การพัฒนากลยุทธ์ทางธุรกิจไปสู่กลยุทธ์ทางด้านไอทีด้วยโคบิต 5

การพัฒนากลยุทธ์ทางธุรกิจไปสู่กลยุทธ์ทางด้านไอทีด้วยโคบิต 5

ดร.สันติพัฒน์ อรุณธารี Chief Technology Officer (CTO)

บริษัท พีทีที ไอซีที โซลูชั่นส์ จำกัด

บทคัดย่อ

การดำเนินธุรกิจเชิงบูรณาการเพื่อให้เติบโตอย่างยั่งยืนและสร้างความพึงพอใจให้กับผู้มีส่วนได้เสียอย่างสมดุล ผู้บริหารจะต้องเริ่มตั้งแต่การนำวิสัยทัศน์ พันธกิจตลอดจนหลักการบริหารจัดการด้านธรรมาภิบาลที่ดีมาใช้เป็นกรอบในการดำเนินงานทางธุรกิจ  แต่ปัจจุบันนอกจากการดำเนินธุรกิจอย่างบูรณาการอาจไม่เพียงพอ  เพราะระบบไอทีกลายเป็นส่วนประกอบสำคัญของการดำเนินธุรกิจที่จะช่วยสร้างความได้เปรียบทางการแข่งขันให้กับองค์กร  ดังนั้นนอกเหนือจากหลักการพัฒนากลยุทธ์ทางธุรกิจที่ดีแล้ว  องค์กรยังจำเป็นที่ต้องมีเครื่องมือที่จะช่วยให้ผู้บริหารระดับ C-Level ขององค์กรสามารถข้าใจและนำไปบริหารจัดการไอทีขององค์กรให้กับองค์กรได้อย่างบูรณาการและสัมพันธ์กันอย่างหลีกเลี่ยงไม่ได้  ซึ่งปัจจุบันมาตรฐานหรือกรอบในการปฏิบัติงานที่มุ่งเน้นบริหารงานงานสารสนเทศขององค์กรมีหลายประเภท เช่น กรอบแนวคิด COSO ที่ช่วยบริหารจัดการความเสี่ยงด้านไอที  แนวทางการบริหารงานด้าน IT Service ตามกรอบ  ITIL  หรือ มาตรฐานสากลด้านความปลอดภัยของข้อมูล ISO 27001 เป็นต้น  จากมาตรฐานหรือแนวปฏิบัติที่ได้กล่าวมาแล้ว ผู้บริหารระดับสูงขององค์กรสามารถเลือกใช้รูปแบบที่เหมาะสมสำหรับองค์กรธุรกิจนั้นๆ ได้ แต่องค์กรจะมั่นใจได้อย่างไรว่าการเลือกใช้มาตรฐานหรือหลักในการบริหารงานนั้นๆ จะสามารถบริหารจัดการระบบไอทีและกระบวนการทางด้านไอทีขององค์กรได้สอดคล้องกับเป้าหมายทางด้านธุรกิจ 

ดังนั้นในบทความฉบับนี้จึงได้กล่าวกรอบวิธีปฏิบัติที่สามารถนำไปวางแผนงานทางด้านไอทีให้สอดคล้องกับแผนกลยุทธ์ขององค์กร ได้อย่างเป็นรูปธรรม พร้อมทั้งยกตัวอย่างและแนวทางการวัดผลการปฏิบัติงานไว้อีกด้วย  กรอบวิธีปฏิบัติที่ดีนี้คือกรอบโคบิต 5 โดยปัจจุบันโคบิตได้ถูกปรับปรุงให้ทันสมัยสามารถนำไปปรับใช้ในทุกส่วนงานขององค์กรที่เกี่ยวข้องกับกระบวนการทางด้านไอ ซึ่งไม่เพียงแต่ผู้ตรวจสอบงานสารสนเทศเท่านั้นที่จะนำไปประยุกต์ใช้ได้  กรอบวิธีปฏิบัติโคบิต 5 ยังมีวัตถุประสงค์หลักในการประมวลกรอบและหลักการทางด้านไอที ที่มีอยู่มากมายให้เป็นคู่มือแบบสำเร็จรูปให้ผู้บริหารขององค์กรนำไปใช้บริหารงานทางด้านไอทีได้อย่างเข้าใจและยังเห็นภาพที่เชื่อมโยงระหว่างทิศทางของธุรกิจกับ Road map ของแผนกลยุทธ์ทางด้านไอทีอีกด้วย

กรอบวิธีปฏิบัติ COBIT 5

โลกแห่งการแข่งขันทำให้องค์กรหลายแห่งต้องขับเคลื่อนธุรกิจด้วยการนำระบบไอทีมาเป็นเครื่องมือสร้างความได้เปรียบทางการแข่งขัน และเรามักพบเห็นองค์กรส่วนใหญ่กำหนดงบประมาณทางด้านไอทีไว้มากกว่างบประมาณด้านอื่นๆ อาจเพราะทรัพยากรทางด้านไอที อันได้แก่ Hardware Software หรือแม้แต่ Peopleware ถือเป็นต้นทุนที่มีมูลค่ามหาศาลมากกว่าต้นทุนอื่นๆ ในองค์กร นอกจากนี้การพัฒนาระบบไอทีตามแผนการลงทุนที่ได้กำหนดไว้ ก็ไม่ได้ช่วยสร้างคุณค่าให้กับธุรกิจหรือผู้มีส่วนได้เสียขององค์กรเลย    ดังนั้นองค์กรธุรกิจจำเป็นต้องมีเครื่องมือที่ช่วยให้ปฏิบัติงานได้อย่างมีประสิทธิภาพ  โดยหลักในการบริหารจัดการไอทีที่ได้รับการยอมรับเพราะสร้างคุณค่าให้กับธุรกิจ คือ “กรอบปฏิบัติ COBIT”  ซึ่งเป็นเครื่องมือที่ช่วยในการตรวจสอบของผู้ตรวจสอบภายในให้สามารถทำงานได้อย่างมีประสิทธิภาพ ทั้งยังประกอบไปด้วยกลไกที่ช่วยในการพัฒนากลยุทธ์ทางด้านไอทีให้กับองค์กรธุรกิจในปัจจุบันได้เป็นอย่างดี  ทำให้มั่นใจได้ว่าการวางแผนกลยุทธ์ทางด้านไอทีขององค์กรตามกรอบปฏิบัติของ COBIT 5 จะสามารถตอบสนองความต้องการของธุรกิจด้วยภาพที่สามารถเชื่อมโยงไอทีและธุรกิจเข้าหากันได้อย่างลงตัว

สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ (ISACA International) หรือเรียกกันทั่วไปว่า “ISACA” ได้พัฒนากรอบวิธีปฏิบัติ COBIT (COBIT Framework) มาตั้งแต่ปี 1996 จากเวอร์ชั่น 1- 2- 3 - 4/4.1 และในปัจจุบัน COBITได้พัฒนาให้อยู่ในเวอร์ชั่น 5 ซึ่งได้เริ่มประกาศให้ใช้อย่างเป็นทางการในปี 2012 นี้ โดยมีความแตกต่างจาก COBIT 4 และ 4.1 อย่างมาก  เพราะ ISACA ต้องการปรับปรุงกรอบวิธีปฏิบัติดังกล่าวให้เป็นเครื่องมือที่ครอบคลุมหลักการบริหารงานทั้งทางด้านธุรกิจและไอที  ทั้งนี้วิธีการจัดการและดำเนินงานของ COBIT 5 จะช่วยเปลี่ยนกลยุทธ์ทางธุรกิจไปสู่กลยุทธทางด้านไอที รวมถึงเปลี่ยนกลยุทธ์เหล่านั้นไปสู่วิธีปฏิบัติที่แท้จริงได้ ตามวัตถุประสงค์ทางธุรกิจที่ได้กำหนดไว้

การแปลงกลยุทธ์ทางธุรกิจไปสู่แผนกลยุทธ์ด้านไอที

ดังนั้นการที่จะนำ COBIT 5 มาช่วยพัฒนากลยุทธ์ทางด้านธุรกิจไปสู่กลยุทธ์และกระบวนทางปฏิบัติทางด้านไอทีอย่างสอดคล้องกัน จะต้องทำความเข้าใจในเรื่องดังต่อไปนี้

1.       การแปลง Stakeholder Need ให้กลายไปเป็น Enterprise Goal

2.       ความแตกต่างระหว่างหน้าที่ของการกำกับดูแล (Governance) และหน้าที่ของการจัดการ (Management)  

3.       ศึกษาวิธีการแปลงกลยุทธ์ไปสู่วิธีปฏิบัติ 

1.    การแปลง Stakeholder Need ให้กลายไปเป็น Enterprise Goal ตามกฎ 1B 2R

คือการแปลงความต้องการของผู้มีส่วนได้เสียให้กลายเป็น Enterprise Goal หรือที่รู้จักกันว่า Business Goal  แล้วจึงกำหนดเป็น IT Goal และกลายเป็นกระบวนการปฏิบัติทางด้านไอที  ซึ่งสามารถอธิบายกระบวนการแปลง Stakeholder need ได้ตาม Frame work ของภาพของฝั่ง A

ตามภาพที่ 1 กรอบในการแปลง stakeholder need ข้างต้นแสดงให้เห็นว่าผู้มีส่วนได้เสียจะต้องพิจารณาจาก กฎ  “1B + 2R” มีรายละเอียดดังต่อไปนี้

1 B มาจากคำว่า                                                           - Benefit Realization

และ 2R มาจากคำว่า                                                    - Risk Optimization

        และ                                                                         - Resource Optimization                จากกฎ 1B 2R สามารถอธิบายขั้นตอนการกำหนด stakeholder need ว่ามีมุมมองที่เกี่ยวข้องที่ตามวัตถุประสงค์ 3 ด้าน ได้แก่

o   การบรรลุผลประโยชน์ที่องค์กรกำหนดไว้ (Benefit Realization)

o   การบริหารจัดการความเสี่ยงอย่างเหมาะสม (Risk Optimization)

o   การบริหารจัดการทรัพยากรได้อย่างเหมาะสม (Resource Optimization) 

2.     ความแตกต่างระหว่างหน้าที่ของการกำกับดูแล (Governance) และหน้าที่ของการจัดการ (Management)

COBIT 5 ได้ให้นิยามชัดเจนว่าอะไรคืองานของ Governance และอะไรคืองานของ Management และทำการแบ่งแยกหน้าที่ของงานออกจากกันอย่างชัดเจน เพื่อสามารถเข้าใจได้ง่ายขึ้นกว่าเวอร์ชั่นเดิม ทั้งนี้ได้แบ่งงานเป็น 2 ด้านหลักๆ ดังนี้

2.1    Governance ของ COBIT 5 คือ  EDM ประกอบไปด้วย

                                                               i.      การประเมิน (Evaluate)

                                                              ii.      การกำกับ (Direct)

                                                            iii.      การตรวจสอบ (Monitor)

2.1    อง Management ของ COBIT ที่เคยแบ่งเป็น 4 domains ใน COBIT 5 ได้ถูกแปลงมาเป็น 4 หัวข้อหลักซึ่งใกล้เคียงกับตัวเดิม เพื่อบอกว่ากระบวนการอะไรบ้างในไอทีที่องค์กรจะต้องทำในระดับของ Management

Domain Align, Plan and Organize (APO)

Built, Acquire & Implement Built (BAI)

Run หรือ Deliver, Service & support (DSS)

Monitor, Evaluate & Assess (MEA)

หนึ่งในความแตกต่างที่มีความใกล้เคียง COBIT 4 คือการขยายความจาก 4 Domains หลักไปสู่ การทำ APO ไปจนถึง MEA ซึ่งเป็นการขยายความรูปวงกลม แปลงเปลี่ยนไปยังภาพด้านขวามือ

ตามภาพที่ 2 พัฒนาการของ COBIT 4 ไป COBIT 5 มีความแตกต่างในเรื่องการแบ่งแยกงานของ “การกำกับดูแล” และ “การบริหารจัดการ” เพื่อให้ผู้นำไปใช้สามารถชี้เฉพาะถึง เรื่องที่เกี่ยวข้องและแบ่งขอบเขตกระบวนการทางด้านไอทีได้อย่างถูกต้อง นำไปใช้และเข้าใจได้ง่ายอีกด้วย

1.       ศึกษาวิธีการแปลงกลยุทธ์ไปสู่วิธีปฏิบัติ 

การแปลงกลยุทธ์ไปสู่วิธีปฏิบัติตามกรอบ COBIT 5 มีขั้นตอนการดำเนินงานระบุไว้ในคู่มือของ COBIT ชื่อว่า “COBIT 5 Framework” A business framework for the Governance and management of enterprise IT                                        

(http://www.isaca.org/COBIT/Pages/Product-Family.aspx) ซึ่งกรอบในการ implement ประกอบด้วยขั้นตอนดังต่อไปนี้

3.1 แปลง Stakeholder need ไปสู่ Enterprise goal

3.2 กำหนด Enterprise goal ตาม 4 มุมมอง (Perspective) ของ Balanced Scorecard (BSC)

3.3 แปลง Enterprise goal ไปสู่ IT Related goal

3.4 แปลง IT Related goal ไปสู่ IT Process

ขั้นตอนที่ 3.1 แปลงความต้องการของผู้มีส่วนได้เสีย (Stakeholder need) ไปสู่เป้าหมายของทั้งองค์กร (Enterprise goal) 

พิจารณาตั้งแต่ Stakeholder need คือใครบ้าง มีความคาดหวังอะไรบ้างกับองค์กร เพื่อใช้เป็นหลักในการกำกับดูแลองค์กร Governance ที่ควรจะมองให้ครอบคลุมทุกกลุ่มของ Stakeholder เช่น ผู้ถือหุ้น ผู้บริหาร พนักงานขององค์กรทุกระดับ ลูกค้า คู่ค้า ประชาชน และสังคม เป็นต้น  COBIT 5 ได้จัดเตรียมประเด็นคำถามไว้เป็นแนวทางในการ Implement ไว้ในคู่มือ COBIT 5 Framework หน้าที่ 55-56  figure 24 หัวข้อ “Mapping COBIT 5 Enterprise Goals to Governance and management questions” มีทั้งหมด 22 คำถาม ซึ่งหนึ่งในคำถามที่ COBIT แนะนำไว้คือ “How do I get value from the use of IT?” และ “Are end users satisfied with the quality of the IT service?” ซึ่งจากคำถามดังกล่าวมี Enterprise Goal ที่จะสามารถตอบคำถามดังกล่าวได้ 7 ข้อดังต่อไปนี้

Enteprise goal                                     ข้อ 1  Stakholder value of business investments

ข้อ 2  Porfolio of competitive products

                                                                ข้อ 6  Customer-orinted service culture

                                                                ข้อ 7  Business service continuty and avaliaablity

ข้อ 13 Managed business change programes

ข้อ 16 Skilled and motivated people

ข้อ 17 Product and busienss innovation culture

                  การนำ Enterprise goal มาใช้ ท่านสามารถเลือกได้ว่าจะใช้ Enterprise goal ข้อใดก็ได้ ไม่จำเป็นต้องนำไปใช้ทั้งหมด แต่ควรเลือกใช้ให้เหมาะกับองค์กรของท่าน 

นำ Enterprise goal ที่เลือกตามข้อ 3.1 มา Mapping ว่าตรงกับวัตถุประสงค์ใดของ Balanced Scorecard 4 ด้านในมุมมองไหนบ้าง ซึ่งขึ้นอยู่กับว่าองค์กรจะให้ความสำคัญกับเรื่องใดเป็นหลัก ทั้งนี้ต้องระบุเป้าหมายทางด้านไอที (Enterprise Goal or Business Goal) ตาม Balanced Scorecard (BSC) 4 มุมมอง ดังตัวอย่างในหน้า 19 Figure 5  COBIT Enterprise Goals ตารางที่ 1 ซึ่งครอบคลุมวัตถุประสงค์ของการกำกับดูแลภายใต้ 3 องค์ประกอบดังนี้

จากตารางที่ 1 ด้านบน จะเห็นได้ว่ากรอบวิธีปฏิบัติ COBIT ประกอบไปด้วยวิธีการ Mapping Enterprise goal ไว้กับ BSC ได้อย่างสมบูรณ์ ซึ่งจะทำให้สามารถนำมาใช้ในองค์กรได้ง่ายและเข้าใจภาพได้ดียิ่งขึ้น ตลอดจนเห็นภาพความเชื่อมโยงว่าครอบคลุม Governance ในเรื่องใดบ้าง และจัดลำดับความสำคัญไว้อย่างครบถ้วน P คือ Primary หมายถึง การให้ความสำคัญเป็นอันดับแรกๆ ส่วน S คือ Secondary หมายถึง การให้ความสำคัญในเรื่องดังกล่าวเป็นอันดับถัดไป

ขั้นตอนที่ 3.3

กำหนดเป้าหมายทางด้านไอทีที่วางไว้ (IT-related goals) โดยสนับสนุน Enterprise goal ข้อที่ 1 เรื่อง Stakeholder value of business investments ซึ่งอยู่ในหน้า 50 Figure 22 จากคู่มือ COBIT 5 Framework ประกอบไปด้วยตัวอย่างการ Mapping  ดังต่อไปนี้

                ข้อ 1 Stakeholder value of business investments ประกอบด้วย IT related goal ที่ฝ่าย IT จะต้องดำเนินการให้บรรลุเป้าหมาย โดยกระบวนการด้านไอทีที่ต้องดำเนินการเป็นอันดับแรกๆ จะถูกกำหนดด้วยสัญลักษณ์ “P” และกระบวนการที่จะต้องดำเนินการลำดับถัดไปจะถูกกำหนดด้วย “S” ซึ่งสามารถ Mapping ได้ดังต่อไปนี้

ขั้นตอนที่ 3.4  แปลง IT Related goal ไปสู่ IT Process

หลังจากนั้นเป็นกระบวนการทางด้านไอที ตามคู่มือหน้า 52-53 เรื่อง COBIT 5 Framework ซึ่งแบ่งออกเป็น 2 ส่วนงานหลัก ได้แก่ งานทางด้าน Governance และ งานทางด้าน Management  ทั้งนี้การกำหนดกระบวนการที่เกี่ยวข้องจะปรากฎในหน้า 52 – 53 figure 23 สรุปเป็นตัวอย่างได้ว่าการกำหนด Enterprise goal หัวข้อเรื่อง IT relagted, Alignment of IT and Business strategy  โดยขอบเขตของ Governance ที่สำคัญคือ Framework setting and maintenance และเรื่อง Benefits delivery ซึ่งต้องตามด้วยกระบวนการที่สำคัญอะไรบ้าง และขอบเขตกระบวนการย่อยที่เกี่ยวข้องประกอบด้วยอะไรบ้าง ดังนี้ 

ตัวอย่างการแปลงกลยุทธ์ไปสู่วิธีปฏิบัติตามกรอบในการนำ COBIT 5

ภาพที่ 4 แสดงการแปลงกลยุทธ์ไปสู่วิธีปฏิบัติตามกรอบในการนำ COBIT 5

           วิธีการแปลงกลยุทธ์ทางธุรกิจไปสู่กลยุทธ์และกระบวนการไอทีที่เกี่ยวข้องตาม COBIT 5 ดังกล่าวข้างต้น เป็นเพียงตัวอย่างของการนำ COBIT ไปปรับใช้สำหรับองค์กรของท่าน ที่จะช่วยสร้างคุณค่าให้กับผู้มีส่วนได้เสียขององค์กร อันได้แก่  ผู้ถือหุ้น พนักงานขององค์กร ผู้บริหารขององค์กร หน่วยงานกำกับดูแล ลูกค้า คู่ค้าและประชาชน ก่อให้เกิดประโยชน์ครอบคลุมทั้งผู้ส่วนได้เสียทั้งภายในและภายนอกอย่างเหมาะสม

              จากตัวอย่างการแปลงกลยุทธ์ไปสู่วิธีปฏิบัติ  ทุกท่านจะสามารถเข้าใจได้ง่ายขึ้นไม่ว่าท่านจะเป็นผู้ตรวจสอบภายใน หรือแม้แต่ผู้ปฏิบัติงานด้านไอที ก็สามารถนำ COBIT 5 ไปประยุกต์ใช้ให้เหมาะสมกับองค์กรได้เช่นเดียวกัน นอกจากนี้ท่านยังสามารถนำวิธีการพัฒนากลยุทธ์ไปสู่การปฏิบัติจริงตามที่ได้สรุปมาแล้วไปปรับใช้ได้ โดยดาวน์โหลดคู่มือการใช้งาน COBIT 5 Framework A Business Framework for the governance and management of Enterprise IT ได้ที่
http://www.isaca.org/COBIT/Pages/Product-Family.aspx

ที่มา COBIT 5 Framework ; http://isaca.org