ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)
บทความ » COBIT 5 กับการนำไปใช้งาน
บทความเรื่อง : COBIT 5 กับการนำไปใช้งาน
เรียบเรียงโดย : ดร.บรรจง หะรังษี, นางสาวภัทราวดี เหมทานนท์
เรียบเรียงเมื่อ : วันที่ 17 มกราคม 2555

หลักการของ COBIT เป็นหลักการที่ต้องการให้เกิดการบรรลุเป้าหมายระดับองค์กร (Enterprise Goals) ที่กำหนดไว้ โดยอาศัยปัจจัยก่อเกิด (Enablers) 7 ปัจจัยดังแสดงในรูปที่เป็นสิ่งที่ทำให้เป้าหมายที่กำหนดไว้สามารถบรรลุได้ โดยปัจจัยก่อเกิดเหล่านี้ต้องทำงานผสานกันหรือร่วมกัน ซึ่งในรูปแสดงเป็นสัญลักษณ์ลูกศรที่อยู่ตรงกลางและชี้โยงไปมาในทิศทางและมิติต่างๆ จึงจะทำให้เกิดความสำเร็จได้


ปัจจัยก่อเกิดประกอบด้วย

1. กระบวนการ (Processes)
2. วัฒนธรรม จริยธรรม และความประพฤติ (Culture, ethics, behaviour)
3. โครงสร้างบุคลากร (Organisational structures)
4. ข้อมูล (Information)
5. หลักการและนโยบายองค์กร (Principles and policies)
6. ทักษะ ความรู้ และความสามารถของบุคลากร (Skills and competences)
7. โครงสร้างพื้นฐานของการให้บริการสารสนเทศ (Service capabilities)

ปัจจัยก่อเกิดเหล่านี้ต้องทำงานร่วมกัน จึงจะนำไปสู่การบรรลุเป้าหมายระดับองค์กรได้ จะขาดปัจจัยใดปัจจัยหนึ่งไม่ได้ แต่ละปัจจัยสามารถอธิบายโดยเชื่อมโยงกันได้ดังนี้

1. กระบวนการ (Processes)
องค์กรต้องมีกระบวนการเพื่อให้งานได้ผลลัพธ์หรือบรรลุเป้าหมายของกระบวนการ ซึ่งจะนำไปสู่การบรรลุซึ่งเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศและเป้าหมายระดับองค์กรได้

หลักการ Goal Cascade ของ COBIT 4.1 (ดูในรูปด้านล่าง) ได้กำหนดไว้ว่า
• การบรรลุเป้าหมายระดับองค์กร (Enterprise Goals) ต้องได้รับการสนับสนุนจากการบรรลุเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT-related Goals) และ
• การบรรลุเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ต้องได้รับการสนับสนุนจากการบรรลุเป้าหมายของกระบวนการ (Process Goals)

ซึ่งทำให้เห็นภาพว่าเป้าหมายในระดับสูงกว่า จะถูกขับเคลื่อนด้วยเป้าหมายในระดับต่ำกว่า เป็นทอดๆ ต่อๆ กันไปตามลำดับ ในรูป Performance Metric หมายถึงตัวชี้วัดสำหรับเป้าหมายซึ่งจะมีตัวชี้วัดในแต่ละระดับตั้งแต่ระดับกระบวนการ ระดับเทคโนโลยีสารสนเทศ และระดับองค์กร COBIT 5 ก็ยังคงใช้หลักการ Goal Cascade ในข้างต้นด้วยเช่นกัน แต่ขยายเป้าหมายเพิ่มเติมให้ครอบคลุมทั้ง 7 ปัจจัย ไม่เฉพาะแต่ปัจจัยด้านกระบวนการเท่านั้น องค์กรต้องบรรลุเป้าหมายเพิ่มเติมเหล่านั้นด้วยให้ได้ จึงจะสามารถบรรลุเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ และเป้าหมายระดับองค์กรได้


2. วัฒนธรรม จริยธรรม และความประพฤติ (Culture, ethics, behaviour)
หากวัฒนธรรม จริยธรรม และความประพฤติของบุคลากรขององค์กร ไม่ได้รับการปลูกฝัง อบรม บ่มเพาะ หรือบ่มนิสัย ในทิศทางที่เหมาะสมที่องค์กรต้องการแล้ว อาจส่งผลต่อการบรรลุเป้าหมายระดับองค์กรได้ เช่น หากองค์กรขาดการปลูกฝังเรื่องการมีวินัยที่ดีหรือการรู้จักหน้าที่ความรับผิดชอบของตนเองแล้ว ก็ยากที่จะทำให้การ ปฏิบัติตามกระบวนการที่สร้างขึ้นมาสำเร็จได้ ซึ่งอาจเป็นเพราะคนขาดวินัย ก็เลยปฏิบัติตามบ้าง ไม่ปฏิบัติตามบ้าง เป้าหมายของกระบวนการ เป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ และตามด้วยเป้าหมายระดับองค์กร จึงไม่สามารถบรรลุได้


3. โครงสร้างบุคลากร (Organisational structures) องค์กรต้องกำหนดโครงสร้างด้านบุคลากรขึ้นมาเพื่อให้มีหน้าที่ความรับผิดชอบที่ชัดเจนว่าต้องทำอะไรบ้าง หน้าที่ความรับผิดชอบส่วนหนึ่งคือการปฏิบัติตามบทบาทในกระบวนการที่กำหนดไว้ หากขาดโครงสร้างนี้ การปฏิบัติหน้าที่ของตนเองตามบทบาทในกระบวนการ จะไม่สามารถเกิดขึ้นได้ ซึ่งอาจส่งผลต่อการบรรลุเป้าหมายในระดับองค์กรได้


4. ข้อมูล (Information)
ข้อมูลเป็นหัวใจสำคัญขององค์กร หลายๆ กระบวนการมีข้อมูลเป็น Input หรือ Output เข้าสู่หรือออกจากกระบวนการก็ตาม ข้อมูลถูกนำไปใช้ในหลายๆ เรื่อง เช่น เพื่อเป็นข้อมูลพื้นฐาน เพื่อใช้ในการตัดสินใจ เพื่อการวางแผน เพื่อการพยากรณ์ หรืออื่นๆ ดังนั้นหากปราศจากข้อมูลที่ต้องการแล้ว อาจทำให้งานหรือกระบวนการขององค์กรไม่สามารถทำได้เลย หรือทำได้อย่างไม่ได้ผลหรือสัมฤทธ์ผลเท่าที่ควร


5. หลักการและนโยบายองค์กร (Principles and policies)
หลักการและนโยบายองค์กรที่กำหนดไว้โดยทั่วไปจะสะท้อนให้เห็นถึงภาพรวม ทิศทาง กรอบแนวคิด หรือกรอบการปฏิบัติที่องค์กรต้องการให้บรรลุเพื่อบังเกิดความสำเร็จตามที่ต้องการ บุคลากรขององค์กรควรยึดตามหลักการและนโยบายที่กำหนดไว้และปฏิบัติตามอย่างสอดคล้อง เพื่อให้เกิดผลตามที่องค์กรต้องการ ดังนั้นหากปราศจากหลักการและนโยบายกำหนดไว้อย่างชัดเจนแล้ว ภาพรวม ทิศทาง กรอบแนวคิด หรือกรอบการปฏิบัติที่ต้องการอาจไม่บังเกิดผลตามที่ต้องการได้ เช่น หลักการ “ขยัน ซื่อสัตย์ และอดทน” ขององค์กร อาจมีผลต่อการทำงานตามหน้าที่และกระบวนการที่ตนเองต้องรับผิดชอบ ซึ่งสามารถส่งผลต่อการบรรลุเป้าหมายในระดับองค์กรได้


6. ทักษะ ความรู้ และความสามารถของบุคลากร (Skills and competences)
องค์กรต้องอาศัยบุคลากรเป็นกุญแจสำคัญไปสู่ความสำเร็จของงานและกระบวนการ ซึ่งโดยทั่วไปจำเป็นอย่างยิ่งที่จะต้องให้หรือต้องสร้างให้บุคลากรมีทักษะ ความรู้ และความสามารถที่จำเป็นสำหรับงานหรือกระบวนการที่ปฏิบัติ ถ้าไม่เช่นนั้นแล้ว อาจจะเป็นอุปสรรคสำคัญต่องานหรือกระบวนการที่ทำและต่อความสำเร็จของงานที่จะเกิดขึ้น


7. โครงสร้างพื้นฐานของการให้บริการสารสนเทศ (Service capabilities)
โครงสร้างพื้นฐานของการให้บริการสารสนเทศ หมายรวมถึงฮาร์ดแวร์ ซอฟต์แวร์ แอพพลิเคชัน และเทคโนโลยีอื่นๆ ที่ทำหน้าที่เป็นพื้นฐานในการให้บริการด้านระบบงานและข้อมูลแก่ผู้ใช้งานขององค์กร หากปราศจากโครงสร้างพื้นฐานนี้ จะเป็นอุปสรรคต่อการทำงานซึ่งอาจทำให้งาน กระบวนการ หรือข้อมูลที่จำเป็นต้องใช้ เกิดความล่าช้าจนธุรกิจไม่สามารถยอมรับได้


โปรดสังเกตุว่าในการอธิบายปัจจัยก่อเกิดทั้ง 7 ประการในข้างต้น จะใช้ “กระบวนการเป็นศูนย์กลาง” ในการอธิบาย ให้สังเกตุคำว่ากระบวนการที่มีการขีดเส้นใต้ไว้ด้านล่าง ซึ่งมีจุดประสงค์เพื่อให้เห็นว่าแต่ละปัจจัยก่อเกิดมีความเกี่ยวข้องกับกระบวนการในลักษณะใดลักษณะหนึ่ง กล่าวคือ

• องค์กรต้องมีกระบวนการเพื่อให้งานได้ผลลัพธ์หรือบรรลุเป้าหมายของกระบวนการ
• องค์กรต้องมีการบ่มเพาะวัฒนธรรม จริยธรรม และความประพฤติของบุคลากรในทิศทางที่เหมาะสมเพื่อให้บุคลากรเห็นความสำคัญของการปฏิบัติตามกระบวนการที่กำหนดไว้
• องค์กรต้องกำหนดโครงสร้างด้านบุคลากรขึ้นมาเพื่อให้มีหน้าที่ความรับผิดชอบที่ชัดเจนว่าต้องทำอะไรบ้าง หน้าที่ความรับผิดชอบส่วนหนึ่งคือการปฏิบัติตามบทบาทในกระบวนการที่กำหนดไว้
• กระบวนการมีข้อมูลเป็น Input หรือ Output เข้าสู่หรือออกจากกระบวนการก็ตาม
• หลักการและนโยบายองค์กรส่งผลต่อการทำงานตามหน้าที่และกระบวนการที่ตนเองต้องรับผิดชอบ
• บุคลากรต้องมีทักษะ ความรู้ และความสามารถที่จำเป็นสำหรับงานหรือกระบวนการที่ตนเองต้องรับผิดชอบ
• โครงสร้างพื้นฐานของการให้บริการสารสนเทศเป็นส่วนที่ทำให้กระบวนการต่างๆ ขององค์กรดำเนินไปได้อย่างง่ายและรวดเร็วขึ้น เช่น ในการปฏิบัติงานตามกระบวนการหนึ่ง สามารถใช้ประโยชน์จากระบบงานเพื่อช่วยในการปฏิบัติงานตามกระบวนการนั้น


โปรดสังเกตุว่าเอกสาร COBIT5: The Framework ไม่ได้ให้แนวคิดหรือแสดงวิธีคิดไว้อย่างชัดเจนว่า การเดินไปสู่เป้าหมายในระดับองค์กร ต้องใช้ “กระบวนการเป็นศูนย์กลาง” (ตามที่ได้อธิบายไปในย่อหน้าที่แล้วนั้น) หรือต้องใช้วิธีอื่นใดในการคิด ผู้เขียนมีความเห็นว่าหากใช้กระบวนการเป็นศูนย์กลาง จะทำให้สามารถอธิบายเรื่องการเดินไปสู่เป้าหมายในระดับองค์กรได้อย่างชัดเจน มากกว่าวิธีคิดแบบอื่น


อีกเหตุผลหนึ่งที่สนับสนุนวิธีคิดแบบ “กระบวนการเป็นศูนย์กลาง” คือ COBIT ในเวอร์ชันก่อนๆ หน้านี้จนถึงเวอร์ชัน 4.1 (ซึ่งเป็นเวอร์ชันก่อนเวอร์ชัน 5) ได้ใช้หลักการ Goal Cascade กล่าวคือการบรรลุเป้าหมายระดับองค์กร การบรรลุเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ และการบรรลุเป้าหมายของกระบวนการ มาโดยตลอด ที่ทำให้เห็นว่าการบรรลุเป้าหมายระดับองค์กรโดยพื้นฐานแล้วมาจากกระบวนการนั่นเอง หรือพูดอีกนัยหนึ่งคือกระบวนการมีส่วนสำคัญเป็นอย่างยิ่งต่อการบรรลุเป้าหมายระดับองค์กรได้


แต่โดยเหตุผลที่ชัดเจนว่ากระบวนการเพียงอย่างเดียวเท่านั้น หากปราศจากปัจจัยก่อเกิดอื่นๆ ที่เหลือตามที่ COBIT 5 ได้นำเสนอนั้น อาจทำให้ผู้ที่นำ COBIT ไปใช้งาน (ไม่ว่าจะเป็นเวอร์ชันไหนก็ตาม) ไม่ประสบความสำเร็จในการบรรลุเป้าหมายระดับองค์กรได้เท่าที่ควร ซึ่งสามารถอธิบายได้อย่างชัดเจนดังนี้

• หากปราศจากการบ่มเพาะวัฒนธรรม จริยธรรม และความประพฤติของบุคลากรตามสมควร พนักงานอาจไม่ให้ความสำคัญกับการปฏิบัติตามกระบวนการที่กำหนดไว้
• หากปราศจากโครงสร้างด้านบุคลากรที่ชัดเจน (เพื่อให้มีหน้าที่ความรับผิดชอบที่ชัดเจน) พนักงานอาจปฏิเสธการปฏิบัติหน้าที่ตามกระบวนการที่กำหนดไว้
• หากปราศจากข้อมูลที่เป็น Input หรือ Output ของกระบวนการหนึ่งแล้ว กระบวนการนั้นจะไม่สามารถเดินต่อไปได้
• หากปราศจากหลักการหรือนโยบายองค์กรเรื่องการทำงานตามหน้าที่และกระบวนการที่ตนเองต้องรับผิดชอบแล้ว พนักงานอาจไม่เอาใจใส่หรือไม่มีวินัยเท่าที่ควรที่จะปฏิบัติตามหน้าที่หรือกระบวนการที่ตนเองต้องรับผิดชอบ
• หากบุคลากรขององค์กรขาดทักษะ ความรู้ และความสามารถที่จำเป็นสำหรับงานหรือกระบวนการที่ตนเองต้องรับผิดชอบแล้ว พนักงานจะไม่สามารถปฏิบัติงานได้อย่างมีประสิทธิภาพและประสิทธิผล
• หากปราศจากโครงสร้างพื้นฐานของการให้บริการสารสนเทศที่จำเป็นสำหรับการปฏิบัติงานตามกระบวนการแล้ว พนักงานอาจจะทำงานได้ไม่สะดวกและเกิดความล่าช้าหรือเสียหายต่อธุรกิจได้


จึงสรุปได้ว่าปัจจัยก่อเกิดทั้ง 7 ปัจจัยโดยมีกระบวนการเป็นศูนย์กลางต้องมีการใช้งานและทำงานร่วมกัน จึงจะทำให้บรรลุเป้าหมายระดับองค์กรได้

ในหลักการของ COBIT 5 การไปให้ถึงเป้าหมายในแต่ละระดับตั้งแต่
1. เป้าหมายระดับองค์กร (Enterprise Goals)
2. เป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT-related Goals)
3. เป้าหมายของกระบวนการ (Process Goals)
4. เป้าหมายด้านวัฒนธรรม จริยธรรม และความประพฤติ (Culture, ethics, behaviour Goals)
5. เป้าหมายด้านโครงสร้างบุคลากร (Organisational structures Goals)
6. เป้าหมายด้านข้อมูล (Information Goals)
7. เป้าหมายด้านหลักการและนโยบายองค์กร (Principles and policies Goals)
8. เป้าหมายด้านทักษะ ความรู้ และความสามารถของบุคลากร (Skills and competences Goals)
9. เป้าหมายด้านโครงสร้างพื้นฐานของการให้บริการสารสนเทศ (Service capabilities Goals)


สามารถอธิบายเป็นขั้นตอนได้ดังนี้

1. กำหนดปัจจัยทางธุรกิจทั้งภายในและภายนอก (Drivers) ที่มีผลต่อการดำเนินงานขององค์กร
2. กำหนดความต้องการของผู้ที่เกี่ยวข้องกับการดำเนินงานขององค์กรทั้งภายในและภายนอก (Stakeholder Needs)
3. กำหนดวัตถุประสงค์ในระดับสูงสุดขององค์กรที่ต้องการบรรลุให้ได้ (วัตถุประสงค์นี้เรียกกันว่า วัตถุของการกำกับดูแลองค์กรที่ดี (Governance Objective))


ข้อมูลที่กำหนดทั้งสามส่วน ได้แก่ ปัจจัยทางธุรกิจทั้งภายในและภายนอก ความต้องการของผู้ที่เกี่ยวข้อง และวัตถุประสงค์ในระดับสูงสุดขององค์กร จะใช้เป็น Input ในการ

4. กำหนดเป้าหมายระดับองค์กร
5. แปลงเป้าหมายระดับองค์กรไปเป็นเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ และ
6. แปลงเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศไปเป็นกระบวนการด้านเทคโนโลยีสารสนเทศของ COBIT ซึ่งรวมถึงเป้าหมายของกระบวนการเหล่านั้นด้วย
           ผลที่ได้ตามข้อ 6 คือกระบวนการต่างๆ ที่องค์กรต้องสร้างหรือจัดทำขึ้นมาและเป้าหมายของกระบวนการเหล่านั้นที่ต้องบรรลุให้ได้ (จึงจะทำให้สามารถบรรลุเป้าหมายระดับองค์กรได้)
           ภาคผนวก Appendix H. Detailed Description of COBIT 5 Enabler Models ในส่วนของ COBIT 5 Process Model ของเอกสาร COBIT5: The Framework และเอกสาร COBIT5 Process Reference Guide ได้อธิบายถึงวิธีการสร้างหรือจัดทำกระบวนการ (แต่ละกระบวนการซึ่งรวมทั้งสิ้น 36 กระบวนการ) พร้อมทั้งได้กำหนดเป้าหมายของกระบวนการเอาไว้ให้แล้ว
           ในการสร้างหรือจัดทำกระบวนการแต่ละกระบวนการขึ้นมา เอกสาร COBIT5 Process Reference Guide ได้กล่าวถึง Good Practice (แปลเป็นไทยคือวิธีปฏิบัติที่ดี) ที่องค์กรควรพิจารณานำมาใช้งานหรือปฏิบัติและสร้างเป็นกระบวนการตามที่ต้องการเพื่อให้บรรลุเป้าหมายของกระบวนการที่ COBIT 5 ได้กำหนดไว้ให้
7. กำหนดเป้าหมายด้านอื่นๆ ที่เหลือขึ้นมาเพื่อปฏิบัติตามนั้น โดยที่เป้าหมายที่กำหนดมีจุดประสงค์เพื่อสนับสนุนให้กระบวนการและเป้าหมายที่กำหนดขึ้นมาตามข้อ 6 บรรลุผลสัมฤทธิ์ตามที่ต้องการ

สำหรับเป้าหมายด้านอื่นๆ ได้แก่
- เป้าหมายด้านวัฒนธรรม จริยธรรม และความประพฤติ
- เป้าหมายด้านโครงสร้างบุคลากร
- เป้าหมายด้านข้อมูล
- เป้าหมายด้านหลักการและนโยบายองค์กร
- เป้าหมายด้านทักษะ ความรู้ และความสามารถของบุคลากร
- เป้าหมายด้านโครงสร้างพื้นฐานของการให้บริการสารสนเทศ

COBIT 5 ได้กำหนดเป้าหมายแต่ละด้านไว้ให้แล้ว (เช่นเดียวกับเป้าหมายของกระบวนการ) ที่ต้องบรรลุให้ได้ (จึงจะทำให้สามารถบรรลุเป้าหมายระดับองค์กรได้) ในการบรรลุซึ่งเป้าหมายของแต่ละด้านที่ COBIT 5 ได้กำหนดไว้ ภาคผนวก Appendix H. Detailed Description of COBIT 5 Enabler Models ของเอกสาร COBIT5: The Framework ในแต่ละด้าน ได้แก่
- COBIT 5 Culture, Ethics and Behaviour Model
- COBIT 5 Organisational Structures Model
- COBIT 5 Information Model
- COBIT 5 Principles and Policies Model
- COBIT 5 Skills and Competencies Model
- COBIT 5 Service Capabilities Model

ได้กล่าวถึง Good Practice ของแต่ละด้านตามลำดับที่องค์กรควรพิจารณานำมาใช้งานหรือปฏิบัติเพื่อไปให้ถึงเป้าหมายที่ COBIT 5 ได้กำหนดไว้ให้

ขั้นตอนทั้ง 7 ขั้นตอนที่ได้อธิบายไปแล้วนั้นแสดงให้เห็นเป็น Flow ได้ดังในรูป


ส่วนที่เหลือของเอกสารฉบับนี้จะอธิบายตั้งแต่ขั้นตอนที่ 1 ถึง 6 ตามลำดับจนกระทั่งได้กระบวนการทั้งหมดที่ต้องจัดทำหรือสร้างขึ้นมา (ส่วนเป้าหมายของแต่ละกระบวนการสามารถดูได้จากเอกสาร COBIT5 Process Reference Guide) สำหรับการสร้างกระบวนการหนึ่งกระบวนการขึ้นมาตาม Good Practice ของกระบวนการนั้น ไม่ได้เป็นเนื้อหาของเอกสารฉบับนี้ ซึ่งคาดว่าจะจัดทำขึ้นมาในภายหลัง


สำหรับการนำ Good Practice มาปฏิบัติเพื่อให้บรรลุเป้าหมายแต่ละด้านตามขั้นตอนที่ 7 ก็ไม่ได้เป็นเนื้อหาของเอกสารฉบับนี้ ซึ่งคาดว่าจะจัดทำขึ้นมาในภายหลังเช่นกัน


ขั้นตอนตั้งแต่ 1 ถึง 6 อธิบายโดยละเอียดได้ดังนี้

1. กำหนดปัจจัยทางธุรกิจทั้งภายในและภายนอก (Drivers) ซึ่งมีผลต่อการดำเนินธุรกิจขององค์กร ปัจจัยดังกล่าว เช่น แผนกลยุทธ์ แผนธุรกิจ แผนแม่บทเทคโนโลยีสารสนเทศ แผนการตลาด กฎหมาย ระเบียบ และข้อบังคับที่องค์กรต้องปฎิบัติตาม หรืออื่นๆ รูปด้านล่างแสดงให้เห็นว่าขั้นตอนเริ่มต้นคือการกำหนด Drivers ซึ่งก็คือปัจจัยทั้งภายในและภายนอกที่มีผลต่อการดำเนินธุรกิจขององค์กร
           ปัจจัยทั้งภายในและภายนอกที่ได้กำหนดขึ้นมาจะถูกใช้ในการกำหนดเป้าหมายระดับองค์กร (Enterprise Goals) ต่อไป
2. กำหนดความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจ (Stakeholder needs) รูปด้านบนคือขั้นตอนที่ 2 ที่มีคำว่า Stakeholder Needs ระบุไว้ ตัวอย่างของการกำหนดความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจปรากฎดังแสดงในรูปด้านล่าง



รูปข้างต้นแสดงให้เห็นผู้ที่เกี่ยวข้องทางธุรกิจภายใน (Internal stakeholders) และผู้ที่เกี่ยวข้องทางธุรกิจภายนอก (External stakeholders) ตามลำดับดังนี้

• ผู้ที่เกี่ยวข้องทางธุรกิจภายใน ได้แก่ Board, CEO, chief financial officer (CFO), chief information officer (CIO), business executives, business process owners, business managers, risk managers, security managers, service managers, HR managers, internal audit, privacy officers, IT users, IT managers, etc.
• ผู้ที่เกี่ยวข้องทางธุรกิจภายนอก ได้แก่ Business partners, suppliers, shareholders, regulators/ government, external users, customers, standardisation organisations, external auditors, consultants, etc.

ผู้ที่เกี่ยวข้องทั้งสองกลุ่มโดยรวมจะต้องร่วมกันกำหนดความต้องการทางธุรกิจในมุมมองของตนเอง ตัวอย่างการกำหนดความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจโดยแปลมาบางส่วนจากเอกสารต้นฉบับ ความต้องการเหล่านี้ถูกกำหนดไว้ในรูปของประโยคคำถาม เช่น

• องค์กรจะได้รับคุณค่าหรือประโยชน์จากการนำเทคโนโลยีสารสนเทศมาใช้งาน ได้อย่างไร (กล่าวคือทำอย่างไรเพื่อให้ได้คุณค่าหรือประโยชน์มากที่สุด)
• องค์กรจะบริหารจัดการด้านประสิทธิภาพและประสิทธิผลของเทคโนโลยีสารสนเทศ อย่างไร
• องค์กรจะรู้ได้อย่างไรว่าได้ปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับที่เกี่ยวข้องแล้ว
• องค์กรจะรู้ได้อย่างไรว่าได้ระบุความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศที่สำคัญๆ ครบถ้วนแล้ว
• องค์กรจะรู้ได้อย่างไรว่าการดำเนินงานด้านเทคโนโลยีสารสนเทศที่ทำอยู่มีประสิทธิภาพและประสิทธิผล และสามารถรองรับหรือจัดการกับปัญหาหรือเหตุการณ์ด้านระบบต่างๆ ที่อาจเกิดขึ้นได้
• องค์กรจะควบคุมค่าใช้จ่ายด้านเทคโนโลยีสารสนเทศได้อย่างไร องค์กรจะใช้ทรัพยากรด้านเทคโนโลยีสารสนเทศอย่างไรให้เกิดประสิทธิภาพและประสิทธิผลมากที่สุด

ความต้องการทางธุรกิจที่ได้กำหนดขึ้นมาจะถูกใช้ในการกำหนดเป้าหมายระดับองค์กร (Enterprise Goals) ต่อไป

3. กำหนดวัตถุประสงค์ของการกำกับดูแลองค์กรที่ดี (Governance Objective) ดังแสดงในรูปด้านล่าง

รูปในข้างต้นประกอบด้วยวัตถุประสงค์ 3 ข้อคือ

• บรรลุผลประโยชน์ที่องค์กรกำหนดไว้ (Benefits Realisation) (ผลประโยชน์อาจเป็นผลกำไร รายรับ ผลงานวิจัยและพัฒนา หรืออื่นๆ ตามแต่ที่องค์กรจะกำหนด)
• มีการใช้ทรัพยากรอย่างเหมาะสม (Resource Optimisation) (ทรัพยากรดังกล่าว ได้แก่ บุคลากร เงิน เวลา วัตถุดิบ หรืออื่นๆ การบรรลุซึ่งผลประโยชน์จำเป็นต้องมีการใช้ทรัพยากรในปริมาณที่ไม่มากหรือน้อยเกินไป หรือในปริมาณที่เหมาะสมนั่นเอง)
• มีการบริหารจัดการความเสี่ยงอย่างเหมาะสม (Risk Optimisation) (โดยทั่วไปการบรรลุซึ่งผลประโยชน์ที่ต้องการจะต้องมีการใช้ทรัพยากรและบริหารความเสี่ยงต่างๆ ที่อาจเกิดขึ้นในระหว่างการดำเนินธุรกิจเพื่อมุ่งไปสู่ผลประโยชน์ที่ต้องการนั้น)

วัตถุประสงค์ทั้ง 3 ข้อเป็นเรื่องของการกำกับดูแลองค์กรที่ดี (Enterprise Governance) ซึ่งทุกๆ องค์กรต้องมีเรื่องเหล่านี้อยู่แล้วไม่ว่าจะเป็นภาครัฐหรือภาคเอกชน องค์กรขนาดเล็กหรือขนาดใหญ่ องค์กรที่หวังหรือไม่หวังผลกำไรก็ตาม COBIT 5 ได้นำเรื่องของการกำกับดูแลองค์กรที่ดี (Enterprise Governance) จาก Val IT Framework มาผนวกเข้ากับ COBIT 4.1 โดยที่เวอร์ชัน 4.1 มีเรื่องการกำกับดูแลเทคโนโลยีสารสนเทศที่ดี (IT Governance) ความแตกต่างระหว่างการกำกับดูแลทั้งสองปรากฎดังตารางด้านล่าง

จากวัตถุประสงค์ทั้งสามข้อของการกำกับดูแลองค์กรที่ดี (Governance Objective) สามารถอธิบายได้คือ
วัตถุประสงค์ข้อแรกคือการบรรลุผลประโยชน์ที่องค์กรกำหนดไว้ สามารถระบุได้ดังตัวอย่างเช่น เพื่อให้มีการสร้างผลกำไรให้กับองค์กรอย่างต่อเนื่องและยั่งยืน
ส่วนวัตถุประสงค์อีก 2 ข้อที่เหลือเป็นเรื่องที่องค์กรต้องปฏิบัติอยู่แล้ว (ถ้าไม่เช่นนั้นแล้ว อาจไม่สามารถสร้างผลประโยชน์ตามที่องค์กรต้องการได้) จึงอาจมีการระบุไว้เป็นวัตถุประสงค์ขององค์กรหรือไม่ก็ตาม สมมติว่าองค์กรได้มีการระบุไว้เป็นวัตถุประสงค์คือ “เพื่อให้มีการใช้ทรัพยากรและบริหารจัดการความเสี่ยงอย่างคุ้มค่าและเหมาะสม” วัตถุประสงค์ของการกำกับดูแลองค์กรที่ดีที่ได้กำหนดขึ้นมาจะถูกใช้ในการกำหนดเป้าหมายระดับองค์กร (Enterprise Goals) ต่อไป

ขั้นตอนการนำ COBIT 4.1 มาใช้งานซึ่งในอดีตยังไม่มีเรื่องของการกำกับดูแลองค์กรที่ดีสามารถแสดงให้เห็นเป็นผังได้ดังนี้

จากรูป หลังจากที่ได้มีการกำหนดปัจจัยทางธุรกิจทั้งภายในและภายนอก (Drivers) และกำหนดความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจ (Stakeholder needs) ขั้นถัดมาคือการแปลงจากเป้าหมายในแต่ละระดับตั้งแต่ระดับองค์กร (Enterprise Goals) และระดับที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (Information and Related Technology Goals) และแปลงเป็นกระบวนการด้านเทคโนโลยีสารสนเทศ (IT Processes) เพื่อให้รองรับกับเป้าหมายด้านเทคโนโลยีสารสนเทศที่กำหนดไว้

การแปลงจากเป้าหมายไปเป็นกระบวนการด้านเทคโนโลยีสารสนเทศ (ที่ต้องมีการจัดทำหรือสร้างขึ้นมา) ตามที่ได้อธิบายในย่อหน้าที่แล้วมีการดำเนินการทั้งใน COBIT 4.1 เดิมและ COBIT 5 ซึ่งเป็นเวอร์ชันใหม่เช่นกัน


4. ใช้ข้อมูล 3 ด้านในข้างต้นที่กำหนดไว้ ได้แก่

a. ปัจจัยทางธุรกิจทั้งภายในและภายนอก
b. ความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจ และ
c. วัตถุประสงค์ของการกำกับดูแลองค์กรที่ดี

เพื่อกำหนดเป็นเป้าหมายระดับองค์กร (Enterprise Goals)
COBIT 5 ได้กำหนดเป้าหมายระดับองค์กรไว้เป็นจำนวน 17 เป้าหมาย ดังนี้

จากตาราง COBIT 5 ได้ทำการแบ่งเป้าหมายเป็น 4 ด้านตามหลักการของ Balanced Scorecard (BSC) ซึ่งประกอบด้วยด้านการเงิน (Financial) ด้านลูกค้า (Customer) ด้านกระบวนการภายใน (Internal process) และด้านการเรียนรู้และการเติบโต (Learning and Growth)


วัตถุประสงค์ของการกำกับดูแลองค์กรที่ดี

วัตถุประสงค์ 3 ข้อของการกำกับดูแลองค์กรที่ดี (Benefits Realisation, Risk Optimisation และ Resource Optimisation) สามารถแปลงไปสู่เป้าหมายระดับองค์กรดังแสดงในตารางด้านล่าง


ตัวอย่างเช่น วัตถุประสงค์ด้านการบรรลุผลประโยชน์ที่องค์กรกำหนดไว้ (Benefits Realisation) เกี่ยวข้องกับเป้าหมายข้อ 1 2 5 6 8-14 16 และ 17 (ดูตารางประกอบ) โดยสัญลักษณ์ P (Primary) หมายถึง “เป้าหมายหลัก” และสัญลักษณ์ S (Secondary) หมายถึง “เป้าหมายรอง” ดังนั้นวัตถุประสงค์การบรรลุผลประโยชน์ใช้เป้าหมายข้อ 1 2 5 6 8-14 และ 17 เป็น “เป้าหมายหลัก” และใช้ข้อ 16 เป็น “เป้าหมายรอง” หากมีการจัดลำดับความสำคัญ หรือ priority ในการดำเนินการ “เป้าหมายหลัก” ควรได้รับการดำเนินการก่อน “เป้าหมายรอง”

กรณีที่แปลงวัตถุประสงค์คนละข้อแต่ได้เป้าหมายข้อเดียวกันซึ่งมีทั้ง P และ S ร่วมกัน เช่น กรณีวัตถุประสงค์ด้านการบรรลุผลประโยชน์ที่องค์กรกำหนดไว้ (Benefits Realisation) และด้านการใช้ทรัพยากรอย่างเหมาะสม (Resource Optimisation) จะได้เป้าหมายเดียวกันข้อหนึ่งคือ Portfoilio of competitive products and services (ดูตารางประกอบ) โดยวัตถุประสงค์อันแรกได้ P ในขณะที่วัตถุประสงค์อันหลังได้ S กรณีที่แปลงแล้วได้เป้าหมายเดียวกันซึ่งมีทั้ง P และ S ผสมผสานกัน การปฏิบัติเพื่อให้บรรลุเป้าหมายต้องยึดอันที่มีลำดับความสำคัญสูงกว่าซึ่งก็คืออันที่เป็น P นั่นเอง

เมื่อแปลงวัตถุประสงค์ไปเป็นเป้าหมายครบทั้ง 3 ด้านแล้ว ให้ตรวจดูโดยรวมว่ามีเป้าหมายทั้งหมดกี่ข้อจาก 17 ข้อที่ต้องดำเนินการ ข้อใดที่เป็น P หรือ S ให้จัดลำดับความสำคัญไว้ด้วย

หากองค์กรให้ความสำคัญกับหรือเน้นเรื่องการบรรลุผลประโยชน์ สามารถใช้เป้าหมายระดับองค์กร ดังกล่าวเป็นสิ่งที่องค์กรต้องดำเนินการต่อไป (เพื่อให้บรรลุซึ่งผลประโยชน์ตามที่ต้องการ)

ความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจ

สำหรับความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจ เช่น
- องค์กรจะได้รับคุณค่าหรือประโยชน์จากการนำเทคโนโลยีสารสนเทศมาใช้งาน ได้อย่างไร (กล่าวคือทำอย่างไรเพื่อให้ได้คุณค่าหรือประโยชน์มากที่สุด)
- องค์กรจะบริหารจัดการด้านประสิทธิภาพและประสิทธิผลของเทคโนโลยีสารสนเทศ อย่างไร
- องค์กรจะรู้ได้อย่างไรว่าได้ปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับที่เกี่ยวข้องแล้ว

ความต้องการดังกล่าวสามารถแปลงไปเป็นเป้าหมายระดับองค์กรได้ดังแสดงในตารางด้านล่าง แกนนอนในแต่ละแถวคือความต้องการแต่ละเรื่องของผู้ที่เกี่ยวข้อง แกนตั้งคือเป้าหมายระดับองค์กร 17 เป้าหมาย เช่น ในแถวแรก ความต้องการคือ

- องค์กรจะรู้ได้อย่างไรว่าได้ปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับที่เกี่ยวข้องแล้ว (How do I know whether I'm compliant with all applicable regulations?)

ซึ่งสามารถแปลงไปเป็นเป้าหมายที่เกี่ยวข้องที่แสดงด้วยพื้นที่สี่เหลี่ยมสีเขียว ได้แก่ ข้อ 1 5 15 ตามลำดับ (ให้ดูตารางประกอบ)

โปรดสังเกตุว่าในตารางจะไม่มี P หรือ S ระบุไว้ ผู้อ่านอาจพิจารณาดูจากเป้าหมายที่เกี่ยวข้องและกำหนดเอาเองตามความเหมาะสม ในกรณีที่ไม่ได้ระบุไว้ เช่น ตามตาราง ให้ถือว่าเป็น P (เป้าหมายหลัก) ทั้งหมด

การแปลงความต้องการไปเป็นเป้าหมายสำหรับในแถวอื่นๆ (ความต้องการอื่นๆ) ให้ทำในลักษณะเดียวกัน


เมื่อแปลงความต้องการไปเป็นเป้าหมายครบทุกความต้องการแล้ว ให้ตรวจดูโดยรวมว่ามีเป้าหมายทั้งหมดกี่ข้อจาก 17 ข้อที่ต้องดำเนินการ

นำเป้าหมายที่ได้ (ของความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจ) ไปรวมกับเป้าหมายที่ต้องดำเนินการของวัตถุประสงค์ 3 ด้านของการกำกับดูแลองค์กรที่ดี จะได้เป็นเป้าหมายที่ต้องดำเนินการ (ของวัตถุประสงค์ของการกำกับดูแลองค์กรที่ดีและของความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจ)


ปัจจัยทางธุรกิจทั้งภายในและภายนอก

สำหรับปัจจัยทางธุรกิจทั้งภายในและภายนอก ให้นำปัจจัยทางธุรกิจมาพิจารณาทีละเรื่องๆ และแปลงไปเป็นเป้าหมายระดับองค์กร (ลักษณะเช่นเดียวกับการแปลงของวัตถุประสงค์ของการกำกับดูแลองค์กรที่ดี และความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจ ไปเป็นเป้าหมายระดับองค์กร)

เมื่อแปลงปัจจัยทางธุรกิจไปเป็นเป้าหมายครบทุกปัจจัยแล้ว ให้ตรวจดูโดยรวมว่ามีเป้าหมายทั้งหมดกี่ข้อจาก 17 ข้อที่ต้องดำเนินการ

นำเป้าหมายที่ได้ (ของปัจจัยทางธุรกิจทั้งภายในและภายนอก) ไปรวมกับเป้าหมายที่ต้องดำเนินการของวัตถุประสงค์ของการกำกับดูแลองค์กรที่ดีและของความต้องการของผู้ที่เกี่ยวข้องทางธุรกิจ จะได้เป็นเป้าหมายที่ต้องดำเนินการทั้งหมด ซึ่งจะใช้เป็น Input สำหรับขั้นตอนถัดไป (ซึ่งคือการแปลงเป้าหมายระดับองค์กรไปเป็นเป้าหมายในระดับที่ลึกกว่า กล่าวคือ เป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ)


5. แปลงเป้าหมายระดับองค์กรไปเป็นเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
COBIT 5 ได้กำหนดเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศไว้เป็นจำนวน 17 เป้าหมาย ดังนี้


จากตาราง COBIT 5 ได้ทำการแบ่งเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศเป็น 4 ด้าน (เช่นเดียวกับการแบ่งเป้าหมายระดับองค์กรเป็น 4 ด้านเช่นกัน) ตามหลักการของ Balanced Scorecard (BSC) ซึ่งประกอบด้วยด้านการเงิน (Financial) ด้านลูกค้า (Customer) ด้านกระบวนการภายใน (Internal process) และด้านการเรียนรู้และการเติบโต (Learning and Growth)

COBIT 5 ได้ทำการแปลงเป้าหมายระดับองค์กรไปเป็นเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศไว้ให้แล้วดังแสดงในตารางด้านล่าง ทั้งนี้เพื่อให้ง่ายต่อการนำไปใช้งาน แนวตั้งคือเป้าหมายระดับองค์กร (Enterprose Goals) ส่วนแนวนอนคือเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ


ตัวอย่างการนำไปใช้งานเช่น สมมติว่าเป้าหมายระดับองค์กรคือความสอดคล้องกับหรือการปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับที่เกี่ยวข้อง (Compliance with external laws and regulations) เป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศที่องค์กรต้องบรรลุให้ได้ (เพื่อให้เกิดความสอดคล้องกับเป้าหมายระดับองค์กรนั้น) ประกอบด้วยเป้าหมาย 6 ข้อดังนี้ (ให้ดูตารางประกอบ)

- IT compliance and support for business compliance with external laws and Regulations ซึ่งเป็นเป้าหมายหลัก (ใช้สัญลักษณ์ P ในตาราง)
- Managed IT-related business risks ซึ่งเป็นเป้าหมายรอง (ใช้สัญลักษณ์ S ในตาราง)
- Delivery of IT services in line with business requirements ซึ่งเป็นเป้าหมายรอง (ใช้สัญลักษณ์ S ในตาราง)
- Security of information and processing infrastructure and applications ซึ่งเป็นเป้าหมายหลัก (ใช้สัญลักษณ์ P ในตาราง)
- Availability of reliable and useful information ซึ่งเป็นเป้าหมายรอง (ใช้สัญลักษณ์ S ในตาราง)
- IT compliance with internal policies ซึ่งเป็นเป้าหมายรอง (ใช้สัญลักษณ์ S ในตาราง)


กรณีที่แปลงเป้าหมายระดับองค์กรคนละข้อแต่ได้เป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศข้อเดียวกันซึ่งมีทั้ง P และ S ร่วมกัน เช่น กรณีเป้าหมายระดับองค์กรเป็น

- COMPLIANCE WITH EXTERNAL LAWS AND REGULATIONS และ
- MANAGED BUSINESS RISKS (SAFEGUARDING OF ASSETS)
เมื่อแปลงแล้วจะได้เป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศข้อเดียวกันข้อหนึ่งคือ
- IT COMPLIANCE AND SUPPORT FOR BUSINESS COMPLIANCE WITH EXTERNAL LAWS AND REGULATIONS

โดยที่เป้าหมายอันแรกได้ P ในขณะที่เป้าหมายอันหลังได้ S (ดูในตารางประกอบ) กรณีที่แปลงแล้วได้เป้าหมายเดียวกันซึ่งมีทั้ง P และ S ผสมผสานกัน การปฏิบัติเพื่อให้บรรลุเป้าหมายด้านเทคโนโลยีสารสนเทศข้อเดียวกัน ต้องยึดอันที่มีลำดับความสำคัญสูงกว่าซึ่งก็คืออันที่เป็น P นั่นเอง

เมื่อแปลงเป้าหมายระดับองค์กรครบทุกเป้าหมายไปเป็นเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ แล้ว ให้ตรวจดูโดยรวมว่ามีเป้าหมายด้านเทคโนโลยีสารสนเทศทั้งหมดกี่ข้อจาก 17 ข้อที่ต้องดำเนินการ (ข้อใดที่เป็น P หรือ S ให้จัดลำดับความสำคัญไว้ด้วย) ซึ่งจะใช้เป็น Input สำหรับขั้นตอนถัดไป (ซึ่งคือการแปลงเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศไปเป็นกระบวนการด้านเทคโนโลยีสารสนเทศ)

6. แปลงเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศเป็นกระบวนการด้านเทคโนโลยีสารสนเทศ
COBIT 5 ได้กำหนดกระบวนการด้านเทคโนโลยีสารสนเทศไว้ตามที่แสดงในรูปด้านล่าง แต่ละวงรีในรูปคือกระบวนการด้านเทคโนโลยีสารสนเทศหนึ่งกระบวนการ (เอกสารฉบับนี้ไม่ได้อธิบายแต่ละกระบวนการในรูป ผู้อ่านที่สนใจหรือยังไม่มีพื้นเกี่ยวกับกระบวนการเหล่านี้ สามารถศึกษาได้จากเอกสาร COBIT5 Process Reference Guide)

บริเวณที่เป็นสีน้ำเงินเข้มรอบนอกเป็นที่อยู่ของกระบวนการที่เกี่ยวข้องกับการกำกับดูแลองค์กรที่ดี (Enterprise Governance) ซึ่งประกอบด้วยกระบวนการที่ใช้สัญลักษณ์ EDM ได้แก่ EDM1 EDM2 EDM3 EDM4 และ EDM5 เนื้อหาของกระบวนการที่เกี่ยวข้องกับการกำกับดูแลองค์กรที่ดีใน COBIT 5 นี้ได้ถูกนำมาจากมาตรฐาน Val IT ซึ่ง ISACA ก็เป็นผู้จัดทำมาตรฐานนี้ขึ้นมาเช่นเดียวกับ COBIT 5
COBIT เวอร์ชัน 4.1 ไม่มีบริเวณส่วนที่เป็นเรื่องของการกำกับดูแลองค์กรที่ดี กล่าวโดยสังเขปเพื่อให้เห็นภาพใหญ่ๆ COBIT 5 ได้นำเรื่องการกำกับดูแลองค์กรที่ดีเข้ามาผนวกเข้ากับกระบวนการเดิมๆ ของ COBIT 4.1 ซึ่งอยู่ในพื้นที่บริเวณที่เป็นสีฟ้า


COBIT 5 ได้แบ่งกระบวนการออกเป็น 2 กลุ่มหลัก ได้แก่
• กลุ่มแรก คือ กลุ่มกระบวนการที่เกี่ยวข้องกับการกำกับดูแลองค์กรที่ดีซึ่งอยู่ในบริเวณที่เป็นสีน้ำเงินเข้ม (IT Governance Processes) ซึ่งเน้นที่การกำหนดทิศทางขององค์กร การเฝ้าระวังเพื่อให้มีการปฏิบัติตามกฎหมาย ระเบียบ หรือข้อบังคับที่เกี่ยวข้อง การเฝ้าระวังด้านประสิทธิภาพและประสิทธิผลของการดำเนินงาน และการเฝ้าระวังด้านความก้าวหน้าเมื่อเทียบกับแผนที่กำหนดไว้ ทั้งนี้เพื่อให้บรรลุวัตถุประสงค์ขององค์กรที่กำหนดไว้ ในองค์กรส่วนใหญ่การกำกับดูแลองค์กรที่ดีจะเป็นหน้าที่ความรับผิดชอบของคณะกรรมการบริหาร (board of directors) ซึ่งประกอบด้วยผู้บริหารระดับสูงสุดขององค์กรโดยมี CEO และประธานกรรมการบริหารทำหน้าที่เป็นประธาน
• กลุ่มที่สอง คือ กลุ่มกระบวนการที่เกี่ยวข้องกับการบริหารจัดการเทคโนโลยีสารสนเทศซึ่งอยู่ในบริเวณที่เป็นสีฟ้า (IT Management Processes) ซึ่งเน้นที่การใช้ทรัพยากร บุคลากร กระบวนการ หรืออื่นๆ เพื่อให้บรรลุผลหรือวัตถุประสงค์ตามที่ต้องการภายในทิศทางที่คณะกรรมการบริหารได้กำหนดไว้ ในองค์กรส่วนใหญ่พอจะกล่าวได้ว่ากระบวนการบริหารจัดการเทคโนโลยีสารสนเทศจะเป็นหน้าที่ความรับผิดชอบที่สำคัญของหน่วยงานด้านเทคโนโลยีสารสนเทศขององค์กร แม้ว่าอาจมีผู้ที่เกี่ยวข้องอื่นๆ เกี่ยวข้องกับกระบวนการบริหารจัดการฯ ด้วยก็ตาม (เช่น Business partners, suppliers, shareholders, external users, customers, external auditors, consultants, etc)


ในรูป โปรดสังเกตว่ากลุ่มกระบวนบริเวณสีน้ำเงินเข้ม จะมากำกับดูแลกลุ่มกระบวนบริเวณสีฟ้า (มีคำว่า “Direct” ชี้ไปยังกลุ่มกระบวนบริเวณสีฟ้า) เพื่อให้เป็นไปตามวัตถุประสงค์ขององค์กรที่กำหนดไว้

COBIT 5 ได้ทำการแปลงเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (17 เป้าหมาย) ไปเป็นกระบวนการที่รองรับเป้าหมายเหล่านั้น ไว้ให้แล้วดังแสดงในตารางด้านล่าง (ตาราง 2 ตารางต่อกัน) ทั้งนี้เพื่อให้ง่ายต่อการนำไปใช้งาน แนวตั้งคือเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT-related Goals) ส่วนแนวนอนคือกระบวนการด้านเทคโนโลยีสารสนเทศ ที่จะต้องไปดำเนินการสร้างหรือจัดทำขึ้นมา



ตัวอย่างการนำไปใช้งานเช่น สมมติว่าเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศคือ IT COMPLIANCE AND SUPPORT FOR BUSINESS COMPLIANCE WITH EXTERNAL LAWS AND REGULATIONS กระบวนการที่รองรับเป้าหมายนั้นประกอบด้วย

- EDM1 Set and Maintain the Governance Framework ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- EDM3 Ensure Risk Optimisation ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- EDM5 Ensure Stakeholder Transparency ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- APO1 Define the Management Framework for IT ซึ่งเป็นกระบวนการหลัก (ใช้สัญลักษณ์ Pในตาราง)
- APO7 Manage Human Resources ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- APO10 Manage Suppliers ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- APO11 Manage Quality ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- APO12 Manage Risk ซึ่งเป็นกระบวนการหลัก (ใช้สัญลักษณ์ Pในตาราง)
- BAI2 Define Requirements ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- DSS1 Manage Operations ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- DSS2 Manage Assets ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- DSS3 Manage Configuration ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- DSS5 Manage Problems ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- DSS6 Manage Continuity ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- DSS7 Manage Security ซึ่งเป็นกระบวนการหลัก (ใช้สัญลักษณ์ Pในตาราง)
- DSS8 Manage Business Process Controls ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- MEA1 Monitor and Evaluate Performance and Conformance ซึ่งเป็นกระบวนการรอง (ใช้สัญลักษณ์ S ในตาราง)
- MEA2 Monitor System of Internal Control ซึ่งเป็นกระบวนการหลัก (ใช้สัญลักษณ์ Pในตาราง)
- MEA3 Monitor and Evaluate Compliance with External Requirements ซึ่งเป็นกระบวนการหลัก (ใช้สัญลักษณ์ Pในตาราง)


กรณีที่แปลงเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศคนละเป้าหมายกัน แต่ได้กระบวนการรองรับเดียวกันซึ่งมีทั้ง P และ S ร่วมกัน การปฏิบัติเพื่อให้สอดคล้องตามกระบวนการรองรับนั้น ต้องยึดอันที่มีลำดับความสำคัญสูงกว่าซึ่งก็คืออันที่เป็น P นั่นเอง

เมื่อแปลงเป้าหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศครบทุกเป้าหมายไปเป็นกระบวนการรองรับแล้ว ให้ตรวจดูโดยรวมว่ามีกี่กระบวนการจากทั้งหมด 36 กระบวนการที่ต้องดำเนินการสร้างขึ้นมา กระบวนการใดที่เป็น P หรือ S ให้จัดลำดับความสำคัญไว้ด้วย

จากนั้นศึกษาดูเอกสาร COBIT5 Process Reference Guide เพื่อดำเนินการสร้างกระบวนการรองรับตามที่ต้องการ


เอกสารอ้างอิง

1. COBIT 5 : The Framework
2. COBIT 5 : Process Reference Guide
3. The Val IT Framework 2.0

บริษัท ที-เน็ต จำกัด
131 หมู่ 9 ห้องเลขที่ 311 อุทยานวิทยาศาสตร์ประเทศไทย ถนนพหลโยธิน คลองหนึ่ง คลองหลวง ปทุมธานี 12120
โทรศัพท์: 02-564-7886    โทรสาร: 02-564-7854
e-mail: info@tnetsecurity.com

Copyright © 2008-2011 T-NET Co.,Ltd. All rights reserved.