การเตรียมองค์กรให้พร้อมเข้าสู่ยุค IT Governance ด้วยมาตรฐาน CobiT และ ITIL
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
ทุกวันนี้หลายองค์กรในประเทศไทยและทั่วโลก กำลังกล่าวถึงคำว่า “Best Practices” หรือมาตรฐานที่ควรนำมาเป็นแนวทางในการเตรียมระบบสารสนเทศขององค์กรให้พร้อมเข้าสู่ยุค IT Governance โดยที่ “Best Practices” ที่นิยมใช้กันได้แก่ มาตรฐาน ISO/IEC17799, CobiT และ ITIL เป็นต้น
มาตรฐาน “CobiT” นั้นย่อมาจาก “Control OBjectives for Information and Related Technology” CobiT นั้นมีจุดประสงค์ในการสร้างความมั่นใจว่าการใช้ทรัพยากรด้านเทคโนโลยีสารสนเทศนั้นสอดคล้องกับวัตถุประสงค์เชิงธุรกิจขององค์กร (Business Objectives) เพื่อให้เกิดการใช้ทรัพยากรอย่างมีประสิทธิผลอันจะส่งประโยชน์สูงสุดแก่องค์กร ช่วยให้เกิดความสมดุลย์ระหว่างความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk) และผลตอบแทนของการลงทุนในระบบสารสนเทศ (IT ROI)
มารตฐาน CobiT นั้นประกอบด้วยกิจกรรมหลัก 34 หัวข้อซึ่งเชื่อมกับ กิจกรรมย่อยอีก 318 หัวข้อ ซึ่งทำให้เกิด Framework ด้านการตรวจสอบภายในเทคโนโลยีสารสนเทศขึ้น (IT Internal audit) CobiT นั้นเริ่มพัฒนาโดย The Information Systems Audit and Control Association (ISACA) และ IT Governance Institute (ITGI) เป็นผู้ดูแลในปัจจุบัน (ISACA และ ITGI เป็นองค์กรระดับโลกตั้งอยู่ที่ประเทศสหรัฐอเมริกา) โดยเดิมทีตั้งใจให้เป็น Tools หรือ Guideline ของผู้ตรวจสอบระบบสารสนเทศ แต่ต่อมาก็มีการนำไปใช้โดย ผู้บริหารธุรกิจ และ ผู้บริหารระบบสารสนเทศ เนื่องจากในช่วงแรก CobiT นั้นถูกใช้เป็นแนวทางสำหรับการตรวจสอบระบบสารสนเทศ จึงทำให้ผู้บริหารระบบสารสนเทศ มักมองว่า CobiT นั้นเป็นภัยแก่ตน แทนที่จะมองว่าเป็น เครื่องมืออันทรงพลังสำหรับการสื่อสารระหว่างภาคไอทีและภาคธุรกิจ ซึ่งจะเป็นความเข้าใจที่ถูกต้องมากกว่า
กระบวนการของ CobiT นั้นสามารถแบ่งได้เป็น 4 หัวข้อใหญ่ๆ ได้แก่
– การวางแผนและจัดการองค์กร (PO : Planning and Organization)
– การจัดหาและติดตั้ง (AI : Acquisition and Implementation)
– การส่งมอบและบำรุงรักษา (DS : Delivery and Support)
– การติดตามผล ( M : monitoring)
CobiT นั้นมีพื้นฐานมาจาก Framework ชั้นนำต่างๆมากมาย ได้แก่ The Software Engineering Institute’s Capability Maturity Model (CMM), ISO 9000 และ The Information Technology Infrastructure Library (ITIL) ของประเทศอังกฤษ อย่างไรก็ตาม CobiT นั้นก็ยังขาดในส่วนของ Guideline เพื่อใช้ในทางปฏิบัติเนื่องจาก CobiT เป็น Framework ที่เน้นในเรื่องของ การควบคุม (Control) เป็นหลัก CobiT นั้นมุ่งประเด็นในการบอกว่าองค์กรต้องการอะไรบ้าง (What) แต่ไม่มีรายละเอียดในแง่ของวิธีการที่นำไปสู่จุดนั้น (How) ซึ่งเหมาะกับผู้ตรวจสอบระบบสารสนเทศที่ต้องการนำ CobiT มาใช้เพื่อทำเป็น Check Lists หรือ Audit Program แต่อาจจะยังไม่มีรายละเอียดพอสำหรับ ผู้บริหารธุรกิจ และผู้บริหารระบบสารสนเทศ ซึ่งต้องการนำ CobiT ไปปรับใช้กับองค์กรในทางปฏิบัติ (Practical Implementation)
สำหรับมาตรฐาน ITIL นั้น มีวัตถุประสงค์ในการสร้าง “Best Practices” สำหรับกระบวนการของ IT Service Delivery และ Support แต่ไม่ได้เป็นการกำหนด Framework ของการควบคุมในแนวกว้างอย่างที่ CobiT เป็น ITIL นั้นจะมุ่งไปทางการเสนอวิธีการในการปฏิบัติ แต่มีขอบเขตงานเพียงแค่ IT service Management ซึ่งแคบกว่า CobiT มาก ITIL นั้นค่อนข้างลึกในรายละเอียดของกระบวนการทำงาน ซึ่งมีวัตถุประสงค์ที่จะให้ทางฝ่ายระบบสารสนเทศ และ Service Management เป็นผู้นำไปใช้
การผสมผสานกระบวนการของ CobiT และ ITIL
ผู้ตรวจสอบมักนำ CobiT มาร่วมใช้งานโดยประกอบกับ ITIL self-assessment workbook เพื่อใช้ในการตรวจสอบการจัดการด้านการบริการของฝ่ายระบบสารสนเทศ CobiT นั้นจะมีองค์ประกอบพวก Key Goal และ Performance Indicators รวมไปถึง Critical Success Factors ของกระบวนการต่างๆ ซึ่งสิ่งนี้จะช่วยเสริมการทำงานของ ITIL เพื่อเป็นพื้นฐานของการจัดการกับกระบวนการของ ITIL จึงทำให้หลายๆองค์กรนั้นนำ Cobit มาใช้ร่วมกับ Framework ในเชิงลึกต่างๆ
หลายๆกระบวนการของ CobiT ซึ่งอยู่ใน domain “Delivery & Support” (DS1, DS3, DS4, DS8, DS9 และ DS10) นั้นมีความสอดคล้องกับ กระบวนการของ ITIL เป็นอย่างมาก เช่น Service Level, Configuration, problem, incident, release, capacity, availability หรือ financial management อีกทั้งกระบวนการของ CobiT AI6 change management process เองก็สอดคล้องกับ ITIL ในแง่ของ change management process และ supporting processes อื่นๆเช่น Release management. ITIL นั้นไม่ครอบคลุม การจัดการโครงการ (PO10) แต่ Projects in Controlled Environments (PRINCE2) นั้นสามารถเข้ามาเสริมได้. (PRINCE2 นั้นเป็นมาตรฐานซึ่งเริ่มและใช้โดยรัฐบาลและภาคธุรกิจของอังกฤษ )
กล่าวโดยสรุป CobiT และ ITIL นั้นไม่สามารถแทนที่ซึ่งกันและกันได้ ดังนั้นเพื่อให้ได้ “ไอทีภิบาล” หรือ “IT governance” องค์กรจึงควรที่จะผนวกจุดแข็งของ CobiT และ ITIL เข้าด้วยกัน โดยยึด Framework ด้านการควบคุมของ CobiT เป็นกรอบความคิดในเชิงกว้างจากนั้นจึงนำ ITIL และ Framework อื่นๆเข้าร่วมเพื่อเพิ่มเติมในรายละเอียดของการนำไปปฏิบัติจริงต่อไป
จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำเดือน เดือนพฤษภาคม 2548
Update Information : 24 มิถุนายน 2548