“COBIT 5: IT is complicated. IT governance does not have to be" จาก IA clinic from IIAT

เล็กๆ น้อยๆ จากเสวนาคลีนิกไอเอ ครั้งที่ 4/2555

“COBIT 5: IT is complicated. IT governance does not have to be”

ISACA สตท. และตลาดหลักทรัพย์มีจัด Event ดีดีให้กับสมาชิกและ Internal Audit และชาวไอทีเมื่อ วันอาทิตย์ที่ 27 พฤษภาคม 2555 เวลา ในช่วงแรกของการเสวนา คุณวรางคณา มุสิกะสังข์ ได้เล่าถึง COBIT และหลักเกณฑ์ของ COBIT5 ไว้ซึ่งอยากแชร์สำหรับเพื่อนๆ ที่ไม่ได้เข้าร่วมกิจกรรมของเรา 

ความสำคัญของไอทีในปัจจุบัน

สารสนเทศเป็นสิ่งสำคัญขององค์กร เพราะสารสนเทศขององค์กรมีทั้งความลับและไม่ความลับ ดังนั้นสารสนเทศเหล่านี้จึงต้องมีการจัดการดูแล และสร้างความเชื่อมั่นในการนำไปใช้ว่าจะจัดการไอทีขององค์กรได้อย่างไรให้มีประสิทธิภาพ  ปัจจุบันไอทีถูกนำมาใช้อย่างแพร่หลายหลายองค์กรมีค่าใช้จ่ายเกิดขึ้นจำนวนมหาศาลที่เกิดจากการนำไอทีมาใช้  และมีแนวโน้มเพิ่มขึ้นเรื่อยๆ แต่สวนทางกับสภาพเศรษฐกิจที่องค์กรพยายามจะลดค่าใช้จ่ายเพื่อให้ธุรกิจอยู่รอดได้   ดังนั้นการลงทุนตาม trend ของการใช้ IT จะต้องคำนึงถึงผลประโยชน์ที่จะได้รับว่าคุ้มค่าต่อการลงทุนมากน้อยแค่ไหน หรือ value ที่ผู้มีส่วนได้เสียหรือ Stakeholder ได้รับไอทีสร้างคุณค่าได้อย่างไร  

หลายองค์กรให้ความสำคัญต่อการลงทุนมีประสิทธิภาพและสร้างคุณค่าให้กับผู้มีส่วนได้เสียทั้งภายในและภายนอก  หรือ stakeholders เช่น การสร้างระบบไอทีโดยตอบสนองความต้องการของธุรกิจแบบ 24x7 (support 24 ชม. 7 วันทำการ) เพราะผู้ใช้งานต้องการข้อมูลในการทำงานที่รวดเร็วและมีประสิทธิภาพแต่พบว่าพนักงาน IT Audit ขององค์กรต้องควบคุมกระบวนการทำงานที่เกิดขึ้นให้ได้มากที่สุด เพื่อไม่ให้เกิดความเสียหายต่อองค์กร ตัวอย่างที่กล่าวถึงคือมุมมองของ Stakeholders ทั้งหลายที่ระบบไอทีจะต้องตอบสนองความต้องการอย่างเหมาะสม แต่เป็นเรื่องยากที่จะทำให้การนำไอทีมาใช้ตอบสนองทุกฝ่ายอย่างสมดุล ดังนั้นสิ่งสำคัญของการบริหารจัดการไอทีและสร้างคุณค่าให้กับ Stakeholder ทุกฝ่ายจึงเป็นเรื่องสำคัญอย่างยิ่งต่อการบริหารจัดการองค์กรธุรกิจในปัจจุบัน

ที่ผ่านมามีกรอบวิธีปฏิบัติและแนวทางปฏิบัติที่ได้รับการยอมรับมาปรับใช้สำหรับการบริหารจัดการไอทีเพื่อกับดูแลกิจการ หรือทำให้บุคลากรในองค์กรปฏิบัติตามกฎระเบียบข้อบังคับของมาตรฐานการปฏิบัติงานด้านไอที เช่น ITIL ISO 20000 COBIT เป็นต้น กรอบที่ได้รับการยอมรับและมีการพัฒนาอย่างต่อเนื่องของ ISACA คือกรอบวิธีปฏิบัติโคบิต ซึ่งวิวัฒนาการมาตั้งแต่เวอร์ชั่น1- 2-3- 4 และปัจจุบันอยู่ในเวอร์ชั่น 5 ซึ่งเป็นคำตอบที่ได้รับความสนใจอย่างยิ่งในปัจจุบัน เพราะถือได้ว่ารวมกรอบในการปฏิบัติที่ครอบคลุมมุมมองของคนทำงานไอทีและคนทำงานตรวจสอบให้สามารถทำงานร่วมกันได้อย่างเหมาะสมและช่วยให้ปฏิบัติตามได้จริง

ประวัติความเป็นมาของโคบิต

-      ปี. 1996                COBIT 1 ยังไม่ได้เข้ามาในประเทศไทย ซึ่งต้นกำเนิดเกิดจาก Big4 รวมตัวกันคิดเครื่องมือ

                              ตรวจสอบเพื่อนำไปใช้สำหรับผู้ตรวจสอบภายใน เพื่อตรวจสอบระบบไอทีขององค์กร

-      ปี 1998                 COBIT 2 เริ่มเข้ามาในประเทศไทย เหมาะสำหรับหรับคนไอทีเพื่อใช้ปฏิบัติให้สอดคล้องกับสิ่ง

ที่ auditor ต้องการ

-      ปี 20000              COBIT 3 วิวัฒนาเพิ่มเติมเพื่อฝ่ายจัดการเพื่อให้มี framework ในการทำงานจัดการด้านไอทีได้มากขึ้นเพราะจะเพิ่มการวัดและประเมินผล maturity model และแนวคิดการทำ Benchmarking เพื่อวิเคราะห์ตัวเราเองก่อนว่าอยู่ตรงไหนของธุรกิจ แต่คนไอทีกับ CIO ก็ยังเข้าใจไม่ตรงกัน  จึงเกิด Gap ในการเชื่อมโยงเป้าหมายเข้าไว้ด้วยกัน

-      ปี 2005, 20007     COBTI 4/4.1 ได้แล้วรวม IT Governance เข้าไปเพื่อทำให้เข้าใจว่าระดับบริหารต้องการอะไรและจะจัดการไอทีได้อย่างไร จะทำอย่างไรให้ Align กันและยังมีคู่มือ VALV เกิดขึ้นซึ่งเป็นเครื่องมือช่วยในการวางแผนการลงทุนว่าการลงทุน IT จะสร้างคุณค่าคืนกลับมาให้ธุรกิจได้อย่างไร เพื่อให้เกิดประโยชน์สูงสุด และครอบคลุมถึงการบริหารความเสี่ยงทางด้านไอที ว่าความเสี่ยงทางด้านไอทีประกอบด้วยอะไรบ้างเพิ่มเติมไปใน Risk Profile ขององค์กรมากยิ่งขึ้น

-      ปี 2012                   COBIT 5 : ISACA เห็นว่าปัจจุบันการ implement COBIT ที่ก่อกำเนิดมา 15 ปีแล้วทำได้ยาก
จึงร่วมกันศึกษาและคิดค้นแนวทางการ Implement COBIT ที่จับต้องได้ เพื่อให้ทำอย่างไรคนจะ Implement COBIT ได้อย่างแท้จริง จึงเกิดเป็น COBIT 5 Family 3 เล่มขึ้นได้แก่

o   Framework principle

o   Process enablers

o   Implementation

ทั้ง 3 เล่มทุกท่านจะสามารถดาวน์โหลดได้โดยการเป็น member ของ ISACA โดยเมื่อดาวน์โหลดจะมีการ stamp ชื่อของ member ท่านนั้นในทุกหน้าทำให้เกิดความภูมิใจอย่างมากแต่อีกนัยของ ISACA เป็นแนวทางป้องกันไม่ให้เกิดการ distribute documentation ฉบับนี้ออกไปให้กับผู้อื่นเช่นเดียวกัน โดยทั้ง 3 เล่มมีความแตกต่างในการใช้งานและจะออกเล่มถัดๆ ไปได้แก่ เพื่อให้นำไปใช้เป็นแนวทางสำหรับการใช้งาน โดย ISACA Bangkok จะมีการ update ให้ทราบเรื่อยๆ 

หลักเกณฑ์ของ COBIT5

ลงรายละเอียดของ COBIT5 ว่าเขามีหลักเกณฑ์อย่างไรบ้างในการสร้างคุณค่าให้กับผู้มีส่วนได้เสียขององค์กร ซึ่งในที่นี่คำว่าผู้มีส่วนได้เสีย 5 ประการได้แก่

1)    Meeting Stakeholder : จัดความต้องการของ Stakeholder มากำหนดเป็นเป้าหมายในการทำงานเพื่อสร้างคุณค่าให้กับธุรกิจ โดยมองว่าจะทำอย่างไรจะตอบสนองความต้องการของผู้มีส่วนได้เสีย ไม่ว่าผู้มีส่วนได้เสียจะมีมากแค่ไหนก็ตาม  โดยอย่างต้องธุรกิจต้องได้ Benefit  มีการทำ Risk Optimization จัดการ Resource optimization  เช่น Business อยากจะ run องค์กรหรือ application benefit ให้ได้กำไร 4 ล้าน IT Goal คือ ทำอย่างไร ก็การ provide web application หรืออะไรก็ตามเพื่อให้ได้ easy to access เพื่อให้ทำรายได้สูงขึ้น  แต่เราก็ต้องมีการจัดการความเสี่ยงจากการทำธุรกรรม โดย IT จะบริหารจัดการมันได้อย่างไร  ดังนั้น security จะจัดการอย่างไรกับความเสี่ยงเหล่านี้  และ resource ที่เกี่ยวข้องคืออะไรบ้าง  ต่างๆ เหล่านี้จะ drive ไปยังกระบวนการที่เกี่ยวข้องเพื่อสร้าง value ให้กับองค์กร โดยกำหนดว่าสิ่งต่างๆ เหล่านี้จะต้องปรับปรุงแก้ไขอย่างไรบ้าง  นั่นคือเรามี framework ที่สัมพันธ์กันตั้งแต่ “การกำหนด Business value > IT goal หรือ Enterprise Goal) >มี IT Related อะไรบ้าง และขับเคลื่อนให้ Goal สำเร็จคือ enable goal”

1)       End to End process ไปกำหนดตั้งแต่ board director > CIO เอาไปปฏิบัติ จะทำอย่างไรจะ Drive เป็น Direction ของตนเอง  drive ลงไปข้างล่างพยายามทำให้เกิดเป็นกระบวนการตั้งแต่ต้นจนจบ >กระบวนการจัดซื้อ >การ implement ระบบ > การกำหนดเรื่อง Security และ policy procedure, monitoring ต่างๆ  มองทุกอย่างให้เป็น end to end process  โดยสรุปว่าจะทำให้ร CIO สามารถ drive เป็น direction ออกมา และมีเครื่องมือที่จะทำให้คนงานทำอย่างได้ ไม่ใช่เฉพาะ IT function เท่านั้นแต่ทุกหน่วยงานต้องเกี่ยวข้อง benefit risk resource ถูก drive มาเกี่ยวข้องทั้งหมด

2)       Single implemented framework เพื่อออก Framework เดียวให้คนทำงานมี framework เดียวใช้งานมองให้ครอบคลุมทุกเรื่อง อันได้แก่ COSO ERM , ISO 31000 PMBOK CMMI เป็นต้น นำกระบวนการที่ดีเหล่านี้ใส่เพิ่มไปใน Process  ของ COBIT ให้หมด ทั้งนี้ภายใน document ก็จะ reference ไปยังเนื้อหาเชิงลึกตาม practice หรือ framework ที่เกี่ยวข้องอีกด้วย ซึ่งจะปรากฎในเล่ม Family book ของ Process enable โดยมองทุก standard , ทุก framework ให้ถือว่า COBIT 5 ที่เรา follow เป็นการดำเนินการตามกรอบมาตรฐานทุกอย่างไรที่มองครอบคลุมไว้เผื่อแล้วแต่ถ้าลึกๆ ก้จะ drill down ลงไป

3)       กระบวนมองเป็นภาพรวม ดูกระบวนการที่เกี่ยวข้องทั้งหมด 37 process มีการทำที่ชัดเจนมากขึ้นตั้งแต่ organization charge, resource , skill ต่างๆ จะพูดใน cobit5

4)       มีการแบ่งแยกระหว่างกระบวนการของ Governance และ Management ออกมาอย่างชัดเจนว่าทั้งสองส่วนมีความแตกต่างกัน และเราจะต้องดูทั้งสองเรื่องอย่างไรบ้าง  ซึ่งมีความแตกต่างกัน

Governance คือเรื่องของ board of director, Steering Committee ที่จะต้องกำกับดูแลพร้อมมีแนวทางว่าจะประเมินอย่างไร โดยกำหนด Direction ออกมาให้ชัดเจนว่าองค์กรจะต้องให้บริการหรือขายสินค้าอย่างไร  และจะต้องมีการ monitor ผลการปฏิบัติด้วยหลักของ EDM ย่อมาจากคำว่า Evaluate direction monitor  ซึ่งจะอยู่ด้านบนสุดของ COBIT ที่เป็นกลยุทธ์ที่วางไว้ตาม EDM 1-5 

IT Management เป็นภาพที่อยู่ด้านล่างที่เริ่มตั้งแต่ระดับ CEO ลงไป โดยเกี่ยวข้องกับการ Plan- Built- Run and monitor เรียกรวมกันว่า PEDRM มีรายละเอียดดังต่อไปนี้

o   Plan  เริ่มตั้งแต่การวางแผนการจัดการอย่างไร ประกอบด้วยอะไรบ้าง เช่นวางแผน Infrastructure การเลือกใช้ service จากบุคลากรภายในหรือภายนอก  

o   Built คือเรื่องของการสร้าง Hardware, software กระบวนการในการพัฒนา

o   RUN คือเรื่อง operation ,batch processing , service level agreement โดยดูว่าเรา outsource หรือใช้คนในองค์กร โดยพิจารณา contract หรือ Third party

o   Monitor โดยดูว่าเราจะต้อง Compile กับ Regulator โดยเราจะถูกควบคุมด้วย external audit หรือ internal Audit อย่างไร

                หลักการเหล่านี้จึงถูกแบ่งแยกไว้ใน COBIT 5 ที่บอกชัดเจนว่าทั้ง Governance และ Management แตกต่างกันอย่างไร 

ท้ายสุดนี้คุณวรางคณา ได้ฝากไว้ว่า การ Implement COBIT ใช้ได้ทุกองค์กรไม่ว่าจะ Size ขนาดเล็กหรือใหญ่องค์กรที่หากำไรหรือไม่หวังผลกำไรก็ตาม สามารถนำไปปรับใช้ได้ ซึ่งบทบาทหน้าที่ในมุมมองของ Governance และ Management ว่าตำแหน่งนี้อยู่ในระดับใดต้องมีการปรับเข้ากับ Size ขององค์กร เพราะบางองค์กรสามารถปรับให้ CEO อยู่ในส่วนของ Governance ก็อาจจะเป็นได้ ขึ้นอยู่กับขนาดขององค์กร นั้นๆ

\\ถ้ามีโอกาสได้ไปอีกจะสรุปมาให้ฟังอีกนะคะ//