ไอทีภิบาล (IT
Governance)
ปัจจุบันเทคโนโลยีสารสนเทศได้เข้ามาเป็นส่วนหนึ่งในระบบการทำงานของในแต่ละองค์กร
ในยุคของการค้าเสรีและเศรษฐกิจยุคใหม่
อีกทั้งการแข่งขันที่นับวันจะทวีความยิ่งรุนแรงขึ้น
การนำเทคโนโลยีสารสนเทศเข้ามาพัฒนาบริหารงานระบบงานต่างๆ จึงพิ่มมากขึ้น
ทั้งช่วยการเพิ่มผลิตผล การควบคุมการทำงาน การลดความเสี่ยงต่างๆ ที่จะเกิดขึ้น
เพื่อให้ธุรกิจดำเนินก้าวหน้าไป
แต่เนื่องจากเทคโนโลยีสารสนเทศที่นับวันจะยิ่งสลับซับซ้อนมากขึ้น
แนวทางในการควบคุม การตรวจสอบ
และการป้องกันระบบทั้งจากภายในและภายนอกจึงต้องมีการตรวจสอบกันและป้องกันกันอย่างเข้มงวด
เพื่อป้องกันปัญหาต่างๆ ที่จะเกิดขึ้นในอนาคต
ดังนั้นผู้บริหารองค์กรจึงต้องหามาตรการต่างๆ มาป้องกัน เพื่อมากำหนดนโยบาย
การตรวจสอบ การควบคุมการใช้เทคโนโลยีสารสนเทศ
ให้อยู่ในกรอบที่สามารถติดตามตรวจสอบและควบคุมได้ในอนาคต
ไอทีภิบาล
(ไอที + ธรรมภิบาล) = ธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ
คือหน้าที่และความรับผิดชอบเกี่ยวกับการจัดการด้านเทคโนโลยีสารสนเทศควบคู่ไปกับการวางนโยบาย
กลยุทธ์ แนวทาง การวัดผล การลดความเสี่ยงและการจัดการ
เพื่อเพิ่มผลผลิตและคุณค่าของผลิตภัณฑ์และมวลรวมขององค์กร เป็นกรอบทางความคิดและแนวทางในการปฏิบัติงาน
ซึ่งมีวิธีการหลายๆ วิธีการหลายมาตรฐานด้วยกัน
ไอทีภิบาลเป็นหน้าที่ของผู้บริหาร
โดยมีหน้าที่และความรับผิดชอบเกี่ยวกับการจัดการที่ดีทางด้าน
เทคโนโลยีสารสนเทศควบคู่กันไปกับความสามารถด้านอื่น ๆ
ของคณะกรรมการและผู้บริหารระดับสูงที่ใช้เป็น กรอบและองค์ประกอบของกระบวนการบริหารงานในการปฏิบัติตามนโยบาย
กลยุทธ์เพื่อสร้างศักยภาพ คุณค่า เพิ่ม
และการเติบโตอย่างยั่งยืนอย่างรู้คุณค่าให้กับองค์กรควบคู่กันไปกับหลักการกํากับดูแลกิจการที่ดีที่แยกกันไม่ได้
ในกระบวนการบริหารความเสี่ยงตามองค์ประกอบของการจัดการตั้งแต่การวางแผน
การจัดองค์กร การจัดพนักงาน การดําเนินการและการควบคุม
ความสําคัญ IT
Governance
1. ความจําเป็นที่ต้องมีการควบคุมการจัดการและการใช้เทคโนโลยีสารสนเทศ
เพื่อการบรรลุกลยุทธ์และเป้าหมายขององค์การ
ความก้าวหน้าในการพัฒนาเทคโนโลยีสารสนเทศมาก ทําให้ข้อมูลสามารถส่งผ่านถึงผู้รับได้อย่างรวดเร็วโดยปราศจากข้อจํากัดด้านเวลา
ระยะทางและความรวดเร็ว
องค์กรที่มีการปฏิบัติงานในระบบอัตโนมัติจําเป็นต้องมีกลไกในการควบคุมที่ดียิ่งขึ้น
โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร์ และระบบเครือ ข่าย ทั้งในด้านของ hardware
และ software ซึ่งระบบการควบคุมจําเป็นต้องพัฒนาไปพร้อมกับการพัฒนาของเทคโนโลยีที่เกิดขึ้นอย่างรวดเร็วและเป็นไปแบบก้าวกระโดด
จึงจําเป็นต้องมีการจัดการความเสี่ยงที่มาพร้อมกับการเปลี่ยนแปลงนี้ให้ดียิ่งขึ้น
ไม่ว่าจะเป็นการจัดการกับข้อมูลที่เปิดเผย และข้อมูลที่เป็นความลับ รวมทั้งการนํา
ข้อมูลไปใช่กระทําการที่ผิดกฎหมาย
ดังนั้นการบริหารความเสี่ยงที่เกี่ยวข้องเทคโนโลยีสารสนเทศจึงกลายมาเป็น
ส่วนสําคัญในการกํากับดูแลกิจการที่ดีขององค์กร (Corporate
Governance)
ผู้บริหารจะต้องสามารถตัดสินใจได้ว่าควรจะลงทุน
ณ ระดับใดในเรื่องการรักษาความปลอดภัยและการควบคุม
และจะรักษาจุดสมดุลอย่างไรระหว่างความเสี่ยงที่รับได้กับการลงทุนในด้านการควบคุมและผลตอบแทน
2. ความจําเป็นของการควบคุมและกํากับทางด้านเทคโนโลยีสารสนเทศ
ตามกฎหมายที่ยอมรับในระดับสากลกับบริษัทในตลาดหลักทรัพย์ องค์การ ต่างๆ ที่อยู่ในตลาดหลักทรัพย์ในสหรัฐฯ
จําเป็นต้องให้ความสําคัญกับการควบคุมและการประมวลข้อมูลโดยมีการระบุในกฎหมาย Sarbanes-Oxley
Act, 2002 ใน section
404 ที่ กล่าวถึง “Management’s
Report on Internal Controls over Financial Reporting and Certification of
Disclosure in Exchange Act Periodic Reports” ว่ารายงานของการควบคุมภายในจะต้องครอบคลุมเนื้อหาดังนี้
2.1
การระบุความรับผิดชอบของผู้บริหารที่มีต้อการจัดการให้มีการควบคุมภายในในการจัดทํารายงานทางการเงินของบริษัท
2.2
การตรวจสอบของผู้บริหารถึงความถูกต้องและความมีประสิทธิผลในการควบคุมภายในของการจัดทํารายงานทางการเงินของบริษัท
ณ วันสิ้นสุดรอบการเงิน
2.3
การระบุถึงกรอบการจัดการในการประเมินความถูกต้องและความมีประสิทธิผลในการควบคุมภายในของการจัดทํารายงานทางการเงินขององค์การ
2.4
การตรวจรับรองโดยบริษัทตรวจสอบบัญชีและรายงานถึงการตรวจสอบของผู้บริหารถึงความถูกต้องและความมีประสิทธิผลในการควบคุมภายในของการจัดทํารายงานทางการเงินขององค์การซึ่ง
การใช้ข้อมูลโดยพึ่งพาเทคโนโลยีสารสนเทศเป็นสิ่งที่จําเป็น
การมีการควบคุมที่ดีในการจัดการข้อมูลรวมทั้งการควบคุมคุณภาพและการรักษาความปลอดภัยในการเข้าถึงข้อมูล
จึงมีความสําคัญอย่างยิ่งโดยปกติการเซ็นชื่อรับรองงบการเงินซึ่งมิใช่การสอบบัญชีนั้น
จะกระทําโดย CEO และ
CFO
แต่ใน ปัจจุบันเริ่มมีหลายบริษัทให้ CIO
เซ็นชื่อร่วมด้วย โดยให้ความสําคัญกับ technology
support เพื่อให้ได้มาซึ่งรายงานทางการเงินที่เชื่อถือได้
องค์ประกอบหลักของ
IT
Governance
1.Strategic alignment : การใช้ทรัพยากรด้านไอทีการวางแผนดำเนินงานโดยใช้ไอทีให้สอดคล้องกับธุรกิจและใช้ไอทีเป็น
เครื่องมือในการนำพาธุรกิจให้ถึงจุดหมาย
2.Value delivery : ขบวนการตรวจสอบและควบคุมการลงทุนด้านไอทีให้เป็นไปตามวัตถุประสงค์และตรงกับจุดมุ่งหมาย
เพราะเนื่องจากในปัจจุบันการลงทุนไปกับไอทีระบบใดระบบหนึ่งต้องใช้เงินลงทุนค่อนข้างสูงกับระบบการบริหารองค์กร
เช่น ERP,
CRM หรือ Application
ทางธุรกิจสำหรับหน่วยงานราชการหรือเอกชนที่มีจำนวนผู้ใช้หลายร้อยหลาย
พันคนซึ่งส่วนใหญ่ก็มักจะได้ผลตอบการลงทุนที่ค่อนข้างช้า
3.Resource management : การบริหารจัดการทรัพยากรไอทีผู้ใช้ขบวนการข้อมูลโครงสร้างของระบบและอื่นๆ
ที่เกี่ยวข้องเพื่อ ให้ได้ประสิทธิภาพและประสิทธิผลสูงสุด
4. Risk management : การบริหารและจัดการความเสี่ยงต่างๆ
ที่อาจจะเกิดขึ้นจากกระบวนการทำงานใดๆของไอทีในองค์กร
5.Performance measurement : การใช้ไอทีเพื่อติดตามและตรวจสอบรวมถึงการวัดประสิทธิผลของกระบวนการการทำงานต่างๆ
ในองค์กร เช่น ความคืบหน้าของโครงการ การใช้ทรัพยากร
การวัดความสำเร็จของเป้าหมายต่างๆที่วางไว้
หลักการและความเป็นจริงในการกำหนดกรอบ
IT
Governance
ความจำเป็นที่ต้องมีการควบคุมการจัดการและการใช้เทคโนโลยีสารสนเทศ
1. การพัฒนาเทคโนโลยีสารสนเทศ
(IT)
มีความก้าวหน้าขึ้นเป็นอันมาก
ทำให้สารสนเทศสามารถส่งผ่านถึงผู้รับได้อย่างรวดเร็วโดยปราศจากข้อจำกัดด้านเวลา
ระยะทาง และสถานที่ซึ่งมีผลถึงศักยภาพการแข่งขันอย่างสำคัญ
1.1. การพึ่งพาการใช้งานจากสารสนเทศและระบบต่างๆ
ที่เพิ่มมากขึ้น
1.2. การเพิ่มขึ้นของการใช้สารสนเทศที่ใช้ในการพัฒนา
Business
Process และการให้บริการลูกค้า
1.3. การเปลี่ยนแปลงของต้นทุน
และขนาดของการลงทุนของข้อมูล และ Information
Systems ใน
ปัจจุบัน
และในอนาคต
1.4. ศักยภาพที่เพิ่มขึ้นของเทคโนโลยีที่ขับเคลื่อนการเปลี่ยนแปลงให้เกิดขึ้นในองค์กร
รวมทั้ง
ปรับเปลี่ยนหลักการการจัดการ
และการปฏิบัติงาน (Business Practices) ซึ่งก่อให้เกิดโอกาสทางธุรกิจ
ใหม่ ๆ
และช่วยให้ต้นทุนลดลงด้วย
2. การแข่งขันที่รุนแรงขึ้นก่อให้เกิดการเปลี่ยนแปลงขององค์กรในด้านต่าง
ๆ ไม่ว่าจะเป็นการปรับเปลี่ยนระบบ และกระบวนการทำงานให้กระชับขึ้น
โดยนำเทคโนโลยีสารสนเทศมาช่วยในการปรับปรุงเพื่อเพิ่มความสามารถในการแข่งขันมากขึ้น
มีการปรับขนาดขององค์กรให้กระชับและมีความเหมาะสม มีการใช้บริการจากภายนอกมากขึ้น
มีการกระจายอำนาจและปรับโครงสร้างองค์กรให้เป็นแนวราบมากขึ้น สิ่งเหล่านี้มีผลกระทบต่อการปฏิบัติงานทั้งขององค์กรเอกชนและองค์กรของรัฐบาล
โดยเฉพาะการเน้นไปที่การได้เปรียบในด้านการแข่งขัน (Competitive
Advantage) และการเกิดประสิทธิภาพด้านต้นทุน
(Cost
Efficiency) ซึ่งเป็นผลให้แต่ละองค์กรจำเป็นต้องพึ่งพาเทคโนโลยีมากขึ้นและกลายเป็นยุทธศาสตร์ที่สำคัญขององค์กร
การดำเนินธุรกิจที่ต่อเนื่องเป็นความสำคัญยิ่งยวดที่ทุกองค์กรจะต้องตระหนัก
โดยจัดให้มีการบริหารความเสี่ยงในมุมมองต่าง ๆ ที่เหมาะสม ตั้งแต่ Logical
Control และ Environmental
Control เพราะความไม่แน่นอนในการพึ่งพา
Offsite
Backup มีความเสี่ยงสูงและเป็นความเสี่ยงที่ไม่อาจยอมรับได้ในหลาย
ๆ กรณี เมื่อมีการศึกษา Business Impact Analysis
3. องค์กรต่าง
ๆ มองเห็นความสำคัญของสารสนเทศและเทคโนโลยีที่พัฒนา
อันถือได้ว่าเป็นสินทรัพย์ที่มีค่ายิ่งโดยเฉพาะในโลกของการแข่งขันที่รุนแรง ผู้บริหารจะให้ความสำคัญ
และความคาดหวังกับเทคโนโลยีสารสนเทศมากยิ่งขึ้นโดยเฉพาะการตอบสนองที่รวดเร็ว
มีคุณภาพ สามารถใช้งานได้หลากหลาย และสะดวกต่อการใช้งาน โดยใช้เวลาน้อยลง
เพิ่มระดับการบริการให้ดียิ่งขึ้น โดยมีต้นทุนที่ต่ำลง
4. องค์กรที่มีการปฏิบัติงานในระบบอัตโนมัติจำเป็นต้องมีกลไกในการควบคุมที่ดียิ่งขึ้น
โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร์ และระบบเครือข่าย (Network)
ทั้งในด้านของ Hardware และ Software ซึ่งระบบการควบคุมจำเป็นต้องพัฒนาไปพร้อมกับการพัฒนาของเทคโนโลยีที่เกิดขึ้นอย่างรวดเร็ว
และเป็นไปแบบก้าวกระโดด
5. หลายองค์กรได้เล็งเห็นถึงประโยชน์ที่จะได้รับจากเทคโนโลยี
สำหรับองค์กรที่ประสบความสำเร็จก็มีความเข้าใจ
และสามารถบริหารความเสี่ยงที่มาพร้อมกับการนำเทคโนโลยีมาใช้ได้เป็นอย่างดี
โดยเฉพาะการเปลี่ยนแปลงทางด้านเทคโนโลยีสารสนเทศ ได้เกิดมากขึ้นเป็นลำดับ และรวดเร็ว
จึงจำเป็นต้องมีการจัดการความเสี่ยงที่มาพร้อมกับการเปลี่ยนแปลงนี้ให้ดียิ่งขึ้น
ไม่ว่าจะเป็นการจัดการกับข้อมูลที่เปิดเผย และข้อมูลที่เป็นความลับ
รวมทั้งการนำข้อมูลไปใช้กระทำการที่ผิดกฎหมาย ดังนั้น
การบริหารความเสี่ยงที่เกี่ยวข้องกับ เทคโนโลยีสารสนเทศ จึงกลายมาเป็นส่วนสำคัญในการกำกับดูแลกิจการที่ดีขององค์กรขององค์กร
(Corporate
Governance)
6. ที่ผ่านมาความต้องการในการมีกรอบมาตรฐาน
(Framework)
สำหรับการจัดการเรื่องความปลอดภัย
และการควบคุมทางด้านเทคโนโลยีสารสนเทศมีค่อนข้างมาก
โดยเฉพาะองค์กรที่ประสบความสำเร็จต่าง ๆ ได้มีความเข้าใจ
และประเมินค่าของความเสี่ยงเทียบกับข้อจำกัดในการใช้เทคโนโลยีสารสนเทศในทุกระดับขององค์กร
เพื่อให้มั่นใจว่าองค์กรจะสามารถมีการกำกับดูแลที่มีประสิทธิผล
และมีการควบคุมที่เพียงพอ
7. ระดับบริหารจะต้องสามารถตัดสินใจได้ว่าควรจะลงทุน
ณ ระดับใด ในเรื่องการรักษาความปลอดภัย และการควบคุม (Security
and Control) และจะรักษาจุดสมดุลอย่างไร
ระหว่างความเสี่ยงที่รับได้กับการลงทุนในด้านการควบคุม ถึงแม้การรักษาความปลอดภัย
และการควบคุม (Security and Control) ทางด้านเทคโนโลยีสารสนเทศจะช่วยในการบริหารความเสี่ยง
แต่ความเสี่ยงก็ยังคงมีอยู่ไม่ได้ถูกกำจัดออกไปทั้งหมด
เพราะไม่มีผู้ใดสามารถกำหนดระดับความเสี่ยงได้ชัดเจนแน่นอน
ดังนั้น
ผู้บริหารจึงต้องกำหนดระดับความเสี่ยงที่รับได้
โดยเปรียบเทียบกับต้นทุนที่ต้องลงทุน ซึ่งถือได้ว่าเป็นการตัดสินใจที่ค่อนข้างยาก
จึงจำเป็นต้องมีกรอบมาตรฐาน (Framework) เพื่อให้ทราบถึงการกำหนดนโยบายการรักษาความปลอดภัย
และการควบคุมด้านเทคโนโลยีสารสนเทศ
โดยคำนึงถึงสภาวะของเทคโนโลยีสารสนเทศในปัจจุบัน และที่จะเป็นในอนาคต
8. ระดับผู้ใช้
(Users)
ก็ต้องมีความมั่นใจว่ามีการรักษาความปลอดภัย และการควบคุม (Security
and Control) อย่างเพียงพอในการใช้งานด้านเทคโนโลยีสารสนเทศ
ไม่ว่าจะเป็นการใช้บริการจากภายในองค์กร หรือจากผู้ให้บริการจากภายนอก (Third
Party) ก็ตามซึ่งที่ผ่านมาการควบคุมทางด้านเทคโนโลยีสารสนเทศจะค่อนข้างสับสนเนื่องจากมีมาตรฐานหลากหลายวิธีจากองค์กรต่าง
ๆ
9. ระดับผู้ตรวจสอบ
(Auditors)
ก็จำเป็นจะต้องมีมาตรฐานสากลในการตรวจสอบ
เนื่องจากจะต้องมีจุดยืนในการให้แนวคิด
และเหตุผลเกี่ยวกับการตรวจสอบภายในกับระดับบริหาร
ซึ่งถ้าปราศจากกรอบมาตรฐานแล้วจะหาจุดพิจารณาถึงระดับการรักษาความปลอดภัย
และการควบคุม (Security and Control) ด้านเทคโนโลยีสารสนเทศที่เหมาะสมได้ค่อนข้างยาก
ความสัมพันธ์ของ
IT
Governance กับ Corporate
Governance
ธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ
(IT
Governance) เป็นส่วนสำคัญที่รวมอยู่ในความสำเร็จของธรรมาภิบาลขององค์กร
(Corporate
Governance) โดยจะเป็นจุดวัดของการปรับปรุงในด้านประสิทธิผล
และประสิทธิภาพของกระบวนการปฏิบัติงานขององค์กร
ธรรมาภิบาลขององค์กรจะเป็นกรอบในการกำหนดแนวทางสำหรับธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ
(IT
Governance) ส่วนกิจกรรม /
กระบวนการต่าง ๆ ขององค์กรจะต้องใช้ข้อมูลจาก กิจกรรม /
กระบวนการของเทคโนโลยีสารสนเทศอย่างมีนัยสำคัญยิ่ง โดยเฉพาะธุรกิจหลัก ๆ ขององค์กร
Corporate Governance เป็นผู้ขับเคลื่อน และกำหนดรูปแบบของ IT
Governance ขณะเดียวกันเทคโนโลยีสารสนเทศก็ได้สนับสนุนข้อมูลที่จำเป็นต่าง
ๆ เพื่อใช้ในการวางแผนด้านกลยุทธ์ (Strategic
Planning) และในบางครั้งยังเป็นส่วนที่มีอิทธิพลในการสร้างโอกาสใหม่
ๆ ให้กับองค์กร จึงถือได้ว่าเทคโนโลยีสารสนเทศ
และการวางแผนด้านกลยุทธ์มีความสัมพันธ์แบบพึ่งพากัน โดยกิจกรรมในองค์กร (Corporate
Activities) จำเป็นต้องใช้ข้อมูลจาก
IT
Activities เพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจ
โดย IT
Activities จะต้องสอดคล้องกับกิจกรรมในองค์กร
และช่วยให้องค์กรสามารถใช้ประโยชน์จากข้อมูลอย่างเต็มที่ในการสร้างประโยชน์สูงสุด
และได้ผลตอบแทนจากการลงทุนจากโอกาสทางธุรกิจต่าง ๆ
รวมทั้งสามารถเพิ่มความได้เปรียบในการแข่งขันมากขึ้น
โดยปกติแล้วองค์กรจะมีการกำกับ
บริหาร และควบคุมโดยใช้หลักการจัดการ และการปฏิบัติที่เหมาะสมหรือที่ดีที่สุด
เพื่อให้มั่นใจว่าองค์กรจะสามารถบรรลุเป้าหมายหรือวัตถุประสงค์ที่ต้องการ
โดยต้องมีการควบคุมที่ดีด้วย และในขณะเดียวกันเทคโนโลยีสารสนเทศก็จำเป็นต้องมีการกำกับ
บริหาร และควบคุมที่ดี โดยยึดหลักการของ Best Practices
เช่นเดียวกัน เพื่อให้ข้อมูล และเทคโนโลยีที่ใช้ในองค์กร
สามารถช่วยให้องค์กรบรรลุวัตถุประสงค์ทางธุรกิจได้ รวมทั้งการใช้ทรัพยากรต่าง ๆ
อย่างมีเหตุมีผล และมีการบริหารความเสี่ยงที่เหมาะสม
ขอบเขต IT
Governance
ขั้นตอนการนำ IT
Governance มาปฎิบัติ
ขั้นตอนที่ 1
• จัดตั้งคณะกรรมการทางด้านกลยุทธ์
IT
Strategy Committee และ IT
Steering Committee
• กําหนดหน้าที่และความรับผิดชอบของคณะกรรมการและผู้บริหาร
โดยความรับผิดชอบหลักคือการมุ่งไปที่การเพิ่มคุณค่าในการใช้ IT
การบริหารความเสี่ยงที่เกี่ยวข้องกับ IT
และผลการปฏิบัติงานอันเนื่องมาจากการใช้ IT
• คณะกรรมการจะเป็นผู้กําหนด
นโยบายทางด้านธุรกิจ (Business Policy), นโยบายของข้อมูล (Information
Policy), นโยบายด้านเทคโนโลยีสารสนเทศ
(IT
Policy), การจัดการไอทีภิบาล
(IT
Governance organization), การดำเนินการไอทีภิบาล
(IT
Governance Process) และการวัดผลการปฎิบัติงาน
(Measurements)
ขั้นตอนที่ 2
• สร้างความเชื่อมโยงของ
IT
เข้ากับ เป้าหมาย กลยุทธ์ ความต้องการทางธุรกิจขององค์กร
รวมทั้งการจัดลําดับความสําคัญ
• นำนโยบายและกลยุทธ์ทางด้าน
IT
ไปสู่การปฏิบัติ
โดยมีการกําหนดพฤติกรรมในองค์กรให้มีการปฏิบัติสอด คล้องกับกลยุทธ์
เป้าหมายของการลงทุน และการมีระดับความเสี่ยงที่ยอมรับได้ โดยคณะกรรมการบริหาร โดย
IT
Strategy Committee ให้แนวทางในการกําหนดนโยบาย
และกําหนดทิศทางกลยุทธ์ทางด้าน IT เพื่อให้มีความสอดคล้องกับกลยุทธ์ของธุรกิจ
ในขณะที่ผู้บริหาร (IT Steering Committee) จะต้องพิจารณา/ทบทวน IT portfolio เพื่อให้เกิดความต่อเนื่องกับกลยุทธ์ รวมทั้งประเมินแต่ละโครงการว่ามีความสอดคล้องและเหมาะสมกับกลยุทธ์หรือไม่
และจัดลําดับความสําคัญของโครงการต่างๆ
ขั้นตอนที่ 3
• การจัดการทางด้าน
IT
Portfolio และ IT
Investment
IT Portfolio คือ กล่มของการลงทุนทางด้าน IT (IT
Investment) และทรัพยากรที่ใช้
รวมทั้งข้อมูลที่เกี่ยวข้องกับการลงทุนในแต่ละส่วน
โดยประกอบด้วยแต่ละรายการที่แบ่งอยู่ในกลุ่มการบริหารงาน ต่อไปนี้
- Application ประกอบด้วยกลุ่มของ user
applications ที่มีการใช้งานและบํารุงรักษาที่เป็นความรับผิดชอบของ
IT
ต้นทุนที่เกี่ยวข้องและบันทึกใน portfolio
จะรวมถึงผู้บริหารและพนักงานที่เกี่ยวข้องกับ application
นั้นๆ
- Infrastructure ประกอบด้วย hardware และ software ที่ให้บริการกับ user ซึ่งจะรวมถึง processors,
peripherals, communications, operating software และ สถานที่/ อุปกรณ์อํานวยความสะดวกต่างๆ ต้นทุนที่เกี่ยว
ข้องและบันทึกใน portfolio จะรวมถึงผู้บริหารและพนักงานที่เกี่ยวข้องกับ infrastructure
ทั้งหมด
- Service ประกอบด้วยการให้การบริการ และสนับสนุนการใช้งานของ user
เช้น help desk และบริการซ่อม PC โดยจะไม่รวมการบริการที่ให้แก่ภายในหน่วยงานด้าน IT
แต่จะเป็นบริการที่มีการเรียกใช้ตามตารางการบริการที่มีให้แก่
user
หรือตามที่ user ร้องขอ ต้นทุนที่เกี่ยวข้องและบันทึกใน portfolio
จะรวมถึงผู้บริหารและพนักงานที่เกี่ยวข้องกับการให้บริการแก่
user
ทั้งหมด
- Management ประกอบด้วยกิจกรรมที่เกี่ยวข้องกับการบริหาร และการให้บริการที่สนับสนุนการทําในของหน่วยงานทางด้าน
IT
ที่เกี่ยวข้องกับ application,
infrastructure และ service
กับ user
ตัวอย่างรูปแบบเบื้องต้นของ
IT
Portfolio
การจัดการทางด้าน
IT
Portfolio ถือได้ว่าเป็นเครื่องมือที่สําคัญที่จะช่วยผู้บริหารในการทําความเข้าใจถึงการลงทุนทางด้าน
IT
ในมุมมองของต้นทุน และทรัพยากรต่างๆที่เกี่ยวข้อง
เพื่อช่วยในการวางแผน และเป็นเครื่องมือที่ช่วยในการตัดสินใจ
ขั้นตอนที่ 4
• กําหนด
IT
processes และส่วนที่เป็นเป้าหมายหลักในการปรับให้สอดคล้องกับกรอบของ
IT
Governance
- กรอบ
IT
Governance ภายใต้การกํากับของกระทรวงการคลัง
- กรอบ
IT
Governance ตามมาตรฐาน COBIT
ขั้นตอนที่ 5
• กําหนดบุคลากรและการแต่งตั้งคณะกรรมการที่เหมาะสม
ความสําเร็จของ
IT
Governance จะขึ้นอยู่กับความเกี่ยวข้องโดยตรงของผู้บริหาร
โดยผู้ดําเนินการหลักนั้นควรจะเป็นบุคคลที่ทําให้ IT Governance ประสบความสําเร็จได้ และไม่ควรจะมีการเปลี่ยนแปลงตัวบุคคล
บ่อย เพราะจะขาดความต่อเนื่อง ซึ่ง โดยคณะกรรมการใน IT
Strategy Committee ควรจะมีอย่างน้อย
2 ท่าน เพื่อความต่อเนื่องเมื่อมีผู้ใดขาดไป
และสามารถมีผู้เชี่ยวชาญอยู่ในคณะได้เพื่อให้ความเข้าใจทางด้านข้อมูลในเชิงลึก
ส่วนที่เป็น IT Steering Committee จะประกอบด้วยผู้บริหารระดับสูงที่เกี่ยวข้อง รวมทั้ง CIO
และที่ปรึกษาที่ เป็น ผู้เชี่ยวชาญ ที่จะต้องตัดสินใจใน IT
investment ขนาดใหญ่
โดยประสานงานร่วมกับ Program Management Office (PMO) ที่รับผิดชอบดูแลทางด้าน project
management และ project
portfolio managementในขณะที่ IT
investment ที่มีขนาดเล็กอาจแต่งตั้งคณะอนุกรรมการ
(subcommittee)
เพื่อพิจารณาแทนได้
การกําหนดคณะทํางานเฉพาะเรื่อง
เช่น IT
Portfolio Management Committee หรือ
IT
Infrastructure Planning Committee ก็สามารถรวมทีมจากผู้ที่มีคุณสมบัติที่เหมาะสมเพื่อให้กําหนดขั้นตอนมาตรฐาน
และกรอบการทํางาน โดยจะต้องมีผู้ที่มีความรู้ความเขฃ้าใจในด้านนั้นเป็นหลัก
ควรมีการกําหนดบทบาทหน้าที่ความรับผิดชอบของคณะทํางานในแต่ละ
committee
ที่ชัดเจน รวมทั้งขอบเขตของอํานาจ และแนวทางในการตัดสินใจ
ขั้นตอนที่ 6
• รูปแบบการกํากับทางด้าน
IT
Government ควรมีการจัดทําเป็นกฎบัตร
IT
Government ที่เป็นลายลักษณ์อักษร
และควรครอบคลุมถึง
- วัตถุประสงค์ของการกํากับทางด้าน
IT
Governance คู่กับ Corporate
Governance
- ขอบเขต
IT
Governance ในองค์กร
- ผู้ที่เกี่ยวข้องและมีส่วนร่วม
- กระบวนการ
IT
Governance
- กิจกรรมด้าน
IT
Governance
- นโยบายและวัตถุประสงค์ที่เป็น
IT
Policy และส่งเสริม IT
Governance
- บทบาทและหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้องกับ
IT
Governance
- กําหนดตัวชี้วัดความสําเร็จ
ที่จะบ่งชี้ถึงความมีประสิทธิผลในการปฏิบัติ
- กําหนดความเสี่ยงที่เกี่ยวข้องและสมมติฐานที่ใช้ในการประเมินความเสี่ยง
การมีกฎบัตรที่ระบุข้อมูลต่างๆที่จําเป็นในการทําให้
IT
Governance ประสบผลสําเร็จนั้น
จะทําให้องค์กรเห็นถึงความสําคัญ
และจําเป็นต้องมีการสื่อสารอย่างทั่วถึงและต่อเนื่อง
เพื่อให้มีการปฏิบัติอย่างจริงจังและต่อเนื่อง ซึ่งจะสอดคล้องและเป็นส่วนหนึ่งของ
การกํากับและบริหารกิจการที่ดีขององค์กร (enterprise
governance)
ขั้นตอนที่ 7
• การวัดผลและประเมินผลเพื่อการปรับปรุงอย่างต่อเนื่อง
องค์กรควรจัดให้มี
IT
Steering Committee มีหน้าที่ในการติดตาม
และประเมินผลของการดําเนินงานทางด้าน IT และ IT Governance โดยมีการพิจารณาติดตาม project ที่อยู่ใน IT Project
Portfolio/ IT Development Portfolio และ
IT
Asset Portfolio โดยพิจารณา service
level agreements, balanced scorecard และรายงานการประเมินผลที่แสดงถึงสถานภาพและความก้าวหน้า
เทียบกับที่วางแผนไว้ การวัดและประเมินผลจะครอบคลุมทั้งในด้าน tangible
asset และ intangible
asset โดยจําเป็นต่องพิจารณาจาก architecture
และ IT Asset Inventory (ที่อยู่ในรูปของ IT
Infrastructure Plan) ซึ่งจะมีผลรวมถึงการพิจารณาถึงผลตอบแทนที่ให้กับพนักงาน
ซึ่งอยู่ในส่วนของการประเมินผลด้าน IT ตามหลักของ balanced
scorecard
ในการวัดผลนั้นวัตถุประสงค์ก็เพื่อมุ่งไปสู่การปรับปรุงให้ดีขึ้น
ดังนั้นเมื่อมีการวัดผลเกิดขึ้น จะสามารถช่วยกําหนดเป็น baseline
เพื่อหาเป้าหมายในการปรับปรุง
การที่จะตั้งเป้าหมายเพื่อการปรับปรุงนั้น จําเป็นต้องมีการ benchmarking
กับผู้ประกอบการในกลุ่มอุตสาหกรรมที่เกี่ยวข้องด้วยกันเพื่อเทียบเคียงว่ามีจุดใดที่องค์กรมีความก้าวหน้าหรือล้าหลังกว่าองค์กรในกลุ่มอุตสาหกรรมเดียวกัน
และมีความสําคัญในการที่จะต้องปรับปรุง รวมทั้งเทียบกับมาตรฐานสากลของ COBIT
สําหรับการจัดการทางด้าน IT ที่ดี โดยใช้ maturity model
ของ COBIT ในการวัดและประเมินผลจะทําได้อย่างมีประสิทธิภาพและไม่ต้องสูญเสียเวลา
และทรัพยากรนั้น จําเป็นต้องใช้เทคโนโลยีเข้ามาช่วยเช่นกัน
กรอบงานโคบิต (CoBIT Framework)
ภาพรวมของโคบิต
โคบิตได้รับการพัฒนาขึ้นในปี 1992 โดยสมาคมการควบคุมและการตรวจสอบระบบสารสนเทศ
หรือ The Information Systems Audit and Control Association
(ISACA) และ สถาบันเทคโนโลยีสารสนเทศาภิบาล หรือ Information
Technology Governance Institute (ITGI) เป็นผู้ดูแลในปัจจุบัน
(ซึ่ง ISACA และ ITGI เป็นองค์กรชั้นนำในด้านของการตรวจสอบและการควบคุมด้านเทคโนโลยีสารสนเทศระดับโลกที่ตั้งอยู่ในประเทศสหรัฐอเมริกา)
โคบิตเวอร์ชันแรก (CoBIT 1st edition) ได้รับการตีพิมพ์และเผยแพร่ในปี 1996 จากนั้นได้มีการปรับปรุงเป็นเวอร์ชันที่ 2 (CoBIT
2rdedition) ในปี 1998 โดยในเวอร์ชันที่ 2 มีการเพิ่มเติมแหล่งข้อมูลและมีการทบทวนเนื้อหาในส่วนของวัตถุประสงค์การควบคุมหลักและเนื้อหาอื่นๆ
บางส่วน ต่อมาได้มีการพัฒนาเป็นเวอร์ชันที่ 3 (CoBIT 3 edition) ในปี 2000 (ส่วนที่เป็น on-line
edition ได้รับการเผยแพร่ในปี 2003) และเวอร์ชันที่ 4 (CoBIT 4.0) ซึ่งเป็นเวอร์ชันล่าสุดโดยได้มีการเผยแพร่ในเดือนธันวาคมปี 2005 โดยเป็นการปรับปรุงเนื้อหาให้มีความใกล้เคียงกับมาตรฐานสากลต่างๆ เช่น Sarbanes-Oxley
Act. เป็นต้น
สถาบันเทคโนโลยีสารสนเทศาภิบาล (ITGI) จัดตั้งขึ้นเมื่อปีค.ศ. 1998 โดยสมาคมการควบคุมและตรวจสอบระบบสารสนเทศ (ISACA) และสมาคมอื่นๆ ที่เกี่ยวข้อง โดยมีวัตถุประสงค์เพื่อเสริมสร้างความเข้าใจและนำหลักการด้านการกำกับดูแลที่ดีด้านเทคโนโลยีสารสนเทศมาใช้งาน
โดยมีการเพิ่มเติมแนวทางในการบริหาร หรือ แนวทางสำหรับผู้บริหาร (Management
Guideline) เข้ามาในโคบิตเวอร์ชันที่ 3 รวมถึงการเสริมสร้างและยกระดับการกำกับดูแลที่ดีด้านเทคโนโลยีสารสนเทศ
โคบิตนั้นถูกพัฒนาโดยมีพื้นฐานมาจากกรอบวิธีปฏิบัติต่างๆ
หลายตัว เช่น Capability Maturity Model
(CMM) ของ Software Engineering Institute (SEI),
ISO 9000 และ Information Technology
Infrastructure Library (ITIL) โดยเดิมทีผู้พัฒนาตั้งใจที่จะสร้างให้โคบิตเป็นเครื่องมือ
หรือ
แนวทางที่ใช้ในการปฏิบัติงานของผู้ตรวจสอบการควบคุมภายในด้านเทคโนโลยีสารสนเทศ
แต่ต่อมามีการนำไปใช้โดยผู้บริหารธุรกิจ และผู้บริหารระบบสารสนเทศมากขึ้น
เนื่องจากโคบิตเป็นทั้งแนวคิดและแนวทางในการปฏิบัติ เพื่อให้การควบคุมภายในด้านเทคโนโลยีสารสนเทศสามารถดำเนินไปได้อย่างมีประสิทธิภาพ
โดยมีการอ้างอิงถึงแนวทางการปฏิบัติที่ดีที่สุด (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
เพื่อมุ่งเน้นในการยกระดับประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่เป็นส่วนผลักดันงานขององค์กร
(มากกว่าการมุ่งเน้นทางด้านของการรักษาความมั่นคงปลอดภัยของเทคโนโลยีสรสนเทศเหมือนมาตรฐาน ISO/IEC
27001) ดังนั้นโคบิตจึงเริ่มเป็นที่แพร่หลายในกลุ่มของผู้บริหารงานด้านเทคโนโลยีสารสนเทศด้วย
โคบิตเป็นบทสรุปรวมของความรู้หรือข้อมูลต่างๆ
ที่องค์กรต้องการสำหรับการนำไปปรับใช้เพื่อให้องค์กรมีการควบคุมภายในด้านเทคโนโลยีสารสนเทศที่ดี
และเพื่อพัฒนาองค์กรให้เข้าสู่การเป็นองค์กรที่มี “ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ” หรือ IT Governance กล่าวคือ
สามารถบริหารจัดการระบบสารสนเทศขององค์กรให้สามารถใช้งานได้อย่างมีประสิทธิภาพ
มีความคุ้มค่ากับการลงทุน และมีการบริหารจัดการที่โปร่งใสสามารถตรวจสอบได้
โดยโคบิตจะรวบรวมตัววัด (Measures) เครื่องบ่งชี้ (Indicators) ขั้นตอนการปฏิบัติงาน (Processes) และ
แนวทางการปฏิบัติที่ดีที่สุด (Best Practices) ซึ่งเป็นข้อมูลที่มีโครงสร้าง
สามารถเข้าใจและนำไปใช้ได้โดยง่ายอีกทั้งเป็นที่ยอมรับกันโดยทั่วไป
ผู้ที่นำโคบิตไปใช้ (ได้แก่ ผู้บริหารธุรกิจ ผู้บริหารระบบสารสนเทศ และผู้ตรวจสอบ)
สามารถนำสิ่งต่างๆ เหล่านี้ไปใช้เป็นเครื่องมือเพื่อสร้างประโยชน์สูงสุดจากการนำเทคโนโลยีสารสนเทศเข้ามาใช้งานภายในองค์กร
และช่วยให้การลงทุนทางด้านเทคโนโลยีสารสนเทศประสบความสำเร็จอย่างตรงตามความต้องการทางด้านธุรกิจ
เนื่องจากการนำโคบิตเข้ามาใช้จะช่วยให้ผู้ที่ปฏิบัติงานต่างๆ
มีความเข้าใจในระบบเทคโนโลยีสารสนเทศที่ตนเองเกี่ยวข้องมากยิ่งขึ้น
อีกทั้งยังช่วยในเรื่องของการยกระดับของการควบคุมด้านความปลอดภัยที่จำเป็นสำหรับการป้องกันสินทรัพย์ต่างๆ
ขององค์กร
แนวทางในการบริหารจัดการของโคบิตเขียนขึ้นเพื่อให้สามารถนำไปใช้ปฏิบัติได้จริง
และเพื่อให้สามารถตอบคำถามต่างๆ ของผู้บริหารได้ เช่น
· องค์กรสามารถเติบโตได้ถึงขั้นไหน (ในด้านของการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร)
· การลงทุนทางด้านเทคโนโลยีสารสนเทศคุ้มค่ากับประโยชน์ที่องค์กรจะได้รับหรือไม่
· ควรใช้อะไรเป็นตัวชี้วัดถึงประสิทธิภาพในการดำเนินงานด้านเทคโนโลยีสารสนเทศที่ดี
· อะไรเป็นปัจจัยที่สำคัญที่จะทำให้องค์กรประสบความสำเร็จได้ตรงตามเป้าหมายที่กำหนดไว้
· ความเสี่ยงที่จะทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่ตั้งไว้มีอะไรบ้าง
จะมีวิธีการตรวจสอบและการควบคุมอย่างไร
เพื่อลดโอกาสเกิดของความเสี่ยงดังกล่าวให้น้อยลง
เราสามารถนำมาตรฐาน หรือ แนวทางปฏิบัติอื่นๆ
ที่มีจุดมุ่งหมายที่ต้องการจะเน้นที่การควบคุมเฉพาะจุดใดจุดหนึ่ง
มาประยุกต์ใช้ร่วมกับโคบิตได้ เช่น กลุ่มมาตรฐานของ ISO/IEC 27000
(ISO/IEC 27000 series) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการรักษาความปลอดภัยของเทคโนโลยีสารสนเทศ
หรือ มาตรฐาน ISO/IEC 9001:2000 ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการจัดการความต้องการทางด้านคุณภาพของระบบ
(Quality Management Systems Requirement) หรือ
มาตรฐานของ Information Technology Infrastructure Library
(ITIL) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการให้บริการด้านเทคโนโลยีสารสนเทศที่มีคุณภาพ
หรือ มาตรฐาน Capability Maturity Model Integration (CMMI) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการพัฒนาและผลิตซอร์ฟแวร์ที่มีคุณภาพ
รวมไปถึงมาตรฐาน Projects in Controlled Environments 2
(PRINCE2) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการบริหารจัดการโครงการที่มีประสิทธิภาพ
เป็นต้น
เนื่องจากโคบิตเป็นกรอบการปฏิบัติที่บอกให้ผู้ปฏิบัติทราบว่าต้องการอะไรบ้าง (what
to do) แต่ไม่มีรายละเอียดในแง่ของวิธีการปฏิบัติที่จะนำไปสู่จุดนั้น
(how to do) ดังนั้นผู้ปฏิบัติจึงควรนำมาตรฐาน
หรือแนวทางปฏิบัติอื่นๆ
เข้ามาช่วยเสริมในส่วนของรายละเอียดที่เจาะลึกลงไปในเรื่องที่ต้องการได้
โครงสร้างของโคบิตถูกออกแบบให้อยู่บนพื้นฐานของกระบวนการทางธุรกิจ
(Business Process) ซึ่งแบ่งเป็น 4 กระบวนการหลัก (Domains) ได้แก่
· การวางแผนและการจัดองค์กร (Plan and Organize : PO)
· การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
· การส่งมอบและการสนับสนุน (Delivery and Support : DS)
· การติดตามและประเมินผล (Monitor and Evaluate : ME)
ในแต่ละกระบวนการหลักข้างต้น โคบิตยังได้แสดงถึงวัตถุประสงค์การควบคุมหลัก
(High-Level Control Objectives) รวมทั้งหมด 34 หัวข้อ และในแต่ละหัวข้อจะประกอบไปด้วยวัตถุประสงค์การควบคุมย่อย (Detailed
Control Objectives) รวมทั้งหมดถึง 318 หัวข้อย่อย พร้อมทั้งยังมีแนวทางการตรวจสอบ (Audit
Guideline) สำหรับแต่ละหัวข้อการควบคุมอีกด้วย
(ซึ่งรายละเอียดจะกล่าวในหัวข้อถัดไป)
นอกจากนี้โคบิตได้แสดงถึงความสัมพันธ์ต่อปัจจัยหลัก 2 ตัว ในทุกๆ หัวข้อของวัตถุประสงค์การควบคุม ได้แก่
· คุณภาพของสารสนเทศ (Information Criteria)
· ทรัพยากรด้านเทคโนโลยี (IT Resources)
คุณภาพของสารสนเทศ 7 ประการ
· ประสิทธิภาพ (Effectiveness) หมายถึง มีการจัดการกับข้อมูลที่ใช้หรือเกี่ยวข้องกับกระบวนการทางธุรกิจ
โดยเฉพาะการส่งมอบสารสนเทศต่างๆ ให้แก่ผู้ใช้ได้อย่างถูกต้อง ทันเวลา
และสามารถใช้ประโยชน์ได้
· ประสิทธิผล (Efficiency) หมายถึง มีการใช้ประโยชน์จากทรัพยากรอย่างเต็มที่ (คือให้ผลตอบแทนสูงสุดในขณะที่ใช้ต้นทุนที่ต่ำที่สุด)
เพื่อให้ได้มาซึ่งสารสนเทศที่ผู้ใช้ต้องการ
· การรักษาความลับ (Confidentiality) หมายถึง มีการป้องกันการเปิดเผยข้อมูลที่มีความสำคัญต่อบุคคลหรือหน่วยงานที่ไม่ได้รับอนุญาต
· ความสมบูรณ์ของข้อมูล (Integrity) หมายถึง
ความถูกต้องตรงกันและความครบถ้วนสมบูรณ์ของสารสนเทศที่มีอยู่ในองค์กร
· ความพร้อมใช้งานของข้อมูล (Availability) หมายถึง การที่สามารถเรียกใช้ข้อมูลสารสนเทศได้ตลอดเวลาเมื่อผู้ใช้ต้องการ
รวมถึงการป้องกันและรักษาความปลอดภัยให้กับทรัพยากรที่จำเป็นต่างๆ
และการรักษาระดับความสามารถในการทำงานของทรัพยากรเหล่านั้น
ห้ามารถทำงานได้อย่างมีประสิทธิภาพอยู่ตลอดเวลา
· การปฏิบัติตามระเบียบ (Compliance) หมายถึง การที่องค์กรปฏิบัติตามกฎ ระเบียบ ข้อบังคับ หลักเกณฑ์ ข้อตกลง
หรือกฎหมาย
ที่เกี่ยวข้องกับกระบวนการทางธุรกิจที่มีขึ้นเพื่อบังคับใช้ทั้งจากหน่วยงานภายในและภายนอกองค์กร
· ความน่าเชื่อถือของข้อมูล (Reliability) หมายถึง
ความสามรถในการหาข้อมูลที่เหมาะสมและเชื่อถือได้ให้แก่ผู้บริหารเพื่อใช้ในการดำเนินธุรกิจและให้สามารถจัดทำรายงานทางการเงินหรือรายงานอื่นๆ
ที่จำเป็น
ทรัพยากรด้านเทคโนโลยีสารสนเทศ 4 ประเภท
· ระบบงานประยุกต์ (Application
Systems) ได้แก่ ขั้นตอนและกระบวนการที่ใช้ในการปฏิบัติงานทั้งแบบที่ปฏิบัติเองด้วยมือและแบบที่ทำด้วยโปรแกรมคอมพิวเตอร์
· สารสนเทศ (Information) ได้แก่ ข้อมูลหรือสารสนเทศในรูปแบบต่างๆ ทั้งที่เป็นรูปภาพ ข้อมูลเสียง
เป็นต้น โดยสามารถเป็นได้ทั้งข้อมูลที่มีโครงสร้างและที่ไม่มีโครงสร้าง
ที่องค์กรนำมาใช้ในการปฏิบัติงาน
· โครงสร้างพื้นฐาน (Infrastructure) ได้แก่ โครงสร้างพื้นฐานทางด้านเทคโนโลยีสารสนเทศขององค์กร
ที่ใช้ในการปฏิบัติงานต่างๆ ภายในองค์กร ซึ่งรวมตั้ง hardware,
software, ระบบปฏิบัติการ ระบบบริหารฐานข้อมูล ระบบเครือข่าย
และยังรวมไปถึงทรัพยากรต่างๆ ที่ใช้ในสนับสนุนการปฏิบัติงานขององค์กร เช่น อาคาร
สถานที่ และสาธารณูปโภคต่างๆ
· บุคลากร (People) ได้แก่
บุคลากรที่มีความรู้ความชำนาญในการบริหารและการปฏิบัติงานทางด้านเทคโนโลยีสารสนเทศ
เพื่อให้สามารถมั่นใจได้ว่าระบบสารสนเทศจะได้รับการดูแลที่ดีจากบุคลากรที่มีความสามารถ
ภาพรวมของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
โคบิตถือเป็นกรอบวิธีปฏิบัติตัวหนึ่งที่เน้นให้องค์กรเป็นองค์กรที่มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี
ดังนั้นองค์กรที่ต้องการประสบความสำเร็จในการเป็นองค์กรที่มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดีควรที่จะนำโคบิตไปปรับใช้ในการบริหารงานขององค์กร
ซึ่งในตัวของโคบิตเองก็ได้มีเนื้อหาสำคัญที่เกี่ยวพันธ์กับเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศด้วย
ด้วยเหตุนี้จึงอยากจะให้ผู้ที่นำไปใช้ได้เข้าใจในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศก่อน
ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศคือ
การนำกรอบวิธีการปฏิบัติและวิธีการปฏิบัติที่ดีที่สุด จากมาตรฐานต่างๆ
มาปรับใช้ในองค์กร เพื่อช่วยในการตรวจสอบติดตาม
และปรับปรุงกระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร
เพื่อเพิ่มมูลค่าทางธุรกิจและเป็นการลดความเสี่ยงด้านธุรกิจที่องค์กรต้องเผชิญไปด้วยในตัว
และให้สามารถแน่ใจได้ว่าเทคโนโลยีสารสนเทศขององค์กร
ได้สนับสนุนวัตถุประสงค์ของธุรกิจ
เพื่อที่จะทำให้องค์กรสามารถได้รับประโยชน์อย่างเต็มที่
จากข้อมูลของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพจะช่วยให้องค์กรสามารถแน่ใจได้ว่า
เทคโนโลยีที่องค์กรนำมาใช้จะสามารถสนับสนุนเป้าหมายทางธุรกิจ
ช่วยเพิ่มประสิทธิภาพสูงสุดทางด้านธุรกิจให้กับการลงทุนทางด้านเทคโนโลยีสารสนเทศ
และช่วยให้องค์กรมีวิธีที่ใช้ในการจัดการกับความเสี่ยงอย่างเหมาะสม
การที่มีความเข้าใจที่ดีในเรื่องของ สภาพแวดล้อมทางธุรกิจ ความเสี่ยงต่างๆ
ที่เกี่ยวข้อง กลยุทธ์ทางด้านธุรกิจขององค์กร
โครงสร้างในด้านเทคโนโลยีสารสนเทศขององค์กร
ความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่สำคัญต่อองค์กร และแนวโน้มในการใช้งานของเทคโนโลยีสารสนเทศ
จะเป็นส่วนสำคัญของการประสบความสำเร็จในการนำธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมาใช้ในองค์กร
ซึ่งหน้าที่ในการดูแลและรับผิดชอบในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศนั้น
ถือเป็นอีกหน้าที่หลักของผู้บริหารระดับสูงและคณะกรรมการผู้จัดการ (Broad
of Directors) ในการผลักดันให้องค์กรก้าวเข้าสู่หลักธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี
โคบิตกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
ในเนื้อหาของโคบิตได้มีหลายหัวข้อที่มีความเกี่ยวเนื่องกับเรื่องของธรรมาภิลาบด้านเทคโนโลยีสารสนเทศ
เพื่อต้องการที่จะให้องค์กรที่นำโคบิตไปใช้ได้เป็นองค์กรที่มีธรรมาภิบาลที่ดี
โดยเรื่องที่โคบิตกล่าวถึงเกี่ยวกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมีดังนี้
·
วัตถุประสงค์ของโคบิตในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
·
IT Governance Focus Areas
วัตถุประสงค์ของโคบิตในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
ซึ่งโคบิตสนับสนุนในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยมีการจัดเตรียมกรอบวิธีปฏิบัติต่างๆ
เพื่อต้องการให้แน่ใจว่า :
- เทคโนโลยีสารสนเทศที่นำมาใช้จะเป็นไปในทิศทางเดียวกันกับธุรกิจขององค์กร
- เทคโนโลยีสารสนเทศสามารถที่จะสนับสนุนความต้องทางด้านธุรกิจได้อย่างเต็มประสิทธิภาพ
- ทรัพยากรด้านเทคโนโลยีสารสนเทศถูกใช้อย่างเหมาะสม
- สามารถจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม
IT Governance Focus Areas
โคบิตนำเสนอเนื้อหาที่เกี่ยวกับการจัดการในส่วนของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยแบ่งออกเป็น 5 ส่วนหลัก
ซึ่งมีเนื้อหาที่ครอบคลุมในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศทั้งหมด
ดังข้อมูลด้านล่างนี้
- การจัดวางกลยุทธ์ (IT
strategic alignment) มีเนื้อหาในการเน้นที่เรื่องของการเชื่อมโยงให้เกิดความสอดคล้องกันระหว่างแผนทางธุรกิจกับแผนทางเทคโนโลยีสารสนเทศ
โดยจะครอบคลุมไปถึงการกำหนดและการวางแผน การดูแลรักษา
และการตรวจสอบความถูกต้องของเทคโนโลยีสารสนเทศ
และรวมไปถึงการทำให้กระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ
ดำเนินไปในทิศทางเดี่ยวกับกระบานการปฏิบัติงานขององค์กร
- การนำเสนอคุณค่า (Value
delivery) มีเนื้อหาในการเน้นที่เรื่องของการนำเสนอคุณค่าตลอดจนวงจรของการนำส่ง
หลักการพื้นฐานของการสร้างคุณค่าด้านเทคโนโลยีสารสนเทศคือ การส่งมอบให้ตรงเวลา
อยู่ในงบประมาณที่กำหนด
ผลประโยชน์ที่ได้รับจะต้องสามารถระบุได้และเป็นไปตามที่ได้กำหนดไว้
เพื่อทำให้มั่นใจได้ว่าเทคโนโลยีสารสนเทศสามารถสร้างประโยชน์ได้ตามที่กำหนดไว้ในกลยุทธ์ขององค์กร
- การจัดการกับทรัพยากรด้านเทคโนโลยีสารสนเทศ
(IT resources management) มีเนื้อหาในการเน้นที่เรื่องของการบริหารจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ
ซึ่งครอบคลุมในส่วนของการลงทุนอย่างไรเพื่อให้ได้รับผลตอบแทนสูงสุด
และเรื่องการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร (ได้แก่
ระบบงานประยุกต์ สารสนเทศ โครงสร้างพื้นฐาน และบุคลากร) อย่างเหมาะสม
ซึ่งประเด็นของเรื่องนี้จะอยู่ที่การนำความรู้และโครงสร้างพื้นฐานที่องค์กรมีอยู่มาใช้ประโยชน์ให้ได้มากที่สุด
- การจัดการความเสี่ยง (Risk
management) มีเนื้อหาในการเน้นที่เรื่องของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ
เพื่อให้เกิดความเข้าใจที่ชัดเจนในเรื่องของความเสี่ยงต่างๆ
ที่เกี่ยวข้องกับการดำเนินงานขององค์กร
และสามารถตระหนักถึงความเสี่ยงที่มีความสำคัญต่อองค์กร
เพื่อเป็นการปลูกฝังในเรื่องของหน้าที่ความรับผิดชอบของผู้ที่มีส่วนเกี่ยวข้องต่างๆ
ในองค์กร
การวัดประสิทธิภาพ
(Performance measurement) มีเนื้อหาในการเน้นที่เรื่องของกลยุทธ์และวิธีที่ใช้ในการตรวจสอบและติดตามในด้านของ
การทำให้เป็นผล (implementation) ความครบถ้วนสมบูรณ์ของโครงการ (project completion) การใช้งานทรัพยากร (resource usage) ประสิทธิภาพของกระบวนการ
(process performance) และ การส่งมอบการให้บริการ (service
delivery) ซึ่งการวัดประสิทธิภาพถือเป็นส่วนที่มีความสำคัญมากที่สุดในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
เพราะจะทำให้องค์กรทราบได้ว่าหลักการที่องค์กรได้นำมาใช้นั้นประสบผลสำเร็จมากน้อยแค่ไหน
และควรที่จะปรับปรุงไปในทิศทางไหน
ประโยชน์ของการนำโคบิตมาใช้
การนำโคบิตมาประยุกต์ใช้ในองค์กรสามารถสร้างประโยชน์หลายประการให้แก่องค์กร
ดังตัวอย่าง
- ทำให้ธุรกิจและเทคโนโลยีสารสนเทศดำเนินไปในทิศทางเดียวกัน
โดยให้ภาคธุรกิจเป็นเป้าหมายหลักในการดำเนินนโยบาย
- เกิดการแบ่งปันในส่วนของความรู้และความเข้าใจให้กับผู้ที่มีส่วนเกี่ยวข้องทุกคน
โดยเป็นการใช้ภาษาเดียวกันทำให้เกิดความเข้าใจที่ตรงกัน
- ทำให้เกิดความเข้าใจมุมมองหรือภาพรวมในเรื่องของการนำเทคโนโลยีสารสนเทศเข้ามาใช้ในการจัดการด้านธุรกิจขององค์กรอย่างไร
- ทำให้เกิดความกระจ่างในเรื่องของบทบาท หน้าที่ความรับผิดชอบ
และความเป็นเจ้าของ ในการปฏิบัติงานของพนักงานในองค์กร
- เพื่อให้เกิดความไว้วางใจและการยอมรับกันอย่างแพร่หลายจากองค์กรหรือบริษัทภายนอกที่เกี่ยวข้องและผู้วางกฎระเบียบ (regulator) ต่างๆ
COBIT
โคบิตถือเป็นกรอบวิธีปฏิบัติตัวหนึ่งที่เน้นให้องค์กรเป็นองค์กรที่มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดีดังนั้นองค์กรที่ต้องการประสบความสำเร็จในการเป็นองค์กรที่มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดีควรที่จะนำโคบิตไปปรับใช้ในการบริหารงานขององค์กร
ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
คือการนำกรอบวิธีการปฏิบัติและวิธีการปฏิบัติที่ดีที่สุด
จากมาตรฐานต่างๆมาปรับใช้ในองค์กร เพื่อช่วยในการตรวจสอบติดตาม
และปรับปรุงกระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กรเพื่อเพิ่มมูลค่าทางธุรกิจและเป็นการลดความเสี่ยงด้านธุรกิจที่องค์กร
โคบิตกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศซึ่งโคบิตสนับสนุนในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยมีการจัดเตรียมกรอบวิธีปฏิบัติต่างๆเพื่อต้องการให้แน่ใจว่า
·
เทคโนโลยีสารสนเทศที่นำมาใช้จะเป็นไปในทิศทางเดียวกันกับธุรกิจขององค์กร
·
เทคโนโลยีสารสนเทศสามารถที่จะสนับสนุนความต้องทางด้านธุรกิจได้อย่างเต็มประสิทธิภาพ
·
ทรัพยากรด้านเทคโนโลยีสารสนเทศถูกใช้อย่างเหมาะสม
·
สามารถจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม
กลุ่มผลิตภัณฑ์ของโคบิตManagement
Guidelineเป็นเครื่องมือสำหรับผู้บริหารด้านธุรกิจและผู้บริหารด้าน
IT ซึ่งมีการจัดเตรียมเนื้อหาในส่วนของหลักหรือวิธีที่ใช้ในการบริหารจัดการด้าน
IT รวมถึงคำแนะนำในการนำ framework ของโคบิตมาปรับใช้ในการบริหารจัดการและ
guideline นี้ยังมีการจัดเตรียมเครื่องมือที่ใช้ในการวัดประสิทธิภาพของการบริหารจัดการองค์กรในหลายๆด้าน
เช่น
·
Maturity Model เป็นเครื่องมือหลักที่ช่วยในการวัดและจัดระดับความสามารถของกระบวนการด้าน
IT
·
Critical Success Factors เป็นเครื่องมือที่ช่วยในการระบุให้ทราบว่ามีการกระทำที่สำคัญอะไรบ้างที่จะทำให้การควบคุมที่นำมาใช้ประสบความสำเร็จ
·
Key Goal Indicators เป็นเครื่องมือที่ช่วยในการกำหนดระดับของเป้าหมายด้านประสิทธิภาพของ
IT ที่ใช้ในปัจจุบัน
·
Key Performance Indicators เป็นเครื่องมือที่ช่วยในการวัดให้ทราบว่าการนำกระบวนการในการควบคุมด้าน
IT เข้ามาใช้นั้นตรงตามกับวัตถุประสงค์หรือไม่
ตัวอย่าง การประเมินโดยใช้กรอบแนวคิดของ CObITและ Maturity Model
|
ระดับคะแนนการควบคุม
|
คำอธิบายระดับคะแนน
|
|
|
5
ดีเยี่ยม
|
ระดับสูงสุด (Optimized)
|
การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับสูงสุด
|
|
4
ดีมาก
|
ระดับที่มีการจัดการและวัดผลงาน
(Managed and Measurable)
|
การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับดีมาก
คือ มีการจัดการ และวัดผลงานได้
|
|
3
ดี
|
ระดับที่มีการกำหนดวิธี/ขั้นตอนการทำงาน (Defined)
|
การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับดี
คือ มีการระบุขั้นตอนในการทำงาน
|
|
2
พอใช้
|
ระดับที่มีการทำซ้ำได้ แต่ยังไม่เป็นระบบ
(Repeatable but Intuitive)
|
การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับพอใช้
คือ มีการระบุขั้นตอนในการทำงานที่สามารถนำไปทำซ้ำได้
แต่เป็นการใช้สัญชาตญาณในการทำงาน ยังไม่เป็นระบบ
ไม่มีกรอบ/วิธีการทำงานที่ชัดเจน เพียงพอ อาจทำให้งานผิดพลาดได้โดยง่าย
|
|
1
ควรปรับปรุง
|
ขั้นเริ่มต้น (Initial/Ad Hoc)
|
การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับที่ควรปรับปรุง
คือ การดำเนินงานส่วนใหญ่เป็นที่รู้กันเฉพาะในหมู่ผู้ปฏิบัติงานเพียงบางกลุ่ม
ยังไม่ครอบคลุมทั่วทั้งองค์กร
|
|
0
ต้องปรับปรุง
|
ขั้นที่ไม่มีการควบคุม
(Non-existent) |
ยังไม่มีการควบคุมภายในของกระบวนการนั้นตามกรอบวิธีปฏิบัติที่ดี
|
ทั้งนี้ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
(IT
Governance) ยังหมายถึงการกำกับดูแลเทคโนโลยีสารสนเทศให้สอดคล้องกับกลยุทธ์ขององค์กรโดยผู้บริหารทุกภาคส่วนมีบทบาทหน้าที่ในการตัดสินใจและมีส่วนร่วมกำหนดกระบวนการของกิจกรรม/โครงการที่เกี่ยวข้อง
ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ มีหลายมาตรฐาน อาทิ COBIT,
ITIL, CMM/CMMI, COSO, ISO/IEC 38500, ISO/IEC 20000, ISO/IEC 27001 จากการค้นหาหน่วยงานรัฐบาล รัฐวิสาหกิจ
และบริษัทเอกชนเรื่องธรรมาภิบาลด้านไอที สามารถค้นหามาได้บางส่วนดังนี้
ตัวอย่างบริษัทที่นำกรอบปฏิบัติธรรมาภิบาลด้านไอทีมาใช้
คือเครือโรงพยาบาลพญาไท-เปาโล
โดยมีการจับมือกับไมโครซอฟท์ ตอกย้ำผู้นำธรรมาภิบาลด้านไอที
โดยยกระดับอุตสาหกรรมการแพทย์ไทยสู่มาตรฐานโลก โดยการใช้ระบบ SAM ในการบริหารจัดการสินทรัพย์ซอฟต์แวร์ เพื่อเพิ่มศักยภาพในการบริหารจัดการระบบเทคโนโลยีสารสนเทศขององค์กร
โดยนายอรพงศ์ เทียนเงิน กรรมการผู้จัดการ
บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด กล่าวว่าไมโครซอฟท์เดินหน้ายกระดับความปลอดภัยอุตสาหกรรมการแพทย์ด้วยการให้บริการ
การบริหารจัดการสินทรัพย์ซอฟต์แวร์ (SAM) แก่เครือโรงพยาบาลพญาไท-เปาโล นำโดย นายอัฐ ทองแตง
ประธานเจ้าหน้าที่บริหาร เครือโรงพยาบาลพญาไท-เปาโล เป็นโรงพยาบาลแรกของไทยที่นำการบริหารจัดการสินทรัพย์ซอฟต์แวร์เข้ามาใช้ครอบคลุมทุกสาขา
พร้อมด้วยอาจารย์ปริญญา หอมเอนก ประธานและผู้ก่อตั้ง บริษัท เอซิส โปรเฟสชั่นนัล
เซ็นเตอร์ จำกัด เพื่อป้องกันภัยคุกคามทางไซเบอร์ในกลุ่มอุตสาหกรรมการแพทย์(กรุงเทพฯ 29 มีนาคม 2559)
ไมโครซอฟท์
ประเทศไทย เดินหน้ายกระดับความปลอดภัยอุตสาหกรรมการแพทย์ของไทย
ด้วยการให้บริการเพื่อการบริหารจัดการสินทรัพย์ซอฟต์แวร์ (Software Asset Management
– SAM) แก่เครือโรงพยาบาลพญาไท-เปาโล
ซึ่งถือเป็นโรงพยาบาลแรกที่นำการบริหารจัดการสินทรัพย์ซอฟต์แวร์เข้ามาใช้ครอบคลุมทุกสาขา
แสดงความมุ่งมั่นในการดำเนินธุรกิจด้วยการบริหารจัดการที่โปร่งใสและถูกต้องตามหลักธรรมาภิบาลด้านไอที
พร้อมทั้งสร้างความปลอดภัยแก่ข้อมูลองค์กรและข้อมูลผู้ป่วย
ตอกย้ำความพร้อมสู่การดำเนินธุรกิจอย่างปลอดภัยในยุคโมบายและคลาวด์
นายอรพงศ์ เทียนเงิน กรรมการผู้จัดการ
บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด กล่าวว่า “ในโลกยุคดิจิตอลความปลอดภัยและความเป็นส่วนตัวของข้อมูลเป็นสิ่งที่สำคัญมาก
ซึ่งไมโครซอฟท์พยายามทำความเข้าใจถึงเทรนด์การทำงานที่เปลี่ยนแปลงไปในองค์กรธุรกิจต่างๆ
รวมถึงอุตสาหกรรมการแพทย์
โดยในโลกของโมบายและคลาวด์นั้นทุกอย่างรอบตัวรวมถึงข้อมูลเปลี่ยนแปลงและเกิดขึ้นได้อย่างรวดเร็ว
เราจึงนำเสนอโซลูชั่น
ที่คิดมาแล้วว่าสามารถตอบโจทย์เพื่อเสริมประสิทธิภาพให้กับองค์กรธุรกิจได้บรรลุผลสำเร็จที่ดียิ่งขึ้น
เราให้ความสำคัญกับการพัฒนาบริการและเทคโนโลยี
เพื่อให้ลูกค้าของเราไว้วางใจและเชื่อมั่น โดยเฉพาะอย่างยิ่ง
ในด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูลของโรงพยาบาลหรือข้อมูลของคนไข้ซึ่งต้องถือว่าปัจจุบันเป็นสิ่งที่สำคัญที่สุดสำหรับองค์กร
โดยเพิ่มความมั่นใจให้กับเครือโรงพยาบาลพญาไท-เปาโล ด้วยการบริหารจัดการสินทรัพย์ซอฟต์แวร์ (SAM) ที่จะเข้ามาช่วยยกระดับมาตรฐานด้านความปลอดภัยและความโปร่งใสในสินทรัพย์ของโรงพยาบาล
ซึ่งเชื่อได้ว่าจะเสริมสร้างพื้นฐานงานระบบไอทีของโรงพยาบาลให้เกิดความน่าเชื่อถือและปลอดภัยที่สุด
เราจะดูแลงานพื้นฐานได้อย่างไร เมื่อเราไม่ทราบว่ามีอะไรต้องดูแล ดังนั้น SAM จึงถือว่าสามารถเข้ามาตอบโจทย์ความต้องการของโรงพยาบาลที่ต้องการทราบข้อมูลทั้งหมดของสินทรัพย์ซอฟท์แวร์ที่มีอยู่
และตรวจสอบเพื่อความถูกต้องและสร้างความมั่นใจได้ว่าจะไม่มีซอฟต์แวร์ที่จะเปิดโอกาสให้เกิดความเสี่ยงทางด้านไซเบอร์ได้
นั่นหมายถึงคนไข้ที่เข้ามาใช้บริการสามารถมั่นใจได้ว่าข้อมูลทางการแพทย์ส่วนบุคคลจะถูกเก็บรักษาเป็นอย่างดี”
“อย่างไรก็ตาม การก้าวเข้าสู่โลกของโมบายและคลาวด์
นับเป็นสิ่งที่ท้าทายสำหรับกลุ่มอุตสาหกรรมการแพทย์
ดังจะเห็นได้จากกรณีศึกษาหลายกรณีที่เกิดขึ้นกับองค์กรชั้นนำระดับโลกรวมถึงในประเทศไทย
ไม่ว่าจะเป็นการโจรกรรมข้อมูล การเรียกค่าไถ่
ซึ่งได้ทวีความซับซ้อนเพิ่มมากขึ้นและมีการจู่โจมที่รวดเร็วขึ้น
จากรายงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย
(ไทยเซิร์ต) ระบุประเทศไทยติดอันดับ 3 ของโลก ในแง่ภัยคุกคามทางไซเบอร์ ไมโครซอฟท์
ในฐานะองค์กรด้านไอทีชั้นนำของโลก เราได้มีการลงทุนมหาศาล
มากกว่าพันล้านเหรียญสหรัฐในทุกปี เพื่อการค้นคว้าและพัฒนาด้านความปลอดภัยในทุกๆ
ผลิตภัณฑ์และบริการของเรา เพื่อที่จะให้ลูกค้าของเรามั่นใจในการเข้าสู่ยุคโมบายและคลาวด์”
นายอัฐ ทองแตง ประธานเจ้าหน้าที่บริหาร
เครือโรงพยาบาลพญาไท-เปาโล กล่าวว่า “เครือโรงพยาบาลพญาไท-เปาโล มีความทุ่มเท
เพื่อยกระดับมาตรฐานคุณภาพในทุกมิติ
และมีความโดดเด่นในการผสมผสานความรู้ด้านการบริการทางการแพทย์ที่มีมาตรฐานระดับสากล
เข้ากับการให้บริการลูกค้าอย่างเอาใจใส่
และเพื่อตอกย้ำการให้บริการที่มีมาตรฐานนี้ เราจึงเลือกไมโครซอฟท์
บริษัทไอทีชั้นนำที่ได้รับความไว้วางใจจากทั่วโลก
เข้ามาบริหารจัดการสินทรัพย์ซอฟต์แวร์
ซึ่งเป็นส่วนสำคัญในการเข้ามาช่วยดูแลโครงสร้างพื้นฐานด้านเทคโนโลยีทั้งหมดของเครือโรงพยาบาลพญาไท-เปาโล
ทำให้เรามั่นใจได้ว่าเทคโนโลยีที่เราใช้งานอยู่นั้นถูกต้องตามลิขสิทธิ์
ซึ่งเราถือว่าเป็นส่วนสำคัญในการช่วยป้องกันความเสี่ยงจากภัยคุกคามทางไซเบอร์ให้โรงพยาบาล
และเพิ่มมาตรฐานความปลอดภัยของข้อมูลคนไข้ ทั้งยังช่วยควบคุมค่าใช้จ่ายในการทำงานได้อย่างมีประสิทธิภาพ
ซึ่งเป็นบริการที่ไมโครซอฟท์ดูแลให้โดยไม่มีค่าใช้จ่ายใดๆ
การบริหารจัดการสินทรัพย์ซอฟต์แวร์นี้
ยังเป็นการตอบรับนโยบายของกลุ่มโรงพยาบาลในเครือกรุงเทพดุสิตเวชการในการไม่ล่วงละเมิดทรัพย์สินทางปัญญาและลิขสิทธิ์
รวมถึงตอบรับนโยบายของรัฐบาลในการดำเนินงานอย่างโปร่งใสอีกด้วย
และเมื่อโครงสร้างพื้นฐานด้านเทคโนโลยีนั้นมีความมั่นคงแล้ว
เรามั่นใจว่าจะเพิ่มศักยภาพการเติบโตของโรงพยาบาล
ด้วยการช่วยทำให้โรงพยาบาลสามารถประเมินการวางแผนการลงทุนด้านไอทีในอนาคตได้อย่างมีประสิทธิภาพและประสิทธิผล
คุ้มค่าที่สุด และเรามั่นใจว่า SAM ช่วยให้พื้นฐานด้านไอทีของเครือโรงพยาบาลพญาไท-เปาโล
พร้อมก้าวสู่การทำงานบนคลาวด์เต็มรูปแบบได้อย่างมั่นใจในอนาคต
และจะทำให้เราดำรงอยู่บนหลักธรรมาภิบาลได้อย่างมั่นคง”
อาจารย์ปริญญา หอมเอนก
ประธานและผู้ก่อตั้ง บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ กล่าวว่า “การขับเคลื่อนธุรกิจในองค์กรปัจจุบัน
ต้องใช้เทคโนโลยีเข้ามาเป็นส่วนสำคัญ
แต่เมื่อมีการนำเทคโนโลยีมาใช้อย่างไม่ระมัดระวังและไม่มีการควบคุมการใช้งานก็จะนำไปสู่ภัยคุกคามทางไซเบอร์ได้
มีผลสำรวจพบว่าเครื่องคอมพิวเตอร์ที่ติดตั้งซอฟต์แวร์ที่ไม่ถูกลิขสิทธิ์
จะมีความเป็นไปได้อย่างมากที่จะถูกภัยคุกคามจากมัลแวร์ ดังนั้น เพื่อปกป้องสินทรัพย์ซอฟต์แวร์ขององค์กร
การสร้างความรู้ความเข้าใจเกี่ยวกับการป้องกันภัยคุกคามทางไซเบอร์จึงเป็นสิ่งที่สำคัญมากสำหรับองค์กรในประเทศไทย
เพื่อพร้อมตั้งรับกับสิ่งที่จะเกิดขึ้นประจำวันในองค์กร
ที่จะส่งผลถึงความสำเร็จและการเติบโตขององค์กรอย่างมีเสถียรภาพด้วยเช่นกัน
สำหรับกลุ่มอุตสาหกรรมการแพทย์ที่เครื่องมือเครื่องใช้เริ่มเปลี่ยนลักษณะการประมวลผลเป็นข้อมูลมากขึ้น
ยกตัวอย่างแค่เครื่องเอ็กซเรย์ที่เปลี่ยนจากการเก็บในรูปแบบฟิล์มเป็นการเก็บด้วยข้อมูล
เราจะเชื่อได้อย่างไรว่าข้อมูลนั้นจะถูกต้องที่สุดไม่ว่าจะเก็บไว้นานแค่ไหนก็ตาม
เราต้องมั่นใจได้ว่าคณะแพทย์สามารถดึงข้อมูลของคนไข้ได้อย่างสะดวก รวดเร็ว
และแม่นยำ เพื่อประเมินและวางแผนการรักษา
ดังนั้นการเลือกใช้การบริหารจัดการสินทรัพย์ซอฟต์แวร์ที่ไว้วางใจได้
จึงเป็นเรื่องที่สำคัญอย่างมาก
ซึ่งควรจะเป็นบริการที่มีมาตรฐานและถูกต้องตามกฎระเบียบ
พร้อมทั้งสามารถช่วยองค์กรตรวจสอบการทำงานของเทคโนโลยีที่เชื่อมต่อกันทั้งหมดของโรงพยาบาลได้
เพื่อองค์กรจะสามารถบริหารจัดการระบบได้อย่างปลอดภัย”
โดยไมโครซอฟท์
ได้นำเสนอบริการในการบริหารจัดการสินทรัพย์ซอฟต์แวร์หรือ Software Asset Management
(SAM) ที่จะช่วยบริหารจัดการการใช้งานสินทรัพย์ซอฟต์แวร์ในองค์กรได้อย่างเหมาะสม
โดยคุณสมบัติของ SAM ประกอบด้วย
การป้องกันและความปลอดภัย – ช่วยตรวจสอบโครงสร้างพื้นฐานด้านไอทีขององค์กร
ว่าทุกอย่างที่องค์กรใช้อยู่นั้นมีความปลอดภัย
ควบคุมได้ – สามารถควบคุมโครงสร้างพื้นฐานด้านไอที
ซึ่งจะช่วยลดปัญหาทางด้านเทคโนโลยีและทำให้ระบบมีความมั่นคง
ใช้งานซอฟต์แวร์ได้อย่างมีประสิทธิภาพ – จัดสรรการใช้งานซอฟต์แวร์ได้อย่างเหมาะสม
ซึ่งจะช่วยประหยัดค่าใช้จ่ายขององค์กรได้เป็นอย่างดี
สร้างการเติบโตให้กับองค์กร – ช่วยให้องค์กรสามารถประเมินการวางแผนการลงทุนในอนาคตได้ดียิ่งขึ้น
ข้อมูลเพิ่มเติมได้ที่ https://www.microsoft.com/sam/
[1] ที่มา: ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย
(ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์กรมหาชน)
[2] ที่มาข้อมูลจาก IDC http://play-it-safe.net/
ข้อมูลเกี่ยวกับไมโครซอฟท์
บริษัท ไมโครซอฟท์ (NASDAQ “MSFT”) ซึ่งก่อตั้งขึ้นเมื่อปี 2518 เป็นผู้นำระดับโลกด้านบริการ ซอฟต์แวร์ ดีไวซ์
และโซลูชั่นที่ช่วยเสริมสร้างศักยภาพของผู้ใช้และองค์กรธุรกิจ
ที่มา
:
1.
http://jutamat124.blogspot.com/2015/04/cobit.html
2.
https://web.pea.co.th/sites/c1/announce/Documents/COBIT.docx
3.
http://sahyelp.blogspot.com/2010/02/it-governance.html
4.
http://www.whoknown.com/2014/06/blog-post_5502.html
5.
http://play-it-safe.net/
6.
https://www.microsoft.com/sam/
ไม่มีความคิดเห็น:
แสดงความคิดเห็น