Framework คือ กรอบวิธีปฏิบตัิ, Model คือแบบจาํลอง, Reference Standard คือมาตรฐานขอ้อา้งอิง ในบทนี้มาดูว่าในโลกนี้มี framework อะไรบา้ง คาํแนะนาํ และอา้งอิงต่างๆ สาํหรับการเลือกใช้สมมติวา่เราจะทาํ IT Governance ให้กับองค์กร (ในมุมของผูบ้ริหาร) ในมุมของ Auditor ถา้ตอ้งไปตรวจสอบการทาํงาน IT ขององค์กร ตอ้งอาศยัคู่มือเช่นเดียวกนั เลือกใช้framework ให้เหมาะสมกบัธุรกิจ เริ่มตน้ต้งัแต่ปี 70 จาก Auditor แต่เป็นภาพรวมขององค์กร มองท้งัองค์กร เริ่ม framework IT ในปี 90
Model ,Standard,Framework ถา้เราเลือกมาตวัใดตวัหน่ึง จะไม ่ครบ วงจร (มองในมุมของ IT) ไม่มี (How To) รายละเอียดที่จะทาํ เก ี่ยวกับดา้น Process เช่นเกี่ยวกับด้าน กระบวนการจัดซื ้อ IT ก ็จะกล ่าว คร ่าวๆว่า จะซื ้ออย่างไร หน ่วยงาน ไหน ก ็ไม ่ได้กล ่าวไว้ ลักษณะ Template คือนาํไปทาํต่อไดเ้ลย เป็น โครงร ่าง Checklist เช ่น ..ทํา
งบประมาณหรือยงั??..นอกจากนั ้น Tool จาํพวก โปรแกรม หรือแบบคาํนวณ และ Too Flexible/too rigid หลวมเกินไป ยดืหยุ ่ นมากเก ินไป กวา้งเกินไป
ในเรื่องของ Framework เนื้อหาแบบ กวา้งๆ หรือรวมๆ จะมีดงันี ้ - philosophy ปรัชญาของการทาํงาน Key issue ประเด็นที่สนใจในขณะนั้น เชน ขณะนี้กําลังสนในในเรื่องกําไร ขาดทุน ความอยู รอด - Legal กฎหมายที่ออกใหม - Maturity ความเปน professional ในการทํางาน IT - Culture วัฒนธรรมขององคกร (ไมยอมรับสิ่งใหมๆ แกไมได)
Content ที่สําคัญเกี่ยวกับ framework / model จะเปนเรื่องเกี่ยวกับ business plan ,จะตองมี IT Plan ที่มีความสําคัญเกี่ยวเนื่องกับ business plan ,Investment port folio การลงทุนดาน IT ,การนํา IT Plan ไปปฏิบัติ เมื่อเขียนแผนไดแลว จะทําอยางไรถึงจะ นําไปปฏิบัติ ,ความเสี่ยงในการนําไปปฏิบัติ เชน project นี้ทําไปแลวจะสําเร็จหรือไม ความเสี่ยงดาน IT เชน ลงทุนซื้อ S/W ,H/W แลว Project จะสามารถดําเนินการสําเร็จหรอืไม ถามีการบริหาร ความเสี่ยง ก็จะรูวา Project จะไปรอดหรือไม ,ภัย คือ ศัตรู อุปสรรค ,ตัวควบคุม ตัววัด วาทํางานไดชา เร็วแคไหน ความกาวหนาของโครงการ ทําไดมีประสิทธิภาพหรือไม,Vendor&Outsourcing เนื่องจากบางคนอาจไมไดพัฒนาดวยตนเอง ใชวิธีการซื้อหรือจางพัฒนา, แนวคิดการบริหารคน IT และการปรับปรุงการทํางานตางๆใหดีขึ้น
กลุมของ International Standard & Framework : Focus Area แบงเปนกลุมๆ ไดดังนี้ - ธรรมาภิบาลทั่วไปดาน IT - Project Manangement การบริหารโครงการ ถาบริหารไดดี งานทุกอยางจะดีดวย ตองดูวา ทํางานโปรเจคเยอะหรือไม หรือมีงานนอกแผนงานเยอะหรือไม - System Software เนนดานการพัฒนาโปรแกรม
- Quality เนนคุณภาพ เชน ISO ทั้งหลาย วัดคุณภาพอยางเดียว Security เนนดานการปลอดภัย ขอมูล ฐานขอมูล ระบบ Network - IT Operation & Infrastructure ไมใช Operation ทํางานไดโดยไมติดขัด สําหรับ Users ,Programmer H/W Development S/W Network….เปนสวนรวมไมมี เจาของ
เนนการบริหารคน ถาบริหารคน IT งานทุกอยางก็จะดีดวย ถาขายของประเภทจับตองไมได งาน บริการตางๆ ก็จะใชคนเยอะ - เนนดานประสิทธิภาพการทํางาน วัดตัวเลข วัดเปอรเซ็นต มองในแง ถา Performance ดี ก็จะดี ดวย - เรื่องของกฎหมาย คนที่เขียน standard กลุมนี้ก็จะมาจากดานกฎหมาย ราง IT Governance ในเรื่องของกฎหมาย - Outsourcing/Vendor Management เนนคนที่ทําธุรกิจ Outsource เยอะ กลุมนี้จะมี ธรรมภิบาลผูที่วาจางและ Outsource ดวย - Customer มีแนวคิดวา ทําอะไรก็ไดใหลูกคามีความพึงพอใจ
COBIT สืบเนื่องมาจาก ITGI เปนองคกรทํางานดาน IT Governance ไดราง Model COBIT ขึ้นมา จาก ม.Holland ทํามาตั้งแตป 1998 ปจจุบันเปน V.4.1 (2007) งาน ทั้งหมดใน IT มีอยูทั้งหมด 34 กระบวนการ ทั้ง 34 จะแบงเปน 4 Domain เชื่อมโยงกัน เหมาะกับ ใชควบคุม IT ทั้งหมด เปนระดับที่มองระดับสูงลงมา ภาพมองของ IT Streeing Committee เหมาะแกการทํา Audit ดวย เหมาะแกเปนเครื่องมือในการ Audit หรือตรวจสอบ และจะมี ISACA ควบคุมการสอบ Certified มีสองแบบคือ CISA/CISM
Model นี้ชื่อวา COSO เหมือนกับการควบคุมภายใน Internal Model Framework ออกมาในป 1994 ผูกอตั้งคือสมาคมผูสอบบัญชีและอนุญาติ AICPA และ AAA (สมาคมการบัญชี อเมริกัน) เพื่อเปนแนวทางในการปฏิบัติ หรือตรวจสอบ ยึดความถูกตอง ยึดการตรวจสอบดานการเงิน เปนหลัก โดยมีแนวคิดวาถาการเงินถูกตอง ก็จะมีธรรมาภิบาล
Project Management ความคิดดานการควบคุม Project ถาควบคุมโปรเจคไดดี งานก็ จะออกมาไดดีดวย ผูที่รางคือกรมบัญชีกลางสหรัฐ การใชงานคือนําไปประเมินคา การลงทุนดาน IT คุมคาหรือไม ไดทุนคืนมาหรือไม ประเมินคาและคัดเลือก และจัดลําดับความสําคัญ
เกี่ยวของกับการบริหารโครงการอยู 5 process และมีเรื่องเกี่ยวกับ Knowledge อยู 9 ขอ และ tool ที่ใชในการบริหาร หรือมีแบบสอบถามตัวเองเพื่อประเมินตัวเอง มี Certified คือ PMP
PMMM มีความเกี่ยวของกับ PMBOM และ CMMI
PRINCE2 ผูที่รางคือ CCTA (เนคเทคประเทศอังกฤษ) PRINCE2 เปนมาตรฐานที่ รัฐบาลอังกฤษใชบริหารโปรเจค และงาน IT ดวย ถาจางบริษัทเอกชนทํางานก็จะใชมาตรฐานนี้เปนตัว วัดดวย ขอดี คือ บริหารโปรเจคเล็กหรือใหญ เนนเฉพาะรายละเอียดตางๆ จะจัดโปรเจคใหอยูใน รูปแบบ Standard เพื่อที่จะบริหารไดงาย มีกระบวนการที่จะสามารถสราง project management team ขึ้นมาได มี process ที่จะเขียนมาใหวาจะบริหารอยางไร
CMMI เปน Model ที่ดังที่สุดในดาน System/Software Development เปน Model ที่มีการวัดความเปน Profesional วัดความเปนมาตรฐานของการพัฒนาระบบ แบงเปน 5
ระดับ ซึ่งจะเกี่ยวของกับการพัฒนา Application/การจัดซื้อ จัดหา Certification จะเปนระดับของ องคกร เปาหมายคือ Certification Level 5 หลายบริษัทตองการ Certificate ตัวนี้เพื่อที่จะได ขาย software ได หรือบริษัทที่ไมไดขาย software อยางเชนการไฟฟา ตองการ Certification ตัวนี้เพื่อความมั่นใจของลูกคา คนที่คิดคนขึ้นมาคือ CMU(Carnegie Melon University) โดย นักวิชาการทั้งหลาย และตั้งเปนสถาบันภายใตมหาวิทยาลัยนี้ ชื่อ SEI (Software Engineering Institute)
เปน Certified ระดับองคกรเกี่ยวกับดานคุณภาพ คนเขาใจวา software ของบริษัทมี คุณภาพ
แงมุมเกี่ยวกับดานคุณภาพ อาจจะประกอบไปดวย ลูกคา ความเปนผูนํา บุคลากร ปรับปรุง กระบวนการตางๆ...Supplier Management
ความเบี่ยงเบนแบบมาตรฐาน Six Sigma คือ Sigma ที่หกที่เบี่ยงเบนออกไป เปนจํานวน ที่นอยมาก เปรียบเทียบกับ 3.4 Defect ในลาน ความหมายคือ ถาทํารถยนตออกมา 1 ลานคัน จะมี
3.4 คันที่เสีย งานที่ทํา Process ตางๆ ถาทํา 1 ลาน Report จะมีที่เสียไป 3.4 report พยายามทํา ใหมี Defect นอย ก็จะมีประสิทธิภาพ Lean Manufacturing ลดทรัพยากรที่ไมจําเปนในการผลิต ใชทรัพยากรใหดีที่สุด มี ประสิทธิภาพสูงสุด ใชเวลานอย สถานที่นอย ทรัพยากรนอย Baldridge National Quality Award เปนรางวัลดานคุณภาพของสหรัฐ แนวคิด Six Sigma มาจากประเทศญี่ปุน ซึ่งจะเนนเรื่องคุณภาพ บริษัท Motorola และ GE ไดนําไปพัฒนาตอเพื่อใหเปนมาตรฐาน
ISO 17799 เริ่มมาจาก BS7799 ทําจนมีมาตรฐาน มองการควบคุมคุณภาพในมุมของ นโยบาย การบริหาร 17799 เปนเรื่องของ IT Security โดยตรง เชน ธนาคาร ทําในสวน Internet Bank ที่ตองการ Security สูง และ BS7799 พัฒนามาเปน ISO17799 การขอ Certification นี้ จะเปนระดับองคกร ISO27001 เปน Implementation Guideline ของ ISO17799 โดย ISO17799 อาจจะเขียนเปนแนวนโยบาย IT Security Policy ขององคกร ตองประกอบดวยอะไร นโยบายดานความปลอดภัยขององคกรตองเปนอยางไร ทรัพยสินขององคกร ดาน IT ประกอบดวยอะไรบาง ศูนยคอมพิวเตอรมีอะไรบาง แผนปองกันภัยภิบัติของศูนยคอมพิวเตอร ขององคกร จึงจําเปนตองมี ISO27001 ขึ้นมาเพื่อแนะแนวปฏิบัติ เพื่อใหทํางานงายขึ้น จึงมีคน นําไปใชมาก เพราะชัดเจน ในดาน Security จะตองมีแผนที่ดี
สําหรับ ISO27001 และ ISO17799 นี้ หลักสําคัญคือ PDCA (Plan-Do-CheckAck) ในดานความปลอดภัยของขอมูลจะตองมีแผนที่ดี หลังจากนั้นนําแผนไปปฏิบัติหรือ Implement บังคับใช นําไปใชควบคุมจริงๆ คอยดูแลวากฎระเบียบตรงไหนขาดตกบกพรอง เฝาดูวา การปฏิบัติ การควบคุมดาน IT Security ดีแคไหน ปลอดภัยหรือไม สามารถวัดได มีการตรวจสอบ โดย Auditor และนํามาทบทวนแกไข ปรับปรุงแผนใหดีขึ้น ใน Standard นี้จะมีกลุมทั้งหมด 11
ศูนยคอมพิวเตอร ปฏิบัติการ ระบบ Network ศูนย Network Database ฯลฯ จะอยูใน สวน Infrastructure จะเปนในสวน ISO20000 ลาสุดเปน V.2 คนที่เขียนขึ้นมาคือ ITSMF เนนทางดาน Service Management คือถาเปนศูนยคอมฯ หนวยงาน IT ในองคกร หรืออะไรที่ ไมไดพัฒนา ไมไดเขียนโปรแกรมออกมาเปน Application เราเรียกวา Operation Infrastructure งาน Service พวกนี้ตองบริการให โปรแกรมเมอร Analyst หรือ Users ใหดี ที่สุด มีทั้งหมด 10 Process ตองดูวาไดทําครบทั้ง 10 กระบวนการหรือไม และแตละลําดับขั้นตอน ใน process ไดทําหรือไม ถาทําแลวดีหรือไม อีกมุมหนึ่งเปนบริษัทที่ทํา software ขาย (outsource) หรือ web hosting หรือ ใหเชา software และทําการ operate ให ก็จะเปนใน สวนนี้ เหมาะที่จะนําไปใชงาน
รายละเอียดบริการ มีกระบวนการอะไรบาง
1.Service Level Management SLM ถาเปนภายในองคกร หมายถึงผูใหบริการ IT กับ Users แตถาเปนภายนอกองคกร จะเปนบริษัทที่ใหบริการ กับ ลูกคา เมื่อมี SLA แลว จะตองมี SLM ซึ่งเกี่ยวของกับการบริหาร 2.Service Delivery เชน รายงานการสงมอบงาน การคิดเงิน คาจาง 3. Relationship Management ในเรื่องของ supplier 4.Resolution management หรือ problem การใหบริการใดๆในองคกร ศูนย คอมพิวเตอร บริการ Users ภายใน จะมีปญหาเกิดขึ้น ปญหาการใชงาน ปญหาการ operate ตองมี การบริหารปญหา ตองทําใหไดดี สามารถติดตามปญหาได มีการรายงานผลใหกับ users
5.Control&Release การบริหารการเปลี่ยนแปลง ในการสงมอบงานตางๆ งานบริการ ตางๆ จะมีการเปลี่ยนแปลง Version หรือ Release หรือเปลี่ยน Server ใหมยกชุด ขอหยุดบริการ ตองทําการบริหารไมใหเกิดผลกระทบ ตองมีการแจงให users ทราบ
Model นี้ชื่อ ITIL คนคิดคือ CCTA (เนคเทคของอเมริกา) และ APMG จะทําเกี่ยวกับ การอบรม ทํา Certification มี 10 กระบวนการ จะเปนพวกใหบริการดาน Operation Network และคนที่รางจะรางในดาน Governance มากขึ้น
Human Resource บุคลากร คือองคกรที่เนนบุคลากร ทําใหเปนธรรมาภิบาล เพราะมี ปญหาเรื่องบุคคลเปนหลัก P-CMM เนนการพัฒนาคน ขีดความสามารถของคนทางดานเทคนิค ดานการทํางาน และ ความกาวหนาของบุคคล
กลุมของ Performance Management การวัดประสิทธิภาพขององคกร จะมี BSC และ Critical Success Factor วัดผลสําเร็จดวยกลยุทธ เปนองคกรที่ดีหรือไม เปนธรรมาภิบาลหรือไม ซึ่ง BSC กลาวไวแลวในบทที่ 1 จะมีทั้งหมด 4 ดาน คือผลกําไร การเติบโตของผลกําไร ,ดานลูกคา ไดสิ่งของที่ดี มีความพึงพอใจ,Process ทั่วๆไป กิจกรรมหลักขององคกร ตองมีกระบวนการที่ดี,และ
บุคคลจะตองพัฒนาตัวเองดวยการศึกษาเพิ่มเติม การฝกอบรม การสับเปลี่ยนหนาที่การงาน สามารถ แปลงเปน IT BSC (IT Business Balance Scored Card) ดาน Finance ก็เปนตนทุน IT ตอ Users เงินลงทุน งบประมาณดาน IT เทียบกับรายไดขององคกรใหเหมาะสม ,Strategic IT คือ IT ที่เปนกลยุทธ ที่จะเพิ่มรายได กําไร ใหกับองคกร,Project Management ,Operation Process ,Application &Training ถาทําทั้ง 5 สวนนี้ไดดี ก็จะสอดคลองกับ Balance Scored Card
ในเรื่องของการทํา outsourcing ก็จะมี Model ที่เกี่ยวของคือ OPBOK และ eSCM โดย outsource จะตองทําอะไรบาง ซึ่งทําตาม Model นี้จะทําใหเกิดขอผิดพลาดนอย และจะ บริหาร Vendor อยางไร มี Certification ที่เรียกวา COP
ใน eSCM ก็จะแบงเปน SP และ CL เชน เปนธนาคารแหงหนึ่ง หรือเปนบุคคลที่ใช คอมพิวเตอร ถาอยากที่จะทํา Outsource ก็จะไปนํา CL มาใช หรือเปนบริษัท IBM และไปรับงาน outsource และรับเงินมา ก็จะเปนแบบ SP
Model ในสวนของ Customer แนวคิดเกี่ยวกับเรื่องลูกคา การกระทําเกี่ยวกับผลิตภัณฑ หรือบริการลูกคา จะออกมาในลักษณะ 3 แนวทางคือ ธรรมดาๆ ขายได อีกอยางคือ ออกมามีคุณภาพ มี ประสิทธิภาพ ราคาถูก ใชได และแบบที่สามจะเปนแบบดีเดนมาก คุณภาพดีเลิศ ลูกคาแยงกันซื้อ เปน แนวคิดของอาจารย Kano แหงมหาวิทยาลัยในญี่ปุน และเรียก Model นี้เรียกวา VOC ซึ่งถาบริษัท
ไหนเนนในเรื่องนี้ ก็จะกระทบหลายสวนเหมือนกัน กระทบกับการวางแผน การออกแบบผลิตภัณฑ และสําหรับวิธีการที่ทํา จะใชเปนลักษณะ Survey ไปที่ลูกคา หรือ Market Research ดูวาลูกคา ชอบผลิตภัณฑขององคกรเราแคไหน ถานํามาประยุกตใชในดานของ IT ก็จะทํามาในลักษณะจัดทํา แบบสอบถาม Survey ไปที่ Users วาบริการเปนอยางไร หรือออกไปถามลูกคาวา software ที่ ผลิตออกมามีคุณภาพเปนอยางไร
กลุมของกฎหมาย หรือกฎระเบียบขององคกร Model Sarbanes Oxley Act SOX 2002 เปนที่นิยม กฎหมายที่ออกมาเพื่อควบคุมบริษัทในตลาดหลักทรัพย มีความเปนบรรษัทภิบาลแค ไหน ที่ออกมาเนื่องจากทีในชวงที่ผานมีบริษัทที่ มีการคอรรับชัน เชนบริษัท Enron ที่ผูบริหารโกง บริหารผิดวิธี คนที่ออกกฎหมายเหลานี้มาคือรัฐสภาในสหรัฐ นําไปใชควบคุมโดยเนนไปที่กรรมการ บริษัท ผูบริหารระดับสูงวาจะตองทํา/ไมทําอะไรบาง ตรวจสอบไดในลักษณะไหน ที่เกี่ยวของกับ IT จะเปนในสวน Section 404 จะกลาวถึงการประเมิน การตรวจสอบภายใน
ไม่มีความคิดเห็น:
แสดงความคิดเห็น