จุดบกพร่องของ CobiT 4.1 (CobiT 4.1 Weaknesses)

• CobiT 4.1 ยังคงเป็น Framework ที่ครอบคลุมเฉพาะเรื่อง IT Governance เท่านั้น แต่ยังไม่ครอบคลุมถึง Enterprise Governance
• CobiT 4.1 ถูกมองว่าเป็น “Tool” ของผู้ตรวจสอบหรือ “IT Auditor” เท่านั้น ซึ่งจริง ๆ แล้ว CobiTถูกออกแบบมาให้ผู้บริหารระดับสูงและผู้บริหารระบบสารสนเทศตลอดจนผู้ปฏิบัติการด้านสารสนเทศนำมาใช้
• CobiT 4.1 ยังเป็น Framework ที่ยังไม่สมบูรณ์ในตัวเองซึ่งยังต้องอาศัย Framework อื่นมาประกอบในการนำมาใช้งาน เช่น Val IT Framework และ Risk IT Framework
• CobiT 4.1 ยังถูกนำไปใช้ได้ยาก เนื่องจากความยากในการทำความเข้าใจในตัว Framework เอง

จุดบกพร่องของ IT Governance Implementation Guide 2nd Edition (ดูรูปที่ 12)


การ Implement IT Governance ยังเป็นแนวคิดเดิมที่ยังไม่เป็น “Continual Improvement” ทำให้เกิดความเข้าใจผิดว่าเมื่อดำเนินการตามแต่ละขั้นตอนแล้ว เมื่อถึงขั้นตอนสุดท้ายก็แปลว่าจบและไม่ต้องทำต่อ ซึ่งผิดไปจากแนวทางที่ถูกต้องซึ่งจำเป็นต้องทำแบบต่อเนื่อง (Continual) เป็น กระบวนการพัฒนาแบบต่อเนื่อง (Iterative Process) ในลักษณะ “Life Cycle” (ดูรูปที่ 13) และ “IT Governance Implementation Guide 2nd Edition” ยังไม่ได้นำวิธีการของ Best Practice ใหม่ ๆ มาใช้ เช่น ITIL Version 3 ยกตัวอย่างเช่น เรื่อง “Change Enablement” และ “Continual Improvement Life Cycle”

จากข้อบกพร่องดังกล่าว ISACA และ IT Governance Institute จึงมีแนวคิดในการยกเครื่อง CobiT 4.1 ใหม่แบบ “Major Change” เพื่อให้ CobiTเวอร์ชั่นใหม่นั้นครอบคลุมไปถึง “Enterprise Governance” และมีการรวมกันของ Framework ต่าง ๆ ไว้เป็นหนึ่งเดียวโดยจะมีการรวม Val IT Framework และ Risk IT Framework เข้ากับ CobiT 4.1 (ดูรูปที่ 14) เพื่อตอบโจทย์ทั้งมุม “Performance” และ “Conformance” โดยพิจารณา Business Model for Information Security (BMIS) Framework (ขณะที่เขียนต้นฉบับ ยังไม่ออก Final Version) และ A Professional Practices Framework for IT Assurance (ITAF) ร่วมด้วย และได้ให้ชื่อ Framework ใหม่ว่า “CobiT 5” สำหรับเอกสารประกอบอีกสองฉบับได้แก่ ITAF และ IT Governance Implementation Guide ได้มีแผนในการปรับปรุงใหม่ ซึ่งตัวเอกสาร IT Governance Implementation Guide 2nd Edition ได้มีการปัดฝุ่น ปรับปรุงใหม่แบบยกเครื่องเช่นกันและได้ออกมาให้ดาวน์โหลดแล้วในชื่อใหม่ที่เรียกว่า “Implementing and Continually Implementing IT Governance” (ดูรูปที่ 15)

เอกสาร “Implementing and Continually Implementing IT Governance” ได้ถูกปรับปรุงโดยนำแนวความคิดของ ITIL V3 Continual Service Improvement (CSI) มาประยุกต์ใช้ในการ Implement IT Governance ในรูปแบบ “Life cycle Approach” โดยนำหลักการ CSI 6 Steps Model (ดูรูปที่ 16) มาประยุกต์โดยเพิ่มขั้นตอนมาอีกขั้นตอนหนึ่งคือ “What need to be done” (Step 4th) ระหว่าง “Where do we want to be” และ “How do we get there” จาก CSI 6 steps Model โดยใน CobiT 5 จะเน้นในเรื่อง Information Security และ Information Assurance ด้วย

กระบวนการที่ถูกปรับปรุงเพิ่มขึ้นทั้ง 7 ขั้นตอน มีความสมบูรณ์และพร้อมในการนำไปประยุกต์ใช้องค์กรมากขึ้นกว่าเดิม (ดูรูปที่ 17)

เอกสาร “Implementing and Continually Implementing IT Governance” ประกอบด้วย 4 Components ได้แก่

1. Create the right environment
2. Programme Management หรือ Project Management
3. Change Enablement
4. Continual Improvement Life Cycle

ซึ่งรายละเอียดของกระบวนการทั้ง 7 ให้ดูรูปที่ 18

Inside CobiT 5 Design 
ปรัชญาในการออกแบบ CobiT 5 นั้นนำมาจาก ISACA Initiative ที่เรียกว่า “TGF” ย่อมาจาก “Taking Governance Forward” ซึ่งตัว CobiT 5 มีวัตถุประสงค์ในการพัฒนาอยู่ 7 ข้อได้แก่

1. ความต้องการในการรวม Framework ต่าง ๆ ได้แก่ Val IT, Risk IT, BMIS และ ITAF เข้าด้วยกันในลักษณะเป็น Framework ใหญ่เพียงหนึ่งเดียว เพื่อไม่ให้เกิดความยุ่งยากสับสนในการใช้งาน Framework ต่าง ๆ
2. ต้องการให้หลักการและให้คำศัพท์ต่าง ๆ เกิดความชัดเจนไม่ซับซ้อน
3. ต้องง่ายในการ “Migrate” จาก CobiT 4.1
4. ต้องมีรายละเอียดเพื่อการค้นหาของผู้ใช้มากขึ้นกว่าใน CobiT 4.1
5. ต้องครอบคลุมเรื่อง Enterprise Architecture (EA) เรื่อง Decision Making เรื่อง People Skill เรื่อง Organization Structure เรื่อง Charge Enablement และ เรื่อง Sustainability
6. ต้องทำให้ชัดเจนในเรื่องของ “Governance Process” และ “Management Process”
7. ต้องง่ายในการ “ทำความเข้าใจ” “การนำมาใช้งาน “ สอดคล้องกับ “Standard” และ “Best Practice”

เป็นที่ชัดเจนแล้วว่า การปรับปรุงกระบวนการ “IT Governance” นั้นมีผลทำให้ภาพรวมของการปรับปรุง กระบวนการ “Enterprise Governance” ดีขึ้นด้วย และ การนำ Frameworks, Standards ตลอดจน “Best Practices” ต่าง ๆ มาใช้นั้น จะได้ผลก็ต่อเมื่อถูกนำมา “Adapt” และ “Adopt” อย่างถูกต้อง
CobiT 5 Framework นั้น เรียกได้ว่าเป็น “Enterprise Governance of IT Framework” โดยนำแนวคิด “TGF” (ดูรูปที่ 19) มาใช้ในการออกแบบและพัฒนา โดย CobiT 4.1 จะถูกออกแบบมาตามแนวคิด “Process Model” และเพื่อปรับปรุงในส่วนของ “Information Requirement” โดยใช้โมเดลที่เรียกว่า “Information Reference Model (IRM)” ซึ่งเป็นโมเดลที่เน้นเรื่องการบริหารจัดการกับ “Information” โดยเฉพาะ (ดูรูปที่ 20) โดย “Information” หรือ “สารสนเทศ” จะอยู่ตรงกลางระหว่าง “Data” หรือ ข้อมูล และ “Knowledge” หรือ องค์ความรู้ ซึ่ง “Information” จะถูกมองในมุมของ Information Criteria, Information Stakeholder, Information Purpose, Information Type, Information Attribute ต่างๆ ตลอดจนการนำ Information มาใช้ หรือ “Information Use” เรียกได้ว่าครบทั้ง Information Life Cycle ที่นิยมเรียกว่า “CRUD” (Create, Read, Update และ Delete)

กลุ่มของผู้ที่มีส่วนเกี่ยวข้องกับการนำ CobiT 5.0 ไปใช้นั้นจะกว้างขึ้นกว่า CobiT 4.1 ทั้ง Internal Stakeholder และ External Stakeholder ทำให้ครอบคลุมผู้ใช้ในวงกว้างมากขึ้นกว่าเก่า 

สถาปัตยกรรมของ CobiT 5 ถูกออกแบบให้เหมาะสมกับ Stakeholder ที่แตกต่างกัน ในรูปของ CobiT 5 Family of Products เช่น CobiT 5 for Risk, CobiT 5 for Value หรือ CobiT 5 for Security และ CobiT 5 for Compliance (ดูรูปที่ 22)

ใน CobiT 5 มีการปรับปรุงในส่วนของ “Process Model” โดยให้สอดคล้องกับมาตรฐาน ISO 38500:2008 “Corporate Governance of Information Technology” (ดูรูปที่ 22) โดยยึดหลัก 3 กระบวนการ ได้แก่ ประเมิน (Evaluate) กำกับ (Direct) และเฝ้าระวัง (Monitor) ซึ่งครอบคลุมใน 3 เรื่องคือ “Risk Governance”, “Value Governance” และ “Resource Governance” (ดังรูปที่ 23)

โดยมีการปรับปรุงจาก CobiT 4.1 ซึ่งประกอบด้วย 4 โดเมน ได้แก่ “Plan and Organize”, “Acquire and Implement”, “Deliver and Support” และ “Monitor and Evaluate” มาเป็น “Align, Plan and Organize”, “Build, Acquire & Implement”, “Deliver and Support” และ “Monitor & Assess” (ดูรูปที่ 24) อีกทั้งใน CobiT 5 ยังมีการนำ Standard และ Best Practice มาใช้อ้างอิงกว่า 60 แหล่ง ยกตัวอย่าง เช่น ITIL V3, ISO 27000 Series, ISO 20000, ISO 38500:2008, TOGAF V9 และ ISO 9000:2008

การนำ CobiT 5 มาใช้ได้ผลดีนั้น ต้องคำนึงถึงวัฒนธรรมขององค์กรด้วย เพราะจะต้องเกิดการเปลี่ยนแปลง หรือ “Change” ทั้งด้าน วัฒนธรรม (Culture) และ พฤติกรรม (Behavior) ของคนในองค์กรอย่างหลีกเลี่ยงไม่ได้ โดย ISACA ได้คำนึงถึงปัญหาใหญ่ในเรื่องนี้จึงได้ทำการปรับแนวทางในการ Implement IT Governance มาเป็น Life Cycle ตามหลักการ CSI 6 Steps Model จาก ITIL V3 มาเป็นแนวทาง 7 Steps ดังที่กล่าวมาแล้วในตอนต้น

กิจกรรมตามแนวคิด “IT Governance” นั้นสามารถแบ่งได้เป็น 5 กลุ่ม (ดูรูปที่ 25) ได้แก่

1. Strategic Alignment
หมายถึง การทำให้กลยุทธ์ทางด้านการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรนั้น “สอดคล้อง” หรือ “Align” ไปในทิศทางเดียวกับกลยุทธ์ขององค์กร โดยแผนแม่บทด้านสารสนเทศควรสอดคล้องกับแผนแม่บทขององค์กร เพื่อให้การดำเนินการทางด้านสารสนเทศสอดคล้องกับเป้าหมายขององค์กร จะส่งผลให้องค์กรสามารถใช้ทรัพยากรต่าง ๆ ได้อย่างมีประสิทธิภาพ
2. Value Delivery หรือ Value Creation
หมายถึง การนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรต้องตอบโจทย์ความต้องการทางด้านธุรกิจขององค์กรให้ชัดเจนในมุมมองของ “ความคุ้มค่า” ที่สามารถรับรู้ได้โดยผู้ใช้ระบบสารสนเทศตลอดจน ผู้บริหารระดับสูงขององค์กรและลูกค้าที่มีส่วนเกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศเพื่อทำให้การให้บริการขององค์กรดีขึ้น เช่น ให้บริการได้เร็วขึ้น, ทำให้ลูกค้าเกิดความพึงพอใจมากขึ้นจากการที่องค์กรนำระบบสารสนเทศมาใช้ เรียกได้ว่า “เห็นประโยชน์” จากนำเทคโนโลยีสารสนเทศมาใช้ อย่างชัดเจน เป็นรูปธรรม ตลอดจนอยู่ในเวลาและงบประมาณที่กำหนดไว้อีกด้วย (ดูรูปที่ 26)

3. Risk Management หรือ Value Preservation

ขณะที่ “Value Delivery” มุ่งเน้นไปที่การสร้างคุณค่า (Value Creation) แต่สำหรับ Risk Management หรือ การบริหารความเสี่ยงนั้น มุ่งเน้นไปที่กระบวนการรักษาคุณค่าหรือ (Value Preservation) โดยการบริหารความเสี่ยงควรเป็นกระบวนการที่กระทำอย่างต่อเนื่องตามหลักการด้านการบริหารความเสี่ยงแบบสากล ได้แก่ การประเมิน (Assess) การวิเคราะห์ (Analysis) และการตัดสินใจ(Treatment) ว่าจะยอมรับความเสี่ยง หรือ ไม่ยอมรับความเสี่ยงในลักษณะใด (Risk Reduction, Risk Retention, Risk Avoidance หรือ Risk Transfer) โดยอ้างอิงจาก Risk Acceptance Criteria (ISO 27005:2008)
โดยการบริหารจัดการความเสี่ยงที่ดีนั้นควรให้ผู้บริหารระดับสูงได้รับรู้ และ ตระหนัก (Risk Aware) ในผลกระทบจากความเสี่ยงที่อาจเกิดขึ้น และ ได้ทำการกำหนดระดับความเสี่ยงที่ยอมรับได้ “Risk Appetite” หรือ Risk Acceptance Level” เพื่อนำไปใช้ในการประเมินความเสี่ยงซึ่งหน้าที่ในการกำหนดระดับความเสี่ยงดังกล่าวนี้จะเป็นใครไปเสียไม่ได้นอกจาก “ผู้บริหารระดับสูง” ที่ต้องรับผิดชอบในเรื่องนี้ เพื่อให้สอดคล้องกับแนวทาง IT Governance และแนวคิด Governance, Risk Management and Compliance (GRC)
เนื่องจากการนำสารสนเทศมาใช้ทำให้เกิดความเสี่ยงที่เรียกว่า “IT Risk” ซึ่งส่งผลโดยตรงต่อการดำเนินงานขององค์กร ทำให้เกิด “Business Risk” หรือความเสี่ยงในเชิงธุรกิจขององค์กร จากการนำเทคโนโลยีสารสนเทศมาใช้อย่างไม่ปลอดภัย และไม่รัดกุมพอ เรียกได้ว่า “IT Risk ก็คือ “Business Risk” ดี ๆ นี่เอง”
4. Performance Management

การวัดประสิทธิภาพและประสิทธิผล ของกระบวนการด้านการบริหารจัดการเทคโนโลยีสารสนเทศนั้น กำลังเป็นประเด็นร้อนที่มีการกล่าวถึงอย่างมากทั่วโลกในขณะนี้ เรื่องของ “IT KPI” “IT Metric” ตลอดจน “IT Performance Management” ต่าง ๆ กำลังเป็นที่เรื่องที่ผู้บริหารระบบสารสนเทศต้องนำมาใช้ในการประเมินการปฏิบัติงานของฝ่ายเทคโนโลยีสารสนเทศ ดังนั้นจึงมีความจำเป็นที่ผู้บริหารระบบสารสนเทศต้องกำหนด “ค่าชี้วัด” หรือ “Metric” ในการประเมินที่ได้รับการยอมรับโดยผู้เกี่ยวข้อง หรือ Stakeholder ซึ่งอาจวัดในรูปของ Performance Scorecard, Dashboard หรือ Benchmarking
ความสำคัญของการวัด หรือ “Measurement” นั้น ส่งผลต่อความสามารถในการบริหารจัดการหรือ “Manage” ดังคำกล่าวที่ว่า “If you cannot measure it, you cannot manage it” ดังนั้นการวัดประสิทธิผลและวัดประสิทธิภาพนั้นจึงเป็นกระบวนการที่มีความสำคัญอย่างมากซึ่งจะถูกมองข้ามเสียไม่ได้ ผู้ตรวจสอบจาก Certification Body (CB) เวลามาตรวจสอบองค์กรตามมาตรฐาน ISO/IEC 27001 จะเน้นเรื่องการวัดประสิทธิผล (Effectiveness) ของกระบวนการด้านการบริหารจัดการความปลอดภัยสารสนเทศ โดยถ้ามีการปฏิบัติตามกระบวนการตามหลัก ISMS แล้วแต่ไม่มีการประเมินผลก็ถือว่า ยังไม่ตรงตามหลักการของ ISO/IEC 27001
5. Resource Management
หมายถึง การบริหารจัดการทรัพยากรต่าง ๆ ทั้ง 4 กลุ่มได้แก่

1. บุคลากร (People)
2. โครงสร้างพื้นฐาน (Infrastructure)
3. โปรแกรมประยุกต์ (Application)
4. สารสนเทศ (Information)

เป็นการนำทรัพยากรมาใช้อย่างมีประสิทธิภาพ เพียงพอกับความต้องการและคุ้มค่าการลงทุน โดยการบริหารทรัพยากรบุคคล หรือ “Human Resource Management” นั้นเป็นเรื่องสำคัญเพราะบุคลากรถือเป็นทรัพยากรที่สำคัญที่สุดขององค์กรจึงต้องมีการฝึกอบรมให้ความรู้ตลอดจนมีการพัฒนาบุคลากรให้มีความรู้ความสามารถเป็น “Knowledge Worker” ที่สามารถปฏิบัติต่าง ๆ ขององค์กรได้ตามเป้าหมายที่กำหนดไว้ในแผนกลยุทธ์ทางด้านสารสนเทศและแผนกลยุทธธุรกิจในภาพรวมขององค์กรในที่สุด
บทสรุปของการนำ CobiT Framework และ IT Governance Implementation Guide มาใช้นั้นสรุปความได้ว่า ทั้ง CobiTและ IT Governance Implementation Guide นั้นไม่ใช่ “Solution” แต่เป็น “Method” ดังคำกล่าวของ “Luc Kordel” ที่ว่า “It’s a method, not the solution!” ดังนั้นองค์กรต้องนำ Framework มา “Adopt” และ “Adapt” ปรับให้เข้ากับ Corporate Culture, Style และ People Skill