IT Governance & Control Objective to Environmental Control (ต่อ)

ครั้งก่อนผมได้เล่าสู่กันฟังถึงแนวคิดหลัก และหลักการในการกำหนดกรอบของ IT Governance รวมถึงความสัมพันธ์ของ IT Governance กับ Corporate Governance ที่มีความสัมพันธ์แบบพึ่งพากัน ในวันนี้เราจะมาพูดคุยต่อถึงปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance รวมถึงบทบาท หน้าที่ของฝ่ายตรวจสอบ คณะกรรมการและผู้บริหารขององค์กรที่เกี่ยวข้องกับ IT Governance กันครับ

ปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance โดยย่อ
ปัจจัยที่ใช้วัดความสำเร็จทางด้านเทคโนโลยีสารสนเทศ และ IT Governance ที่สำคัญ ซึ่งจะเชื่อมโยงนำไปสู่ความสำเร็จขององค์กรโดยรวม จะพิจารณาทางด้านกฎหมาย ด้านการจัดองค์กร และกระบวนการปฏิบัติงานทั่วทั้งองค์กร ไม่ว่าจะใช้โปรแกรมประยุกต์เพื่อการบริหารทรัพยากรทั่วทั้งองค์กรด้านเทคนิค ซึ่งอาจเป็นระบบ Enterprise Resource Planning (ERP) หรือไม่ก็ตาม การวางแผน การปฏิบัติ การสอบทาน และการแก้ไข เพื่อนำไปสู่ความคิดในการพัฒนางานด้าน IT Governance ให้เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดีขององค์กร (GCG – Good Corporate Governance) นั้น เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

สำหรับการบริหาร IT Governance เท่าที่เป็นอยู่ในปัจจุบัน เมื่อเทียบกับมาตรฐานที่ใช้ในการประเมินผลการบริหารความเสี่ยงด้าน IT Governance ซึ่งเป็นส่วนหนึ่งของการประเมินระดับการบริหารความเสี่ยงขององค์กรนั้น มีข้อควรพิจารณาปรับปรุงบางประการ เช่น BCP-Business Continuity Plan การบริหารสภาพแวดล้อมของศูนย์คอมพิวเตอร์หลัก โดยการจัดให้มีการควบคุมสภาพแวดล้อมที่เหมาะสมตามมาตรฐาน ที่วัดได้ ปฎิบัติได้ โดยมี Performance Measurement ที่เหมาะสม

การจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน เทคโนโลยีสารสนเทศ กับความเสี่ยงที่อาจเกิดขึ้น

การสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์ หรือนโยบาย และการจัดการด้านเทคโนโลยีสารสนเทศตามที่กำหนดไว้ เช่น กลยุทธ์ หรือนโยบายด้านเทคโนโลยีสารสนเทศ ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้านเทคโนโลยีสารสนเทศในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

บทบาทของฝ่ายตรวจสอบที่เกี่ยวข้องกับ IT Governance
ฝ่ายตรวจสอบควรมีบทบาทในฐานะเป็นผู้ให้คำแนะนำ และสร้างคุณค่าเพิ่มในการปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบภายในของทุกสายงาน และในฐานะผู้ประเมินคุณภาพการบริหารความเสี่ยง การควบคุมภายในทางด้านต่าง ๆ เช่น
1. คุณภาพของการปฏิบัติงาน (Operational)
2. คุณภาพทางด้านการปฏิบัติตามนโยบาย กฎเกณฑ์ ระเบียบ คำสั่ง (Compliance)
3. คุณภาพด้านการเงิน และการรายงาน (Financial) รวมทั้งการให้คำแนะนำด้านเทคโนโลยีสารสนเทศ และ IT Governance
4. การตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งการใช้ Outsource เพื่อเป้าหมายดังกล่าว รวมทั้งมุมมองที่กว้างกว่านั้น องค์กรควรวางกรอบความต้องการของตนให้ชัดเจนเพื่อความคุ้มค่าในการดำเนินงาน เพราะการตรวจสอบด้านเทคโนโลยียุคใหม่จะเป็นการตรวจสอบการจัดการความเสี่ยงทางด้าน IT Governance โดยเฉพาะอย่างยิ่งการตรวจสอบความสามารถในการดำเนินธุรกิจอย่างต่อเนื่อง (BCM – Business Continuity Management) และ Control Objective ไปสู่ Business Process เพื่อก้าวไปสู่ Business Objective ขององค์กร โดยเน้นหลักการ Best Practice

บทบาทหน้าที่ของคณะกรรมการและผู้บริหารขององค์กรเกี่ยวกับ IT Governance
1. นำกรอบงานธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ (IT Governance) มาใช้ในองค์กร
2. กำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศที่สอดคล้องกับเป้าหมายการทำธุรกิจ
3. การเชื่อมโยงกลยุทธ์ และเป้าหมายลงไปในแต่ละระดับขององค์กร
4. กำหนดโครงสร้างองค์กรที่ช่วยสนับสนุนการดำเนินงานตามกลยุทธ์ที่วางไว้
5. นำกรอบงานด้านการควบคุมเทคโนโลยีสารสนเทศ และด้าน IT Governance มาใช้
6. จัดให้มีโครงสร้างพื้นฐานด้านเทคโนโลยีที่ช่วยสนับสนุนการสร้างสารสนเทศทางธุรกิจและการใช้สารสนเทศดังกล่าวร่วมกัน
7. การผนวกรวมความรับผิดชอบด้านการบริหารความเสี่ยงไว้ในองค์กร
8. มุ่งเน้นกระบวนการเทคโนโลยีสารสนเทศที่สำคัญ และความสามารถหลักของเทคโนโลยีสารสนเทศ (Core IT Competencies)
9. วัดผลการดำเนินงาน (Balanced Business Scorecard)

กิจกรรมด้าน IT Governance โดยสรุป
1. กำหนด IT Master Plan วิธีการปฏิบัติงานใหม่ที่มีกระบวนการที่ใช้เทคโนโลยีสารสนเทศ และคำนึงถึงผลกระทบทางด้านเทคโนโลยีสารสนเทศที่มีต่อองค์กรและวิธีการทำงานใหม่ ๆ
2. กำหนดความคาดหวังและผลตอบแทน เพื่อกำหนดแนวทางการใช้เทคโนโลยีสารสนเทศอย่างคุ้มค่า
3. มีการพิจารณา Physical Security และ Information Security Governance ที่เป็นรูปธรรมโดยเฉพาะจากข้อกำหนดของหน่วยงานภาครัฐฯ และบุคคลภายนอกที่เกี่ยวข้อง
4. กำหนดหน้าที่ ความรับผิดชอบ การประสานงาน การใช้เทคโนโลยีสารสนเทศของแต่ละสายงานทั่วทั้งองค์กรที่สามารถทำงานกับสายงานได้อย่างลงตัว
5. การพิจารณาใช้เทคโนโลยีสารสนเทศสนับสนุนกระบวนการปฏิบัติงาน ทั้งภายในและภายนอกองค์กรอย่างสอดคล้อง และต่อเนื่องทั่วถึงกันทุกระบบที่สำคัญขององค์กร
6. กำหนดจุดควบคุมของทุกกระบวนการ และมีการสอบทานติดตามในกระบวนการปฏิบัติงาน
7. รวบรวม และบริหารทรัพยากรอย่างผสมผสานระหว่าง IT Process และ Business Process ตั้งแต่การวางแผนการจัดองค์กร การพนักงาน การกำกับไปจนถึงการติดตาม
8. การบริหารและจัดการกับความเสี่ยงที่เกี่ยวข้องทั่วทั้งองค์กร ที่รวมทั้งความเสี่ยงทางด้านเทคโนโลยีสารสนเทศตามคุณลักษณะที่ดี
9.จัดให้มีการวัดผลการปฏิบัติงานทุกสายงาน และภาพโดยรวมขององค์กร โดยเน้นการพลิกฟื้นด้านปฏิบัติการ (Operation Turnaround) การพลิกโฉมทางยุทธศาสตร์ (Strategic Turnaround)
10. สอบทาน และรับรองคุณภาพของผลการปฏิบัติงานโดยรวม จากการมีการใช้เทคโนโลยีสารสนเทศ และ IT Governance
11. การพิจารณาความดีความชอบจากการบริหาร และการปฏิบัติงานด้าน IT Governance อย่างผสมผสานทั่วทั้งองค์กรในส่วนที่เกี่ยวข้อง

 

Leave a Reply