การประเมินระดับการเจริญเติบโตของกระบวนการของ COBIT 5

โดย ดร. บรรจง หะรังษี

บทความนี้มีจุดประสงค์เพื่ออธิบายวิธีการประเมินระดับการเจริญเติบโตของกระบวนการของ COBIT 5 เหตุผลที่ต้องมีการประเมินระดับการเจริญเติบโตของกระบวนการ คือ COBIT 5ได้ใช้หลักการเดียวกับ CMMI เพื่อประเมินกระบวนการที่ต้องการพัฒนาหรือปรับปรุงขึ้นมาว่ามีขีดความสามารถในระดับใด ก่อนที่จะไปพัฒนาหรือปรับปรุงกระบวนการนั้นขึ้นมา (คำว่า “ขีดความสามารถของกระบวนการ” หมายถึง คุณสมบัติที่จำเป็นของกระบวนการที่สามารถช่วยองค์กรให้บรรลุวัตถุประสงค์ที่กำหนดไว้ได้)  การประเมินก่อนการปรับปรุงกระบวนการดังกล่าวมีจุดประสงค์เพื่อให้เห็นสภาพปัจจุบันของกระบวนการและกำหนดเป้าหมายให้ ชัดเจนในการปรับปรุงกระบวนการเหล่านั้นว่าต้องการให้มีขีดความสามารถอยู่ในระดับใด CMMI และ COBIT 5 ได้แบ่งระดับการเจริญเติบโตตามขีดความสามารถของกระบวนการโดยแบ่งเป็น 5 ระดับ ตั้งแต่ระดับที่ 1 จนถึงระดับที่ 5 โดยที่ระดับที่หนึ่งถือได้ว่าเป็นระดับพื้นฐานที่สุดของกระบวนการ จนกระทั่งถึงระดับที่ 5 ซึ่งเป็นระดับสูงสุด ที่กระบวนการจะช่วยทำให้บรรลุเป้าหมายของธุรกิจที่กำหนดไว้ ดังนั้นโดยพื้นฐานแล้วผู้ที่ปฏิบัติงานกับกระบวนการทุกคนก็จะตั้งเป้าเพื่อไปให้ถึงระดับการเจริญเติบโตในระดับที่สูงที่สุดซึ่งในที่นี้ก็คือระดับที่ 5 นั่นเอง

ในบรรดาปัจจัยพื้นฐานที่จะก่อให้เกิดความสำเร็จของการนำ COBIT 5 มาใช้งาน หนึ่งในปัจจัยพื้นฐาน (ซึ่งมีทั้งหมดด้วยกัน

7 ปัจจัยพื้นฐาน ผู้เขียนเรียกปัจจัยดังกล่าวว่า “ปัจจัยก่อเกิด”) คือกระบวนการของ COBIT 5 ในการที่จะนำกระบวนการต่างๆ ของ COBIT 5 ซึ่งมีด้วยกันทั้งหมด 37 กระบวนการไปสู่การใช้งานหรือการปฏิบัติ สิ่งแรกสุดที่ต้องดำเนินการคือการประเมินกระบวนการขององค์กร โดยเทียบกับกระบวนการของ COBIT 5 (ผู้เขียนขอเรียกว่ากระบวนการมาตรฐานและแนะนำว่าให้ประเมินให้ครบทั้ง 37 กระบวนการ) ว่ามีขีดความสามารถอยู่ในระดับใดและสภาพของกระบวนการเป็นอย่างไร จากนั้นจึงกำหนดขอบเขตว่ามีกระบวนการใดบ้างที่จำเป็นต้องปรับปรุงเพิ่มเติม และควรตั้งเป้าว่าต้องการปรับปรุงเพื่อไปให้ถึงระดับการเจริญเติบโตใด ในทางปฏิบัติผู้เขียนมักจะแนะนำให้ตั้งเป้าที่ระดับการเจริญเติบโตเดียวกันของทุกกระบวนการที่อยู่ในขอบเขตของการปรับปรุง ยกตัวอย่างเช่น ระดับการเจริญเติบโตที่ 3 (เพราะดูแล้วก็ไม่มีเหตุผลที่จะตั้งเป้าให้กระบวนการต่างๆ ที่อยู่ในขอบเขตเดียวกันของการพัฒนาหรือปรับปรุงมีระดับการเจริญเติบโตที่แตกต่างกัน)

เอกสารอ้างอิง COBIT 5 Enabling Processes เป็นเอกสารที่อ้างอิงกระบวนการมาตรฐานทั้ง 37 กระบวนการ ที่ผู้อ่านสามารถศึกษาและนำความรู้ที่ได้มาพัฒนาหรือปรับปรุงกระบวนการของตนเองให้สอดคล้องกับหรืออ้างอิงตามข้อมูลที่ปรากฏในเอกสารอ้างอิงดังกล่าว ที่ตามมาเป็นหัวข้อของแต่ละกระบวนการมาตรฐานที่ปรากฏในเอกสารอ้างอิงดังกล่าว โดยแต่ละกระบวนการจะมีหัวข้อเหล่านี้เหมือนกันทั้งหมด

  1. Process Description
  2. Process Purpose Statement
  3. The process supports the achievement of a set of primary IT-related goals
  4. Process Goals and Metrics
  5. RACI Chart
  6. Process Good Practices

ขออนุญาตอธิบายแต่ละหัวข้อเพื่อให้พอให้เข้าใจได้โดยสังเขป

โดยรวมผู้อ่านควรทำตามหัวข้อทั้งหมดที่ COBIT 5 ได้ให้คำแนะนำไว้นั้น เพื่อพัฒนาหรือปรับปรุงกระบวนการของตนเองให้มีระดับการเจริญเติบโตตามที่ต้องการ อย่างไรก็ตามบทความฉบับนี้ก็ไม่ได้มีจุดมุ่งหมายที่จะแนะนำวิธีการพัฒนาหรือปรับปรุงกระบวนการขององค์กรโดยอ้างอิงหัวข้อต่างๆ ทั้ง 6 หัวข้อตามที่เสนอไปในข้างต้นนั้น ทั้งนี้เนื่องจากเป็นขอบเขตที่ใหญ่ ต้องใช้ระยะเวลาและกินเนื้อหาค่อนข้างมากในการอธิบาย ซึ่งควรจะจัดทำเป็นบทความแยกต่างหากขึ้นมา

ต่อไปเป็นการอธิบายถึงการประเมินระดับการเจริญเติบโตของกระบวนการขององค์กรตามวิธีการของ COBIT 5

ระดับการเจริญเติบโตตามในรูปแบ่งเป็น 5 ระดับ กล่าวคือ ระดับที่ 1 ถึงระดับที่ 5  โดยที่ระดับที่ 0 (Level 0) เป็นระดับที่ยังไม่บรรลุจุดประสงค์ของกระบวนการ ซึ่งโดยรวมแปลว่ากระบวนการในระดับที่ 0 ยังไม่สามารถใช้งานได้

ในแต่ละระดับตั้งแต่ระดับที่ 1 ถึงระดับที่ 5 มีคุณสมบัติของกระบวนการที่เกี่ยวข้องโดยประมาณ 2 ข้อ (คำว่าคุณสมบัติภาษาอังกฤษใช้คำว่า PA ย่อมาจาก Process Attribute ซึ่งแปลว่าคุณสมบัติของกระบวนการ) ยกเว้นระดับที่ 1 (Level 1)  มีคุณสมบัติของกระบวนการที่เกี่ยวข้องเพียงข้อเดียว

การอธิบายจากนี้เป็นต้นไปจะไล่จากระดับการเจริญเติบโตระดับที่ 1 และคุณสมบัติของกระบวนการที่เกี่ยวข้องของมัน ไปจนถึงระดับการเจริญเติบโตระดับที่ 5 และคุณสมบัติของกระบวนการที่เกี่ยวข้องของมัน

ระดับการเจริญเติบโตระดับที่ 1 (Level 1) หมายถึง มีการจัดทำกระบวนการและบรรลุจุดประสงค์ตามที่ต้องการ โดยมีคุณสมบัติที่จะต้องผ่านให้ได้ดังนี้ (ถ้าตั้งเป้าว่าต้องได้ระดับการเจริญเติบโตระดับที่ 1)

ดังนั้นถ้ากระบวนการที่ถูกประเมินจะได้ระดับการเจริญเติบโตระดับที่ 1  ก็หมายถึงว่าจะต้องผ่านคุณสมบัติของกระบวนการในระดับนั้นที่กำหนดไว้ซึ่งในที่นี้คือระดับที่ 1 ถ้าไม่ผ่านคุณสมบัติดังกล่าว ก็จะไม่ได้ระดับการเจริญเติบโตระดับที่ 1 นั่นเอง

วิธีคิดสำหรับการประเมินกระบวนการขององค์กรโดยเทียบกับระดับการเจริญเติบโตในระดับอื่นๆ (เช่น ระดับที่ 2  ระดับที่ 3  หรือระดับที่ 4 ที่เราตั้งเป้าไว้ว่าต้องทำให้ได้) ก็ใช้วิธีคิดเดียวกันกับในย่อหน้าที่แล้ว กล่าวคือ การประเมินกระบวนการที่เราสนใจจะต้องผ่านคุณสมบัติของระดับการเจริญเติบโตนั้นจำนวน 2 ข้อที่กำหนดไว้ให้ได้ ถ้าไม่ผ่านคุณสมบัติที่กำหนดไว้ โดยรวมก็จะไม่ได้ระดับการเจริญเติบโตที่ตั้งเป้าไว้นั่นเอง

ระดับการเจริญเติบโตระดับที่ 2 (Level 2) หมายถึง กระบวนการมีการบริหารจัดการ และมีการควบคุม input และ output ของกระบวนการ โดยมีคุณสมบัติที่จะต้องผ่านให้ได้ดังนี้ (ถ้าตั้งเป้าว่าต้องได้ระดับการเจริญเติบโตระดับที่ 2)

ระดับการเจริญเติบโตระดับที่ 3 (Level 3) หมายถึง กระบวนการมีการจัดทำอย่างเป็นลายลักษณ์อักษรและสื่อสารให้ผู้ที่เกี่ยวข้องได้รับทราบ กระบวนการมีการอ้างอิงมาตรฐานตามที่กำหนดไว้ กระบวนการมีขั้นตอนในการนำกระบวนการไปสู่การใช้งานอย่างชัดเจน โดยมีคุณสมบัติที่จะต้องผ่านให้ได้ดังนี้ (ถ้าตั้งเป้าว่าต้องได้ระดับการเจริญเติบโตระดับที่ 3)

ระดับการเจริญเติบโตระดับที่ 4 (Level 4) หมายถึง กระบวนการมีการติดตามและวัดผลเพื่อหาข้อบกพร่อง ตลอดจนสามารถควบคุมกระบวนการได้ให้อยู่ในกรอบหรือขอบเขตของข้อบกพร่องหรือข้อผิดพลาดตามที่ต้องการ หรือที่เรียกว่ากระบวนการสามารถคาดเดาได้ ภาษาอังกฤษใช้คำว่า Predictability โดยมีคุณสมบัติที่จะต้องผ่านให้ได้ดังนี้ (ถ้าตั้งเป้าว่าต้องได้ระดับการเจริญเติบโตระดับที่ 4)

ระดับการเจริญเติบโตระดับที่ 5 (Level 5) หมายถึง กระบวนการที่คาดเดาได้ (ซึ่งผ่านมาจากระดับการเจริญเติบโตระดับที่ 4) สามารถตอบสนองต่อเป้าหมายทางธุรกิจขององค์กรได้

!!! บทความนี้มีจุดประสงค์เพื่อการใช้งานในการวิจัยและพัฒนา ตลอดจนศึกษาเพื่อการเรียนรู้ส่วนตัว ห้ามนำไปใช้ในเชิงพาณิชย์

**สนใจรายละเอียดเพิ่มเติมติดต่อ: Info@tnetsecurity.com