ปัจจัยพื้นฐานทั้ง 7 ประการในการขับเคลื่อนการกำกับดูแลเทคโนโลยีสารสนเทศ

ของ COBIT 5

โดย ดร. บรรจง หะรังษี

กลไกการขับเคลื่อนการกำกับดูแลเทคโนโลยีสารสนเทศโดยมาตรฐาน COBIT 5  ได้นำเสนอปัจจัยพื้นฐาน

7 ประการตามที่แสดงในรูปด้านล่าง จากนี้ไปจะขอเรียกว่า “ปัจจัยก่อให้เกิดความสำเร็จ” หรือเรียกโดยย่อว่า “ปัจจัยก่อเกิด”

บทความที่แล้ว “หลักการทั้ง 5 หลักการของ COBIT 5” ได้กล่าวถึงความสำคัญของหลักการทั้ง 5 หลักการของ COBIT 5  หนึ่งในหลักการทั้ง 5 หลักการคือหลักการข้อที่ 4 ซึ่งกล่าวถึงการใช้ปัจจัยก่อเกิดร่วมกันทั้งหมด (Enabling a Holistic Approach) และยังได้อธิบายว่าต้องใช้ทั้ง 7 ประการร่วมกันจึงจะเกิดความสำเร็จผลได้ในการกำกับดูแล และในทางกลับกันใช้แค่เพียงบางประการจะไม่เกิดความสำเร็จผล

บทความนี้มีจุดมุ่งหมายในการอธิบายวิธีการนำปัจจัยก่อเกิดทั้ง 7 ประการไปสู่การปฏิบัติ เพื่อให้ผู้อ่านมีความเข้าใจว่าแต่ละประการต้องทำอะไรบ้าง และมีวิธีการอย่างไรในการนำสู่การปฏิบัติ

รูปด้านล่างแสดงให้เห็นถึงแนวคิดโดยภาพรวมในการนำปัจจัยก่อเกิด (แต่ละประการ) ไปสู่การใช้งาน

ขออนุญาตไล่เรียงในการอธิบายแต่ละหัวข้อตามที่ปรากฏในภาพ

โดยรวมปัจจัยก่อเกิด (แต่ละปัจจัย) ประกอบด้วยแนวคิด 2 ส่วน ได้แก่

ตามเอกสารอ้างอิง A Business Framework for the Governance and Management of Enterprise IT ไม่ได้กล่าวถึงว่าลึกๆ แล้วองค์ประกอบเหล่านี้สะท้อนถึงอะไร เมื่อผู้เขียนพิจารณาองค์ประกอบพื้นฐานเหล่านี้ของปัจจัยก่อเกิด (ทั้ง 7 ประการร่วมกันแล้ว) ซึ่งจะได้อธิบายในย่อหน้าถัดไป พอจะสรุปได้ว่าองค์ประกอบพื้นฐานเหล่านี้สะท้อนถึงกระบวนการพื้นฐานของปัจจัยก่อเกิด

เมื่อมองลึกๆ แล้วองค์ประกอบพื้นฐานของปัจจัยก่อเกิดก็คือกระบวนการพื้นฐานของปัจจัยก่อเกิดนั่นเอง ดังนั้นการวัดประสิทธิภาพของปัจจัยก่อเกิดจึงหมายถึงการวัดประสิทธิภาพของกระบวนการพื้นฐานนั่นเอง โดยรวมจึงหมายถึงเมื่อมีการจัดทำกระบวนการพื้นฐานขึ้นมา ก็จำเป็นต้องมีการวัดประสิทธิภาพของกระบวนการพื้นฐานเหล่านั้นด้วย ทั้งนี้เพื่อให้ทราบว่ากระบวนการพื้นฐานเหล่านั้นไปสู่เป้าหมายที่เราต้องการหรือไม่ ซึ่งก็คือคำว่า Goals ที่ปรากฏในรูปด้านบนนั่นเอง

ส่วนที่ 1: องค์ประกอบพื้นฐานของปัจจัยก่อเกิด (Enabler Dimension)

องค์ประกอบพื้นฐานของปัจจัยก่อเกิดแบ่งออกเป็น  4 องค์ประกอบย่อย ได้แก่

ในรูปที่ปรากฏด้านล่างซึ่งเป็นรูปของปัจจัยก่อเกิดด้านข้อมูล ให้สังเกตตรงคำว่า Stakeholders ซึ่งประกอบด้วยผู้ที่เกี่ยวข้องกับข้อมูลทั้งภายในและภายนอก (Internal and External Stakeholders) ซึ่งต้องตีความว่าข้อมูลในแต่ละประเภทมีความเกี่ยวข้องกับผู้ใช้งานภายในใดบ้าง และมีผู้ใช้งานภายนอกใดบ้าง ทั้งหมด กล่าวคือ ทั้งผู้ใช้งานภายในและภายนอกจะเป็นผู้ที่เกี่ยวข้องกับข้อมูลนั่นเอง

ตามความเห็นของผู้เขียน วิธีปฏิบัติที่ดีของปัจจัยก่อเกิดควรกำหนดขึ้นมาเพื่อใช้งานร่วมกับกระบวนการพื้นฐานสำหรับการบริหารจัดการปัจจัยก่อเกิดนั้น ยกตัวอย่างเช่น สำหรับปัจจัยก่อเกิดด้านข้อมูล ควรกำหนดกระบวนการบริหารจัดการข้อมูลขึ้นมาและบังคับใช้งานอย่างเป็นรูปธรรม กระบวนการพื้นฐานดังกล่าวอาจมีขั้นตอนการระบุชั้นความลับของข้อมูล การจัดทำข้อมูล การจำกัดการเข้าถึงข้อมูล การแจกจ่ายข้อมูลไปยังผู้รับผิดชอบหรือผู้ที่เกี่ยวข้อง การทบทวนข้อมูล การจำหน่ายออกข้อมูล และการทำลายข้อมูลที่อยู่บนสื่อบันทึกข้อมูล เป็นต้น

กระบวนการพื้นฐานของปัจจัยก่อเกิดจะมีเอกสารนำเข้าและเอกสารนำออกที่เรียกว่า inputs และ outputs นั่นเอง ตามรูปในด้านบนภาษาอังกฤษใช้คำว่า Inputs/Outputs หรือจะเรียกอีกอย่างหนึ่งว่า Work Products ก็ได้ คำว่า Work Products เป็นคำรวมของทั้ง inputs และ outputs นั่นเอง

ส่วนที่ 2: การวัดประสิทธิภาพของปัจจัยก่อเกิด (Enabler Performance Management)

การวัดประสิทธิภาพของปัจจัยก่อเกิด หรือในอีกความหมายหนึ่งก็คือการวัดประสิทธิภาพของกระบวนการพื้นฐานของปัจจัยก่อเกิด

ในการวัดประสิทธิภาพของปัจจัยก่อเกิด ให้พิจารณาประเด็นดังต่อไปนี้ 4 ประเด็นซึ่งประกอบด้วย

ให้ดูรูปด้านล่างประกอบด้วย

ประเด็นที่ 1: Are stakeholder needs addressed?

ความต้องการต่างๆ ของผู้ที่เกี่ยวข้องต้องมีการระบุให้ชัดเจน นอกจากต้องระบุผู้ที่เกี่ยวข้องแล้ว ยังต้องระบุความต้องการของผู้ที่เกี่ยวข้องเหล่านั้นด้วย

ยกตัวอย่างเช่น สำหรับความต้องการของปัจจัยก่อเกิดด้านข้อมูล ผู้ที่เกี่ยวข้องกับข้อมูลอาจต้องการให้ข้อมูลมีความถูกต้อง มีความน่าเชื่อถือ และมีความมั่นคงปลอดภัย เป็นต้น

ความต้องการเหล่านี้เมื่อได้มีการระบุแล้ว ควรมีการวัดผลว่าสิ่งที่เป็นผลลัพธ์ที่เกิดขึ้นมีความสอดคล้องกับความต้องการที่กำหนดไว้นั้นมากน้อยเพียงใด หรือจะเรียกว่าเป็นตัวชี้วัดของความต้องการด้านข้อมูลก็ว่าได้

ประเด็นที่ 2: Are enabler goals achieved?

เป้าหมายของปัจจัยก่อเกิด (Goals) ควรจะบรรลุและทำได้จริงตามที่กำหนดไว้ ควรมีการกำหนดทั้งเป้าหมายและตัวชี้วัดของปัจจัยก่อเกิดขึ้นมาด้วยเพื่อใช้ในการวัดว่าเป้าหมายที่ต้องการ เมื่อดำเนินการไปแล้ว ไปสู่เป้าหมายที่กำหนดไว้หรือไม่ ตัวชี้วัดในภาษาอังกฤษตามในรูปข้างบนใช้เป็นคำว่า Metrics for Achievement of Goals

ยกตัวอย่างเช่น หากเป้าหมายของปัจจัยก่อเกิดด้านข้อมูลเป็นเรื่องของความถูกต้องของข้อมูล ตัวชี้วัดอาจจะเป็นเรื่องของความผิดพลาดของข้อมูลที่พบ

หากเป้าหมายเป็นเรื่องของความมั่นคงปลอดภัยของข้อมูล ตัวชี้วัดอาจจะเป็นเรื่องของเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้นกับข้อมูล

ประเด็นที่ 3: ls the enabler life cycle managed?

วัฏจักรของปัจจัยก่อเกิดควรมีการบริหารจัดการปัจจัยก่อเกิดนั้นนับตั้งแต่เริ่มต้นวงจรชีวิตของปัจจัยก่อเกิด นำปัจจัยก่อเกิดสู่การใช้งาน ทบทวนและปรับปรุง จนกระทั่งยุติหรือยกเลิกการใช้งานปัจจัยก่อเกิดนั้น ยกตัวอย่างเช่น

ประเด็นที่ 4: Are good practices applied?

ตามที่ได้แนะนำให้มีการกำหนดกระบวนการพื้นฐานควบคู่กับวิธีปฏิบัติที่ดีนั้น  วิธีปฏิบัติที่ดีจะช่วยให้กระบวนการพื้นฐานมีความสมบูรณ์มากยิ่งขึ้น และอาจรวมถึงการแก้ไขข้อบกพร่องของกระบวนการเดิมที่มีอยู่เพื่อปรับปรุงกระบวนการให้ดียิ่งขึ้นนั่นเอง ดังนั้นการนำวิธีปฏิบัติที่ดีใหม่ๆ มาใช้งานกับกระบวนการพื้นฐานจึงสามารถช่วยพัฒนากระบวนการเดิมให้ดียิ่งขึ้นได้

ตามรูปด้านบน การนำวิธีปฏิบัติใหม่ๆ มาใช้งาน จึงควรมีการกำหนดตัวชี้วัดของการนำมาใช้งานเหล่านั้น ภาษาอังกฤษด้านบนใช้คำว่า Metrcis for Applications of Practices เพื่อดูว่าเมื่อนำมาใช้งานแล้ว กระบวนการเดิมได้รับการพัฒนาให้ดียิ่งขึ้นหรือไม่

จริงๆ แล้วเป็นที่ความคาดหวังว่า กระบวนการพื้นฐานเดิมที่ได้รับการพัฒนาให้ดียิ่งขึ้นโดยการนำวิธีปฏิบัติที่ดีมาใช้งาน จะทำให้เป้าหมายของปัจจัยก่อเกิดเป็นไปตามที่กำหนดไว้

ความสัมพันธ์ระหว่างวิธีปฏิบัติที่ดีกับเป้าหมายของปัจจัยก่อเกิด

ขออนุญาตยกตัวอย่างเพื่ออธิบายความสัมพันธ์ระหว่างวิธีปฏิบัติที่ดีกับเป้าหมายของปัจจัยก่อเกิด จากปัจจัยก่อเกิดด้านข้อมูลที่ใช้เป็นตัวอย่างมาโดยตลอด ถ้าเรามองว่ากระบวนการพื้นฐานของข้อมูล ซึ่งประกอบด้วยวิธีปฏิบัติที่ดีของข้อมูลต่างๆ เช่น วิธีปฏิบัติในการจัดเก็บข้อมูลบนสื่อบันทึกข้อมูลให้มีความปลอดภัย อาจกำหนดให้

วิธีปฏิบัติดังกล่าวนั้นจะเอื้ออำนวยให้เป้าหมายที่กำหนดไว้ 3 ด้านของข้อมูลเกิดความสอดคล้องและเป็นจริงขึ้นมาได้ ขออนุญาตยกเป้าหมายของข้อมูลมาอีกครั้งหนึ่ง

กล่าวคือ เมื่อสื่อบันทึกข้อมูลมีการจัดเก็บไว้ในสถานที่ที่มีความปลอดภัย เป้าหมายด้านความมั่นคงปลอดภัยและสามารถเข้าถึงข้อมูลได้โดยผู้ที่ได้รับอนุญาตเท่านั้น ก็จะเป็นจริงตามที่กำหนด และเมื่อสื่อบันทึกข้อมูลมีการจัดเก็บไว้ในสถานที่ที่ปลอดจากสนามแม่เหล็ก เป้าหมายด้านเนื้อหาข้อมูล ได่แก่ ความถูกต้องและความน่าเชื่อถือ ก็จะเป็นจริงตามที่กำหนดเช่นกัน

ต่อไปจะกล่าวถึงปัจจัยก่อเกิดทีละปัจจัยเรียงตามลำดับ กล่าวคือ

โดยอธิบายถึงเฉพาะส่วนที่ 1 กล่าวคือ องค์ประกอบพื้นฐานของปัจจัยก่อเกิด (Enabler Dimension) ซึ่งประกอบด้วย 4 องค์ประกอบย่อย

สำหรับองค์ประกอบย่อย ในส่วนของผู้ที่เกี่ยวข้อง ไม่มีประเด็นเพิ่มเติมมากนัก นอกจากระบุผู้ที่เกี่ยวข้องของปัจจัยก่อเกิดนั้นเท่านั้น และในส่วนของวัฏจักร ก็เช่นเดียวกัน ซึ่งเป็นวงจรชีวิตของปัจจัยก่อเกิดนั้น ก็ไม่มีประเด็นเพิ่มเติมมากนักที่จะอธิบายถึง สำหรับองค์ประกอบย่อยส่วนที่เหลือ ได้แก่ เป้าหมายและวิธีปฏิบัติที่ดีของปัจจัยก่อเกิด จะเน้นการอธิบาย 2 องค์ประกอบย่อยนี้เป็นพิเศษ เพื่อให้ผู้อ่านเข้าใจและสามารถนำแนวคิดไปประยุกต์ใช้งานได้ด้วยตนเอง  

สำหรับส่วนที่ 2  กล่าวคือการวัดประสิทธิภาพของปัจจัยก่อเกิด ไม่มีประเด็นที่ต้องอธิบายเพิ่มเติมแล้ว โดยสรุปสำหรับส่วนที่ 2 นี่้ หากมีการนำวิธีปฏิบัติที่ดีของปัจจัยก่อเกิดมาใช้งาน จะทำให้เป้าหมายของปัจจัยก่อเกิดที่กำหนดไว้ เช่น กำหนดจากความต้องการของผู้ที่เกี่ยวข้อง ทำได้จริงตามที่ต้องการ

ปัจจัยก่อเกิดด้านหลักการ นโยบาย และ Framework ที่เกี่ยวข้อง

จริงๆ แล้วถ้าเราพิจารณานำเรื่องของการกำกับดูแลเทคโนโลยีสารสนเทศที่ COBIT 5 ได้นำเสนอแนวคิดมาปรับใช้งานกับองค์กร ผู้ที่เกี่ยวข้องตามขอบเขตของการกำกับดูแลเทคโนโลยีสารสนเทศโดยรวมแล้วก็จะเป็นกลุ่มคนชุดเดียวกันทั้งหมด ไม่ว่าจะเป็นปัจจัยก่อเกิดใดในทั้ง 7 ประการ

สำหรับผู้ที่เกี่ยวข้องและต้องปฏิบัติตามหลักการ นโยบาย และ Framework ขององค์กรที่กำหนดไว้ พอสรุปได้ว่าหลักการและนโยบายเหล่านั้นที่ต้องปฏิบัติตามจะหมายถึงหลักการและนโยบายที่เกี่ยวข้องกับการกำกับดูแลเทคโนโลยีสารสนเทศนั่นเอง

ความต้องการของผู้ที่เกี่ยวข้องเหล่านั้นแล้วแต่มีความต้องการอย่างไรบ้าง ให้กำหนดความต้องการที่เกี่ยวข้อง และเมื่อนำปัจจัยก่อเกิดนี้ไปปฏิบัติ ให้พิจารณาว่าความต้องการเหล่านั้นบรรลุผลตามที่ต้องการหรือไม่

        เป้าหมายประกอบด้วย

ตัวชี้วัดของเป้าหมายอาจกำหนดไว้ดังนี้

วิธีปฏิบัติที่ดีอาจประกอบด้วย

ปัจจัยก่อเกิดด้านกระบวนการ

สามารถอ้างอิงผู้ที่เกี่ยวข้องเดียวกับปัจจัยก่อเกิดด้านหลักการ นโยบายและ Framework ในข้างต้นได้

เนื่องจาก COBIT 5 ได้กำหนดกระบวนการทั้ง 37 กระบวนการไว้ให้แล้วตามที่ปรากฏในรูปข้างต้น ตลอดจนเป้าหมายและตัวชี้วัดของแต่ละกระบวนการได้ถูกกำหนดไว้ให้แล้ว มีครบทั้ง 37 กระบวนการ

ยกตัวอย่างเช่น กระบวนการในการบริหารความเสี่ยง APO12 Manage Risk ตามที่ปรากฏในรูปข้างต้น มีเป้าหมายและตัวชี้วัดกำหนดไว้ดังนี้

เป้าหมายและตัวชี้วัดที่ COBIT 5 กำหนดไว้ให้แล้วสามารถนำมาปรับใช้งานได้โดยทันที โดยมีให้ครบทั้ง 37 กระบวนการ

ปัจจัยก่อเกิดด้านโครงสร้างองค์กร

        เป้าหมายประกอบด้วย

ตัวชี้วัดของเป้าหมายอาจกำหนดไว้ดังนี้

วิธีปฏิบัติที่ดีอาจประกอบด้วย

ปัจจัยก่อเกิดด้านวัฒนธรรม จริยธรรม และพฤติกรรม

วัฒนธรรม จริยธรรม และพฤติกรรมสะท้อนถึงพฤติกรรมทั้งรายบุคคลและโดยรวมของบุคลากรภายในองค์กรทั้งหมด โดยพื้นฐานแล้ววัฒนธรรม จริยธรรม และพฤติกรรมจำเป็นต้องมีการหล่อหลอมให้กับบุคลากรภายในองค์กรเพื่อให้มีพฤติกรรมตามที่องค์กรนั้นประสงค์ เช่น หากต้องการให้บุคลากรมีวัฒนธรรมการตรงต่อเวลา ก็ควรจะกำหนดให้การดำเนินกิจกรรมต่างๆ ของบุคลากรภายในองค์กรต้องรักษาเวลาให้เป็นไปตามที่กำหนดไว้เป็นอย่างยิ่ง กรณีที่ดำเนินการสอดคล้อง อาจจะมีการให้รางวัลเพื่อชมเชย ในทางกลับกันหากเป็นการละเมิด อาจจะมีการลงโทษตามแต่กรณี

        เป้าหมายประกอบด้วย

ตัวชี้วัดของเป้าหมายอาจกำหนดไว้ดังนี้

วิธีปฏิบัติที่ดีอาจประกอบด้วย

ปัจจัยก่อเกิดด้านข้อมูล

        เป้าหมายประกอบด้วย

ตัวชี้วัดของเป้าหมายอาจกำหนดไว้ดังนี้

วิธีปฏิบัติที่ดีอาจประกอบด้วย

ปัจจัยก่อเกิดด้านบริการสารสนเทศ โครงสร้างพื้นฐาน และระบบงาน

บริการสารสนเทศ โครงสร้างพื้นฐาน และระบบงาน โดยรวมจะหมายถึงการพัฒนาบริการสารสนเทศ ระบบงาน ตลอดจนเทคโนโลยีสารสนเทศที่เกี่ยวข้องเพื่อใช้งานภายในองค์กร การพัฒนาบริการสารสนเทศและระบบงานดังกล่าวมีความเกี่ยวข้องกับบริการและระบบงานที่มีอยู่แล้วในปัจจุบัน และวางแผนพัฒนาบริการใหม่ หรือปรับปรุงบริการเดิมที่มีอยู่ ตลอดจนระบบงานที่สนับสนุนบริการเหล่านั้นให้ดียิ่งขึ้น ทั้งนี้เพื่อให้ได้ประโยชน์ตามความต้องการของผู้ใช้งาน ตลอดจนสนับสนุนวิสัยทัศน์ พันธกิจและกลยุทธ์ขององค์กรที่กำหนดไว้ บริการสารสนเทศ ระบบงาน และเทคโนโลยีสารสนเทศที่สนับสนุนจะถูกเรียกรวมๆ ว่า “สถาปัตยกรรมองค์กร” หรือที่เรียกกันว่า Enterprise Architecture

        เป้าหมายประกอบด้วย

ตัวชี้วัดของเป้าหมายอาจกำหนดไว้ดังนี้

วิธีปฏิบัติที่ดีอาจประกอบด้วย

ปัจจัยก่อเกิดด้านบุคลากร ทักษะ และสมรรถนะ

        เป้าหมายประกอบด้วย

ตัวชี้วัดของเป้าหมายอาจกำหนดไว้ดังนี้

วิธีปฏิบัติที่ดีอาจประกอบด้วย

!!! บทความนี้มีจุดประสงค์เพื่อการใช้งานในการวิจัยและพัฒนา ตลอดจนศึกษาเพื่อการเรียนรู้ส่วนตัว ห้ามนำไปใช้ในเชิงพาณิชย์

**สนใจรายละเอียดเพิ่มเติมติดต่อ: Info@tnetsecurity.com