COBIT 5 Framework จาก ISACA (ขณะนี้เปิดให้ download แล้วที่http://www.isaca.org/COBIT ) เป็นการยกเครื่องครั้งใหญ่จากมุมมอง “IT Governance” มาเป็นมุมมอง “Governance and Management of Enterprise IT” โดยได้รับอิทธิพลมาจากมาตรฐาน ISO/IEC 38500 “Corporate Governance of Information Technology” (ดูรูปที่ 1)

รูปที่ 1 : ISO/IEC 38500

และเป็นการรวม Framework และ Guidance ทั้ง 6 ของ ISACA และ IT Governance Institute มาเป็น Framework เดียว โดยใน COBIT 5 Framework จะประกอบด้วย

1. Board Briefing on IT Governance
2. BMIS (The Business Model for Information Security)
3. ITAF (The IT Assurance Framework)
4. Risk IT Framework
5. TGF (Taking Governance Forward)
6. Val IT Framework

และ COBIT 5 ยังถูกออกแบบให้สามารถเชื่อมโยงและอ้างอิงไปยังมาตรฐานอื่นๆ เช่น มาตรฐาน ISO และแนวปฎิบัติที่เป็นเลิศ เช่น ITIL V3 อีกด้วย ดูรายละเอียดได้ที่ CobiT Mapping 3rd Edition (ดูรูปที่ 2) จะแสดงรายละเอียดการทำ “Mapping” จาก CobiT 4.1 ไปยัง 11 Standards and Best Practices รวมทั้งตัว CobiTเอง (ดูรูปที่ 3)

รูปที่ 2 : CobiT Mapping 3rd Edition

รูปที่ 3 : CobiT Mapping with 11 standards and best practices

COBIT 5 นั้นถูกเรียกได้ว่าเป็น “Process Reference Model” ที่ประกอบด้วย 2 Processes ใหญ่ คือ “Governance Process” และ “Management Process” (ดูรูปที่ 4)

รูปที่ 4 : COBIT 5 Governance and Management Process

ในส่วนของ “Governance Process” ได้แนวคิดมาจากมาตรฐาน ISO/IEC 38500 และส่วนของ “Management Process” มาจาก CobiT 4.1 ได้แก่ Plan = Plan &Organise , Build = Acquire & Implement , Run = Deliver & Support และ Monitor = Monitor & Evaluate
ความแตกต่างระหว่าง CobiT 4.1 และ COBIT 5
ใน CobiT 4.1 นั้นแบ่งกระบวนการ (process) ออกเป็น 34 กระบวนการ จากทั้งหมด 4 Domains ได้แก่ PO (Plan &Organise) , AI (Acquire & Implement) , DS (Deliver & Support) และ ME (Monitor & Evaluate)
แต่ใน COBIT 5 จะแบ่งกระบวนการออกเป็น 37 กระบวนการใน 5 Domains (ดูรูปที่ 5) ได้แก่

1. Align, Plan and Organise (APO: 13 processes)
2. Build, Acquire and Implement (BAI: 10 processes)
3. Deliver, Service and Support (DSS: 6 processes)
4. Monitor, valuate and Assess (MEA: 3 processes)
5. Evaluate, Direct and Monitor (EDM: 5 processes)

รูปที่ 5 : COBIT 5 Process Reference Model

และ COBIT 5 Framework ยังมีการปรับใหญ่ในส่วนของ “Process Capability” โดยเปลี่ยนจาก “Maturity Model” ของ SEI มาเป็น “Capability Level” จากมาตรฐาน ISO/IEC 15504: “IT Process Assessment” (ดูรูปที่ 6)

รูปที่ 6 : Process Capability Model Comparison

การปรับปรุงจาก CobiT 4.1 Framework เป็น COBIT 5 Framework โดย ISACA นั้น เป็นการยกเครื่องครั้งใหญ่จากมุมมอง “IT Governance” มาเป็นมุมมอง “Governance and Management of Enterprise IT” โดยมุ่งเน้นแนวคิดเรื่อง “Value Delivery” หรือ “Create Value” และ “Risk Management” หรือ “Preserve Value” (ดูรูปที่ 7)

รูปที่ 7 : Value Delivery = Create Value, Risk Management = Preserve Value

และในส่วนของ COBIT 5 มีการปรับปรุง “Governance Objective” ให้ชัดเจนขึ้นใน Concept ของ “Value Creation” หรือ “Stakeholder Value” ซึ่งประกอบด้วย 3 มุมมอง (ดูรูปที่ 8) ได้แก่

1. Benefit Realization
2. Resource Optimization
3. Risk Optimization

รูปที่ 8 : COBIT 5 Governance Objective

หมายถึง ผู้บริหารองค์กรต้องสามารถแสดงให้เห็นถึง “ประโยชน์ต่อธุรกิจ” (Business Benefits) ที่ชัดเจน และในขณะเดียวกันก็ต้องมีการบริหารจัดการทรัพยากรอย่างมีประสิทธิภาพ และมีการบริหารความเสี่ยงที่อยู่ในระดับที่ยอมรับได้โดยผู้บริหารระดับสูงต้องรับผิดชอบเรื่อง Risk Appetite และ Risk Tolerance ซึ่งในองค์กรประกอบด้วยผู้เกี่ยวข้องจากหลายฝ่าย ดังนั้น เรื่องของ “Governance Objective” เป็นเรื่องของการบริหารสมดุลของประโยชน์ในแต่ละฝ่ายให้ลงตัว เพื่อให้เกิดประโยชน์สูงสุดในภาพรวมขององค์กร โดยก่อนจะมาถึง “Governance Objective” นั้นต้องมาจาก “Stakeholder Needs” และ “Drivers” เสียก่อน (ดูรูปที่ 9)

รูปที่ 9 : From Drivers and Stakeholder Needs to Governance Objective

จาก “Governance Objectives” ก็จะ Mapping เข้าสู่ 17 “Enterprise Goals” และ 17 “Information and Related Technology Goals” ตามลำดับ ดังรูปที่ 10, 11, 12 และต่อเนื่องไปยัง “Enabler Goals” ทั้ง 7 ดังรูปที่ 13

รูปที่ 10 : From Governance Objectives to Enabler Goals

รูปที่ 11 : 17 Enterprise Goals mapped to Governance Objectives

รูปที่ 12 : 17 Information and Related Technology Goals

รูปที่ 13 : COBIT 5 Enabler Goals

ซึ่งใน COBIT 4.1 Framework, Appendix I “Enterprise Goals” ถูกเรียกว่า “Business Goal” และ “IT Related Goals” ถูกเรียกว่า “IT Goals” ใน COBIT 5 Framework มีการปรับเป็น 17 Business Goals ซึ่ง MAP เข้าสู่ Balanced Scorecard เป็น “Enterprise Goal” และปรับ 28 IT Goal MAP เข้าสู่ Balanced Scorecard เป็น 17 IT Related Goal
นอกจากนี้ยังเพิ่มเติมการ MAP ตัว 17 Enterprise Goal และ 17 IT Related Goal เข้าด้วยกัน ดังรูปที่ 14

รูปที่ 14 : 17 Enterprise Goal Mapped to 17 IT Related Goal

และ MAP “17 IT Related Goals” ไปยัง “COBIT 5 Processes” ดังรูปที่ 15

รูปที่ 15 : 17 IT Related Goal mapped to COBIT 5 Processes

หัวใจของ “IT Governance Focus Area” ทั้ง 5 (ดูรูปที่ 16) ได้ถูกยกเลิกใน COBIT 5 แต่แนวคิดจะถูกปรับให้เป็นไปตาม “Governance Processes” และ “Management Processes” ของตัว COBIT 5 เอง

รูปที่ 16 : IT Governance 5 Focus Areas had been removed from COBIT 5

COBIT 5 : “7 Enablers”
ในส่วนของ “Enablers” ทั้ง 7 (ดูรูปที่ 13) มีรายละเอียดดังนี้

1. “Process” เน้นไปที่กระบวนการที่เป็นระบบเพื่อให้บรรลุวัตถุประสงค์ที่ MAP process เข้าสู่ “IT Related Goals“
2. Culture, Ethics, Behaviors เน้นไปที่บุคลากร และองค์กรในเรื่องของวัฒนธรรมองค์กร ทัศนคติของพนักงาน และผู้บริหารระดับสูง
3. “Organizational Structure” หมายถึง ส่วนของโครงสร้างขององค์กรในการบริหารจัดการก็เป็นเรื่องสำคัญที่ผู้บริหารระดับสูง (C-level) รวมถึง Board of Director ต้องใส่ใจกับเรื่อง IT Governance และ Enterprise Governance
4. “Information” หมายถึง “สารสนเทศ” หรือ “ข้อมูล” ที่เราต้องจัดเก็บดูแลเพื่อนำมาใช้ประโยชน์ในองค์กร
5. “Principles and Policies” หมายถึง แนวคิดหลัก และนโยบายเพื่อเป็นเครื่องมือที่ถูกนำมาใช้ควบคุมองค์กรในภาพรวม ซึ่งเป็นหน้าที่ของผู้บริหารระดับสูงต้องกำหนดนโยบายให้ชัดเจน
6. “Skills and Competencies” มุ่งเน้นไปที่สมรรถนะของบุคลากรในองค์กร หากองค์กรมีพนักงานที่มีคุณภาพก็จะช่วยเสริมให้บรรลุเป้าหมายในภาพรวมขององค์กรได้ง่ายยิ่งขึ้น มุ่งเน้นเรื่อง “Soft Skills“
7. “Service Capabilities” หมายถึง โครงสร้างพื้นฐาน (Infrastructure), เทคโนโลยี (Technology) และโปรแกรมประยุกต์ (Applications) ประกอบกันเป็นระบบสารสนเทศ (Information System) ที่ถูกนำมาใช้ในการสนับสนุนการปฎิบัติงานในองค์กรและการประกอบธุรกิจขององค์กรซึ่ง “IT” เป็นหัวใจสำคัญในการขับเคลื่อนองค์กรวันนี้และในอนาคต

กล่าวโดยสรุป COBIT 5 Framework ได้ให้ความสำคัญกับ 7 Enablers ในภาพใหญ่เพียงภาพเดียว ทำให้ผู้บริหารระดับสูงขององค์กรสามารถมองในองค์รวม (Holistic Approach) แบบ 360 องศาได้ชัดเจนยิ่งขึ้น โดยไม่ตกหล่น มุมมองบางด้านที่มีความสำคัญไป โดยเฉพาะเรื่องการบริหารจัดการ “คน (people)” ซึ่งใน COBIT 4.1 เน้นไปที่การบริหารจัดการ “เทคโนโลยี” และ “กระบวนการ” เป็นส่วนใหญ่ แต่ใน COBIT 5 จะเน้นที่ “คน” และ “องค์กร” (ดูรูปที่ 17) ตาม Concept ของ BMIS

รูปที่ 17 : Business Model for Information Security (BMIS)

รูปที่ 18 : COBIT 5 Principles

ดังนั้นผู้บริหารระดับสูงขององค์กรจึงควรนำ COBIT 5 มาวิเคราะห์ และเจาะลึกในมุมมองของแนวคิดเชิงปรัชญาจาก COBIT 5 Principles (ดูรูปที่ 18) และ นำแนวคิดของ COBIT 5 Framework มาประยุกต์ใช้ในองค์กรต่อไปในอนาคตเพื่อให้สอดคล้องกับยุค “Integrated GRC“