วันพฤหัสบดีที่ 30 มกราคม พ.ศ. 2557

COBIT

COBIT

โคบิตถือเป็นกรอบวิธีปฏิบัติตัวหนึ่งที่เน้นให้องค์กรเป็นองค์กรที่มี ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี ดังนั้นองค์กรที่ต้องการประสบความสำเร็จในการเป็นองค์กรที่มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดีควรที่จะนำโคบิตไปปรับใช้ในการบริหารงานขององค์กร
ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ คือ การนำกรอบวิธีการปฏิบัติและวิธีการปฏิบัติที่ดีที่สุด จากมาตรฐานต่างๆ มาปรับใช้ในองค์กร เพื่อช่วยในการตรวจสอบติดตาม และปรับปรุงกระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร เพื่อเพิ่มมูลค่าทางธุรกิจและเป็นการลดความเสี่ยงด้านธุรกิจที่องค์กร
โคบิตกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ ซึ่งโคบิตสนับสนุนในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยมีการจัดเตรียมกรอบวิธีปฏิบัติต่างๆ เพื่อต้องการให้แน่ใจว่า
·       เทคโนโลยีสารสนเทศที่นำมาใช้จะเป็นไปในทิศทางเดียวกันกับธุรกิจขององค์กร
·       เทคโนโลยีสารสนเทศสามารถที่จะสนับสนุนความต้องทางด้านธุรกิจได้อย่างเต็มประสิทธิภาพ
·       ทรัพยากรด้านเทคโนโลยีสารสนเทศถูกใช้อย่างเหมาะสม
·       สามารถจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม
กลุ่มผลิตภัณฑ์ของโคบิต  Management Guideline เป็นเครื่องมือสำหรับผู้บริหารด้านธุรกิจและผู้บริหารด้าน IT ซึ่งมีการจัดเตรียมเนื้อหาในส่วนของหลักหรือวิธีที่ใช้ในการบริหารจัดการด้าน IT รวมถึงคำแนะนำในการนำ framework ของโคบิตมาปรับใช้ในการบริหารจัดการ และ guideline นี้ยังมีการจัดเตรียมเครื่องมือที่ใช้ในการวัดประสิทธิภาพของการบริหารจัดการองค์กรในหลายๆ ด้าน เช่น
·       Maturity Model เป็นเครื่องมือหลักที่ช่วยในการวัดและจัดระดับความสามารถของกระบวนการด้าน IT
·       Critical Success Factors เป็นเครื่องมือที่ช่วยในการระบุให้ทราบว่ามีการกระทำที่สำคัญอะไรบ้างที่จะทำให้การควบคุมที่นำมาใช้ประสบความสำเร็จ
·       Key Goal Indicators เป็นเครื่องมือที่ช่วยในการกำหนดระดับของเป้าหมายด้านประสิทธิภาพของ IT ที่ใช้ในปัจจุบัน
·       Key Performance Indicators เป็นเครื่องมือที่ช่วยในการวัดให้ทราบว่าการนำกระบวนการในการควบคุมด้าน IT เข้ามาใช้นั้นตรงตามกับวัตถุประสงค์หรือไม่



ตัวอย่าง การประเมินโดยใช้กรอบแนวคิดของ CObIT  และ Maturity Model

ระดับคะแนนการควบคุม
คำอธิบายระดับคะแนน
5
ดีเยี่ยม
ระดับสูงสุด (Optimized)
การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับสูงสุด
4
ดีมาก
ระดับที่มีการจัดการและวัดผลงาน
(Managed and Measurable)
การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับดีมาก คือ มีการจัดการ และวัดผลงานได้
3
ดี
ระดับที่มีการกำหนดวิธี/ขั้นตอนการทำงาน (Defined)
การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับดี คือ มีการระบุขั้นตอนในการทำงาน
2
พอใช้
ระดับที่มีการทำซ้ำได้ แต่ยังไม่เป็นระบบ
(Repeatable but Intuitive)
การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับพอใช้ คือ มีการระบุขั้นตอนในการทำงานที่สามารถนำไปทำซ้ำได้ แต่เป็นการใช้สัญชาตญาณในการทำงาน ยังไม่เป็นระบบ ไม่มีกรอบ/วิธีการทำงานที่ชัดเจน เพียงพอ อาจทำให้งานผิดพลาดได้โดยง่าย
1
ควรปรับปรุง
ขั้นเริ่มต้น (Initial/Ad Hoc)
การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับที่ควรปรับปรุง คือ การดำเนินงานส่วนใหญ่เป็นที่รู้กันเฉพาะในหมู่ผู้ปฏิบัติงานเพียงบางกลุ่ม ยังไม่ครอบคลุมทั่วทั้งองค์กร
0
ต้องปรับปรุง
ขั้นที่ไม่มีการควบคุม
(Non-existent)
ยังไม่มีการควบคุมภายในของกระบวนการนั้นตามกรอบวิธีปฏิบัติที่ดี


สรุป

เนื่องด้วยซอฟแวร์ที่ช่วยบริหารความเสี่ยงมีค่าใช้จ่ายในการพัฒนาที่ค่อนข้างสูง เพราะเกี่ยวเนื่องกับทุกหน่วยงานขององค์กร โดยเฉพาะการพัฒนาระบบที่ต้องการวางรากฐานขององค์กรด้วยระบบงาน  GRC  ดังนั้นการตัดสินใจนำระบบงานดังกล่าวมาใช้ต้องเตรียมความพร้อมให้กับองค์กรและเตรียมทีมงานที่เกี่ยวข้องเพื่อช่วยกันออกแบบกระบวนการและประยุกต์ใช้ซอฟแวร์  โดยกำหนดวัตถุประสงค์ของการนำมาใช้ให้ชัดเจนตั้งแต่ริเริ่มโครงการ ซึ่งวัตถุประสงค์ในการดำเนินโครงการดังกล่าวจะต้องคำนึงองค์ประกอบของระบบงานที่ช่วยสนับสนุนกระบวนการบริหารความเสี่ยงดังต่อไปนี้      ระบบจะต้องช่วยจัดเก็บข้อมูลที่เกี่ยวข้องกับความเสี่ยง ตั้งแต่กำหนดความเสี่ยง ผู้รับผิดชอบ วัตถุประสงค์ของหน่วยงานหรือขอบเขตของความเสี่ยงที่เกี่ยวข้อง ตัวอย่างเช่น การกำหนด Project objective , Risk event ความสัมพันธ์ของความเสี่ยงว่ามีปัจจัยขับเคลื่อนอะไร (driver) และผลกระทบคาดว่าจะเกิดขึ้นอย่างไร2.       ระบบจะต้องช่วยนำข้อมูลจากข้อ 1 มาวิเคราะห์และคาดคะเนว่าความเสี่ยงที่จะเกิดขึ้นอยู่ในระดับใด เมื่อเกิดขึ้นแล้วค่าของผลกระทบที่จะเกิดขึ้นจะส่งผลเป็นตัวเงินหรือแสดงให้เห็นความสัมพันธ์ของผลกระทบว่าจะก่อให้เกิดผลเสียหายกับธุรกิจด้านใดบ้างตามวัตถุประสงค์ของธุรกิจได้3.       ระบบจะช่วยแสดงเตือนเมื่อเกิดผลกระทบจากปัจจัยเสี่ยงต่างๆ ได้  ระบบต้องช่วยเตือนเมื่อถึงระยะเวลาตามแผนงานที่กำหนดไว้ว่าจะต้องมีการรายงานผลและจัดทำการประเมินความเสี่ยง4.       ระบบจะต้องช่วย consolidate Risk จากทุกหน่วยงานขององค์กร เพื่อช่วยในการจัดทำ Risk Profile และช่วยให้ผู้บริหารเห็นภาพรวมของความเสี่ยงทั้งองค์กรได้อย่างแท้จริง5.       ระบบจะต้องช่วยวางรูปแบบการรายงานทั้งในกรณีของสถานการณ์ปกติ และสถานการณ์ที่พบการเคลื่อนที่ของความเสี่ยงที่สอดคล้องและเป็นไปในทิศทางเดียวกันทั้งองค์กร6.       ระบบจะต้องสามารถปรับใช้ในเรื่อง Key Risk Indicators (KRIs) ขององค์กรได้ ซึ่งแนวคิดที่สำคัญในการกำหนด KRIs องค์กรจะต้องมีการกำหนดหน้าที่ของผู้รับผิดชอบที่จะต้องถูกกำหนดมาตั้งแต่ผู้บริหารระดับสูง แล้วมอบหมายกระจายหน้าที่ความรับผิดชอบมายังผู้ปฏิบัติงานในระดับล่างได้ ดังนั้นซอฟแวร์และกระบวนการจะต้องสอดคล้องกัน เพื่อจัดทำฐานข้อมูลที่มาใช้อ้างอิงหรือเทียบเคียงให้สามารถกำหนดเป็น scenario ทำการประเมินว่าสถานการณ์ที่อาจจะเกิดขึ้นน่าจะมีรายละเอียดของความเสียหายอย่างไรบ้าง
เขียนโดย ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)