cobit5 thai

8/18/2019 COBIT5 Thai

1/98

กรอบการด าเน นงานทางธรก จส าหรั บ การก ากั บดแลและการบร หารจั ดการ ไอท ระดั บองค กร

Personal Copy of: Internal Audit Center


2/98

2

ISACA®

ด วยหนวยงานภาคพ นกวา 95,000 แหงใน 160 ประเทศ สมาคมไอซาก า (ISACA) (www.isaca.org) เปนหน งในผนาระดับสากลในดานการให ความร การให การรับรองดวยวฒบัตร การสร างชมชน(ทางวชาช พ) การสนับสนนและใหการศ กษาทางด านการให ความเช อมั นและการรักษาความมั นคงปลอดภัยส าหรับระบบสารสนเทศ การกากับดแลและการบรหารจัดการองคกรในดานไอท รวมทังความเส ยงและการปฏบัตตามกฎระเบยบขอบังคับท เก ยวของกับไอท สมาคมจัดตังข นในปค.ศ.1969 โดยเปนองคกรอสระท ไมแสวงหากาไร จัดการประชมส ัมมนา (เช งวชาการ) ในระดับสากล ตพมพวารสาร ISACA ®

Journal และจัดทามาตรฐานสากลส าหรับการตรวจสอบและควบคมระบบสารสนเทศ ซ งช วยใหหนวยงานภาคพ นตางๆ ของสมาคมมั นใจไดถงความเช อมั นและการสรางคณคาจากระบบสารสนเทศ ทังยังช วยสรางความก าวหนาและใหการรับรองทักษะและความรด านไอทผานทางการให วฒบัตรท ได รับการยอมรับกันท ัวโลก ได แก Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of EnterpriseIT® (CGEIT®) และ Certified in Risk and Information Systems ControlTM (CRISCTM) สมาคม ISACA ยังคงดาเนนการปรับปรง COBIT® ให เปนปัจจบันอย อยางตอเน อง ซ งช วยใหผ ประกอบวชาช พทางดานไอทและผนาในองคกรสามารถรับผดชอบการกากับดแลและการบรหารจัดการดานไอท โดยเฉพาะในด านการให ความเช อมั น การรักษาความมั นคงปลอดภัยความเส ยงและการควบคม ตลอดจนการส งมอบคณคาใหแกธรกจ

Quality StatementThis Work is translated into Thai from the English language version of COBIT® 5 by the ISACA® BangkokChapter with the permission of ISACA®. The ISACA® Bangkok Chapter assumes sole responsibility for the

accuracy and faithfulness of the translation.ค�แถลงดนคณภพเอกสารฉบับน แปลเอกสาร COBIT® 5 ฉบับภาษาอังกฤษให เปนภาษาไทยโดยสมาคมผตรวจสอบและควบคมระบบสารสนเทศ-ภาคพ นกรงเทพฯ ผ ได รับอนญาตจาก ISACA® ซ งสมาคมฯ เปนผ รับผดชอบแตผ เดยวในความถกต องและความเช อถอไดของการแปล

DisclaimerISACA has designed this publication, COBIT® 5 (the ‘Work’), primarily as an educational resource forgovernance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that useof any of the Work will assure a successful outcome. The Work should not be considered inclusive of all properinformation, procedures and tests or exclusive of other information, procedures and tests that are reasonablydirected to obtaining the same results. In determining the propriety of any specific information, procedure or

test, readers should apply their own professional judgement to the specific GEIT, assurance, risk and securitycircumstances presented by the particular systems or information technology environment.

ค�สงวนส ทธ ISACA ได ออกแบบ COBIT® 5 (เอกสารฉบับน ) โดยมวัตถประสงคหลักเพ อเปนแหลงความรส าหรับผประกอบวชาช พทางด านการกากับดแลไอทระดับองคกร (governance of enterprise IT - GEIT) การให ความเช อมั น ความเส ยง และการรักษาความมั นคงปลอดภัย ISACA ไมได อ างวาการใช ข อมลใดๆ ในเอกสารฉบับน จะสามารถรับรองผลส าเรจ ผ อานไมควรถอวาเอกสารฉบับน รวมขอมล ขันตอนการปฏบัตงาน และการทดสอบท จาเปนทังหมดเอาไว และไมควรพจารณาข อมลในเอกสารฉบับน แยกตางหากโดยไมคานงถงข อมล ขันตอนการปฏบัตงาน และการทดสอบอ นๆ ท พอจะสามารถใหผลลัพธท เหมอนกันได ในการพจารณาถงความเหมาะสมของข อมล ขันตอนการปฏบัตงาน หรอการทดสอบใดๆ ผอานควรใช วจารณญาณด านวชาช พของตนเพ อพจารณาถงการกากับดแลไอทในระดับองคกร การให ความเช อมั น ความเส ยง และการรักษาความมั นคงปลอดภัย ในสภาพแวดล อมของระบบหรอเทคโนโลยสารสนเทศนันๆ

Copyright© 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse

ลขส ทธ © 2012 ISACA สงวนลขส ทธ ส าหรับแนวทางในการใช งานกรณาดรายละเอยดจาก www.isaca.org/COBITuse

COBIT® 5ISBN 978-1-60420-446-9จัดพมพในประเทศสหรัฐอเมรกา



3/98

3

3

คณะผแปล ผสอบทน และผจดัท�

สมาคมผ ตรวจสอบและควบคมระบบสารสนเทศ-ภาคพ นกรงเทพฯ • คณสวัฒน หลายเจรญทรัพย CISM นายกสมาคมฯ• คณวรางคณา มส กะส ังข CISA, CRISC อปนายก• คณประทักษ วงศ ส นคงมั น กรรมการ

• คณวาสนา นรพทะพันธ CISA กรรมการ• คณจันทรเพญ กส กจนาช ัย CISA, CPA กรรมการ• คณสมช ัย แพทยวบลย CISA, CISSP, PMP, CFE, CIA, CSSLP กรรมการ• คณเสนย วัชรศ รธรรม CISA, CRISC, CGEIT กรรมการ• คณณฐัชา เฉลมช ัยโกศล CISA, CISM, CISSP, ITIL Expert, ISO20000:2011 (LA), PRINCE2 กรรมการ• คณเสาวนย เสตเสถยร เสถยร CISA, CRISC, PMP, AMBCI, ITIL V3, กรรมการ• ดร.วเช ยร เปรมช ัยสวัสด CISA กรรมการ• คณกสล ป นมข CISA กรรมการ

อ นๆ • คณสมบัต ภวเกยรตกาจร• คณณัฐ ส งหลกะ CISA

• คณรัญชน โรจนพเชฐ

ISACA3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008โทรศ ัพท (ประเทศสหรัฐอเมรกา): +1.847.253.1545โทรสาร: +1.847.253.1443อเมล: [email protected] เวบไซด: www.isaca.org

ให คาตชม: www.isaca.org/cobit เข ามส วนรวมในศนยความร (Knowledge Center) ของ ISACA: www.isaca.org/knowledge-center ตดตาม ISACA ทางทวตเตอร: https://twitter.com/ISACANews

รวมสนทนาในหัวข อ COBIT ทางทวตเตอร: #COBITรวมลงคอน ISACA : ISACA (Official), http://linkd.in/ISACAOfficial กดชอบ ISACA บนเฟสบ ค: www.facebook.com/ISACAHQ



4/98

4

หน าน เปนหนาวาง



5/98

กตตกรรมประกาศ

5


ISACA ขอขอบคณ:

คณะท�งน COBIT 5 (2009–2011)JOHN W. L AINHART, IV, CISA, CISM, CGEIT, IBM GLOBAL BUSINESS SERVICES, USA, CO-CHAIR DEREK J. OLIVER , PH.D., DBA,CISA, CISM, CRISC, CITP, FBCS, FISM, MINSTISP, R AVENSWOOD CONSULTANTS LTD., UK, CO-CHAIR PIPPA G. A NDREWS, CISA, ACA, CIA, KPMG, A USTRALIA ELISABETH JUDIT A NTONSSON, CISM, NORDEA B ANK , SWEDEN STEVEN A.B ABB, CGEIT, CRISC, BETFAIR , UK STEVEN DE H AES, PH.D., UNIVERSITY OF A NTWERP M ANAGEMENT SCHOOL, BELGIUMPETER H ARRISON, CGEIT, FCPA, IBM A USTRALIA LTD., A USTRALIA JIMMY HESCHL, CISA, CISM, CGEIT, ITIL EXPERT, BWIN.PARTY DIGITAL ENTERTAINMENT PLC, A USTRIA R OBERT D. JOHNSON, CISA, CISM, CGEIT, CRISC, CISSP, B ANK OF A MERICA , USA ERIK H.J.M. POLS, CISA, CISM, SHELL INTERNATIONAL-ITCI, THE NETHERLANDS

VERNON R ICHARD POOLE, CISM, CGEIT, S APPHIRE, UK A BDUL R AFEQ, CISA, CGEIT, CIA, FCA, A. R AFEQ AND A SSOCIATES, INDIA

ทมผพฒันFLORIS A MPE, CISA, CGEIT, CIA, ISO 27000, PWC, BELGIUMGERT DU PREEZ, CGEIT, PWC, C ANADA STEFANIE GRIJP, PWC, BELGIUMG ARY H ARDY , CGEIT, IT WINNERS, SOUTH A FRICA B ART PEETERS, PWC, BELGIUMGEERT POELS, GHENT UNIVERSITY , BELGIUMDIRK STEUPERAERT, CISA, CGEIT, CRISC, IT IN B ALANCE BVBA, BELGIUM

ผเขรวมส ัมมนเช งปฏบตั กรG ARY B AKER , CGEIT, CA, C ANADA BRIAN B ARNIER , CGEIT, CRISC, V ALUEBRIDGE A DVISORS, USA JOHANNES HENDRIK BOTHA , MBCS-CITP, FSM, GETITRIGHT SKILLS DEVELOPMENT, SOUTH A FRICA

K EN BUECHLER , CGEIT, CRISC, PMP, GREAT-WEST LIFE, C ANADA DON C ANIGLIA , CISA, CISM, CGEIT, FLMI, USA M ARK CHAPLIN, UK R OGER DEBRECENY , PH.D., CGEIT, FCPA, UNIVERSITY OF H AWAII AT M ANOA , USA MIKE DONAHUE, CISA, CISM, CGEIT, CFE, CGFM, CICA, TOWSON UNIVERSITY , USA URS FISCHER , CISA, CRISC, CPA (SWISS), FISCHER IT GRC CONSULTING & TRAINING, SWITZERLANDBOB FRELINGER , CISA, CGEIT, ORACLE CORPORATION, USA J AMES GOLDEN, CISM, CGEIT, CRISC, CISSP, IBM, USA MEENU GUPTA , CISA, CISM, CBP, CIPP, CISSP, MITTAL TECHNOLOGIES, USA G ARY L ANGHAM, CISA, CISM, CGEIT, CISSP,CPFA, A USTRALIA NICOLE L ANZA , CGEIT, IBM, USA PHILIP LE GRAND, PRINCE2, IDEAGEN PLC, UK DEBRA M ALLETTE, CISA, CGEIT, CSSBB, K AISER PERMANENTE IT, USA STUART M ACGREGOR , R EAL IRM SOLUTIONS (PTY ) LTD.,SOUTH A FRICA CHRISTIAN NISSEN, CISM, CGEIT, FSM, CFN PEOPLE, DENMARK J AMIE P ASFIELD, ITIL V3, MSP, PRINCE2, PFIZER , UK EDDY J. SCHUERMANS, CGEIT, ESRAS BVBA , BELGIUM MICHAEL SEMRAU,RWE GERMANY , GERMANY M AX SHANAHAN, CISA, CGEIT, FCPA, M AX SHANAHAN & A SSOCIATES, A USTRALIA A LAN SIMMONDS, TOGAF9, TCSA, PRETER LEX, UK C ATHIE SKOOG, CISM, CGEIT, CRISC, IBM, USA DEJAN SLOKAR , CISA, CGEIT, CISSP, DELOITTE & TOUCHE LLP, C ANADA R OGER SOUTHGATE, CISA, CISM, UK NICKY TIESENGA , CISA, CISM, CGEIT, CRISC, IBM, USA WIM V AN GREMBERGEN, PH.D., UNIVERSITY OF A NTWERP M ANAGEMENT SCHOOL, BELGIUMGREET VOLDERS, CGEIT, VOQUALS N.V., BELGIUMCHRISTOPHER WILKEN, CISA, CGEIT, PWC, USA TIM M. WRIGHT, CISA, CRISC, CBCI, GSEC, QSA, K INGSTON SMITH CONSULTING LLP, UK



6/98

6

กตตกรรมประกาศ (ตอ)

ผเช ยวชญท สอบทนM ARK A DLER , CISA, CISM, CGEIT, CRISC, COMMERCIAL METALS COMPANY , USA WOLE A KPOSE, PH.D., CGEIT, CISSP,MORGAN STATE UNIVERSITY , USA K RZYSZTOF B ACZKIEWICZ, CSAM, CSOX, ERACENT, POLANDR OLAND B AH, CISA, MTN C AMEROON, C AMEROOND AVE B ARNETT, CISSP, CSSLP, USA M AX BLECHER , CGEIT, VIRTUAL A LLIANCE, SOUTH A FRICA R ICARDO BRIA , CISA, CGEIT, CRISC, MEYCOR GRC, A RGENTINA DIRK BRUYNDONCKX, CISA, CISM, CGEIT, CRISC, MCA, KPMG A DVISORY , BELGIUMDONNA C ARDALL, UK DEBRA CHIPLIN, INVESTORS GROUP, C ANADA S ARA COSENTINO, CA, GREAT-WEST LIFE, C ANADA K AMAL N. D AVE, CISA, CISM, CGEIT, HEWLETT P ACKARD, USA PHILIP DE PICKER , CISA, MCA, N ATIONAL B ANK OF BELGIUM,BELGIUM A BE DELEON, CISA, IBM, USA STEPHEN DOYLE, CISA, CGEIT, DEPARTMENT OF HUMAN SERVICES, A USTRALIA HEIDI L. ERCHINGER , CISA, CRISC, CISSP, S YSTEM SECURITY SOLUTIONS, INC., USA R AFAEL F ABIUS, CISA, CRISC, URUGUAY

URS FISCHER , CISA, CRISC, CPA (SWISS), FISCHER IT GRC CONSULTING & TRAINING, SWITZERLANDBOB FRELINGER , CISA, CGEIT, ORACLE CORPORATION, USA Y ALCIN GEREK , CISA, CGEIT, CRISC, ITIL EXPERT, ITIL V3 TRAINER , PRINCE2, ISO/IEC 20000 CONSULTANT, TURKEY EDSON GIN, CISA, CISM, CFE, CIPP, SSCP, USA J AMES GOLDEN, CISM, CGEIT, CRISC, CISSP, IBM, USA M ARCELO HECTOR GONZALEZ, CISA, CRISC, B ANCO CENTRAL R EPUBLIC A RGENTINA , A RGENTINA ERIK GULDENTOPS, UNIVERSITY OF A NTWERP M ANAGEMENT SCHOOL, BELGIUM MEENU GUPTA , CISA, CISM, CBP, CIPP, CISSP,MITTAL TECHNOLOGIES, USA A NGELICA H AVERBLAD, CGEIT, CRISC, ITIL, VERIZON BUSINESS, SWEDENK IM H AVERBLAD, CISM, CRISC, PCI QSA, VERIZON BUSINESS, SWEDEN J. WINSTON H AYDEN, CISA, CISM, CGEIT, CRISC,SOUTH A FRICA EDUARDO HERNANDEZ, ITIL V3, HEME CONSULTORES, MEXICOJORGE HIDALGO, CISA, CISM, CGEIT, ATC, LIC. SISTEMAS, A RGENTINA MICHELLE HOBEN, MEDIA 24, SOUTH A FRICA

LINDA HOROSKO, GREAT-WEST LIFE, C ANADA MIKE HUGHES, CISA, CGEIT, CRISC, 123 CONSULTANTS, UK GRANT IRVINE, GREAT-WEST LIFE, C ANADA MONICA J AIN, CGEIT, CSQA, CSSBB, SOUTHERN C ALIFORNIA EDISON, USA JOHN E. J ASINSKI, CISA, CGEIT, SSBB, ITILEXPERT, USA M ASATOSHI K AJIMOTO, CISA, CRISC, J APANJOANNA K ARCZEWSKA , CISA, POLANDK AMAL K HAN, CISA, CISSP, CITP, S AUDI A RAMCO, S AUDI A RABIA EDDY K HOO S. K., PRUDENTIAL SERVICES A SIA , M ALAYSIA M ARTY K ING, CISA, CGEIT, CPA, BLUE CROSS BLUE SHIELD NC, USA A LAN S. K OCH, ITIL EXPERT, PMP, ASK PROCESS INC.,USA G ARY L ANGHAM, CISA, CISM, CGEIT, CISSP, CPFA, A USTRALIA J ASON D. L ANNEN, CISA, CISM, TURNK EY IT SOLUTIONS, LLC,USA NICOLE L ANZA , CGEIT, IBM, USA PHILIP LE GRAND, PRINCE2, IDEAGEN PLC, UK K ENNY LEE, CISA, CISM, CISSP, B ANK OF A MERICA , USA BRIAN LIND, CISA, CISM, CRISC, TOPDANMARK FORSIKRING A/S, DENMARK BJARNE LONBERG, CISSP, ITIL, A.P. MOLLER - M AERSK , DENMARK STUART M ACGREGOR , R EAL IRM SOLUTIONS (PTY ) LTD., SOUTH A FRICA DEBRA M ALLETTE, CISA, CGEIT, CSSBB, K AISER PERMANENTE IT, USA CHARLES M ANSOUR , CISA, CHARLES M ANSOUR A UDIT & R ISK SERVICE, UK CINDY M ARCELLO, CISA, CPA, FLMI, GREAT-WEST LIFE & A NNUITY , USA N ANCY MCCUAIG, CISSP, GREAT-WEST LIFE, C ANADA JOHN A. MITCHELL, PH.D., CISA, CGEIT, CENG, CFE, CITP, FBCS, FCIIA, QICA, LHS BUSINESS CONTROL, UK M AKOTO MIYAZAKI, CISA, CPA, B ANK OF TOKYO-MITSUBISHI, UFJ LTD., J APAN



7/98


7


ผเช ยวชญท สอบทน (ตอ)Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Independent Consultant, ColombiaChristian Nissen, CISM, CGEIT, FSM, ITIL Expert, CFN People, Denmark Tony Noblett, CISA, CISM, CGEIT, CISSP, USAErnest Pages, CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC, USA Jamie Pasfield, ITIL V3, MSP, PRINCE2,Pfizer, UK Tom Patterson, CISA, CGEIT, CRISC, CPA, IBM, USARobert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, South Africa Andy Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc, UK Andre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA, APIT Consultoria de Informatica Ltd.,BrazilDirk Reimers, Hewlett-Packard, GermanySteve Reznik, CISA, ADP, Inc., USARobert Riley, CISSP, University of Notre Dame, USA Martin Rosenberg, Ph.D., Cloud Governance Ltd., UK ClausRosenquist, CISA, CISSP, Nets Holding, Denmark Jeffrey Roth, CISA, CGEIT, CISSP, L-3 Communications, USA Cheryl Santor, CISSP, CNA, CNE, Metropolitan

Water District, USA Eddy J. Schuermans, CGEIT, ESRAS bvba, BelgiumMichael Semrau, RWE Germany, GermanyMax Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Australia Alan Simmonds, TOGAF9, TCSA, PreterLex, UK Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, CanadaJennifer Smith, CISA, CIA, Salt River Pima Maricopa Indian Community, USAMarcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Australia, AustraliaRoger Southgate, CISA, CISM, UK Mark Stacey, CISA, FCA, BG Group Plc, UK Karen Stafford Gustin, MLIS, London Life Insurance Company, Canada Delton Sylvester, Silver Star ITGovernance Consulting, South Africa Katalin Szenes, CISA, CISM, CGEIT, CISSP, University Obuda, HungaryHalina Tabacek, CGEIT, Oracle Americas, USA

Nancy Thompson, CISA, CISM, CGEIT, IBM, USAKazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., JapanRob van der Burg, Microsoft, The NetherlandsJohan van Grieken, CISA, CGEIT, CRISC, Deloitte, BelgiumFlip van Schalkwyk, Centre for e-Innovation, Western Cape Government, South AfricaJinu Varghese, CISA, CISSP, ITIL, OCA, Ernst & Young, Canada Andre Viviers, MCSE, IT Project+, Media 24, South AfricaGreet Volders, CGEIT, Voquals N.V., BelgiumDavid Williams, CISA, Westpac, New ZealandTim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, UK Amanda Xu, PMP, SouthernCalifornia Edison, USATichaona Zororo, CISA, CISM, CGEIT, Standard Bank, South Africa

คณะกรรมกรบรหรของ ISACAKenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), USA, International President Christos K.Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Greece, Vice President Gregory T. Grocholski, CISA, TheDow Chemical Co., USA, Vice PresidentTony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Vice PresidentNiraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., India, Vice PresidentJeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., USA, Vice PresidentJo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australia, Vice PresidentEmil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (retired), USA, Past International PresidentLynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Russian Federation, Past InternationalPresident Allan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, UK, Director

Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Director



8/98

8


คณะกรรมกรบรหรดนควมรM ARC V AEL, PH.D., CISA, CISM, CGEIT, CISSP, V ALUENDO, BELGIUM, CHAIRMANMICHAEL A. BERARDI JR ., CISA, CGEIT, B ANK OF A MERICA , USA

JOHN HO CHI, CISA, CISM, CRISC, CBCP, CFE, ERNST & Y OUNG LLP, SINGAPOREPHILLIP J. L AGESCHULTE, CGEIT, CPA, KPMG LLP, USA JON SINGLETON, CISA, FCA, A UDITOR GENERAL OF M ANITOBA (RETIRED), C ANADA P ATRICK STACHTCHENKO, CISA, CGEIT, STACHTCHENKO & A SSOCIATES SAS, FRANCE

คณะกรรมการดานกรอบการดาเนนงาน (2009-2012)P ATRICK STACHTCHENKO, CISA, CGEIT, STACHTCHENKO & A SSOCIATES SAS, FRANCE, CHAIRMANGEORGES A TAYA , CISA, CISM, CGEIT, CRISC, CISSP, SOLVAY BRUSSELS SCHOOL OF ECONOMICS AND M ANAGEMENT, BELGIUM,P AST VICE PRESIDENTSTEVEN A. B ABB, CGEIT, CRISC, BETFAIR , UK SUSHIL CHATTERJI, CGEIT, EDUTECH ENTERPRISES, SINGAPORESERGIO FLEGINSKY , CISA, A KZO NOBEL, URUGUAY

JOHN W. L AINHART, IV, CISA, CISM, CGEIT, CRISC, IBM GLOBAL BUSINESS SERVICES, USA M ARIO C. MICALLEF, CGEIT,CPAA, FIA, M ALTA A NTHONY P. NOBLE, CISA, CCP, VIACOM, USA DEREK J. OLIVER , PH.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MINSTISP, R AVENSWOOD CONSULTANTS LTD., UK R OBERT G. P ARKER , CISA, CA, CMC, FCA, DELOITTE & TOUCHE LLP (RETIRED), C ANADA R OLF M. VON R OESSING, CISA, CISM, CGEIT, CISSP, FBCI, FORFA AG, SWITZERLANDJO STEWART-R ATTRAY , CISA, CISM, CGEIT, CRISC, CSEPS, RSM BIRD C AMERON, A USTRALIA R OBERT E. STROUD, CGEIT, CA INC., USA

ขอบคณเปนพเศษ ISACA LoS AngeLeS ChApter สาหรับการใหการสนับสนนดานการเงน

พันธมตรและผ สนบัสนน ISACA และ IT GovernAnCe InSTITuTe® (ITGI

®)

A MERICAN INSTITUTE OF CERTIFIED PUBLIC A CCOUNTANTS COMMONWEALTH A SSOCIATION FOR CORPORATE GOVERNANCE INC. FIDAINFORMINFORMATION SECURITY FORUMINSTITUTE OF M ANAGEMENT A CCOUNTANTS INC. ISACA CHAPTERSITGI FRANCEITGI J APANNORWICH UNIVERSITY SOLVAY BRUSSELS SCHOOL OF ECONOMICS AND M ANAGEMENTSTRATEGIC TECHNOLOGY M ANAGEMENT INSTITUTE (STMI) OF THE N ATIONAL UNIVERSITY OF SINGAPOREUNIVERSITY OF A NTWERP M ANAGEMENT SCHOOLENTERPRISE GRC SOLUTIONS INC. HEWLETT-P ACKARDIBM

S YMANTEC CORP.



9/98

สารบัญ

9

สารบัญสรบัญรปภพ ................................................................................................................................. 11

COBIT 5: กรอบกรด�เนนงนทงธรกจส �หรบักรก�กบัดและกรบรหรจัดกรไอทระดบัองคกร........ 13

บทสรปส �หรบัผบร หร...................................................................................................................... 15

บทท 1. ภพรวมของ COBIT 5 ........................................................................................................ 17ภาพรวมของเอกสารฉบับน ................................................................................................................ 18

บทท 2. หลกักรท 1: กรตอบสนองตอควมตองกรของผม ส วนไดเส ย............................................... 19บทนา............................................................................................................................................ 19การส งทอดเปาหมายใน COBIT 5....................................................................................................... 19

ขันตอนท 1. ปัจจัยผลักดันผมส วนไดเส ยมอทธผลตอความต องการของผมส วนไดเส ย............................. 19ขันตอนท 2. ส งทอดความตองการของผมส วนไดเส ยไปยังเปาหมายระดับองคกร................................... 19ขันตอนท 3. เปาหมายระดับองคกรส งทอดไปยังเปาหมายท เก ยวของกับไอท........................................ 20

ขันตอนท 4. เปาหมายท เก ยวของกับไอทส งทอดไปยังเปาหมายของปัจจัยเอ อ...................................... 20การใช การส งทอดเปาหมายของ COBIT 5............................................................................................ 22ประโยชนของการส งทอดเปาหมายของ COBIT 5........................................................................... 22การใช การส งทอดเปาหมายของ COBIT 5 อยางระมัดระวัง.............................................................. .. 22การใช การส งทอดเปาหมายของ COBIT 5 ในทางปฏบัต........................................... ..................... 22

คาถามเก ยวกับการกากับดแลและการบรหารจัดการดานไอท................................................................ ..... 23เราจะหาคาตอบส าหรับคาถามเหลาน ได อยางไร......................................................................... ...... 24

บทท 3. หลกักรท 2: ครอบคลมท ั วท ั งองคกรอยงครบวงจร............................................................. .. 25วธปฏบัตส าหรับการกากับดแล...................................................... ............................................. 25

ปัจจัยเอ อเพ อการกากับดแล ..................................................................................................... 26ขอบเขตของการกากับดแล...................................................... ............................................ 26

บทบาท กจกรรม และความส ัมพันธ........................................................ ................................. 26

บทท 4. หลกักรท 3: ประยกตใช กรอบกรด�เนนงนท บรณกรเป นหน งเดยว.................................. 27COBIT 5 เปนท รวบรวมกรอบการดาเนนงานตางๆ ................................................................................. 27

บทท 5. หลกักรท 4: เอ อใหว ธปฏบตั แบบองครวมส ัมฤทธ ผล................................................... ......... 29ปัจจัยเอ อของ COBIT 5 ................................................................................................................. 29การกากับดแลและการบรหารจัดการอยางเปนระบบด วยปัจจัยเอ อท เช อมตอถงกัน.................................. ...... 29มตตางๆ ของปัจจัยเอ อใน COBIT5..................................................................................................... 30

มตตางๆ ของปัจจัยเอ อ......................................................................................................... ..... 30การบรหารจัดการประส ทธภาพของปัจจัยเอ อ ................................................................................. 31

ตัวอยางของปัจจัยเอ อในทางปฏบัต....................................................................................... ........... 32

บทท 6. หลกักรท 5: ควมแตกตงระหวงกรก�กบัดแลและกรบรหรจัดกร................................ 33กรก�กบัดแลและกรบรหรจัดกร....................................................................................... ...... 33ความส ัมพันธระหวางการกากับดแลและการบรหารจัดการ...................................................................... . 33ต นแบบอางองของกระบวนการใน COBIT 5...................................................................................... 34

บทท 7. แนวทงในกรน�ไปใช งน ............................................................................................. 37บทนา..................................................................................... .............................................. 37ข อควรพจารณาในบรบทขององคกร.......................................................................................... ......... 37การสรางสภาพแวดล อมท เหมาะสม ................................................................................................... 38การรับร จดท มปัญหาและเหตการณจดชนวน ...................................................................................... 38

การเอ อใหเกดการเปล ยนแปลง ........................................................................................................

39วธปฏบัตแบบวัฏจักร...................................................................................................................... .. 40เร มต น: สร างเหตผลทางธรกจ.............................................................................................. 41



10/98

10

บทท 8. ตนแบบควมสมรถของกระบวนกรใน COBIT 5 ............................................................... 43บทนา................................................................................................................................ .......... 43ความแตกตางระหวางตนแบบวฒภาวะใน COBIT4.1และต นแบบวฒภาวะของกระบวรการใน COBIT 5............ 43แนวปฏบัตท แตกตางกัน............................................................................................................. ...... 45ประโยชนจากการเปล ยนแปลง.................................................................................................... ...... 47ดาเนนการประเมนความสามารถของกระบวนการตาม COBIT 5................................................................. 47

ภคผนวก A. ขอมลององ........................................................................................................ ....... 49

ภคผนวก B. รยละเอยดควมส ัมพนัธระหวงเป หมยระดบัองคกรกบัเป หมยท เก ยวของกับไอท ......................................................................................... .................. 51

ภคผนวก C. รยละเอยดควมส ัมพนัธระหวงเป หมยท เก ยวของกับไอทและกระบวนกรท เก ยวของกับไอท..................................................................................................... 53

ภคผนวก D. ควมตองกรของผม ส วนไดเส ยและเป หมยระดบัองคกร.......................................... ... 57ภคผนวก E. กรเทยบ COBIT 5 กับมตรฐน/กรอบกรด�เนนงนอ นท เก ยวของและเก ยวเน องกันมกท สด.......................................................................................................... ...... 59

บทนา................................................................................................................ ....................... 59COBIT 5 และ ISO/IEC 38500....................................................................................................... 59

หลักการของ ISO/IEC 38500.................................................................................................. 59ISO/IEC 38500 ประเมน ส ั งการ และเฝาตดตาม........................................................... ................ 62

การเปรยบเทยบกับมาตรฐานอ นๆ .................................................................................................... 62ITIL

®

V3 2011 และ ISO/IEC 20000......................................................................................... 63ชดของ ISO/IEC 27000.................................................................................................. 63ชด ISO/IEC 31000.................................................................................................... 63TOGAF

®

.............................................................................................................................. ... 63Capability Maturity Model Integration (CMMI) (development)................................................ 63

PRINCE2

®

.........................................................................................................................

63

ภคผนวก F. กรเปรยบเทยบระหวงตนแบบสรสนเทศใน COBIT 5กบัเกณฑคณสมบัตของสรสนเทศใน COBIT 4.1.............................................................................. 65

ภคผนวก G. ค�อธบยอยงละเอยดของปัจจยัเอ อใน COBIT 5....................................................... 67บทนา............................................................................................................................................ 67

มตตางๆ ของปัจจัยเอ อ............................................................................................................... 67การบรหารจัดการประส ทธภาพของปัจจัยเอ อ................................................................................... 68

ปัจจัยเอ อใน COBIT 5: หลักการ นโยบาย และกรอบการดาเนนงาน....................................................... 69ปัจจัยเอ อใน COBIT 5: กระบวนการ.................................................................................................... 71

การบรหารจัดการประส ทธภาพของการดาเนนงานของปัจจัยเอ อ.......................................................... 73

ตัวอยางในเช งปฏบัตของปัจจัยเอ อด านกระบวนการ.......................................................................... 73ต นแบบอางองของกระบวนการใน COBIT 5.................................................................................... 73ปัจจัยเอ อใน COBIT 5: โครงสร างการจัดองคกร................................................................................... 77ปัจจัยเอ อใน COBIT 5: วัฒนธรรม จรยธรรม และพฤตกรรม..................................................................... 81ปัจจัยเอ อใน COBIT 5: สารสนเทศ.................................................................................................... 83

บทนา—วัฏจักรของสารสนเทศ..................................................................................................... 83ปัจจัยเอ อด านสารสนเทศของ COBIT 5......................................................................................... 83

ปัจจัยเอ อใน COBIT 5: บรการ โครงสรางพ นฐาน และระบบงาน............................................................... 89ปัจจัยเอ อใน COBIT 5: บคลากร ทักษะ และศ ักยภาพ............................................................................ 91

ภคผนวก H. อภธนศ ัพท................................................................................................................. 93



11/98

สารบัญรปภาพ

11

สารบัญรปภาพรปภพท 1 —ชดผลตภัณฑของ COBIT 5............................................................................................... 13รปภพท 2—หลักการของ COBIT 5...................................................................................................... 15รปภพท 3 —วัตถประสงคในการกากับดแล: การสร างคณคา......................................................................... 19รปภพท 4 —ภาพรวมของการส งทอดเปาหมายใน COBIT 5........................................................................ 20รปภพท 5 —เปาหมายระดับองคกรของ COBIT 5...................................................................................... 21รปภพท 6 —เปาหมายท เก ยวของกับไอท................................................................................................. 21รปภพท 7 —คาถามเก ยวกับการกากับดแลและการบรหารจัดการไอท........................................................... 24รปภพท 8 —การกากับดแลและการบรหารจัดการ COBIT 5........................................................................ 25รปภพท 9 —บทบาทหน าท กจกรรม และความส ัมพันธท ส าคัญ................................................................... 26รปภพท 10 —กรอบการดาเนนงานท รวมกันเปนหน งเดยวของ COBIT 5....................................................... 27รปภพท 11 —ชดผลตภัณฑของ COBIT 5............................................................................................. 28รปภพท 12 —ปัจจัยเอ อขององคกรใน COBIT 5....................................................................................... 29รปภพท 13 —ปัจจัยเอ อท ัวไปใน COBIT 5.............................................................................................. 30รปภพท 14 —COBIT 5 ความส ัมพันธระหวาง การกากับดแลและการบรหารจัดการ..................................... 33รปภพท 15 —จดส าคัญในการกากับดแลและการบรหารจัดการของ COBIT 5................................................. 34รปภพท 16 —ต นแบบอางองของกระบวนการใน COBIT 5.......................................................................... 35

รปภพท 17 —วัฎจักรการนาไปใช 7 ระยะ................................................................................................. 40รปภพท 18 —สรปต นแบบวฒภาวะใน COBIT 4.1..................................................................................... 43รปภพท 19 —สรปต นแบบวฒภาวะของกระบวนการใน COBIT 5.................................................................. 44รปภพท 20 —ตารางเปรยบเทยบระดับวฒภาวะ (COBIT 4.1)

และระดับความสามารถของกระบวนการ (COBIT 5)................................................................ 46รปภพท 21 —ตารางเปรยบเทยบคณลักษณะของวฒภาวะ (COBIT 4.1)

และคณลักษณะของกระบวนการ (COBIT 5)....................................................................... 47รปภพท 22 —ความส ัมพันธระหวางเปาหมายระดับองคกรใน COBIT 5 กับเปาหมายท เก ยวของกับไอท............... 52รปภพท 23 —ความส ัมพันธระหวางเปาหมายท เก ยวของกับไอทกับกระบวนการตางๆ ใน COBIT 5.................... 54รปภพท 24 —ความส ัมพันธระหวางเปาหมายระดับองคกรของ COBIT 5 กับคาถามของผบรหาร........................ 57รปภพท 25 —ความส ัมพันธระหวาง COBIT 5 กับมาตรฐานและกรอบการดาเนนงานอ นๆ ................................ 64รปภพท 26 —COBIT 5 ท เทยบไดกับเกณฑคณสมบัตของสารสนเทศใน COBIT 4.1....................................65

รปภพท 27 —ปัจจัยเอ อท ัวไปใน COBIT 5............................................................................................ 67รปภพท 28 —ปัจจัยเอ อใน COBIT 5: หลักการ นโยบาย และกรอบการดาเนนงาน......................................... 69รปภพท 29—ปัจจัยเอ อใน COBIT 5: กระบวนการ.................................................................................. 71รปภพท 30—จดส าคัญในการกากับดแลและการบรหารจัดการของ COBIT 5................................................75รปภพท 31—ต นแบบอางองของกระบวนการใน COBIT 5........................................................................ 76รปภพท 32—ปัจจัยเอ อใน COBIT 5: โครงสร างการจัดองคกร.................................................................. 77รปภพท 33—บทบาทหนาท และโครงสรางการจัดองคกรของ COBIT 5....................................................... 78รปภพท 34—ปัจจัยเอ อใน COBIT 5: วัฒนธรรม จรยธรรม และพฤตกรรม.................................................... 81รปภพท 35—ข อมลคานยามของข อมลใน COBIT 5—วัฏจักรของสารสนเทศ............................................... 83รปภพท 36—ปัจจัยเอ อใน COBIT 5: สารสนเทศ................................................................................... 83รปภพท 37 —ปัจจัยเอ อใน COBIT 5: บรการ โครงสรางพ นฐาน และระบบงาน.............................................. 89รปภพท 38—ปัจจัยเอ อใน COBIT 5: บคลากร ทักษะ และศ ักยภาพ........................................................... 91รปภพท 39—ประเภทของทักษะใน COBIT 5 ....................................................................................... 92



12/98

1212




13/98

13

COBIT 5: กรอบการด�าเนนงานส �าหรับ การก�ากับดแลและการบรหารจัดการไอทระดับองคกร

13

CoBIt 5: กรอบการดาเนนงานสาหรับการกากับดแลและการบรหารจัดการไอทระดับองคกร

เอกสาร COBIT 5 บรรจเน อหาท เปนกรอบการดาเนนงานของ COBIT 5 ท ใช ส าหรับการกับดแลและการบรหารจัดการไอทระดับองคกร เอกสารฉบับน เปนหน งในชดผลตภัณฑของ COBIT 5 ดังท แสดงไวใน รปภพท 1

รปภพท 1—ชดผลตภณัฑของ COBIT 5

กรอบการดาเนนงานของ COBIT 5 จัดทาข นบนหลักการ 5 ประการซ งจะไดกลาวถงในรายละเอยดตอไป และรวมถงแนวทางท ครอบคลมของปัจจัยเอ อ (Enablers) ส าหรับการกากับดแลและการบรหารจัดการไอทระดับองคกร

ชดผลตภัณฑ COBIT 5 มผลตภัณฑตางๆ ดังตอไปน • COBIT 5 (กรอบดาเนนงาน (framework))• COBIT 5 แนวทางส าหรับปัจจัยเอ อ (Enabler Guide) ซ งอธบายในรายละเอยดถงปัจจัยเอ อด านการกากับดแลและการบรหารจัดการ อันประกอบด วย- COBIT 5: การส ัมฤทธ ผลของกระบวนการ (Enabling processes)- COBIT 5: การส ัมฤทธ ผลของสารสนเทศ (Enabling Information)- แนวทางของปัจจัยเอ อ (Enabler guide) อ นๆ (ตรวจสอบได ใน www.isaca.org/cobit )

• COBIT 5 แนวทางด านวชาช พ(Professional guides) ประกอบด วย- COBIT 5 การนาไปใช งาน (implementation)- COBIT 5 ส าหรับความมั นคงปลอดภัยของสารสนเทศ (for information security)- COBIT 5 ส าหรับการใหความเช อมั น (for Assurance)- COBIT 5 ส าหรับความเส ยง (for Risk)- แนวทางด านวชาช พอ นๆ (ตรวจสอบได ใน www.isaca.org/cobit )

• สภาพแวดล อมท เปนความรวมมอกันทางออนไลน ซ งจะจัดใหมข นในอนาคตเพ อสนับสนนการใช COBIT 5



14/98

14




15/98

บทสรปส �หรับผบรหร

15

บทสรปสาหรับผ บรหาร

สรสนเทศเป นทรพัยกรหลักส �หรบัทกองคกร และเทคโนโลยมบทบาทอยางเปนนัยส าคัญตังแตได จัดทาข นจนถงเวลาท ทาลายท ง เทคโนโลยสารสนเทศก าวหนาข นเร อยๆ และใช กันอยางแพรหลายในองคกร ตลอดจนในสภาพแวดล อมทางส ังคม สาธารณะ และธรกจ

ด วยเหตน ในปัจจบันจงย งทาใหองคกรและผบรหารระดับสงตางๆ ต องเรยกรองใหม• การดแลรักษาสารสนเทศให ได คณภาพสง เพ อใช สนับสนนการตัดส นใจ• สร างคณคาทางธรกจจากการลงทนโดยมไอทเปนปัจจัยเอ อ ได แก การใช งานไอทอยางประส ทธผลและสรางสรรคเพ อให

บรรลเปาหมายทางกลยทธและกอใหเกดประโยชนทางธรกจ• บรรลการปฏบัตงานท เปนเลศ ผานการใช งานเทคโนโลยท เช อถอไดและมประส ทธผล• ดแลความเส ยงท เก ยวกับไอท ให อย ในระดับท ยอมรับได• ดแลตนทนของการให บรการทางไอทและตนทนทางเทคโนโลยให เกดประโยชนสงสด• ปฏบัตตามกฎหมาย กฎระเบยบขอบังคับ ข อตกลงตามส ัญญา และนโยบายท เก ยวของ

ในทศวรรษท ผานมา คาวา ‘การกากับดแล (Governance)’ ได กลายมาเปนความคดของธรกจในระดับแนวหนา ท แสดงใหเหนถงความส าคัญของการกากับดแลท ด และในทางกลับกันกสะทอนใหเหนถงความลมเหลวของธรกจอันเกดจากการละเลยการกากับดแล

องคกรท ประสบความส าเรจไดตระหนักดวาคณะกรรมการบรหารและผบรหารระดับสงจาเปนตองยอมรับการนาไอทมาใช เสมอนกับส วนอ นๆ ท มนัยส าคัญในการดาเนนธรกจ ในการดาเนนธรกจ คณะกรรมการบรหารและผบรหาร—ทังหนาท งานทางดานธรกจและไอท —จงต องรวมมอและทางานรวมกันเพ อใหไอทได รวมอย ในวธปฏบัตด านการกากับดแลและการบรหารจัดการ นอกจากน ยังมการออกกฎหมายใหมๆ และกฎข อบังคับท นามาใช เพ มข นอยางตอเน องเพ อจัดการกับความจาเปนดังกลาว

COBIT 5 ให กรอบการดาเนนงานท ครอบคลม เพ อช วยใหองคกรบรรลวัตถประสงคในเร องการกากับดแลและการบรหารจัดการไอทระดับองคกร กลาวงายๆ กคอ ช วยองคกรสรางคณคาท เกดประโยชนสงสดจากไอท โดยการรักษาความสมดลระหวางประโยชนท จะไดรับ กับระดับความเส ยงและการใช ทรัพยากรท ทาใหเกดประโยชนสงสด COBIT 5 เอ อใหไอทได รับการกากับดแลและบรหารจัดการในแบบองครวมส าหรับทั วทังองคกร โดยครอบคลมหนาท งานตามความรับผดชอบทังทางด านธรกจและไอทอยางครบวงจร พจารณาถงผลประโยชนท เก ยวของกับไอทของผมส วนไดเส ยทังภายในและภายนอก

COBIT 5 สามารถใช ได ท ัวไปและใช ประโยชนได ส าหรับองคกรทกขนาด ไมวาจะเปนองคกรการคา องคกรท ไมแสวงหากาไร หรอในภาคเอกชน

รปภพท 2—หลกักรของ COBIT 5



16/9816

COBIT 5 ตังอย บนพ นฐานของหลักการส าคัญ 5 ประการ (ดในรปภพท 2) ในการกากับดแลและการบรหารจัดการไอทระดับองคกร:• หลกักรท 1: ตอบสนองควมตองกรของผม ส วนไดเส ย —องคกรตังอย เพ อท สร างคณคาส าหรับผมส วนไดเส ย โดย

การรักษาความสมดลระหวางผลประโยชนท จะไดรับกับความเส ยงและการใช ทรัพยากรท ทาใหเกดประโยชนสงสด COBIT5 ให กระบวนการท จาเปนทังหมดและปัจจัยเอ ออ นๆ ท ใช สนับสนนการสรางคณคาแกธรกจจากการใช ไอท เพราะวาทกองคกรมวัตถประสงคท แตกตางกัน องคกรสามารถปรับแตง COBIT 5 ให เหมาะกับบรบทของตนผานทางการส งทอดเปาหมาย (goal cascade) การแปลงเปาหมายองคกรในภาพรวมไปส เปาหมายในระดับท สามารถบรหารจัดการได มความเฉพาะเจาะจง มความเก ยวของกับไอท และการเช อมโยงหรอเทยบเปาหมายน กับกระบวนการหรอแนวปฏบัตหน งๆ

• หลกักรท 2: ครอบคลมท ั วท ั งองคกรอยงครบวงจร —COBIT 5 บรณาการการกากับดแลไอทระดับองคกรเขาไปในการกากับดแลองคกร: – ครอบคลมทกหนาท งานและกระบวนการภายในองคกร COBIT 5 ไมเน นเพยงแค ‘หน าท งานดานไอท’ เทานัน แต

จะถอวาสารสนเทศและเทคโนโลยท เก ยวของเปนส นทรัพยท ทกคนในองคกรจาเปนต องดแลเช นเดยวกับส นทรัพยอ นๆ – พจารณาการกากับดแลและการบรหารจัดการปัจจัยเอ อท เก ยวของกับไอททังหมด เพ อใหครอบคลมท ัวทังองคกรอยาง

ครบวงจร ได แกการรวมทกคนและทกส ง ทังภายในและภายนอก ท เก ยวของกับการกากับดแลและการบรหารจัดการสารสนเทศและไอทท เก ยวของ

• หลกักรท 3: ประยกตใช กรอบกรด�เนนงนท บรณกรเป นหน งเดยว —มมาตรฐานและแนวปฏบัตท ดท เก ยวของกับไอทจานวนมาก ซ งแตละอยางกให แนวทางเก ยวกับกจกรรมของไอทในดานใดดานหน ง COBIT 5 ไดนามาตรฐานและ

กรอบการดาเนนงานท เก ยวของอ นๆ มาจัดใหสอดคลองกันในภาพรวม จงสามารถใช เปนกรอบการดาเนนงานท ครอบอย เหนอกรอบการดาเนนงานอ นๆ ส าหรับการกากับดแลและการบรหารจัดการไอทระดับองคกร

• หลกักรท 4: เอ อใหว ธปฏบตั แบบองครวมส ัมฤทธ ผล —การกากับดแลและการบรหารจัดการไอทระดับองคกรท มประส ทธภาพและประส ทธผลตองใช วธปฏบัตแบบองครวมท ได พจารณาถงองคประกอบหลายๆ อยางซ งมปฏส ัมพันธตอกัน COBIT 5 ระบถงกล มของปัจจัยเอ อท ใช สนับสนนการนาระบบการกากับดแลและการบรหารจัดการไอทระดับองคกรไปใช งานอยางครอบคลม ปัจจัยเอ อนยามไดอยางกวางๆ วาเปนส งท สามารถช วยในการบรรลวัตถประสงคขององคกร กรอบการดาเนนงานของ COBIT 5 ระบถงปัจจัยเอ อ 7 ประเภทดังน – หลักการ นโยบาย และกรอบการดาเนนงาน – กระบวนการ – โครงสร างการจัดองคกร – วัฒนธรรม จรยธรรม และพฤตกรรม

– สารสนเทศ – บรการ โครงสรางพ นฐาน และระบบงาน – บคลากร ทักษะ และศ ักยภาพ

• หลกักรท 5: แบงแยกกรก�กบัดแลออกจกกรบรหรจัดกร —กรอบการดาเนนงานของ COBIT 5 ระบความแตกตางอยางช ัดเจนระหวางการกากับดแลและการบรหารจัดการ หลักสองประการน ครอบคลมถงกจกรรมท ตางกันต องการโครงสรางการจัดองคกรท แตกตางกัน และใช เพ อจดประสงคท แตกตางกัน ในมมมองของ COBIT 5 ความแตกตางหลักๆ ท เหนเดนช ัดระหวางการกากับดแลและการบรหารจัดการคอ:

– การกากับดแล (Governance)

ในองคกรส วนใหญ คณะกรรมการบรหารเปนผรับผดชอบการกากับดแลโดยรวมภายใต การช นาของประธานกรรมการ ในองคกรขนาดใหญและมความซ ับซ อน หน าท บางประการส าหรับการกากับดแลอาจมอบหมายให กับหนวยงานท จัดตังข นเปนพเศษในระดับท เหมาะสม

– การบรหารจัดการ (Management)

ในองคกรส วนใหญ การบรหารจัดการรับผดชอบโดยผบรหารระดับสงภายใตการช นาของประธานเจ าหนาท บรหาร

(CEO)เม อนาหลักการทัง 5 ประการน มารวมกันจะทาใหองคกรสามารถสร างกรอบการดาเนนงานส าหรับการกากับดแลและการบรหารจัดการท มประส ทธผล ซ งส งผลใหการใช สารสนเทศและการลงทนด านเทคโนโลยเกดประโยชนสงสด เพ อยังประโยชนให กับผมส วนไดเส ย

กรก�กบัดแล ท�ใหม ั นใจไดว ควมตองกร เง อนไข และทงเลอกของผม ส วนไดเส ยไดรบักรประเมนเพ อก�หนดวัตถประสงคท องคกรตองกรใหบรรลซ งมควมสมดลและเหนชอบรวมกัน; กรก�หนด

ทศทงผนกรจัดล�ดบัควมส �คญัและกรตดัส นใจ; และกรเฝ ตดตมผลกรด�เนนงนและกรปฏบตั ตมเทยบกับทศทงและวัตถประสงคท ไดตกลงรวมกัน

ผบรหรวงแผน สรง ด�เนนงน และเฝ ตดตมกจกรรมตงๆ ใหสอดคลองกับทศทงท ก�หนดโดยหนวยงนก�กบัดแล (governance body) เพ อใหบรรลวตัถประสงคขององคกร



17/98

บทท 1ภาพรวมของ COBIT 5

17

บทท 1ภาพรวมของ COBIT 5COBIT 5 ให แนวทางส าหรับยคถัดไปของสมาคม ISACA ในเร องการกากับดแลและการบรหารจัดการองคกรทางดานไอทท โดยจัดทาข นจากประสบการณท มการนา COBIT ไปใช งานจรงมากกวา 15 ป และมการนาไปประยกตใช โดยองคกรมากมาย

รวมทังผใช ตางๆ จากกล มธรกจ กล มไอท กล มบรหารความเส ยง กล มผรักษาความมั นคงปลอดภัย และกล มใหความเช อมั น(assurance) ปัจจัยขับเคล อนหลักในการพัฒนา COBIT 5 เกดจากความตองการท จะ• ให ผ มส วนไดเส ยไดมส วนมากข นในการกาหนดส งท คาดหวังจากสารสนเทศและเทคโนโลยท เก ยวของ (ประโยชนท ได รับ

ณ ระดับความเส ยงท ยอมรับได และด วยตนทนท จะเกดข น) และลาดับส าคัญของแตละส งเหลานัน เพ อใหมั นใจวา คณคาท คาดหวังนันจะไดรับการส งมอบจรง ผ มส วนไดเส ยบางคนอาจต องการผลประโยชนในระยะส ัน บางคนต องการความย ังยนในระยะยาว บางคนพร อมท จะรับความเส ยงสง แตบางคนอาจไมสามารถยอมรับความเส ยงไดเลย ความคาดหวังท แตกตางกันเหลาน (ซ งบางครังกขัดแยงกัน) ต องไดรับการจัดการอยางมประส ทธผล นอกจากน ผ มส วนไดเส ยเหลาน ยังไมเพยงต องการมส วนรวมมากข นเทานัน แตพวกเขาตองการความโปรงใสดวยวา ส งเหลาน จะเกดข นไดอยางไร และจะบรรลผลลัพธจรงไดอยางไร

• ระบถงความส าเรจขององคกรท ต องพ งพากล มธรกจและองคกรดานไอทจากภายนอกมากข นเร อยๆ เช น ผ ให บรการภายนอก ผขาย ท ปรกษา ลกค า ผ ให บรการแบบกล มเมฆ (Cloud) และอ นๆ ตลอดจนวธการและกลไกตางๆ ท ใช เปนการภายในเพ อส งมอบคณคาตามท คาดหวัง

• รับมอกับปรมาณสารสนเทศท มแนวโนมเพ มข นอยางมนัยส าคัญ องคกรจะเลอกสารสนเทศท มความเก ยวของและนาเช อถอซ งจะนาไปส การตัดส นใจท มประส ทธภาพและประส ทธผลไดอยางไร สารสนเทศเองกจาเปนตองไดรับการบรหารจัดการอยางมประส ทธผลซ งการมต นแบบสารสนเทศท มประส ทธผลสามารถช วยได

• รับมอกับไอทท กาลังแพรหลายมากข น ไอทได บรณาการเปนส วนหน งของธรกจมากข นเร อยๆ บอยครังท เกดความไมพอใจหากแยกไอทออกมาตางหากแมวาไอทจะยังสอดคลองกับธรกจกตาม ไอทจาเปนตองบรณาการให เปนส วนหน งของโครงการทางธรกจ โครงสร างการจัดองคกร การบรหารความเส ยง นโยบาย ทักษะ กระบวนการ และอ นๆ บทบาทของผ บรหารสงสดด านสารสนเทศ (CIO) และหนาท งานดานไอทกาลังคอยๆ ววัฒนาการไปจากเดม บคลากรในหนวยงานธรกจมทักษะดานไอทมากข นและมส วนรวมหรอกาลังจะมส วนรวมในการตัดส นใจและการปฏบัตการดานไอทมากข น ไอทจะตองบรณาการใหเข ากับธรกจมากข น

• ให แนวทางเพ มเตมในเร องนวัตกรรมและเทคโนโลยท ออกมาใหมซ งเปนเร องของความคดสรางสรรค การประดษฐคดค นการพัฒนาผลตภัณฑใหมๆ การทาใหผลตภัณฑท มอย ให เปนท สนใจของลกค าและดงดดลกค าประเภทใหมๆ นวัตกรรม

อาจหมายถงการปรับปรงกระบวนการใหมประส ทธภาพมากข นทังในเร องของการพัฒนาผลตภัณฑการผลตและหวงโซ อปทาน (supply chain) เพ อนาส นค าส ตลาดดวยความมประส ทธภาพ รวดเรว และมคณภาพในระดับท สงข น

• ครอบคลมความรับผดชอบในหนาท งานทังทางธรกจและดานไอทอยางครบวงจรและครอบคลมทกแงมมท จะนาไปส การกากับดแลและการบรหารจัดการไอทระดับองคกรอยางมประส ทธผล เช น โครงสร างการจัดองคกร นโยบาย และวัฒนธรรมนอกเหนอจากกระบวนการ

• มการควบคมท ดข นส าหรับกระบวนการแก ไขปัญหาแบบเบดเสรจดานไอท (IT Solution) ท ผ ใช เปนผรเร มหรอท อย ในความควบคมของผใช

• องคกรบรรลถง: – การสร างคณคาผานทางการใช ไอทระดับองคกรอยางมประส ทธผลและสรางสรรค – ความพงพอใจของผใช ทางธรกจ กับการทางานและบรการดานไอท – ปฏบัตตามกฎหมาย กฎระเบยบขอบังคับ ข อกาหนดตามส ัญญา และนโยบายภายในท เก ยวของ

– ความเช อมโยงท ดข นระหวางความต องการทางธรกจกับวัตถประสงคด านไอท • เช อมโยงและหากเปนไปได ทาใหเกดความสอดคลองกับกรอบการดาเนนงานและมาตรฐานอ นๆ ท มใช กันอย เช นInformation Technology Infrastructure Library (ITIL®),The Open Group Architecture Forum (TOGAF®),Project Management Body of Knowledge (PMBOK ®), PRojects IN Controlled Environments 2 (PRINCE2®),Committee of Sponsoring Organizations of the Treadway Commission (COSO) และ the InternationalOrganization for Standardization (ISO) ซ งจะช วยใหผ มส วนไดเส ยเขาใจถงกรอบการดาเนนงาน แนวปฏบัตท ด และมาตรฐานตางๆ เหลาน วาใช ส าหรับจดใดและใช รวมกันไดอยางไร

• บรณาการกรอบการดาเนนงานและแนวทางท ส าคัญของ ISACA ทังหมด โดยเนนท COBIT Val IT และ Risk IT แตยังคงพจารณาถงต นแบบทางธรกจส าหรับความมั นคงปลอดภัยของสารสนเทศ (Business Model for Information Security- BMIS) กรอบการดาเนนงานส าหรับความเช อมั นในไอท (IT Assurance Framework-ITAF) เอกสารช อวา บทสรป ส าหรั บคณะกรรมการบร หารเพ อการก ากั บดแลไอท (Board Briefing on IT Governance) และเอกสารท ช อวา Takinggovernance forward (TGF) ดังนัน COBIT 5 จงครอบคลมท ัวทังองคกรและใหพ นฐานในการบรณาการกรอบการดาเนน

งานมาตรฐานและแนวปฏบัตอ นๆ มารวมกันเปนกรอบการดาเนนงานเพยงหน งเดยว



18/98

18

ผลตภัณฑและแนวทางอ นๆ ท ครอบคลมความตองการท หลากหลายของผมส วนไดเส ยตางๆ จะสรางข นจากองคความรหลักของ COBIT 5 โดยจะคอยๆ จัดทาเพ มเตมข นอกไปเร อยๆ ซ งจะทาใหสถาปัตยกรรมใน COBIT 5 มการปรับปรงเพ มเตมอย เสมอ ทานสามารถหาข อมลลาสดเก ยวกับสถาปัตยกรรมของผลตภัณฑใน COBIT 5 ได บน ISACA เวบไซด (www.isaca.org/cobit)

ภพรวมของเอกสรฉบบัน

กรอบการดาเนนงานของ COBIT 5 บรรจเน อหาไวในอก 7 บทดังน :• บทท 2 อธบายหลักการท 1 คอ กรตอบสนองควมตองกรของผม ส วนไดเส ย บทน จะเกร นนาถงการส งทอดเปา

หมาย (goals cascade) ของ COBIT 5 เปาหมายระดับองคกรดานไอทได นามาใช เพ อจัดระเบยบและโครงสร างใหกับความตองการของผมส วนไดเส ย เปาหมายระดับองคกรสามารถเช อมโยงไปส เปาหมายท เก ยวของกับไอท และเปาหมายเก ยวของกับไอทจะสามารถบรรลได โดยการนาปัจจัยเอ อทังหมด ซ งรวมถงกระบวนการตางๆ ไปใช และดาเนนการใหเกดประโยชนสงสดเปาหมายตางๆ ท เช อมโยงกันเหลาน เรยกวา การส งทอดเปาหมาย (goals cascade) ใน COBIT 5 ในบทน ยังใหตัวอยางของคาถามดานการกากับดแลและการบรหารจัดการท ผ มส วนไดเส ยมักมข อสงส ัยเก ยวกับไอทระดับองคกร

• บทท 3 อธบายหลักการท 2 คอ ครอบคลมท ั วท ั งองคกรอยงครบวงจร บทน อธบายวา COBIT 5 บรณาการการกากับดแลไอทระดับองคกรเขากับการกากับดแลองคกร โดยครอบคลมหนาท งานและกระบวนการทังหมดภายในองคกรไดอยางไร

• บทท 4 อธบายหลักการท 3 ประยกตใช กรอบกรด�เนนงนท บรณกรเป นหน งเดยว และอธบายโดยสรปเก ยวกับการบรณาการภายใต สถาปตัยกรรมของ COBIT 5• บทท 5 อธบายหลักการท 4 เอ อใหว ธปฏบตั แบบองครวมส ัมฤทธ ผล การกากับดแลไอทระดับองคกรเปนการทางาน

อยางเปนระบบและสนับสน นโดยปัจจัยเอ อตางๆ ในบทน ได เกร นนาถงปัจจัยเอ อและนาเสนอวธท มักใช กันท ัวไปในการพจารณาถงปัจจัยเอ อด วยการใช ต นแบบปัจจัยเอ อท ัวไป (generic enabler model)

• บทท 6 อธบายหลักการท 5 กรแบงแยกกรก�กบัดแลออกจกกรบรหรจัดกร และอธบายถงความแตกตางระหวางการบรหารจัดการและการกากับดแล และความส ัมพันธระหวางกัน ภาพรวมของต นแบบอางองของกระบวนการ(process reference model) ของ COBIT 5 ได รวมไวในบทน เพ อเปนตัวอยาง

• บทท 7 ได เกร นนาถง แนวทงกรน�ไปใช งน ซ งอธบายวา เราสามารถสรางสภาพแวดล อมท เหมาะสมข นมาไดอยางไร อธบายถงปัจจัยเอ อท ต องการ จดท มปัญหา (pain point) และเหตการณจดชนวน (trigger event) ส าหรับการนาไปใช งาน วัฎจักรของการนาไปใช งานและการปรับปรงอยางตอเน อง ในบทน จะองกับเอกสารช อวาการนา COBIT ® 5 ไปใช งาน (COBIT ® 5 Implementation) ท มรายละเอยดอยางครบถวนเก ยวกับวธการนาการกากับดแลไอทระดับองคกรไปใช โดยองกับ COBIT 5

• บทท 8 อธบายถง ตนแบบระดบัควมสมรถของกระบวนกร (process capability model) ของ COBIT 5 ท มอย ในแบบแผนวธปฏบัตในการประเมนชดโครงการ (assessment programe approach scheme) (www.isaca.org/ cobit-assessment-programme ) และช แจงถงความแตกตางจากการประเมนวฒภาวะของกระบวนการใน COBIT 4.1(COBIT4.1 process maturity assessment) และผใช จะเปล ยนไปใช วธปฏบัตใหมได อยาง

ในภาคผนวกประกอบด วยขอมลอ างองการแสดงความส ัมพันธและการเปรยบเทยบ และรายละเอยดเพ มเตมในบางหัวข อ• ภาคผนวก A. ขอมลององท นามาใช ในระหวางการจัดทา COBIT 5 ได นามาแสดงไวในภาคผนวกน • ภาคผนวก B. รยละเอยดควมส ัมพนัธระหวงเป หมยระดบัองคกรกับเป หมยท เก ยวของกับไอท อธบายวาเปาหมายระดับองคกรในแตละขอ สนับสนนโดยเปาหมายท เก ยวของกับไอทข อใดบาง

• ภาคผนวก C. รยละเอยดควมส ัมพนัธระหวงเป หมยท เก ยวของกับไอทและกระบวนกรท เก ยวของกับไอท

กับกระบวนการท เก ยวของกับไอทอธบายวากระบวนการตางๆ ใน COBIT สนับสนนการบรรลถงเปาหมายท เก ยวของกับไอทได อยางไร

• ภาคผนวก D. ควมตองกรของผม ส วนไดเส ยและเป หมยระดบัองคกร อธบายวา ความต องการของผมส วนไดเส ยเก ยวของกับเปาหมายระดับองคกรใน COBIT 5 อยางไร

• ภาคผนวก E. กรเทยบ COBIT 5 กับมตรฐน/กรอบกรด�เนนงนอ นท เก ยวของและเก ยวเน องกันมกท สด• ภาคผนวก F. กรเปรยบเทยบระหวงตนแบบสรสนเทศใน COBIT 5 กบัเกณฑคณสมบัต ของสรสนเทศใน

COBIT 4.1• ภาคผนวก G. ค�อธบยอยงละเอยดของปัจจยัเอ อใน COBIT 5 จากบทท 5 และรวมถงรายละเอยดเพ มเตมของ

ปัจจัยเอ อตางๆ รวมถงรายละเอยดของตนแบบปัจจัยเอ อ (enabler model) ท อธบายถงองคประกอบเฉพาะและแสดงตัวอยางประกอบ

• ภาคผนวก H. อภธนศ ัพท



19/98

บทท 2

หลักการท 1: การตอบสนองตอความตองการของผมส วนไดเส ย

19

บทท 2หลักการท 1: การตอบสนองตอความตองการของผมส วนไดเส ยบทน�องคกรตังข นเพ อท สร างคณคาใหกับผมส วนไดเส ย ดังนันองคกรไมวาจะเปนองคกรการคาหรอไมแสวงหาผลกาไรกจะตองมการสรางคณคาเปนหน งในวัตถประสงคของการกากับดแล การสร างคณคาหมายถง การไดรับผลประโยชนด วยตนทนทรัพยากรท ให ประโยชนสงสดและความเส ยงท เหมาะสมท สด (ดรปภพท 3) ผลประโยชนสามารถรับร ได หลายรปแบบยกตัวอยางเช น ด านการเงนส าหรับองคกรท แสวงหาผลกาไร หรอการบรการสาธารณะส าหรับหนวยงานภาครัฐ

รปภพท 3—วตัถประสงคในกรก�กบัดแล: กรสรงคณค

องคกรมผ มส�

cobit5 thai

Documents