เจาะลึก IT Governance Implementation และ บทวิเคราะห์ CobiT 5.0 Enterprise Governance of IT Framework และ IT Governance Implementation Guide ล่าสุดจาก ISACA (ตอนที่ 1)
ปริญญา หอมเอนก,
CGEIT, CISSP, CSSLP, SSCP, CISA, CISM, SANS GIAC GCFW, IRCA Lead Auditor
ACIS Professional Center
https://www.acisonline.net
ในปัจจุบันคำว่า “IT Governance” และ “Information Security Governance” กำลังเป็นที่กล่าวถึงกันในวงการธุรกิจตลอดจนในวงการไอที ตลอดจนแนวคิดเรื่อง “Green IT” และ “Sustainability” เป็นการมาถึงของยุคที่แนวคิด “Corporate Governance” หรือ “Enterprise Governance” กำลังมาแรงและถูกนำมาประยุกต์ใช้ในองค์กรทั่วโลก อันเนื่องมาจากปัญหาความไม่โปร่งใส และการบริหารงานที่ฉ้อฉล (Fraud) ของผู้บริหารระดับสูง และ การบริหารองค์กรที่ไม่มีประสิทธิภาพของหลายองค์กรใหญ่ๆในเวลานี้ จึงเป็นที่มาของแนวทางในการแก้ปัญหาที่ต้นเหตุ โดยพิจารณาถึงปัญหาที่เกิดจากการบริหารจัดการที่ไม่โปร่งใสของผู้บริหารระดับสูงที่ยังไม่สามารถบริหารจัดการองค์กรให้มีประสิทธิภาพและประสิทธิผลได้ เนื่องจากยังขาดองค์ความรู้หรือแนวทางปฏิบัติที่ดีในการบริหารจัดการตามแนวคิด “Corporate Governance” หรือ “Enterprise Governance” ซึ่งในปัจจุบันการทำธุรกิจธุรกรรมของทุกองค์กรนั้นต้องพึ่งพาการใช้เทคโนโลยีสารสนเทศหรือ “Information Technology (IT)” เป็นสำคัญ ดังนั้น การบริหารจัดการ “IT” จำเป็นต้องสอดคล้อง หรือ “Align” กับการบริหารจัดการองค์กร กล่าวคือ กลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศ (IT Strategy) ต้องสอดคล้องกับกลยุทธ์ในการบริหารจัดการองค์กร (Business Strategy) เพื่อให้บรรลุเป้าหมายเดียวกัน โดยหลักการที่นิยมในการนำมากำหนดกลยุทธ์ในการบริหารจัดการองค์กรก็คือ Balanced Scorecard (BSC) (ดูรูปที่ 1)
“BSC” เป็นเทคนิควิธีในการประเมินประสิทธิภาพขององค์กรที่คิดค้นโดย Dr. Robert S. Kaplan และ Dr. David P. Norton แห่งมหาวิทยาลัยฮาร์วาร์ด ซึ่งเมื่อนำมาประยุกต์ใช้กับการบริหารจัดการเทคโนโลยีสารสนเทศที่เรียกว่า “IT BSC” (ดูรูปที่ 2)
โดย BSC จะมีมุมมองใน 4 มุมมองได้แก่ Financial, Customer, Internal Business Processes และ Learning and Growth ขณะที่ “IT BSC” มีการปรับ 4 มุมมองของ BSC เป็น 4 มุมมองใหม่ ได้แก่ Corporate Contribution, Future Orientation, Operational Excellence และ Customer Orientation โดยการเชื่อม (Link)ระหว่าง เป้าหมายของธุรกิจ “Business Goals” ที่อ้างอิงจาก BSC กับเป้าหมาย จากการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร หรือ “IT Goals” นั้นสามารถอ้างอิงได้ จากตารางใน Appendix I ของCobiT 4.1 (ดูรูปที่ 3) “Linking Business Goals to IT Goals” ทำให้เราสามารถกำหนดกระบวนการทางด้านเทคโนโลยีสารสนเทศ หรือ “IT Processes” ที่สอดคล้องกับ “IT Goals” ดังกล่าว (ดูรูปที่ 4) “Linking IT Goals to IT Processes” ซึ่งใน CobiT Frameworkได้กำหนด Business Goals ไว้ทั้งหมด 17 เป้าหมายและ IT Goals ทั้งหมด 28 เป้าหมาย โดยสามารถอ้างอิงถึง 34 กระบวนการหลักในการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีตาม CobiT 4.1 Framework
ปัญหาที่พบบ่อยจากการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร ( 7 IT Challenges)
ปัจจุบันองค์กรทั่วโลกกำลังประสบปัญหาที่คล้าย ๆกันจากการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรโดยสามารถแบ่งได้ออกเป็น 7 ปัญหาใหญ่ ๆ (ดูรูปที่ 5) ได้แก่
1. “Keeping IT Running”
บางครั้งการให้บริการขององค์กรอาจหยุดชะงักได้ในกรณีที่ระบบสารสนเทศเกิดปัญหา เช่น ระบบล่ม (Unavailability) ทำให้ไม่สามารถให้บริการข้อมูลต่าง ๆ ที่ธุรกิจต้องการจากระบบสารสนเทศที่กำลังเกิดปัญหาอยู่ ดังนั้นองค์กรต้องแน่ใจได้ว่าระบบพร้อมให้บริการในเวลาที่ต้องการ (Availability) และระบบสามารถทำงานและให้บริการอย่างต่อเนื่องได้ (Continuity of IT Service) เวลาที่ระบบหลักเกิดปัญหาฉุกเฉิน เพื่อให้ระบบหลัก (Critical Business System) สามารถกลับมาให้บริการได้อย่างไม่ติดขัด ตามหลักการ BCM (Business Continuity Management) ซึ่งในปัจจุบันอ้างอิงมาตรฐาน BS 25999
2. “Value”
คำว่า “Value” เป็นคำยอดฮิตของวันนี้เช่น การที่องค์กรมุ่งเน้นให้ผลตอบแทนของผู้ถือหุ้นมากที่สุด เรียกว่า “Maximizing Shareholder Value” กำลังเกิดการเปลี่ยนแปลงเป็นการให้ความสำคัญกับผู้ที่เกี่ยวข้องกับองค์กรทั้งหมดที่เรียกว่า “Stakeholder Value” เช่น “Customer Value” และ “Employee Value” คือการทำให้ลูกค้าและพนักงานเกิดความสุขในการใช้บริการและการทำงานในองค์กร ขณะเดียวกันก็ต้องรับผิดชอบต่อสังคมส่วนรวมตามแนวคิด “Corporate social responsibility” หรือ “CSR” ที่เรารู้จักกันดี ตามแนวคิด “IT Governance” นั้น Stakeholder มีสองประเภท ได้แก่ “Internal Stakeholder” (ดูรูปที่ 5) และ “External Stakeholder” (ดูรูปที่ 6)
ดังนั้นการลงทุนทางด้านเทคโนโลยีสารสนเทศขององค์กรที่เรียกว่า “IT Investment” นั้น จึงจำเป็นต้องตอบโจทย์ให้ได้ว่า หลังจากองค์กรลงทุนไปแล้ว มูลค่าหรือคุณค่า (Value) ที่ได้รับกลับมาจากการลงทุนดังกล่าวนั้น “คุ้มค่า” หรือไม่ ? (IT Value) ยกตัวอย่าง เช่น ถ้าโครงการที่นำเทคโนโลยีสารสนเทศสามารถตอบโจทย์การให้บริการลูกค้าขององค์กรได้เร็วขึ้น เรียกได้ว่า สามารถทำให้ “IT” มี “Value” ต่อ “Business” ขององค์กร จึงเป็นที่มาของคำว่า “IT Value” (ISACA นำมาเป็นแนวคิดในการพัฒนา Val IT Framework) ปัญหาก็คือ เราจะสามารถ “วัด” IT Value ได้อย่างไร และ ผู้บริหารจะทราบได้อย่างไรว่าโครงการที่นำเทคโนโลยีสารสนเทศมาใช้สามารถตอบโจทย์ความต้องการทางด้านธุรกิจธุรกรรมต่าง ๆ ขององค์กรได้อย่างมีประสิทธิภาพและมีประสิทธิผล
3. “Cost”
การควบคุมต้นทุนในการลงทุนเกี่ยวกับเทคโนโลยีสารสนเทศนั้นเป็นอีกปัญหาหนึ่งที่พบเป็นประจำในองค์กร หลายโครงการมักจะมีค่าใช้จ่ายที่สูงเกินกว่าที่คาดประมาณไว้หรืออาจไม่คุ้มค่ากับการลงทุน หลายโครงการล้มเหลวไม่สามารถส่งมอบงานได้ทันเวลาทำให้เกิดค่าใช้จ่ายตามมาอีกมากมาย จากปัญหาดังกล่าวทำให้องค์กรต้องการมี “กระบวนการ” หรือ “Process” ที่ดี ในการบริหารจัดการค่าใช้จ่ายทางด้านเทคโนโลยีสารสนเทศให้ตอบโจทย์ในมุมมองทั้งด้านประสิทธิภาพ (efficiency) และ ประสิทธิผล (effective) ในเวลาเดียวกัน ตลอดจนองค์กรควรมีการจัดการด้านการรักษาความสัมพันธ์ที่ดีกับ Vendor หรือ Supplier อีกด้วย (Supplier Management)
4. “Mastering Complexity”
ในปัจจุบันระบบสารสนเทศและเทคโนโลยีสารสนเทศตลอดจนเทคโนโลยีอินเทอร์เน็ตมีความซับซ้อนมากขึ้นกว่าในอดีตมาก (ดูรูปที่ 8) ความสามารถในการจัดการของมนุษย์ (human ability) เมื่อเปรียบเทียบกับความซับซ้อนของระบบสารสนเทศ (IT complexity) นั้นเริ่มห่างขึ้นเรื่อย ๆ ทำให้เกิดช่องว่าง หรือ “GAP” ส่งผลให้เกิดปัญหาในการควบคุมและบริหารจัดการ (Control and Manage) ระบบสารสนเทศเพิ่มมากขึ้นในระยะยาว ดังนั้น ผู้บริหารระดับสูงขององค์กรที่มีวิสัยทัศน์เล็งเห็นปัญหาดังกล่าว จึงได้พยายามนำ Framework, Standard และ Best Practice ต่าง ๆ ไม่ว่าจะเป็น CobiT, ITIL หรือ ISO27001, ISO 20000 ตลอดจน BCMS มาประยุกต์ใช้ในองค์กรเพื่อปิด GAP ดังกล่าว โดยเจาะลึกในส่วนของการปรับกระบวนการด้านการบริหารจัดการเทคโนโลยีสารสนเทศภายในองค์กร (Internal IT Process) (ดูรูปที่ 9) ซึ่งเป็นส่วนที่ควรปรับแต่งมากที่สุด ขณะที่การปรับ “IT Process” นั้นก็ควรจะคำนึงถึงกระบวนการในการควบคุม หรือ “IT Control” ไปด้วย เนื่องจากทุกกระบวนการ (Process) จำเป็นต้องมีการควบคุม (Control) เพราะถ้าเราไม่สามารถควบคุมได้ เราก็ไม่สามารถบริหารจัดการได้ (If you cannot control, you cannot manage it : จากหนังสือ ITIL V3 CSI) การนำ CobiT Framework มาใช้นั้น เรานำมาใช้เป็น “Control Framework” ขณะที่การนำ ITIL มาใช้ก็เพื่อใช้เป็น “Process Framework” (ดูรูปที่ 10) ในการบริหารจัดการระบบสารสนเทศให้เกิดประสิทธิภาพ และประสิทธิผลดังที่กล่าวมาแล้วในตอนต้น
5. “Aligning IT with Business”
เป็นปัญหาใหญ่ระดับองค์กรที่ไม่ควรมองข้าม เพราะถ้าหากการนำเทคโนโลยีสารสนเทศมาใช้แล้วไม่สอดคล้องกับการดำเนินธุรกิจขององค์กรก็ไม่สามารถที่จะตอบโจทย์ของผู้บริหารระดับสูง ผู้ใช้งานระบบสารสนเทศ ตลอดจน ความต้องของลูกค้า และ ผู้ถือหุ้น ได้ ซึ่งโดยปกติแล้ว เราพบว่ามีช่องว่างเกิดขึ้นระหว่างความต้องการของผู้ใช้ระบบสารสนเทศ กับความเข้าใจของคนไอทีอยู่เป็นประจำ ดังนั้น การทำให้ระบบสารสนเทศที่องค์กรนำมาใช้มีความสอดคล้องกับความต้องการทางด้านธุรกิจขององค์กรนั้น จึงมีความสำคัญอย่างยิ่งยวด
6. “Regulatory Compliance”
เป็นอีกปัญหาหนึ่งขององค์กรในปัจจุบันเนื่องจากกระแสของการตรวจสอบ (Audit) และการประเมิน (Assess) ทั้งผู้ตรวจสอบภายใน (Internal Auditor) และผู้ตรวจสอบภายนอก (External Auditor) กำลังเพิ่มขึ้นอย่างต่อเนื่อง โดยปัจจัยที่ทำให้เรื่อง “Regulatory Compliance” มาแรง เนื่องจากการออกกฎหมายและกฎข้อบังคับต่าง ๆ ที่ทยอยออกมาบังคับใช้อย่างต่อเนื่อง อีกทั้งยังเป็นความต้องการขององค์กรที่ต้องการยกระดับเข้าสู่มาตรฐานในระดับสากล เช่น ISO/IEC 27001, ISO/IEC 20000 (ดูรูปที่ 11) เพื่อเสริมศักยภาพและภาพลักษณ์ที่ดีให้แก่องค์กรในยุค Globalization โดยกฎข้อบังคับต่าง ๆ ไม่ได้ถูกบังคับเฉพาะสถาบันการเงินเท่านั้น แต่ถูกบังคับสำหรับองค์กรโดยทั่วไป เช่น กฎหมายธุรกรรมอิเล็คโทรนิกส์ และกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์
7. “Security”
ข้อมูล และ สารสนเทศ (Data and Information) จำเป็นต้องรักษาความลับ (Confidentiality), ความถูกต้อง (Integrity) และความพร้อมใช้ (Availability) หรือ CIA TRIAD ดังนั้นการป้องกันความปลอดภัยของข้อมูลและสารสนเทศขององค์กรจึงมีความสำคัญอย่างมากในยุคที่เราสามารถเข้าถึงข้อมูลและสารสนเทศอย่างรวดเร็ว หรือ ที่เราเรียกว่ายุค “Pervasive Computing” ปัญหาทางด้านความปลอดภัยของระบบสารสนเทศจึงเป็น เรื่องใหญ่ที่ผู้บริหารขององค์กรต้องให้ความสำคัญไม่ให้เกิดผลกระทบ หรือ “Impact” ต่อการปฏิบัติงานและการดำเนินธุรกิจขององค์กร
จากปัญหาทั้ง 7 ประเด็นดังกล่าวจากการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร จึงจำเป็นที่ผู้บริหารระดับสูงต้อง “รับผิดชอบ” (accountability) ในการให้บริการสารสนเทศแก่ผู้ใช้ในองค์กรและลูกค้าให้เกิดความต่อเนื่องและ ต้องรักษาคุณสมบัติที่ดีทั้ง 7 ประการของสารสนเทศไว้ตาม CobiT Information Criteria ได้แก่ Effectiveness, Efficiency, Confidentiality, Integrity, Availability, Compliance และ Reliability เพื่อให้สารสนเทศขององค์กรเป็นสารสนเทศ (Information) ที่มีคุณภาพสามารถนำไปใช้ในการติดสินใจของผู้บริหาร และนำไปใช้ในการดำเนินธุรกิจ, ธุรกรรมต่าง ๆ ขององค์กรได้อย่างมีประสิทธิภาพและประสิทธิผล
ดังนั้นจึงเกิดความจำเป็นในการนำหลักแนวคิด “IT Governance” มาประยุกต์ใช้ในองค์กรโดยนำ CobiT Framework มาเป็นกรอบความคิด และ ปฏิบัติตามหลักแนวคิด IT Governance ที่เราเรียกว่า “IT Governance Implementation” มาทำให้เกิดผลในทางปฏิบัติจริงขององค์กร ซึ่งในปัจจุบันหลายองค์กรได้นำ CobiT Version 4.1 มาใช้เป็น IT Governance Framework และนำเอกสารจาก ISACA ชื่อ “IT Governance Implementation Guide; 2nd Edition” มาเป็นแนวทางในการ Implement และจากการนำ CobiT 4.1 และ IT Governance Implementation Guide มาใช้ในช่วงเวลา 2-3 ปีที่ผ่านมา ทำให้ทาง ISACA ค้นพบจุดบกพร่องของ CobiT 4.1 และ IT Governance Implementation Guide ดังนี้ (ขอต่อในฉบับหน้านะครับ)