หลักการทั้ง 5 หลักการของ COBIT 5

โดย ดร. บรรจง หะรังษี

บทความนี้มีจุดประสงค์เพื่อสร้างความเข้าใจเกี่ยวกับหลักการสำคัญทั้ง 5 หลักการของ COBIT 5 ว่ามีความสำคัญอย่างไร เพื่อให้ผู้ที่สนใจที่จะนำ framework ของ COBIT 5 นำไปใช้งานได้เกิดความเข้าใจว่าการจะนำ COBIT 5 ไปใช้งานนั้นหลักการสำคัญประกอบไปด้วยอะไรบ้าง และสาระสำคัญของหลักการเหล่านั้นคืออะไรบ้าง

รูปด้านล่างได้แสดงถึงหลักการทั้ง 5 หลักการของ COBIT 5

หลักการนี้มีความมุ่งหมายในการแปลงความต้องการของผู้ที่เกี่ยวข้อง (ภาษาอังกฤษจะใช้คำว่า Stakeholder) ไปเป็นเป้าหมายที่ต้องปฏิบัติ

ความต้องการของผู้ที่เกี่ยวข้องดังกล่าวจะถูกโยงไปหาปัจจัยที่ก่อให้เกิดการกำกับดูแลเทคโนโลยีสารสนเทศที่ดี (ภาษาอังกฤษจะใช้คำว่า Enabler) ซึ่งจะขออนุญาตเรียกสั้นๆ ว่า “ปัจจัยก่อเกิด” ปัจจัยเหล่านี้ประกอบด้วย

ยกตัวอย่างเช่น ถ้าความต้องการของผู้ที่เกี่ยวข้อง มีความเกี่ยวข้องกับกระบวนการของ COBIT 5 (ซึ่งโดยพื้นฐานแล้วประกอบด้วยกระบวนการที่เกี่ยวข้องจำนวนทั้งหมด 37 กระบวนการ) เป้าหมายที่ต้องปฏิบัติจะเป็นเป้าหมายของกระบวนการที่เกี่ยวข้องและต้องพัฒนาหรือจัดทำกระบวนการเหล่านั้นขึ้นมา

ในบทความ “COBIT 5 กับการนำไปใช้งาน” ได้อธิบายและแสดงให้เห็นถึงการแปลงความต้องการของผู้ที่เกี่ยวข้องไปเป็นกระบวนการที่ต้องจัดทำหรือพัฒนาขึ้นมา พร้อมทั้งเป้าหมายของกระบวนการเหล่านั้น ขออนุญาตอธิบายโดยสังเขปดังนี้ ในรายละเอียดให้อ้างอิงจากบทความดังกล่าว โดยพื้นฐานแล้วการแปลงจะเริ่มต้นจาก

ถ้าความต้องการของผู้ที่เกี่ยวข้องมีความเกี่ยวข้องกับข้อมูลหรือสารสนเทศ เป้าหมายที่ต้องปฏิบัติจะเป็นเป้าหมายด้านเนื้อหาของข้อมูล (เช่น ความถูกต้อง ความน่าเชื่อถือ) เป้าหมายด้านบริบทของข้อมูล (เช่น ข้อมูลนั้นมีความเกี่ยวข้องกับบริบทของการนำไปใช้งาน ข้อมูลนั้นมีความสมบูรณ์ในการนำไปใช้งาน ข้อมูลนั้นมีความทันสมัยในการนำไปใช้งาน) และเป้าหมายด้านความมั่นคงปลอดภัยและสามารถเข้าถึงได้ของข้อมูล (เช่น ข้อมูลต้องสามารถเข้าถึงได้ และต้องสามารถการจำกัดการเข้าถึงข้อมูลได้)

สำหรับหลักการข้อที่ 1 นี้ สาระสำคัญที่ต้องปฏิบัติคือ

ในบรรดาหลักการทั้ง 5 หลักการของ COBIT 5 หลักการข้อที่ 1 นี้เป็นหลักการที่ไม่ง่ายในการที่จะแปลงไปสู่การปฏิบัติได้ ส่วนหนึ่งที่สนับสนุนว่าหลักการข้อที่ 1 นี้ไม่ง่ายในการที่จะนำไปปฏิบัติคือ เมื่อพิจารณาปัจจัยก่อเกิดด้านกระบวนการแล้ว COBIT ได้นำเสนอแนวคิดในการพัฒนาหรือการจัดทำกระบวนการ (จำนวนทั้งสิ้น 37 กระบวนการ) ขึ้นมาใช้งานกับองค์กรที่มีความสนใจมาเป็นระยะเวลาช้านานแล้ว แต่ผู้ที่จะสามารถพัฒนากระบวนการทั้งหมดเหล่านั้นขึ้นมาใช้งานได้ จำเป็นต้องมีความรู้ความสามารถในกระบวนการเหล่านั้นเป็นอย่างดี กระบวนการเหล่านั้นมีความพัวพันกับมาตรฐานด้านไอทีอื่นๆ อีกหลายมาตรฐานอย่างน้อยตามที่ปรากฏในรูปด้านล่าง

รูปนี้แสดงให้เห็นว่า COBIT ทำหน้าที่เป็น framework ที่ครอบคลุมกระบวนการของมาตรฐานอื่นๆ ไว้ภายใต้ตัว COBIT นั่นเอง เนื้อหาค่อนข้างไม่น้อยของกระบวนการของ COBIT จะมีการอ้างอิงไปยังกระบวนการของมาตรฐานต่างๆ ตามที่ปรากฏในรูปข้างต้น ดังนั้นผู้ที่จะพัฒนาหรือจัดทำกระบวนการของ COBIT ได้จำเป็นต้องมีความรู้และความเข้าใจในมาตรฐานอื่นๆ ตามที่ปรากฏในรูปเป็นอย่างน้อย สิ่งนี้เป็นเหตุผลสำคัญที่ทำให้การพัฒนากระบวนการของ COBIT ขึ้นมาใช้งานภายในองค์กรหนึ่งเป็นสิ่งที่ทำได้ไม่ง่ายนัก

หลักการข้อนี้ความหมายตามที่ปรากฏในภาษาอังกฤษตามเอกสารอ้างอิง A Business Framework for the Governance and Management of Enterprise IT คือมีการกำกับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศตลอดทั่วทั้งองค์กร เอกสารอ้างอิงดังกล่าวได้ให้คำอธิบายไว้ดังนี้

การกำกับดูแลทั่วทั้งองค์กรดังกล่าวจะหมายถึงการมีโครงสร้างในการกำกับดูแลเทคโนโลยีสารสนเทศ (ซึ่งในหลายๆ องค์กร อาจจะเรียกว่ามีบอร์ดและคณะกรรมการด้านเทคโนโลยีสารสนเทศในการกำกับดูแล)  มีทรัพยากรที่จำเป็นต้องใช้ในการขับเคลื่อนดังกล่าว และมีขอบเขตที่ชัดเจนของการกำกับดูแล

 

รูปในข้างต้นสามารถอธิบายได้ว่ามีบอร์ดในการกำกับดูแลองค์กร (ภาษาอังกฤษตามในรูปคือ Governing Body) โดยบอร์ดจะทำหน้าที่ในการกำหนดทิศทาง (ซึ่งหมายถึงกลยุทธ์และวัตถุประสงค์ที่ต้องดำเนินการให้สำเร็จให้จงได้) และมีคณะกรรมการขับเคลื่อนด้านเทคโนโลยีสารสนเทศ (ภาษาอังกฤษตามในรูปคือ Management) ซึ่งอาจประกอบด้วยตัวแทนของหน่วยงานภายในต่างๆ และมีไอทีเป็นตัวแทนของหน่วยงานภายในด้วยเช่นกัน บุคลากรเหล่านี้จะทำหน้าที่เป็นคณะกรรมการภายในองค์กรและทำหน้าที่ร่วมกันบริหารจัดการให้เป็นไปตามทิศทางที่กำหนดไว้ (กลยุทธ์และวัตถุประสงค์ที่กำหนดไว้) โดยบอร์ดขององค์กรนั่นเอง

สำหรับหลักการข้อนี้ สาระสำคัญที่ต้องปฏิบัติคือการกำหนดโครงสร้างคณะกรรมการในการกำกับดูแลด้านเทคโนโลยีสารสนเทศขึ้นมา เพื่อทำหน้าที่ในการกำกับดูแลทั่วทั้งองค์กรตามที่หลักการข้อนี้ได้กำหนดไว้ การกำหนดโครงสร้างนี้ขึ้นมาจะทำให้ปัจจัยก่อเกิดด้านโครงสร้างองค์กร (Organisational structures) (ซึ่งเป็น 1 ใน 7 ปัจจัย) มีการกำหนดขึ้นมาอย่างเป็นรูปเป็นร่างและอย่างเป็นรูปธรรม ซึ่งจะทำให้การขับเคลื่อนในเรื่องของการกำกับดูแลสามารถเกิดขึ้นและดำเนินการได้

หลักการข้อนี้มุ่งหมายให้รวมมาตรฐานทั้งหมดที่ ISACA ได้มีการจัดทำ (เช่น COBIT, Val IT, COBIT for Risk, BMIS, ITAF ฯลฯ) ในรอบระยะเวลาหลายปีที่ผ่านมา และมาตรฐานอื่นๆ ที่ ISACA ไม่ได้มีการจัดทำ (เช่น ISO/IEC 27001 ITIL CMMI TOGAF ฯลฯ) รวมเข้าไว้ภายใต้เฟรมเวิร์คเดียวกัน กล่าวคือสามารถใช้งานมาตรฐานอันหลากหลายดังกล่าวเพื่อกำกับดูแลเทคโนโลยีสารสนเทศทั้งหมดขององค์กรได้

สำหรับหลักการข้อนี้ สาระสำคัญที่แนะนำให้ปฏิบัติคือ ควรใช้ COBIT 5 เป็น framework ในภาพใหญ่ขององค์กรและเสริมด้วยมาตรฐานอื่นๆ ตามที่ปรากฏในรูปด้านล่าง

หลักการข้อนี้มุ่งหมายให้นำปัจจัยก่อเกิดทั้ง 7 มาใช้งานร่วมกัน ปัจจัยทั้ง 7 นี้ต้องนำมาใช้งานร่วมกันทั้งหมด จะใช้แค่เพียงบางรายการเท่านั้นไม่ได้

ถ้าย้อนกลับไปดูคำอธิบายของสาระสำคัญที่ต้องปฏิบัติของปัจจัยก่อเกิดทั้ง 7 ในข้างต้น จะพอสรุปได้ว่า

คำอธิบายในย่อหน้าที่แล้วนั้นทำให้พอสรุปได้ว่าปัจจัยก่อเกิดทั้ง 7 ประการต้องนำมาใช้ร่วมกันในการกำกับดูแลเทคโนโลยีสารสนเทศขององค์กร

สาระสำคัญของหลักการข้อนี้คือ สาระสำคัญของปัจจัยก่อเกิดทั้ง 7 ประการตามที่ได้อธิบายไปแล้วภายใต้หลักการข้อที่ 1

หลักการข้อนี้มุ่งหมายให้แยกเรื่องของการกำกับดูแลเทคโนโลยีสารสนเทศออกจากเรื่องของการบริหารจัดการเทคโนโลยีสารสนเทศ เข้าใจว่าเพื่อให้ไม่เกิดสภาพของการขัดแย้ง กล่าวคือ บอร์ดจะทำหน้าที่ในการกำหนดทิศทาง ซึ่งประกอบด้วยกลยุทธ์และวัตถุประสงค์ที่ต้องดำเนินการให้สำเร็จ จากนั้นบอร์ดจะทำหน้าที่ในการกำกับดูแลคณะกรรมการขับเคลื่อนด้านเทคโนโลยีสารสนเทศเพื่อให้ดำเนินการตามทิศทางที่กำหนดไว้ หากบอร์ดไม่เห็นด้วยกับการดำเนินการของคณะกรรมการขับเคลื่อน จะสามารถคัดค้าน ให้ข้อเสนอแนะ หรือคำแนะนำในการปรับปรุงให้ดียิ่งขึ้น จึงทำให้เกิดกลไกการคัดค้านซึ่งกันและกันระหว่างบอร์ดและคณะกรรมการขับเคลื่อน

ถ้าไม่ได้มีการแยกบอร์ดออกจากคณะกรรมการขับเคลื่อนด้านเทคโนโลยีสารสนเทศ เช่น รวมกันเป็นหนึ่งเดียว จะทำให้ไม่เกิดกลไกการคัดค้าน การให้ข้อคิดเห็น หรือคำแนะนำในการปรับปรุงในเรื่องของความไม่เหมาะสมต่างๆ ในการดำเนินการให้ดียิ่งขึ้น

สาระสำคัญของหลักการข้อนี้จึงเหมือนกับหลักการข้อที่ 2

ทั้งนี้ ท่านที่สนใจรายละเอียดของหลักการทั้ง 5 สามารถศึกษาเพิ่มเติมได้จาก COBIT 5: A Business Framework for the Governance and Management of Enterprise IT (https://www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx)

อกสารอ้างอิง

B. Harangsee and P. Hamtanon, "COBIT5 กับการนำไปใช้งาน", 2012.

ISACA., COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. ISACA, 2012.

!!! บทความนี้มีจุดประสงค์เพื่อการใช้งานในการวิจัยและพัฒนา ตลอดจนศึกษาเพื่อการเรียนรู้ส่วนตัว ห้ามนำไปใช้ในเชิงพาณิชย์

**สนใจรายละเอียดเพิ่มเติมติดต่อ: Info@tnetsecurity.com