it governance implementation

1/26

ตพมพลงในจลสาร สตท. ฉบบท 56 (ประจ าเดอนเมษายน – มถนายน 2553) โดยภาณวฒน 01062553

เจาะลก IT Governance Implementation และ บทวเคราะห CobiT 5.0 “Enterprise Governance of IT

Framework” และ IT Governance Implementation Guide ลาสดจาก ISACA

Why IT Governance? : The latest update of IT Governance Implementation Guide and Inside the new

CobiT 5.0 Design

ปรญญา หอมเอนก, CGEIT, CISSP, CSSLP, SSCP, CISA,

CISM, SANS GIAC GCFW, IRCA Lead Auditor

ACIS Professional Center

http://www.acisonline.net

ในปจจบนค าวา “IT Governance” และ “Information Security Governance” ก าลงเปนทกลาวถงกนใน

วงการธรกจตลอดจนในวงการไอท ตลอดจนแนวคดเรอง “Green IT” และ “Sustainability” เปนการมาถงของ

ยคทแนวคด “Corporate Governance” หรอ “Enterprise Governance” ก าลงมาแรงและถกน ามาประยกตใชใน

องคกรทวโลก อนเนองมาจากปญหาความไมโปรงใส และการบรหารงานทฉอฉล (Fraud) ของผบรหารระดบสง

และ การบรหารองคกรทไมมประสทธภาพของหลายองคกรใหญๆในเวลาน จงเปนทมาของแนวทางในการ

แกปญหาทตนเหต โดยพจารณาถงปญหาทเกดจากการบรหารจดการทไมโปรงใสของผบรหารระดบสงทยงไม

สามารถบรหารจดการองคกรใหมประสทธภาพและประสทธผลได เนองจากยงขาดองคความรหรอแนวทาง

ปฏบตทดในการบรหารจดการตามแนวคด “Corporate Governance” หรอ “Enterprise Governance” ซงใน

ปจจบนการท าธรกจธรกรรมของทกองคกรนนตองพงพาการใชเทคโนโลยสารสนเทศหรอ “Information

Technology (IT)” เปนส าคญ ดงนน การบรหารจดการ “IT” จ าเปนตองสอดคลอง หรอ “Align” กบการบรหาร

จดการองคกร กลาวคอ กลยทธในการบรหารจดการเทคโนโลยสารสนเทศ (IT Strategy) ตองสอดคลองกบกล

ยทธในการบรหารจดการองคกร (Business Strategy) เพอใหบรรลเปาหมายเดยวกน โดยหลกการทนยมในการ

น ามาก าหนดกลยทธในการบรหารจดการองคกรกคอ Balanced Scorecard (BSC) (ดรปท 1)

http://www.acisonline.net/

2/26


รปท 1 : “Balanced Scorecard"

“BSC” เปนเทคนควธในการประเมนประสทธภาพขององคกรทคดคนโดย Dr. Robert S. Kaplan และ

Dr. David P. Norton แหงมหาวทยาลยฮารวารด ซงเมอน ามาประยกตใชกบการบรหารจดการเทคโนโลย

สารสนเทศทเรยกวา “IT BSC” (ดรปท 2)

http://en.wikipedia.org/wiki/Robert_S._Kaplan

http://en.wikipedia.org/w/index.php?title=David_P._Norton&action=edit&redlink=1

3/26


รปท 2 : “IT Balanced Scorecard”

โดย BSC จะมมมมองใน 4 มมมองไดแก Financial, Customer, Internal Business Processes และ

Learning and Growth ขณะท “IT BSC” มการปรบ 4 มมมองของ BSC เปน 4 มมมองใหม ไดแก Corporate

Contribution, Future Orientation, Operational Excellence และ Customer Orientation โดยการเชอม

(Link)ระหวาง เปาหมายของธรกจ “Business Goals” ทอางองจาก BSC กบเปาหมาย จากการน าเทคโนโลย

สารสนเทศมาใชในองคกร หรอ “IT Goals” นนสามารถอางองได จากตารางใน Appendix I ของ CobiT 4.1 (ด

รปท 3) “Linking Business Goals to IT Goals” ท าใหเราสามารถก าหนดกระบวนการทางดานเทคโนโลย

สารสนเทศ หรอ “IT Processes” ทสอดคลองกบ “IT Goals” ดงกลาว (ดรปท 4) “Linking IT Goals to IT

Processes” ซงใน CobiT Framework ไดก าหนด Business Goals ไวทงหมด 17 เปาหมายและ IT Goals ทงหมด

28 เปาหมาย โดยสามารถอางองถง 34 กระบวนการหลกในการบรหารจดการเทคโนโลยสารสนเทศทดตาม

CobiT 4.1 Framework

4/26


รปท 3 : “Linking Business Goals to IT Goals”

5/26


รปท 4 : “Linking IT Goals to IT Processes”

6/26


ปญหาทพบบอยจากการน าเทคโนโลยสารสนเทศมาใชในองคกร ( 7 IT Challenges)

รปท 5 : “7 IT Challenges”

ปจจบนองคกรทวโลกก าลงประสบปญหาทคลาย ๆ กนจากการน าเทคโนโลยสารสนเทศมาใชใน

องคกรโดยสามารถแบงไดออกเปน 7 ปญหาใหญ ๆ (ดรปท 5) ไดแก

1. “Keeping IT Running”

บางครงการใหบรการขององคกรอาจหยดชะงกไดในกรณทระบบสารสนเทศเกดปญหา เชน

ระบบลม (Unavailability) ท าใหไมสามารถใหบรการขอมลตาง ๆ ทธรกจตองการจากระบบสารสนเทศ

ทก าลงเกดปญหาอย ดงนนองคกรตองแนใจไดวาระบบพรอมใหบรการในเวลาทตองการ (Availability)

และระบบสามารถท างานและใหบรการอยางตอเนองได (Continuity of IT Service) เวลาทระบบหลก

เกดปญหาฉกเฉน เพอใหระบบหลก (Critical Business System) สามารถกลบมาใหบรการไดอยางไม

7/26


ตดขด ตามหลกการ BCM (Business Continuity Management) ซงในปจจบนอางองมาตรฐาน BS

25999

2. “Value”

ค าวา “Value” เปนค ายอดฮตของวนนเชน การทองคกรมงเนนใหผลตอบแทนของผถอหนมาก

ทสด เรยกวา “Maximizing Shareholder Value” ก าลงเกดการเปลยนแปลงเปนการใหความส าคญกบผท

เกยวของกบองคกรทงหมดทเรยกวา “Stakeholder Value” เชน “Customer Value” และ “Employee

Value” คอการท าใหลกคาและพนกงานเกดความสขในการใชบรการและการท างานในองคกร

ขณะเดยวกนกตองรบผดชอบตอสงคมสวนรวมตามแนวคด “Corporate social responsibility” หรอ

“CSR” ทเรารจกกนด ตามแนวคด “IT Governance” นน Stakeholder มสองประเภท ไดแก “Internal

Stakeholder” (ดรปท 5) และ “External Stakeholder” (ดรปท 6)

รปท 6 : Internal Stakeholders and Their Concerns

8/26


รปท 7 : External Stakeholders and Their Concerns

ดงนนการลงทนทางดานเทคโนโลยสารสนเทศขององคกรทเรยกวา “IT Investment” นน จง

จ าเปนตองตอบโจทยใหไดวา หลงจากองคกรลงทนไปแลว มลคาหรอคณคา (Value) ทไดรบกลบมา

จากการลงทนดงกลาวนน “คมคา” หรอไม ? (IT Value) ยกตวอยาง เชน ถาโครงการทน าเทคโนโลย

สารสนเทศสามารถตอบโจทยการใหบรการลกคาขององคกรไดเรวขน เรยกไดวา สามารถท าให “IT” ม

“Value” ตอ “Business” ขององคกร จงเปนทมาของค าวา “IT Value” (ISACA น ามาเปนแนวคดในการ

พฒนา Val IT Framework) ปญหากคอ เราจะสามารถ “วด” IT Value ไดอยางไร และ ผบรหารจะทราบ

ไดอยางไรวาโครงการทน าเทคโนโลยสารสนเทศมาใชสามารถตอบโจทยความตองการทางดานธรกจ

ธรกรรมตาง ๆ ขององคกรไดอยางมประสทธภาพและมประสทธผล

3. “Cost”

การควบคมตนทนในการลงทนเกยวกบเทคโนโลยสารสนเทศนนเปนอกปญหาหนงทพบเปน

ประจ าในองคกร หลายโครงการมกจะมคาใชจายทสงเกนกวาทคาดประมาณไวหรออาจไมคมคากบการ

ลงทน หลายโครงการลมเหลวไมสามารถสงมอบงานไดทนเวลาท าใหเกดคาใชจายตามมาอกมากมาย

9/26


จากปญหาดงกลาวท าใหองคกรตองการม “กระบวนการ” หรอ “Process” ทด ในการบรหารจดการ

คาใชจายทางดานเทคโนโลยสารสนเทศใหตอบโจทยในมมมองทงดานประสทธภาพ (efficiency) และ

ประสทธผล (effective) ในเวลาเดยวกน ตลอดจนองคกรควรมการจดการดานการรกษาความสมพนธท

ดกบ Vendor หรอ Supplier อกดวย (Supplier Management)

รปท 8 : “Human Ability” vs. “IT Complexity”

4. “Mastering Complexity”

ในปจจบนระบบสารสนเทศและเทคโนโลยสารสนเทศตลอดจนเทคโนโลยอนเทอรเนตมความ

ซบซอนมากขนกวาในอดตมาก (ดรปท 8) ความสามารถในการจดการของมนษย (human ability) เมอ

เปรยบเทยบกบความซบซอนของระบบสารสนเทศ (IT complexity) นนเรมหางขนเรอย ๆ ท าใหเกด

ชองวาง หรอ “GAP” สงผลใหเกดปญหาในการควบคมและบรหารจดการ (Control and Manage) ระบบ

สารสนเทศเพมมากขนในระยะยาว ดงนน ผบรหารระดบสงขององคกรทมวสยทศนเลงเหนปญหา

ดงกลาว จงไดพยายามน า Framework, Standard และ Best Practice ตาง ๆ ไมวาจะเปน CobiT, ITIL

หรอ ISO27001, ISO 20000 ตลอดจน BCMS มาประยกตใชในองคกรเพอปด GAP ดงกลาว โดย

10/26


เจาะลกในสวนของการปรบกระบวนการดานการบรหารจดการเทคโนโลยสารสนเทศภายในองคกร

(Internal IT Process) (ดรปท 9) ซงเปนสวนทควรปรบแตงมากทสด ขณะทการปรบ “IT Process” นนก

ควรจะค านงถงกระบวนการในการควบคม หรอ “IT Control” ไปดวย เนองจากทกกระบวนการ

(Process) จ าเปนตองมการควบคม (Control) เพราะถาเราไมสามารถควบคมได เรากไมสามารถบรหาร

จดการได (If you cannot control, you cannot manage it : จากหนงสอ ITIL V3 CSI) การน า CobiT

Framework มาใชนน เราน ามาใชเปน “Control Framework” ขณะทการน า ITIL มาใชกเพอใชเปน

“Process Framework” (ดรปท 10) ในการบรหารจดการระบบสารสนเทศใหเกดประสทธภาพ และ

ประสทธผลดงทกลาวมาแลวในตอนตน

รปท 9 : Business, IT process and IT environment Relationship

11/26


รปท 10 : Process Framework and Control Framework

5. “Aligning IT with Business”

เปนปญหาใหญระดบองคกรทไมควรมองขาม เพราะถาหากการน าเทคโนโลยสารสนเทศมาใช

แลวไมสอดคลองกบการด าเนนธรกจขององคกรกไมสามารถทจะตอบโจทยของผบรหารระดบสง

ผใชงานระบบสารสนเทศ ตลอดจน ความตองของลกคา และ ผถอหน ได ซงโดยปกตแลว เราพบวาม

ชองวางเกดขนระหวางความตองการของผใชระบบสารสนเทศ กบความเขาใจของคนไอทอยเปนประจ า

ดงนน การท าใหระบบสารสนเทศทองคกรน ามาใชมความสอดคลองกบความตองการทางดานธรกจ

ขององคกรนน จงมความส าคญอยางยงยวด

6. “Regulatory Compliance”

เปนอกปญหาหนงขององคกรในปจจบนเนองจากกระแสของการตรวจสอบ (Audit) และการ

ประเมน (Assess) ทงผตรวจสอบภายใน (Internal Auditor) และผตรวจสอบภายนอก (External Auditor)

ก าลงเพมขนอยางตอเนอง โดยปจจยทท าใหเรอง “Regulatory Compliance” มาแรง เนองจากการออก

กฎหมายและกฎขอบงคบตาง ๆ ททยอยออกมาบงคบใชอยางตอเนอง อกทงยงเปนความตองการของ

12/26


องคกรทตองการยกระดบเขาสมาตรฐานในระดบสากล เชน ISO/IEC 27001, ISO/IEC 20000 (ดรปท

11) เพอเสรมศกยภาพและภาพลกษณทดใหแกองคกรในยค Globalization โดยกฎขอบงคบตาง ๆ ไมได

ถกบงคบเฉพาะสถาบนการเงนเทานน แตถกบงคบส าหรบองคกรโดยทวไป เชน กฎหมายธรกรรม

อเลคโทรนกส และกฎหมายการกระท าผดเกยวกบคอมพวเตอร

รปท 11 : ISO/IEC 20000

7. “Security”

ขอมล และ สารสนเทศ (Data and Information) จ าเปนตองรกษาความลบ (Confidentiality),

ความถกตอง (Integrity) และความพรอมใช (Availability) หรอ CIA TRIAD ดงนนการปองกนความ

ปลอดภยของขอมลและสารสนเทศขององคกรจงมความส าคญอยางมากในยคทเราสามารถเขาถงขอมล

และสารสนเทศอยางรวดเรว หรอ ทเราเรยกวายค “Pervasive Computing” ปญหาทางดานความ

ปลอดภยของระบบสารสนเทศจงเปน เรองใหญทผบรหารขององคกรตองใหความส าคญไมใหเกดผล

กระทบ หรอ “Impact” ตอการปฏบตงานและการด าเนนธรกจขององคกร

13/26


จากปญหาทง 7 ประเดนดงกลาวจากการน าเทคโนโลยสารสนเทศมาใชในองคกร จงจ าเปนท

ผบรหารระดบสงตอง “รบผดชอบ” (accountability) ในการใหบรการสารสนเทศแกผใชในองคกรและ

ลกคาใหเกดความตอเนองและ ตองรกษาคณสมบตทดทง 7 ประการของสารสนเทศไวตาม CobiT

Information Criteria ไดแก Effectiveness, Efficiency, Confidentiality, Integrity, Availability,

Compliance และ Reliability เพอใหสารสนเทศขององคกรเปนสารสนเทศ (Information) ทมคณภาพ

สามารถน าไปใชในการตดสนใจของผบรหาร และน าไปใชในการด าเนนธรกจ, ธรกรรมตาง ๆ ของ

องคกรไดอยางมประสทธภาพและประสทธผล

ดงนนจงเกดความจ าเปนในการน าหลกแนวคด “IT Governance” มาประยกตใชในองคกรโดยน า

CobiT Framework มาเปนกรอบความคด และ ปฏบตตามหลกแนวคด IT Governance ทเราเรยกวา “IT

Governance Implementation” มาท าใหเกดผลในทางปฏบตจรงขององคกร ซงในปจจบนหลายองคกรไดน า

CobiT Version 4.1 มาใชเปน IT Governance Framework และน าเอกสารจาก ISACA ชอ “IT Governance

Implementation Guide; 2nd Edition” มาเปนแนวทางในการ Implement และจากการน า CobiT 4.1 และ IT

Governance Implementation Guide มาใชในชวงเวลา 2-3 ปทผานมา ท าใหทาง ISACA คนพบจดบกพรองของ

CobiT 4.1 และ IT Governance Implementation Guide ดงน

จดบกพรองของ CobiT 4.1 (CobiT 4.1 Weaknesses)

CobiT 4.1 ยงคงเปน Framework ทครอบคลมเฉพาะเรอง IT Governance เทานน แตยงไมครอบคลมถง Enterprise Governance

CobiT 4.1 ถกมองวาเปน “Tool” ของผตรวจสอบหรอ “IT Auditor” เทานน ซงจรง ๆ แลว CobiT ถกออกแบบมาใหผบรหารระดบสงและผบรหารระบบสารสนเทศตลอดจนผปฏบตการดานสารสนเทศน ามาใช

CobiT 4.1 ยงเปน Framework ทยงไมสมบรณในตวเองซงยงตองอาศย Framework อนมาประกอบในการน ามาใชงาน เชน Val IT Framework และ Risk IT Framework

CobiT 4.1 ยงถกน าไปใชไดยาก เนองจากความยากในการท าความเขาใจในตว

Framework เอง

14/26


จดบกพรองของ IT Governance Implementation Guide 2nd Edition (ดรปท 12)

รปท 12 : “IT Governance Implementation Guide 2nd Edition

การ Implement IT Governance ยงเปนแนวคดเดมทยงไมเปน “Continual Improvement” ท าให

เกดความเขาใจผดวาเมอด าเนนการตามแตละขนตอนแลว เมอถงขนตอนสดทายกแปลวาจบและไม

ตองท าตอ ซงผดไปจากแนวทางทถกตองซงจ าเปนตองท าแบบตอเนอง (Continual) เปน

กระบวนการพฒนาแบบตอเนอง (Iterative Process) ในลกษณะ “Life Cycle” (ดรปท 13) และ “IT

Governance Implementation Guide 2nd Edition” ยงไมไดน าวธการของ Best Practice ใหม ๆ มาใช เชน

ITIL Version 3 ยกตวอยางเชน เรอง “Change Enablement” และ “Continual Improvement Life Cycle”

15/26


รปท 13 : “The New Life Cycle Model”

จากขอบกพรองดงกลาว ISACA และ IT Governance Institute จงมแนวคดในการยกเครอง

CobiT 4.1 ใหมแบบ “Major Change” เพอให CobiT เวอรชนใหมนนครอบคลมไปถง “Enterprise

Governance” และมการรวมกนของ Framework ตาง ๆ ไวเปนหนงเดยวโดยจะมการรวม Val IT

Framework และ Risk IT Framework เขากบ CobiT 4.1 (ดรปท 14) เพอตอบโจทยทงมม

“Performance” และ “Conformance” โดยพจารณา Business Model for Information Security (BMIS)

Framework (ขณะทเขยนตนฉบบ ยงไมออก Final Version) และ A Professional Practices Framework

for IT Assurance (ITAF) รวมดวย และไดใหชอ Framework ใหมวา “CobiT 5” ส าหรบเอกสารประกอบ

อกสองฉบบไดแก ITAF และ IT Governance Implementation Guide ไดมแผนในการปรบปรงใหม ซง

ตวเอกสาร IT Governance Implementation Guide 2nd Edition ไดมการปดฝ น ปรบปรงใหมแบบยก

เครองเชนกนและไดออกมาใหดาวนโหลดแลวในชอใหมทเรยกวา “Implementing and Continually

Implementing IT Governance” (ดรปท 15)

รปท 14 : Positioning CobiT, Val IT and Risk IT Framework

16/26


รปท 15 : “Implementing and Continually Implementing IT Governance”

เอกสาร “Implementing and Continually Implementing IT Governance” ไดถกปรบปรงโดย

น าแนวความคดของ ITIL V3 Continual Service Improvement (CSI) มาประยกตใชในการ Implement

IT Governance ในรปแบบ “Life cycle Approach” โดยน าหลกการ CSI 6 Steps Model (ดรปท 16) มา

ประยกตโดยเพมขนตอนมาอกขนตอนหนงคอ “What need to be done” (Step 4th) ระหวาง “Where do

we want to be” และ “How do we get there” จาก CSI 6 steps Model โดยใน CobiT 5 จะเนนในเรอง

Information Security และ Information Assurance ดวย

รปท 16 : CSI 6 Steps Model

17/26


กระบวนการทถกปรบปรงเพมขนทง 7 ขนตอน มความสมบรณและพรอมในการน าไป

ประยกตใชองคกรมากขนกวาเดม (ดรปท 17)

รปท 17 : “4 Components of the life cycle”

เอกสาร “Implementing and Continually Implementing IT Governance” ประกอบดวย 4

Components ไดแก

1. Create the right environment 2. Programme Management หรอ Project Management 3. Change Enablement 4. Continual Improvement Life Cycle

ซงรายละเอยดของกระบวนการทง 7 ใหดรปท 18

18/26


รปท 18 : “Seven Phases of the Implementation Life Cycle”

Inside CobiT 5 Design

ปรชญาในการออกแบบ CobiT 5 นนน ามาจาก ISACA Initiative ทเรยกวา “TGF” ยอมาจาก

“Taking Governance Forward” ซงตว CobiT 5 มวตถประสงคในการพฒนาอย 7 ขอไดแก

1. ความตองการในการรวม Framework ตาง ๆ ไดแก Val IT, Risk IT, BMIS และ ITAF เขาดวยกนในลกษณะเปน Framework ใหญเพยงหนงเดยว เพอไมใหเกดความยงยากสบสนในการใชงาน Framework ตาง ๆ

2. ตองการใหหลกการและใหค าศพทตาง ๆ เกดความชดเจนไมซบซอน 3. ตองงายในการ “Migrate” จาก CobiT 4.1 4. ตองมรายละเอยดเพอการคนหาของผใชมากขนกวาใน CobiT 4.1 5. ตองครอบคลมเรอง Enterprise Architecture (EA) เรอง Decision Making เรอง People

Skill เรอง Organization Structure เรอง Charge Enablement และ เรอง Sustainability 6. ตองท าใหชดเจนในเรองของ “Governance Process” และ “Management Process” 7. ตองงายในการ “ท าความเขาใจ” “การน ามาใชงาน “ สอดคลองกบ “Standard” และ “Best

Practice”

19/26


เปนทชดเจนแลววา การปรบปรงกระบวนการ “IT Governance” นนมผลท าให

ภาพรวมของการปรบปรง กระบวนการ “Enterprise Governance” ดขนดวย และ การน า

Frameworks, Standards ตลอดจน “Best Practices” ตาง ๆ มาใชนน จะไดผลกตอเมอถกน ามา “Adapt”

และ “Adopt” อยางถกตอง

CobiT 5 Framework นน เรยกไดวาเปน “Enterprise Governance of IT Framework” โดยน า

แนวคด “TGF” (ดรปท 19) มาใชในการออกแบบและพฒนา โดย CobiT 4.1 จะถกออกแบบมาตาม

แนวคด “Process Model” และเพอปรบปรงในสวนของ “Information Requirement” โดยใชโมเดลท

เรยกวา “Information Reference Model (IRM)” ซงเปนโมเดลทเนนเรองการบรหารจดการกบ

“Information” โดยเฉพาะ (ดรปท 20) โดย “Information” หรอ “สารสนเทศ” จะอยตรงกลางระหวาง

“Data” หรอ ขอมล และ “Knowledge” หรอ องคความร ซง “Information” จะถกมองในมมของ

Information Criteria, Information Stakeholder, Information Purpose, Information Type, Information

Attribute ตางๆ ตลอดจนการน า Information มาใช หรอ “Information Use” เรยกไดวาครบทง

Information Life Cycle ทนยมเรยกวา “CRUD” (Create, Read, Update และ Delete)

รปท 19 : “Taking Governance Forward” (TGF)

20/26


รปท 20 : “Information Reference Model (IRM)”

กลมของผทมสวนเกยวของกบการน า CobiT 5.0 ไปใชนนจะกวางขนกวา CobiT 4.1

ทง Internal Stakeholder และ External Stakeholder ท าใหครอบคลมผใชในวงกวางมากขนกวา

เกา

สถาปตยกรรมของ CobiT 5 ถกออกแบบใหเหมาะสมกบ Stakeholder ทแตกตางกน ในรปของ

CobiT 5 Family of Products เชน CobiT 5 for Risk, CobiT 5 for Value หรอ CobiT 5 for Security และ

CobiT 5 for Compliance (ดรปท 22)

21/26


รปท 22: “CobiT 5 Product Architecture”

ใน CobiT 5 มการปรบปรงในสวนของ “Process Model” โดยใหสอดคลองกบมาตรฐาน ISO

38500:2008 “Corporate Governance of Information Technology” (ดรปท 22) โดยยดหลก 3

กระบวนการ ไดแก ประเมน (Evaluate) ก ากบ (Direct) และเฝาระวง (Monitor) ซงครอบคลมใน 3 เรอง

คอ “Risk Governance”, “Value Governance” และ “Resource Governance” (ดงรปท 23)

รปท 23 : “Mapping process model with ISO/IEC 38500”

22/26


โดยมการปรบปรงจาก CobiT 4.1 ซงประกอบดวย 4 โดเมน ไดแก “Plan and Organize”,

“Acquire and Implement”, “Deliver and Support” และ “Monitor and Evaluate” มาเปน “Align, Plan

and Organize”, “Build, Acquire & Implement”, “Deliver and Support” และ “Monitor & Assess” (ดรป

ท 24) อกทงใน CobiT 5 ยงมการน า Standard และ Best Practice มาใชอางองกวา 60 แหลง ยกตวอยาง

เชน ITIL V3, ISO 27000 Series, ISO 20000, ISO 38500:2008, TOGAF V9 และ ISO 9000:2008

รปท 24 : CobiT 5 New Design

การน า CobiT 5 มาใชไดผลดนน ตองค านงถงวฒนธรรมขององคกรดวย เพราะจะตองเกดการ

เปลยนแปลง หรอ “Change” ทงดาน วฒนธรรม (Culture) และ พฤตกรรม (Behavior) ของคนในองคกร

อยางหลกเลยงไมได โดย ISACA ไดค านงถงปญหาใหญในเรองนจงไดท าการปรบแนวทางในการ

Implement IT Governance มาเปน Life Cycle ตามหลกการ CSI 6 Steps Model จาก ITIL V3 มาเปน

แนวทาง 7 Steps ดงทกลาวมาแลวในตอนตน

23/26


รปท 25 : “IT Governance Focus Areas”

กจกรรมตามแนวคด “IT Governance” นนสามารถแบงไดเปน 5 กลม (ดรปท 25) ไดแก

1. Strategic Alignment หมายถง การท าใหกลยทธทางดานการน าเทคโนโลยสารสนเทศมาใชในองคกรนน

“สอดคลอง” หรอ “Align” ไปในทศทางเดยวกบกลยทธขององคกร โดยแผนแมบทดานสารสนเทศควรสอดคลองกบแผนแมบทขององคกร เพอใหการด าเนนการทางดานสารสนเทศสอดคลองกบเปาหมายขององคกร จะสงผลใหองคกรสามารถใชทรพยากรตาง ๆ ไดอยางมประสทธภาพ

2. Value Delivery หรอ Value Creation

หมายถง การน าเทคโนโลยสารสนเทศมาใชในองคกรตองตอบโจทยความตองการทางดานธรกจขององคกรใหชดเจนในมมมองของ “ความคมคา” ทสามารถรบรไดโดยผใชระบบสารสนเทศตลอดจน ผบรหารระดบสงขององคกรและลกคาทมสวนเกยวของกบการใชเทคโนโลยสารสนเทศเพอท าใหการใหบรการขององคกรดขน เชน ใหบรการไดเรวขน, ท าใหลกคาเกดความพงพอใจมากขนจาก

การทองคกรน าระบบสารสนเทศมาใช เรยกไดวา “เหนประโยชน” จากน าเทคโนโลยสารสนเทศมาใช อยางชดเจน เปนรปธรรม ตลอดจนอยในเวลาและงบประมาณทก าหนดไวอกดวย (ดรปท 26)

24/26


รปท 26 : Two Views of Control

3. Risk Management หรอ Value Preservation ขณะท “Value Delivery” มงเนนไปทการสรางคณคา (Value Creation) แตส าหรบ Risk

Management หรอ การบรหารความเสยงนน มงเนนไปทกระบวนการรกษาคณคาหรอ (Value Preservation) โดยการบรหารความเสยงควรเปนกระบวนการทกระท าอยางตอเนองตามหลกการดานการบรหารความเสยงแบบสากล ไดแก การประเมน (Assess) การวเคราะห (Analysis) และการตดสนใจ(Treatment) วาจะยอมรบความเสยง หรอ ไมยอมรบความเสยงในลกษณะใด (Risk Reduction, Risk Retention, Risk Avoidance หรอ Risk Transfer) โดยอางองจาก Risk Acceptance Criteria (ISO 27005:2008)

โดยการบรหารจดการความเสยงทดนนควรใหผบรหารระดบสงไดรบร และ ตระหนก (Risk

Aware) ในผลกระทบจากความเสยงทอาจเกดขน และ ไดท าการก าหนดระดบความเสยงทยอมรบได “Risk Appetite” หรอ Risk Acceptance Level” เพอน าไปใชในการประเมนความเสยงซงหนาทในการก าหนดระดบความเสยงดงกลาวนจะเปนใครไปเสยไมไดนอกจาก “ผบรหารระดบสง” ทตองรบผดชอบในเรองน เพอใหสอดคลองกบแนวทาง IT Governance และแนวคด Governance, Risk Management and Compliance (GRC)

25/26


เนองจากการน าสารสนเทศมาใชท าใหเกดความเสยงทเรยกวา “IT Risk” ซงสงผลโดยตรงตอ

การด าเนนงานขององคกร ท าใหเกด “Business Risk” หรอความเสยงในเชงธรกจขององคกร จากการ

น าเทคโนโลยสารสนเทศมาใชอยางไมปลอดภย และไมรดกมพอ เรยกไดวา “IT Risk กคอ “Business

Risk” ด ๆ นเอง”

4. Performance Management การวดประสทธภาพและประสทธผล ของกระบวนการดานการบรหารจดการเทคโนโลย

สารสนเทศนน ก าลงเปนประเดนรอนทมการกลาวถงอยางมากทวโลกในขณะน เรองของ “IT KPI” “IT Metric” ตลอดจน “IT Performance Management” ตาง ๆ ก าลงเปนทเรองทผบรหารระบบสารสนเทศตองน ามาใชในการประเมนการปฏบตงานของฝายเทคโนโลยสารสนเทศ ดงนนจงมความ

จ าเปนทผบรหารระบบสารสนเทศตองก าหนด “คาชวด” หรอ “Metric” ในการประเมนทไดรบการยอมรบโดยผ เกยวของ หรอ Stakeholder ซงอาจวดในรปของ Performance Scorecard, Dashboard หรอ Benchmarking

ความส าคญของการวด หรอ “Measurement” นน สงผลตอความสามารถในการบรหารจดการ

หรอ “Manage” ดงค ากลาวทวา “If you cannot measure it, you cannot manage it” ดงนนการวด

ประสทธผลและวดประสทธภาพนนจงเปนกระบวนการทมความส าคญอยางมากซงจะถกมองขามเสย

ไมได ผตรวจสอบจาก Certification Body (CB) เวลามาตรวจสอบองคกรตามมาตรฐาน ISO/IEC

27001 จะเนนเรองการวดประสทธผล (Effectiveness) ของกระบวนการดานการบรหารจดการความ

ปลอดภยสารสนเทศ โดยถามการปฏบตตามกระบวนการตามหลก ISMS แลวแตไมมการประเมนผลก

ถอวา ยงไมตรงตามหลกการของ ISO/IEC 27001

5. Resource Management หมายถง การบรหารจดการทรพยากรตาง ๆ ทง 4 กลมไดแก 1. บคลากร (People) 2. โครงสรางพนฐาน (Infrastructure) 3. โปรแกรมประยกต (Application) 4. สารสนเทศ (Information)

26/26


เปนการน าทรพยากรมาใชอยางมประสทธภาพ เพยงพอกบความตองการและคมคาการลงทน

โดยการบรหารทรพยากรบคคล หรอ “Human Resource Management” นนเปนเรองส าคญเพราะ

บคลากรถอเปนทรพยากรทส าคญทสดขององคกรจงตองมการฝกอบรมใหความรตลอดจนมการ

พฒนาบคลากรใหมความรความสามารถเปน “Knowledge Worker” ทสามารถปฏบตตาง ๆ ของ

องคกรไดตามเปาหมายทก าหนดไวในแผนกลยทธทางดานสารสนเทศและแผนกลยทธธรกจใน

ภาพรวมขององคกรในทสด

บทสรปของการน า CobiT Framework และ IT Governance Implementation Guide มา

ใชนนสรปความไดวา ทง CobiT และ IT Governance Implementation Guide นนไมใช

“Solution” แตเปน “Method” ดงค ากลาวของ “Luc Kordel” ทวา “It’s a method, not the

solution!” ดงนนองคกรตองน า Framework มา “Adopt” และ “Adapt” ปรบใหเขากบ

Corporate Culture, Style และ People Skill

it governance implementation

Education