การนำ IT Governance ไปประยุกต์ใช้ในการกำกับในหน่วยงานของรัฐบางประการ

พ.ค. 9, 2009

อีกมุมมองหนึ่งของ IT Governance คือ ดุลยภาพของกระบวนการบริหารความเสี่ยง กับการลงทุนทางด้าน IT โดยมีผลตอบแทนที่เหมาะสม ที่พิจารณาจาก Intangible Assets และ Tangible Assets ในระดับองค์กร

IT Governance เป็น หน้าที่และความรับผิดชอบเกี่ยวกับการจัดการที่ดีทางด้านเทคโนโลยีสารสนเทศควบคู่กันไปกับความสามารถด้านอื่นๆ ของคณะกรรมการและผู้บริหารระดับสูงที่ใช้เป็นกรอบ และองค์ประกอบของกระบวนการบริหารงานในการปฏิบัติตามนโยบาย กลยุทธ์เพื่อสร้างศักยภาพ คุณค่าเพิ่ม และการเติบโตอย่างยั่งยืนอย่างรู้คุณค่าให้กับองค์กรควบคู่กันไปกับหลักการกำกับดูแลกิจการที่ดีที่แยกกันไม่ได้ ในกระบวนการบริหารความเสี่ยงตามองค์ประกอบของการจัดการตั้งแต่การวางแผน การจัดองค์กร การจัดพนักงาน การดำเนินการและการควบคุม
เทคโนโลยีสารสนเทศสร้างความเสี่ยงใหม่ๆ การสูญเสียโอกาสที่มีผลต่อประสิทธิภาพ ประสิทธิผลในการดำเนินการ การปฏิบัติตามนโยบาย กฎหมาย ระเบียบ ประกาศ คำสั่ง ฯลฯ รวมทั้งผลกระทบต่อความน่าเชื่อถือและความถูกต้องของการตรวจสอบและการจัดทำรายงาน ซึ่งเป็นหัวใจของการบริหารและการควบคุมภายในอย่างคาดไม่ถึงในการบริหารงานระดับต่างๆ ขององค์กร ดังนั้นการผสมผสานความสามารถด้านต่างๆ ขององค์กรกับศักยภาพของระบบงานและการจัดการเทคโนโลยีสารสนเทศที่ดี จึงเป็นทั้งหน้าที่ความรับผิดชอบที่ไม่อาจหลีกเลี่ยงได้ของคณะกรรมการและผู้บริหารระดับสูงของทุกองค์กรในปัจจุบัน

IT Governance ทำให้เกิดการบริหารและการบูรณาการที่เป็นระบบ มีระเบียบ เป็นขั้นตอน ลดความซ้ำซ้อน ลดความเสี่ยง เพิ่มศักยภาพโดยทำงานข้ามสายงานได้ และประสานงานระหว่างองค์กรได้อย่างรวดเร็ว ทันเวลา มีประสิทธิภาพสอดประสานกับ การดำเนินงานระดับต่างๆ จากการใช้ความสามารถและศักยภาพของเทคโนโลยีสารสนเทศ และทรัพยากรต่างๆ เพื่อการผลักดันความสำเร็จ ของการจัดการทั่วทั้งองค์กรอย่างเป็นกระบวนการ

ดังนั้น สคร. และกระทรวงการคลังจึงขับเคลื่อนกระบวนการบริหาร IT Governance ซึ่งเป็นกลไกหนึ่งของการขับเคลื่อน Corporate Governance ควบคู่กันไปกับการบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบตามฐานความเสี่ยง ซึ่งเป็นองค์ประกอบที่สำคัญในการสร้างคุณค่าเพิ่มและการเติบโตอย่างยั่งยืนในทุกองค์กร

ผมจึงขอนำเสนอหลักการและหลักเกณฑ์การประเมินคุณภาพการบริหารและการจัดการ การบริหารความเสี่ยง รวมทั้งการบริหารการจัดการสารสนเทศ ในบางส่วนของ สคร. โดยกระทรวงการคลังที่ได้กำหนดขึ้น และนำมาใช้ในการประเมินผลการบริหารการจัดการองค์กรของรัฐวิสาหกิจมา 4 ปีแล้ว

ITG & Value Creation

ITG & Value Creation

หลักเกณฑ์การประเมินการบริหารความเสี่ยงที่รวมการประเมินการบริหารการจัดการ IT Governance ของ สคร. แบ่งผลประเมินออกเป็น 5 ระดับ ได้แก่

ระดับที่ 1 การบริหารความเสี่ยงน้อยมาก ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงโดยมีแนวทางบริหารความเสี่ยงใน เชิงรับ/ในระดับเบื้องต้น การบริหารความเสี่ยงยังไม่เป็นระบบ รัฐวิสาหกิจไม่มีคณะทำงานเพื่อจัดการความเสี่ยงในรูปแบบบูรณาการและไม่มีการจัดทำคู่มือการบริหารความเสี่ยง

ระดับที่ 2 การบริหารความเสี่ยงเบื้องต้นที่มีระบบ ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงที่เป็นกลยุทธ์ระยะสั้น ระบุความเสี่ยงจากต้นเหตุเป็นส่วนใหญ่ แต่ยังมีกระบวนการบริหารความเสี่ยงแยกเป็นส่วนๆ รัฐวิสาหกิจมีการจัดทำคู่มือการบริหารความเสี่ยงแล้วแต่ผลการบริหารความเสี่ยงที่เกิดขึ้นจริงด้อยกว่าแผนฯ และไม่ต่างจากอดีต ที่ผ่านมาก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 3 การเชื่อมโยงและบูรณาการความเสี่ยงกับการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดี ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 2 และ การบริหารความเสี่ยงเป็นกลยุทธ์หรือ การดำเนินงานที่ต่อเนื่องทั้งองค์กร มีการบริหารความเสี่ยงแบบบูรณาการ รวมถึงมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 3 และผลการบริหารความเสี่ยงที่เกิดขึ้นจริงไม่เป็นไปตามแผนฯ แต่ดีขึ้นจากอดีตก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 4 การบริหารความเสี่ยงที่สร้างมูลค่าเพิ่มแก่องค์กร ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 3 ซึ่งกลยุทธ์การบริหารความเสี่ยง เชื่อมโยงกับการกำหนดนโยบาย/กลยุทธ์/การวางแผน/การลงทุนของรัฐวิสาหกิจ มีการบริหารความเสี่ยง และมีการสนับสนุนการบริหารเพื่อเพิ่มมูลค่าขององค์กร มีการทบทวนการบริหารความเสี่ยงอย่างสม่ำเสมอ และทำการปรับปรุงเมื่อจำเป็น รวมถึงมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 4 และผลการบริหารความเสี่ยงที่เกิดขึ้นจริงใกล้เคียงหรือดีกว่าแผนฯ และดีขึ้นจากอดีตก่อนที่จะทำการบริหารความเสี่ยง

ระดับที่ 5 การปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของวัฒนธรรมที่นำไปสู่การสร้างสรรค์มูลค่าให้แก่องค์กร (Value Creation) ได้แก่ รัฐวิสาหกิจที่มีการบริหารความเสี่ยงครบถ้วนตามที่กำหนดในระดับที่ 4 และมีกระบวนการบริหารความเสี่ยงเป็นกิจกรรมประจำวันของทุกหน่วยงาน และมีการบริหารเทคโนโลยีสารสนเทศเพื่อการจัดการที่ดีตามที่กำหนดของระดับ 5

รายละเอียดที่เกี่ยวข้องกับแนวทางการประเมินดังกล่าว จะได้นำมาเผยแพร่ต่อไปครับ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance & Control Objective to Environmental Control (ต่อ)

เมษายน 9, 2009

จากครั้งก่อนที่ได้กล่าวถึงกิจกรรมด้าน IT Governance โดยสรุปไปแล้ว ครั้งนี้ผมจะนำเสนอแนวทางในการกำหนดกิจกรรมหลักของ IT Governance ต่อเลยครับ

การที่จะประสบความสำเร็จในยุคเทคโนโลยีสารสนเทศ ธรรมาภิบาลขององค์กร และ IT Governance ไม่สามารถแยกกันหรือใช้กฎเกณฑ์ที่แตกต่างกันได้อีกต่อไป ธรรมาภิบาลขององค์กรที่มีประสิทธิภาพ มุ่งเน้นความชำนาญและประสบการณ์ทั้งปัจเจกบุคคลและของหมู่คณะ ซึ่งก่อให้เกิดผลสูงสุด เฝ้าติดตามและวัดผลการดำเนินงาน และรับประกันการแก้ปัญหาวิกฤต เทคโนโลยีสารสนเทศ ซึ่งเดิมได้รับการพิจารณาว่าเป็นเพียงปัจจัยหนุนกลยุทธ์ของธุรกิจมาเป็นเวลานาน ปัจจุบันได้รับการพิจารณาให้รวมอยู่เป็นหนึ่งในกลยุทธ์ของธุรกิจ

IT Governance มีโครงสร้างที่เชื่อมโยง กระบวนการทางด้านเทคโนโลยีสารสนเทศ (IT process) ทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resource) และสารสนเทศ (Information) ควบคู่ไปกับกลยุทธ์และวัตถุประสงค์ของธุรกิจ IT Governanceได้รวบรวมและจัดให้มีวิธีที่ดีที่สุดสำหรับการวางแผนและการจัดองค์กร การจัดหาและการนำระบบออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตามการดำเนินงานด้านเทคโนโลยีสารสนเทศ IT Governance ถูกรวมเป็นส่วนหนึ่งของความสำเร็จในธรรมาภิบาลขององค์กร โดยรับประกันในเรื่องการปรับปรุงที่สามารถวัดผลได้ทางด้านประสิทธิภาพและประสิทธิผลของกระบวนการทางธุรกิจ IT Governance ช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

เมื่อมองถึงบทบาทความสัมพันธ์ระหว่างกระบวนการของธรรมาภิบาลขององค์กร และ IT Governance ในรายละเอียด จะเห็นได้ว่าธรรมาภิบาลขององค์กรนั้น เป็นระบบซึ่งทำหน้าที่กำกับ ควบคุม ผลักดัน และกำหนด IT Governance ในขณะเดียวกันเทคโนโลยีสารสนเทศควรให้ข้อมูลที่สำคัญในการจัดทำแผนกลยุทธ์ และควรเป็นส่วนหนึ่งที่สำคัญของแผนฯ อันที่จริงแล้วเทคโนโลยีสารสนเทศอาจมีอิทธิผลต่อโอกาสเชิงกลยุทธ์ที่องค์กรได้จัดร่างขึ้น

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

กิจกรรมขององค์กรต้องการข้อมูลที่ได้มาจากการทำงานของระบบเทคโนโลยีสารสนเทศ ในอันที่จะบรรลุถึงวัตถุประสงค์ขององค์กร องค์กรที่ประสบความสำเร็จต้องแน่ใจได้ว่า กิจกรรมด้านเทคโนโลยีสารสนเทศและการวางแผนกลยุทธ์นั้นมีความสัมพันธ์กัน เทคโนโลยีสารสนเทศจะต้องสอดคล้องกับองค์กร และช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

องค์กรมักได้รับการกำกับดูแลด้วยแนวทางการปฏิบัติที่ดี (หรือที่เป็นเลิศ) ซึ่งเป็นที่ยอมรับโดยทั่วไป เพื่อให้แน่ใจได้ว่าองค์กรจะสามารถบรรลุถึงเป้าหมาย โดยมีการควบคุมบางประการเพื่อรับประกันในเรื่องดังกล่าว วัตถุประสงค์เหล่านี้ช่วยให้เกิดการดำเนินงานไปตามทิศทางขององค์กร ซึ่งกำหนดกิจกรรมต่าง ๆ ที่ใช้ทรัพยากรขององค์กร ผลของการดำเนินกิจกรรมจะต้องได้รับการวัดผลและการรายงาน เพื่อเป็นข้อมูลในการปรับปรุงและบำรุงรักษามาตรการการควบคุมอย่างสม่ำเสมอ

ธรรมาภิบาลขององค์กร

ธรรมาภิบาลขององค์กร

เทคโนโลยีสารสนเทศถูกกำกับโดยวิธีการปฏิบัติที่ดี (หรือเป็นเลิศ) เพื่อแน่ใจได้ว่าสารสนเทศขององค์กรและเทคโนโลยีที่นำมาใช้เป็นไปตามวัตถุประสงค์ของธุรกิจ รวมถึงการนำทรัพยากรไปใช้อย่างรับผิดชอบ และการจัดการความเสี่ยงเป็นไปอย่างเหมาะสม วิธีการปฏิบัติเหล่านี้เป็นพื้นฐานของการกำหนดทิศทางในกิจกรรมต่าง ๆ ด้านเทคโนโลยีสารสนเทศ ได้แก่การวางแผนและจัดองค์กร การจัดหาและการนำระบบงานออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตาม โดยมีจุดประสงค์ทั้งสองประการคือ การจัดการความเสี่ยง (เพื่อให้มีความปลอดภัย ความน่าเชื่อถือ และการปฏิบัติตามกฎระเบียบข้อบังคับ) การได้รับผลประโยชน์ (การเพิ่มประสิทธิภาพและประสิทธิผล) และให้มีการรายงานผลการทำงานของกิจกรรมด้านเทคโนโลยีสารสนเทศ ซึ่งมีการวัดผลเปรียบเทียบกับวิธีการปฏิบัติและการควบคุมอื่น ๆ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance & Control Objective to Environmental Control (ต่อ)

เมษายน 9, 2009

จากครั้งก่อนที่ได้กล่าวถึงกิจกรรมด้าน IT Governance โดยสรุปไปแล้ว ครั้งนี้ผมจะนำเสนอแนวทางในการกำหนดกิจกรรมหลักของ IT Governance ต่อเลยครับ

การที่จะประสบความสำเร็จในยุคเทคโนโลยีสารสนเทศ ธรรมาภิบาลขององค์กร และ IT Governance ไม่สามารถแยกกันหรือใช้กฎเกณฑ์ที่แตกต่างกันได้อีกต่อไป ธรรมาภิบาลขององค์กรที่มีประสิทธิภาพ มุ่งเน้นความชำนาญและประสบการณ์ทั้งปัจเจกบุคคลและของหมู่คณะ ซึ่งก่อให้เกิดผลสูงสุด เฝ้าติดตามและวัดผลการดำเนินงาน และรับประกันการแก้ปัญหาวิกฤต เทคโนโลยีสารสนเทศ ซึ่งเดิมได้รับการพิจารณาว่าเป็นเพียงปัจจัยหนุนกลยุทธ์ของธุรกิจมาเป็นเวลานาน ปัจจุบันได้รับการพิจารณาให้รวมอยู่เป็นหนึ่งในกลยุทธ์ของธุรกิจ

IT Governance มีโครงสร้างที่เชื่อมโยง กระบวนการทางด้านเทคโนโลยีสารสนเทศ (IT process) ทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resource) และสารสนเทศ (Information) ควบคู่ไปกับกลยุทธ์และวัตถุประสงค์ของธุรกิจ IT Governanceได้รวบรวมและจัดให้มีวิธีที่ดีที่สุดสำหรับการวางแผนและการจัดองค์กร การจัดหาและการนำระบบออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตามการดำเนินงานด้านเทคโนโลยีสารสนเทศ IT Governance ถูกรวมเป็นส่วนหนึ่งของความสำเร็จในธรรมาภิบาลขององค์กร โดยรับประกันในเรื่องการปรับปรุงที่สามารถวัดผลได้ทางด้านประสิทธิภาพและประสิทธิผลของกระบวนการทางธุรกิจ IT Governance ช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

เมื่อมองถึงบทบาทความสัมพันธ์ระหว่างกระบวนการของธรรมาภิบาลขององค์กร และ IT Governance ในรายละเอียด จะเห็นได้ว่าธรรมาภิบาลขององค์กรนั้น เป็นระบบซึ่งทำหน้าที่กำกับ ควบคุม ผลักดัน และกำหนด IT Governance ในขณะเดียวกันเทคโนโลยีสารสนเทศควรให้ข้อมูลที่สำคัญในการจัดทำแผนกลยุทธ์ และควรเป็นส่วนหนึ่งที่สำคัญของแผนฯ อันที่จริงแล้วเทคโนโลยีสารสนเทศอาจมีอิทธิผลต่อโอกาสเชิงกลยุทธ์ที่องค์กรได้จัดร่างขึ้น

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

การกำหนดและผลักดันธรรมาภิบาลขององค์กรสู่ IT Governance

กิจกรรมขององค์กรต้องการข้อมูลที่ได้มาจากการทำงานของระบบเทคโนโลยีสารสนเทศ ในอันที่จะบรรลุถึงวัตถุประสงค์ขององค์กร องค์กรที่ประสบความสำเร็จต้องแน่ใจได้ว่า กิจกรรมด้านเทคโนโลยีสารสนเทศและการวางแผนกลยุทธ์นั้นมีความสัมพันธ์กัน เทคโนโลยีสารสนเทศจะต้องสอดคล้องกับองค์กร และช่วยให้องค์กรใช้ข้อได้เปรียบจากสารสนเทศได้อย่างเต็มที่ เพื่อให้ได้รับผลประโยชน์สูงสุด ใช้โอกาสทางธุรกิจ และเกิดความได้เปรียบเชิงแข่งขัน

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

กิจกรรมขององค์กรต้องการข้อมูลจากกิจกรรมด้าน IT Governance

องค์กรมักได้รับการกำกับดูแลด้วยแนวทางการปฏิบัติที่ดี (หรือที่เป็นเลิศ) ซึ่งเป็นที่ยอมรับโดยทั่วไป เพื่อให้แน่ใจได้ว่าองค์กรจะสามารถบรรลุถึงเป้าหมาย โดยมีการควบคุมบางประการเพื่อรับประกันในเรื่องดังกล่าว วัตถุประสงค์เหล่านี้ช่วยให้เกิดการดำเนินงานไปตามทิศทางขององค์กร ซึ่งกำหนดกิจกรรมต่าง ๆ ที่ใช้ทรัพยากรขององค์กร ผลของการดำเนินกิจกรรมจะต้องได้รับการวัดผลและการรายงาน เพื่อเป็นข้อมูลในการปรับปรุงและบำรุงรักษามาตรการการควบคุมอย่างสม่ำเสมอ

ธรรมาภิบาลขององค์กร

ธรรมาภิบาลขององค์กร

เทคโนโลยีสารสนเทศถูกกำกับโดยวิธีการปฏิบัติที่ดี (หรือเป็นเลิศ) เพื่อแน่ใจได้ว่าสารสนเทศขององค์กรและเทคโนโลยีที่นำมาใช้เป็นไปตามวัตถุประสงค์ของธุรกิจ รวมถึงการนำทรัพยากรไปใช้อย่างรับผิดชอบ และการจัดการความเสี่ยงเป็นไปอย่างเหมาะสม วิธีการปฏิบัติเหล่านี้เป็นพื้นฐานของการกำหนดทิศทางในกิจกรรมต่าง ๆ ด้านเทคโนโลยีสารสนเทศ ได้แก่การวางแผนและจัดองค์กร การจัดหาและการนำระบบงานออกใช้งานจริง การส่งมอบและการสนับสนุน และการเฝ้าติดตาม โดยมีจุดประสงค์ทั้งสองประการคือ การจัดการความเสี่ยง (เพื่อให้มีความปลอดภัย ความน่าเชื่อถือ และการปฏิบัติตามกฎระเบียบข้อบังคับ) การได้รับผลประโยชน์ (การเพิ่มประสิทธิภาพและประสิทธิผล) และให้มีการรายงานผลการทำงานของกิจกรรมด้านเทคโนโลยีสารสนเทศ ซึ่งมีการวัดผลเปรียบเทียบกับวิธีการปฏิบัติและการควบคุมอื่น ๆ

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance & Control Objective to Environmental Control (ต่อ)

เมษายน 7, 2009

ครั้งก่อนผมได้เล่าสู่กันฟังถึงแนวคิดหลัก และหลักการในการกำหนดกรอบของ IT Governance รวมถึงความสัมพันธ์ของ IT Governance กับ Corporate Governance ที่มีความสัมพันธ์แบบพึ่งพากัน ในวันนี้เราจะมาพูดคุยต่อถึงปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance รวมถึงบทบาท หน้าที่ของฝ่ายตรวจสอบ คณะกรรมการและผู้บริหารขององค์กรที่เกี่ยวข้องกับ IT Governance กันครับ

ปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance โดยย่อ
ปัจจัยที่ใช้วัดความสำเร็จทางด้านเทคโนโลยีสารสนเทศ และ IT Governance ที่สำคัญ ซึ่งจะเชื่อมโยงนำไปสู่ความสำเร็จขององค์กรโดยรวม จะพิจารณาทางด้านกฎหมาย ด้านการจัดองค์กร และกระบวนการปฏิบัติงานทั่วทั้งองค์กร ไม่ว่าจะใช้โปรแกรมประยุกต์เพื่อการบริหารทรัพยากรทั่วทั้งองค์กรด้านเทคนิค ซึ่งอาจเป็นระบบ Enterprise Resource Planning (ERP) หรือไม่ก็ตาม การวางแผน การปฏิบัติ การสอบทาน และการแก้ไข เพื่อนำไปสู่ความคิดในการพัฒนางานด้าน IT Governance ให้เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดีขององค์กร (GCG – Good Corporate Governance) นั้น เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

สำหรับการบริหาร IT Governance เท่าที่เป็นอยู่ในปัจจุบัน เมื่อเทียบกับมาตรฐานที่ใช้ในการประเมินผลการบริหารความเสี่ยงด้าน IT Governance ซึ่งเป็นส่วนหนึ่งของการประเมินระดับการบริหารความเสี่ยงขององค์กรนั้น มีข้อควรพิจารณาปรับปรุงบางประการ เช่น BCP-Business Continuity Plan การบริหารสภาพแวดล้อมของศูนย์คอมพิวเตอร์หลัก โดยการจัดให้มีการควบคุมสภาพแวดล้อมที่เหมาะสมตามมาตรฐาน ที่วัดได้ ปฎิบัติได้ โดยมี Performance Measurement ที่เหมาะสม

การจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน เทคโนโลยีสารสนเทศ กับความเสี่ยงที่อาจเกิดขึ้น

การสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์ หรือนโยบาย และการจัดการด้านเทคโนโลยีสารสนเทศตามที่กำหนดไว้ เช่น กลยุทธ์ หรือนโยบายด้านเทคโนโลยีสารสนเทศ ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้านเทคโนโลยีสารสนเทศในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

บทบาทของฝ่ายตรวจสอบที่เกี่ยวข้องกับ IT Governance
ฝ่ายตรวจสอบควรมีบทบาทในฐานะเป็นผู้ให้คำแนะนำ และสร้างคุณค่าเพิ่มในการปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบภายในของทุกสายงาน และในฐานะผู้ประเมินคุณภาพการบริหารความเสี่ยง การควบคุมภายในทางด้านต่าง ๆ เช่น
1. คุณภาพของการปฏิบัติงาน (Operational)
2. คุณภาพทางด้านการปฏิบัติตามนโยบาย กฎเกณฑ์ ระเบียบ คำสั่ง (Compliance)
3. คุณภาพด้านการเงิน และการรายงาน (Financial) รวมทั้งการให้คำแนะนำด้านเทคโนโลยีสารสนเทศ และ IT Governance
4. การตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งการใช้ Outsource เพื่อเป้าหมายดังกล่าว รวมทั้งมุมมองที่กว้างกว่านั้น องค์กรควรวางกรอบความต้องการของตนให้ชัดเจนเพื่อความคุ้มค่าในการดำเนินงาน เพราะการตรวจสอบด้านเทคโนโลยียุคใหม่จะเป็นการตรวจสอบการจัดการความเสี่ยงทางด้าน IT Governance โดยเฉพาะอย่างยิ่งการตรวจสอบความสามารถในการดำเนินธุรกิจอย่างต่อเนื่อง (BCM – Business Continuity Management) และ Control Objective ไปสู่ Business Process เพื่อก้าวไปสู่ Business Objective ขององค์กร โดยเน้นหลักการ Best Practice

บทบาทหน้าที่ของคณะกรรมการและผู้บริหารขององค์กรเกี่ยวกับ IT Governance
1. นำกรอบงานธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ (IT Governance) มาใช้ในองค์กร
2. กำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศที่สอดคล้องกับเป้าหมายการทำธุรกิจ
3. การเชื่อมโยงกลยุทธ์ และเป้าหมายลงไปในแต่ละระดับขององค์กร
4. กำหนดโครงสร้างองค์กรที่ช่วยสนับสนุนการดำเนินงานตามกลยุทธ์ที่วางไว้
5. นำกรอบงานด้านการควบคุมเทคโนโลยีสารสนเทศ และด้าน IT Governance มาใช้
6. จัดให้มีโครงสร้างพื้นฐานด้านเทคโนโลยีที่ช่วยสนับสนุนการสร้างสารสนเทศทางธุรกิจและการใช้สารสนเทศดังกล่าวร่วมกัน
7. การผนวกรวมความรับผิดชอบด้านการบริหารความเสี่ยงไว้ในองค์กร
8. มุ่งเน้นกระบวนการเทคโนโลยีสารสนเทศที่สำคัญ และความสามารถหลักของเทคโนโลยีสารสนเทศ (Core IT Competencies)
9. วัดผลการดำเนินงาน (Balanced Business Scorecard)

กิจกรรมด้าน IT Governance โดยสรุป
1. กำหนด IT Master Plan วิธีการปฏิบัติงานใหม่ที่มีกระบวนการที่ใช้เทคโนโลยีสารสนเทศ และคำนึงถึงผลกระทบทางด้านเทคโนโลยีสารสนเทศที่มีต่อองค์กรและวิธีการทำงานใหม่ ๆ
2. กำหนดความคาดหวังและผลตอบแทน เพื่อกำหนดแนวทางการใช้เทคโนโลยีสารสนเทศอย่างคุ้มค่า
3. มีการพิจารณา Physical Security และ Information Security Governance ที่เป็นรูปธรรมโดยเฉพาะจากข้อกำหนดของหน่วยงานภาครัฐฯ และบุคคลภายนอกที่เกี่ยวข้อง
4. กำหนดหน้าที่ ความรับผิดชอบ การประสานงาน การใช้เทคโนโลยีสารสนเทศของแต่ละสายงานทั่วทั้งองค์กรที่สามารถทำงานกับสายงานได้อย่างลงตัว
5. การพิจารณาใช้เทคโนโลยีสารสนเทศสนับสนุนกระบวนการปฏิบัติงาน ทั้งภายในและภายนอกองค์กรอย่างสอดคล้อง และต่อเนื่องทั่วถึงกันทุกระบบที่สำคัญขององค์กร
6. กำหนดจุดควบคุมของทุกกระบวนการ และมีการสอบทานติดตามในกระบวนการปฏิบัติงาน
7. รวบรวม และบริหารทรัพยากรอย่างผสมผสานระหว่าง IT Process และ Business Process ตั้งแต่การวางแผนการจัดองค์กร การพนักงาน การกำกับไปจนถึงการติดตาม
8. การบริหารและจัดการกับความเสี่ยงที่เกี่ยวข้องทั่วทั้งองค์กร ที่รวมทั้งความเสี่ยงทางด้านเทคโนโลยีสารสนเทศตามคุณลักษณะที่ดี
9.จัดให้มีการวัดผลการปฏิบัติงานทุกสายงาน และภาพโดยรวมขององค์กร โดยเน้นการพลิกฟื้นด้านปฏิบัติการ (Operation Turnaround) การพลิกโฉมทางยุทธศาสตร์ (Strategic Turnaround)
10. สอบทาน และรับรองคุณภาพของผลการปฏิบัติงานโดยรวม จากการมีการใช้เทคโนโลยีสารสนเทศ และ IT Governance
11. การพิจารณาความดีความชอบจากการบริหาร และการปฏิบัติงานด้าน IT Governance อย่างผสมผสานทั่วทั้งองค์กรในส่วนที่เกี่ยวข้อง

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance & Control Objective to Environmental Control (ต่อ)

เมษายน 7, 2009

ครั้งก่อนผมได้เล่าสู่กันฟังถึงแนวคิดหลัก และหลักการในการกำหนดกรอบของ IT Governance รวมถึงความสัมพันธ์ของ IT Governance กับ Corporate Governance ที่มีความสัมพันธ์แบบพึ่งพากัน ในวันนี้เราจะมาพูดคุยต่อถึงปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance รวมถึงบทบาท หน้าที่ของฝ่ายตรวจสอบ คณะกรรมการและผู้บริหารขององค์กรที่เกี่ยวข้องกับ IT Governance กันครับ

ปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance โดยย่อ
ปัจจัยที่ใช้วัดความสำเร็จทางด้านเทคโนโลยีสารสนเทศ และ IT Governance ที่สำคัญ ซึ่งจะเชื่อมโยงนำไปสู่ความสำเร็จขององค์กรโดยรวม จะพิจารณาทางด้านกฎหมาย ด้านการจัดองค์กร และกระบวนการปฏิบัติงานทั่วทั้งองค์กร ไม่ว่าจะใช้โปรแกรมประยุกต์เพื่อการบริหารทรัพยากรทั่วทั้งองค์กรด้านเทคนิค ซึ่งอาจเป็นระบบ Enterprise Resource Planning (ERP) หรือไม่ก็ตาม การวางแผน การปฏิบัติ การสอบทาน และการแก้ไข เพื่อนำไปสู่ความคิดในการพัฒนางานด้าน IT Governance ให้เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดีขององค์กร (GCG – Good Corporate Governance) นั้น เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

สำหรับการบริหาร IT Governance เท่าที่เป็นอยู่ในปัจจุบัน เมื่อเทียบกับมาตรฐานที่ใช้ในการประเมินผลการบริหารความเสี่ยงด้าน IT Governance ซึ่งเป็นส่วนหนึ่งของการประเมินระดับการบริหารความเสี่ยงขององค์กรนั้น มีข้อควรพิจารณาปรับปรุงบางประการ เช่น BCP-Business Continuity Plan การบริหารสภาพแวดล้อมของศูนย์คอมพิวเตอร์หลัก โดยการจัดให้มีการควบคุมสภาพแวดล้อมที่เหมาะสมตามมาตรฐาน ที่วัดได้ ปฎิบัติได้ โดยมี Performance Measurement ที่เหมาะสม

การจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน เทคโนโลยีสารสนเทศ กับความเสี่ยงที่อาจเกิดขึ้น

การสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์ หรือนโยบาย และการจัดการด้านเทคโนโลยีสารสนเทศตามที่กำหนดไว้ เช่น กลยุทธ์ หรือนโยบายด้านเทคโนโลยีสารสนเทศ ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้านเทคโนโลยีสารสนเทศในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

บทบาทของฝ่ายตรวจสอบที่เกี่ยวข้องกับ IT Governance
ฝ่ายตรวจสอบควรมีบทบาทในฐานะเป็นผู้ให้คำแนะนำ และสร้างคุณค่าเพิ่มในการปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบภายในของทุกสายงาน และในฐานะผู้ประเมินคุณภาพการบริหารความเสี่ยง การควบคุมภายในทางด้านต่าง ๆ เช่น
1. คุณภาพของการปฏิบัติงาน (Operational)
2. คุณภาพทางด้านการปฏิบัติตามนโยบาย กฎเกณฑ์ ระเบียบ คำสั่ง (Compliance)
3. คุณภาพด้านการเงิน และการรายงาน (Financial) รวมทั้งการให้คำแนะนำด้านเทคโนโลยีสารสนเทศ และ IT Governance
4. การตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งการใช้ Outsource เพื่อเป้าหมายดังกล่าว รวมทั้งมุมมองที่กว้างกว่านั้น องค์กรควรวางกรอบความต้องการของตนให้ชัดเจนเพื่อความคุ้มค่าในการดำเนินงาน เพราะการตรวจสอบด้านเทคโนโลยียุคใหม่จะเป็นการตรวจสอบการจัดการความเสี่ยงทางด้าน IT Governance โดยเฉพาะอย่างยิ่งการตรวจสอบความสามารถในการดำเนินธุรกิจอย่างต่อเนื่อง (BCM – Business Continuity Management) และ Control Objective ไปสู่ Business Process เพื่อก้าวไปสู่ Business Objective ขององค์กร โดยเน้นหลักการ Best Practice

บทบาทหน้าที่ของคณะกรรมการและผู้บริหารขององค์กรเกี่ยวกับ IT Governance
1. นำกรอบงานธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ (IT Governance) มาใช้ในองค์กร
2. กำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศที่สอดคล้องกับเป้าหมายการทำธุรกิจ
3. การเชื่อมโยงกลยุทธ์ และเป้าหมายลงไปในแต่ละระดับขององค์กร
4. กำหนดโครงสร้างองค์กรที่ช่วยสนับสนุนการดำเนินงานตามกลยุทธ์ที่วางไว้
5. นำกรอบงานด้านการควบคุมเทคโนโลยีสารสนเทศ และด้าน IT Governance มาใช้
6. จัดให้มีโครงสร้างพื้นฐานด้านเทคโนโลยีที่ช่วยสนับสนุนการสร้างสารสนเทศทางธุรกิจและการใช้สารสนเทศดังกล่าวร่วมกัน
7. การผนวกรวมความรับผิดชอบด้านการบริหารความเสี่ยงไว้ในองค์กร
8. มุ่งเน้นกระบวนการเทคโนโลยีสารสนเทศที่สำคัญ และความสามารถหลักของเทคโนโลยีสารสนเทศ (Core IT Competencies)
9. วัดผลการดำเนินงาน (Balanced Business Scorecard)

กิจกรรมด้าน IT Governance โดยสรุป
1. กำหนด IT Master Plan วิธีการปฏิบัติงานใหม่ที่มีกระบวนการที่ใช้เทคโนโลยีสารสนเทศ และคำนึงถึงผลกระทบทางด้านเทคโนโลยีสารสนเทศที่มีต่อองค์กรและวิธีการทำงานใหม่ ๆ
2. กำหนดความคาดหวังและผลตอบแทน เพื่อกำหนดแนวทางการใช้เทคโนโลยีสารสนเทศอย่างคุ้มค่า
3. มีการพิจารณา Physical Security และ Information Security Governance ที่เป็นรูปธรรมโดยเฉพาะจากข้อกำหนดของหน่วยงานภาครัฐฯ และบุคคลภายนอกที่เกี่ยวข้อง
4. กำหนดหน้าที่ ความรับผิดชอบ การประสานงาน การใช้เทคโนโลยีสารสนเทศของแต่ละสายงานทั่วทั้งองค์กรที่สามารถทำงานกับสายงานได้อย่างลงตัว
5. การพิจารณาใช้เทคโนโลยีสารสนเทศสนับสนุนกระบวนการปฏิบัติงาน ทั้งภายในและภายนอกองค์กรอย่างสอดคล้อง และต่อเนื่องทั่วถึงกันทุกระบบที่สำคัญขององค์กร
6. กำหนดจุดควบคุมของทุกกระบวนการ และมีการสอบทานติดตามในกระบวนการปฏิบัติงาน
7. รวบรวม และบริหารทรัพยากรอย่างผสมผสานระหว่าง IT Process และ Business Process ตั้งแต่การวางแผนการจัดองค์กร การพนักงาน การกำกับไปจนถึงการติดตาม
8. การบริหารและจัดการกับความเสี่ยงที่เกี่ยวข้องทั่วทั้งองค์กร ที่รวมทั้งความเสี่ยงทางด้านเทคโนโลยีสารสนเทศตามคุณลักษณะที่ดี
9.จัดให้มีการวัดผลการปฏิบัติงานทุกสายงาน และภาพโดยรวมขององค์กร โดยเน้นการพลิกฟื้นด้านปฏิบัติการ (Operation Turnaround) การพลิกโฉมทางยุทธศาสตร์ (Strategic Turnaround)
10. สอบทาน และรับรองคุณภาพของผลการปฏิบัติงานโดยรวม จากการมีการใช้เทคโนโลยีสารสนเทศ และ IT Governance
11. การพิจารณาความดีความชอบจากการบริหาร และการปฏิบัติงานด้าน IT Governance อย่างผสมผสานทั่วทั้งองค์กรในส่วนที่เกี่ยวข้อง

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance & Control Objective to Environmental Control

เมษายน 4, 2009

เพื่อให้ท่านผู้อ่านทราบถึงแนวคิดและหลักการ IT Governance ตามหลักการของ COBIT ที่คัดย่อมาจาก IT Governance Institute ที่ใช้กันทั่วไปและเป็นสากลในบางมุมมองที่เกี่ยวข้องกับ Control OBjective for Information and Technology ที่เกี่ยวข้องกับการบริหารและการจัดการสารสนเทศที่ดีทางด้านการบริหารสารสนเทศที่เกี่ยวข้องกับคุณลักษณะที่ดี คือ ประสิทธิผล ประสิทธิภาพ การรักษาความลับ ความครบถ้วนถูกต้อง สภาพพร้อมใช้งาน การปฏิบัติตามกฎ ความเชื่อถือได้ ซึ่งมี 34 Process และหนึ่งในนั้นก็คือ การดำเนินธุรกิจที่ต่อเนื่องและการบริหารความเสี่ยง เพื่อสนับสนุนแนวทางของคณะอนุกรรมการบริหารความเสี่ยงในการใช้ปัจจัยในการประเมินที่เกี่ยวข้องกับ BCM และ Environmental Control ที่เกี่ยวกับมาตรฐาน EN 1047-2 บางมุมมอง วันนี้ผมจึงขอนำเสนอแนวคิด หลักการ และความสัมพันธ์ที่เกี่ยวข้องกับ IT Governance & Control Objective to Environmental Control ตามหัวเรื่องที่ได้กล่าวไว้ครับ

แนวคิดหลักของ IT Governance คือ รูปแบบโครงสร้างของความสัมพันธ์ กระบวนการการจัดการและการปฏิบัติในองค์กรที่ผู้บริหารใช้กำกับ และควบคุมองค์กรให้บรรลุถึงเป้าประสงค์ โดยการสร้างมูลค่าเพิ่มให้เกิดขึ้น ในขณะเดียวกันก็สามารถสร้างความสมดุลในการจัดการกับความเสี่ยงที่เกิดขึ้นเทียบกับผลลัพธ์ที่ได้รับจาก เทคโนโลยีสารสนเทศ และจากกระบวนการที่เกี่ยวข้อง

สารสนเทศขององค์กรต้องสามารถตอบสนองความต้องการด้านคุณภาพ ความน่าเชื่อถือ และการรักษาความปลอดภัย เช่นเดียวกับสินทรัพย์อื่น ๆ หรือยิ่งกว่าสินทรัพย์อื่น ๆ เพราะหลายกรณี การดำเนินธุรกิจที่ต่อเนื่องเป็นความสำคัญยิ่งยวดที่มิอาจจะผลักภาระไปยังบุคคลอื่นหรือทำการประกันภัยใด ๆ เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่องตามหลักการ Business Continuity Management

ผู้บริหารควรเข้าใจถึงสถานภาพของระบบเทคโนโลยีสารสนเทศขององค์กร และตัดสินใจว่าควรมีการดำเนินการควบคุม และสร้างศักยภาพอย่างไร จึงจะเหมาะสมอย่างผสมผสานกับธุรกิจเพื่อบรรลุเป้าหมายอย่างมีประสิทธิภาพสูงสุดขององค์กร ทั้งนี้โดยคำนึงถึงคุณลักษณะสารสนเทศที่ดีและความสามารถในการบริหารทรัพยากรเทคโนโลยีสารสนเทศจาก 34 กระบวนการที่กำหนดไว้ภายใต้ 4 โดเมน / กรอบหลักของการบริหาร IT Governance

หลักการและความเป็นจริงในการกำหนดกรอบ IT Governance
ความจำเป็นที่ต้องมีการควบคุมการจัดการและการใช้เทคโนโลยีสารสนเทศ
1. การพัฒนาเทคโนโลยีสารสนเทศ (IT) มีความก้าวหน้าขึ้นเป็นอันมาก ทำให้สารสนเทศสามารถส่งผ่านถึงผู้รับได้อย่างรวดเร็วโดยปราศจากข้อจำกัดด้านเวลา ระยะทาง และสถานที่ซึ่งมีผลถึงศักยภาพการแข่งขันอย่างสำคัญ
1.1. การพึ่งพาการใช้งานจากสารสนเทศ (Information) และระบบต่าง ๆ (Systems) ที่เพิ่มมากขึ้น
1.2. การเพิ่มขึ้นของการใช้สารสนเทศที่ใช้ในการพัฒนา Business Process และการให้บริการลูกค้า
1.3. การเปลี่ยนแปลงของต้นทุน และขนาดของการลงทุนของข้อมูล และ Information Systems ในปัจจุบัน และในอนาคต
1.4. ศักยภาพที่เพิ่มขึ้นของเทคโนโลยีที่ขับเคลื่อนการเปลี่ยนแปลงให้เกิดขึ้นในองค์กร รวมทั้งปรับเปลี่ยนหลักการการจัดการ และการปฏิบัติงาน (Business Practices) ซึ่งก่อให้เกิดโอกาสทางธุรกิจใหม่ ๆ และช่วยให้ต้นทุนลดลงด้วย

2. การแข่งขันที่รุนแรงขึ้นก่อให้เกิดการเปลี่ยนแปลงขององค์กรในด้านต่าง ๆ ไม่ว่าจะเป็นการปรับเปลี่ยนระบบ และกระบวนการทำงานให้กระชับขึ้น โดยนำเทคโนโลยีสารสนเทศมาช่วยในการปรับปรุงเพื่อเพิ่มความสามารถในการแข่งขันมากขึ้น มีการปรับขนาดขององค์กรให้กระชับและมีความเหมาะสม มีการใช้บริการจากภายนอกมากขึ้น มีการกระจายอำนาจและปรับโครงสร้างองค์กรให้เป็นแนวราบมากขึ้น สิ่งเหล่านี้มีผลกระทบต่อการปฏิบัติงานทั้งขององค์กรเอกชนและองค์กรของรัฐบาล โดยเฉพาะการเน้นไปที่การได้เปรียบในด้านการแข่งขัน (Competitive Advantage) และการเกิดประสิทธิภาพด้านต้นทุน (Cost Efficiency) ซึ่งเป็นผลให้แต่ละองค์กรจำเป็นต้องพึ่งพาเทคโนโลยีมากขึ้นและกลายเป็นยุทธศาสตร์ที่สำคัญขององค์กร

การดำเนินธุรกิจที่ต่อเนื่องเป็นความสำคัญยิ่งยวดที่ทุกองค์กรจะต้องตระหนัก โดยจัดให้มีการบริหารความเสี่ยงในมุมมองต่าง ๆ ที่เหมาะสม ตั้งแต่ Logical Control และ Environmental Control เพราะความไม่แน่นอนในการพึ่งพา Offsite Backup มีความเสี่ยงสูงและเป็นความเสี่ยงที่ไม่อาจยอมรับได้ในหลาย ๆ กรณี เมื่อมีการศึกษา Business Impact Analysis

3. องค์กรต่าง ๆ มองเห็นความสำคัญของสารสนเทศและเทคโนโลยีที่พัฒนา อันถือได้ว่าเป็นสินทรัพย์ที่มีค่ายิ่งโดยเฉพาะในโลกของการแข่งขันที่รุนแรง ผู้บริหารจะให้ความสำคัญ และความคาดหวังกับเทคโนโลยีสารสนเทศมากยิ่งขึ้นโดยเฉพาะการตอบสนองที่รวดเร็ว มีคุณภาพ สามารถใช้งานได้หลากหลาย และสะดวกต่อการใช้งาน โดยใช้เวลาน้อยลง เพิ่มระดับการบริการให้ดียิ่งขึ้น โดยมีต้นทุนที่ต่ำลง

4. องค์กรที่มีการปฏิบัติงานในระบบอัตโนมัติจำเป็นต้องมีกลไกในการควบคุมที่ดียิ่งขึ้น โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร์ และระบบเครือข่าย (Network) ทั้งในด้านของ Hardware และ Software ซึ่งระบบการควบคุมจำเป็นต้องพัฒนาไปพร้อมกับการพัฒนาของเทคโนโลยีที่เกิดขึ้นอย่างรวดเร็ว และเป็นไปแบบก้าวกระโดด

5. หลายองค์กรได้เล็งเห็นถึงประโยชน์ที่จะได้รับจากเทคโนโลยี สำหรับองค์กรที่ประสบความสำเร็จก็มีความเข้าใจ และสามารถบริหารความเสี่ยงที่มาพร้อมกับการนำเทคโนโลยีมาใช้ได้เป็นอย่างดี โดยเฉพาะการเปลี่ยนแปลงทางด้านเทคโนโลยีสารสนเทศ ได้เกิดมากขึ้นเป็นลำดับ และรวดเร็ว จึงจำเป็นต้องมีการจัดการความเสี่ยงที่มาพร้อมกับการเปลี่ยนแปลงนี้ให้ดียิ่งขึ้น ไม่ว่าจะเป็นการจัดการกับข้อมูลที่เปิดเผย และข้อมูลที่เป็นความลับ รวมทั้งการนำข้อมูลไปใช้กระทำการที่ผิดกฎหมาย ดังนั้น การบริหารความเสี่ยงที่เกี่ยวข้องกับ เทคโนโลยีสารสนเทศ จึงกลายมาเป็นส่วนสำคัญในการกำกับดูแลกิจการที่ดีขององค์กรขององค์กร (Corporate Governance)

6. ที่ผ่านมาความต้องการในการมีกรอบมาตรฐาน (Framework) สำหรับการจัดการเรื่องความปลอดภัย และการควบคุมทางด้านเทคโนโลยีสารสนเทศมีค่อนข้างมาก โดยเฉพาะองค์กรที่ประสบความสำเร็จต่าง ๆ ได้มีความเข้าใจ และประเมินค่าของความเสี่ยงเทียบกับข้อจำกัดในการใช้เทคโนโลยีสารสนเทศในทุกระดับขององค์กร เพื่อให้มั่นใจว่าองค์กรจะสามารถมีการกำกับดูแลที่มีประสิทธิผล และมีการควบคุมที่เพียงพอ

7. ระดับบริหารจะต้องสามารถตัดสินใจได้ว่าควรจะลงทุน ณ ระดับใด ในเรื่องการรักษาความปลอดภัย และการควบคุม (Security and Control) และจะรักษาจุดสมดุลอย่างไร ระหว่างความเสี่ยงที่รับได้กับการลงทุนในด้านการควบคุม ถึงแม้การรักษาความปลอดภัย และการควบคุม (Security and Control) ทางด้านเทคโนโลยีสารสนเทศจะช่วยในการบริหารความเสี่ยง แต่ความเสี่ยงก็ยังคงมีอยู่ไม่ได้ถูกกำจัดออกไปทั้งหมด เพราะไม่มีผู้ใดสามารถกำหนดระดับความเสี่ยงได้ชัดเจนแน่นอน

ดังนั้น ผู้บริหารจึงต้องกำหนดระดับความเสี่ยงที่รับได้ โดยเปรียบเทียบกับต้นทุนที่ต้องลงทุน ซึ่งถือได้ว่าเป็นการตัดสินใจที่ค่อนข้างยาก จึงจำเป็นต้องมีกรอบมาตรฐาน (Framework) เพื่อให้ทราบถึงการกำหนดนโยบายการรักษาความปลอดภัย และการควบคุมด้านเทคโนโลยีสารสนเทศ โดยคำนึงถึงสภาวะของเทคโนโลยีสารสนเทศในปัจจุบัน และที่จะเป็นในอนาคต

8. ระดับผู้ใช้ (Users) ก็ต้องมีความมั่นใจว่ามีการรักษาความปลอดภัย และการควบคุม (Security and Control) อย่างเพียงพอในการใช้งานด้านเทคโนโลยีสารสนเทศ ไม่ว่าจะเป็นการใช้บริการจากภายในองค์กร หรือจากผู้ให้บริการจากภายนอก (Third Party) ก็ตามซึ่งที่ผ่านมาการควบคุมทางด้านเทคโนโลยีสารสนเทศจะค่อนข้างสับสนเนื่องจากมีมาตรฐานหลากหลายวิธีจากองค์กรต่าง ๆ

9. ระดับผู้ตรวจสอบ (Auditors) ก็จำเป็นจะต้องมีมาตรฐานสากลในการตรวจสอบ เนื่องจากจะต้องมีจุดยืนในการให้แนวคิด และเหตุผลเกี่ยวกับการตรวจสอบภายในกับระดับบริหาร ซึ่งถ้าปราศจากกรอบมาตรฐานแล้วจะหาจุดพิจารณาถึงระดับการรักษาความปลอดภัย และการควบคุม (Security and Control) ด้านเทคโนโลยีสารสนเทศที่เหมาะสมได้ค่อนข้างยาก

ความสัมพันธ์ของ IT Governance กับ Corporate Governance
ธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ (IT Governance) เป็นส่วนสำคัญที่รวมอยู่ในความสำเร็จของธรรมาภิบาลขององค์กร (Corporate Governance) โดยจะเป็นจุดวัดของการปรับปรุงในด้านประสิทธิผล และประสิทธิภาพของกระบวนการปฏิบัติงานขององค์กร ธรรมาภิบาลขององค์กรจะเป็นกรอบในการกำหนดแนวทางสำหรับธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ (IT Governance) ส่วนกิจกรรม / กระบวนการต่าง ๆ ขององค์กรจะต้องใช้ข้อมูลจาก กิจกรรม / กระบวนการของเทคโนโลยีสารสนเทศอย่างมีนัยสำคัญยิ่ง โดยเฉพาะธุรกิจหลัก ๆ ขององค์กร

Corporate Governance เป็นผู้ขับเคลื่อน และกำหนดรูปแบบของ IT Governance ขณะเดียวกันเทคโนโลยีสารสนเทศก็ได้สนับสนุนข้อมูลที่จำเป็นต่าง ๆ เพื่อใช้ในการวางแผนด้านกลยุทธ์ (Strategic Planning) และในบางครั้งยังเป็นส่วนที่มีอิทธิพลในการสร้างโอกาสใหม่ ๆ ให้กับองค์กร จึงถือได้ว่าเทคโนโลยีสารสนเทศ และการวางแผนด้านกลยุทธ์มีความสัมพันธ์แบบพึ่งพากัน โดยกิจกรรมในองค์กร (Corporate Activities) จำเป็นต้องใช้ข้อมูลจาก IT Activities เพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจ โดย IT Activities จะต้องสอดคล้องกับกิจกรรมในองค์กร และช่วยให้องค์กรสามารถใช้ประโยชน์จากข้อมูลอย่างเต็มที่ในการสร้างประโยชน์สูงสุด และได้ผลตอบแทนจากการลงทุนจากโอกาสทางธุรกิจต่าง ๆ รวมทั้งสามารถเพิ่มความได้เปรียบในการแข่งขันมากขึ้น

โดยปกติแล้วองค์กรจะมีการกำกับ บริหาร และควบคุมโดยใช้หลักการจัดการ และการปฏิบัติที่เหมาะสมหรือที่ดีที่สุด เพื่อให้มั่นใจว่าองค์กรจะสามารถบรรลุเป้าหมายหรือวัตถุประสงค์ที่ต้องการ โดยต้องมีการควบคุมที่ดีด้วย

และในขณะเดียวกันเทคโนโลยีสารสนเทศก็จำเป็นต้องมีการกำกับ บริหาร และควบคุมที่ดี โดยยึดหลักการของ Best Practices เช่นเดียวกัน เพื่อให้ข้อมูล และเทคโนโลยีที่ใช้ในองค์กร สามารถช่วยให้องค์กรบรรลุวัตถุประสงค์ทางธุรกิจได้ รวมทั้งการใช้ทรัพยากรต่าง ๆ อย่างมีเหตุมีผล และมีการบริหารความเสี่ยงที่เหมาะสม
องค์กร ควรสร้างคุณค่าเพิ่ม และความน่าเชื่อถือจากผู้มีผลประโยชน์ร่วมโดยการปรับปรุง Business Process และลดขนาดขององค์กร โดยจัดให้มีการจัดองค์กรใหม่อย่างเหมาะสมต่อไป

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

IT Governance & Control Objective to Environmental Control

เมษายน 4, 2009

เพื่อให้ท่านผู้อ่านทราบถึงแนวคิดและหลักการ IT Governance ตามหลักการของ COBIT ที่คัดย่อมาจาก IT Governance Institute ที่ใช้กันทั่วไปและเป็นสากลในบางมุมมองที่เกี่ยวข้องกับ Control OBjective for Information and Technology ที่เกี่ยวข้องกับการบริหารและการจัดการสารสนเทศที่ดีทางด้านการบริหารสารสนเทศที่เกี่ยวข้องกับคุณลักษณะที่ดี คือ ประสิทธิผล ประสิทธิภาพ การรักษาความลับ ความครบถ้วนถูกต้อง สภาพพร้อมใช้งาน การปฏิบัติตามกฎ ความเชื่อถือได้ ซึ่งมี 34 Process และหนึ่งในนั้นก็คือ การดำเนินธุรกิจที่ต่อเนื่องและการบริหารความเสี่ยง เพื่อสนับสนุนแนวทางของคณะอนุกรรมการบริหารความเสี่ยงในการใช้ปัจจัยในการประเมินที่เกี่ยวข้องกับ BCM และ Environmental Control ที่เกี่ยวกับมาตรฐาน EN 1047-2 บางมุมมอง วันนี้ผมจึงขอนำเสนอแนวคิด หลักการ และความสัมพันธ์ที่เกี่ยวข้องกับ IT Governance & Control Objective to Environmental Control ตามหัวเรื่องที่ได้กล่าวไว้ครับ

แนวคิดหลักของ IT Governance คือ รูปแบบโครงสร้างของความสัมพันธ์ กระบวนการการจัดการและการปฏิบัติในองค์กรที่ผู้บริหารใช้กำกับ และควบคุมองค์กรให้บรรลุถึงเป้าประสงค์ โดยการสร้างมูลค่าเพิ่มให้เกิดขึ้น ในขณะเดียวกันก็สามารถสร้างความสมดุลในการจัดการกับความเสี่ยงที่เกิดขึ้นเทียบกับผลลัพธ์ที่ได้รับจาก เทคโนโลยีสารสนเทศ และจากกระบวนการที่เกี่ยวข้อง

สารสนเทศขององค์กรต้องสามารถตอบสนองความต้องการด้านคุณภาพ ความน่าเชื่อถือ และการรักษาความปลอดภัย เช่นเดียวกับสินทรัพย์อื่น ๆ หรือยิ่งกว่าสินทรัพย์อื่น ๆ เพราะหลายกรณี การดำเนินธุรกิจที่ต่อเนื่องเป็นความสำคัญยิ่งยวดที่มิอาจจะผลักภาระไปยังบุคคลอื่นหรือทำการประกันภัยใด ๆ เพื่อให้ความมั่นใจอย่างสมเหตุสมผลว่า ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่องตามหลักการ Business Continuity Management

ผู้บริหารควรเข้าใจถึงสถานภาพของระบบเทคโนโลยีสารสนเทศขององค์กร และตัดสินใจว่าควรมีการดำเนินการควบคุม และสร้างศักยภาพอย่างไร จึงจะเหมาะสมอย่างผสมผสานกับธุรกิจเพื่อบรรลุเป้าหมายอย่างมีประสิทธิภาพสูงสุดขององค์กร ทั้งนี้โดยคำนึงถึงคุณลักษณะสารสนเทศที่ดีและความสามารถในการบริหารทรัพยากรเทคโนโลยีสารสนเทศจาก 34 กระบวนการที่กำหนดไว้ภายใต้ 4 โดเมน / กรอบหลักของการบริหาร IT Governance

หลักการและความเป็นจริงในการกำหนดกรอบ IT Governance
ความจำเป็นที่ต้องมีการควบคุมการจัดการและการใช้เทคโนโลยีสารสนเทศ
1. การพัฒนาเทคโนโลยีสารสนเทศ (IT) มีความก้าวหน้าขึ้นเป็นอันมาก ทำให้สารสนเทศสามารถส่งผ่านถึงผู้รับได้อย่างรวดเร็วโดยปราศจากข้อจำกัดด้านเวลา ระยะทาง และสถานที่ซึ่งมีผลถึงศักยภาพการแข่งขันอย่างสำคัญ
1.1. การพึ่งพาการใช้งานจากสารสนเทศ (Information) และระบบต่าง ๆ (Systems) ที่เพิ่มมากขึ้น
1.2. การเพิ่มขึ้นของการใช้สารสนเทศที่ใช้ในการพัฒนา Business Process และการให้บริการลูกค้า
1.3. การเปลี่ยนแปลงของต้นทุน และขนาดของการลงทุนของข้อมูล และ Information Systems ในปัจจุบัน และในอนาคต
1.4. ศักยภาพที่เพิ่มขึ้นของเทคโนโลยีที่ขับเคลื่อนการเปลี่ยนแปลงให้เกิดขึ้นในองค์กร รวมทั้งปรับเปลี่ยนหลักการการจัดการ และการปฏิบัติงาน (Business Practices) ซึ่งก่อให้เกิดโอกาสทางธุรกิจใหม่ ๆ และช่วยให้ต้นทุนลดลงด้วย

2. การแข่งขันที่รุนแรงขึ้นก่อให้เกิดการเปลี่ยนแปลงขององค์กรในด้านต่าง ๆ ไม่ว่าจะเป็นการปรับเปลี่ยนระบบ และกระบวนการทำงานให้กระชับขึ้น โดยนำเทคโนโลยีสารสนเทศมาช่วยในการปรับปรุงเพื่อเพิ่มความสามารถในการแข่งขันมากขึ้น มีการปรับขนาดขององค์กรให้กระชับและมีความเหมาะสม มีการใช้บริการจากภายนอกมากขึ้น มีการกระจายอำนาจและปรับโครงสร้างองค์กรให้เป็นแนวราบมากขึ้น สิ่งเหล่านี้มีผลกระทบต่อการปฏิบัติงานทั้งขององค์กรเอกชนและองค์กรของรัฐบาล โดยเฉพาะการเน้นไปที่การได้เปรียบในด้านการแข่งขัน (Competitive Advantage) และการเกิดประสิทธิภาพด้านต้นทุน (Cost Efficiency) ซึ่งเป็นผลให้แต่ละองค์กรจำเป็นต้องพึ่งพาเทคโนโลยีมากขึ้นและกลายเป็นยุทธศาสตร์ที่สำคัญขององค์กร

การดำเนินธุรกิจที่ต่อเนื่องเป็นความสำคัญยิ่งยวดที่ทุกองค์กรจะต้องตระหนัก โดยจัดให้มีการบริหารความเสี่ยงในมุมมองต่าง ๆ ที่เหมาะสม ตั้งแต่ Logical Control และ Environmental Control เพราะความไม่แน่นอนในการพึ่งพา Offsite Backup มีความเสี่ยงสูงและเป็นความเสี่ยงที่ไม่อาจยอมรับได้ในหลาย ๆ กรณี เมื่อมีการศึกษา Business Impact Analysis

3. องค์กรต่าง ๆ มองเห็นความสำคัญของสารสนเทศและเทคโนโลยีที่พัฒนา อันถือได้ว่าเป็นสินทรัพย์ที่มีค่ายิ่งโดยเฉพาะในโลกของการแข่งขันที่รุนแรง ผู้บริหารจะให้ความสำคัญ และความคาดหวังกับเทคโนโลยีสารสนเทศมากยิ่งขึ้นโดยเฉพาะการตอบสนองที่รวดเร็ว มีคุณภาพ สามารถใช้งานได้หลากหลาย และสะดวกต่อการใช้งาน โดยใช้เวลาน้อยลง เพิ่มระดับการบริการให้ดียิ่งขึ้น โดยมีต้นทุนที่ต่ำลง

4. องค์กรที่มีการปฏิบัติงานในระบบอัตโนมัติจำเป็นต้องมีกลไกในการควบคุมที่ดียิ่งขึ้น โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร์ และระบบเครือข่าย (Network) ทั้งในด้านของ Hardware และ Software ซึ่งระบบการควบคุมจำเป็นต้องพัฒนาไปพร้อมกับการพัฒนาของเทคโนโลยีที่เกิดขึ้นอย่างรวดเร็ว และเป็นไปแบบก้าวกระโดด

5. หลายองค์กรได้เล็งเห็นถึงประโยชน์ที่จะได้รับจากเทคโนโลยี สำหรับองค์กรที่ประสบความสำเร็จก็มีความเข้าใจ และสามารถบริหารความเสี่ยงที่มาพร้อมกับการนำเทคโนโลยีมาใช้ได้เป็นอย่างดี โดยเฉพาะการเปลี่ยนแปลงทางด้านเทคโนโลยีสารสนเทศ ได้เกิดมากขึ้นเป็นลำดับ และรวดเร็ว จึงจำเป็นต้องมีการจัดการความเสี่ยงที่มาพร้อมกับการเปลี่ยนแปลงนี้ให้ดียิ่งขึ้น ไม่ว่าจะเป็นการจัดการกับข้อมูลที่เปิดเผย และข้อมูลที่เป็นความลับ รวมทั้งการนำข้อมูลไปใช้กระทำการที่ผิดกฎหมาย ดังนั้น การบริหารความเสี่ยงที่เกี่ยวข้องกับ เทคโนโลยีสารสนเทศ จึงกลายมาเป็นส่วนสำคัญในการกำกับดูแลกิจการที่ดีขององค์กรขององค์กร (Corporate Governance)

6. ที่ผ่านมาความต้องการในการมีกรอบมาตรฐาน (Framework) สำหรับการจัดการเรื่องความปลอดภัย และการควบคุมทางด้านเทคโนโลยีสารสนเทศมีค่อนข้างมาก โดยเฉพาะองค์กรที่ประสบความสำเร็จต่าง ๆ ได้มีความเข้าใจ และประเมินค่าของความเสี่ยงเทียบกับข้อจำกัดในการใช้เทคโนโลยีสารสนเทศในทุกระดับขององค์กร เพื่อให้มั่นใจว่าองค์กรจะสามารถมีการกำกับดูแลที่มีประสิทธิผล และมีการควบคุมที่เพียงพอ

7. ระดับบริหารจะต้องสามารถตัดสินใจได้ว่าควรจะลงทุน ณ ระดับใด ในเรื่องการรักษาความปลอดภัย และการควบคุม (Security and Control) และจะรักษาจุดสมดุลอย่างไร ระหว่างความเสี่ยงที่รับได้กับการลงทุนในด้านการควบคุม ถึงแม้การรักษาความปลอดภัย และการควบคุม (Security and Control) ทางด้านเทคโนโลยีสารสนเทศจะช่วยในการบริหารความเสี่ยง แต่ความเสี่ยงก็ยังคงมีอยู่ไม่ได้ถูกกำจัดออกไปทั้งหมด เพราะไม่มีผู้ใดสามารถกำหนดระดับความเสี่ยงได้ชัดเจนแน่นอน

ดังนั้น ผู้บริหารจึงต้องกำหนดระดับความเสี่ยงที่รับได้ โดยเปรียบเทียบกับต้นทุนที่ต้องลงทุน ซึ่งถือได้ว่าเป็นการตัดสินใจที่ค่อนข้างยาก จึงจำเป็นต้องมีกรอบมาตรฐาน (Framework) เพื่อให้ทราบถึงการกำหนดนโยบายการรักษาความปลอดภัย และการควบคุมด้านเทคโนโลยีสารสนเทศ โดยคำนึงถึงสภาวะของเทคโนโลยีสารสนเทศในปัจจุบัน และที่จะเป็นในอนาคต

8. ระดับผู้ใช้ (Users) ก็ต้องมีความมั่นใจว่ามีการรักษาความปลอดภัย และการควบคุม (Security and Control) อย่างเพียงพอในการใช้งานด้านเทคโนโลยีสารสนเทศ ไม่ว่าจะเป็นการใช้บริการจากภายในองค์กร หรือจากผู้ให้บริการจากภายนอก (Third Party) ก็ตามซึ่งที่ผ่านมาการควบคุมทางด้านเทคโนโลยีสารสนเทศจะค่อนข้างสับสนเนื่องจากมีมาตรฐานหลากหลายวิธีจากองค์กรต่าง ๆ

9. ระดับผู้ตรวจสอบ (Auditors) ก็จำเป็นจะต้องมีมาตรฐานสากลในการตรวจสอบ เนื่องจากจะต้องมีจุดยืนในการให้แนวคิด และเหตุผลเกี่ยวกับการตรวจสอบภายในกับระดับบริหาร ซึ่งถ้าปราศจากกรอบมาตรฐานแล้วจะหาจุดพิจารณาถึงระดับการรักษาความปลอดภัย และการควบคุม (Security and Control) ด้านเทคโนโลยีสารสนเทศที่เหมาะสมได้ค่อนข้างยาก

ความสัมพันธ์ของ IT Governance กับ Corporate Governance
ธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ (IT Governance) เป็นส่วนสำคัญที่รวมอยู่ในความสำเร็จของธรรมาภิบาลขององค์กร (Corporate Governance) โดยจะเป็นจุดวัดของการปรับปรุงในด้านประสิทธิผล และประสิทธิภาพของกระบวนการปฏิบัติงานขององค์กร ธรรมาภิบาลขององค์กรจะเป็นกรอบในการกำหนดแนวทางสำหรับธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ (IT Governance) ส่วนกิจกรรม / กระบวนการต่าง ๆ ขององค์กรจะต้องใช้ข้อมูลจาก กิจกรรม / กระบวนการของเทคโนโลยีสารสนเทศอย่างมีนัยสำคัญยิ่ง โดยเฉพาะธุรกิจหลัก ๆ ขององค์กร

Corporate Governance เป็นผู้ขับเคลื่อน และกำหนดรูปแบบของ IT Governance ขณะเดียวกันเทคโนโลยีสารสนเทศก็ได้สนับสนุนข้อมูลที่จำเป็นต่าง ๆ เพื่อใช้ในการวางแผนด้านกลยุทธ์ (Strategic Planning) และในบางครั้งยังเป็นส่วนที่มีอิทธิพลในการสร้างโอกาสใหม่ ๆ ให้กับองค์กร จึงถือได้ว่าเทคโนโลยีสารสนเทศ และการวางแผนด้านกลยุทธ์มีความสัมพันธ์แบบพึ่งพากัน โดยกิจกรรมในองค์กร (Corporate Activities) จำเป็นต้องใช้ข้อมูลจาก IT Activities เพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจ โดย IT Activities จะต้องสอดคล้องกับกิจกรรมในองค์กร และช่วยให้องค์กรสามารถใช้ประโยชน์จากข้อมูลอย่างเต็มที่ในการสร้างประโยชน์สูงสุด และได้ผลตอบแทนจากการลงทุนจากโอกาสทางธุรกิจต่าง ๆ รวมทั้งสามารถเพิ่มความได้เปรียบในการแข่งขันมากขึ้น

โดยปกติแล้วองค์กรจะมีการกำกับ บริหาร และควบคุมโดยใช้หลักการจัดการ และการปฏิบัติที่เหมาะสมหรือที่ดีที่สุด เพื่อให้มั่นใจว่าองค์กรจะสามารถบรรลุเป้าหมายหรือวัตถุประสงค์ที่ต้องการ โดยต้องมีการควบคุมที่ดีด้วย

และในขณะเดียวกันเทคโนโลยีสารสนเทศก็จำเป็นต้องมีการกำกับ บริหาร และควบคุมที่ดี โดยยึดหลักการของ Best Practices เช่นเดียวกัน เพื่อให้ข้อมูล และเทคโนโลยีที่ใช้ในองค์กร สามารถช่วยให้องค์กรบรรลุวัตถุประสงค์ทางธุรกิจได้ รวมทั้งการใช้ทรัพยากรต่าง ๆ อย่างมีเหตุมีผล และมีการบริหารความเสี่ยงที่เหมาะสม
องค์กร ควรสร้างคุณค่าเพิ่ม และความน่าเชื่อถือจากผู้มีผลประโยชน์ร่วมโดยการปรับปรุง Business Process และลดขนาดขององค์กร โดยจัดให้มีการจัดองค์กรใหม่อย่างเหมาะสมต่อไป

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กระบวนการบริหารทางด้าน IT Governance บางมุมมอง

เมษายน 1, 2009

ในการบริหารและการจัดการที่ดี – CG ซึ่งผมได้พูดอยู่เสมอ ๆ ว่า แยกกันไม่ได้กับกระบวนการบริหารทางด้าน IT Governance นั้น เพราะว่าหลักการ CG ที่สำคัญมากข้อหนึ่งก็คือ ความโปร่งใสและเป็นธรรม มี Responsibility และ Accountability และส่งเสริม Best Practice เพื่อการเติบโตอย่างยั่งยืนของประเทศ และระดับองค์กร ต้องการข้อมูลและสารสนเทศที่ดีและถูกต้องเป็นปฐม เป็นตัวเริ่มของการบริหารและการจัดการทุกระดับ เพื่อก้าวไปสู่เป้าประสงค์และวิสัยทัศน์ขององค์กรอย่างมีความหมาย

ดังนั้น เมื่อข้อมูลและสารสนเทศเป็นหัวใจของความสำเร็จของการบริหารงาน กระบวนการบริหาร IT Governance ในแต่ละองค์ประกอบจะมีผลกระทบต่อเป้าหมายของการบริหารของการควบคุมสารสนเทศที่ดี ที่มีผลต่อ Business Process และ Business Objective ขององค์กร ซึ่งจะเกี่ยวข้องกับการสร้างคุณลักษณะของสารสนเทศที่ดี และการบริหารทรัพยากรสารสนเทศที่ดี เพื่อก้าวไปพร้อมกันกับการเข้าสู่การกำกับดูแลกิจการที่ดี หรือ CG

หากท่านผู้อ่านได้เห็นภาพโดยสรุปด้านล่างนี้ ก็จะพอเข้าใจได้เกือบจะทันทีถึงความสัมพันธ์ของกระบวนการดังกล่าว และความสัมพันธ์ของกระบวนการบริหารและการจัดการสารสนเทศที่ดี

COBIT_34 Process_PO & AI

COBIT_34 Process_PO & AI

COBIT_34 Process_DS & M

COBIT_34 Process_DS & M

จากแผนภาพข้างต้น ซึ่งเป็นที่แน่นอนว่าจะเกี่ยวข้องกับการบริหารความเสี่ยง การควบคุมภายใน ทั้งทางด้าน IT และ Non – IT และการตรวจสอบภายในตามฐานความเสี่ยงต่อไป

ดังนั้น คณะกรรมการและผู้บริหาร รวมทั้งผู้รับผิดชอบในการตรวจสอบ ควรจะมีความเข้าใจในสภาพแวดล้อมขององค์กรที่เกี่ยวข้องกับการขับเคลื่อน Business Process ไปสู่ Business Objectives ที่มี Information ที่น่าเชื่อถือได้ตามองค์ประกอบทั้ง 7 ซึ่งเกี่ยวข้องกับการควบคุมภายในตามกรอบของ COBIT ภายใต้หลักการ ITG

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กระบวนการบริหารทางด้าน IT Governance บางมุมมอง

เมษายน 1, 2009

ในการบริหารและการจัดการที่ดี – CG ซึ่งผมได้พูดอยู่เสมอ ๆ ว่า แยกกันไม่ได้กับกระบวนการบริหารทางด้าน IT Governance นั้น เพราะว่าหลักการ CG ที่สำคัญมากข้อหนึ่งก็คือ ความโปร่งใสและเป็นธรรม มี Responsibility และ Accountability และส่งเสริม Best Practice เพื่อการเติบโตอย่างยั่งยืนของประเทศ และระดับองค์กร ต้องการข้อมูลและสารสนเทศที่ดีและถูกต้องเป็นปฐม เป็นตัวเริ่มของการบริหารและการจัดการทุกระดับ เพื่อก้าวไปสู่เป้าประสงค์และวิสัยทัศน์ขององค์กรอย่างมีความหมาย

ดังนั้น เมื่อข้อมูลและสารสนเทศเป็นหัวใจของความสำเร็จของการบริหารงาน กระบวนการบริหาร IT Governance ในแต่ละองค์ประกอบจะมีผลกระทบต่อเป้าหมายของการบริหารของการควบคุมสารสนเทศที่ดี ที่มีผลต่อ Business Process และ Business Objective ขององค์กร ซึ่งจะเกี่ยวข้องกับการสร้างคุณลักษณะของสารสนเทศที่ดี และการบริหารทรัพยากรสารสนเทศที่ดี เพื่อก้าวไปพร้อมกันกับการเข้าสู่การกำกับดูแลกิจการที่ดี หรือ CG

หากท่านผู้อ่านได้เห็นภาพโดยสรุปด้านล่างนี้ ก็จะพอเข้าใจได้เกือบจะทันทีถึงความสัมพันธ์ของกระบวนการดังกล่าว และความสัมพันธ์ของกระบวนการบริหารและการจัดการสารสนเทศที่ดี

COBIT_34 Process_PO & AI

COBIT_34 Process_PO & AI

COBIT_34 Process_DS & M

COBIT_34 Process_DS & M

จากแผนภาพข้างต้น ซึ่งเป็นที่แน่นอนว่าจะเกี่ยวข้องกับการบริหารความเสี่ยง การควบคุมภายใน ทั้งทางด้าน IT และ Non – IT และการตรวจสอบภายในตามฐานความเสี่ยงต่อไป

ดังนั้น คณะกรรมการและผู้บริหาร รวมทั้งผู้รับผิดชอบในการตรวจสอบ ควรจะมีความเข้าใจในสภาพแวดล้อมขององค์กรที่เกี่ยวข้องกับการขับเคลื่อน Business Process ไปสู่ Business Objectives ที่มี Information ที่น่าเชื่อถือได้ตามองค์ประกอบทั้ง 7 ซึ่งเกี่ยวข้องกับการควบคุมภายในตามกรอบของ COBIT ภายใต้หลักการ ITG

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

ก้าวสู่…การกำกับดูแลกิจการที่ดีขององค์กร (Approach to Corporate Governance)

มีนาคม 31, 2009

จากที่เราได้คุยกันในครั้งก่อน เมื่อวันที่ 24 มี.ค. 2552 ได้พูดถึงบทคัดย่อ พระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546

วันนี้เราจะได้คุยกันต่อ เพื่อสร้างความเข้าใจโดยใช้รูปภาพเป็นสื่อ และแทรกด้วยคำอธิบายบางส่วน เท่าที่พิจารณาว่าเหมาะสม ดังนี้นะครับ…

สภาพแวดล้อมของการกำกับดูแลกิจการที่ดี กับ GRC บางมุมมอง

สภาพแวดล้อมของการกำกับดูแลกิจการที่ดี กับ GRC บางมุมมอง

การกำกับดูแลกิจการที่ดีขององค์กร มีบทบาทในการเพิ่มศักยภาพการแข่งขันทางด้านการให้บริการ สร้างความไว้วางใจในด้านความโปร่งใสและการปฏิบัติที่เป็นธรรม

ความเข้าใจของคำว่า การกำกับดูแลกิจการที่ดี (Good Corporate Governance) มีความเข้าใจที่แตกต่างกันค่อนข้างมาก ในบรรดาผู้บริหารและผู้ปฏิบัติงานบางส่วน การสร้างความเชื่อมั่นในการนำองค์กร ไปสู่เป้าหมายที่กำหนดได้อย่างยั่งยืนนั้น จำเป็นอย่างยิ่งที่จะต้องร่วมมือร่วมใจกันสร้างและจัดให้มีวิธีการกำกับดูแลกิจการที่ดี เพื่อสร้างโอกาส ศักยภาพ โดยความร่วมมือ ร่วมใจของบุคลากรทุกระดับ

การกำกับดูแลกิจการที่ดี เป็นการบริหารจัดการโดยกำหนดบทบาทและวิธีปฏิบัติงานเพื่อก่อให้เกิดประโยชน์ต่อการบริหาร การให้บริการและเพิ่มมูลค่าในทุกระดับขององค์กร ตามหลักการสากลของการกำกับดูแลกิจการที่ดีที่ใช้อยู่ในปัจจุบันนี้ และสอดคล้องกับพระราชกฤษฎีกา พ.ศ.2546 ว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดีในมิติต่าง ๆ ซึ่งจะประกอบด้วย:-

1. Responsibility
มีความเข้าใจและมีขีดความสามารถในการประพฤติปฏิบัติได้ตามหน้าที่ และความรับผิดชอบให้บรรลุวัตถุประสงค์และเป้าหมายที่กำหนด

2. Accountability
แสดงความรับผิดและรับชอบต่อผลการปฏิบัติหน้าที่ถึงแม้จะไม่ได้ปฏิบัติงานนั้นด้วยตนเอง

3. Equitable Treatment
ปฏิบัติต่อผู้มีส่วนได้ส่วนเสียทุกกลุ่มอย่างเท่าเทียมและเป็นธรรม

4. Transparency
แสดงความโปร่งใสในการดำเนินงาน สามารถอธิบายและตรวจสอบได้

5. Creation of Long Term Value
แสดงกลยุทธ์และขีดความสามารถในการสร้างมูลค่าเพิ่มให้กับกิจการในระยะยาว

6. Promotion of Best Practices
ส่งเสริมการปฏิบัติอันเป็นเลิศ และการมีจรรยาบรรณที่ดีในการประกอบธุรกิจ

7. Social and Environmental Awareness
มีความสำนึกที่ต้องรับผิดชอบต่อสังคม และสิ่งแวดล้อม

ความตื่นตัวของการกำกับดูแลกิจการที่ดี ได้เกิดมากขึ้นหลังจากที่ประเทศไทยได้ประสบวิกฤติการณ์เศรษฐกิจที่ผ่านมา ในปี 2539 – 2540 และกำลังเกิดวิกฤติการณ์ใหม่ ซึ่งมีระดับความเสียหายไปทั่วโลกในปัจจุบัน ผมเชื่อว่าวิกฤติที่เกิดขึ้นนั้น ส่วนหนึ่งมาจากการขาดการบริหารจัดการที่ดีทั้งในภาครัฐและเอกชน โดยเฉพาะอย่างยิ่งการละเลยไม่ปรับตัวให้สอดคล้องกับความเปลี่ยนแปลง การไม่สร้างมาตรฐานให้ทัดเทียมเพื่อการแข่งขันกับคนอื่น โดยเฉพาะในเวทีของโลก จึงต้องมีการปรับปรุงการบริหารจัดการ ทั้งในภาครัฐและเอกชน พัฒนารูปแบบการดำเนินงานเพื่อสามารถแข่งขันกับผู้อื่นได้ สามารถยกระดับมาตรฐานให้เป็นสากล เป็นที่ยอมรับ เป็นที่น่าเชื่อถือและน่าไว้วางใจต่อผู้ที่เกี่ยวข้อง เพราะธุรกิจต่าง ๆ และหน่วยงานของรัฐ ต้องติดต่อและมีความสัมพันธ์ระหว่างประเทศมากขึ้น ไม่ทางตรงก็ทางอ้อม

ประเทศสหรัฐอเมริกาเอง ซึ่งเป็นประเทศต้นแบบประเทศหนึ่งในการสร้างมาตรฐานการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง การควบคุมภายใน และการตรวจสอบภายในตามฐานความเสี่ยง ในเรื่องอื่น ๆ อีกมากมาย รวมทั้งเรื่อง IT Governance และอื่น ๆ นั้น กับเป็นประเทศที่สร้างปัญหาทั้งเศรษฐกิจและการเงินที่มีผลกระทบต่อเศรษฐกิจการเงินทั่วโลกในปัจจุบัน ก็เกิดจากการละเว้นไม่ปฏิบัติตามกฎเกณฑ์ที่ประเทศของตนเป็นผู้นำในการสร้างกติกาต่าง ๆ ให้ประเทศทั่วโลกต้องปฏิบัติ

นี่คือจุดอ่อนที่สำคัญของการควบคุมภายใน ที่เกิดจาก People – Process – Technology ผสมผสานกับสภาพแวดล้อมทางวัฒนธรรมและความหย่อนยานทางจริยธรรม ซึ่งส่วนใหญ่จะขึ้นกับจิตสำนึกของบุคลากรที่ยากมากที่จะติดตามและตรวจสอบให้รู้ถึงรากเง้าของปัญหาที่ก่อตัวขึ้น และกว่าจะรู้ว่าปัญหาที่เกิดขึ้นนั้นมีความเสียหายอย่างอเนกอนันต์ ก็สายเกินกว่าที่จะแก้ไขได้ในเวลาอันสั้น

ผลกระทบของความเสียหายจึงเกิดขึ้นในลักษณะลูกโซ่ ซึ่งเรียกว่าเป็น “Systematic Risk” ที่เป็นอยู่ในปัจจุบันนั่นเอง สรุปได้ว่า ปัญหาที่เกิดขึ้นในอดีตและปัจจุบัน เกิดจากการขาดดุลยภาพของกระบวนการจัดการที่ดี ที่ไม่เป็นไปตามหลักบรรษัทภิบาล หรือ CG ที่เป็นรูปธรรม

การขาดดุลยภาพก็หมายถึง การขาดความยั่งยืนในการเจริญเติบโต ซึ่งเป็นหลักการข้อหนึ่งของ CG นอกเหนือจากหลักการอื่น ๆ ที่จะกล่าวต่อไป

การสร้างค่านิยมร่วมของประเทศและองค์กร

การสร้างค่านิยมร่วมของประเทศและองค์กร

ทั้งนี้ หน่วยงานภาครัฐของไทยจึงเล็งเห็นถึงความสำคัญของการกำกับดูแลกิจการที่ดีและประโยชน์ที่คาดว่าจะได้รับจากการนำการกำกับดูแลกิจการที่ดีมาใช้ จึงได้มีการประยุกต์หลักการสากลทั้ง 7 ประการข้างต้นให้มีความเป็นรูปธรรมและเหมาะสมกับประเทศไทยมากขึ้น โดยรัฐบาลได้ออกมาเป็น พระราชกฤษฎีกาว่าด้วยหลักเกณฑ์ และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 เมื่อวันที่ 9 ตุลาคม 2546 โดยสาระสำคัญประกอบด้วย

1. การเกิดประโยชน์สุขของประชาชน
2. การเกิดผลสัมฤทธิ์ต่อภารกิจของรัฐ
3. มีประสิทธิภาพและเกิดความคุ้มค่าในเชิงภารกิจของรัฐ
4. ไม่มีขั้นตอนการปฏิบัติงานเกินความจำเป็น
5. มีการปรับปรุงภารกิจของส่วนราชการให้ทันต่อสถานการณ์
6. ประชาชนได้รับการอำนวยความสะดวก แลได้รับการตอบสนองความต้องการ
7. มีการประเมินผลการปฏิบัติราชการสม่ำเสมอ

สาระสำคัญของพระราชกฤษฎีกาฯ ข้างต้นทำให้ทางหน่วยงานภาครัฐต่าง ๆ ให้ความสำคัญในเรื่องการกำกับดูแลกิจการที่ดีกันมากขึ้น องค์กรต่าง ๆ ทั้งภาครัฐและเอกชนเป็นหน่วยงานหนึ่งที่เล็งเห็นประโยชน์และความสำคัญดังกล่าว โดยได้มีการนำเอาพระราชกฤษฎีกาฯ นั้นมาใช้ในการกำหนดออกมาเป็นกรอบของ กพร. ซึ่งสามารถแบ่งออกเป็นมิติต่าง ๆ 4 ด้าน

มิติทั้ง 4 ด้าน ตามกรอบของ กพร. ประกอบด้วย
มิติที่ 1 ประสิทธิผลตามพันธกิจ
1. การประเมินผลตามแผนยุทธศาสตร์ของหน่วยราชการ
2. ผลสำเร็จในการพัฒนาการปฏิบัติราชการ

มิติที่ 2 ประสิทธิภาพของการปฏิบัติราชการ
1. คุณภาพการให้บริการ
2. การให้บริการผ่านทางระบบอิเล็กทรอนิกส์
3. การสำรวจและรับฟังความคิดเห็นของประชาชน และจัดให้มีคณะที่ปรึกษาภาคประชาชน

มิติที่ 3 คุณภาพการให้บริการ
1. การลดค่าใช้จ่าย
2. การลดระยะเวลาการให้บริการ
3. การนำระบบอิเล็กทรอนิกส์มาใช้กับงานบางส่วน
4. การวัดต้นทุนต่อหน่วย
5. การบริหารสินทรัพย์ให้เกิดประสิทธิภาพ

มิติที่ 4 การพัฒนาองค์กร
1. การลดอัตรากำลังหรือการจัดสรรอัตรากำลังให้ทำงานคุ้มค่า
2. การมอบอำนาจการตัดสินใจ การอนุมัติ อนุญาตไปยังระดับปฏิบัติการ
3. การกำหนดเป้าหมายและตัวชี้วัดระดับบุคคลให้สอดคล้องกับระดับองค์กร
4. การพัฒนาระบบการควบคุมภายใน
5. นวัตกรรม

จากหลักสากลของการกำกับดูแลที่ดีแปลงมาสู่พระราชกฤษฎีกาฯ และองค์กรต่าง ๆ ได้นำมาประยุกต์ปฏิบัติให้เป็นรูปธรรม เพื่อให้สามารถวางเป็นกรอบการดำเนินงานในการกำกับดูแลองค์กรที่ดีขององค์กร เป็นหลักเกณฑ์และมาตรฐานที่กำหนดขึ้น เพื่อให้คณะผู้บริหารและพนักงานขององค์กรทุกคน ใช้เป็นแนวทางในการกำกับดูแลการบริหารงานและปฏิบัติงานให้มีคุณภาพ มีความโปร่งใส และมีประสิทธิภาพในภาระหน้าที่ความรับผิดชอบในการบริหารงานทุกขั้นตอน โดยการกำหนดรูปแบบและอำนาจหน้าที่ ตลอดจนแนวปฏิบัติที่ดีของคณะกรรมการฝ่ายบริหารและพนักงาน เพื่อให้เกิดกระบวนการกำกับดูแล มีการตรวจสอบและพัฒนาการ และระบบการควบคุมภายในที่ดีเป็นมาตรฐาน โดยมีการบริหารและจัดการกับขนาดของความเสี่ยงด้านต่าง ๆ ที่มีโอกาสที่จะสร้างความเสียหายให้กับองค์กร ทั้งในปัจจุบันและอนาคตได้อย่างมีประสิทธิผล และเหมาะสมเป็นที่ยอมรับของทุก ๆ ฝ่ายที่เกี่ยวข้อง

Leave a Comment » | CG & ITG & GRC และองค์ประกอบที่เกี่ยวข้อง | ติดป้ายกำกับ: , , , | ลิงก์ถาวร
โพสต์โดย Metha Suvanasarn

กลับไปหน้าที่แล้ว
รายการถัดไป »