรวจสอบ ครอบคลุม 4
กระบวนการหลักด้านไอที
ทำไมองค์กรต้องมี
GRC
GRC มาจากคำว่า
Governance Risk and Compliance
·
G : Governance : ครอบคลุมด้านนโยบาย
หน้าที่ความรับผิดชอบของผู้บริหารระดับสูงขององค์กรที่จะต้องกำหนดนโยบาย ทิศทาง
ตามวิสัยทัศน์ ที่ได้วางไว้เป็นแบบอย่างให้กับองค์กร เช่น
นโยบายในการบริหารธุรกิจอย่างโปร่งใส การดำเนินกิจการโดยใช้กลยุทธ์แบบ Synergy
group เป็นต้น
·
R: Risk คือหลักในการบริหารความเสี่ยงขององค์กรที่ครอลคลุมการบริหารความเสี่ยง
4 ด้านหลัก Operational
risk, IT risk,,……… ตลอดจนความเสี่ยงด้านกลยุทธ์ขององค์กรที่อาจทำให้องค์กรไม่ประสบความสำเร็จในการดำเนินงานได้เช่น
การประเมินความเสี่ยงในการดำเนินธุรกิจ จัดการความเสี่ยงที่อาจจำเกิดขึ้น
การยอมรับกับความเสี่ยงนั้นๆ ได้ เป็นต้น
·
C: Compliance
คือการปฏิบัติตามระเบียบข้อบังคับขององค์กร ที่ได้กำหนดไว้
โดยจะต้องสอดคล้องกับวิสัยทัศน์ เช่น
การปฏิบัติตามกฎหมายพระราชบัญญํติ ..... การที่องค์กรปฏิบัติตาม CMMI ในการพัฒนาโปรแกรมเพราะองค์กรดำเนินธุรกิจแบบพัฒนาซอฟแวร์
ธุรกิจหลักคือพัฒนาโปรแกรมขายลูกค้า ดังนั้นกรอบในการดำเนินงานจึงต้องได้รับการรับรองเป็นมาตรฐานสากล
เพื่อให้องค์กรต่างๆ ที่ใช้บริการยอมรับในสินค้าและบริการ เป็นต้น
·
การนำ GRC
มาใช้งาน
แม้ว่า G ,
R และ C จะเป็นหลักในการบริหารจัดการองค์กรที่เกิดขึ้นมานานแล้ว
แต่เมื่อเวลาเปลี่ยนแปลงไป เทคโนโลยีมีความทันสมัยมากยิ่งขึ้น
มาตรฐานหรือกรอบในการทำงานจะต้องถูกพัฒนาขึ้นอย่างต่อเนื่องให้ทันกับการเปลี่ยนแปลง
ดังนั้นแม้เป็นเพียงกรอบ GRC ก็พบว่ามีการเปลี่ยนแปลงปรับปรุงให้ทันสมัยอยู่เสมอ
จากเดิมกล่าถึงคำว่า “G” , “R” , “C” แยกจากกันต่างแผนกกันต่างทำ
แล้วต่างพูดกันว่าองค์กรมีการทำ GRC เรียบร้อยแล้ว
กรอบดังกล่าวเป็นความเชื่อที่ผิด เนื่องจากปัจจุบันวิธีการพัฒนา GRC ให้เกิดขึ้นในองค์กรจะต้องพัฒนาในเชิงบูรณณาการหรือเรียกว่า GRC
integrated เพราะการแบ่งแยกพัฒนาทีละ module ทีละเรื่องโดยแยกจากกันไม่คุยกัน
จะทำให้องค์กรได้รับ solutions ที่แบ่งแยกกันอย่างชัดเจน
การปรับแก้ไขทำได้ยากในอนาคต และทำให้เกิดความซ้ำซ้อนของข้อมูลในระบบเมื่อทำการ integrate
กันแล้ว ซึ่งไม่ก่อให้เกิดประโยชน์กับองค์กร
โดยปกติการ implement GRC ขององค์กร หลายองค์กรโดยเฉพาะหน่วยงาน Regulator เช่น
สคร ตลาดหลักทรัพย์แห่งประเทศไทย ต่างใช้ GRC เป็นเครื่องมือในการประเมินความสามารถของการบริหารจัดการองค์กรตามแนวคิดของ
COSO ที่องค์กรมุ่งเน้นการออกรายงานทางการเงินที่ถูกต้องเพื่อให้เกิดความน่าเชื่อถือต่อองค์กรธุรกิจนั้นๆ
มากยิ่งขึ้น ประกอบกับ Regulator หลายทีนำ COSO มาเป็นต้นแบบในการประเมินผลการปฏิบัติงาน จึงไม่แปลกอะไรเลยถ้าเราจะเห็นองค์เหล่านี้มีการนำ
COSO framework มาใช้ทำ GRC ตัวอย่าง product
ที่ใช้ framework coso ในการพัฒนา GRC