กรอบงานโคบิต (CoBIT Framework)
1.1 ภาพรวมของโคบิต
โคบิตได้รับการพัฒนาขึ้นในปี 1992 โดยสมาคมการควบคุมและการตรวจสอบระบบสารสนเทศ หรือ The Information Systems Audit and Control Association (ISACA) และ สถาบันเทคโนโลยีสารสนเทศาภิบาล หรือ Information Technology Governance Institute (ITGI) เป็นผู้ดูแลในปัจจุบัน (ซึ่ง ISACA และ ITGI เป็นองค์กรชั้นนำในด้านของการตรวจสอบและการควบคุมด้านเทคโนโลยีสารสนเทศระดับโลกที่ตั้งอยู่ในประเทศสหรัฐอเมริกา) โคบิตเวอร์ชันแรก (CoBIT 1st edition) ได้รับการตีพิมพ์และเผยแพร่ในปี 1996 จากนั้นได้มีการปรับปรุงเป็นเวอร์ชันที่ 2 (CoBIT 2rdedition) ในปี 1998 โดยในเวอร์ชันที่ 2 มีการเพิ่มเติมแหล่งข้อมูลและมีการทบทวนเนื้อหาในส่วนของวัตถุประสงค์การควบคุมหลักและเนื้อหาอื่นๆ บางส่วน ต่อมาได้มีการพัฒนาเป็นเวอร์ชันที่ 3 (CoBIT 3 edition) ในปี 2000 (ส่วนที่เป็น on-line edition ได้รับการเผยแพร่ในปี 2003) และเวอร์ชันที่ 4 (CoBIT 4.0) ซึ่งเป็นเวอร์ชันล่าสุดโดยได้มีการเผยแพร่ในเดือนธันวาคมปี 2005 โดยเป็นการปรับปรุงเนื้อหาให้มีความใกล้เคียงกับมาตรฐานสากลต่างๆ เช่น Sarbanes-Oxley Act. เป็นต้น
สถาบันเทคโนโลยีสารสนเทศาภิบาล (ITGI) จัดตั้งขึ้นเมื่อปีค.ศ. 1998 โดยสมาคมการควบคุมและตรวจสอบระบบสารสนเทศ (ISACA) และสมาคมอื่นๆ ที่เกี่ยวข้อง โดยมีวัตถุประสงค์เพื่อเสริมสร้างความเข้าใจและนำหลักการด้านการกำกับดูแลที่ดีด้านเทคโนโลยีสารสนเทศมาใช้งาน โดยมีการเพิ่มเติมแนวทางในการบริหาร หรือ แนวทางสำหรับผู้บริหาร (Management Guideline) เข้ามาในโคบิตเวอร์ชันที่ 3 รวมถึงการเสริมสร้างและยกระดับการกำกับดูแลที่ดีด้านเทคโนโลยีสารสนเทศ
โคบิตนั้นถูกพัฒนาโดยมีพื้นฐานมาจากกรอบวิธีปฏิบัติต่างๆ หลายตัว เช่น Capability Maturity Model (CMM) ของ Software Engineering Institute (SEI), ISO 9000 และ Information Technology Infrastructure Library (ITIL) โดยเดิมทีผู้พัฒนาตั้งใจที่จะสร้างให้โคบิตเป็นเครื่องมือ หรือ แนวทางที่ใช้ในการปฏิบัติงานของผู้ตรวจสอบการควบคุมภายในด้านเทคโนโลยีสารสนเทศ แต่ต่อมามีการนำไปใช้โดยผู้บริหารธุรกิจ และผู้บริหารระบบสารสนเทศมากขึ้น เนื่องจากโคบิตเป็นทั้งแนวคิดและแนวทางในการปฏิบัติ เพื่อให้การควบคุมภายในด้านเทคโนโลยีสารสนเทศสามารถดำเนินไปได้อย่างมีประสิทธิภาพ โดยมีการอ้างอิงถึงแนวทางการปฏิบัติที่ดีที่สุด (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ เพื่อมุ่งเน้นในการยกระดับประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่เป็นส่วนผลักดันงานขององค์กร (มากกว่าการมุ่งเน้นทางด้านของการรักษาความมั่นคงปลอดภัยของเทคโนโลยีสรสนเทศเหมือนมาตรฐาน ISO/IEC 27001) ดังนั้นโคบิตจึงเริ่มเป็นที่แพร่หลายในกลุ่มของผู้บริหารงานด้านเทคโนโลยีสารสนเทศด้วย
โคบิตเป็นบทสรุปรวมของความรู้หรือข้อมูลต่างๆ ที่องค์กรต้องการสำหรับการนำไปปรับใช้เพื่อให้องค์กรมีการควบคุมภายในด้านเทคโนโลยีสารสนเทศที่ดี และเพื่อพัฒนาองค์กรให้เข้าสู่การเป็นองค์กรที่มี “ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ” หรือ IT Governance กล่าวคือ สามารถบริหารจัดการระบบสารสนเทศขององค์กรให้สามารถใช้งานได้อย่างมีประสิทธิภาพ มีความคุ้มค่ากับการลงทุน และมีการบริหารจัดการที่โปร่งใสสามารถตรวจสอบได้ โดยโคบิตจะรวบรวมตัววัด (Measures) เครื่องบ่งชี้ (Indicators) ขั้นตอนการปฏิบัติงาน (Processes) และ แนวทางการปฏิบัติที่ดีที่สุด (Best Practices) ซึ่งเป็นข้อมูลที่มีโครงสร้าง สามารถเข้าใจและนำไปใช้ได้โดยง่ายอีกทั้งเป็นที่ยอมรับกันโดยทั่วไป ผู้ที่นำโคบิตไปใช้ (ได้แก่ ผู้บริหารธุรกิจ ผู้บริหารระบบสารสนเทศ และผู้ตรวจสอบ) สามารถนำสิ่งต่างๆ เหล่านี้ไปใช้เป็นเครื่องมือเพื่อสร้างประโยชน์สูงสุดจากการนำเทคโนโลยีสารสนเทศเข้ามาใช้งานภายในองค์กร และช่วยให้การลงทุนทางด้านเทคโนโลยีสารสนเทศประสบความสำเร็จอย่างตรงตามความต้องการทางด้านธุรกิจ เนื่องจากการนำโคบิตเข้ามาใช้จะช่วยให้ผู้ที่ปฏิบัติงานต่างๆ มีความเข้าใจในระบบเทคโนโลยีสารสนเทศที่ตนเองเกี่ยวข้องมากยิ่งขึ้น อีกทั้งยังช่วยในเรื่องของการยกระดับของการควบคุมด้านความปลอดภัยที่จำเป็นสำหรับการป้องกันสินทรัพย์ต่างๆ ขององค์กร
แนวทางในการบริหารจัดการของโคบิตเขียนขึ้นเพื่อให้สามารถนำไปใช้ปฏิบัติได้จริง และเพื่อให้สามารถตอบคำถามต่างๆ ของผู้บริหารได้ เช่น
• องค์กรสามารถเติบโตได้ถึงขั้นไหน (ในด้านของการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร)
• การลงทุนทางด้านเทคโนโลยีสารสนเทศคุ้มค่ากับประโยชน์ที่องค์กรจะได้รับหรือไม่
• ควรใช้อะไรเป็นตัวชี้วัดถึงประสิทธิภาพในการดำเนินงานด้านเทคโนโลยีสารสนเทศที่ดี
• อะไรเป็นปัจจัยที่สำคัญที่จะทำให้องค์กรประสบความสำเร็จได้ตรงตามเป้าหมายที่กำหนดไว้
• ความเสี่ยงที่จะทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่ตั้งไว้มีอะไรบ้าง จะมีวิธีการตรวจสอบและการควบคุมอย่างไร เพื่อลดโอกาสเกิดของความเสี่ยงดังกล่าวให้น้อยลง
เราสามารถนำมาตรฐาน หรือ แนวทางปฏิบัติอื่นๆ ที่มีจุดมุ่งหมายที่ต้องการจะเน้นที่การควบคุมเฉพาะจุดใดจุดหนึ่ง มาประยุกต์ใช้ร่วมกับโคบิตได้ เช่น กลุ่มมาตรฐานของ ISO/IEC 27000 (ISO/IEC 27000 series) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการรักษาความปลอดภัยของเทคโนโลยีสารสนเทศ หรือ มาตรฐาน ISO/IEC 9001:2000 ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการจัดการความต้องการทางด้านคุณภาพของระบบ (Quality Management Systems Requirement) หรือ มาตรฐานของ Information Technology Infrastructure Library (ITIL) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการให้บริการด้านเทคโนโลยีสารสนเทศที่มีคุณภาพ หรือ มาตรฐาน Capability Maturity Model Integration (CMMI) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการพัฒนาและผลิตซอร์ฟแวร์ที่มีคุณภาพ รวมไปถึงมาตรฐาน Projects in Controlled Environments 2 (PRINCE2) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการบริหารจัดการโครงการที่มีประสิทธิภาพ เป็นต้น เนื่องจากโคบิตเป็นกรอบการปฏิบัติที่บอกให้ผู้ปฏิบัติทราบว่าต้องการอะไรบ้าง (what to do) แต่ไม่มีรายละเอียดในแง่ของวิธีการปฏิบัติที่จะนำไปสู่จุดนั้น (how to do) ดังนั้นผู้ปฏิบัติจึงควรนำมาตรฐาน หรือแนวทางปฏิบัติอื่นๆ เข้ามาช่วยเสริมในส่วนของรายละเอียดที่เจาะลึกลงไปในเรื่องที่ต้องการได้
โครงสร้างของโคบิตถูกออกแบบให้อยู่บนพื้นฐานของกระบวนการทางธุรกิจ (Business Process) ซึ่งแบ่งเป็น 4 กระบวนการหลัก (Domains) ได้แก่
• การวางแผนและการจัดองค์กร (Plan and Organize : PO)
• การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
• การส่งมอบและการสนับสนุน (Delivery and Support : DS)
• การติดตามและประเมินผล (Monitor and Evaluate : ME)
ในแต่ละกระบวนการหลักข้างต้น โคบิตยังได้แสดงถึงวัตถุประสงค์การควบคุมหลัก (High-Level Control Objectives) รวมทั้งหมด 34 หัวข้อ และในแต่ละหัวข้อจะประกอบไปด้วยวัตถุประสงค์การควบคุมย่อย (Detailed Control Objectives) รวมทั้งหมดถึง 318 หัวข้อย่อย พร้อมทั้งยังมีแนวทางการตรวจสอบ (Audit Guideline) สำหรับแต่ละหัวข้อการควบคุมอีกด้วย (ซึ่งรายละเอียดจะกล่าวในหัวข้อถัดไป) นอกจากนี้โคบิตได้แสดงถึงความสัมพันธ์ต่อปัจจัยหลัก 2 ตัว ในทุกๆ หัวข้อของวัตถุประสงค์การควบคุม ได้แก่
• คุณภาพของสารสนเทศ (Information Criteria)
• ทรัพยากรด้านเทคโนโลยี (IT Resources)
คุณภาพของสารสนเทศ 7 ประการ
• ประสิทธิภาพ (Effectiveness) หมายถึง มีการจัดการกับข้อมูลที่ใช้หรือเกี่ยวข้องกับกระบวนการทางธุรกิจ โดยเฉพาะการส่งมอบสารสนเทศต่างๆ ให้แก่ผู้ใช้ได้อย่างถูกต้อง ทันเวลา และสามารถใช้ประโยชน์ได้
• ประสิทธิผล (Efficiency) หมายถึง มีการใช้ประโยชน์จากทรัพยากรอย่างเต็มที่ (คือให้ผลตอบแทนสูงสุดในขณะที่ใช้ต้นทุนที่ต่ำที่สุด) เพื่อให้ได้มาซึ่งสารสนเทศที่ผู้ใช้ต้องการ
• การรักษาความลับ (Confidentiality) หมายถึง มีการป้องกันการเปิดเผยข้อมูลที่มีความสำคัญต่อบุคคลหรือหน่วยงานที่ไม่ได้รับอนุญาต
• ความสมบูรณ์ของข้อมูล (Integrity) หมายถึง ความถูกต้องตรงกันและความครบถ้วนสมบูรณ์ของสารสนเทศที่มีอยู่ในองค์กร
• ความพร้อมใช้งานของข้อมูล (Availability) หมายถึง การที่สามารถเรียกใช้ข้อมูลสารสนเทศได้ตลอดเวลาเมื่อผู้ใช้ต้องการ รวมถึงการป้องกันและรักษาความปลอดภัยให้กับทรัพยากรที่จำเป็นต่างๆ และการรักษาระดับความสามารถในการทำงานของทรัพยากรเหล่านั้น ห้ามารถทำงานได้อย่างมีประสิทธิภาพอยู่ตลอดเวลา
• การปฏิบัติตามระเบียบ (Compliance) หมายถึง การที่องค์กรปฏิบัติตามกฎ ระเบียบ ข้อบังคับ หลักเกณฑ์ ข้อตกลง หรือกฎหมาย ที่เกี่ยวข้องกับกระบวนการทางธุรกิจที่มีขึ้นเพื่อบังคับใช้ทั้งจากหน่วยงานภายในและภายนอกองค์กร
• ความน่าเชื่อถือของข้อมูล (Reliability) หมายถึง ความสามรถในการหาข้อมูลที่เหมาะสมและเชื่อถือได้ให้แก่ผู้บริหารเพื่อใช้ในการดำเนินธุรกิจและให้สามารถจัดทำรายงานทางการเงินหรือรายงานอื่นๆ ที่จำเป็น
ทรัพยากรด้านเทคโนโลยีสารสนเทศ 4 ประเภท
• ระบบงานประยุกต์ (Application Systems) ได้แก่ ขั้นตอนและกระบวนการที่ใช้ในการปฏิบัติงานทั้งแบบที่ปฏิบัติเองด้วยมือและแบบที่ทำด้วยโปรแกรมคอมพิวเตอร์
• สารสนเทศ (Information) ได้แก่ ข้อมูลหรือสารสนเทศในรูปแบบต่างๆ ทั้งที่เป็นรูปภาพ ข้อมูลเสียง เป็นต้น โดยสามารถเป็นได้ทั้งข้อมูลที่มีโครงสร้างและที่ไม่มีโครงสร้าง ที่องค์กรนำมาใช้ในการปฏิบัติงาน
• โครงสร้างพื้นฐาน (Infrastructure) ได้แก่ โครงสร้างพื้นฐานทางด้านเทคโนโลยีสารสนเทศขององค์กร ที่ใช้ในการปฏิบัติงานต่างๆ ภายในองค์กร ซึ่งรวมตั้ง hardware, software, ระบบปฏิบัติการ ระบบบริหารฐานข้อมูล ระบบเครือข่าย และยังรวมไปถึงทรัพยากรต่างๆ ที่ใช้ในสนับสนุนการปฏิบัติงานขององค์กร เช่น อาคาร สถานที่ และสาธารณูปโภคต่างๆ
• บุคลากร (People) ได้แก่ บุคลากรที่มีความรู้ความชำนาญในการบริหารและการปฏิบัติงานทางด้านเทคโนโลยีสารสนเทศ เพื่อให้สามารถมั่นใจได้ว่าระบบสารสนเทศจะได้รับการดูแลที่ดีจากบุคลากรที่มีความสามารถ
1.2 ภาพรวมของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
โคบิตถือเป็นกรอบวิธีปฏิบัติตัวหนึ่งที่เน้นให้องค์กรเป็นองค์กรที่มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี ดังนั้นองค์กรที่ต้องการประสบความสำเร็จในการเป็นองค์กรที่มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดีควรที่จะนำโคบิตไปปรับใช้ในการบริหารงานขององค์กร ซึ่งในตัวของโคบิตเองก็ได้มีเนื้อหาสำคัญที่เกี่ยวพันธ์กับเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศด้วย ด้วยเหตุนี้จึงอยากจะให้ผู้ที่นำไปใช้ได้เข้าใจในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศก่อน
ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศคือ การนำกรอบวิธีการปฏิบัติและวิธีการปฏิบัติที่ดีที่สุด จากมาตรฐานต่างๆ มาปรับใช้ในองค์กร เพื่อช่วยในการตรวจสอบติดตาม และปรับปรุงกระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร เพื่อเพิ่มมูลค่าทางธุรกิจและเป็นการลดความเสี่ยงด้านธุรกิจที่องค์กรต้องเผชิญไปด้วยในตัว และให้สามารถแน่ใจได้ว่าเทคโนโลยีสารสนเทศขององค์กร ได้สนับสนุนวัตถุประสงค์ของธุรกิจ เพื่อที่จะทำให้องค์กรสามารถได้รับประโยชน์อย่างเต็มที่ จากข้อมูลของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพจะช่วยให้องค์กรสามารถแน่ใจได้ว่า เทคโนโลยีที่องค์กรนำมาใช้จะสามารถสนับสนุนเป้าหมายทางธุรกิจ ช่วยเพิ่มประสิทธิภาพสูงสุดทางด้านธุรกิจให้กับการลงทุนทางด้านเทคโนโลยีสารสนเทศ และช่วยให้องค์กรมีวิธีที่ใช้ในการจัดการกับความเสี่ยงอย่างเหมาะสม การที่มีความเข้าใจที่ดีในเรื่องของ สภาพแวดล้อมทางธุรกิจ ความเสี่ยงต่างๆ ที่เกี่ยวข้อง กลยุทธ์ทางด้านธุรกิจขององค์กร โครงสร้างในด้านเทคโนโลยีสารสนเทศขององค์กร ความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่สำคัญต่อองค์กร และแนวโน้มในการใช้งานของเทคโนโลยีสารสนเทศ จะเป็นส่วนสำคัญของการประสบความสำเร็จในการนำธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมาใช้ในองค์กร ซึ่งหน้าที่ในการดูแลและรับผิดชอบในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศนั้น ถือเป็นอีกหน้าที่หลักของผู้บริหารระดับสูงและคณะกรรมการผู้จัดการ (Broad of Directors) ในการผลักดันให้องค์กรก้าวเข้าสู่หลักธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี
ความสำคัญของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
• ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศทำให้องค์กรมีการบริหารงานที่เป็นระบบ ระเบียบ มีขั้นตอนที่แน่นอน ลดความซ้ำซ้อน และลดความเสี่ยง ทำให้องค์กรสามารใช้สารสนเทศได้อย่างเต็มประสิทธิภาพ ยังผลให้เกิดประโยชน์สูงสุดแก่องค์กร
• ช่วยป้องกันการทุจริตของผู้บริหารหรือผู้ปฏิบัติงานได้ เนื่องจากมีการบริหารงานที่โปร่งใส สามารถตรวจสอบได้
• ช่วยให้การลงทุนทางด้านเทคโนโลยีสารสนเทศประสบความสำเร็จได้อย่างมีประสิทธิภาพสูงสุด คือ ได้ผลประโยชน์สูงสุดกับองค์กรโดยที่ใช้ต้นทุนที่ต่ำที่สุด
• ช่วยสร้างและส่งเสริมภาพลักษณ์ที่ดีต่อองค์กร ทำให้ผู้ที่มีส่วนเกี่ยวข้องกับองค์กร (เช่น ผู้ถือหุ้น องค์กรที่ทำธุรกิจร่วมกัน และลูกค้าขององค์กร) เกิดความเชื่อมั่นและความไว้วางใจในองค์กรมากยิ่งขึ้น
ความต้องการในเรื่องธรรมาภิบาลด้านเทคโนโลยีสารสนเทศของผู้มีส่วนเกี่ยวข้อง
ในองค์กรมีผู้ที่มีส่วนเกี่ยวข้องหลายคนที่จำเป็นจะต้องให้ความสนใจกับเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ เพื่อที่จะสามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพ ซึ่งโคบิตได้จัดเตรียมเนื้อหาในหัวข้อ “IT Governance Implementation Guide” เพื่อช่วยตอบคำถามที่ผู้มีส่วนเกี่ยวข้องต่างๆ ต้องการทราบในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศเหล่านี้
• ผู้บริหารระดับสูงและคณะกรรมการผู้จัดการ (Executive and Broad of Director) ต้องการที่จะทราบว่าจะสามารถกำหนดเป้าหมายทางธุรกิจอย่างไรให้สามารถบรรลุเป้าหมายดังกล่าวได้โดยก่อให้เกิดประโยชน์สูงสุดแก่องค์กร และจะนำแนวทางปฏิบัติของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมาปรับใช้กับองค์กรให้เหมาะสมได้อย่างไร เพื่อให้สามารถแน่ใจได้ว่าความเสี่ยงต่างๆ ที่เกี่ยวข้องกับสารสนเทศที่มีความสำคัญต่อองค์กรจะได้รับการจัดการอย่างเหมาะสม
• ผู้บริหารด้านธุรกิจ (Business Manager) ต้องการที่จะทราบว่าฝ่ายบริหารจะสามารถกำหนดความต้องการทางด้านธุรกิจที่เกี่ยวข้องกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศได้อย่างไร เพื่อให้สามารถมั่นใจได้ว่าโอกาสที่จะเกิดความเสี่ยงต่างๆ ที่เกี่ยวข้องจะถูกทำให้ลดน้อยลง
• ผู้บริหารด้านเทคโนโลยีสารสนเทศ (IT Manager)ต้องการที่จะทราบว่าจะต้องทำอย่างไรเพื่อให้การให้บริการทางด้านเทคโนโลยีสารสนเทศสามารถตอบสนองได้ตรงตามความต้องการของธุรกิจอยู่ตลอดเวลา
• ผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Auditor)ต้องการที่จะทราบว่าจะต้องทำอย่างไรในการที่จะนำเนื้อหาต่างๆ ของโคบิตมาปรับใช้ในกระบวนการตรวจสอบด้านเทคโนโลยีสารสนเทศ เพื่อให้สามารถแน่ใจได้ว่ากระบวนการตรวจสอบจะมีประสิทธิภาพและมีความเป็นอิสระจากฝ่ายงานอื่น
• ความเสี่ยง และ พนักงานทั่วไป(compliance officer) ต้องการที่จะทราบว่าผู้จัดการด้านความเสี่ยง (risk manager) และ พนักงานทั่วไป จะสามารถนำโคบิตมาใช้ในเรื่องที่เกี่ยวกับกิจกรรมด้านความเสี่ยงและการปฏิบัติตามกฎระเบียบข้อบังคับได้อย่างไร เพื่อให้สามารถแน่ใจได้ว่าความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศใหม่ๆ จะถูกค้นพบได้อย่างรวดเร็ว และ พนักงานที่จำเป็นต้องปฏิบัติตามกฎ (IT complies) มีการปฏิบัติตามนโยบาย ระเบียบข้อบังคับ และกฎหมายหรือไม่
1.3 โคบิตกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
ในเนื้อหาของโคบิตได้มีหลายหัวข้อที่มีความเกี่ยวเนื่องกับเรื่องของธรรมาภิลาบด้านเทคโนโลยีสารสนเทศ เพื่อต้องการที่จะให้องค์กรที่นำโคบิตไปใช้ได้เป็นองค์กรที่มีธรรมาภิบาลที่ดี โดยเรื่องที่โคบิตกล่าวถึงเกี่ยวกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมีดังนี้
• วัตถุประสงค์ของโคบิตในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
• IT Governance Focus Areas
วัตถุประสงค์ของโคบิตในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
ซึ่งโคบิตสนับสนุนในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยมีการจัดเตรียมกรอบวิธีปฏิบัติต่างๆ เพื่อต้องการให้แน่ใจว่า :
• เทคโนโลยีสารสนเทศที่นำมาใช้จะเป็นไปในทิศทางเดียวกันกับธุรกิจขององค์กร
• เทคโนโลยีสารสนเทศสามารถที่จะสนับสนุนความต้องทางด้านธุรกิจได้อย่างเต็มประสิทธิภาพ
• ทรัพยากรด้านเทคโนโลยีสารสนเทศถูกใช้อย่างเหมาะสม
• สามารถจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม
IT Governance Focus Areas
โคบิตนำเสนอเนื้อหาที่เกี่ยวกับการจัดการในส่วนของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยแบ่งออกเป็น 5 ส่วนหลัก ซึ่งมีเนื้อหาที่ครอบคลุมในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศทั้งหมด ดังข้อมูลด้านล่างนี้
• การจัดวางกลยุทธ์ (IT strategic alignment) มีเนื้อหาในการเน้นที่เรื่องของการเชื่อมโยงให้เกิดความสอดคล้องกันระหว่างแผนทางธุรกิจกับแผนทางเทคโนโลยีสารสนเทศ โดยจะครอบคลุมไปถึงการกำหนดและการวางแผน การดูแลรักษา และการตรวจสอบความถูกต้องของเทคโนโลยีสารสนเทศ และรวมไปถึงการทำให้กระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ดำเนินไปในทิศทางเดี่ยวกับกระบานการปฏิบัติงานขององค์กร
• การนำเสนอคุณค่า (Value delivery) มีเนื้อหาในการเน้นที่เรื่องของการนำเสนอคุณค่าตลอดจนวงจรของการนำส่ง หลักการพื้นฐานของการสร้างคุณค่าด้านเทคโนโลยีสารสนเทศคือ การส่งมอบให้ตรงเวลา อยู่ในงบประมาณที่กำหนด ผลประโยชน์ที่ได้รับจะต้องสามารถระบุได้และเป็นไปตามที่ได้กำหนดไว้ เพื่อทำให้มั่นใจได้ว่าเทคโนโลยีสารสนเทศสามารถสร้างประโยชน์ได้ตามที่กำหนดไว้ในกลยุทธ์ขององค์กร
• การจัดการกับทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resources management) มีเนื้อหาในการเน้นที่เรื่องของการบริหารจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ ซึ่งครอบคลุมในส่วนของการลงทุนอย่างไรเพื่อให้ได้รับผลตอบแทนสูงสุด และเรื่องการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร (ได้แก่ ระบบงานประยุกต์ สารสนเทศ โครงสร้างพื้นฐาน และบุคลากร) อย่างเหมาะสม ซึ่งประเด็นของเรื่องนี้จะอยู่ที่การนำความรู้และโครงสร้างพื้นฐานที่องค์กรมีอยู่มาใช้ประโยชน์ให้ได้มากที่สุด
• การจัดการความเสี่ยง (Risk management) มีเนื้อหาในการเน้นที่เรื่องของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อให้เกิดความเข้าใจที่ชัดเจนในเรื่องของความเสี่ยงต่างๆ ที่เกี่ยวข้องกับการดำเนินงานขององค์กร และสามารถตระหนักถึงความเสี่ยงที่มีความสำคัญต่อองค์กร เพื่อเป็นการปลูกฝังในเรื่องของหน้าที่ความรับผิดชอบของผู้ที่มีส่วนเกี่ยวข้องต่างๆ ในองค์กร
• การวัดประสิทธิภาพ (Performance measurement) มีเนื้อหาในการเน้นที่เรื่องของกลยุทธ์และวิธีที่ใช้ในการตรวจสอบและติดตามในด้านของ การทำให้เป็นผล (implementation) ความครบถ้วนสมบูรณ์ของโครงการ (project completion) การใช้งานทรัพยากร (resource usage) ประสิทธิภาพของกระบวนการ (process performance) และ การส่งมอบการให้บริการ (service delivery) ซึ่งการวัดประสิทธิภาพถือเป็นส่วนที่มีความสำคัญมากที่สุดในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ เพราะจะทำให้องค์กรทราบได้ว่าหลักการที่องค์กรได้นำมาใช้นั้นประสบผลสำเร็จมากน้อยแค่ไหน และควรที่จะปรับปรุงไปในทิศทางไหน
1.4 สิ่งที่องค์กรได้จากการโคบิต
กรอบงานโคบิตสามารถตอบสนองสิ่งที่จำเป็นต่างๆ เหล่านี้ให้กับองค์กรได้
• ทำให้เกิดการเชื่อมโยงกันระหว่างเป้าหมายทางธุรกิจ (Business Goals) กับเป้าหมายทางเทคโนโลยีสารสนเทศ (IT Goals) ซึ่งเป้าหมายทางด้านเทคโนโลยีสารสนเทศจะต้องเป็นทำหน้าที่ในการสนับสนุนให้เป้าหมายทางธุรกิจประสบความสำเร็จได้อย่างมีประสิทธิภาพ
• มีการจัดโครงสร้างของกิจกรรมด้านเทคโนโลยีสารสนเทศ เพื่อให้กิจกรรมเหล่านั้นมีความเป็นมาตรฐานซึ่งเป็นที่ยอมรับกันโดยทั่วไป
• ช่วยในการระบุให้องค์กรทราบถึงทรัพยากรทางด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร เพื่อให้สามารถเตรียมมาตรการที่ใช้ในการดูแลรักษาทรัพยากรเหล่านั้นได้อย่างเหมาะสม
• มีการกำหนดวัตถุประสงค์การควบคุมในการบริหารจัดการต่างๆ ภายในองค์กรเพื่อให้ผู้ที่เกี่ยวข้องทุกคนมีความเข้าใจในวัตถุประสงค์ของงานต่าง ๆ ที่ตรงกัน
• มีการจัดเตรียมเครื่องมือต่างๆ ที่ใช้ในการบริหารจัดการองค์กร ได้แก่
- จัดเตรียมตัววัด (Metrics) เพื่อใช้ในการวัดประสิทธิภาพของเทคโนโลยีสารสนเทศที่องค์กรนำมาใช้
- มีระดับการควบคุมต้นแบบ (Maturity Models) เพื่อใช้ในการวัดและจัดระดับความสามารถของกระบวนการ
ทางด้านเทคโนโลยีสารสนเทศ
- มีการใช้ RACI chart (Responsible, Accountable, Consulted, and Informed) เพื่อใช้ในการระบุบทบาทและ
หน้าที่ของผู้ที่เกี่ยวข้องให้ชัดเจน
1.5 ประโยชน์ของการนำโคบิตมาใช้
การนำโคบิตมาประยุกต์ใช้ในองค์กรสามารถสร้างประโยชน์หลายประการให้แก่องค์กร ดังตัวอย่างด้านล่างนี้ :
• ทำให้ธุรกิจและเทคโนโลยีสารสนเทศดำเนินไปในทิศทางเดียวกัน โดยให้ภาคธุรกิจเป็นเป้าหมายหลักในการดำเนินนโยบาย
• เกิดการแบ่งปันในส่วนของความรู้และความเข้าใจให้กับผู้ที่มีส่วนเกี่ยวข้องทุกคน โดยเป็นการใช้ภาษาเดียวกันทำให้เกิดความเข้าใจที่ตรงกัน
• ทำให้เกิดความเข้าใจมุมมองหรือภาพรวมในเรื่องของการนำเทคโนโลยีสารสนเทศเข้ามาใช้ในการจัดการด้านธุรกิจขององค์กรอย่างไร
• ทำให้เกิดความกระจ่างในเรื่องของบทบาท หน้าที่ความรับผิดชอบ และความเป็นเจ้าของ ในการปฏิบัติงานของพนักงานในองค์กร
• เพื่อให้เกิดความไว้วางใจและการยอมรับกันอย่างแพร่หลายจากองค์กรหรือบริษัทภายนอกที่เกี่ยวข้องและผู้วางกฎระเบียบ (regulator) ต่างๆ
1.6 กลุ่มผลิตภัณฑ์ของโคบิต
นอกจากโคบิตจะมีกรอบวิธีปฏิบัติในด้านของการบริหารจัดการเทคโนโลยีสารสนเทศแล้ว โคบิตยังมีเนื้อหาอีกหลายส่วนที่สามารถนำมาปรับใช้ในองค์กรเพื่อช่วยให้องค์กรมีการบริหารจัดการด้านสารสนเทศที่ดี ซึ่งเนื้อหาในแต่ละส่วนโคบิตได้จัดทำให้เหมาะสมกับผู้ใช้งานที่แตกต่างกัน เช่น ผู้บริหารระดับสูง ผู้บริหารด้านธุรกิจ ผู้บริหารจัดการด้าน IT ผู้ตรวจสอบ IT และรวมไปถึงผู้ปฏิบัติงานต่างๆ ด้วย โดยกลุ่มผลิตภัณฑ์ของโคบิตแบ่งได้ดังนี้
• Board Briefing on IT Governance 2rd edition ซึ่งถูกสร้างขึ้นมาเพื่อช่วยให้ผู้บริหารระดับสูงเข้าใจถึงความสำคัญของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ ทำไมจึงต้องนำมาใช้ภายในองค์กร อะไรคือประเด็นที่สำคัญ และพวกเขาจะต้องมีหน้าที่รับผิดชอบอะไรบ้างในการที่จะบริหารจัดการสิ่งเหล่านั้น
• Executive Summary ประกอบด้วยมุมมองในภาพรวมของการบริหารจัดการ (Executive Overview) โดยมีเนื้อหาในการกระตุ้นและสร้างให้เกิดความเข้าใจในแนวคิดและหลักการหลักๆ ที่สำคัญของโคบิต และรวมถึงเนื้อหาที่เป็นการสรุปในส่วนของ framework เพื่อให้ผู้บริหารสามารถเข้าใจในรายละเอียดของ framework ได้อย่างถูกต้อง
• Management Guideline เป็นเครื่องมือสำหรับผู้บริหารด้านธุรกิจและผู้บริหารด้าน IT ซึ่งมีการจัดเตรียมเนื้อหาในส่วนของหลักหรือวิธีที่ใช้ในการบริหารจัดการด้าน IT รวมถึงคำแนะนำในการนำ framework ของโคบิตมาปรับใช้ในการบริหารจัดการ และ guideline นี้ยังมีการจัดเตรียมเครื่องมือที่ใช้ในการวัดประสิทธิภาพของการบริหารจัดการองค์กรในหลายๆ ด้าน เช่น
- Maturity Model เป็นเครื่องมือหลักที่ช่วยในการวัดและจัดระดับความสามารถของกระบวนการด้าน IT
- Critical Success Factors เป็นเครื่องมือที่ช่วยในการระบุให้ทราบว่ามีการกระทำที่สำคัญอะไรบ้างที่จะทำให้การควบคุมที่นำมาใช้ประสบความสำเร็จ
- Key Goal Indicators เป็นเครื่องมือที่ช่วยในการกำหนดระดับของเป้าหมายด้านประสิทธิภาพของ IT ที่ใช้ในปัจจุบัน
- Key Performance Indicators เป็นเครื่องมือที่ช่วยในการวัดให้ทราบว่าการนำกระบวนการในการควบคุมด้าน IT เข้ามาใช้นั้นตรงตามกับวัตถุประสงค์หรือไม่
-
• Control Objectives เป็นเครื่องมือที่ช่วยให้ผู้ใช้สามารถเข้าใจในรายละเอียดที่จำเป็นของการควบคุมแต่ละตัว เพื่อให้เข้าใจถึงเป้าหมาย วัตถุประสงค์ และนโยบายของการควบคุมนั้นๆ พร้อมทั้งยังมีการบอกถึงความต้องการขั้นต่ำของการนำการควบคุมแต่ละตัวเข้ามาใช้เพื่อให้การควบคุมนั้นมีประสิทธิภาพ ทำให้ผู้ใช้สามารถนำไปปฏิบัติได้สำเร็จตามเป้าหมายที่ต้องการ ซึ่งจะแบ่งเป็น 2 ส่วนคือ
- High-Level Control Objectives โดยจะเป็นการพูดถึงภาพรวมของการควบคุม ซึ่งมีทั้งหมด 34 หัวข้อการควบคุมหลัก
- Detailed Control Objectives จะเป็นการพูดถึงรายละเอียดของหัวข้อการควบคุมหลักแต่ละตัว ซึ่งมีทั้งหมด 318 หัวข้อการควบคุมย่อย
-
• Control Practices เป็นเครื่องมือที่มีเนื้อหาในการให้คำแนะนำในการนำ control ต่างๆ ไปใช้อย่างเป็นขั้นตอน โดยจะบอกให้ทราบว่าทำไมการควบคุมจึงเป็นสิ่งที่จำเป็น และอะไรคือแนวทางปฏิบัติที่ดีที่สุดที่มีความสำคัญและจำเป็นต่อการที่จะประสบความสำเร็จตามวัตถุประสงค์ของการควบคุมนั้นๆ จุดประสงค์ของ control practices คือ ช่วยให้สามารถแน่ใจได้ว่ากระบวนการควบคุมที่นำมาใช้ได้รับการกำหนดแนวทางที่ถูกต้อง เพื่อให้ผู้ปฏิบัติสามารถนำไปปรับใช้ได้อย่างถูกต้องและมีประสิทธิภาพ
• IT Control Objectives for Sarbanes-Oxley เป็นเครื่องมือที่มีเนื้อหาในการให้คำแนะนำและแนวทางในการปฏิบัติ เพื่อให้สามารถแน่ใจได้ว่าองค์กรนำการควบคุมต่างๆ เข้ามาใช้อย่างถูกต้องตามความต้องการของมาตรฐาน Sarbanes-Oxley (เป็นการนำ control ของโคบิตมาปรับใช้เพื่อให้สอดคล้องและเป็นไปตามมาตรฐานของ Sarbanes-Oxley)
• IT Governance Implementation Guide เป็นเครื่องมือที่มีเนื้อหาในการอธิบายแนวทางและภาพรวมในการนำเครื่องมือต่างๆ ของโคบิตมาปรับใช้ เพื่อให้องค์กรก้าวเข้าสู่องค์กรที่มีหลักธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี
• CoBIT Quickstart เป็นเครื่องมีที่มีเนื้อหาในการจัดเตรียมความรู้และรายละเอียดพื้นฐานของการนำโคบิตมาปรับใช้กับองค์กรขนาดเล็ก รวมถึงรายละเอียดในการเตรียมการขั้นเริ่มต้นของการนำโคบิตไปใช้จริง
• CoBIT Security Baseline เป็นส่วนของเนื้อหารที่เน้นในเรื่องของขั้นตอนที่สำคัญในการนำมาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศมาปรับใช้ภายในองค์กร เพื่อให้แน่ใจได้ว่าสารสนเทศที่องค์กรนำมาใช้จะได้รับการป้องกันอย่างมีประสิทธิภาพและเกิดความปลอดภัยสูงสุด
โครงสร้างของโคบิต (CoBIT Structure)
การนำระบบเทคโนโลยีสารสนเทศเข้ามาใช้เพื่อสนับสนุนการทำงานและกลยุทธ์ต่างๆ ขององค์กร จะสามารถประสบความสำเร็จได้นั้น องค์กรจะต้องมีการกำหนดหน้าที่ความรับผิดชอบต่างๆ ให้ชัดเจน และพนักงานทุกคนจะต้องเข้าใจว่าอะไรคือสิ่งที่ได้จากการนำเทคโนโลยีสารสนเทศเข้ามาใช้ และจะใช้สิ่งต่างๆ เหล่านั้นให้เกิดประโยชน์ได้อย่างไร ซึ่งโคบิตได้จัดเตรียมเนื้อหาที่ครอบคลุมในเรื่องของการบริหารจัดการเทคโนโลยีสารสนเทศที่นำมาใช้ในองค์กร โดยจะแบ่งออกเป็น 4 โดเมนหลักๆ ซึ่งมีรายละเอียดดังนี้
การวางแผนและการจัดองค์กร (Plan and Organize : PO)
เนื้อหาในโดเมนนี้ครอบคลุมในเรื่องของกลยุทธ์และวิธีการที่นำมาใช้ในองค์กร โดยจะเน้นในเรื่องของการกำหนดวิธีที่จะทำให้เทคโนโลยีสารสนเทศมีบทบาทสำคัญ เพื่อให้สารสนเทศนั้นสามารถตอบสนองความต้องการทางด้านธุรกิจขององค์กรได้ ซึ่งการกำหนดกลยุทธ์ที่สามารถนำมาใช้ได้จริงนั้นจำเป็นที่จะต้องมีการวางแผน มีการบริหารจัดการที่ดี และต้องมีการสื่อสารให้พนักงานทั้งองค์กรรับทราบร่วมกัน และท้ายสุดองค์กรจำเป็นต้องมีการจัดวางโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่เหมาะสม จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
• ทำให้ผู้บริหารทราบว่ากลยุทธ์ทางด้าน IT และกลยุทธ์ทางด้านธุรกิจเป็นไปในทิศทางเดียวกันหรือไม่
• ประสิทธิภาพและคุณภาพของระบบ IT ที่องค์กรนำมาใช้ มีความเหมาะสมกับความต้องการทางด้านธุรกิจหรือไม่
• เพื่อให้ผู้บริหารสามารถทราบได้ว่าองค์กรกำลังประสบความสำเร็จด้วยการใช้ทรัพยากรต่างๆ อย่างเต็มที่หรือไม่
• เพื่อให้ทราบได้ว่าพนักงานในองค์กรมีความเข้าใจในวัตถุประสงค์ขององค์กรหรือไม่
• เพื่อให้ทราบว่าผู้ปฏิบัติงานมีความรู้ความเข้าใจในความเสี่ยงทางด้าน IT ที่เกี่ยวข้องกับการปฏิบัติงานของตนหรือไม่ และจะมีวิธีการบริหารจัดการกับความเสี่ยงดังกล่าวได้อย่างไร
การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
เนื้อหาในโดเมนนี้จะเน้นที่เรื่องของการทำให้กลยุทธ์ที่ได้กำหนดไว้ประสบผลสำเร็จ ซึ่งการดำเนินงานตามกลยุทธ์ที่ได้วางไว้นั้น จะต้องมีการระบุ พัฒนาหรือจัดซื้อจัดหา นำไปติดตั้งใช้งาน รวมถึงการผนวกรวมเทคโนโลยีสารสนเทศเข้าเป็นส่วนหนึ่งของกระบวนการทางธุรกิจ และในโดเมนนี้ยังรวมถึงการเปลี่ยนแปลงและการดูแลรักษาระบบงานที่องค์กรมีอยู่ เพื่อให้สามารถมั่นใจได้ว่าเทคโนโลยีสารสนเทศยังคงสามารถสนับสนุนการทำงานและวัตถุประสงค์ของธุรกิจได้อยู่ตลอดเวลา จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
• โครงการด้านเทคโนโลยีสารสนเทศใหม่ที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้เพื่อแก้ไขปัญหาหรือสร้างประโยชน์ให้กับธุรกิจได้หรือไม่
• โครงการที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้งานได้ทันตามระยะเวลาและงบประมาณที่กำหนดไว้หรือไม่
• ระบบใหม่ที่นำมาใช้งานนั้น สามารถทำงานได้อย่างมีประสิทธิภาพ ตรงตามความต้องการของธุรกิจหรือไม่
• การเปลี่ยนแปลงที่เกิดขึ้นทำให้เกิดผลเสียต่อการปฏิบัติงานของธุรกิจในปัจจุบันหรือไม่
การส่งมอบและการสนับสนุน (Delivery and Support : DS)
เนื้อหาในโดเมนนี้จะเน้นในเรื่องของการส่งมอบบริการด้านเทคโนโลยีสารสนเทศเมื่อมีความต้องการจากภาคธุรกิจ ซึ่งรวมตั้งแต่การส่งมอบบริการ การดำเนินงานด้านการรักษาความปลอดภัยและความต่อเนื่องของการให้บริการ การบริหารจัดการสารสนเทศและอุปกรณ์อำนวยความสะดวกต่างๆ ที่ใช้ในการปฏิบัติงาน ไปจนถึงการฝึกอบรมพนักงานเพื่อให้มีความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับงานที่ตนเองปฏิบัติ จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
• การให้บริการด้านเทคโนโลยีสารสนเทศสามารถสนับสนุนกรปฏิบัติงานด้านธุรกิจได้อย่างสอดคล้องกับเป้าหมายและวัตถุประสงค์ของธุรกิจหรือไม่
• ต้นทุนด้านเทคโนโลยีสารสนเทศที่ใช้ไปคุ้มค่าแล้วหรือไม่
• การปฏิบัติงานต่างๆ ขององค์กรสามารถที่จะใช้งานระบบสารสนเทศได้อย่างมีประสิทธิภาพและเกิดความปลอดภัยหรือไม่
• ระบบเทคโนโลยีสารสนเทศที่ใช้อยู่ในปัจจุบันมีการรักษาความลับ (Confidentiality) ความถูกต้องตรงกัน (Integrity) และความพร้อมใช้งาน (Availability) เพียงพอแล้วหรือไม่
การติดตามและประเมินผล (Monitor and Evaluate)
เนื้อหาในโดเมนนี้จะเน้นในเรื่องของการตรวจสอบติดตามและประเมินผลของระบบเทคโนโลยีสารสนเทศ โดยกระบวนการด้านเทคโนโลยีสารสนเทศทั้งหมดจะต้องได้รับการประเมินอยู่เสมอ เพื่อรับประกันได้ถึงคุณภาพและการปฏิบัติตามขอบังคับของการควบคุม ในโดเมนนี้จะเป็นการระบุถึงการบริหารจัดการในด้านของประสิทธิภาพของระบบสารสนเทศ ซึ่งจะต้องได้รับการประเมินจากผู้ตรวจสอบทั้งภายในและภายนอกองค์กร จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
• มีการประเมินหรือวัดประสิทธิภาพของระบบเทคโนโลยีสารสนเทศ เพื่อตรวจหาปัญหาก่อนที่ปัญหานั้นจะเกิดขึ้นจริงหรือไม่
• ผู้บริหารจะสามารถมั่นใจได้อย่างไรว่าการควบคุมต่างๆ ที่องค์กรนำมาใช้นั้นมีประสิทธิภาพและประสิทธิผลจริง
• ประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่มีอยู่นั้นสามารถสนับสนุนเป้าหมายทางด้านธุรกิจหรือไม่
• มีการวัดผลและรายงานในเรื่องของความเสี่ยง การควบคุม การปฏิบัติตามกฎ และประสิทธิภาพ ไปยังผู้บริหารระดับสูงขององค์กรหรือไม่
CoBIT 4.0
สถาบัน ITGI ได้ประกาศมาตรฐานโคบิต 4.0 ในปี 2005 โดยได้รับความร่วมมือจากผู้เชี่ยวชาญทั่วโลกกว่าหนึ่งร้อยคนเข้ามาช่วยในการปรับปรุงเนื้อหาต่างๆ ซึ่งมาตรฐานโคบิต 4.0 ได้มีการเปลี่ยนแปลงหลายอย่างเกิดขึ้น เพื่อให้เกิดความสอดคล้องกับโลกสารสนเทศและภัยอันตรายจากอินเทอร์เน็ตในปัจจุบันที่มีการเปลี่ยนแปลงอย่างรวดเร็ว อีกทั้งยังเน้นในเรื่องของการเชื่อมโยงใน 3 เรื่องหลักๆ คือ ความต้องการของธุรกิจ (Business Requirements) ทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resources) และกระบวนการด้านเทคโนโลยีสารสนเทศ (IT Processes) ดังรูปที่ 4 ด้านล่าง
มาตรฐานโคบิต 4.0 จะเน้นในเรื่องของ “Compliance” และ “Governance” มากขึ้น ดังรูปที่ 5 จะเห็นได้ว่าโคบิตเวอร์ชัน 3 นั้นจะเน้นในเรื่องของวัตถุประสงค์ทางด้านธุรกิจ (Business Objectives) เป็นหลักคือเน้นในเรื่องของการบริหารจัดการระบบสารสนเทศมากกว่า แต่ในโคบิต 4.0 นี้จะมีเนื้อหาเพิ่มเติมในเรื่องของ “Governance Objectives” หรือวัตถุประสงค์ด้านธรรมาภิบาลมากขึ้น เพื่อให้สอดคล้องกับยุคสมัยที่ “Regulatory Compliance” (การปฏิบัติตามกฎระเบียบ) กำลังมาแรงในปัจจุบัน
2.1 เนื้อหาหลักที่เปลี่ยนแปลงจากโคบิตเวอร์ชัน 3
ในโคบิต 4.0 ได้มีการเพิ่มและเปลี่ยนแปลงแก้ไขเนื้อหาบางส่วนจากโคบิตเวอร์ชัน 3 เพื่อเป็นการปรับให้มีความทันสมัยและมีเนื้อหาที่ครอบคลุมมากขึ้น โดยสิ่งที่เปลี่ยนแปลงแก้ไขหลักๆ มีดังต่อไปนี้
• ในโดเมนการตรวจสอบติดตาม (Monitor : M) ในโคบิตเวอร์ชัน 3 ได้มีการเปลี่ยนชื่อเป็นโดเมนการติดตามและประเมินผล (Monitor and Evaluate : ME)
• ในโดเมนการตรวจสอบติดตาม (M) ของโคบิตเวอร์ชัน 3 ในหัวข้อการควบคุมหลักที่ 3 และ 4 (M3 และ M4) เป็นกระบวนการในการตรวจสอบไม่ใช่กระบวนการทางด้านเทคโนโลยีสารสนเทศ ดังนั้นในโคบิต 4.0 จึงได้ทำการลบ 2 หัวข้อดังกล่าวออกไป เนื่องจากเนื้อหาในหัวข้อเหล่านี้มีการกล่าวถึงอยู่มากในมาตรฐานการตรวจสอบ (Audit Standards) ทั่วๆ ไป เช่น ISO/IEC 27001 หรือ CMMI เป็นต้น
• มีการเพิ่มหัวข้อการควบคุมหลักในโดเมนการติดตามและประเมินผล (ME) ซึ่งเป็นหัวข้อใหม่อีก 2 หัวข้อ คือ ME3 และ ME4 โดยเนื้อหาในส่วนของ ME3 จะเป็นเรื่องของกระบวนการที่เกี่ยวกับการการกำกับดูแลให้เป็นไปตามระเบียบข้อบังคับ และเนื้อหาในส่วนของ ME4 จะมีเนื้อหาที่ครอบคลุมในส่วนของกระบวนการในการกำกับดูแล เพื่อให้เกิดธรรมาภิบาลที่ดีบนระบบเทคโนโลยีสารสนเทศขององค์กร ซึ่งถือเป็นวัตถุประสงค์หลักของโคบิตอยู่แล้วในการผลักดันให้องค์กรมีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพ
• มีการเปลี่ยนชื่อและเนื้อหาบางส่วนของหัวข้อการควบคุมหลักในโดเมนการติดตามและประเมินผล (ME) ในหัวข้อการควบคุมหลักที่ 1 และ 2 (ME1 และ ME2) โดยหัวข้อ ME1 เปลี่ยนจาก Manage IT Performance เป็น Monitor and Evaluate IT Performance โดยเน้นในเรื่องของการตรวจสอบและประเมินประสิทธิภาพของเทคโนโลยีสารสนเทศเพิ่มมากขึ้น และในหัวข้อ ME2 เปลี่ยนจาก Monitor Internal Control เป็น Monitor and Evaluate Internal Control โดยเน้นในเรื่องของการควบคุมดูแลหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้อง
• ในโดเมนการวางแผนและการจัดองค์กร (PO) ของโคบิตเวอร์ชัน 3 ในส่วนของหัวข้อการควบคุมหลักหัวขอที่ 8 (PO8) ได้ถูกลบออกไป และได้นำหัวข้อ PO11 คือเรื่องการจัดการคุณภาพ (Manage Quality) มาไว้แทนที่ในหัวข้อที่ 8 เพื่อต้องการที่จะให้หัวข้อ PO9 คือเรื่องการประเมินความเสี่ยง (Assess Risk) และหัวข้อ PO10 คือเรื่องการจัดการโครงการ (Manage Projects) ยังคงอยู่ในลำดับเดิม เพื่อป้องกันความสับสนในการเปลี่ยนหมายเลขลำดับ ดังนั้นจึงทำให้โดเมนการวางแผนและการจัดองค์กรเหลือหัวข้อการควบคุมหลักเพียง 10 หัวข้อ (จากเดิมที่มี 11 หัวข้อในโคบิตเวอร์ชัน 3)
• ในโดเมนการจัดหาและนำระบบออกใช้งานจริง (AI) ได้มีการเพิ่มหัวข้อการควบคุมหลักขึ้นมาอีก 1 หัวข้อ โดยทำการย้ายมาจากหัวข้อที่ 5 (AI5) คือ Install and Accredit System กลายมาเป็นหัวข้อที่ 7 (AI7) และได้เปลี่ยนชื่อเป็น Install and Accredit Solutions and Changes ซึ่งผู้เชี่ยวชาญทั้งหลายต่างลงความเห็นว่าหัวข้อนี้ควรที่จะอยู่ในลำดับสุดท้ายของโดเมน AI ทำให้ในโดเมนนี้มีหัวข้อการควบคุมหลักทั้งหมด 7 หัวข้อ (จากเดิมในโคบิตเวอร์ชัน 3 มีทั้งหมด 6 หัวข้อ)
• ในโดเมน AI ได้มีการเปลี่ยนเนื้อหาในหัวข้อการควบคุมหลักที่ 5 หรือ AI5 (ซึ่งเนื้อหาเดิมได้ถูกย้ายไปเป็นหัวข้อ AI7 แล้ว) โดยมีชื่อว่า Procure IT Resource ซึ่งมีเนื้อหาเน้นในเรื่องของขั้นตอนในการจัดหาทรัพยากรด้านเทคโนโลยีสารสนเทศ (Procurement Process) มากขึ้น
• ในโคบิต 4.0 ได้มีการปรับเปลี่ยนปัจจัยเรื่องทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resource) ให้เหลือเพียง 4 ปัจจัย ได้แก่ สารสนเทศ (Information) ระบบงานประยุกต์ (Application) โครงสร้างพื้นฐาน (Infrastructure) และ บุคลากร (People) จากเดิมที่โคบิตเวอร์ชัน 3 มี คือ 5 ปัจจัย (ได้แก่ Data, Application, Technology, Facilities, People)
• ในโคบิต 4.0 ในส่วนของรายละเอียดในหัวข้อการควบคุมหลัก (High-Level Control Objectives) แต่ละหัวข้อ ได้มีการเพิ่มเนื้อหาและรายละเอียดต่างๆ เข้ามาอีก 4 ส่วนคือ Generic Inputs and Outputs, RACI Chart, Key Activity Goals และ Metrics (Maturity Model) ลงไปในทุกๆ หัวข้อการควบคุมย่อย (ซึ่งรายละเอียดในแต่ละส่วนจะขออธิบายในหัวข้อถัดไป) เพื่อให้เนื้อหาในโคบิต 4.0 มีความครอบคลุมมากขึ้นและสามารถนำไปใช้งานได้ง่ายขึ้น
2.2 สิ่งที่เพิ่มเข้ามาในหัวข้อการควบคุมหลัก
ในโคบิต 4.0 ได้มีการเพิ่มเนื้อหาเข้ามาในส่วนของหัวข้อการควบคุมหลักทั้งหมด 34 หัวข้อ ซึ่งในแต่ละหัวข้อจะมีเนื้อหาหลักที่แตกต่างกันออกไป เพื่อเป็นแนวทางปฏิบัติให้ผู้ที่นำไปใช้สามารถเข้าใจในรายละเอียดของหัวข้อการควบคุมต่างๆ ได้ดีขึ้น โดยสิ่งที่เพิ่มเข้ามาในหัวข้อการควบคุมหลักมีดังนี้
1. Generic Inputs and Outputs โดยมีเนื้อหาเพื่อบอกให้ผู้ใช้หรือผู้ที่เป็นเจ้าของกระบวนการทราบว่าหัวข้อการควบคุมนั้นๆ ต้องการข้อมูลเข้า (inputs) อะไรบ้าง และมาจากกระบวนการใด รวมทั้งยังบอกให้ทราบถึงผลลัพธ์ (Outputs) ของหัวข้อการควบคุมนั้นๆ อีกด้วย ว่าผลลัพธ์ที่ได้คืออะไร และเกี่ยวข้องกับกระบวนการใดต่อไป เพื่อให้ผู้ใช้งานและเจ้าของกระบวนการทราบได้ว่ากระบวนการปฏิบัติงานที่ตนต้องเกี่ยวข้องด้วยนั้นมีข้อมูลเข้าและข้อมูลออกคืออะไรบ้าง และข้อมูลเหล่านั้นมาจากแหล่งหรือกระบวนการใด โดยโคบิตจะทำการเชื่อมโยงข้อมูลเหล่านั้นเข้ากับหัวข้อการควบคุมของโคบิตด้วย ดังตัวอย่างในรูปที่ 6
2. RACI Chart เนื้อหาในส่วนนี้จะเป็นการพูดถึงเรื่องของหน้าที่และความรับผิดชอบของเจ้าของกระบวนการปฏิบัติงานต่างๆ โดยโคบิตเน้นที่การสร้างความเข้าใจในเรื่องของบทบาท หน้าที่ และความรับผิดชอบของกระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ซึ่งถือเป็นประเด็นหลักในการทำให้เกิดธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพ ดังตัวอย่างในภาพที่ 7
โดย RACI ย่อมาจาก Responsible, Accountable, Consulted and Informed ซึ่งแต่ละตัวมีบทบาทดังต่อไปนี้
• Responsible คือ บุคคลที่มีหน้าที่ในการดูแลรับผิดชอบ และดำเนินการเพื่อให้งานนั้นๆ ประสบผลสำเร็จ (ถือเป็นเจ้าของกระบวนการนั้นๆ)
• Accountable คือ บุคคลที่มีหน้าที่ในการกำหนดแนวทาง หรือเป้าหมายของกิจกรรมต่างๆ รวมไปถึงการกำหนดอำนาจหน้าที่ในกระบวนการปฏิบัติงานนั้นๆ ด้วย
• Consulted คือ บุคคลที่มีหน้าที่ในการสนับสนุน ให้ความรู้และคำแนะนำต่างๆ ในกระบวนการปฏิบัติงานที่เกี่ยวข้อง เพื่อให้กระบวนการปฏิบัติงานดังกล่าวมีประสิทธิภาพสูงสุด
• Informed คือ บุคคลต่างๆ ที่เกี่ยวข้องกับกระบวนการปฏิบัติงานนั้นๆ (ยกเว้นกลุ่มบุคคลข้างต้น) เพื่อให้ผู้บริหารสามารถแน่ใจได้ว่าพนักงานทุกคนที่เกี่ยวข้อง (แม้จะไม่ได้เป็นคนปฏิบัติงานดังกล่าว) รับรู้ถึงข้อมูลในส่วนข้องหน้าที่ความรับผิดชอบของกระบวนการนั้นๆ
3. Key Goals and Metrics เนื้อหาในส่วนนี้เป็นการพูดถึงเป้าหมายและเกณฑ์ที่ใช้ในการวัดประสิทธิภาพของเป้าหมายของหัวข้อการควบคุมต่างๆ ดังตัวอย่างในรูปที่ 8 โดยจะเน้นที่ 2 ส่วนคือ
• เป้าหมาย (Goals) ซึ่งแบ่งเป็น
เป้าหมายของกิจกรรม (Activity Goals)
เป้าหมายของกระบวนการ (Process Goals)
เป้าหมายด้านเทคโนโลยีสารสนเทศ (IT Goals)
• เกณฑ์ที่ใช้ในการวัด (Metrics) ซึ่งแบ่งตามเป้าหมายด้านบน ดังนี้
IT Key Goal Indicators เป็นเกณฑ์ที่ใช้วัดเป้าหมายของกิจกรรม
Process Key Goal Indicators เป็นเกณฑ์ที่ใช้วัดเป้าหมายของกระบวนการ
Key Performance Indicators เป็นเกณฑ์ที่ใช้วัดเป้าหมายด้าน IT
4. Maturity Model เป็นระดับของการควบคุมในหัวข้อการควบคุมต่างๆ ซึ่งเป็นส่วนทำให้ผู้บริหารทราบว่าการบริหารจัดการด้านเทคโนโลยีสารสนเทศในปัจจุบันอยู่ในระดับใด ทำให้สามารถวัดระดับและกำหนดเป้าหมายที่ต้องการได้ ซึ่งในโคบิต 4.0 ได้นำ Maturity Model เข้ามาไว้ในหัวข้อการควบคุมหลักทุกหัวข้อ โดยในแต่ละหัวข้อการควบคุมก็จะมี Maturity Model ที่มีเนื้อหาเฉพาะเจาะจงกับหัวข้อการควบคุมนั้นๆ จึงทำให้ผู้บริหารสามารถมองเห็นและวัดระดับประสิทธิภาพของการบริหารจัดการในหัวข้อนั้นๆ ได้ดียิ่งขึ้น โดยโคบิตได้แบ่งระดับของการควบคุมออกเป็น 6 ระดับ (ตั้งแต่ระดับที่ 0-5 โดยเรียงจากน้อยไปมาก) ซึ่งระดับของ Maturity Model แบ่งได้ตามรูปที่ 9
โครงสร้างของโคบิต (CoBIT Structure)
จากที่ได้อธิบายให้ทราบแล้วว่าเนื้อหาหลักของโคบิตแบ่งออกเป็นโดเมนหลัก 4 โดเมน เพื่อให้มีรายละเอียดครอบคลุมในเรื่องของการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่ดี และในแต่ละโดเมนก็ยังแบ่งเนื้อหาย่อยออกเป็นหลายๆ หัวข้อการควบคุมหลัก (Control Objectives) ซึ่งมีการเน้นรายละเอียดที่ต้องการที่แตกต่างกันไปตามแต่ละหัวข้อ ดังนั้นเพื่อให้ผู้อ่านสามารถเข้าใจเนื้อหา รายละเอียด ขอบเขต และวัตถุประสงค์ของแต่ละหัวข้อการควบคุมหลักมากยิ่งขึ้นจึงอยากจะขออธิบายรายละเอียดของแต่ละหัวข้อการควบคุมหลัก ว่าแต่ละหัวข้อต้องการที่จะเน้นในเรื่องใด สามารถนำไปปฏิบัติให้เกิดผลได้อย่างไร และให้ประโยชน์อะไรในการที่นำไปปฏิบัติ เป็นต้น เมื่อผู้อ่านเข้าใจในรายละเอียดของหัวข้อการควบคุมหลักแล้วจะทำให้สามารถมองภาพรวมของเนื้อหาในแต่ละโดเมนได้ดียิ่งขึ้น ซึ่งรายละเอียดในแต่ละหัวข้อการควบคุมหลักมีดังนี้
โดเมนการวางแผนและการจัดองค์กร (PO)
1. PO1 : Define a Strategic IT Plan
หัวข้อการควบคุมนี้เป็นการเน้นที่เรื่องของการกำหนดแผนกลยุทธ์ด้านเทคโนโลยีสารสนเทศ โดยโคบิตได้กล่าวไว้ว่าการวางแผนกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศ (IT Strategic Plan) ถูกจัดทำขึ้นเพื่อใช้ในการบริหารจัดการและใช้กำหนดทิศทางของทรัพยากรต่างๆ ที่มีอยู่ให้ดำเนินไปในทิศทางเดียวกับกลยุทธ์และความสำคัญของธุรกิจ แผนก IT และผู้ถือหุ้นทางธุรกิจมีหน้าที่ในการสร้างความมั่นใจว่าองค์กรจะได้รับผลตอบแทนที่ดีที่สุดจากโครงการและการให้บริการต่างๆ ที่องค์กรมีอยู่ ซึ่งในแผนธุรกิจควรที่จะมีการปรับปรุงเรื่องความเข้าใจหลักของผู้ถือหุ้นในส่วนของโอกาสที่ดี (Opportunities) และข้อจำกัด (Limitations) ทางด้านเทคโนโลยีสารสนเทศ เรื่องการประเมินประสิทธิภาพในปัจจุบัน และให้ความกระจ่างในเรื่องระดับของการลงทุนที่ต้องการ ซึ่งแผนกลยุทธ์ทางด้าน IT นี้จะต้องได้รับการยอมรับและมีความเข้าใจทั้งภาคธุรกิจและภาคของ IT
2. PO2 : Define the Information Architecture
หัวข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดสถาปัตยกรรมด้านเทคโนโลยีสารสนเทศขององค์กร โดยโคบิตได้เน้นว่า function การทำงานของระบบ IT ควรที่จะถูกสร้างและทำให้ทันสมัยอยู่เสมอ เพื่อปรับเปลี่ยนให้เหมาะสมตามโครงสร้างของธุรกิจ รวมถึงการพัฒนาพจนานุกรมข้อมูล (Data Dictionary) ด้วยรูปแบบและกฎเกณฑ์ (syntax rules) ขององค์กรเอง มีการจัดทำรูปแบบการจัดกลุ่มข้อมูล (data classification scheme) และการจัดระดับความปลอดภัยของข้อมูล เพื่อให้แน่ใจได้ว่าความน่าเชื่อถือและความปลอดภัยของข้อมูลได้ถูกจัดเตรียมไว้แล้ว ซึ่งวัตถุประสงค์ของกระบวนการนี้ต้องการที่จะเพิ่มความสามารถในการตรวจสอบติดตาม (Accountability) ในเรื่องของความถูกต้องและความปลอดภัยของข้อมูล และช่วยในการเพิ่มประสิทธิภาพของการควบคุมในด้านของการ share ข้อมูลสารสนเทศข้ามระบบงาน โดยการจัดระดับการเข้าถึงข้อมูลสารสนเทศเพื่อป้องกันไม่ให้ผู้ที่ไม่มีสิทธิเข้าถึงสารสนเทศโดยไม่ได้รับอนุญาต
3. PO3 : Determine Technological Direction
หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการกำหนดทิศทางในการใช้เทคโนโลยีสารสนเทศ เพื่อให้สามารถสนับสนุนการทำงานของภาคธุรกิจได้อย่างมีประสิทธิภาพ ซึ่งต้องการการสร้างแผนโครงสร้างพื้นฐานด้านเทคโนโลยี (Technology Infrastructure Plan) และควรที่จะปรับปรุงให้แผนทันสมัยอยู่เสมอ โดยแผนดังกล่าวควรประกอบไปด้วยเรื่องสถาปัตยกรรมระบบ (System Architecture) ทิศทางของเทคโนโลยี (Technology Direction) แผนการจัดหาระบบ (Acquisition Plan) และมาตรฐานต่างๆ ซึ่งกระบวนการต่างๆ เหล่านี้จะช่วยให้องค์กรสามารถตอบรับเปลี่ยนแปลงได้อย่างรวดเร็ว เพื่อให้ทันกับสภาพแวดล้อมของธุรกิจที่มีการแข่งขันกันสูง
4. PO4 : Define the IT Processes, Organization and Relationships
หัวข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดกระบวนการด้าน IT การจัดวางผังองค์กร และการจัดการความสัมพันธ์ภายในองค์กร โดยในโครงสร้างด้าน IT ควรที่จะมีการกำหนดความต้องการในด้านต่างๆ เช่น ความเชี่ยวชาญของบุคลากร หน้าที่การทำงานของระบบ ความสามารถในการตรวจสอบติดตาม การกำหนดสิทธิ์ เรื่องของบทบาท หน้าที่ความรับผิดชอบ และการควบคุมต่างๆ โดยผู้มีส่วนร่วมทั้งด้านของธุรกิจและด้านของ IT ควรที่จะต้องกำหนดระดับความสำคัญของทรัพยากรด้าน IT และควรมีการกำหนดนโยบายและขั้นตอนการปฏิบัติงานในทุกๆ function โดยเฉพาะเรื่องการควบคุม การรับประกันคุณภาพ (quality assurance) การจัดการความเสี่ยง (risk management) การรักษาความปลอดภัยของสารสนเทศ (information security) การกำหนดความเป็นเจ้าของในระบบและข้อมูลต่างๆ (data and system ownership) รวมถึงเรื่องของการแบ่งแยกหน้าที่ความรับผิดชอบ (segregation of duties) เพื่อให้แน่ใจได้ว่าระบบ IT สามารถสนับสนุนภาคธุรกิจได้อย่างมีประสิทธิภาพ
5. PO5 : Manage the IT Investment
หัวข้อการควบคุมนี้จะเน้นที่เรื่องของการบริหารจัดการในการลงทุนด้าน IT เพื่อให้มีความสอดคล้องกับแนวนโยบาย เป้าหมาย และวัตถุประสงค์ขององค์กร ตลอดจนข้อกำหนดทางธุรกิจต่างๆ ที่เกี่ยวข้อง มีการสร้างกระบวนการที่ใช้ในการพิจารณาการลงทุนด้าน IT อย่ารอบคอบ มีการควบคุมค่าใช้จ่ายอย่างรัดกุม สามารถตรวจสอบได้ และการลงทุนต้องให้ผลตอบแทนที่เหมาะสมมากที่สุด
6. PO6 : Communicate Management Aims and Direction
หัวข้อการควบคุมนี้เน้นที่เรื่องของการสื่อสารให้ทุกคนในองค์กรทราบถึงจุดมุ่งหมายและทิศทางในการบริหาร ซึ่งผู้บริหารระดับสูงควรที่จะมีการสร้างกรอบงานและนโยบายที่ใช้ในการสื่อสาร เพื่อสื่อสารให้พนักงานทุกคนทราบถึงภารกิจ วัตถุประสงค์ในการให้บริการ นโยบาย และขั้นตอนการปฏิบัติงานต่างๆ เพื่อให้สามารถแน่ใจได้ว่าพนักงานทุกคนมีความเข้าใจถึงสิ่งที่ได้กล่าวมาเพื่อเป็นการกระตุ้นให้พนักงานตระหนักถึงเรื่องของความเสี่ยงทั้งด้านธุรกิจและด้าน IT ได้ดียิ่งขึ้น ซึ่งกระบวนการนี้จำเป็นที่จะต้องได้รับการสนับสนุนและอนุมัติจากผู้บริหารระดับสูงขององค์กร
7. PO7 : Manage IT Human Resources
หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการบริหารจัดการทรัพยากรมนุษย์ที่เกี่ยวข้องกับด้านของเทคโนโลยีสารสนเทศ ซึ่งโคบิตได้บอกไว้ว่าการได้มา การดูแลรักษา และการกระตุ้นให้เกิดการทำงานที่มีประสิทธิภาพ เพื่อให้การบริการด้าน IT สามารถสนับสนุนภาคธุรกิจได้ สิ่งนี้จะสามารถสำเร็จได้ด้วยการกำหนดแนวทางในการปฏิบัติที่ชัดเจนในเรื่องของการสรรค์หาบุคลากรใหม่ คุณสมบัติของบุคลากร การฝึกอบรม การประเมินผลงาน การโยกย้ายเลื่อนตำแหน่ง และการปลดพนักงานออก เป็นต้น ซึ่งกระบวนการเหล่านี้เป็นกระบวนการที่มีความสำคัญอย่างยิ่ง เนื่องจากโคบิตถือว่าบุคลากรเป็นทรัพยากรที่มีความสำคัญมากที่สุดในบรรดาทรัพยากรทั้งหมดในองค์กร
8. PO8 : Manage Quality
หัวข้อการควบคุมนี้เป็นการเน้นที่เรื่องของการจัดการคุณภาพ ซึ่งระบบที่ใช้ในการจัดการคุณภาพควรที่จะมีการวางแผน พัฒนา ติดตั้ง และดูแลรักษา ด้วยการจัดเตรียมข้อมูลที่มีความชัดเจนในด้านนโยบาย ขั้นตอนการปฏิบัติงาน และความต้องการด้านคุณภาพ ซึ่งการพัฒนาอย่างต่อเนื่องสามารถบรรลุผลได้ด้วยการวิเคราะห์ และตรวจสอบติดตามอยู่ตลอดเวลา รวมถึงการรายงานผลที่ได้ไปยังผู้ที่มีส่วนเกี่ยวข้อง ซึ่งกระบวนการในการจัดการคุณภาพนี้ถือเป็นกระบวนการสำคัญที่ทำให้แน่ใจได้ว่า IT สามารถสนับสนุนธุรกิจได้ และสามารถที่จะพัฒนาต่อไปได้เพื่อเป็นการเพิ่มประสิทธิภาพของระบบ IT
9. PO9 : Assess and Manage IT Risk
หัวข้อการควบคุมนี้เน้นที่เรื่องของการประเมินและการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ โดยมีการสร้างและดูแลรักษากรอบการปฏิบัติ (framework) ด้านการจัดการความเสี่ยง ซึงเป็นแหล่งที่รวบรวมเอกสารต่างๆ ที่เกี่ยวกับเรื่องของความเสี่ยงด้านเทคโนโลยีสารสเทศ เช่นการจัดระดับของความเสี่ยงด้าน IT กลยุทธ์ที่ใช้ในการลดความเสี่ยง และรายการของความเสี่ยงที่เหลืออยู่ (residual risk) ผลกระทบต่างๆ ต่อเป้าหมายขององค์กรที่เกิดขึ้นจากการเหตุการณ์ที่ไม่ได้วางแผนไว้จะต้องถูกระบุ วิเคราะห์ และประเมินให้หมด ซึ่งกลยุทธ์ที่ใช้ในการลดความเสี่ยงจะต้องถูกนำมาใช้เพื่อลดความเสี่ยงที่เหลืออยู่ ให้อยู่ในระดับที่องค์กรสามารถยอมรับได้ (accepted level)
10. PO10 : Manage Projects
หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ ซึ่งควรทำการสร้าง framework ที่ใช้ในการบริหารจัดการโครงการ โดย framework นี้จะครอบคลุมในส่วนของแผนแม่บท (Master Plan) การกำหนดทรัพยากรที่จำเป็น การระบุสิ่งที่ต้องส่งมอบ การประกันคุณภาพ การสร้างแผนการทดสอบที่เป็นทางการ รวมไปถึงการทดสอบและพิจารณาหลังนำระบบออกใช้งานจริง เพื่อให้มั่นใจได้ว่ามีการบริหารจัดการความเสี่ยงของโครงการที่มีประสิทธิภาพ ซึ่งกระบวนการต่างๆ เหล่านี้จะช่วยลดความเสี่ยงที่ไม่สามารถคาดเดาได้ในด้านของต้นทุนและการล้มเลิกโครงการ และเพื่อให้แน่ใจได้ว่าผลลัพธ์ที่ได้จากโครงการจะมีคุณภาพและมีคุณค่าต่อองค์กร
โดเมนการจัดหาและนำระบบออกใช้งานจริง (AI)
1. AI1 : Identify Automated Solutions
หัวข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดระบบงานที่จะนำมาใช้ในการแก้ไขปัญหา โดยโคบิตได้ระบุไว้ว่าจะต้องทำการวิเคราะห์ก่อนที่จะมีการจัดหาหรือสร้างระบบงานใหม่ เพื่อให้มั่นใจได้ว่าความต้องการทางธุรกิจได้รับการตอบสนองด้วยวิธีการที่มีประสิทธิภาพและประสิทธิผล ซึ่งกระบวนการนี้จะครอบคลุมตั้งแต่การกำหนดความต้องการ การพิจารณาทางเลือกของแหล่งที่มา (การเลือกผู้จัดจำหน่าย) การพิจารณาความเป็นไปได้ในด้านของเทคโนโลยีและด้านธุรกิจ ทำการวิเคราะห์ความเสี่ยง (Risk Analysis) ทำการวิเคราะห์ต้นทุนและผลประโยชน์ที่จะได้รับ (Cost-Benefit Analysis) และต้องมีการสรุปในท้ายที่สุดว่าระบบใหม่ที่องค์กรต้องการนั้นจะ “ซื้อ” หรือจะ “พัฒนาเอง” ซึ่งขั้นตอนต่างๆ เหล่านี้จะช่วยให้องค์กรสามารถลดต้นทุนในการจัดหาหรือการพัฒนาระบบงานใหม่ และเพื่อให้มั่นใจได้ว่าสิ่งต่างๆ เหล่านี้จะทำให้ธุรกิจประสบความสำเร็จตามเป้าหมายที่ได้กำหนดไว้
2. AI2 : Acquire and Maintain Application Software
หัวข้อการควบคุมนี้เน้นที่เรื่องของการจัดหาและดูแลในส่วนของระบบงานประยุกต์ (Application) ที่องค์กรนำมาใช้ โดยโคบิตกล่าวไว้ว่าระบบงานประยุกต์ต่างๆ ที่นำมาใช้จะต้องเป็นไปตามความต้องการของภาคธุรกิจ ซึ่งกระบวนการนี้จะครอบคลุมตั้งแต่การออกแบบระบบงาน การรวมเรื่องของการควบคุมและการรักษาความปลอดภัยเข้าไปในระบบงานที่จะพัฒนา และการลงมือสร้างระบบและการตั้งค่า configuration ให้เป็นไปตามมาตรฐานความปลอดภัย สิ่งเหล่านี้ทำให้ธุรกิจขององค์กรได้รับการสนับสนุนจากระบบงานที่ถูกต้องเหมาะสม
3. AI3 : Acquire and Maintain Technology Infrastructure
หัวข้อการควบคุมนี้จะเน้นที่เรื่องของการจัดหาและการดูแลรักษาโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ (Technology Infrastructure) ซึ่งองค์กรควรจัดให้มีกระบวนการที่ใช้ในการจัดหา ติดตั้ง และการพัฒนาระบบโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ โดยกระบวนการนี้ต้องการการวางแผนในการจัดหา การดูแลรักษา และการป้องกันในส่วนของโครงสร้างพื้นฐานเพื่อให้เป็นไปตามกลยุทธ์ด้านเทคโนโลยีที่องค์กรได้กำหนดไว้ ซึ่งกระบวนการเหล่านี้จะทำให้แน่ใจได้ว่าเทคโนโลยีสารสนเทศจะสามารถสนับสนุนระบบงานด้านธุรกิจได้อย่างต่อเนื่อง
4. AI4 : Enable Operation and Use
หัวข้อการควบคุมนี้เน้นที่เรื่องของการเผยแพร่ความรู้ของระบบงานใหม่ให้กับพนักงานในองค์กรรับทราบ ซึ่งกระบวนการนี้รวมไปถึงการสร้างคู่มือในการปฏิบัติงานของทั้งผู้ใช้งานและเจ้าหน้าที่ด้าน IT และยังต้องมีการฝึกอบรม เพื่อให้มั่นใจได้ว่าผู้ใช้งานสามารถใช้งานระบบสารสนเทศและโครงสร้างพื้นฐานต่างๆ ได้อย่างถูกต้องและเหมาะสม
5. AI5 : Procure IT Resources
หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการจัดหาทรัพยากรด้านเทคโนโลยีสารสนเทศ ซึ่งทรัพยากรด้านเทคโนโลยีสารสนเทศในความหมายของโคบิตรวมตั้งแต่บุคลากร hardware, software และ บริการต่างๆ โดยที่สิ่งต่างๆ เหล่านี้จำเป็นต้องมีกระบวนการที่ใช้ในการจัดหาอย่างมีประสิทธิภาพ ซึ่งกระบวนการนี้ต้องการการกำหนดและการบังคับใช้ขั้นตอนในการจัดหา (Procurement Procedures) มีการคัดเลือกผู้จัดจำหน่าย มีการจัดเตรียมสัญญาที่ใช้ในการจ้างพนักงาน ซึ่งกระบวนการเหล่านี้จะทำให้มั่นใจได้ว่าองค์กรจะมีทรัพยากรด้านเทคโนโลยีสารสนเทศที่ต้องการได้อย่างทันเวลาและมีการใช้ต้นทุนอย่างมีประสิทธิภาพ
6. AI6 : Manage Changes
หัวข้อการควบคุมนี้จะเน้นที่เรื่องของการบริหารดูแลการเปลี่ยนแปลงต่างๆ โดยโคบิตกล่าวไว้ว่าการเปลี่ยนแปลงที่เกิดขึ้นทั้งหมดที่เกี่ยวข้องกับโครงสร้างพื้นฐานและระบบงานต่างๆที่อยู่ในสภาพแวดล้อมของระบบงานจริง (Production Environment) จำเป็นต้องมีการบริหารจัดการที่เป็นระบบเพื่อใช้ควบคุมการเปลี่ยนแปลงที่เกิดขึ้น ซึ่งการเปลี่ยนแปลงทั้งหลาย (รวมตั้งแต่ขั้นตอนและกระบวนการที่ใช้ในการปฏิบัติงาน และค่า parameter ต่างๆที่ใช้ในการให้บริการของระบบ) จำเป็นที่จะต้องถูกจัดเก็บ (Logged) เพื่อสามารถนำมาใช้ในการวิเคราะห์เมื่อเกิดปัญหาจากการเปลี่ยนแปลงได้ ซึ่งกระบวนการเหล่านี้จะทำให้มั่นใจได้ว่าสามารถลดความเสี่ยงจากผลกระทบที่ไม่ดีในด้านของความมั่นคง (Stability) และความถูกต้อง (Integrity) ในสภาพแวดล้อมของระบบงานจริง
7. AI7 : Install and Accredit Solutions and Changes
หัวข้อการควบคุมนี้เน้นในเรื่องของกระบวนการที่ใช้ในการพัฒนาและติดตั้งระบบสารสนเทศใหม่ ซึ่งในกระบวนการนี้จำเป็นต้องมีการทดสอบที่เหมาะสมในสภาพแวดล้อมที่เตรียมไว้สำหรับการทดสอบโดยเฉพาะ ต้องมีการจัดทำคู่มือสำหรับการติตั้งระบบ มีการเตรียมแผนการติดตั้งระบบใหม่ (Release Planning) มีการเตรียมแผนในการผลักดันระบบที่พัฒนาออกใช้งานจริง และมีการสังเกตการณ์หลังจากที่ได้นำระบบออกใช้งานจริงแล้ว (Post-Implementation Review) เพื่อให้มั่นใจว่าการทำงานของระบบสารสนเทศจะเป็นไปตามที่ได้คาดหวังไว้
โดเมนการส่งมอบและการสนับสนุน (DS)
1. DS1 : Define and Manage Service Levels
หัวข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดและจัดการระดับของการให้บริการ (Service Level) ซึ่งจำเป็นต้องใช้การสื่อสารที่มีประสิทธิภาพระหว่างฝ่าย IT กับฝ่ายธุรกิจ หรือลูกค้าในการตกลงเพื่อให้เกิดความพึงพอใจกับทุกฝ่าย โดยควรมีการจัดทำเป็นเอกสารที่ระบุถึงข้อตกลงร่วมกันในด้านของระดับการให้บริการด้าน IT ที่ชัดเจน ซึ่งกระบวนการนี้จะทำให้การบริการด้าน IT สามารถตอบสนองไปในทิศทางที่ธุรกิจต้องการได้อย่างถูกต้องและมีประสิทธิภาพ
2. DS2 : Manage Third-Party Services
หัวข้อการควบคุมนี้เน้นที่เรื่องของการดูแลและจัดการกับการให้บริการของผู้ให้บริการภายนอกที่องค์กรใช้บริการอยู่ การที่ผู้บริหารจะมั่นใจได้ว่าบริการที่ได้รับจากผู้ให้บริการภายนอกจะสามารถตอบสนองความต้องการของธุรกิจได้นั้น จำเป็นต้องมีกระบวนการในการบริหารจัดการผู้ให้บริการที่มีประสิทธิภาพ โดยกระบวนการนี้จะสมบูรณ์ได้นั้นจะต้องประกอบด้วยการกำหนดบทบาท หน้าที่ความรับผิดชอบ และความคาดหวังในข้อตกลงของผู้ให้บริการภายนอกอย่างชัดเจน รวมถึงการตรวจสอบติดตามในข้อตกลงดังกล่าวเพื่อให้ได้รับบริการที่มีประสิทธิภาพและเป็นไปตามข้อตกลงที่ได้กำหนดไว้ ซึ่งกระบวนการบริหารจัดการผู้ให้บริการภายนอกที่มีประสิทธิภาพจะช่วยลดความเสี่ยงด้านธุรกิจที่เกี่ยวข้องกับการไม่ปฏิบัติตามข้อตกลงของผู้ให้บริการภายนอกได้
3. DS3 : Manage Performance and Capacity
หัวข้อการควบคุมนี้เน้นที่เรื่องของการบริหารจัดการในส่วนของประสิทธิภาพและความสามารถของระบบเทคโนโลยีสารสนเทศที่องค์กรนำมาใช้ ซึ่งการบริหารจัดการประสิทธิภาพและความสามารถของทรัพยากรด้านเทคโนโลยีสารสนเทศ ต้องการกระบวนการที่ใช้ในการในการตรวจสอบติดตามประสิทธิและความสามารถของทรัพยากรด้านเทคโนโลยีสารสนเทศเป็นช่วงเวลาที่แน่นอน ซึ่งกระบวนการนี้รวมไปถึงการพยากรณ์ความต้องการทรัพยากรในอนาคตโดยดูจาก workload ในปัจจุบัน โดยกระบวนการนี้เป็นการสร้างความมั่นใจว่าทรัพยากรด้านเทคโนโลยีสารสนเทศจะสามารถนำมาใช้เพื่อสนับสนุนความต้องการทางด้านธุรกิจได้อย่างต่อเนื่องตลอดเวลา
4. DS4 : Ensure Continuous Service
หัวข้อการควบคุมนี้เน้นที่เรื่องของความต่อเนื่องในการให้บริการด้านเทคโนโลยีสารสนเทศ โดยโคบิตกล่าวไว้ว่าการจัดเตรียมการบริการด้านเทคโนโลยีสารสนเทศให้มีความต่อเนื่องอยู่เสมอ จำเป็นต้องมีการพัฒนา การดูแลรักษา และการทดสอบในส่วนของแผนความต่อเนื่องด้านเทคโนโลยีสารสนเทศ (IT Continuity Plan) การสำรองแหล่งข้อมูลที่ศูนย์สำรอง (Offsite Backup Storage) และกำหนดการฝึกอบรมตามแผนความต่อเนื่องอย่างเป็นช่วงเวลาที่แน่นอน (Periodic Continuity Plan Training) ซึ่งแผนความต่อเนื่องที่มีประสิทธิภาพจะช่วยลดโอกาสเกิดและผลกระทบของการหยุดชะงักในการให้บริการด้านเทคโนโลยีสารสนเทศที่มีความสำคัญในกระบวนการทางธุรกิจ
5. DS5 : Ensure Systems Security
หัวข้อการควบคุมนี้ถือเป็นหัวข้อหนึ่งที่มีความสำคัญมากเนื่องในหัวข้อนี้จะเน้นที่เรื่องของการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศ โดยโคบิตได้บอกไว้ว่าในเรื่องของการดูแลรักษาความถูกต้องของสารสนเทศและการป้องกันทรัพย์สินด้านเทคโนโลยีสารสนเทศ จำเป็นต้องมีกระบวนการบริหารจัดการด้านความปลอดภัยที่ดี ซึ่งกระบวนการนี้ประกอบด้วยการสร้างและการดูแลรักษาบทบาทและหน้าที่ความรับผิดชอบในส่วนของความปลอดภัยด้านเทคโนโลยีสารสนเทศ การกำหนดนโยบาย มาตรฐาน และขั้นตอนการปฏิบัติงานด้านความปลอดภัยที่ดี รวมถึงมีการตรวจสอบติดตามด้านความปลอดภัย มีการทดสอบความถูกต้องเป็นประจำ และมีการแก้ไขจุดอ่อนด้านความปลอดภัยที่ตรวจพบด้วยกระบวนการที่มีความถูกต้อง ซึ่งการบริหารจัดการด้านความปลอดภัยที่มีประสิทธิภาพจะช่วยป้องกันทรัพย์สินทั้งหมดในองค์กรให้มีผลกระทบจากช่องโหว่และเหตุผิดปกติด้านความปลอดภัยน้อยที่สุด
6. DS6 : Identify and Allocate Costs
หัวข้อการควบคุมนี้เน้นที่เรื่องของการระบุและจัดสรรต้นทุนด้านเทคโนโลยีสารสนเทศ การจัดสรรต้นทุนด้านเทคโนโลยีสารสนเทศที่มีความยุติธรรมและสมเหตุสมผลนั้น ต้องการตัววัดที่มีความถูกต้องแม่นยำและต้องได้รับความเห็นชอบจากผู้ใช้งานภาคธุรกิจด้วย ซึ่งกระบวนการจัดสรรที่เป็นธรรมนี้จะช่วยลดความเสี่ยงต่อความเสียหายที่เกิดจากการกำหนดนโยบายในการจัดสรรงบประมาณในการดำเนินงาน และยังช่วยลดความเสียหายที่เกิดจากการใช้ทรัพยากรที่ไม่เหมาะสมอีกด้วย
7. DS7 : Educate and Train Users
หัวข้อการควบคุมนี้เน้นที่เรื่องของการให้ความรู้และการฝึกอบรมพนักงาน ซึ่งโคบิตระบุไว้ว่าการให้ความรู้และการฝึกอบรมในเรื่องที่เกี่ยวกับระบบสารสนเทศอย่างมีประสิทธิภาพกับพนักงานทั้งองค์กรจะเริ่มตั้งแต่การระบุการฝึกอบรมที่พนักงานแต่ละกลุ่มต้องการ การกำหนดและการดำเนินการในเรื่องของกลยุทธ์ที่ใช้ในการฝึกอบรม และต้องมีการวัดผลของการฝึกอบรมนั้นๆ ด้วย ซึ่งการโปรแกรมการฝึกอบรมที่มีประสิทธิภาพจะช่วยเพิ่มประสิทธิภาพในการใช้งานระบบสารสนเทศด้วยการลดข้อผิดพลาดที่เกิดจากตัวพนักงาน ช่วยเพิ่มผลผลิตให้กับองค์กร และช่วยให้เกิดการปฏิบัติตามการควบคุมต่างๆ ที่องค์กรนำมาใช้ได้ง่ายยิ่งขึ้น
8. DS8 : Manage Service Desk and Incidents
หัวข้อการควบคุมนี้เน้นที่เรื่องของการบริหารจัดการด้านการให้บริการและเหตุการณ์ที่เกิดขึ้น ซึ่งโคบิตบอกไว้ว่าการตอบสนองในเรื่องของปัญหาหรือข้อสงสัยด้าน IT จากผู้ใช้งานที่มีประสิทธิภาพและอยู่ในเวลาที่เหมาะสม ต้องการการวางแผน และมีการใช้กระบวนการบริหารจัดการที่ดี โดยกระบวนการนี้เริ่มตั้งแต่การจัดตั้งหน่วยงานที่ทำหน้าที่ในการให้บริการ มีการกำหนดระดับขั้นในการจัดการเหตุการณ์ (Incident Escalation) มีการวิเคราะห์แนวโน้มและสาเหตุของปัญหา และมีการกำหนดแนวทางที่ใช้ในการแก้ไขปัญหาที่ชัดเจน ซึ่งกระบวนการเหล่านี้จะช่วยเพิ่มประสิทธิภาพในการแก้ไขปัญหาที่เกิดขึ้น ทำให้สามารถแก้ไขปัญหาได้อย่างรวดเร็วทันต่อความต้องการของธุรกิจ และต้องมีการจัดทำรายงานของปัญหาที่เกิดขึ้นให้ผู้บริหารทราบด้วย
9. DS9 : Manage the Configuration
หัวข้อการควบคุมนี้จะเน้นที่เรื่องของการดูแลการ configuration ในส่วนของ hardware และ software ต่างๆ ซึ่งโคบิตได้กำหนดไว้ว่าการที่จะสามารถแน่ใจได้ว่า configuration ของ hardware และ software ที่ใช้ในองค์กรจะมีความถูกต้องตรงกัน จำเป็นต้องมีการสร้างและดูแลรักษาแหล่งที่ใช้ในการเก็บค่า configuration ต่างๆ ให้มีความถูกต้องและสมบูรณ์อยู่เสมอ ซึ่งกระบวนการของหัวข้อการควบคุมนี้รวมไปถึงการเก็บรวบรวมค่า configuration เริ่มต้น มีการสร้าง baseline ต่างๆ มีการตรวจสอบความถูกต้องของค่า configuration และจำเป็นที่จะต้องมีการปรับปรุงแหล่งที่เก็บค่า configuration ให้ทันสมัยอยู่เสมอ การบริหารจัดการค่า configuration ให้มีประสิทธิภาพจะช่วยส่งเสริมให้ระบบมีสภาพพร้อมใช้งานที่มากขึ้น ช่วยลดประเด็นข้อผิดพลาดที่เกิดในระบบงาน และช่วยให้การแก้ไขประเด็นข้อผิดพลาดต่างๆ ทำได้อย่างรวดเร็ว
10. DS10 : Manage Problems
หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการจัดการปัญหาที่เกิดขึ้นภายในองค์กร โดยโคบิตได้บอกไว้ว่าการจัดการกับปัญหาที่มีประสิทธิภาพนั้นต้องการการระบุและการจัดกลุ่มของปัญหา การวิเคราะห์ถึงสาเหตุของปัญหา และการกำหนดแนวทางที่ใช้ในการแก้ไขปัญหา ซึ่งกระบวนการที่ใช้ในการจัดการปัญหาเริ่มตั้งแต่การกำหนดข้อแนะนำต่างๆ ในเรื่องของการปรับปรุงแก้ไขข้อบกพร่อง การดูแลจัดการบันทึกของปัญหาที่เกิดขึ้น และการปรับปรุงให้ลูกค้าเกิดความสะดวกสบายและความพึงพอใจ
11. DS11 : Manage Data
หัวข้อการควบคุมนี้เน้นที่เรื่องของการบริหารจัดการในส่วนของข้อมูลที่ใช้ในการปฏิบัติงาน โดยโคบิตได้กล่าวไว้ว่าการบริหารจัดการข้อมูลที่มีประสิทธิภาพจำเป็นที่จะต้องมีการระบุความต้องการของข้อมูล โดยกระบวนการที่ใช้ในการบริหารจัดการข้อมูลประกอบด้วยการสร้างวิธีการที่ใช้ในการบริหารการจัดเก็บข้อมูลอย่างมีประสิทธิภาพ การสำรองและการกู้คืนข้อมูล และการจัดวางข้อมูลต่างๆ ให้เหมาะสม เป็นต้น ซึ่งการบริหารจัดการข้อมูลที่มีประสิทธิภาพจะช่วยให้สามารถแน่ใจได้ว่าข้อมูลทางธุรกิจจะเป็นข้อมูลที่มีคุณภาพ ทันสมัย และมีสภาพพร้อมใช้งานอยู่เสมอ
12. DS12 : Manage the Physical Environment
หัวข้อการควบคุมนี้จะเน้นถึงเรื่องของการบริหารจัดกรอุปกรณ์ที่เป็น Physical devices ซึ่งการป้องกันเครื่องมือและอุปกรณ์ต่างๆ จำเป็นที่จะต้องมีการออกแบบและการบริหารจัดการที่ดี โดยกระบวนการของการบริหารจัดการสิ่งเหล่านี้จะประกอบไปด้วยการระบุความต้องการของสถานที่ตั้ง (Physical Site) การคัดเลือกอุปกรณ์ที่เหมาะสม การออกแบบกระบวนการที่มีประสิทธิภาพเพื่อใช้ในการตรวจสอบติดตามปัจจัยของสภาพแวดล้อมต่างๆ และการดูแลการเข้าถึงทางกายภาพ (Physical Access) ซึ่งการบริหารจัดการด้านสภาพแวดล้อมทางกายภาพ (Physical Environment) ที่มีประสิทธิภาพ จะช่วยลดการหยุดชะงักของภาคธุรกิจที่เกิดจากความเสียหายของอุปกรณ์คอมพิวเตอร์และบุคลากร
13. DS13 : Manage Operations
หัวข้อการควบคุมนี้จะเน้นในเรื่องของการบริหารจัดการกระบวนการปฏิบัติงาน ซึ่งโคบิตได้กล่าวไว้ว่าความครบถ้วนสมบูรณ์และถูกต้องของกระบวนการในการประมวลผลข้อมูลต่างๆ ต้องการการบริหารจัดการที่มีประสิทธิภาพ รวมไปถึงการดูแลรักษา hardware ที่มีประสิทธิภาพด้วย โดยกระบวนการนี้รวมตั้งแต่การกำหนดนโยบายของการปฏิบัติงาน การกำหนดขั้นตอนการปฏิบัติงานที่มีประสิทธิภาพ การจัดตารางในการปฏิบัติงานที่มีประสิทธิภาพ การป้องกันผลลัพธ์ที่มีความสำคัญ การตรวจสอบโครงสร้างพื้นฐาน รวมถึงการดูแลและป้องกัน hardware ให้สามารถใช้งานได้อยู่ตลอดเวลา ซึ่งการบริหารจัดการกระบวนการปฏิบัติงานที่มีประสิทธิภาพจะช่วยให้ข้อมูลต่างๆ มีความถูกต้องอยู่เสมอ และยังช่วยลดความล่าช้าในการปฏิบัติงานด้านเทคโนโลยีสารสนเทศอีกด้วย
โดเมนการติดตามและประเมินผล (ME)
1. ME1 : Monitor and Evaluate IT Performance
หัวข้อการควบคุมนี้เน้นในเรื่องของการตรวจสอบและการประเมินประสิทธิภาพของของระบบสารสนเทศ โดยโคบิตได้ระบุไว้ว่าการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพจำเป็นต้องมีการตรวจสอบติดตามการปฏิบัติงานเหล่านั้นด้วย ซึ่งกระบวนการนี้รวมตั้งแต่การกำหนดตัวชี้วัดประสิทธิภาพที่เกี่ยวข้อง การรายงานผลของประสิทธิภาพอย่างเป็นระบบและเป็นเวลา การเตรียมขั้นตอนในการรับมือเมื่อเกิดปัญหา ซึ่งการตรวจสอบติดตามนั้นคือความต้องการให้แน่ใจว่าสิ่งที่ถูกต้องได้ถูกนำมาปฏิบัติเพื่อให้เป็นไปตามทิศทางของนโยบายในองค์กร
2. ME2 : Monitor and Evaluate Internal Control
หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่การสร้างรายการของการควบคุมภายในที่มีประสิทธิภาพสำหรับระบบเทคโนโลยีสารสนเทศที่ต้องการกระบวนการตรวจสอบที่ถูกสร้างขึ้นมาอย่างดี ซึ่งกระบวนการนี้ประกอบไปด้วยการตรวจสอบและการรายงานผลของการไม่ปฏิบัติตามการควบคุม (Control Exceptions) ผลของการประเมินประสิทธิภาพการทำงาน และการตรวจสอบประสิทธิภาพของผู้ให้บริการต่างๆ ภายนอก ข้อดีที่สำคัญของการตรวจสอบติดตามการควบคุมภายในคือการสร้างความเชื่อมั่นในเรื่องของประสิทธิภาพและประสิทธิผลของกระบวนการปฏิบัติงาน และ เพื่อให้กระบวนการดังกล่าวเป็นไปตามกฎระเบียบที่องค์กรนำมาใช้
3. ME3 :Ensure Regulatory Compliance
หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการสร้างขั้นตอนที่ใช้ในการตรวจสอบอย่างเป็นอิสระ เพื่อให้สามารถมั่นใจได้ว่าการปฏิบัติงานต่างๆ ภายในองค์กรนั้นเป็นไปตามที่กำหนดไว้ในกฎหมายและระเบียบข้อบังคับต่างๆ ซึ่งรวมถึงการกำหนดกฎระเบียบด้านการตรวจสอบ (Audit Charter) ความเป็นอิสระของผู้ตรวจสอบ (Auditor Independence) มาตรฐานและศีลธรรมของผู้เชี่ยวชาญ (Professional Ethics and Standard) ประสิทธิภาพในการปฏิบัติงานของผู้ตรวจสอบ (Performance of Audit Work) การรายงานและการติดตามผลการปฏิบัติงานด้านการตรวจสอบ (Reporting and Follow-up of Audit Activities) เป้าหมายของหัวข้อการควบคุมนี้เพื่อจัดเตรียมขั้นตอนต่างๆที่เกี่ยวข้องกับการปฏิบัติตามกฎหมายและระเบียบข้อบังคับต่างๆ ที่สามารถเชื่อถือได้
4. ME4 : Provide IT Governance
หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการสร้างแนวทางการปฏิบัติด้านธรรมาภิบาลที่มีประสิทธิภาพ ซึ่งรวมตั้งแต่การกำหนดโครงสร้างขององค์กร กระบวนการปฏิบัติงาน ความเป็นผู้นำ บทบาทและหน้าที่ความรับผิดชอบ เพื่อให้สามารถแน่ใจได้ว่าการลงทุนทางด้านเทคโนโลยีสารสนเทศสามารถสอดคล้องและสนับสนุนกลยุทธ์และวัตถุประสงค์ขององค์กรได้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น