Information Technology Governance

จากครั้งก่อนที่ได้กล่าวถึงกิจกรรมด้าน IT Governance โดยสรุปไปแล้ว ครั้งนี้ผมจะนำเสนอแนวทางในการกำหนดกิจกรรมหลักของ IT Governance ต่อเลยครับ

การที่จะประสบความสำเร็จในยุคเทคโนโลยีสารสนเทศ ธรรมาภิบาลขององค์กร และ IT Governance ไม่สามารถแยกกันหรือใช้กฎเกณฑ์ที่แตกต่างกันได้อีกต่อไป ธรรมาภิบาลขององค์กรที่มีประสิทธิภาพ มุ่งเน้นความชำนาญและประสบการณ์ทั้งปัจเจกบุคคลและของหมู่คณะ ซึ่งก่อให้เกิดผลสูงสุด เฝ้าติดตามและวัดผลการดำเนินงาน และรับประกันการแก้ปัญหาวิกฤต เทคโนโลยีสารสนเทศ ซึ่งเดิมได้รับการพิจารณาว่าเป็นเพียงปัจจัยหนุนกลยุทธ์ของธุรกิจมาเป็นเวลานาน ปัจจุบันได้รับการพิจารณาให้รวมอยู่เป็นหนึ่งในกลยุทธ์ของธุรกิจ

IT Governance มีโครงสร้างที่เชื่อมโยง กระบวนการทางด้านเทคโนโลยีสารสนเทศ (IT process) ทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resource) และสารสนเทศ (Information) ควบคู่ไปกับกลยุทธ์และวัตถุประสงค์ของธุรกิจ IT Governanceได้รวบรวมและจัดให้มีวิธีที่ดีที่สุดสำหรับการวางแผนและการจัดองค์กร การจัดหาและการนำระบบออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตามการดำเนินงานด้านเทคโนโลยีสารสนเทศ IT Governance ถูกรวมเป็นส่วนหนึ่งของความสำเร็จในธรรมาภิบาลขององค์กร โดยรับประกันในเรื่องการปรับปรุงที่สามารถวัดผลได้ทางด้านประสิทธิภาพและประสิทธิผลของกระบวนการทางธุรกิจ IT Governance ช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

เมื่อมองถึงบทบาทความสัมพันธ์ระหว่างกระบวนการของธรรมาภิบาลขององค์กร และ IT Governance ในรายละเอียด จะเห็นได้ว่าธรรมาภิบาลขององค์กรนั้น เป็นระบบซึ่งทำหน้าที่กำกับ ควบคุม ผลักดัน และกำหนด IT Governance ในขณะเดียวกันเทคโนโลยีสารสนเทศควรให้ข้อมูลที่สำคัญในการจัดทำแผนกลยุทธ์ และควรเป็นส่วนหนึ่งที่สำคัญของแผนฯ อันที่จริงแล้วเทคโนโลยีสารสนเทศอาจมีอิทธิผลต่อโอกาสเชิงกลยุทธ์ที่องค์กรได้จัดร่างขึ้น

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

กิจกรรมขององค์กรต้องการข้อมูลที่ได้มาจากการทำงานของระบบเทคโนโลยีสารสนเทศ ในอันที่จะบรรลุถึงวัตถุประสงค์ขององค์กร องค์กรที่ประสบความสำเร็จต้องแน่ใจได้ว่า กิจกรรมด้านเทคโนโลยีสารสนเทศและการวางแผนกลยุทธ์นั้นมีความสัมพันธ์กัน เทคโนโลยีสารสนเทศจะต้องสอดคล้องกับองค์กร และช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

องค์กรมักได้รับการกำกับดูแลด้วยแนวทางการปฏิบัติที่ดี (หรือที่เป็นเลิศ) ซึ่งเป็นที่ยอมรับโดยทั่วไป เพื่อให้แน่ใจได้ว่าองค์กรจะสามารถบรรลุถึงเป้าหมาย โดยมีการควบคุมบางประการเพื่อรับประกันในเรื่องดังกล่าว วัตถุประสงค์เหล่านี้ช่วยให้เกิดการดำเนินงานไปตามทิศทางขององค์กร ซึ่งกำหนดกิจกรรมต่าง ๆ ที่ใช้ทรัพยากรขององค์กร ผลของการดำเนินกิจกรรมจะต้องได้รับการวัดผลและการรายงาน เพื่อเป็นข้อมูลในการปรับปรุงและบำรุงรักษามาตรการการควบคุมอย่างสม่ำเสมอ

ธรรมาภิบาลขององค์กร

เทคโนโลยีสารสนเทศถูกกำกับโดยวิธีการปฏิบัติที่ดี (หรือเป็นเลิศ) เพื่อแน่ใจได้ว่าสารสนเทศขององค์กรและเทคโนโลยีที่นำมาใช้เป็นไปตามวัตถุประสงค์ของธุรกิจ รวมถึงการนำทรัพยากรไปใช้อย่างรับผิดชอบ และการจัดการความเสี่ยงเป็นไปอย่างเหมาะสม วิธีการปฏิบัติเหล่านี้เป็นพื้นฐานของการกำหนดทิศทางในกิจกรรมต่าง ๆ ด้านเทคโนโลยีสารสนเทศ ได้แก่การวางแผนและจัดองค์กร การจัดหาและการนำระบบงานออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตาม โดยมีจุดประสงค์ทั้งสองประการคือ การจัดการความเสี่ยง (เพื่อให้มีความปลอดภัย ความน่าเชื่อถือ และการปฏิบัติตามกฎระเบียบข้อบังคับ) การได้รับผลประโยชน์ (การเพิ่มประสิทธิภาพและประสิทธิผล) และให้มีการรายงานผลการทำงานของกิจกรรมด้านเทคโนโลยีสารสนเทศ ซึ่งมีการวัดผลเปรียบเทียบกับวิธีการปฏิบัติและการควบคุมอื่น ๆ

จากครั้งก่อนที่ได้กล่าวถึงกิจกรรมด้าน IT Governance โดยสรุปไปแล้ว ครั้งนี้ผมจะนำเสนอแนวทางในการกำหนดกิจกรรมหลักของ IT Governance ต่อเลยครับ

การที่จะประสบความสำเร็จในยุคเทคโนโลยีสารสนเทศ ธรรมาภิบาลขององค์กร และ IT Governance ไม่สามารถแยกกันหรือใช้กฎเกณฑ์ที่แตกต่างกันได้อีกต่อไป ธรรมาภิบาลขององค์กรที่มีประสิทธิภาพ มุ่งเน้นความชำนาญและประสบการณ์ทั้งปัจเจกบุคคลและของหมู่คณะ ซึ่งก่อให้เกิดผลสูงสุด เฝ้าติดตามและวัดผลการดำเนินงาน และรับประกันการแก้ปัญหาวิกฤต เทคโนโลยีสารสนเทศ ซึ่งเดิมได้รับการพิจารณาว่าเป็นเพียงปัจจัยหนุนกลยุทธ์ของธุรกิจมาเป็นเวลานาน ปัจจุบันได้รับการพิจารณาให้รวมอยู่เป็นหนึ่งในกลยุทธ์ของธุรกิจ

IT Governance มีโครงสร้างที่เชื่อมโยง กระบวนการทางด้านเทคโนโลยีสารสนเทศ (IT process) ทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resource) และสารสนเทศ (Information) ควบคู่ไปกับกลยุทธ์และวัตถุประสงค์ของธุรกิจ IT Governanceได้รวบรวมและจัดให้มีวิธีที่ดีที่สุดสำหรับการวางแผนและการจัดองค์กร การจัดหาและการนำระบบออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตามการดำเนินงานด้านเทคโนโลยีสารสนเทศ IT Governance ถูกรวมเป็นส่วนหนึ่งของความสำเร็จในธรรมาภิบาลขององค์กร โดยรับประกันในเรื่องการปรับปรุงที่สามารถวัดผลได้ทางด้านประสิทธิภาพและประสิทธิผลของกระบวนการทางธุรกิจ IT Governance ช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

เมื่อมองถึงบทบาทความสัมพันธ์ระหว่างกระบวนการของธรรมาภิบาลขององค์กร และ IT Governance ในรายละเอียด จะเห็นได้ว่าธรรมาภิบาลขององค์กรนั้น เป็นระบบซึ่งทำหน้าที่กำกับ ควบคุม ผลักดัน และกำหนด IT Governance ในขณะเดียวกันเทคโนโลยีสารสนเทศควรให้ข้อมูลที่สำคัญในการจัดทำแผนกลยุทธ์ และควรเป็นส่วนหนึ่งที่สำคัญของแผนฯ อันที่จริงแล้วเทคโนโลยีสารสนเทศอาจมีอิทธิผลต่อโอกาสเชิงกลยุทธ์ที่องค์กรได้จัดร่างขึ้น

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

กิจกรรมขององค์กรต้องการข้อมูลที่ได้มาจากการทำงานของระบบเทคโนโลยีสารสนเทศ ในอันที่จะบรรลุถึงวัตถุประสงค์ขององค์กร องค์กรที่ประสบความสำเร็จต้องแน่ใจได้ว่า กิจกรรมด้านเทคโนโลยีสารสนเทศและการวางแผนกลยุทธ์นั้นมีความสัมพันธ์กัน เทคโนโลยีสารสนเทศจะต้องสอดคล้องกับองค์กร และช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

องค์กรมักได้รับการกำกับดูแลด้วยแนวทางการปฏิบัติที่ดี (หรือที่เป็นเลิศ) ซึ่งเป็นที่ยอมรับโดยทั่วไป เพื่อให้แน่ใจได้ว่าองค์กรจะสามารถบรรลุถึงเป้าหมาย โดยมีการควบคุมบางประการเพื่อรับประกันในเรื่องดังกล่าว วัตถุประสงค์เหล่านี้ช่วยให้เกิดการดำเนินงานไปตามทิศทางขององค์กร ซึ่งกำหนดกิจกรรมต่าง ๆ ที่ใช้ทรัพยากรขององค์กร ผลของการดำเนินกิจกรรมจะต้องได้รับการวัดผลและการรายงาน เพื่อเป็นข้อมูลในการปรับปรุงและบำรุงรักษามาตรการการควบคุมอย่างสม่ำเสมอ

ธรรมาภิบาลขององค์กร

เทคโนโลยีสารสนเทศถูกกำกับโดยวิธีการปฏิบัติที่ดี (หรือเป็นเลิศ) เพื่อแน่ใจได้ว่าสารสนเทศขององค์กรและเทคโนโลยีที่นำมาใช้เป็นไปตามวัตถุประสงค์ของธุรกิจ รวมถึงการนำทรัพยากรไปใช้อย่างรับผิดชอบ และการจัดการความเสี่ยงเป็นไปอย่างเหมาะสม วิธีการปฏิบัติเหล่านี้เป็นพื้นฐานของการกำหนดทิศทางในกิจกรรมต่าง ๆ ด้านเทคโนโลยีสารสนเทศ ได้แก่การวางแผนและจัดองค์กร การจัดหาและการนำระบบงานออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตาม โดยมีจุดประสงค์ทั้งสองประการคือ การจัดการความเสี่ยง (เพื่อให้มีความปลอดภัย ความน่าเชื่อถือ และการปฏิบัติตามกฎระเบียบข้อบังคับ) การได้รับผลประโยชน์ (การเพิ่มประสิทธิภาพและประสิทธิผล) และให้มีการรายงานผลการทำงานของกิจกรรมด้านเทคโนโลยีสารสนเทศ ซึ่งมีการวัดผลเปรียบเทียบกับวิธีการปฏิบัติและการควบคุมอื่น ๆ

ครั้งก่อนผมได้เล่าสู่กันฟังถึงแนวคิดหลัก และหลักการในการกำหนดกรอบของ IT Governance รวมถึงความสัมพันธ์ของ IT Governance กับ Corporate Governance ที่มีความสัมพันธ์แบบพึ่งพากัน ในวันนี้เราจะมาพูดคุยต่อถึงปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance รวมถึงบทบาท หน้าที่ของฝ่ายตรวจสอบ คณะกรรมการและผู้บริหารขององค์กรที่เกี่ยวข้องกับ IT Governance กันครับ

ปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance โดยย่อ
ปัจจัยที่ใช้วัดความสำเร็จทางด้านเทคโนโลยีสารสนเทศ และ IT Governance ที่สำคัญ ซึ่งจะเชื่อมโยงนำไปสู่ความสำเร็จขององค์กรโดยรวม จะพิจารณาทางด้านกฎหมาย ด้านการจัดองค์กร และกระบวนการปฏิบัติงานทั่วทั้งองค์กร ไม่ว่าจะใช้โปรแกรมประยุกต์เพื่อการบริหารทรัพยากรทั่วทั้งองค์กรด้านเทคนิค ซึ่งอาจเป็นระบบ Enterprise Resource Planning (ERP) หรือไม่ก็ตาม การวางแผน การปฏิบัติ การสอบทาน และการแก้ไข เพื่อนำไปสู่ความคิดในการพัฒนางานด้าน IT Governance ให้เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดีขององค์กร (GCG – Good Corporate Governance) นั้น เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

สำหรับการบริหาร IT Governance เท่าที่เป็นอยู่ในปัจจุบัน เมื่อเทียบกับมาตรฐานที่ใช้ในการประเมินผลการบริหารความเสี่ยงด้าน IT Governance ซึ่งเป็นส่วนหนึ่งของการประเมินระดับการบริหารความเสี่ยงขององค์กรนั้น มีข้อควรพิจารณาปรับปรุงบางประการ เช่น BCP-Business Continuity Plan การบริหารสภาพแวดล้อมของศูนย์คอมพิวเตอร์หลัก โดยการจัดให้มีการควบคุมสภาพแวดล้อมที่เหมาะสมตามมาตรฐาน ที่วัดได้ ปฎิบัติได้ โดยมี Performance Measurement ที่เหมาะสม

การจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน เทคโนโลยีสารสนเทศ กับความเสี่ยงที่อาจเกิดขึ้น

การสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์ หรือนโยบาย และการจัดการด้านเทคโนโลยีสารสนเทศตามที่กำหนดไว้ เช่น กลยุทธ์ หรือนโยบายด้านเทคโนโลยีสารสนเทศ ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้านเทคโนโลยีสารสนเทศในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

บทบาทของฝ่ายตรวจสอบที่เกี่ยวข้องกับ IT Governance
ฝ่ายตรวจสอบควรมีบทบาทในฐานะเป็นผู้ให้คำแนะนำ และสร้างคุณค่าเพิ่มในการปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบภายในของทุกสายงาน และในฐานะผู้ประเมินคุณภาพการบริหารความเสี่ยง การควบคุมภายในทางด้านต่าง ๆ เช่น
1. คุณภาพของการปฏิบัติงาน (Operational)
2. คุณภาพทางด้านการปฏิบัติตามนโยบาย กฎเกณฑ์ ระเบียบ คำสั่ง (Compliance)
3. คุณภาพด้านการเงิน และการรายงาน (Financial) รวมทั้งการให้คำแนะนำด้านเทคโนโลยีสารสนเทศ และ IT Governance
4. การตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งการใช้ Outsource เพื่อเป้าหมายดังกล่าว รวมทั้งมุมมองที่กว้างกว่านั้น องค์กรควรวางกรอบความต้องการของตนให้ชัดเจนเพื่อความคุ้มค่าในการดำเนินงาน เพราะการตรวจสอบด้านเทคโนโลยียุคใหม่จะเป็นการตรวจสอบการจัดการความเสี่ยงทางด้าน IT Governance โดยเฉพาะอย่างยิ่งการตรวจสอบความสามารถในการดำเนินธุรกิจอย่างต่อเนื่อง (BCM – Business Continuity Management) และ Control Objective ไปสู่ Business Process เพื่อก้าวไปสู่ Business Objective ขององค์กร โดยเน้นหลักการ Best Practice

บทบาทหน้าที่ของคณะกรรมการและผู้บริหารขององค์กรเกี่ยวกับ IT Governance
1. นำกรอบงานธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ (IT Governance) มาใช้ในองค์กร
2. กำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศที่สอดคล้องกับเป้าหมายการทำธุรกิจ
3. การเชื่อมโยงกลยุทธ์ และเป้าหมายลงไปในแต่ละระดับขององค์กร
4. กำหนดโครงสร้างองค์กรที่ช่วยสนับสนุนการดำเนินงานตามกลยุทธ์ที่วางไว้
5. นำกรอบงานด้านการควบคุมเทคโนโลยีสารสนเทศ และด้าน IT Governance มาใช้
6. จัดให้มีโครงสร้างพื้นฐานด้านเทคโนโลยีที่ช่วยสนับสนุนการสร้างสารสนเทศทางธุรกิจและการใช้สารสนเทศดังกล่าวร่วมกัน
7. การผนวกรวมความรับผิดชอบด้านการบริหารความเสี่ยงไว้ในองค์กร
8. มุ่งเน้นกระบวนการเทคโนโลยีสารสนเทศที่สำคัญ และความสามารถหลักของเทคโนโลยีสารสนเทศ (Core IT Competencies)
9. วัดผลการดำเนินงาน (Balanced Business Scorecard)

กิจกรรมด้าน IT Governance โดยสรุป
1. กำหนด IT Master Plan วิธีการปฏิบัติงานใหม่ที่มีกระบวนการที่ใช้เทคโนโลยีสารสนเทศ และคำนึงถึงผลกระทบทางด้านเทคโนโลยีสารสนเทศที่มีต่อองค์กรและวิธีการทำงานใหม่ ๆ
2. กำหนดความคาดหวังและผลตอบแทน เพื่อกำหนดแนวทางการใช้เทคโนโลยีสารสนเทศอย่างคุ้มค่า
3. มีการพิจารณา Physical Security และ Information Security Governance ที่เป็นรูปธรรมโดยเฉพาะจากข้อกำหนดของหน่วยงานภาครัฐฯ และบุคคลภายนอกที่เกี่ยวข้อง
4. กำหนดหน้าที่ ความรับผิดชอบ การประสานงาน การใช้เทคโนโลยีสารสนเทศของแต่ละสายงานทั่วทั้งองค์กรที่สามารถทำงานกับสายงานได้อย่างลงตัว
5. การพิจารณาใช้เทคโนโลยีสารสนเทศสนับสนุนกระบวนการปฏิบัติงาน ทั้งภายในและภายนอกองค์กรอย่างสอดคล้อง และต่อเนื่องทั่วถึงกันทุกระบบที่สำคัญขององค์กร
6. กำหนดจุดควบคุมของทุกกระบวนการ และมีการสอบทานติดตามในกระบวนการปฏิบัติงาน
7. รวบรวม และบริหารทรัพยากรอย่างผสมผสานระหว่าง IT Process และ Business Process ตั้งแต่การวางแผนการจัดองค์กร การพนักงาน การกำกับไปจนถึงการติดตาม
8. การบริหารและจัดการกับความเสี่ยงที่เกี่ยวข้องทั่วทั้งองค์กร ที่รวมทั้งความเสี่ยงทางด้านเทคโนโลยีสารสนเทศตามคุณลักษณะที่ดี
9.จัดให้มีการวัดผลการปฏิบัติงานทุกสายงาน และภาพโดยรวมขององค์กร โดยเน้นการพลิกฟื้นด้านปฏิบัติการ (Operation Turnaround) การพลิกโฉมทางยุทธศาสตร์ (Strategic Turnaround)
10. สอบทาน และรับรองคุณภาพของผลการปฏิบัติงานโดยรวม จากการมีการใช้เทคโนโลยีสารสนเทศ และ IT Governance
11. การพิจารณาความดีความชอบจากการบริหาร และการปฏิบัติงานด้าน IT Governance อย่างผสมผสานทั่วทั้งองค์กรในส่วนที่เกี่ยวข้อง

ครั้งก่อนผมได้เล่าสู่กันฟังถึงแนวคิดหลัก และหลักการในการกำหนดกรอบของ IT Governance รวมถึงความสัมพันธ์ของ IT Governance กับ Corporate Governance ที่มีความสัมพันธ์แบบพึ่งพากัน ในวันนี้เราจะมาพูดคุยต่อถึงปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance รวมถึงบทบาท หน้าที่ของฝ่ายตรวจสอบ คณะกรรมการและผู้บริหารขององค์กรที่เกี่ยวข้องกับ IT Governance กันครับ

ปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance โดยย่อ
ปัจจัยที่ใช้วัดความสำเร็จทางด้านเทคโนโลยีสารสนเทศ และ IT Governance ที่สำคัญ ซึ่งจะเชื่อมโยงนำไปสู่ความสำเร็จขององค์กรโดยรวม จะพิจารณาทางด้านกฎหมาย ด้านการจัดองค์กร และกระบวนการปฏิบัติงานทั่วทั้งองค์กร ไม่ว่าจะใช้โปรแกรมประยุกต์เพื่อการบริหารทรัพยากรทั่วทั้งองค์กรด้านเทคนิค ซึ่งอาจเป็นระบบ Enterprise Resource Planning (ERP) หรือไม่ก็ตาม การวางแผน การปฏิบัติ การสอบทาน และการแก้ไข เพื่อนำไปสู่ความคิดในการพัฒนางานด้าน IT Governance ให้เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดีขององค์กร (GCG – Good Corporate Governance) นั้น เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

สำหรับการบริหาร IT Governance เท่าที่เป็นอยู่ในปัจจุบัน เมื่อเทียบกับมาตรฐานที่ใช้ในการประเมินผลการบริหารความเสี่ยงด้าน IT Governance ซึ่งเป็นส่วนหนึ่งของการประเมินระดับการบริหารความเสี่ยงขององค์กรนั้น มีข้อควรพิจารณาปรับปรุงบางประการ เช่น BCP-Business Continuity Plan การบริหารสภาพแวดล้อมของศูนย์คอมพิวเตอร์หลัก โดยการจัดให้มีการควบคุมสภาพแวดล้อมที่เหมาะสมตามมาตรฐาน ที่วัดได้ ปฎิบัติได้ โดยมี Performance Measurement ที่เหมาะสม

การจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน เทคโนโลยีสารสนเทศ กับความเสี่ยงที่อาจเกิดขึ้น

การสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์ หรือนโยบาย และการจัดการด้านเทคโนโลยีสารสนเทศตามที่กำหนดไว้ เช่น กลยุทธ์ หรือนโยบายด้านเทคโนโลยีสารสนเทศ ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้านเทคโนโลยีสารสนเทศในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

บทบาทของฝ่ายตรวจสอบที่เกี่ยวข้องกับ IT Governance
ฝ่ายตรวจสอบควรมีบทบาทในฐานะเป็นผู้ให้คำแนะนำ และสร้างคุณค่าเพิ่มในการปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบภายในของทุกสายงาน และในฐานะผู้ประเมินคุณภาพการบริหารความเสี่ยง การควบคุมภายในทางด้านต่าง ๆ เช่น
1. คุณภาพของการปฏิบัติงาน (Operational)
2. คุณภาพทางด้านการปฏิบัติตามนโยบาย กฎเกณฑ์ ระเบียบ คำสั่ง (Compliance)
3. คุณภาพด้านการเงิน และการรายงาน (Financial) รวมทั้งการให้คำแนะนำด้านเทคโนโลยีสารสนเทศ และ IT Governance
4. การตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งการใช้ Outsource เพื่อเป้าหมายดังกล่าว รวมทั้งมุมมองที่กว้างกว่านั้น องค์กรควรวางกรอบความต้องการของตนให้ชัดเจนเพื่อความคุ้มค่าในการดำเนินงาน เพราะการตรวจสอบด้านเทคโนโลยียุคใหม่จะเป็นการตรวจสอบการจัดการความเสี่ยงทางด้าน IT Governance โดยเฉพาะอย่างยิ่งการตรวจสอบความสามารถในการดำเนินธุรกิจอย่างต่อเนื่อง (BCM – Business Continuity Management) และ Control Objective ไปสู่ Business Process เพื่อก้าวไปสู่ Business Objective ขององค์กร โดยเน้นหลักการ Best Practice

บทบาทหน้าที่ของคณะกรรมการและผู้บริหารขององค์กรเกี่ยวกับ IT Governance
1. นำกรอบงานธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ (IT Governance) มาใช้ในองค์กร
2. กำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศที่สอดคล้องกับเป้าหมายการทำธุรกิจ
3. การเชื่อมโยงกลยุทธ์ และเป้าหมายลงไปในแต่ละระดับขององค์กร
4. กำหนดโครงสร้างองค์กรที่ช่วยสนับสนุนการดำเนินงานตามกลยุทธ์ที่วางไว้
5. นำกรอบงานด้านการควบคุมเทคโนโลยีสารสนเทศ และด้าน IT Governance มาใช้
6. จัดให้มีโครงสร้างพื้นฐานด้านเทคโนโลยีที่ช่วยสนับสนุนการสร้างสารสนเทศทางธุรกิจและการใช้สารสนเทศดังกล่าวร่วมกัน
7. การผนวกรวมความรับผิดชอบด้านการบริหารความเสี่ยงไว้ในองค์กร
8. มุ่งเน้นกระบวนการเทคโนโลยีสารสนเทศที่สำคัญ และความสามารถหลักของเทคโนโลยีสารสนเทศ (Core IT Competencies)
9. วัดผลการดำเนินงาน (Balanced Business Scorecard)

กิจกรรมด้าน IT Governance โดยสรุป
1. กำหนด IT Master Plan วิธีการปฏิบัติงานใหม่ที่มีกระบวนการที่ใช้เทคโนโลยีสารสนเทศ และคำนึงถึงผลกระทบทางด้านเทคโนโลยีสารสนเทศที่มีต่อองค์กรและวิธีการทำงานใหม่ ๆ
2. กำหนดความคาดหวังและผลตอบแทน เพื่อกำหนดแนวทางการใช้เทคโนโลยีสารสนเทศอย่างคุ้มค่า
3. มีการพิจารณา Physical Security และ Information Security Governance ที่เป็นรูปธรรมโดยเฉพาะจากข้อกำหนดของหน่วยงานภาครัฐฯ และบุคคลภายนอกที่เกี่ยวข้อง
4. กำหนดหน้าที่ ความรับผิดชอบ การประสานงาน การใช้เทคโนโลยีสารสนเทศของแต่ละสายงานทั่วทั้งองค์กรที่สามารถทำงานกับสายงานได้อย่างลงตัว
5. การพิจารณาใช้เทคโนโลยีสารสนเทศสนับสนุนกระบวนการปฏิบัติงาน ทั้งภายในและภายนอกองค์กรอย่างสอดคล้อง และต่อเนื่องทั่วถึงกันทุกระบบที่สำคัญขององค์กร
6. กำหนดจุดควบคุมของทุกกระบวนการ และมีการสอบทานติดตามในกระบวนการปฏิบัติงาน
7. รวบรวม และบริหารทรัพยากรอย่างผสมผสานระหว่าง IT Process และ Business Process ตั้งแต่การวางแผนการจัดองค์กร การพนักงาน การกำกับไปจนถึงการติดตาม
8. การบริหารและจัดการกับความเสี่ยงที่เกี่ยวข้องทั่วทั้งองค์กร ที่รวมทั้งความเสี่ยงทางด้านเทคโนโลยีสารสนเทศตามคุณลักษณะที่ดี
9.จัดให้มีการวัดผลการปฏิบัติงานทุกสายงาน และภาพโดยรวมขององค์กร โดยเน้นการพลิกฟื้นด้านปฏิบัติการ (Operation Turnaround) การพลิกโฉมทางยุทธศาสตร์ (Strategic Turnaround)
10. สอบทาน และรับรองคุณภาพของผลการปฏิบัติงานโดยรวม จากการมีการใช้เทคโนโลยีสารสนเทศ และ IT Governance
11. การพิจารณาความดีความชอบจากการบริหาร และการปฏิบัติงานด้าน IT Governance อย่างผสมผสานทั่วทั้งองค์กรในส่วนที่เกี่ยวข้อง