Archive for พฤศจิกายน, 2013

IT Management สู่ IT Governance ก้าวต่อไปยัง GRC และ GEIT/COBIT5 (ตอนที่ 2)

วิวัฒนาการของ IT Management สู่ -> COBIT4.1 -> GEIT/COBIT5

ตั้งแต่ วันที่ 22 ธันวาคม 2555 ผมได้เคยเขียนเล่าเรื่องวิวัฒนาการของ IT Management สู่ GEIT/COBIT5 มานานพอสมควร แต่เนื่องจากมีเหตุการณ์และเรื่องราวที่เป็น hot issue เข้ามาแทรกในช่วงตั้งแต่เวลานั้นค่อนข้างมาก ผมจึงใช้เวลามาจนถึงวันนี้ที่จะเล่าเรื่องต่อในหัวข้อดังกล่าว ซึ่งได้เริ่มว่า…

ก่อนจะก้าวสู่ Quality Management Cycle โดย IT Governance ผ่านกระบวนการบริหารจัดการทางด้านการบริหารสารสนเทศที่ดี ตามกรอบที่เรียกว่า COBIT 4.1 เพื่อการเติบโตอย่างยั่งยืน สนองตอบต่อผู้มีผลประโยชน์ร่วมทั้งภายในและภายนอกองค์กรนั้น องค์กรส่วนใหญ่ได้ผ่านกระบวนการบริหารการจัดการสารสนเทศ ที่เรียกว่า IT Management มาก่อน แต่ก็มีหลายองค์กรที่มีระดับการจัดการ IT Management ที่แตกต่างกันมาก ส่งผลกระทบต่อประสิทธิผลและประสิทธิภาพที่มีต่อ Business Performance ในมุมมองของ Business Balanced Scorecard ทั้ง 4 โดยเฉพาะอย่างยิ่ง การขาดดุลยภาพระหว่าง Business Performance กับ Businesss Conformance ที่กล่าวถึงการบริหารให้สอดคล้องกับกฎหมาย กฎเกณฑ์ นโยบาย ระเบียบ และ คำสั่งต่าง ๆ ที่เกี่ยวข้อง

….

การบริหารจัดการเทคโนโลยีสารสนเทศ (IT Management) เพื่อการบริหารการเปลี่ยนแปลง (Change Management Process) ที่เกี่ยวข้องกับการเพิ่มประสิทธิภาพ และประสิทธิผลในการดำเนินงาน และสร้างความมั่นใจต่อผู้ที่เกี่ยวข้อง/ผู้มีผลประโยชน์ร่วม เพื่อยกระดับกระบวนการบริหารและการจัดการที่ดีในการขับเคลื่อนเป้าประสงค์ที่สัมพันธ์ และสอดคล้องกับการประเมินผลของผู้กำกับฯ ที่เกี่ยวข้องกับการบริหารและการจัดการสารสนเทศที่ดี (IT Governance) ตามแนวทางของ COBIT

ในวันนี้ผมจะมาเล่าสู่กันฟังในเรื่องที่หลายท่านสนใจก็คือเรื่อง การจัดทำแผนปฏิบัติงาน (Action Plan/Implementation Plan) ซึ่งใช้เป็นแนวทางการบริหารการเปลี่ยนแปลงเพื่อยกระดับการบริหารสารสนเทศที่เกี่ยวข้อง (IT Management) โดยมีความสอดคล้องกับผลการประเมินช่องว่างตามกรอบ IT Governance COBIT 4.1

โดยจะนำเสนอแผนการดำเนินงานทั้งหมด 9 แผนงานหลัก ซึ่งสอดคล้องกับกระบวนการด้าน IT ในระดับ High Level 9 กระบวนการ (Process) รวมทั้งสิ้น 34 กระบวนการ จาก 4 Domain ซึ่งในแต่ละแผนงานมีองค์ประกอบหลัก คือ แนวทางปฏิบัติที่ดี ความเชื่อมโยงกับวัตถุประสงค์ด้านไอทีและวัตถุประสงค์ทางธุรกิจ วัตถุประสงค์ ระยะเวลาดำเนินงาน ผู้รับผิดชอบ วิธีการดำเนินงาน (Implementation) ตัวชี้วัด และทรัพยากรที่ใช้ ทั้งนี้ โดยมีเป้าประสงค์ที่จะก่อให้เกิดการสร้างคุณค่าเพิ่มตามความคาดหวังของผู้มีผลประโยชน์ร่วมที่เกี่ยวข้องกับการบริหารทรัพยากรทางด้านเทคโนโลยีสารสนเทศ ซึ่งได้แก่ บุคลากร ระบบงานประยุกต์ เทคโนโลยี สิ่งอำนวยความสะดวก และข้อมูล ที่สัมพันธ์กับการบริหารความเสี่ยงอย่างได้ดุลยภาพ เพื่อให้ได้คุณลักษณะที่ดีของสารสนเทศ 7 ประการที่เกี่ยวกับ ประสิทธิผล ประสิทธิภาพ การรักษาความลับ ความครบถ้วนถูกต้อง สภาพพร้อมใช้งาน การปฏิบัติตามกฎ และความเชื่อถือได้ ซึ่งจะเกี่ยวข้องกับกระบวนการ (Process) ทั้ง 9 เพื่อนำไปจัดทำแผนงานตามกระบวนการต่าง ๆ ดังนี้

1) การจัดทำแผนกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (Define a Strategic IT Plan) เพื่อให้องค์กรได้รับประโยชน์สูงสุดจากการใช้ IT
2) การประเมินและบริหารจัดการความเสี่ยง (Assess and Manage IT Risks) เพื่อให้ IT สามารถตอบสนองความต้องการของผู้บริหารในการตัดสินใจเพื่อลดความเสี่ยง โดยให้ข้อมูลที่เป็นรูปธรรม และชี้ให้เห็นประเด็นที่สำคัญ
3) การบริหารจัดการโครงการ (Manage Projects) เพื่อกำหนดระดับความสำคัญ และดำเนินการให้แล้วเสร็จภายในเวลาและงบประมาณที่กำหนด
4) การบริหารจัดการการเปลี่ยนแปลง (Manage Changes) เพื่อลดโอกาสการหยุดชะงัก การแก้ไขโดยพลการ และความผิดพลาด
5) การสร้างความมั่นใจในความปลอดภัยของระบบ (Ensure Systems Security) เพื่อปกป้องข้อมูลจากการถูกใช้ เปิดเผย แก้ไข ทำลาย โดยไม่ได้รับอนุมัติหรือการสูญหาย
6) การจัดการข้อมูล (Manage Data) เพื่อให้มั่นใจว่าข้อมูลมีความสมบูรณ์ ถูกต้องและน่าเชื่อถือ สำหรับ input, update และ storage
7) การติดตามและประเมินผลเทคโนโลยีสารสนเทศ (Monitor and Evaluate IT Performance) เพื่อให้มั่นใจว่ากิจกรรมด้าน IT สามารถบรรลุเป้าหมายการปฏิบัติงานตามที่กำหนด
8) การสร้างความมั่นใจในการปฏิบัติตามความต้องการจากภายนอก (Ensure Compliance with External Requirement) เพื่อเพิ่มความมั่นใจ และความไว้วางใจระหว่างองค์กร ผู้ใช้ และบุคคลภายนอก
9) การจัดการด้านเทคโนโลยีสารสนเทศที่ดีหรือธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ (Provide IT Governance) เพื่อเพิ่มระดับความมั่นใจและให้เกิดประโยชน์ทางธุรกิจจาการใช้ทรัพยากรเทคโนโลยีสารสนเทศสูงสุด

ในครั้งต่อไปผมจะมาเล่าสู่กันฟังในเรื่องของการจัดทำแผนปฏิบัติงาน (Action Plan/Implementation Plan) ทั้ง 9 กระบวนการ ซึ่งเป็นเรื่องที่น่าสนใจเป็นอย่างมากสำหรับผู้ที่เกี่ยวข้อง ไม่ว่าจะเป็น CIO ผู้บริหารระดับสูง หัวหน้าผู้ตรวจสอบ ผู้ตรวจสอบทางด้าน IT และ Non-IT รวมทั้ง Integreated Auditor ยุคใหม่พึงเข้าใจ เพราะวัตถุประสงค์ทางธุรกิจ (Interprise Goals/Business Goals) จะต้องมีความสัมพันธ์กับ IT-Related Goals ซึ่งจะเกี่ยวข้องกับการบริหารในแต่ละกิจกรรมตามกระบวนการทั้ง 9 จาก 34 กระบวนการ ตาม COBIT 4.1 ซึ่งต่อมาจะวิวัฒนาการไปสู่ COBIT 5

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/