COBIT
กรอบงานโคบิต (CoBIT Framework)
- 1.1 ภาพรวมของโคบิต
โคบิตได้รับการพัฒนาขึ้นในปี 1992
โดยสมาคมการควบคุมและการตรวจสอบระบบสารสนเทศ หรือ The Information Systems
Audit and Control Association (ISACA) และ สถาบันเทคโนโลยีสารสนเทศาภิบาล
หรือ Information Technology Governance Institute (ITGI)
เป็นผู้ดูแลในปัจจุบัน (ซึ่ง ISACA และ ITGI
เป็นองค์กรชั้นนำในด้านของการตรวจสอบและการควบคุมด้านเทคโนโลยีสารสนเทศ
ระดับโลกที่ตั้งอยู่ในประเทศสหรัฐอเมริกา) โคบิตเวอร์ชันแรก (CoBIT 1st
edition) ได้รับการตีพิมพ์และเผยแพร่ในปี 1996
จากนั้นได้มีการปรับปรุงเป็นเวอร์ชันที่ 2 (CoBIT 2rdedition) ในปี 1998
โดยในเวอร์ชันที่ 2
มีการเพิ่มเติมแหล่งข้อมูลและมีการทบทวนเนื้อหาในส่วนของวัตถุประสงค์การควบ
คุมหลักและเนื้อหาอื่นๆ บางส่วน ต่อมาได้มีการพัฒนาเป็นเวอร์ชันที่ 3
(CoBIT 3 edition) ในปี 2000 (ส่วนที่เป็น on-line edition
ได้รับการเผยแพร่ในปี 2003) และเวอร์ชันที่ 4 (CoBIT 4.0)
ซึ่งเป็นเวอร์ชันล่าสุดโดยได้มีการเผยแพร่ในเดือนธันวาคมปี 2005
โดยเป็นการปรับปรุงเนื้อหาให้มีความใกล้เคียงกับมาตรฐานสากลต่างๆ เช่น
Sarbanes-Oxley Act. เป็นต้น
สถาบันเทคโนโลยีสารสนเทศาภิบาล (ITGI) จัดตั้งขึ้นเมื่อปีค.ศ. 1998 โดยสมาคมการควบคุมและตรวจสอบระบบสารสนเทศ (ISACA) และสมาคมอื่นๆ ที่เกี่ยวข้อง โดยมีวัตถุประสงค์เพื่อเสริมสร้างความเข้าใจและนำหลักการด้านการกำกับดูแล ที่ดีด้านเทคโนโลยีสารสนเทศมาใช้งาน โดยมีการเพิ่มเติมแนวทางในการบริหาร หรือ แนวทางสำหรับผู้บริหาร (Management Guideline) เข้ามาในโคบิตเวอร์ชันที่ 3 รวมถึงการเสริมสร้างและยกระดับการกำกับดูแลที่ดีด้านเทคโนโลยีสารสนเทศ
โค บิตนั้นถูกพัฒนาโดยมีพื้นฐานมาจากกรอบวิธีปฏิบัติต่างๆ หลายตัว เช่น Capability Maturity Model (CMM) ของ Software Engineering Institute (SEI), ISO 9000 และ Information Technology Infrastructure Library (ITIL) โดยเดิมทีผู้พัฒนาตั้งใจที่จะสร้างให้โคบิตเป็นเครื่องมือ หรือ แนวทางที่ใช้ในการปฏิบัติงานของผู้ตรวจสอบการควบคุมภายในด้านเทคโนโลยี สารสนเทศ แต่ต่อมามีการนำไปใช้โดยผู้บริหารธุรกิจ และผู้บริหารระบบสารสนเทศมากขึ้น เนื่องจากโคบิตเป็นทั้งแนวคิดและแนวทางในการปฏิบัติ เพื่อให้การควบคุมภายในด้านเทคโนโลยีสารสนเทศสามารถดำเนินไปได้อย่างมี ประสิทธิภาพ โดยมีการอ้างอิงถึงแนวทางการปฏิบัติที่ดีที่สุด (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับ เทคโนโลยีสารสนเทศ เพื่อมุ่งเน้นในการยกระดับประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่เป็นส่วน ผลักดันงานขององค์กร (มากกว่าการมุ่งเน้นทางด้านของการรักษาความมั่นคงปลอดภัยของเทคโนโลยีสรส นเทศเหมือนมาตรฐาน ISO/IEC 27001) ดังนั้นโคบิตจึงเริ่มเป็นที่แพร่หลายในกลุ่มของผู้บริหารงานด้านเทคโนโลยี สารสนเทศด้วย
โคบิตเป็นบทสรุปรวมของความรู้หรือข้อมูลต่างๆ ที่องค์กรต้องการสำหรับการนำไปปรับใช้เพื่อให้องค์กรมีการควบคุมภายในด้าน เทคโนโลยีสารสนเทศที่ดี และเพื่อพัฒนาองค์กรให้เข้าสู่การเป็นองค์กรที่มี “ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ” หรือ IT Governance กล่าวคือ สามารถบริหารจัดการระบบสารสนเทศขององค์กรให้สามารถใช้งานได้อย่างมี ประสิทธิภาพ มีความคุ้มค่ากับการลงทุน และมีการบริหารจัดการที่โปร่งใสสามารถตรวจสอบได้ โดยโคบิตจะรวบรวมตัววัด (Measures) เครื่องบ่งชี้ (Indicators) ขั้นตอนการปฏิบัติงาน (Processes) และ แนวทางการปฏิบัติที่ดีที่สุด (Best Practices) ซึ่งเป็นข้อมูลที่มีโครงสร้าง สามารถเข้าใจและนำไปใช้ได้โดยง่ายอีกทั้งเป็นที่ยอมรับกันโดยทั่วไป ผู้ที่นำโคบิตไปใช้ (ได้แก่ ผู้บริหารธุรกิจ ผู้บริหารระบบสารสนเทศ และผู้ตรวจสอบ) สามารถนำสิ่งต่างๆ เหล่านี้ไปใช้เป็นเครื่องมือเพื่อสร้างประโยชน์สูงสุดจากการนำเทคโนโลยี สารสนเทศเข้ามาใช้งานภายในองค์กร และช่วยให้การลงทุนทางด้านเทคโนโลยีสารสนเทศประสบความสำเร็จอย่างตรงตามความ ต้องการทางด้านธุรกิจ เนื่องจากการนำโคบิตเข้ามาใช้จะช่วยให้ผู้ที่ปฏิบัติงานต่างๆ มีความเข้าใจในระบบเทคโนโลยีสารสนเทศที่ตนเองเกี่ยวข้องมากยิ่งขึ้น อีกทั้งยังช่วยในเรื่องของการยกระดับของการควบคุมด้านความปลอดภัยที่จำเป็น สำหรับการป้องกันสินทรัพย์ต่างๆ ขององค์กร
แนวทางในการบริหาร จัดการของโคบิตเขียนขึ้นเพื่อให้สามารถนำไปใช้ปฏิบัติได้จริง และเพื่อให้สามารถตอบคำถามต่างๆ ของผู้บริหารได้ เช่น
- องค์กรสามารถเติบโตได้ถึงขั้นไหน (ในด้านของการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร)
- การลงทุนทางด้านเทคโนโลยีสารสนเทศคุ้มค่ากับประโยชน์ที่องค์กรจะได้รับหรือไม่
- ควรใช้อะไรเป็นตัวชี้วัดถึงประสิทธิภาพในการดำเนินงานด้านเทคโนโลยีสารสนเทศที่ดี
- อะไรเป็นปัจจัยที่สำคัญที่จะทำให้องค์กรประสบความสำเร็จได้ตรงตามเป้าหมายที่กำหนดไว้
- ความเสี่ยง ที่จะทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่ตั้งไว้มีอะไรบ้าง จะมีวิธีการตรวจสอบและการควบคุมอย่างไร เพื่อลดโอกาสเกิดของความเสี่ยงดังกล่าวให้น้อยลง
เรา สามารถนำมาตรฐาน หรือ แนวทางปฏิบัติอื่นๆ ที่มีจุดมุ่งหมายที่ต้องการจะเน้นที่การควบคุมเฉพาะจุดใดจุดหนึ่ง มาประยุกต์ใช้ร่วมกับโคบิตได้ เช่น กลุ่มมาตรฐานของ ISO/IEC 27000 (ISO/IEC 27000 series) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการรักษาความปลอดภัยของเทคโนโลยีสารสนเทศ หรือ มาตรฐาน ISO/IEC 9001:2000 ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการจัดการความต้องการทางด้านคุณภาพของ ระบบ (Quality Management Systems Requirement) หรือ มาตรฐานของ Information Technology Infrastructure Library (ITIL) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการให้บริการด้านเทคโนโลยีสารสนเทศที่มี คุณภาพ หรือ มาตรฐาน Capability Maturity Model Integration (CMMI) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการพัฒนาและผลิตซอร์ฟแวร์ที่มีคุณภาพ รวมไปถึงมาตรฐาน Projects in Controlled Environments 2 (PRINCE2) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการบริหารจัดการโครงการที่มีประสิทธิภาพ เป็นต้น เนื่องจากโคบิตเป็นกรอบการปฏิบัติที่บอกให้ผู้ปฏิบัติทราบว่าต้องการอะไร บ้าง (what to do) แต่ไม่มีรายละเอียดในแง่ของวิธีการปฏิบัติที่จะนำไปสู่จุดนั้น (how to do) ดังนั้นผู้ปฏิบัติจึงควรนำมาตรฐาน หรือแนวทางปฏิบัติอื่นๆ เข้ามาช่วยเสริมในส่วนของรายละเอียดที่เจาะลึกลงไปในเรื่องที่ต้องการได้
โครงสร้างของโคบิตถูกออกแบบให้อยู่บนพื้นฐานของกระบวนการทางธุรกิจ (Business Process) ซึ่งแบ่งเป็น 4 กระบวนการหลัก (Domains) ได้แก่
- การวางแผนและการจัดองค์กร (Plan and Organize : PO)
- การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
- การส่งมอบและการสนับสนุน (Delivery and Support : DS)
- การติดตามและประเมินผล (Monitor and Evaluate : ME)
- คุณภาพของสารสนเทศ (Information Criteria)
- ทรัพยากรด้านเทคโนโลยี (IT Resources)
- ประสิทธิภาพ (Effectiveness) หมายถึง มีการจัดการกับข้อมูลที่ใช้หรือเกี่ยวข้องกับกระบวนการทางธุรกิจ โดยเฉพาะการส่งมอบสารสนเทศต่างๆ ให้แก่ผู้ใช้ได้อย่างถูกต้อง ทันเวลา และสามารถใช้ประโยชน์ได้
- ประสิทธิผล (Efficiency) หมายถึง มีการใช้ประโยชน์จากทรัพยากรอย่างเต็มที่ (คือให้ผลตอบแทนสูงสุดในขณะที่ใช้ต้นทุนที่ต่ำที่สุด) เพื่อให้ได้มาซึ่งสารสนเทศที่ผู้ใช้ต้องการ
- การรักษาความลับ (Confidentiality) หมายถึง มีการป้องกันการเปิดเผยข้อมูลที่มีความสำคัญต่อบุคคลหรือหน่วยงานที่ไม่ได้รับอนุญาต
- ความสมบูรณ์ของข้อมูล (Integrity) หมายถึง ความถูกต้องตรงกันและความครบถ้วนสมบูรณ์ของสารสนเทศที่มีอยู่ในองค์กร
- ความพร้อมใช้งานของข้อมูล (Availability) หมายถึง การที่สามารถเรียกใช้ข้อมูลสารสนเทศได้ตลอดเวลาเมื่อผู้ใช้ต้องการ รวมถึงการป้องกันและรักษาความปลอดภัยให้กับทรัพยากรที่จำเป็นต่างๆ และการรักษาระดับความสามารถในการทำงานของทรัพยากรเหล่านั้น ห้ามารถทำงานได้อย่างมีประสิทธิภาพอยู่ตลอดเวลา
- การปฏิบัติตามระเบียบ (Compliance) หมายถึง การที่องค์กรปฏิบัติตามกฎ ระเบียบ ข้อบังคับ หลักเกณฑ์ ข้อตกลง หรือกฎหมาย ที่เกี่ยวข้องกับกระบวนการทางธุรกิจที่มีขึ้นเพื่อบังคับใช้ทั้งจากหน่วยงาน ภายในและภายนอกองค์กร
- ความน่าเชื่อถือของข้อมูล (Reliability) หมายถึง ความสามรถในการหาข้อมูลที่เหมาะสมและเชื่อถือได้ ให้แก่ผู้บริหารเพื่อใช้ในการดำเนินธุรกิจและให้สามารถจัดทำรายงานทางการ เงินหรือรายงานอื่นๆ ที่จำเป็น
- ระบบงานประยุกต์ (Application Systems) ได้แก่ ขั้นตอนและกระบวนการที่ใช้ในการปฏิบัติงานทั้งแบบที่ปฏิบัติเองด้วยมือและ แบบที่ทำด้วยโปรแกรมคอมพิวเตอร์
- สารสนเทศ (Information) ได้แก่ ข้อมูลหรือสารสนเทศในรูปแบบต่างๆ ทั้งที่เป็นรูปภาพ ข้อมูลเสียง เป็นต้น โดยสามารถเป็นได้ทั้งข้อมูลที่มีโครงสร้างและที่ไม่มีโครงสร้าง ที่องค์กรนำมาใช้ในการปฏิบัติงาน
- โครงสร้างพื้นฐาน (Infrastructure) ได้แก่ โครงสร้างพื้นฐานทางด้านเทคโนโลยีสารสนเทศขององค์กร ที่ใช้ในการปฏิบัติงานต่างๆ ภายในองค์กร ซึ่งรวมตั้ง hardware, software, ระบบปฏิบัติการ ระบบบริหารฐานข้อมูล ระบบเครือข่าย และยังรวมไปถึงทรัพยากรต่างๆ ที่ใช้ในสนับสนุนการปฏิบัติงานขององค์กร เช่น อาคาร สถานที่ และสาธารณูปโภคต่างๆ
- บุคลากร (People) ได้แก่ บุคลากรที่มีความรู้ความชำนาญในการบริหารและการปฏิบัติงานทางด้านเทคโนโลยี สารสนเทศ เพื่อให้สามารถมั่นใจได้ว่าระบบสารสนเทศจะได้รับการดูแลที่ดีจากบุคลากรที่ มีความสามารถ
ภาพที่ 1 Cobit Cube - 1.2 ภาพรวมของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ โค
บิตถือเป็นกรอบวิธีปฏิบัติตัวหนึ่งที่เน้นให้องค์กรเป็นองค์กรที่มีธรรมาภิ
บาลด้านเทคโนโลยีสารสนเทศที่ดี
ดังนั้นองค์กรที่ต้องการประสบความสำเร็จในการเป็นองค์กรที่มีธรรมาภิบาลด้าน
เทคโนโลยีสารสนเทศที่ดีควรที่จะนำโคบิตไปปรับใช้ในการบริหารงานขององค์กร
ซึ่งในตัวของโคบิตเองก็ได้มีเนื้อหาสำคัญที่เกี่ยวพันธ์กับเรื่องของธรรมาภิ
บาลด้านเทคโนโลยีสารสนเทศด้วย
ด้วยเหตุนี้จึงอยากจะให้ผู้ที่นำไปใช้ได้เข้าใจในเรื่องของธรรมาภิบาลด้าน
เทคโนโลยีสารสนเทศก่อน
ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศคือ การนำกรอบวิธีการปฏิบัติและวิธีการปฏิบัติที่ดีที่สุด จากมาตรฐานต่างๆ มาปรับใช้ในองค์กร เพื่อช่วยในการตรวจสอบติดตาม และปรับปรุงกระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อ องค์กร เพื่อเพิ่มมูลค่าทางธุรกิจและเป็นการลดความเสี่ยงด้านธุรกิจที่องค์กรต้อง เผชิญไปด้วยในตัว และให้สามารถแน่ใจได้ว่าเทคโนโลยีสารสนเทศขององค์กร ได้สนับสนุนวัตถุประสงค์ของธุรกิจ เพื่อที่จะทำให้องค์กรสามารถได้รับประโยชน์อย่างเต็มที่ จากข้อมูลของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
ธรรมาภิบาลด้าน เทคโนโลยีสารสนเทศที่มีประสิทธิภาพจะช่วยให้องค์กรสามารถแน่ใจได้ว่า เทคโนโลยีที่องค์กรนำมาใช้จะสามารถสนับสนุนเป้าหมายทางธุรกิจ ช่วยเพิ่มประสิทธิภาพสูงสุดทางด้านธุรกิจให้กับการลงทุนทางด้านเทคโนโลยี สารสนเทศ และช่วยให้องค์กรมีวิธีที่ใช้ในการจัดการกับความเสี่ยงอย่างเหมาะสม การที่มีความเข้าใจที่ดีในเรื่องของ สภาพแวดล้อมทางธุรกิจ ความเสี่ยงต่างๆ ที่เกี่ยวข้อง กลยุทธ์ทางด้านธุรกิจขององค์กร โครงสร้างในด้านเทคโนโลยีสารสนเทศขององค์กร ความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่สำคัญต่อองค์กร และแนวโน้มในการใช้งานของเทคโนโลยีสารสนเทศ จะเป็นส่วนสำคัญของการประสบความสำเร็จในการนำธรรมาภิบาลด้านเทคโนโลยี สารสนเทศมาใช้ในองค์กร ซึ่งหน้าที่ในการดูแลและรับผิดชอบในเรื่องของธรรมาภิบาลด้านเทคโนโลยี สารสนเทศนั้น ถือเป็นอีกหน้าที่หลักของผู้บริหารระดับสูงและคณะกรรมการผู้จัดการ (Broad of Directors) ในการผลักดันให้องค์กรก้าวเข้าสู่หลักธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี
ความสำคัญของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
- ธรรมาภิบาล ด้านเทคโนโลยีสารสนเทศทำให้องค์กรมีการบริหารงานที่เป็นระบบ ระเบียบ มีขั้นตอนที่แน่นอน ลดความซ้ำซ้อน และลดความเสี่ยง ทำให้องค์กรสามารใช้สารสนเทศได้อย่างเต็มประสิทธิภาพ ยังผลให้เกิดประโยชน์สูงสุดแก่องค์กร
- ช่วยป้องกันการทุจริตของผู้บริหารหรือผู้ปฏิบัติงานได้ เนื่องจากมีการบริหารงานที่โปร่งใส สามารถตรวจสอบได้
- ช่วยให้การ ลงทุนทางด้านเทคโนโลยีสารสนเทศประสบความสำเร็จได้อย่างมีประสิทธิภาพสูงสุด คือ ได้ผลประโยชน์สูงสุดกับองค์กรโดยที่ใช้ต้นทุนที่ต่ำที่สุด
- ช่วยสร้าง และส่งเสริมภาพลักษณ์ที่ดีต่อองค์กร ทำให้ผู้ที่มีส่วนเกี่ยวข้องกับองค์กร (เช่น ผู้ถือหุ้น องค์กรที่ทำธุรกิจร่วมกัน และลูกค้าขององค์กร) เกิดความเชื่อมั่นและความไว้วางใจในองค์กรมากยิ่งขึ้น
- ผู้บริหารระดับสูงและคณะกรรมการผู้จัดการ (Executive and Broad of Director) ต้องการที่จะทราบว่าจะสามารถกำหนดเป้าหมายทางธุรกิจอย่างไรให้สามารถบรรลุ เป้าหมายดังกล่าวได้โดยก่อให้เกิดประโยชน์สูงสุดแก่องค์กร และจะนำแนวทางปฏิบัติของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมาปรับใช้กับองค์กร ให้เหมาะสมได้อย่างไร เพื่อให้สามารถแน่ใจได้ว่าความเสี่ยงต่างๆ ที่เกี่ยวข้องกับสารสนเทศที่มีความสำคัญต่อองค์กรจะได้รับการจัดการอย่าง เหมาะสม
- ผู้บริหารด้านธุรกิจ (Business Manager) ต้องการที่จะทราบว่าฝ่ายบริหารจะสามารถกำหนดความต้องการทางด้านธุรกิจที่ เกี่ยวข้องกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศได้อย่างไร เพื่อให้สามารถมั่นใจได้ว่าโอกาสที่จะเกิดความเสี่ยงต่างๆ ที่เกี่ยวข้องจะถูกทำให้ลดน้อยลง
- ผู้บริหารด้านเทคโนโลยีสารสนเทศ (IT Manager)ต้อง การที่จะทราบว่าจะต้องทำอย่างไรเพื่อให้การให้บริการทางด้านเทคโนโลยี สารสนเทศสามารถตอบสนองได้ตรงตามความต้องการของธุรกิจอยู่ตลอดเวลา
- ผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Auditor)ต้อง การที่จะทราบว่าจะต้องทำอย่างไรในการที่จะนำเนื้อหาต่างๆ ของโคบิตมาปรับใช้ในกระบวนการตรวจสอบด้านเทคโนโลยีสารสนเทศ เพื่อให้สามารถแน่ใจได้ว่ากระบวนการตรวจสอบจะมีประสิทธิภาพและมีความเป็น อิสระจากฝ่ายงานอื่น
- ความเสี่ยง และ พนักงานทั่วไป(compliance officer) ต้องการที่จะทราบว่าผู้จัดการด้านความเสี่ยง (risk manager) และ พนักงานทั่วไป จะ สามารถนำโคบิตมาใช้ในเรื่องที่เกี่ยวกับกิจกรรมด้านความเสี่ยงและการปฏิบัติ ตามกฎระเบียบข้อบังคับได้อย่างไร เพื่อให้สามารถแน่ใจได้ว่าความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ใหม่ๆ จะถูกค้นพบได้อย่างรวดเร็ว และ พนักงานที่จำเป็นต้องปฏิบัติตามกฎ (IT complies) มีการปฏิบัติตามนโยบาย ระเบียบข้อบังคับ และกฎหมายหรือไม่
- 1.3 โคบิตกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ ใน
เนื้อหาของโคบิตได้มีหลายหัวข้อที่มีความเกี่ยวเนื่องกับเรื่องของธรรมาภิ
ลาบด้านเทคโนโลยีสารสนเทศ
เพื่อต้องการที่จะให้องค์กรที่นำโคบิตไปใช้ได้เป็นองค์กรที่มีธรรมาภิบาลที่
ดี
โดยเรื่องที่โคบิตกล่าวถึงเกี่ยวกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมีดัง
นี้
- วัตถุประสงค์ของโคบิตในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
- IT Governance Focus Areas
- เทคโนโลยีสารสนเทศที่นำมาใช้จะเป็นไปในทิศทางเดียวกันกับธุรกิจขององค์กร
- เทคโนโลยีสารสนเทศสามารถที่จะสนับสนุนความต้องทางด้านธุรกิจได้อย่างเต็มประสิทธิภาพ
- ทรัพยากรด้านเทคโนโลยีสารสนเทศถูกใช้อย่างเหมาะสม
- สามารถจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม
IT Governance Focus Areas โค บิตนำเสนอเนื้อหาที่เกี่ยวกับการจัดการในส่วนของธรรมาภิบาลด้านเทคโนโลยี สารสนเทศโดยแบ่งออกเป็น 5 ส่วนหลัก ซึ่งมีเนื้อหาที่ครอบคลุมในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศทั้ง หมด ดังข้อมูลด้านล่างนี้
- การจัดวางกลยุทธ์ (IT strategic alignment) มี เนื้อหาในการเน้นที่เรื่องของการเชื่อมโยงให้เกิดความสอดคล้องกันระหว่างแผน ทางธุรกิจกับแผนทางเทคโนโลยีสารสนเทศ โดยจะครอบคลุมไปถึงการกำหนดและการวางแผน การดูแลรักษา และการตรวจสอบความถูกต้องของเทคโนโลยีสารสนเทศ และรวมไปถึงการทำให้กระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ดำเนินไปในทิศทางเดี่ยวกับกระบานการปฏิบัติงานขององค์กร
- การนำเสนอคุณค่า (Value delivery) มี เนื้อหาในการเน้นที่เรื่องของการนำเสนอคุณค่าตลอดจนวงจรของการนำส่ง หลักการพื้นฐานของการสร้างคุณค่าด้านเทคโนโลยีสารสนเทศคือ การส่งมอบให้ตรงเวลา อยู่ในงบประมาณที่กำหนด ผลประโยชน์ที่ได้รับจะต้องสามารถระบุได้และเป็นไปตามที่ได้กำหนดไว้ เพื่อทำให้มั่นใจได้ว่าเทคโนโลยีสารสนเทศสามารถสร้างประโยชน์ได้ตามที่กำหนด ไว้ในกลยุทธ์ขององค์กร
- การจัดการกับทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resources management) มี เนื้อหาในการเน้นที่เรื่องของการบริหารจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ ซึ่งครอบคลุมในส่วนของการลงทุนอย่างไรเพื่อให้ได้รับผลตอบแทนสูงสุด และเรื่องการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร (ได้แก่ ระบบงานประยุกต์ สารสนเทศ โครงสร้างพื้นฐาน และบุคลากร) อย่างเหมาะสม ซึ่งประเด็นของเรื่องนี้จะอยู่ที่การนำความรู้และโครงสร้างพื้นฐานที่องค์กร มีอยู่มาใช้ประโยชน์ให้ได้มากที่สุด
- การจัดการความเสี่ยง (Risk management) มี เนื้อหาในการเน้นที่เรื่องของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อให้เกิดความเข้าใจที่ชัดเจนในเรื่องของความเสี่ยงต่างๆ ที่เกี่ยวข้องกับการดำเนินงานขององค์กร และสามารถตระหนักถึงความเสี่ยงที่มีความสำคัญต่อองค์กร เพื่อเป็นการปลูกฝังในเรื่องของหน้าที่ความรับผิดชอบของผู้ที่มีส่วนเกี่ยว ข้องต่างๆ ในองค์กร
- การวัดประสิทธิภาพ (Performance measurement) มี เนื้อหาในการเน้นที่เรื่องของกลยุทธ์และวิธีที่ใช้ในการตรวจสอบและติดตามใน ด้านของ การทำให้เป็นผล (implementation) ความครบถ้วนสมบูรณ์ของโครงการ (project completion) การใช้งานทรัพยากร (resource usage) ประสิทธิภาพของกระบวนการ (process performance) และ การส่งมอบการให้บริการ (service delivery) ซึ่งการวัดประสิทธิภาพถือเป็นส่วนที่มีความสำคัญมากที่สุดในเรื่องของธรรมา ภิบาลด้านเทคโนโลยีสารสนเทศ เพราะจะทำให้องค์กรทราบได้ว่าหลักการที่องค์กรได้นำมาใช้นั้นประสบผลสำเร็จ มากน้อยแค่ไหน และควรที่จะปรับปรุงไปในทิศทางไหน
ภาพที่ 2 IT Governance Focus Areas - 1.4 สิ่งที่องค์กรได้จากการโคบิต กรอบงานโคบิตสามารถตอบสนองสิ่งที่จำเป็นต่างๆ เหล่านี้ให้กับองค์กรได้
- ทำให้เกิด การเชื่อมโยงกันระหว่างเป้าหมายทางธุรกิจ (Business Goals) กับเป้าหมายทางเทคโนโลยีสารสนเทศ (IT Goals) ซึ่งเป้าหมายทางด้านเทคโนโลยีสารสนเทศจะต้องเป็นทำหน้าที่ในการสนับสนุนให้ เป้าหมายทางธุรกิจประสบความสำเร็จได้อย่างมีประสิทธิภาพ
- มีการจัดโครงสร้างของกิจกรรมด้านเทคโนโลยีสารสนเทศ เพื่อให้กิจกรรมเหล่านั้นมีความเป็นมาตรฐานซึ่งเป็นที่ยอมรับกันโดยทั่วไป
- ช่วยในการ ระบุให้องค์กรทราบถึงทรัพยากรทางด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อ องค์กร เพื่อให้สามารถเตรียมมาตรการที่ใช้ในการดูแลรักษาทรัพยากรเหล่านั้นได้อย่าง เหมาะสม
- มีการกำหนด วัตถุประสงค์การควบคุมในการบริหารจัดการต่างๆ ภายในองค์กรเพื่อให้ผู้ที่เกี่ยวข้องทุกคนมีความเข้าใจในวัตถุประสงค์ของงาน ต่าง ๆ ที่ตรงกัน
- มีการจัดเตรียมเครื่องมือต่างๆ ที่ใช้ในการบริหารจัดการองค์กร ได้แก่
- จัดเตรียมตัววัด (Metrics) เพื่อใช้ในการวัดประสิทธิภาพของเทคโนโลยีสารสนเทศที่องค์กรนำมาใช้
- มีระดับการควบคุมต้นแบบ (Maturity Models) เพื่อใช้ในการวัดและจัดระดับความสามารถของกระบวนการทางด้านเทคโนโลยีสารสนเทศ
- มีการใช้ RACI chart (Responsible, Accountable, Consulted, and Informed) เพื่อใช้ในการระบุบทบาทและหน้าที่ของผู้ที่เกี่ยวข้องให้ชัดเจน
- 1.5 ประโยชน์ของการนำโคบิตมาใช้ การนำโคบิตมาประยุกต์ใช้ในองค์กรสามารถสร้างประโยชน์หลายประการให้แก่องค์กร ดังตัวอย่างด้านล่างนี้ :
- ทำให้ธุรกิจและเทคโนโลยีสารสนเทศดำเนินไปในทิศทางเดียวกัน โดยให้ภาคธุรกิจเป็นเป้าหมายหลักในการดำเนินนโยบาย
- เกิดการแบ่ง ปันในส่วนของความรู้และความเข้าใจให้กับผู้ที่มีส่วนเกี่ยวข้องทุกคน โดยเป็นการใช้ภาษาเดียวกันทำให้เกิดความเข้าใจที่ตรงกัน
- ทำให้เกิดความเข้าใจมุมมองหรือภาพรวมในเรื่องของการนำเทคโนโลยีสารสนเทศเข้ามาใช้ในการจัดการด้านธุรกิจขององค์กรอย่างไร
- ทำให้เกิดความกระจ่างในเรื่องของบทบาท หน้าที่ความรับผิดชอบ และความเป็นเจ้าของ ในการปฏิบัติงานของพนักงานในองค์กร
- เพื่อให้เกิดความไว้วางใจและการยอมรับกันอย่างแพร่หลายจากองค์กรหรือบริษัทภายนอกที่เกี่ยวข้องและผู้วางกฎระเบียบ (regulator) ต่างๆ
- 1.6 กลุ่มผลิตภัณฑ์ของโคบิต นอก
จากโคบิตจะมีกรอบวิธีปฏิบัติในด้านของการบริหารจัดการเทคโนโลยีสารสนเทศแล้ว
โคบิตยังมีเนื้อหาอีกหลายส่วนที่สามารถนำมาปรับใช้ในองค์กรเพื่อช่วยให้
องค์กรมีการบริหารจัดการด้านสารสนเทศที่ดี
ซึ่งเนื้อหาในแต่ละส่วนโคบิตได้จัดทำให้เหมาะสมกับผู้ใช้งานที่แตกต่างกัน
เช่น ผู้บริหารระดับสูง ผู้บริหารด้านธุรกิจ ผู้บริหารจัดการด้าน IT
ผู้ตรวจสอบ IT และรวมไปถึงผู้ปฏิบัติงานต่างๆ ด้วย
โดยกลุ่มผลิตภัณฑ์ของโคบิตแบ่งได้ดังนี้
- Board Briefing on IT Governance 2rd edition ซึ่ง ถูกสร้างขึ้นมาเพื่อช่วยให้ผู้บริหารระดับสูงเข้าใจถึงความสำคัญของธรรมาภิ บาลด้านเทคโนโลยีสารสนเทศ ทำไมจึงต้องนำมาใช้ภายในองค์กร อะไรคือประเด็นที่สำคัญ และพวกเขาจะต้องมีหน้าที่รับผิดชอบอะไรบ้างในการที่จะบริหารจัดการสิ่งเหล่า นั้น
- Executive Summary ประกอบ ด้วยมุมมองในภาพรวมของการบริหารจัดการ (Executive Overview) โดยมีเนื้อหาในการกระตุ้นและสร้างให้เกิดความเข้าใจในแนวคิดและหลักการหลักๆ ที่สำคัญของโคบิต และรวมถึงเนื้อหาที่เป็นการสรุปในส่วนของ framework เพื่อให้ผู้บริหารสามารถเข้าใจในรายละเอียดของ framework ได้อย่างถูกต้อง
- Management Guideline เป็น เครื่องมือสำหรับผู้บริหารด้านธุรกิจและผู้บริหารด้าน IT ซึ่งมีการจัดเตรียมเนื้อหาในส่วนของหลักหรือวิธีที่ใช้ในการบริหารจัดการ ด้าน IT รวมถึงคำแนะนำในการนำ framework ของโคบิตมาปรับใช้ในการบริหารจัดการ และ guideline นี้ยังมีการจัดเตรียมเครื่องมือที่ใช้ในการวัดประสิทธิภาพของการบริหาร จัดการองค์กรในหลายๆ ด้าน เช่น
- Maturity Model เป็นเครื่องมือหลักที่ช่วยในการวัดและจัดระดับความสามารถของกระบวนการด้าน IT
- Critical Success Factors เป็นเครื่องมือที่ช่วยในการระบุให้ทราบว่ามีการกระทำที่สำคัญอะไรบ้างที่จะทำให้การควบคุมที่นำมาใช้ประสบความสำเร็จ
- Key Goal Indicators เป็นเครื่องมือที่ช่วยในการกำหนดระดับของเป้าหมายด้านประสิทธิภาพของ IT ที่ใช้ในปัจจุบัน
- Key Performance Indicators เป็นเครื่องมือที่ช่วยในการวัดให้ทราบว่าการนำกระบวนการในการควบคุมด้าน IT เข้ามาใช้นั้นตรงตามกับวัตถุประสงค์หรือไม่
- Control Objectives เป็น เครื่องมือที่ช่วยให้ผู้ใช้สามารถเข้าใจในรายละเอียดที่จำเป็นของการควบคุม แต่ละตัว เพื่อให้เข้าใจถึงเป้าหมาย วัตถุประสงค์ และนโยบายของการควบคุมนั้นๆ พร้อมทั้งยังมีการบอกถึงความต้องการขั้นต่ำของการนำการควบคุมแต่ละตัวเข้ามา ใช้เพื่อให้การควบคุมนั้นมีประสิทธิภาพ ทำให้ผู้ใช้สามารถนำไปปฏิบัติได้สำเร็จตามเป้าหมายที่ต้องการ ซึ่งจะแบ่งเป็น 2 ส่วนคือ
- High-Level Control Objectives โดยจะเป็นการพูดถึงภาพรวมของการควบคุม ซึ่งมีทั้งหมด 34 หัวข้อการควบคุมหลัก
- Detailed Control Objectives จะเป็นการพูดถึงรายละเอียดของหัวข้อการควบคุมหลักแต่ละตัว ซึ่งมีทั้งหมด 318 หัวข้อการควบคุมย่อย
- Control Practices เป็น เครื่องมือที่มีเนื้อหาในการให้คำแนะนำในการนำ control ต่างๆ ไปใช้อย่างเป็นขั้นตอน โดยจะบอกให้ทราบว่าทำไมการควบคุมจึงเป็นสิ่งที่จำเป็น และอะไรคือแนวทางปฏิบัติที่ดีที่สุดที่มีความสำคัญและจำเป็นต่อการที่จะ ประสบความสำเร็จตามวัตถุประสงค์ของการควบคุมนั้นๆ จุดประสงค์ของ control practices คือ ช่วยให้สามารถแน่ใจได้ว่ากระบวนการควบคุมที่นำมาใช้ได้รับการกำหนดแนวทางที่ ถูกต้อง เพื่อให้ผู้ปฏิบัติสามารถนำไปปรับใช้ได้อย่างถูกต้องและมีประสิทธิภาพ
- IT Control Objectives for Sarbanes-Oxley เป็น เครื่องมือที่มีเนื้อหาในการให้คำแนะนำและแนวทางในการปฏิบัติ เพื่อให้สามารถแน่ใจได้ว่าองค์กรนำการควบคุมต่างๆ เข้ามาใช้อย่างถูกต้องตามความต้องการของมาตรฐาน Sarbanes-Oxley (เป็นการนำ control ของโคบิตมาปรับใช้เพื่อให้สอดคล้องและเป็นไปตามมาตรฐานของ Sarbanes-Oxley)
- IT Governance Implementation Guide เป็น เครื่องมือที่มีเนื้อหาในการอธิบายแนวทางและภาพรวมในการนำเครื่องมือต่างๆ ของโคบิตมาปรับใช้ เพื่อให้องค์กรก้าวเข้าสู่องค์กรที่มีหลักธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ ที่ดี
- CoBIT Quickstart เป็น เครื่องมีที่มีเนื้อหาในการจัดเตรียมความรู้และรายละเอียดพื้นฐานของการนำโค บิตมาปรับใช้กับองค์กรขนาดเล็ก รวมถึงรายละเอียดในการเตรียมการขั้นเริ่มต้นของการนำโคบิตไปใช้จริง
- CoBIT Security Baseline เป็น ส่วนของเนื้อหารที่เน้นในเรื่องของขั้นตอนที่สำคัญในการนำมาตรฐานความ ปลอดภัยด้านเทคโนโลยีสารสนเทศมาปรับใช้ภายในองค์กร เพื่อให้แน่ใจได้ว่าสารสนเทศที่องค์กรนำมาใช้จะได้รับการป้องกันอย่างมี ประสิทธิภาพและเกิดความปลอดภัยสูงสุด
รูปที่ 3 กลุ่มผลิตภัณฑ์ของโคบิต - โครงสร้างของโคบิต (CoBIT Structure) การ
นำระบบเทคโนโลยีสารสนเทศเข้ามาใช้เพื่อสนับสนุนการทำงานและกลยุทธ์ต่างๆ
ขององค์กร จะสามารถประสบความสำเร็จได้นั้น
องค์กรจะต้องมีการกำหนดหน้าที่ความรับผิดชอบต่างๆ ให้ชัดเจน
และพนักงานทุกคนจะต้องเข้าใจว่าอะไรคือสิ่งที่ได้จากการนำเทคโนโลยีสารสนเทศ
เข้ามาใช้ และจะใช้สิ่งต่างๆ เหล่านั้นให้เกิดประโยชน์ได้อย่างไร
ซึ่งโคบิตได้จัดเตรียมเนื้อหาที่ครอบคลุมในเรื่องของการบริหารจัดการ
เทคโนโลยีสารสนเทศที่นำมาใช้ในองค์กร โดยจะแบ่งออกเป็น 4 โดเมนหลักๆ
ซึ่งมีรายละเอียดดังนี้
การวางแผนและการจัดองค์กร (Plan and Organize : PO)
เนื้อหาในโดเมนนี้ครอบคลุมในเรื่องของกลยุทธ์และวิธีการที่นำมาใช้ในองค์กร โดยจะเน้นในเรื่องของการกำหนดวิธีที่จะทำให้เทคโนโลยีสารสนเทศมีบทบาทสำคัญ เพื่อให้สารสนเทศนั้นสามารถตอบสนองความต้องการทางด้านธุรกิจขององค์กรได้ ซึ่งการกำหนดกลยุทธ์ที่สามารถนำมาใช้ได้จริงนั้นจำเป็นที่จะต้องมีการวางแผน มีการบริหารจัดการที่ดี และต้องมีการสื่อสารให้พนักงานทั้งองค์กรรับทราบร่วมกัน และท้ายสุดองค์กรจำเป็นต้องมีการจัดวางโครงสร้างพื้นฐานด้านเทคโนโลยี สารสนเทศที่เหมาะสม จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- ทำให้ผู้บริหารทราบว่ากลยุทธ์ทางด้าน IT และกลยุทธ์ทางด้านธุรกิจเป็นไปในทิศทางเดียวกันหรือไม่
- ประสิทธิภาพและคุณภาพของระบบ IT ที่องค์กรนำมาใช้ มีความเหมาะสมกับความต้องการทางด้านธุรกิจหรือไม่
- เพื่อให้ผู้บริหารสามารถทราบได้ว่าองค์กรกำลังประสบความสำเร็จด้วยการใช้ทรัพยากรต่างๆ อย่างเต็มที่หรือไม่
- เพื่อให้ทราบได้ว่าพนักงานในองค์กรมีความเข้าใจในวัตถุประสงค์ขององค์กรหรือไม่
- เพื่อให้ ทราบว่าผู้ปฏิบัติงานมีความรู้ความเข้าใจในความเสี่ยงทางด้าน IT ที่เกี่ยวข้องกับการปฏิบัติงานของตนหรือไม่ และจะมีวิธีการบริหารจัดการกับความเสี่ยงดังกล่าวได้อย่างไร
การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
เนื้อหา ในโดเมนนี้จะเน้นที่เรื่องของการทำให้กลยุทธ์ที่ได้กำหนดไว้ประสบผลสำเร็จ ซึ่งการดำเนินงานตามกลยุทธ์ที่ได้วางไว้นั้น จะต้องมีการระบุ พัฒนาหรือจัดซื้อจัดหา นำไปติดตั้งใช้งาน รวมถึงการผนวกรวมเทคโนโลยีสารสนเทศเข้าเป็นส่วนหนึ่งของกระบวนการทางธุรกิจ และในโดเมนนี้ยังรวมถึงการเปลี่ยนแปลงและการดูแลรักษาระบบงานที่องค์กรมี อยู่ เพื่อให้สามารถมั่นใจได้ว่าเทคโนโลยีสารสนเทศยังคงสามารถสนับสนุนการทำงาน และวัตถุประสงค์ของธุรกิจได้อยู่ตลอดเวลา จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้- โครงการด้านเทคโนโลยีสารสนเทศใหม่ที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้เพื่อแก้ไขปัญหาหรือสร้างประโยชน์ให้กับธุรกิจได้หรือไม่
- โครงการที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้งานได้ทันตามระยะเวลาและงบประมาณที่กำหนดไว้หรือไม่
- ระบบใหม่ที่นำมาใช้งานนั้น สามารถทำงานได้อย่างมีประสิทธิภาพ ตรงตามความต้องการของธุรกิจหรือไม่
- การเปลี่ยนแปลงที่เกิดขึ้นทำให้เกิดผลเสียต่อการปฏิบัติงานของธุรกิจในปัจจุบันหรือไม่
เนื้อหา ในโดเมนนี้จะเน้นในเรื่องของการส่งมอบบริการด้านเทคโนโลยีสารสนเทศเมื่อมี ความต้องการจากภาคธุรกิจ ซึ่งรวมตั้งแต่การส่งมอบบริการ การดำเนินงานด้านการรักษาความปลอดภัยและความต่อเนื่องของการให้บริการ การบริหารจัดการสารสนเทศและอุปกรณ์อำนวยความสะดวกต่างๆ ที่ใช้ในการปฏิบัติงาน ไปจนถึงการฝึกอบรมพนักงานเพื่อให้มีความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่ เกี่ยวข้องกับงานที่ตนเองปฏิบัติ จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- การให้บริการด้านเทคโนโลยีสารสนเทศสามารถสนับสนุนกรปฏิบัติงานด้านธุรกิจได้อย่างสอดคล้องกับเป้าหมายและวัตถุประสงค์ของธุรกิจหรือไม่
- ต้นทุนด้านเทคโนโลยีสารสนเทศที่ใช้ไปคุ้มค่าแล้วหรือไม่
- การปฏิบัติงานต่างๆ ขององค์กรสามารถที่จะใช้งานระบบสารสนเทศได้อย่างมีประสิทธิภาพและเกิดความปลอดภัยหรือไม่
- ระบบ เทคโนโลยีสารสนเทศที่ใช้อยู่ในปัจจุบันมีการรักษาความลับ (Confidentiality) ความถูกต้องตรงกัน (Integrity) และความพร้อมใช้งาน (Availability) เพียงพอแล้วหรือไม่
เนื้อหา ในโดเมนนี้จะเน้นในเรื่องของการตรวจสอบติดตามและประเมินผลของระบบเทคโนโลยี สารสนเทศ โดยกระบวนการด้านเทคโนโลยีสารสนเทศทั้งหมดจะต้องได้รับการประเมินอยู่เสมอ เพื่อรับประกันได้ถึงคุณภาพและการปฏิบัติตามขอบังคับของการควบคุม ในโดเมนนี้จะเป็นการระบุถึงการบริหารจัดการในด้านของประสิทธิภาพของระบบ สารสนเทศ ซึ่งจะต้องได้รับการประเมินจากผู้ตรวจสอบทั้งภายในและภายนอกองค์กร จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้- มีการประเมินหรือวัดประสิทธิภาพของระบบเทคโนโลยีสารสนเทศ เพื่อตรวจหาปัญหาก่อนที่ปัญหานั้นจะเกิดขึ้นจริงหรือไม่
- ผู้บริหารจะสามารถมั่นใจได้อย่างไรว่าการควบคุมต่างๆ ที่องค์กรนำมาใช้นั้นมีประสิทธิภาพและประสิทธิผลจริง
- ประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่มีอยู่นั้นสามารถสนับสนุนเป้าหมายทางด้านธุรกิจหรือไม่
- มีการวัดผลและรายงานในเรื่องของความเสี่ยง การควบคุม การปฏิบัติตามกฎ และประสิทธิภาพ ไปยังผู้บริหารระดับสูงขององค์กรหรือไม่
โครงสร้างของโคบิต (CoBIT Structure)
จากที่ได้อธิบายให้ทราบแล้วว่าเนื้อหาหลักของโคบิตแบ่งออกเป็นโดเมนหลัก 4
โดเมน
เพื่อให้มีรายละเอียดครอบคลุมในเรื่องของการบริหารจัดการด้านเทคโนโลยี
สารสนเทศที่ดี และในแต่ละโดเมนก็ยังแบ่งเนื้อหาย่อยออกเป็นหลายๆ
หัวข้อการควบคุมหลัก (Control Objectives)
ซึ่งมีการเน้นรายละเอียดที่ต้องการที่แตกต่างกันไปตามแต่ละหัวข้อ
ดังนั้นเพื่อให้ผู้อ่านสามารถเข้าใจเนื้อหา รายละเอียด ขอบเขต
และวัตถุประสงค์ของแต่ละหัวข้อการควบคุมหลักมากยิ่งขึ้นจึงอยากจะขออธิบาย
รายละเอียดของแต่ละหัวข้อการควบคุมหลัก
ว่าแต่ละหัวข้อต้องการที่จะเน้นในเรื่องใด
สามารถนำไปปฏิบัติให้เกิดผลได้อย่างไร
และให้ประโยชน์อะไรในการที่นำไปปฏิบัติ เป็นต้น
เมื่อผู้อ่านเข้าใจในรายละเอียดของหัวข้อการควบคุมหลักแล้วจะทำให้สามารถมอง
ภาพรวมของเนื้อหาในแต่ละโดเมนได้ดียิ่งขึ้น
ซึ่งรายละเอียดในแต่ละหัวข้อการควบคุมหลักมีดังนี้
โดเมนการวางแผนและการจัดองค์กร (PO)
- PO1 : Define a Strategic IT Plan หัวข้อการควบคุมนี้เป็นการเน้นที่เรื่องของการกำหนดแผนกลยุทธ์ด้านเทคโนโลยี สารสนเทศ โดยโคบิตได้กล่าวไว้ว่าการวางแผนกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศ (IT Strategic Plan) ถูกจัดทำขึ้นเพื่อใช้ในการบริหารจัดการและใช้กำหนดทิศทางของทรัพยากรต่างๆ ที่มีอยู่ให้ดำเนินไปในทิศทางเดียวกับกลยุทธ์และความสำคัญของธุรกิจ แผนก IT และผู้ถือหุ้นทางธุรกิจมีหน้าที่ในการสร้างความมั่นใจว่าองค์กรจะได้รับผล ตอบแทนที่ดีที่สุดจากโครงการและการให้บริการต่างๆ ที่องค์กรมีอยู่ ซึ่งในแผนธุรกิจควรที่จะมีการปรับปรุงเรื่องความเข้าใจหลักของผู้ถือหุ้นใน ส่วนของโอกาสที่ดี (Opportunities) และข้อจำกัด (Limitations) ทางด้านเทคโนโลยีสารสนเทศ เรื่องการประเมินประสิทธิภาพในปัจจุบัน และให้ความกระจ่างในเรื่องระดับของการลงทุนที่ต้องการ ซึ่งแผนกลยุทธ์ทางด้าน IT นี้จะต้องได้รับการยอมรับและมีความเข้าใจทั้งภาคธุรกิจและภาคของ IT
- PO2 : Define the Information Architecture หัวข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดสถาปัตยกรรมด้านเทคโนโลยี สารสนเทศขององค์กร โดยโคบิตได้เน้นว่า function การทำงานของระบบ IT ควรที่จะถูกสร้างและทำให้ทันสมัยอยู่เสมอ เพื่อปรับเปลี่ยนให้เหมาะสมตามโครงสร้างของธุรกิจ รวมถึงการพัฒนาพจนานุกรมข้อมูล (Data Dictionary) ด้วยรูปแบบและกฎเกณฑ์ (syntax rules) ขององค์กรเอง มีการจัดทำรูปแบบการจัดกลุ่มข้อมูล (data classification scheme) และการจัดระดับความปลอดภัยของข้อมูล เพื่อให้แน่ใจได้ว่าความน่าเชื่อถือและความปลอดภัยของข้อมูลได้ถูกจัดเตรียม ไว้แล้ว ซึ่งวัตถุประสงค์ของกระบวนการนี้ต้องการที่จะเพิ่มความสามารถในการตรวจสอบ ติดตาม (Accountability) ในเรื่องของความถูกต้องและความปลอดภัยของข้อมูล และช่วยในการเพิ่มประสิทธิภาพของการควบคุมในด้านของการ share ข้อมูลสารสนเทศข้ามระบบงาน โดยการจัดระดับการเข้าถึงข้อมูลสารสนเทศเพื่อป้องกันไม่ให้ผู้ที่ไม่มีสิทธิ เข้าถึงสารสนเทศโดยไม่ได้รับอนุญาต
- PO3 : Determine Technological Direction หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการกำหนดทิศทางในการใช้ เทคโนโลยีสารสนเทศ เพื่อให้สามารถสนับสนุนการทำงานของภาคธุรกิจได้อย่างมีประสิทธิภาพ ซึ่งต้องการการสร้างแผนโครงสร้างพื้นฐานด้านเทคโนโลยี (Technology Infrastructure Plan) และควรที่จะปรับปรุงให้แผนทันสมัยอยู่เสมอ โดยแผนดังกล่าวควรประกอบไปด้วยเรื่องสถาปัตยกรรมระบบ (System Architecture) ทิศทางของเทคโนโลยี (Technology Direction) แผนการจัดหาระบบ (Acquisition Plan) และมาตรฐานต่างๆ ซึ่งกระบวนการต่างๆ เหล่านี้จะช่วยให้องค์กรสามารถตอบรับเปลี่ยนแปลงได้อย่างรวดเร็ว เพื่อให้ทันกับสภาพแวดล้อมของธุรกิจที่มีการแข่งขันกันสูง
- PO4 : Define the IT Processes, Organization and Relationships หัว ข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดกระบวนการด้าน IT การจัดวางผังองค์กร และการจัดการความสัมพันธ์ภายในองค์กร โดยในโครงสร้างด้าน IT ควรที่จะมีการกำหนดความต้องการในด้านต่างๆ เช่น ความเชี่ยวชาญของบุคลากร หน้าที่การทำงานของระบบ ความสามารถในการตรวจสอบติดตาม การกำหนดสิทธิ์ เรื่องของบทบาท หน้าที่ความรับผิดชอบ และการควบคุมต่างๆ โดยผู้มีส่วนร่วมทั้งด้านของธุรกิจและด้านของ IT ควรที่จะต้องกำหนดระดับความสำคัญของทรัพยากรด้าน IT และควรมีการกำหนดนโยบายและขั้นตอนการปฏิบัติงานในทุกๆ function โดยเฉพาะเรื่องการควบคุม การรับประกันคุณภาพ (quality assurance) การจัดการความเสี่ยง (risk management) การรักษาความปลอดภัยของสารสนเทศ (information security) การกำหนดความเป็นเจ้าของในระบบและข้อมูลต่างๆ (data and system ownership) รวมถึงเรื่องของการแบ่งแยกหน้าที่ความรับผิดชอบ (segregation of duties) เพื่อให้แน่ใจได้ว่าระบบ IT สามารถสนับสนุนภาคธุรกิจได้อย่างมีประสิทธิภาพ
- PO5 : Manage the IT Investment หัว ข้อการควบคุมนี้จะเน้นที่เรื่องของการบริหารจัดการในการลงทุนด้าน IT เพื่อให้มีความสอดคล้องกับแนวนโยบาย เป้าหมาย และวัตถุประสงค์ขององค์กร ตลอดจนข้อกำหนดทางธุรกิจต่างๆ ที่เกี่ยวข้อง มีการสร้างกระบวนการที่ใช้ในการพิจารณาการลงทุนด้าน IT อย่ารอบคอบ มีการควบคุมค่าใช้จ่ายอย่างรัดกุม สามารถตรวจสอบได้ และการลงทุนต้องให้ผลตอบแทนที่เหมาะสมมากที่สุด
- PO6 : Communicate Management Aims and Direction หัวข้อการควบคุมนี้เน้นที่เรื่องของการสื่อสารให้ทุกคนในองค์กรทราบถึงจุด มุ่งหมายและทิศทางในการบริหาร ซึ่งผู้บริหารระดับสูงควรที่จะมีการสร้างกรอบงานและนโยบายที่ใช้ในการสื่อ สาร เพื่อสื่อสารให้พนักงานทุกคนทราบถึงภารกิจ วัตถุประสงค์ในการให้บริการ นโยบาย และขั้นตอนการปฏิบัติงานต่างๆ เพื่อให้สามารถแน่ใจได้ว่าพนักงานทุกคนมีความเข้าใจถึงสิ่งที่ได้กล่าวมา เพื่อเป็นการกระตุ้นให้พนักงานตระหนักถึงเรื่องของความเสี่ยงทั้งด้านธุรกิจ และด้าน IT ได้ดียิ่งขึ้น ซึ่งกระบวนการนี้จำเป็นที่จะต้องได้รับการสนับสนุนและอนุมัติจากผู้บริหาร ระดับสูงขององค์กร
- PO7 : Manage IT Human Resources หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการบริหารจัดการทรัพยากรมนุษย์ ที่เกี่ยวข้องกับด้านของเทคโนโลยีสารสนเทศ ซึ่งโคบิตได้บอกไว้ว่าการได้มา การดูแลรักษา และการกระตุ้นให้เกิดการทำงานที่มีประสิทธิภาพ เพื่อให้การบริการด้าน IT สามารถสนับสนุนภาคธุรกิจได้ สิ่งนี้จะสามารถสำเร็จได้ด้วยการกำหนดแนวทางในการปฏิบัติที่ชัดเจนในเรื่อง ของการสรรค์หาบุคลากรใหม่ คุณสมบัติของบุคลากร การฝึกอบรม การประเมินผลงาน การโยกย้ายเลื่อนตำแหน่ง และการปลดพนักงานออก เป็นต้น ซึ่งกระบวนการเหล่านี้เป็นกระบวนการที่มีความสำคัญอย่างยิ่ง เนื่องจากโคบิตถือว่าบุคลากรเป็นทรัพยากรที่มีความสำคัญมากที่สุดในบรรดา ทรัพยากรทั้งหมดในองค์กร
- PO8 : Manage Quality หัวข้อการควบคุมนี้เป็นการเน้นที่เรื่องของการจัดการคุณภาพ ซึ่งระบบที่ใช้ในการจัดการคุณภาพควรที่จะมีการวางแผน พัฒนา ติดตั้ง และดูแลรักษา ด้วยการจัดเตรียมข้อมูลที่มีความชัดเจนในด้านนโยบาย ขั้นตอนการปฏิบัติงาน และความต้องการด้านคุณภาพ ซึ่งการพัฒนาอย่างต่อเนื่องสามารถบรรลุผลได้ด้วยการวิเคราะห์ และตรวจสอบติดตามอยู่ตลอดเวลา รวมถึงการรายงานผลที่ได้ไปยังผู้ที่มีส่วนเกี่ยวข้อง ซึ่งกระบวนการในการจัดการคุณภาพนี้ถือเป็นกระบวนการสำคัญที่ทำให้แน่ใจได้ ว่า IT สามารถสนับสนุนธุรกิจได้ และสามารถที่จะพัฒนาต่อไปได้เพื่อเป็นการเพิ่มประสิทธิภาพของระบบ IT
- PO9 : Assess and Manage IT Risk หัวข้อการควบคุมนี้เน้นที่เรื่องของการประเมินและการจัดการความเสี่ยงด้าน เทคโนโลยีสารสนเทศ โดยมีการสร้างและดูแลรักษากรอบการปฏิบัติ (framework) ด้านการจัดการความเสี่ยง ซึงเป็นแหล่งที่รวบรวมเอกสารต่างๆ ที่เกี่ยวกับเรื่องของความเสี่ยงด้านเทคโนโลยีสารสเทศ เช่นการจัดระดับของความเสี่ยงด้าน IT กลยุทธ์ที่ใช้ในการลดความเสี่ยง และรายการของความเสี่ยงที่เหลืออยู่ (residual risk) ผลกระทบต่างๆ ต่อเป้าหมายขององค์กรที่เกิดขึ้นจากการเหตุการณ์ที่ไม่ได้วางแผนไว้จะต้อง ถูกระบุ วิเคราะห์ และประเมินให้หมด ซึ่งกลยุทธ์ที่ใช้ในการลดความเสี่ยงจะต้องถูกนำมาใช้เพื่อลดความเสี่ยงที่ เหลืออยู่ ให้อยู่ในระดับที่องค์กรสามารถยอมรับได้ (accepted level)
- PO10 : Manage Projects หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการบริหารจัดการโครงการด้าน เทคโนโลยีสารสนเทศ ซึ่งควรทำการสร้าง framework ที่ใช้ในการบริหารจัดการโครงการ โดย framework นี้จะครอบคลุมในส่วนของแผนแม่บท (Master Plan) การกำหนดทรัพยากรที่จำเป็น การระบุสิ่งที่ต้องส่งมอบ การประกันคุณภาพ การสร้างแผนการทดสอบที่เป็นทางการ รวมไปถึงการทดสอบและพิจารณาหลังนำระบบออกใช้งานจริง เพื่อให้มั่นใจได้ว่ามีการบริหารจัดการความเสี่ยงของโครงการที่มี ประสิทธิภาพ ซึ่งกระบวนการต่างๆ เหล่านี้จะช่วยลดความเสี่ยงที่ไม่สามารถคาดเดาได้ในด้านของต้นทุนและการล้ม เลิกโครงการ และเพื่อให้แน่ใจได้ว่าผลลัพธ์ที่ได้จากโครงการจะมีคุณภาพและมีคุณค่าต่อ องค์กร
โดเมนการจัดหาและนำระบบออกใช้งานจริง (AI)
- AI1 : Identify Automated Solutions หัวข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดระบบงานที่จะนำมาใช้ในการแก้ไข ปัญหา โดยโคบิตได้ระบุไว้ว่าจะต้องทำการวิเคราะห์ก่อนที่จะมีการจัดหาหรือสร้าง ระบบงานใหม่ เพื่อให้มั่นใจได้ว่าความต้องการทางธุรกิจได้รับการตอบสนองด้วยวิธีการที่มี ประสิทธิภาพและประสิทธิผล ซึ่งกระบวนการนี้จะครอบคลุมตั้งแต่การกำหนดความต้องการ การพิจารณาทางเลือกของแหล่งที่มา (การเลือกผู้จัดจำหน่าย) การพิจารณาความเป็นไปได้ในด้านของเทคโนโลยีและด้านธุรกิจ ทำการวิเคราะห์ความเสี่ยง (Risk Analysis) ทำการวิเคราะห์ต้นทุนและผลประโยชน์ที่จะได้รับ (Cost-Benefit Analysis) และต้องมีการสรุปในท้ายที่สุดว่าระบบใหม่ที่องค์กรต้องการนั้นจะ “ซื้อ” หรือจะ “พัฒนาเอง” ซึ่งขั้นตอนต่างๆ เหล่านี้จะช่วยให้องค์กรสามารถลดต้นทุนในการจัดหาหรือการพัฒนาระบบงานใหม่ และเพื่อให้มั่นใจได้ว่าสิ่งต่างๆ เหล่านี้จะทำให้ธุรกิจประสบความสำเร็จตามเป้าหมายที่ได้กำหนดไว้
- AI2 : Acquire and Maintain Application Software หัวข้อการควบคุมนี้เน้นที่เรื่องของการจัดหาและดูแลในส่วนของระบบงาน ประยุกต์ (Application) ที่องค์กรนำมาใช้ โดยโคบิตกล่าวไว้ว่าระบบงานประยุกต์ต่างๆ ที่นำมาใช้จะต้องเป็นไปตามความต้องการของภาคธุรกิจ ซึ่งกระบวนการนี้จะครอบคลุมตั้งแต่การออกแบบระบบงาน การรวมเรื่องของการควบคุมและการรักษาความปลอดภัยเข้าไปในระบบงานที่จะพัฒนา และการลงมือสร้างระบบและการตั้งค่า configuration ให้เป็นไปตามมาตรฐานความปลอดภัย สิ่งเหล่านี้ทำให้ธุรกิจขององค์กรได้รับการสนับสนุนจากระบบงานที่ถูกต้อง เหมาะสม
- AI3 : Acquire and Maintain Technology Infrastructure หัวข้อการควบคุมนี้จะเน้นที่เรื่องของการจัดหาและการดูแลรักษาโครงสร้างพื้น ฐานด้านเทคโนโลยีสารสนเทศ (Technology Infrastructure) ซึ่งองค์กรควรจัดให้มีกระบวนการที่ใช้ในการจัดหา ติดตั้ง และการพัฒนาระบบโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ โดยกระบวนการนี้ต้องการการวางแผนในการจัดหา การดูแลรักษา และการป้องกันในส่วนของโครงสร้างพื้นฐานเพื่อให้เป็นไปตามกลยุทธ์ด้าน เทคโนโลยีที่องค์กรได้กำหนดไว้ ซึ่งกระบวนการเหล่านี้จะทำให้แน่ใจได้ว่าเทคโนโลยีสารสนเทศจะสามารถสนับสนุน ระบบงานด้านธุรกิจได้อย่างต่อเนื่อง
- AI4 : Enable Operation and Use หัวข้อการควบคุมนี้เน้นที่เรื่องของการเผยแพร่ความรู้ของระบบงานใหม่ให้กับ พนักงานในองค์กรรับทราบ ซึ่งกระบวนการนี้รวมไปถึงการสร้างคู่มือในการปฏิบัติงานของทั้งผู้ใช้งานและ เจ้าหน้าที่ด้าน IT และยังต้องมีการฝึกอบรม เพื่อให้มั่นใจได้ว่าผู้ใช้งานสามารถใช้งานระบบสารสนเทศและโครงสร้างพื้นฐาน ต่างๆ ได้อย่างถูกต้องและเหมาะสม
- AI5 : Procure IT Resources หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการจัดหาทรัพยากรด้านเทคโนโลยี สารสนเทศ ซึ่งทรัพยากรด้านเทคโนโลยีสารสนเทศในความหมายของโคบิตรวมตั้งแต่บุคลากร hardware, software และ บริการต่างๆ โดยที่สิ่งต่างๆ เหล่านี้จำเป็นต้องมีกระบวนการที่ใช้ในการจัดหาอย่างมีประสิทธิภาพ ซึ่งกระบวนการนี้ต้องการการกำหนดและการบังคับใช้ขั้นตอนในการจัดหา (Procurement Procedures) มีการคัดเลือกผู้จัดจำหน่าย มีการจัดเตรียมสัญญาที่ใช้ในการจ้างพนักงาน ซึ่งกระบวนการเหล่านี้จะทำให้มั่นใจได้ว่าองค์กรจะมีทรัพยากรด้านเทคโนโลยี สารสนเทศที่ต้องการได้อย่างทันเวลาและมีการใช้ต้นทุนอย่างมีประสิทธิภาพ
- AI6 : Manage Changes หัวข้อการควบคุมนี้จะเน้นที่เรื่องของการบริหารดูแลการเปลี่ยนแปลงต่างๆ โดยโคบิตกล่าวไว้ว่าการเปลี่ยนแปลงที่เกิดขึ้นทั้งหมดที่เกี่ยวข้องกับโครง สร้างพื้นฐานและระบบงานต่างๆที่อยู่ในสภาพแวดล้อมของระบบงานจริง (Production Environment) จำเป็นต้องมีการบริหารจัดการที่เป็นระบบเพื่อใช้ควบคุมการเปลี่ยนแปลงที่ เกิดขึ้น ซึ่งการเปลี่ยนแปลงทั้งหลาย (รวมตั้งแต่ขั้นตอนและกระบวนการที่ใช้ในการปฏิบัติงาน และค่า parameter ต่างๆที่ใช้ในการให้บริการของระบบ) จำเป็นที่จะต้องถูกจัดเก็บ (Logged) เพื่อสามารถนำมาใช้ในการวิเคราะห์เมื่อเกิดปัญหาจากการเปลี่ยนแปลงได้ ซึ่งกระบวนการเหล่านี้จะทำให้มั่นใจได้ว่าสามารถลดความเสี่ยงจากผลกระทบที่ ไม่ดีในด้านของความมั่นคง (Stability) และความถูกต้อง (Integrity) ในสภาพแวดล้อมของระบบงานจริง
- AI7 : Install and Accredit Solutions and Changes หัวข้อการควบคุมนี้เน้นในเรื่องของกระบวนการที่ใช้ในการพัฒนาและติดตั้งระบบ สารสนเทศใหม่ ซึ่งในกระบวนการนี้จำเป็นต้องมีการทดสอบที่เหมาะสมในสภาพแวดล้อมที่เตรียม ไว้สำหรับการทดสอบโดยเฉพาะ ต้องมีการจัดทำคู่มือสำหรับการติตั้งระบบ มีการเตรียมแผนการติดตั้งระบบใหม่ (Release Planning) มีการเตรียมแผนในการผลักดันระบบที่พัฒนาออกใช้งานจริง และมีการสังเกตการณ์หลังจากที่ได้นำระบบออกใช้งานจริงแล้ว (Post-Implementation Review) เพื่อให้มั่นใจว่าการทำงานของระบบสารสนเทศจะเป็นไปตามที่ได้คาดหวังไว้
โดเมนการส่งมอบและการสนับสนุน (DS)
- DS1 : Define and Manage Service Levels หัวข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดและจัดการระดับของการให้บริการ (Service Level) ซึ่งจำเป็นต้องใช้การสื่อสารที่มีประสิทธิภาพระหว่างฝ่าย IT กับฝ่ายธุรกิจ หรือลูกค้าในการตกลงเพื่อให้เกิดความพึงพอใจกับทุกฝ่าย โดยควรมีการจัดทำเป็นเอกสารที่ระบุถึงข้อตกลงร่วมกันในด้านของระดับการให้ บริการด้าน IT ที่ชัดเจน ซึ่งกระบวนการนี้จะทำให้การบริการด้าน IT สามารถตอบสนองไปในทิศทางที่ธุรกิจต้องการได้อย่างถูกต้องและมีประสิทธิภาพ
- DS2 : Manage Third-Party Services หัวข้อการควบคุมนี้เน้นที่เรื่องของการดูแลและจัดการกับการให้บริการของผู้ ให้บริการภายนอกที่องค์กรใช้บริการอยู่ การที่ผู้บริหารจะมั่นใจได้ว่าบริการที่ได้รับจากผู้ให้บริการภายนอกจะ สามารถตอบสนองความต้องการของธุรกิจได้นั้น จำเป็นต้องมีกระบวนการในการบริหารจัดการผู้ให้บริการที่มีประสิทธิภาพ โดยกระบวนการนี้จะสมบูรณ์ได้นั้นจะต้องประกอบด้วยการกำหนดบทบาท หน้าที่ความรับผิดชอบ และความคาดหวังในข้อตกลงของผู้ให้บริการภายนอกอย่างชัดเจน รวมถึงการตรวจสอบติดตามในข้อตกลงดังกล่าวเพื่อให้ได้รับบริการที่มี ประสิทธิภาพและเป็นไปตามข้อตกลงที่ได้กำหนดไว้ ซึ่งกระบวนการบริหารจัดการผู้ให้บริการภายนอกที่มีประสิทธิภาพจะช่วยลดความ เสี่ยงด้านธุรกิจที่เกี่ยวข้องกับการไม่ปฏิบัติตามข้อตกลงของผู้ให้บริการ ภายนอกได้
- DS3 : Manage Performance and Capacity หัวข้อการควบคุมนี้เน้นที่เรื่องของการบริหารจัดการในส่วนของประสิทธิภาพและ ความสามารถของระบบเทคโนโลยีสารสนเทศที่องค์กรนำมาใช้ ซึ่งการบริหารจัดการประสิทธิภาพและความสามารถของทรัพยากรด้านเทคโนโลยี สารสนเทศ ต้องการกระบวนการที่ใช้ในการในการตรวจสอบติดตามประสิทธิและความสามารถของ ทรัพยากรด้านเทคโนโลยีสารสนเทศเป็นช่วงเวลาที่แน่นอน ซึ่งกระบวนการนี้รวมไปถึงการพยากรณ์ความต้องการทรัพยากรในอนาคตโดยดูจาก workload ในปัจจุบัน โดยกระบวนการนี้เป็นการสร้างความมั่นใจว่าทรัพยากรด้านเทคโนโลยีสารสนเทศจะ สามารถนำมาใช้เพื่อสนับสนุนความต้องการทางด้านธุรกิจได้อย่างต่อเนื่องตลอด เวลา
- DS4 : Ensure Continuous Service หัวข้อการควบคุมนี้เน้นที่เรื่องของความต่อเนื่องในการให้บริการด้าน เทคโนโลยีสารสนเทศ โดยโคบิตกล่าวไว้ว่าการจัดเตรียมการบริการด้านเทคโนโลยีสารสนเทศให้มีความ ต่อเนื่องอยู่เสมอ จำเป็นต้องมีการพัฒนา การดูแลรักษา และการทดสอบในส่วนของแผนความต่อเนื่องด้านเทคโนโลยีสารสนเทศ (IT Continuity Plan) การสำรองแหล่งข้อมูลที่ศูนย์สำรอง (Offsite Backup Storage) และกำหนดการฝึกอบรมตามแผนความต่อเนื่องอย่างเป็นช่วงเวลาที่แน่นอน (Periodic Continuity Plan Training) ซึ่งแผนความต่อเนื่องที่มีประสิทธิภาพจะช่วยลดโอกาสเกิดและผลกระทบของการ หยุดชะงักในการให้บริการด้านเทคโนโลยีสารสนเทศที่มีความสำคัญในกระบวนการทาง ธุรกิจ
- DS5 : Ensure Systems Security หัวข้อการควบคุมนี้ถือเป็นหัวข้อหนึ่งที่มีความสำคัญมากเนื่องในหัวข้อนี้จะ เน้นที่เรื่องของการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศ โดยโคบิตได้บอกไว้ว่าในเรื่องของการดูแลรักษาความถูกต้องของสารสนเทศและการ ป้องกันทรัพย์สินด้านเทคโนโลยีสารสนเทศ จำเป็นต้องมีกระบวนการบริหารจัดการด้านความปลอดภัยที่ดี ซึ่งกระบวนการนี้ประกอบด้วยการสร้างและการดูแลรักษาบทบาทและหน้าที่ความรับ ผิดชอบในส่วนของความปลอดภัยด้านเทคโนโลยีสารสนเทศ การกำหนดนโยบาย มาตรฐาน และขั้นตอนการปฏิบัติงานด้านความปลอดภัยที่ดี รวมถึงมีการตรวจสอบติดตามด้านความปลอดภัย มีการทดสอบความถูกต้องเป็นประจำ และมีการแก้ไขจุดอ่อนด้านความปลอดภัยที่ตรวจพบด้วยกระบวนการที่มีความถูก ต้อง ซึ่งการบริหารจัดการด้านความปลอดภัยที่มีประสิทธิภาพจะช่วยป้องกันทรัพย์สิน ทั้งหมดในองค์กรให้มีผลกระทบจากช่องโหว่และเหตุผิดปกติด้านความปลอดภัยน้อย ที่สุด
- DS6 : Identify and Allocate Costs หัวข้อการควบคุมนี้เน้นที่เรื่องของการระบุและจัดสรรต้นทุนด้านเทคโนโลยี สารสนเทศ การจัดสรรต้นทุนด้านเทคโนโลยีสารสนเทศที่มีความยุติธรรมและสมเหตุสมผลนั้น ต้องการตัววัดที่มีความถูกต้องแม่นยำและต้องได้รับความเห็นชอบจากผู้ใช้งาน ภาคธุรกิจด้วย ซึ่งกระบวนการจัดสรรที่เป็นธรรมนี้จะช่วยลดความเสี่ยงต่อความเสียหายที่เกิด จากการกำหนดนโยบายในการจัดสรรงบประมาณในการดำเนินงาน และยังช่วยลดความเสียหายที่เกิดจากการใช้ทรัพยากรที่ไม่เหมาะสมอีกด้วย
- DS7 : Educate and Train Users หัวข้อการควบคุมนี้เน้นที่เรื่องของการให้ความรู้และการฝึกอบรมพนักงาน ซึ่งโคบิตระบุไว้ว่าการให้ความรู้และการฝึกอบรมในเรื่องที่เกี่ยวกับระบบ สารสนเทศอย่างมีประสิทธิภาพกับพนักงานทั้งองค์กรจะเริ่มตั้งแต่การระบุการ ฝึกอบรมที่พนักงานแต่ละกลุ่มต้องการ การกำหนดและการดำเนินการในเรื่องของกลยุทธ์ที่ใช้ในการฝึกอบรม และต้องมีการวัดผลของการฝึกอบรมนั้นๆ ด้วย ซึ่งการโปรแกรมการฝึกอบรมที่มีประสิทธิภาพจะช่วยเพิ่มประสิทธิภาพในการใช้ งานระบบสารสนเทศด้วยการลดข้อผิดพลาดที่เกิดจากตัวพนักงาน ช่วยเพิ่มผลผลิตให้กับองค์กร และช่วยให้เกิดการปฏิบัติตามการควบคุมต่างๆ ที่องค์กรนำมาใช้ได้ง่ายยิ่งขึ้น
- DS8 : Manage Service Desk and Incidents หัวข้อการควบคุมนี้เน้นที่เรื่องของการบริหารจัดการด้านการให้บริการและ เหตุการณ์ที่เกิดขึ้น ซึ่งโคบิตบอกไว้ว่าการตอบสนองในเรื่องของปัญหาหรือข้อสงสัยด้าน IT จากผู้ใช้งานที่มีประสิทธิภาพและอยู่ในเวลาที่เหมาะสม ต้องการการวางแผน และมีการใช้กระบวนการบริหารจัดการที่ดี โดยกระบวนการนี้เริ่มตั้งแต่การจัดตั้งหน่วยงานที่ทำหน้าที่ในการให้บริการ มีการกำหนดระดับขั้นในการจัดการเหตุการณ์ (Incident Escalation) มีการวิเคราะห์แนวโน้มและสาเหตุของปัญหา และมีการกำหนดแนวทางที่ใช้ในการแก้ไขปัญหาที่ชัดเจน ซึ่งกระบวนการเหล่านี้จะช่วยเพิ่มประสิทธิภาพในการแก้ไขปัญหาที่เกิดขึ้น ทำให้สามารถแก้ไขปัญหาได้อย่างรวดเร็วทันต่อความต้องการของธุรกิจ และต้องมีการจัดทำรายงานของปัญหาที่เกิดขึ้นให้ผู้บริหารทราบด้วย
- DS9 : Manage the Configuration หัวข้อการควบคุมนี้จะเน้นที่เรื่องของการดูแลการ configuration ในส่วนของ hardware และ software ต่างๆ ซึ่งโคบิตได้กำหนดไว้ว่าการที่จะสามารถแน่ใจได้ว่า configuration ของ hardware และ software ที่ใช้ในองค์กรจะมีความถูกต้องตรงกัน จำเป็นต้องมีการสร้างและดูแลรักษาแหล่งที่ใช้ในการเก็บค่า configuration ต่างๆ ให้มีความถูกต้องและสมบูรณ์อยู่เสมอ ซึ่งกระบวนการของหัวข้อการควบคุมนี้รวมไปถึงการเก็บรวบรวมค่า configuration เริ่มต้น มีการสร้าง baseline ต่างๆ มีการตรวจสอบความถูกต้องของค่า configuration และจำเป็นที่จะต้องมีการปรับปรุงแหล่งที่เก็บค่า configuration ให้ทันสมัยอยู่เสมอ การบริหารจัดการค่า configuration ให้มีประสิทธิภาพจะช่วยส่งเสริมให้ระบบมีสภาพพร้อมใช้งานที่มากขึ้น ช่วยลดประเด็นข้อผิดพลาดที่เกิดในระบบงาน และช่วยให้การแก้ไขประเด็นข้อผิดพลาดต่างๆ ทำได้อย่างรวดเร็ว
- DS10 : Manage Problems หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการจัดการปัญหาที่เกิดขึ้นภาย ในองค์กร โดยโคบิตได้บอกไว้ว่าการจัดการกับปัญหาที่มีประสิทธิภาพนั้นต้องการการระบุ และการจัดกลุ่มของปัญหา การวิเคราะห์ถึงสาเหตุของปัญหา และการกำหนดแนวทางที่ใช้ในการแก้ไขปัญหา ซึ่งกระบวนการที่ใช้ในการจัดการปัญหาเริ่มตั้งแต่การกำหนดข้อแนะนำต่างๆ ในเรื่องของการปรับปรุงแก้ไขข้อบกพร่อง การดูแลจัดการบันทึกของปัญหาที่เกิดขึ้น และการปรับปรุงให้ลูกค้าเกิดความสะดวกสบายและความพึงพอใจ
- DS11 : Manage Data หัวข้อการควบคุมนี้เน้นที่เรื่องของการบริหารจัดการในส่วนของข้อมูลที่ใช้ใน การปฏิบัติงาน โดยโคบิตได้กล่าวไว้ว่าการบริหารจัดการข้อมูลที่มีประสิทธิภาพจำเป็นที่จะ ต้องมีการระบุความต้องการของข้อมูล โดยกระบวนการที่ใช้ในการบริหารจัดการข้อมูลประกอบด้วยการสร้างวิธีการที่ใช้ ในการบริหารการจัดเก็บข้อมูลอย่างมีประสิทธิภาพ การสำรองและการกู้คืนข้อมูล และการจัดวางข้อมูลต่างๆ ให้เหมาะสม เป็นต้น ซึ่งการบริหารจัดการข้อมูลที่มีประสิทธิภาพจะช่วยให้สามารถแน่ใจได้ว่า ข้อมูลทางธุรกิจจะเป็นข้อมูลที่มีคุณภาพ ทันสมัย และมีสภาพพร้อมใช้งานอยู่เสมอ
- DS12 : Manage the Physical Environment หัวข้อการควบคุมนี้จะเน้นถึงเรื่องของการบริหารจัดกรอุปกรณ์ที่เป็น Physical devices ซึ่งการป้องกันเครื่องมือและอุปกรณ์ต่างๆ จำเป็นที่จะต้องมีการออกแบบและการบริหารจัดการที่ดี โดยกระบวนการของการบริหารจัดการสิ่งเหล่านี้จะประกอบไปด้วยการระบุความต้อง การของสถานที่ตั้ง (Physical Site) การคัดเลือกอุปกรณ์ที่เหมาะสม การออกแบบกระบวนการที่มีประสิทธิภาพเพื่อใช้ในการตรวจสอบติดตามปัจจัยของ สภาพแวดล้อมต่างๆ และการดูแลการเข้าถึงทางกายภาพ (Physical Access) ซึ่งการบริหารจัดการด้านสภาพแวดล้อมทางกายภาพ (Physical Environment) ที่มีประสิทธิภาพ จะช่วยลดการหยุดชะงักของภาคธุรกิจที่เกิดจากความเสียหายของอุปกรณ์ คอมพิวเตอร์และบุคลากร
- DS13 : Manage Operations หัวข้อการควบคุมนี้จะเน้นในเรื่องของการบริหารจัดการกระบวนการปฏิบัติงาน ซึ่งโคบิตได้กล่าวไว้ว่าความครบถ้วนสมบูรณ์และถูกต้องของกระบวนการในการ ประมวลผลข้อมูลต่างๆ ต้องการการบริหารจัดการที่มีประสิทธิภาพ รวมไปถึงการดูแลรักษา hardware ที่มีประสิทธิภาพด้วย โดยกระบวนการนี้รวมตั้งแต่การกำหนดนโยบายของการปฏิบัติงาน การกำหนดขั้นตอนการปฏิบัติงานที่มีประสิทธิภาพ การจัดตารางในการปฏิบัติงานที่มีประสิทธิภาพ การป้องกันผลลัพธ์ที่มีความสำคัญ การตรวจสอบโครงสร้างพื้นฐาน รวมถึงการดูแลและป้องกัน hardware ให้สามารถใช้งานได้อยู่ตลอดเวลา ซึ่งการบริหารจัดการกระบวนการปฏิบัติงานที่มีประสิทธิภาพจะช่วยให้ข้อมูล ต่างๆ มีความถูกต้องอยู่เสมอ และยังช่วยลดความล่าช้าในการปฏิบัติงานด้านเทคโนโลยีสารสนเทศอีกด้วย
โดเมนการติดตามและประเมินผล (ME)
- ME1 : Monitor and Evaluate IT Performance หัวข้อการควบคุมนี้เน้นในเรื่องของการตรวจสอบและการประเมินประสิทธิภาพของ ของระบบสารสนเทศ โดยโคบิตได้ระบุไว้ว่าการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่มี ประสิทธิภาพจำเป็นต้องมีการตรวจสอบติดตามการปฏิบัติงานเหล่านั้นด้วย ซึ่งกระบวนการนี้รวมตั้งแต่การกำหนดตัวชี้วัดประสิทธิภาพที่เกี่ยวข้อง การรายงานผลของประสิทธิภาพอย่างเป็นระบบและเป็นเวลา การเตรียมขั้นตอนในการรับมือเมื่อเกิดปัญหา ซึ่งการตรวจสอบติดตามนั้นคือความต้องการให้แน่ใจว่าสิ่งที่ถูกต้องได้ถูกนำ มาปฏิบัติเพื่อให้เป็นไปตามทิศทางของนโยบายในองค์กร
- ME2 : Monitor and Evaluate Internal Control หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่การสร้างรายการของการควบคุมภายในที่มี ประสิทธิภาพสำหรับระบบเทคโนโลยีสารสนเทศที่ต้องการกระบวนการตรวจสอบที่ถูก สร้างขึ้นมาอย่างดี ซึ่งกระบวนการนี้ประกอบไปด้วยการตรวจสอบและการรายงานผลของการไม่ปฏิบัติตาม การควบคุม (Control Exceptions) ผลของการประเมินประสิทธิภาพการทำงาน และการตรวจสอบประสิทธิภาพของผู้ให้บริการต่างๆ ภายนอก ข้อดีที่สำคัญของการตรวจสอบติดตามการควบคุมภายในคือการสร้างความเชื่อมั่นใน เรื่องของประสิทธิภาพและประสิทธิผลของกระบวนการปฏิบัติงาน และ เพื่อให้กระบวนการดังกล่าวเป็นไปตามกฎระเบียบที่องค์กรนำมาใช้
- ME3 :Ensure Regulatory Compliance หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการสร้างขั้นตอนที่ใช้ในการ ตรวจสอบอย่างเป็นอิสระ เพื่อให้สามารถมั่นใจได้ว่าการปฏิบัติงานต่างๆ ภายในองค์กรนั้นเป็นไปตามที่กำหนดไว้ในกฎหมายและระเบียบข้อบังคับต่างๆ ซึ่งรวมถึงการกำหนดกฎระเบียบด้านการตรวจสอบ (Audit Charter) ความเป็นอิสระของผู้ตรวจสอบ (Auditor Independence) มาตรฐานและศีลธรรมของผู้เชี่ยวชาญ (Professional Ethics and Standard) ประสิทธิภาพในการปฏิบัติงานของผู้ตรวจสอบ (Performance of Audit Work) การรายงานและการติดตามผลการปฏิบัติงานด้านการตรวจสอบ (Reporting and Follow-up of Audit Activities) เป้าหมายของหัวข้อการควบคุมนี้เพื่อจัดเตรียมขั้นตอนต่างๆที่เกี่ยวข้องกับ การปฏิบัติตามกฎหมายและระเบียบข้อบังคับต่างๆ ที่สามารถเชื่อถือได้
- ME4 : Provide IT Governance หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการสร้างแนวทางการปฏิบัติด้าน ธรรมาภิบาลที่มีประสิทธิภาพ ซึ่งรวมตั้งแต่การกำหนดโครงสร้างขององค์กร กระบวนการปฏิบัติงาน ความเป็นผู้นำ บทบาทและหน้าที่ความรับผิดชอบ เพื่อให้สามารถแน่ใจได้ว่าการลงทุนทางด้านเทคโนโลยีสารสนเทศสามารถสอดคล้อง และสนับสนุนกลยุทธ์และวัตถุประสงค์ขององค์กรได้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น