cobit5 it ระดับองค์กร

กรอบการดำาเนนงานทางธรกจสำาหรบการกำากบดแลและการบรหารจดการไอทระดบองคกร

Personal Copy of: Internal Audit Center

2

ISACA®

ดวยหนวยงานภาคพนกวา 95,000 แหงใน 160 ประเทศ สมาคมไอซากา (ISACA) (www.isaca.org) เปนหนงในผนำาระดบสากลในดานการใหความร การใหการรบรองดวยวฒบตร การสรางชมชน(ทางวชาชพ) การสนบสนนและใหการศกษาทางดานการใหความเชอมนและการรกษาความมนคงปลอดภยสำาหรบระบบสารสนเทศ การกำากบดแลและการบรหารจดการองคกรในดานไอท รวมทงความเสยงและการปฏบตตามกฎระเบยบขอบงคบทเกยวของกบไอท สมาคมจดตงขนในปค.ศ. 1969 โดยเปนองคกรอสระทไมแสวงหากำาไร จดการประชมสมมนา (เชงวชาการ) ในระดบสากล ตพมพวารสาร ISACA® Journal และจดทำามาตรฐานสากลสำาหรบการตรวจสอบและควบคมระบบสารสนเทศ ซงชวยใหหนวยงานภาคพนตางๆ ของสมาคมมนใจไดถงความเชอมนและการสรางคณคาจากระบบสารสนเทศ ทงยงชวยสรางความกาวหนาและใหการรบรองทกษะและความรดานไอทผานทางการใหวฒบตรทไดรบการยอมรบกนทวโลก ไดแก Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) และ Certified in Risk and Information Systems ControlTM (CRISCTM) สมาคม ISACA ยงคงดำาเนนการปรบปรง COBIT® ใหเปนปจจบนอยอยางตอเนอง ซงชวยใหผประกอบวชาชพทางดานไอทและผนำาในองคกรสามารถรบผดชอบการกำากบดแลและการบรหารจดการดานไอท โดยเฉพาะในดานการใหความเชอมน การรกษาความมนคงปลอดภย ความเสยงและการควบคม ตลอดจนการสงมอบคณคาใหแกธรกจ

Quality StatementThis Work is translated into Thai from the English language version of COBIT® 5 by the ISACA® Bangkok Chapter with the permission of ISACA®. The ISACA® Bangkok Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

ค�ำแถลงดำนคณภำพเอกสารฉบบนแปลเอกสาร COBIT® 5 ฉบบภาษาองกฤษใหเปนภาษาไทยโดยสมาคมผตรวจสอบและควบคมระบบสารสนเทศ-ภาคพนกรงเทพฯ ผไดรบอนญาตจาก ISACA® ซงสมาคมฯ เปนผรบผดชอบแตผเดยวในความถกตองและความเชอถอไดของการแปล

DisclaimerISACA has designed this publication, COBIT® 5 (the ‘Work’), primarily as an educational resource for governance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive of all proper information, procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the same results. In determining the propriety of any specific information, procedure or test, readers should apply their own professional judgement to the specific GEIT, assurance, risk and security circumstances presented by the particular systems or information technology environment.

ค�ำสงวนสทธISACA ไดออกแบบ COBIT® 5 (เอกสารฉบบน) โดยมวตถประสงคหลกเพอเปนแหลงความรสำาหรบผประกอบวชาชพทางดานการกำากบดแลไอทระดบองคกร (governance of enterprise IT - GEIT) การใหความเชอมน ความเสยง และการรกษาความมนคงปลอดภย ISACA ไมไดอางวาการใชขอมลใดๆ ในเอกสารฉบบนจะสามารถรบรองผลสำาเรจ ผอานไมควรถอวาเอกสารฉบบนรวมขอมล ขนตอนการปฏบตงาน และการทดสอบทจำาเปนทงหมดเอาไว และไมควรพจารณาขอมลในเอกสารฉบบนแยกตางหากโดยไมคำานงถงขอมล ขนตอนการปฏบตงาน และการทดสอบอนๆ ทพอจะสามารถใหผลลพธทเหมอนกนได ในการพจารณาถงความเหมาะสมของขอมล ขนตอนการปฏบตงาน หรอการทดสอบใดๆ ผอานควรใชวจารณญาณดานวชาชพของตนเพอพจารณาถงการกำากบดแลไอทในระดบองคกร การใหความเชอมน ความเสยง และการรกษาความมนคงปลอดภย ในสภาพแวดลอมของระบบหรอเทคโนโลยสารสนเทศนนๆ

Copyright© 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse

ลขสทธ© 2012 ISACA สงวนลขสทธ สำาหรบแนวทางในการใชงานกรณาดรายละเอยดจาก www.isaca.org/COBITuse

COBIT® 5ISBN 978-1-60420-446-9จดพมพในประเทศสหรฐอเมรกา


3

3

คณะผแปล ผสอบทำน และผจดท�ำ

สมาคมผตรวจสอบและควบคมระบบสารสนเทศ-ภาคพนกรงเทพฯ• คณสวฒน หลายเจรญทรพย CISM นายกสมาคมฯ• คณวรางคณา มสกะสงข CISA, CRISC อปนายก• คณประทกษ วงศสนคงมน กรรมการ• คณวาสนา นรพทะพนธ CISA กรรมการ• คณจนทรเพญ กสกจนำาชย CISA, CPA กรรมการ• คณสมชย แพทยวบลย CISA, CISSP, PMP, CFE, CIA, CSSLP กรรมการ• คณเสนย วชรศรธรรม CISA, CRISC, CGEIT กรรมการ• คณณฐชา เฉลมชยโกศล CISA, CISM, CISSP, ITIL Expert, ISO20000:2011 (LA), PRINCE2 กรรมการ• คณเสาวนย เสตเสถยร เสถยร CISA, CRISC, PMP, AMBCI, ITIL V3, กรรมการ• ดร.วเชยร เปรมชยสวสด CISA กรรมการ• คณกสล ปนมข CISA กรรมการ

อนๆ• คณสมบต ภวเกยรตกำาจร• คณณฐ สงหลกะ CISA• คณรญชน โรจนพเชฐ

ISACA3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 โทรศพท (ประเทศสหรฐอเมรกา): +1.847.253.1545โทรสาร: +1.847.253.1443อเมล: [email protected]เวบไซด: www.isaca.org

ใหคำาตชม: www.isaca.org/cobitเขามสวนรวมในศนยความร (Knowledge Center) ของ ISACA: www.isaca.org/knowledge-centerตดตาม ISACA ทางทวตเตอร: https://twitter.com/ISACANewsรวมสนทนาในหวขอ COBIT ทางทวตเตอร: #COBITรวมลงคอน ISACA : ISACA (Official), http://linkd.in/ISACAOfficialกดชอบ ISACA บนเฟสบค: www.facebook.com/ISACAHQ


4

หนานเปนหนาวาง


กตตกรรมประกาศ

5

กตตกรรมประกาศISACA ขอขอบคณ:

คณะท�ำงำน COBIT 5 (2009–2011)John W. Lainhart, iV, CiSa, CiSM, CGEit, iBM GLoBaL BuSinESS SErViCES, uSa, Co-Chair DErEk J. oLiVEr, Ph.D., DBa, CiSa, CiSM, CriSC, CitP, FBCS, FiSM, MinStiSP, raVEnSWooD ConSuLtantS LtD., uk, Co-Chair

PiPPa G. anDrEWS, CiSa, aCa, Cia, kPMG, auStraLia ELiSaBEth JuDit antonSSon, CiSM, norDEa Bank, SWEDEn StEVEn a. BaBB, CGEit, CriSC, BEtFair, ukStEVEn DE haES, Ph.D., uniVErSity oF antWErP ManaGEMEnt SChooL, BELGiuM

PEtEr harriSon, CGEit, FCPa, iBM auStraLia LtD., auStraLia

JiMMy hESChL, CiSa, CiSM, CGEit, itiL ExPErt, BWin.Party DiGitaL EntErtainMEnt PLC, auStria

roBErt D. JohnSon, CiSa, CiSM, CGEit, CriSC, CiSSP, Bank oF aMEriCa, uSa Erik h.J.M. PoLS, CiSa, CiSM, ShELL intErnationaL-itCi, thE nEthErLanDS

VErnon riCharD PooLE, CiSM, CGEit, SaPPhirE, ukaBDuL raFEq, CiSa, CGEit, Cia, FCa, a. raFEq anD aSSoCiatES, inDia

ทมผพฒนำFLoriS aMPE, CiSa, CGEit, Cia, iSo 27000, PWC, BELGiuM

GErt Du PrEEz, CGEit, PWC, CanaDa

StEFaniE GriJP, PWC, BELGiuM

Gary harDy, CGEit, it WinnErS, South aFriCa

Bart PEEtErS, PWC, BELGiuM

GEErt PoELS, GhEnt uniVErSity, BELGiuM

Dirk StEuPEraErt, CiSa, CGEit, CriSC, it in BaLanCE BVBa, BELGiuM

ผเขำรวมสมมนำเชงปฏบตกำรGary BakEr, CGEit, Ca, CanaDa

Brian BarniEr, CGEit, CriSC, VaLuEBriDGE aDViSorS, uSaJohannES hEnDrik Botha, MBCS-CitP, FSM, GEtitriGht SkiLLS DEVELoPMEnt, South aFriCa

kEn BuEChLEr, CGEit, CriSC, PMP, GrEat-WESt LiFE, CanaDa

Don CaniGLia, CiSa, CiSM, CGEit, FLMi, uSa Mark ChaPLin, ukroGEr DEBrECEny, Ph.D., CGEit, FCPa, uniVErSity oF haWaii at Manoa, uSaMikE DonahuE, CiSa, CiSM, CGEit, CFE, CGFM, CiCa, toWSon uniVErSity, uSaurS FiSChEr, CiSa, CriSC, CPa (SWiSS), FiSChEr it GrC ConSuLtinG & traininG, SWitzErLanD

BoB FrELinGEr, CiSa, CGEit, oraCLE CorPoration, uSa JaMES GoLDEn, CiSM, CGEit, CriSC, CiSSP, iBM, uSaMEEnu GuPta, CiSa, CiSM, CBP, CiPP, CiSSP, MittaL tEChnoLoGiES, uSa Gary LanGhaM, CiSa, CiSM, CGEit, CiSSP, CPFa, auStraLia

niCoLE Lanza, CGEit, iBM, uSaPhiLiP LE GranD, PrinCE2, iDEaGEn PLC, ukDEBra MaLLEttE, CiSa, CGEit, CSSBB, kaiSEr PErManEntE it, uSa Stuart MaCGrEGor, rEaL irM SoLutionS (Pty) LtD., South aFriCa ChriStian niSSEn, CiSM, CGEit, FSM, CFn PEoPLE, DEnMark

JaMiE PaSFiELD, itiL V3, MSP, PrinCE2, PFizEr, uk EDDy J. SChuErManS, CGEit, ESraS BVBa, BELGiuM MiChaEL SEMrau, rWE GErMany, GErMany

Max Shanahan, CiSa, CGEit, FCPa, Max Shanahan & aSSoCiatES, auStraLia

aLan SiMMonDS, toGaF9, tCSa, PrEtErLEx, uk CathiE SkooG, CiSM, CGEit, CriSC, iBM, uSaDEJan SLokar, CiSa, CGEit, CiSSP, DELoittE & touChE LLP, CanaDa

roGEr SouthGatE, CiSa, CiSM, ukniCky tiESEnGa, CiSa, CiSM, CGEit, CriSC, iBM, uSaWiM Van GrEMBErGEn, Ph.D., uniVErSity oF antWErP ManaGEMEnt SChooL, BELGiuM

GrEEt VoLDErS, CGEit, VoquaLS n.V., BELGiuM

ChriStoPhEr WiLkEn, CiSa, CGEit, PWC, uSatiM M. WriGht, CiSa, CriSC, CBCi, GSEC, qSa, kinGSton SMith ConSuLtinG LLP, uk


6

กตตกรรมประกาศ (ตอ)ผเชยวชำญทสอบทำนMark aDLEr, CiSa, CiSM, CGEit, CriSC, CoMMErCiaL MEtaLS CoMPany, uSa WoLE akPoSE, Ph.D., CGEit, CiSSP, MorGan StatE uniVErSity, uSakrzySztoF BaCzkiEWiCz, CSaM, CSox, EraCEnt, PoLanD

roLanD Bah, CiSa, Mtn CaMEroon, CaMEroon

DaVE BarnEtt, CiSSP, CSSLP, uSaMax BLEChEr, CGEit, VirtuaL aLLianCE, South aFriCa

riCarDo Bria, CiSa, CGEit, CriSC, MEyCor GrC, arGEntina

Dirk BruynDonCkx, CiSa, CiSM, CGEit, CriSC, MCa, kPMG aDViSory, BELGiuM

Donna CarDaLL, ukDEBra ChiPLin, inVEStorS GrouP, CanaDa

Sara CoSEntino, Ca, GrEat-WESt LiFE, CanaDa

kaMaL n. DaVE, CiSa, CiSM, CGEit, hEWLEtt PaCkarD, uSa PhiLiP DE PiCkEr, CiSa, MCa, nationaL Bank oF BELGiuM, BELGiuM aBE DELEon, CiSa, iBM, uSaStEPhEn DoyLE, CiSa, CGEit, DEPartMEnt oF huMan SErViCES, auStraLia

hEiDi L. ErChinGEr, CiSa, CriSC, CiSSP, SyStEM SECurity SoLutionS, inC., uSa raFaEL FaBiuS, CiSa, CriSC, uruGuay

urS FiSChEr, CiSa, CriSC, CPa (SWiSS), FiSChEr it GrC ConSuLtinG & traininG, SWitzErLanD

BoB FrELinGEr, CiSa, CGEit, oraCLE CorPoration, uSayaLCin GErEk, CiSa, CGEit, CriSC, itiL ExPErt, itiL V3 trainEr, PrinCE2, iSo/iEC 20000 ConSuLtant, turkEy

EDSon Gin, CiSa, CiSM, CFE, CiPP, SSCP, uSaJaMES GoLDEn, CiSM, CGEit, CriSC, CiSSP, iBM, uSaMarCELo hECtor GonzaLEz, CiSa, CriSC, BanCo CEntraL rEPuBLiC arGEntina, arGEntina

Erik GuLDEntoPS, uniVErSity oF antWErP ManaGEMEnt SChooL, BELGiuM MEEnu GuPta, CiSa, CiSM, CBP, CiPP, CiSSP, MittaL tEChnoLoGiES, uSa anGELiCa haVErBLaD, CGEit, CriSC, itiL, VErizon BuSinESS, SWEDEn

kiM haVErBLaD, CiSM, CriSC, PCi qSa, VErizon BuSinESS, SWEDEn J. WinSton hayDEn, CiSa, CiSM, CGEit, CriSC, South aFriCa EDuarDo hErnanDEz, itiL V3, hEME ConSuLtorES, MExiCo

JorGE hiDaLGo, CiSa, CiSM, CGEit, atC, LiC. SiStEMaS, arGEntina

MiChELLE hoBEn, MEDia 24, South aFriCa

LinDa horoSko, GrEat-WESt LiFE, CanaDa

MikE huGhES, CiSa, CGEit, CriSC, 123 ConSuLtantS, uk Grant irVinE, GrEat-WESt LiFE, CanaDa

MoniCa Jain, CGEit, CSqa, CSSBB, SouthErn CaLiFornia EDiSon, uSa John E. JaSinSki, CiSa, CGEit, SSBB, itiL ExPErt, uSaMaSatoShi kaJiMoto, CiSa, CriSC, JaPan

Joanna karCzEWSka, CiSa, PoLanD

kaMaL khan, CiSa, CiSSP, CitP, SauDi araMCo, SauDi araBia

EDDy khoo S. k., PruDEntiaL SErViCES aSia, MaLaySia

Marty kinG, CiSa, CGEit, CPa, BLuE CroSS BLuE ShiELD nC, uSa aLan S. koCh, itiL ExPErt, PMP, aSk ProCESS inC., uSaGary LanGhaM, CiSa, CiSM, CGEit, CiSSP, CPFa, auStraLia JaSon D. LannEn, CiSa, CiSM, turnkEy it SoLutionS, LLC, uSa niCoLE Lanza, CGEit, iBM, uSaPhiLiP LE GranD, PrinCE2, iDEaGEn PLC, ukkEnny LEE, CiSa, CiSM, CiSSP, Bank oF aMEriCa, uSaBrian LinD, CiSa, CiSM, CriSC, toPDanMark ForSikrinG a/S, DEnMark

BJarnE LonBErG, CiSSP, itiL, a.P. MoLLEr - MaErSk, DEnMark Stuart MaCGrEGor, rEaL irM SoLutionS (Pty) LtD., South aFriCa DEBra MaLLEttE, CiSa, CGEit, CSSBB, kaiSEr PErManEntE it, uSaCharLES ManSour, CiSa, CharLES ManSour auDit & riSk SErViCE, uk CinDy MarCELLo, CiSa, CPa, FLMi, GrEat-WESt LiFE & annuity, uSa nanCy MCCuaiG, CiSSP, GrEat-WESt LiFE, CanaDa

John a. MitChELL, Ph.D., CiSa, CGEit, CEnG, CFE, CitP, FBCS, FCiia, qiCa, LhS BuSinESS ControL, uk Makoto Miyazaki, CiSa, CPa, Bank oF tokyo-MitSuBiShi, uFJ LtD., JaPan


กตตกรรมประกาศ

7

กตตกรรมประกาศ (ตอ)ผเชยวชำญทสอบทำน (ตอ)Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Independent Consultant, ColombiaChristian Nissen, CISM, CGEIT, FSM, ITIL Expert, CFN People, DenmarkTony Noblett, CISA, CISM, CGEIT, CISSP, USAErnest Pages, CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC, USA Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, UKTom Patterson, CISA, CGEIT, CRISC, CPA, IBM, USARobert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, South AfricaAndy Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc, UKAndre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA, APIT Consultoria de Informatica Ltd., BrazilDirk Reimers, Hewlett-Packard, GermanySteve Reznik, CISA, ADP, Inc., USARobert Riley, CISSP, University of Notre Dame, USA Martin Rosenberg, Ph.D., Cloud Governance Ltd., UK Claus Rosenquist, CISA, CISSP, Nets Holding, DenmarkJeffrey Roth, CISA, CGEIT, CISSP, L-3 Communications, USA Cheryl Santor, CISSP, CNA, CNE, Metropolitan Water District, USA Eddy J. Schuermans, CGEIT, ESRAS bvba, BelgiumMichael Semrau, RWE Germany, GermanyMax Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, AustraliaAlan Simmonds, TOGAF9, TCSA, PreterLex, UKDejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, CanadaJennifer Smith, CISA, CIA, Salt River Pima Maricopa Indian Community, USAMarcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Australia, AustraliaRoger Southgate, CISA, CISM, UKMark Stacey, CISA, FCA, BG Group Plc, UKKaren Stafford Gustin, MLIS, London Life Insurance Company, Canada Delton Sylvester, Silver Star IT Governance Consulting, South Africa Katalin Szenes, CISA, CISM, CGEIT, CISSP, University Obuda, Hungary Halina Tabacek, CGEIT, Oracle Americas, USANancy Thompson, CISA, CISM, CGEIT, IBM, USAKazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., JapanRob van der Burg, Microsoft, The NetherlandsJohan van Grieken, CISA, CGEIT, CRISC, Deloitte, BelgiumFlip van Schalkwyk, Centre for e-Innovation, Western Cape Government, South AfricaJinu Varghese, CISA, CISSP, ITIL, OCA, Ernst & Young, CanadaAndre Viviers, MCSE, IT Project+, Media 24, South AfricaGreet Volders, CGEIT, Voquals N.V., BelgiumDavid Williams, CISA, Westpac, New ZealandTim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, UK Amanda Xu, PMP, Southern California Edison, USATichaona Zororo, CISA, CISM, CGEIT, Standard Bank, South Africa

คณะกรรมกำรบรหำรของ ISACAKenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), USA, International President Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Greece, Vice President Gregory T. Grocholski, CISA, The Dow Chemical Co., USA, Vice PresidentTony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Vice PresidentNiraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., India, Vice PresidentJeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., USA, Vice PresidentJo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australia, Vice PresidentEmil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (retired), USA, Past International PresidentLynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Russian Federation, Past International PresidentAllan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, UK, DirectorMarc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Director


8

กตตกรรมประกาศ (ตอ)คณะกรรมกำรบรหำรดำนควำมร MarC VaEL, Ph.D., CiSa, CiSM, CGEit, CiSSP, VaLuEnDo, BELGiuM, ChairMan

MiChaEL a. BErarDi Jr., CiSa, CGEit, Bank oF aMEriCa, uSaJohn ho Chi, CiSa, CiSM, CriSC, CBCP, CFE, ErnSt & younG LLP, SinGaPorE

PhiLLiP J. LaGESChuLtE, CGEit, CPa, kPMG LLP, uSaJon SinGLEton, CiSa, FCa, auDitor GEnEraL oF ManitoBa (rEtirED), CanaDa

PatriCk StaChtChEnko, CiSa, CGEit, StaChtChEnko & aSSoCiatES SaS, FranCE

คณะกรรมการดานกรอบการดำาเนนงาน (2009-2012)PatriCk StaChtChEnko, CiSa, CGEit, StaChtChEnko & aSSoCiatES SaS, FranCE, ChairMan

GEorGES ataya, CiSa, CiSM, CGEit, CriSC, CiSSP, SoLVay BruSSELS SChooL oF EConoMiCS anD ManaGEMEnt, BELGiuM, PaSt ViCE PrESiDEnt

StEVEn a. BaBB, CGEit, CriSC, BEtFair, ukSuShiL ChattErJi, CGEit, EDutECh EntErPriSES, SinGaPorE

SErGio FLEGinSky, CiSa, akzo noBEL, uruGuay

John W. Lainhart, iV, CiSa, CiSM, CGEit, CriSC, iBM GLoBaL BuSinESS SErViCES, uSa Mario C. MiCaLLEF, CGEit, CPaa, Fia, MaLta

anthony P. noBLE, CiSa, CCP, ViaCoM, uSaDErEk J. oLiVEr, Ph.D., DBa, CiSa, CiSM, CriSC, CitP, FBCS, FiSM, MinStiSP, raVEnSWooD ConSuLtantS LtD., ukroBErt G. ParkEr, CiSa, Ca, CMC, FCa, DELoittE & touChE LLP (rEtirED), CanaDa

roLF M. Von roESSinG, CiSa, CiSM, CGEit, CiSSP, FBCi, ForFa aG, SWitzErLanD

Jo StEWart-rattray, CiSa, CiSM, CGEit, CriSC, CSEPS, rSM BirD CaMEron, auStraLia

roBErt E. StrouD, CGEit, Ca inC., uSa

ขอบคณเปนพเศษISACA LoS AngeLeS ChApter สำาหรบการใหการสนบสนนดานการเงน

พนธมตรและผสนบสนน ISACA และ IT GovernAnCe InSTITuTe® (ITGI®)

aMEriCan inStitutE oF CErtiFiED PuBLiC aCCountantS CoMMonWEaLth aSSoCiation For CorPoratE GoVErnanCE inC. FiDa inForM

inForMation SECurity ForuM

inStitutE oF ManaGEMEnt aCCountantS inC. iSaCa ChaPtErS

itGi FranCE

itGi JaPan

norWiCh uniVErSity

SoLVay BruSSELS SChooL oF EConoMiCS anD ManaGEMEnt

StratEGiC tEChnoLoGy ManaGEMEnt inStitutE (StMi) oF thE nationaL uniVErSity oF SinGaPorE

uniVErSity oF antWErP ManaGEMEnt SChooL

EntErPriSE GrC SoLutionS inC. hEWLEtt-PaCkarD

iBMSyMantEC CorP.


สารบญ

9

สารบญสำรบญรปภำพ ................................................................................................................................. 11

COBIT 5: กรอบกำรด�ำเนนงำนทำงธรกจส�ำหรบกำรก�ำกบดและกำรบรหำรจดกำรไอทระดบองคกร........ 13

บทสรปส�ำหรบผบรหำร...................................................................................................................... 15

บทท 1. ภำพรวมของ COBIT 5 ........................................................................................................ 17ภาพรวมของเอกสารฉบบน................................................................................................................ 18

บทท 2. หลกกำรท 1: กำรตอบสนองตอควำมตองกำรของผมสวนไดเสย............................................... 19บทนำา............................................................................................................................................ 19การสงทอดเปาหมายใน COBIT 5....................................................................................................... 19

ขนตอนท 1. ปจจยผลกดนผมสวนไดเสยมอทธผลตอความตองการของผมสวนไดเสย............................. 19ขนตอนท 2. สงทอดความตองการของผมสวนไดเสยไปยงเปาหมายระดบองคกร................................... 19ขนตอนท 3. เปาหมายระดบองคกรสงทอดไปยงเปาหมายทเกยวของกบไอท........................................ 20ขนตอนท 4. เปาหมายทเกยวของกบไอทสงทอดไปยงเปาหมายของปจจยเออ...................................... 20

การใชการสงทอดเปาหมายของ COBIT 5............................................................................................ 22ประโยชนของการสงทอดเปาหมายของ COBIT 5........................................................................... 22การใชการสงทอดเปาหมายของ COBIT 5 อยางระมดระวง................................................................ 22การใชการสงทอดเปาหมายของ COBIT 5 ในทางปฏบต................................................................ 22

คำาถามเกยวกบการกำากบดแลและการบรหารจดการดานไอท..................................................................... 23เราจะหาคำาตอบสำาหรบคำาถามเหลานไดอยางไร............................................................................... 24

บทท 3. หลกกำรท 2: ครอบคลมท วท งองคกรอยำงครบวงจร............................................................... 25วธปฏบตสำาหรบการกำากบดแล................................................................................................... 25

ปจจยเออเพอการกำากบดแล ..................................................................................................... 26ขอบเขตของการกำากบดแล.................................................................................................. 26บทบาท กจกรรม และความสมพนธ......................................................................................... 26

บทท 4. หลกกำรท 3: ประยกตใชกรอบกำรด�ำเนนงำนทบรณำกำรเปนหนงเดยว.................................. 27COBIT 5 เปนทรวบรวมกรอบการดำาเนนงานตางๆ ................................................................................. 27

บทท 5. หลกกำรท 4: เออใหวธปฏบตแบบองครวมสมฤทธผล............................................................ 29ปจจยเออของ COBIT 5 ................................................................................................................. 29การกำากบดแลและการบรหารจดการอยางเปนระบบดวยปจจยเออทเชอมตอถงกน........................................ 29มตตางๆ ของปจจยเออใน COBIT5..................................................................................................... 30

มตตางๆ ของปจจยเออ.............................................................................................................. 30การบรหารจดการประสทธภาพของปจจยเออ ................................................................................. 31

ตวอยางของปจจยเออในทางปฏบต.................................................................................................. 32

บทท 6. หลกกำรท 5: ควำมแตกตำงระหวำงกำรก�ำกบดแลและกำรบรหำรจดกำร................................ 33กำรก�ำกบดแลและกำรบรหำรจดกำร............................................................................................. 33ความสมพนธระหวางการกำากบดแลและการบรหารจดการ....................................................................... 33ตนแบบอางองของกระบวนการใน COBIT 5...................................................................................... 34

บทท 7. แนวทำงในกำรน�ำไปใชงำน ............................................................................................. 37บทนำา................................................................................................................................... 37ขอควรพจารณาในบรบทขององคกร................................................................................................... 37การสรางสภาพแวดลอมทเหมาะสม ................................................................................................... 38การรบรจดทมปญหาและเหตการณจดชนวน ...................................................................................... 38การเออใหเกดการเปลยนแปลง ........................................................................................................ 39วธปฏบตแบบวฏจกร........................................................................................................................ 40เรมตน: สรางเหตผลทางธรกจ.............................................................................................. 41


10

บทท 8. ตนแบบควำมสำมำรถของกระบวนกำรใน COBIT 5 ............................................................... 43บทนำา.......................................................................................................................................... 43ความแตกตางระหวางตนแบบวฒภาวะใน COBIT4.1และตนแบบวฒภาวะของกระบวรการใน COBIT 5............ 43แนวปฏบตทแตกตางกน................................................................................................................... 45ประโยชนจากการเปลยนแปลง.......................................................................................................... 47ดำาเนนการประเมนความสามารถของกระบวนการตาม COBIT 5................................................................. 47

ภำคผนวก A. ขอมลอำงอง............................................................................................................... 49

ภำคผนวก B. รำยละเอยดควำมสมพนธระหวำงเปำหมำยระดบองคกรกบเปำหมำยทเก ยวของกบไอท........................................................................................................... 51

ภำคผนวก C. รำยละเอยดควำมสมพนธระหวำงเปำหมำยทเก ยวของกบไอทและกระบวนกำรทเก ยวของกบไอท..................................................................................................... 53

ภำคผนวก D. ควำมตองกำรของผมสวนไดเสยและเปำหมำยระดบองคกร............................................. 57ภำคผนวก E. กำรเทยบ COBIT 5 กบมำตรฐำน/กรอบกำรด�ำเนนงำนอนทเก ยวของและเกยวเนองกนมำกทสด................................................................................................................ 59

บทนำา....................................................................................................................................... 59COBIT 5 และ ISO/IEC 38500....................................................................................................... 59

หลกการของ ISO/IEC 38500.................................................................................................. 59ISO/IEC 38500 ประเมน สงการ และเฝาตดตาม........................................................................... 62

การเปรยบเทยบกบมาตรฐานอนๆ .................................................................................................... 62ITIL

® V3 2011 และ ISO/IEC 20000......................................................................................... 63

ชดของ ISO/IEC 27000.................................................................................................. 63ชด ISO/IEC 31000.................................................................................................... 63TOGAF

®................................................................................................................................. 63

Capability Maturity Model Integration (CMMI) (development)................................................ 63PRINCE2

®......................................................................................................................... 63

ภำคผนวก F. กำรเปรยบเทยบระหวำงตนแบบสำรสนเทศใน COBIT 5 กบเกณฑคณสมบตของสำรสนเทศใน COBIT 4.1.............................................................................. 65

ภำคผนวก G. ค�ำอธบำยอยำงละเอยดของปจจยเออใน COBIT 5....................................................... 67บทนำา............................................................................................................................................ 67

มตตางๆ ของปจจยเออ............................................................................................................... 67การบรหารจดการประสทธภาพของปจจยเออ................................................................................... 68

ปจจยเออใน COBIT 5: หลกการ นโยบาย และกรอบการดำาเนนงาน....................................................... 69ปจจยเออใน COBIT 5: กระบวนการ.................................................................................................... 71

การบรหารจดการประสทธภาพของการดำาเนนงานของปจจยเออ.......................................................... 73ตวอยางในเชงปฏบตของปจจยเออดานกระบวนการ.......................................................................... 73ตนแบบอางองของกระบวนการใน COBIT 5.................................................................................... 73

ปจจยเออใน COBIT 5: โครงสรางการจดองคกร................................................................................... 77ปจจยเออใน COBIT 5: วฒนธรรม จรยธรรม และพฤตกรรม..................................................................... 81ปจจยเออใน COBIT 5: สารสนเทศ.................................................................................................... 83

บทนำา—วฏจกรของสารสนเทศ..................................................................................................... 83ปจจยเออดานสารสนเทศของ COBIT 5......................................................................................... 83

ปจจยเออใน COBIT 5: บรการ โครงสรางพนฐาน และระบบงาน............................................................... 89ปจจยเออใน COBIT 5: บคลากร ทกษะ และศกยภาพ............................................................................ 91

ภำคผนวก H. อภธำนศพท................................................................................................................. 93


สารบญรปภาพ

11

สารบญรปภาพ รปภำพท 1—ชดผลตภณฑของ COBIT 5............................................................................................... 13รปภำพท 2—หลกการของ COBIT 5...................................................................................................... 15รปภำพท 3—วตถประสงคในการกำากบดแล: การสรางคณคา......................................................................... 19รปภำพท 4—ภาพรวมของการสงทอดเปาหมายใน COBIT 5........................................................................ 20รปภำพท 5—เปาหมายระดบองคกรของ COBIT 5...................................................................................... 21รปภำพท 6—เปาหมายทเกยวของกบไอท................................................................................................. 21รปภำพท 7—คำาถามเกยวกบการกำากบดแลและการบรหารจดการไอท........................................................... 24รปภำพท 8—การกำากบดแลและการบรหารจดการ COBIT 5........................................................................ 25รปภำพท 9—บทบาทหนาท กจกรรม และความสมพนธทสำาคญ................................................................... 26รปภำพท 10—กรอบการดำาเนนงานทรวมกนเปนหนงเดยวของ COBIT 5....................................................... 27รปภำพท 11—ชดผลตภณฑของ COBIT 5............................................................................................. 28รปภำพท 12—ปจจยเออขององคกรใน COBIT 5....................................................................................... 29รปภำพท 13—ปจจยเออทวไปใน COBIT 5.............................................................................................. 30รปภำพท 14—COBIT 5 ความสมพนธระหวาง การกำากบดแลและการบรหารจดการ..................................... 33รปภำพท 15—จดสำาคญในการกำากบดแลและการบรหารจดการของ COBIT 5................................................. 34รปภำพท 16—ตนแบบอางองของกระบวนการใน COBIT 5.......................................................................... 35รปภำพท 17—วฎจกรการนำาไปใช 7 ระยะ................................................................................................. 40รปภำพท 18—สรปตนแบบวฒภาวะใน COBIT 4.1..................................................................................... 43รปภำพท 19—สรปตนแบบวฒภาวะของกระบวนการใน COBIT 5.................................................................. 44รปภำพท 20—ตารางเปรยบเทยบระดบวฒภาวะ (COBIT 4.1)

และระดบความสามารถของกระบวนการ (COBIT 5)................................................................ 46รปภำพท 21—ตารางเปรยบเทยบคณลกษณะของวฒภาวะ (COBIT 4.1)

และคณลกษณะของกระบวนการ (COBIT 5)....................................................................... 47รปภำพท 22—ความสมพนธระหวางเปาหมายระดบองคกรใน COBIT 5 กบเปาหมายทเกยวของกบไอท............... 52รปภำพท 23—ความสมพนธระหวางเปาหมายทเกยวของกบไอทกบกระบวนการตางๆ ใน COBIT 5.................... 54รปภำพท 24—ความสมพนธระหวางเปาหมายระดบองคกรของ COBIT 5 กบคำาถามของผบรหาร........................ 57รปภำพท 25—ความสมพนธระหวาง COBIT 5 กบมาตรฐานและกรอบการดำาเนนงานอนๆ ................................ 64รปภำพท 26—COBIT 5 ทเทยบไดกบเกณฑคณสมบตของสารสนเทศใน COBIT 4.1.................................... 65รปภำพท 27—ปจจยเออทวไปใน COBIT 5............................................................................................ 67รปภำพท 28—ปจจยเออใน COBIT 5: หลกการ นโยบาย และกรอบการดำาเนนงาน......................................... 69รปภำพท 29—ปจจยเออใน COBIT 5: กระบวนการ.................................................................................. 71รปภำพท 30—จดสำาคญในการกำากบดแลและการบรหารจดการของ COBIT 5................................................ 75รปภำพท 31—ตนแบบอางองของกระบวนการใน COBIT 5........................................................................ 76รปภำพท 32—ปจจยเออใน COBIT 5: โครงสรางการจดองคกร.................................................................. 77รปภำพท 33—บทบาทหนาทและโครงสรางการจดองคกรของ COBIT 5....................................................... 78รปภำพท 34—ปจจยเออใน COBIT 5: วฒนธรรม จรยธรรม และพฤตกรรม.................................................... 81รปภำพท 35—ขอมลคำานยามของขอมลใน COBIT 5—วฏจกรของสารสนเทศ............................................... 83รปภำพท 36—ปจจยเออใน COBIT 5: สารสนเทศ................................................................................... 83รปภำพท 37—ปจจยเออใน COBIT 5: บรการ โครงสรางพนฐาน และระบบงาน.............................................. 89รปภำพท 38—ปจจยเออใน COBIT 5: บคลากร ทกษะ และศกยภาพ........................................................... 91รปภำพท 39—ประเภทของทกษะใน COBIT 5 ....................................................................................... 92


1212



13

COBIT 5: กรอบการด�าเนนงานส�าหรบ การก�ากบดแลและการบรหารจดการไอทระดบองคกร

13

CoBIt 5: กรอบการดำาเนนงานสำาหรบการกำากบดแลและการบรหารจดการไอทระดบองคกรเอกสาร COBIT 5 บรรจเนอหาทเปนกรอบการดำาเนนงานของ COBIT 5 ทใชสำาหรบการกบดแลและการบรหารจดการไอทระดบองคกร เอกสารฉบบนเปนหนงในชดผลตภณฑของ COBIT 5 ดงทแสดงไวใน รปภำพท 1

รปภำพท 1—ชดผลตภณฑของ COBIT 5

กรอบการดำาเนนงานของ COBIT 5 จดทำาขนบนหลกการ 5 ประการซงจะไดกลาวถงในรายละเอยดตอไป และรวมถงแนวทางทครอบคลมของปจจยเออ (Enablers) สำาหรบการกำากบดแลและการบรหารจดการไอทระดบองคกร

ชดผลตภณฑ COBIT 5 มผลตภณฑตางๆ ดงตอไปน • COBIT 5 (กรอบดำาเนนงาน (framework))• COBIT 5 แนวทางสำาหรบปจจยเออ (Enabler Guide) ซงอธบายในรายละเอยดถงปจจยเออดานการกำากบดแลและการบรหารจดการ อนประกอบดวย- COBIT 5: การสมฤทธผลของกระบวนการ (Enabling processes)- COBIT 5: การสมฤทธผลของสารสนเทศ (Enabling Information)- แนวทางของปจจยเออ (Enabler guide) อนๆ (ตรวจสอบไดใน www.isaca.org/cobit)

• COBIT 5 แนวทางดานวชาชพ(Professional guides) ประกอบดวย- COBIT 5 การนำาไปใชงาน (implementation)- COBIT 5 สำาหรบความมนคงปลอดภยของสารสนเทศ (for information security)- COBIT 5 สำาหรบการใหความเชอมน (for Assurance)- COBIT 5 สำาหรบความเสยง (for Risk)- แนวทางดานวชาชพอนๆ (ตรวจสอบไดใน www.isaca.org/cobit)

• สภาพแวดลอมทเปนความรวมมอกนทางออนไลน ซงจะจดใหมข นในอนาคตเพอสนบสนนการใช COBIT 5


14



บทสรปส�ำหรบผบรหำร

15

บทสรปสำาหรบผบรหารสำรสนเทศเปนทรพยำกรหลกส�ำหรบทกองคกร และเทคโนโลยมบทบาทอยางเปนนยสำาคญตงแตไดจดทำาขนจนถงเวลาททำาลายทง เทคโนโลยสารสนเทศกาวหนาขนเรอยๆ และใชกนอยางแพรหลายในองคกร ตลอดจนในสภาพแวดลอมทางสงคม สาธารณะ และธรกจ

ดวยเหตน ในปจจบนจงยงทำาใหองคกรและผบรหารระดบสงตางๆ ตองเรยกรองใหม• การดแลรกษาสารสนเทศใหไดคณภาพสง เพอใชสนบสนนการตดสนใจ• สรางคณคาทางธรกจจากการลงทนโดยมไอทเปนปจจยเออ ไดแก การใชงานไอทอยางประสทธผลและสรางสรรคเพอให

บรรลเปาหมายทางกลยทธและกอใหเกดประโยชนทางธรกจ• บรรลการปฏบตงานทเปนเลศ ผานการใชงานเทคโนโลยทเชอถอไดและมประสทธผล• ดแลความเสยงทเกยวกบไอท ใหอยในระดบทยอมรบได • ดแลตนทนของการใหบรการทางไอทและตนทนทางเทคโนโลยใหเกดประโยชนสงสด• ปฏบตตามกฎหมาย กฎระเบยบขอบงคบ ขอตกลงตามสญญา และนโยบายทเกยวของ

ในทศวรรษทผานมา คำาวา ‘การกำากบดแล (Governance)’ ไดกลายมาเปนความคดของธรกจในระดบแนวหนา ทแสดงให เหนถงความสำาคญของการกำากบดแลทด และในทางกลบกนกสะทอนใหเหนถงความลมเหลวของธรกจอนเกดจากการละเลยการกำากบดแล

องคกรทประสบความสำาเรจไดตระหนกดวาคณะกรรมการบรหารและผบรหารระดบสงจำาเปนตองยอมรบการนำาไอทมาใช เสมอนกบสวนอนๆ ทมนยสำาคญในการดำาเนนธรกจ ในการดำาเนนธรกจ คณะกรรมการบรหารและผบรหาร—ทงหนาทงานทางดานธรกจและไอท—จงตองรวมมอและทำางานรวมกนเพอใหไอทไดรวมอยในวธปฏบตดานการกำากบดแลและการบรหารจดการ นอกจากน ยงมการออกกฎหมายใหมๆ และกฎขอบงคบทนำามาใชเพมขนอยางตอเนองเพอจดการกบความจำาเปนดงกลาว

COBIT 5 ใหกรอบการดำาเนนงานทครอบคลม เพอชวยใหองคกรบรรลวตถประสงคในเรองการกำากบดแลและการบรหารจดการไอทระดบองคกร กลาวงายๆ กคอ ชวยองคกรสรางคณคาทเกดประโยชนสงสดจากไอท โดยการรกษาความสมดลระหวางประโยชนทจะไดรบ กบระดบความเสยงและการใชทรพยากรททำาใหเกดประโยชนสงสด COBIT 5 เออใหไอทไดรบการกำากบดแลและบรหารจดการในแบบองครวมสำาหรบทวทงองคกร โดยครอบคลมหนาทงานตามความรบผดชอบทงทางดานธรกจและไอทอยางครบวงจร พจารณาถงผลประโยชนทเกยวของกบไอทของผมสวนไดเสยทงภายในและภายนอก COBIT 5 สามารถใชไดทวไปและใชประโยชนไดสำาหรบองคกรทกขนาด ไมวาจะเปนองคกรการคา องคกรทไมแสวงหากำาไร หรอในภาคเอกชน

รปภำพท 2—หลกกำรของ COBIT 5


16

COBIT 5 ตงอยบนพนฐานของหลกการสำาคญ 5 ประการ (ดในรปภำพท 2) ในการกำากบดแลและการบรหารจดการไอทระดบองคกร:• หลกกำรท 1: ตอบสนองควำมตองกำรของผมสวนไดเสย—องคกรตงอยเพอทสรางคณคาสำาหรบผมสวนไดเสย โดย

การรกษาความสมดลระหวางผลประโยชนทจะไดรบกบความเสยงและการใชทรพยากรททำาใหเกดประโยชนสงสด COBIT 5 ใหกระบวนการทจำาเปนทงหมดและปจจยเอออนๆ ทใชสนบสนนการสรางคณคาแกธรกจจากการใชไอท เพราะวาทกองคกรมวตถประสงคทแตกตางกน องคกรสามารถปรบแตง COBIT 5 ใหเหมาะกบบรบทของตนผานทางการสงทอดเปาหมาย (goal cascade) การแปลงเปาหมายองคกรในภาพรวมไปสเปาหมายในระดบทสามารถบรหารจดการได มความเฉพาะเจาะจง มความเกยวของกบไอท และการเชอมโยงหรอเทยบเปาหมายนกบกระบวนการหรอแนวปฏบตหนงๆ

• หลกกำรท 2: ครอบคลมท วท งองคกรอยำงครบวงจร—COBIT 5 บรณาการการกำากบดแลไอทระดบองคกรเขาไปในการกำากบดแลองคกร:– ครอบคลมทกหนาทงานและกระบวนการภายในองคกร COBIT 5 ไมเนนเพยงแค ‘หนาทงานดานไอท’ เทานน แต

จะถอวาสารสนเทศและเทคโนโลยทเกยวของเปนสนทรพยททกคนในองคกรจำาเปนตองดแลเชนเดยวกบสนทรพยอนๆ– พจารณาการกำากบดแลและการบรหารจดการปจจยเออทเกยวของกบไอททงหมด เพอใหครอบคลมทวทงองคกรอยาง

ครบวงจร ไดแกการรวมทกคนและทกสง ทงภายในและภายนอก ทเกยวของกบการกำากบดแลและการบรหารจดการสารสนเทศและไอททเกยวของ

• หลกกำรท 3: ประยกตใชกรอบกำรด�ำเนนงำนทบรณำกำรเปนหนงเดยว—มมาตรฐานและแนวปฏบตทดทเกยวของกบไอทจำานวนมาก ซงแตละอยางกใหแนวทางเกยวกบกจกรรมของไอทในดานใดดานหนง COBIT 5 ไดนำามาตรฐานและกรอบการดำาเนนงานทเกยวของอนๆ มาจดใหสอดคลองกนในภาพรวม จงสามารถใชเปนกรอบการดำาเนนงานทครอบอยเหนอกรอบการดำาเนนงานอนๆ สำาหรบการกำากบดแลและการบรหารจดการไอทระดบองคกร

• หลกกำรท 4: เออใหวธปฏบตแบบองครวมสมฤทธผล —การกำากบดแลและการบรหารจดการไอทระดบองคกรทมประสทธภาพและประสทธผลตองใชวธปฏบตแบบองครวมทไดพจารณาถงองคประกอบหลายๆ อยางซงมปฏสมพนธตอกน COBIT 5 ระบถงกลมของปจจยเออทใชสนบสนนการนำาระบบการกำากบดแลและการบรหารจดการไอทระดบองคกรไปใชงานอยางครอบคลม ปจจยเออนยามไดอยางกวางๆ วาเปนสงทสามารถชวยในการบรรลวตถประสงคขององคกร กรอบการดำาเนนงานของ COBIT 5 ระบถงปจจยเออ 7 ประเภทดงน– หลกการ นโยบาย และกรอบการดำาเนนงาน– กระบวนการ– โครงสรางการจดองคกร– วฒนธรรม จรยธรรม และพฤตกรรม– สารสนเทศ– บรการ โครงสรางพนฐาน และระบบงาน– บคลากร ทกษะ และศกยภาพ

• หลกกำรท 5: แบงแยกกำรก�ำกบดแลออกจำกกำรบรหำรจดกำร—กรอบการดำาเนนงานของ COBIT 5 ระบความแตกตางอยางชดเจนระหวางการกำากบดแลและการบรหารจดการ หลกสองประการนครอบคลมถงกจกรรมทตางกน ตองการโครงสรางการจดองคกรทแตกตางกน และใชเพอจดประสงคทแตกตางกน ในมมมองของ COBIT 5 ความแตกตางหลกๆ ทเหนเดนชดระหวางการกำากบดแลและการบรหารจดการคอ:

– การกำากบดแล (Governance)

ในองคกรสวนใหญ คณะกรรมการบรหารเปนผรบผดชอบการกำากบดแลโดยรวมภายใตการชนำาของประธานกรรมการ ในองคกรขนาดใหญและมความซบซอน หนาทบางประการสำาหรบการกำากบดแลอาจมอบหมายใหกบหนวยงานทจดตงขนเปนพเศษในระดบทเหมาะสม

– การบรหารจดการ (Management)

ในองคกรสวนใหญ การบรหารจดการรบผดชอบโดยผบรหารระดบสงภายใตการชนำาของประธานเจาหนาทบรหาร (CEO)

เมอนำาหลกการทง 5 ประการนมารวมกนจะทำาใหองคกรสามารถสรางกรอบการดำาเนนงานสำาหรบการกำากบดแลและการบรหารจดการทมประสทธผล ซงสงผลใหการใชสารสนเทศและการลงทนดานเทคโนโลยเกดประโยชนสงสด เพอยงประโยชนใหกบผมสวนไดเสย

กำรก�ำกบดแล ท�ำใหม นใจไดวำ ควำมตองกำร เง อนไข และทำงเลอกของผมสวนไดเสยไดรบกำรประเมนเพอก�ำหนดวตถประสงคทองคกรตองกำรใหบรรลซงมควำมสมดลและเหนชอบรวมกน; กำรก�ำหนดทศทำงผำนกำรจดล�ำดบควำมส�ำคญและกำรตดสนใจ; และกำรเฝำตดตำมผลกำรด�ำเนนงำนและกำรปฏบตตำมเทยบกบทศทำงและวตถประสงคทไดตกลงรวมกน

ผบรหำรวำงแผน สรำง ด�ำเนนงำน และเฝำตดตำมกจกรรมตำงๆ ใหสอดคลองกบทศทำงทก�ำหนดโดยหนวยงำนก�ำกบดแล (governance body) เพอใหบรรลวตถประสงคขององคกร


บทท 1 ภาพรวมของ COBIT 5

17

บทท 1ภาพรวมของ COBIT 5COBIT 5 ใหแนวทางสำาหรบยคถดไปของสมาคม ISACA ในเรองการกำากบดแลและการบรหารจดการองคกรทางดานไอททโดยจดทำาขนจากประสบการณทมการนำา COBIT ไปใชงานจรงมากกวา 15 ป และมการนำาไปประยกตใชโดยองคกรมากมายรวมทงผใชตางๆ จากกลมธรกจ กลมไอท กลมบรหารความเสยง กลมผรกษาความมนคงปลอดภย และกลมใหความเชอมน (assurance) ปจจยขบเคลอนหลกในการพฒนา COBIT 5 เกดจากความตองการทจะ • ใหผมสวนไดเสยไดมสวนมากขนในการกำาหนดสงทคาดหวงจากสารสนเทศและเทคโนโลยทเกยวของ (ประโยชนทไดรบ

ณ ระดบความเสยงทยอมรบได และดวยตนทนทจะเกดขน) และลำาดบสำาคญของแตละสงเหลานน เพอใหมนใจวา คณคาทคาดหวงนนจะไดรบการสงมอบจรง ผมสวนไดเสยบางคนอาจตองการผลประโยชนในระยะสน บางคนตองการความยงยนในระยะยาว บางคนพรอมทจะรบความเสยงสง แตบางคนอาจไมสามารถยอมรบความเสยงไดเลย ความคาดหวงทแตกตางกนเหลาน (ซงบางครงกขดแยงกน) ตองไดรบการจดการอยางมประสทธผล นอกจากนผมสวนไดเสยเหลานยงไมเพยงตองการมสวนรวมมากขนเทานน แตพวกเขาตองการความโปรงใสดวยวา สงเหลานจะเกดขนไดอยางไร และจะบรรลผลลพธจรงไดอยางไร

• ระบถงความสำาเรจขององคกรทตองพงพากลมธรกจและองคกรดานไอทจากภายนอกมากขนเรอยๆ เชน ผใหบรการภายนอก ผขาย ทปรกษา ลกคา ผใหบรการแบบกลมเมฆ (Cloud) และอนๆ ตลอดจนวธการและกลไกตางๆ ทใชเปนการภายในเพอสงมอบคณคาตามทคาดหวง

• รบมอกบปรมาณสารสนเทศทมแนวโนมเพมขนอยางมนยสำาคญ องคกรจะเลอกสารสนเทศทมความเกยวของและนาเชอถอซงจะนำาไปสการตดสนใจทมประสทธภาพและประสทธผลไดอยางไร สารสนเทศเองกจำาเปนตองไดรบการบรหารจดการอยางมประสทธผลซงการมตนแบบสารสนเทศทมประสทธผลสามารถชวยได

• รบมอกบไอททกำาลงแพรหลายมากขน ไอทไดบรณาการเปนสวนหนงของธรกจมากขนเรอยๆ บอยครงทเกดความไมพอใจหากแยกไอทออกมาตางหากแมวาไอทจะยงสอดคลองกบธรกจกตาม ไอทจำาเปนตองบรณาการใหเปนสวนหนงของโครงการทางธรกจ โครงสรางการจดองคกร การบรหารความเสยง นโยบาย ทกษะ กระบวนการ และอนๆ บทบาทของผบรหารสงสดดานสารสนเทศ (CIO) และหนาทงานดานไอทกำาลงคอยๆ ววฒนาการไปจากเดม บคลากรในหนวยงานธรกจมทกษะดานไอทมากขนและมสวนรวมหรอกำาลงจะมสวนรวมในการตดสนใจและการปฏบตการดานไอทมากขน ไอทจะตองบรณาการใหเขากบธรกจมากขน

• ใหแนวทางเพมเตมในเรองนวตกรรมและเทคโนโลยทออกมาใหมซ งเปนเรองของความคดสรางสรรค การประดษฐคดคน การพฒนาผลตภณฑใหมๆ การทำาใหผลตภณฑทมอยใหเปนทสนใจของลกคาและดงดดลกคาประเภทใหมๆ นวตกรรมอาจหมายถงการปรบปรงกระบวนการใหมประสทธภาพมากขนทงในเรองของการพฒนาผลตภณฑการผลตและหวงโซอปทาน (supply chain) เพอนำาสนคาสตลาดดวยความมประสทธภาพ รวดเรว และมคณภาพในระดบทสงขน

• ครอบคลมความรบผดชอบในหนาทงานทงทางธรกจและดานไอทอยางครบวงจรและครอบคลมทกแงมมทจะนำาไปสการกำากบดแลและการบรหารจดการไอทระดบองคกรอยางมประสทธผล เชน โครงสรางการจดองคกร นโยบาย และวฒนธรรม นอกเหนอจากกระบวนการ

• มการควบคมทดข นสำาหรบกระบวนการแกไขปญหาแบบเบดเสรจดานไอท (IT Solution) ทผใชเปนผรเร มหรอทอยในความควบคมของผใช

• องคกรบรรลถง:– การสรางคณคาผานทางการใชไอทระดบองคกรอยางมประสทธผลและสรางสรรค– ความพงพอใจของผใชทางธรกจ กบการทำางานและบรการดานไอท– ปฏบตตามกฎหมาย กฎระเบยบขอบงคบ ขอกำาหนดตามสญญา และนโยบายภายในทเกยวของ – ความเชอมโยงทดข นระหวางความตองการทางธรกจกบวตถประสงคดานไอท

• เชอมโยงและหากเปนไปได ทำาใหเกดความสอดคลองกบกรอบการดำาเนนงานและมาตรฐานอนๆ ทมใชกนอย เชน Information Technology Infrastructure Library (ITIL®),The Open Group Architecture Forum (TOGAF®), Project Management Body of Knowledge (PMBOK®), PRojects IN Controlled Environments 2 (PRINCE2®), Committee of Sponsoring Organizations of the Treadway Commission (COSO) และ the International Organization for Standardization (ISO) ซงจะชวยใหผมสวนไดเสยเขาใจถงกรอบการดำาเนนงาน แนวปฏบตทด และมาตรฐานตางๆ เหลานวาใชสำาหรบจดใดและใชรวมกนไดอยางไร

• บรณาการกรอบการดำาเนนงานและแนวทางทสำาคญของ ISACA ทงหมด โดยเนนท COBIT Val IT และ Risk IT แตยงคงพจารณาถงตนแบบทางธรกจสำาหรบความมนคงปลอดภยของสารสนเทศ (Business Model for Information Security - BMIS) กรอบการดำาเนนงานสำาหรบความเชอมนในไอท (IT Assurance Framework-ITAF) เอกสารชอวา บทสรปสำาหรบคณะกรรมการบรหารเพอการกำากบดแลไอท (Board Briefing on IT Governance) และเอกสารทช อวา Taking governance forward (TGF) ดงนน COBIT 5 จงครอบคลมทวทงองคกรและใหพนฐานในการบรณาการกรอบการดำาเนนงานมาตรฐานและแนวปฏบตอนๆ มารวมกนเปนกรอบการดำาเนนงานเพยงหนงเดยว


18

ผลตภณฑและแนวทางอนๆ ทครอบคลมความตองการทหลากหลายของผมสวนไดเสยตางๆ จะสรางขนจากองคความร หลกของ COBIT 5 โดยจะคอยๆ จดทำาเพมเตมขนอกไปเรอยๆ ซงจะทำาใหสถาปตยกรรมใน COBIT 5 มการปรบปรงเพมเตมอยเสมอ ทานสามารถหาขอมลลาสดเกยวกบสถาปตยกรรมของผลตภณฑใน COBIT 5 ไดบน ISACA เวบไซด (www.isaca.org/cobit)

ภำพรวมของเอกสำรฉบบน

กรอบการดำาเนนงานของ COBIT 5 บรรจเนอหาไวในอก 7 บทดงน:• บทท 2 อธบายหลกการท 1 คอ กำรตอบสนองควำมตองกำรของผมสวนไดเสย บทนจะเกรนนำาถงการสงทอดเปา

หมาย (goals cascade) ของ COBIT 5 เปาหมายระดบองคกรดานไอทไดนำามาใชเพอจดระเบยบและโครงสรางใหกบความตองการของผมสวนไดเสย เปาหมายระดบองคกรสามารถเชอมโยงไปสเปาหมายทเกยวของกบไอท และเปาหมายเกยวของกบไอทจะสามารถบรรลไดโดยการนำาปจจยเออทงหมด ซงรวมถงกระบวนการตางๆ ไปใชและดำาเนนการใหเกดประโยชนสงสดเปาหมายตางๆ ทเชอมโยงกนเหลานเรยกวา การสงทอดเปาหมาย (goals cascade) ใน COBIT 5 ในบทนยงใหตวอยางของคำาถามดานการกำากบดแลและการบรหารจดการทผมสวนไดเสยมกมขอสงสยเกยวกบไอทระดบองคกร

• บทท 3 อธบายหลกการท 2 คอ ครอบคลมท วท งองคกรอยำงครบวงจร บทนอธบายวา COBIT 5 บรณาการการกำากบดแลไอทระดบองคกรเขากบการกำากบดแลองคกร โดยครอบคลมหนาทงานและกระบวนการทงหมดภายในองคกรได อยางไร

• บทท 4 อธบายหลกการท 3 ประยกตใชกรอบกำรด�ำเนนงำนทบรณำกำรเปนหนงเดยว และอธบายโดยสรปเกยวกบการบรณาการภายใตสถาปตยกรรมของ COBIT 5

• บทท 5 อธบายหลกการท 4 เออใหวธปฏบตแบบองครวมสมฤทธผล การกำากบดแลไอทระดบองคกรเปนการทำางานอยางเปนระบบและสนบสนนโดยปจจยเออตางๆ ในบทนไดเกรนนำาถงปจจยเออและนำาเสนอวธทมกใชกนทวไปในการพจารณาถงปจจยเออดวยการใชตนแบบปจจยเออทวไป (generic enabler model)

• บทท 6 อธบายหลกการท 5 กำรแบงแยกกำรก�ำกบดแลออกจำกกำรบรหำรจดกำร และอธบายถงความแตกตางระหวางการบรหารจดการและการกำากบดแล และความสมพนธระหวางกน ภาพรวมของตนแบบอางองของกระบวนการ (process reference model) ของ COBIT 5 ไดรวมไวในบทนเพอเปนตวอยาง

• บทท 7 ไดเกรนนำาถง แนวทำงกำรน�ำไปใชงำน ซงอธบายวา เราสามารถสรางสภาพแวดลอมทเหมาะสมขนมาได อยางไร อธบายถงปจจยเออทตองการ จดทมปญหา (pain point) และเหตการณจดชนวน (trigger event) สำาหรบการนำาไปใชงาน วฎจกรของการนำาไปใชงานและการปรบปรงอยางตอเนอง ในบทนจะองกบเอกสารชอวาการนำา COBIT®5 ไปใช งาน (COBIT®5 Implementation) ทมรายละเอยดอยางครบถวนเกยวกบวธการนำาการกำากบดแลไอทระดบองคกรไปใช โดยองกบ COBIT 5

• บทท 8 อธบายถง ตนแบบระดบควำมสำมำรถของกระบวนกำร (process capability model) ของ COBIT 5 ทมอยในแบบแผนวธปฏบตในการประเมนชดโครงการ (assessment programe approach scheme) (www.isaca.org/cobit-assessment-programme) และชแจงถงความแตกตางจากการประเมนวฒภาวะของกระบวนการใน COBIT 4.1 (COBIT4.1 process maturity assessment) และผใชจะเปลยนไปใชวธปฏบตใหมไดอยาง

ในภาคผนวกประกอบดวยขอมลอางองการแสดงความสมพนธและการเปรยบเทยบ และรายละเอยดเพมเตมในบางหวขอ • ภาคผนวก A. ขอมลอำงองทนำามาใชในระหวางการจดทำา COBIT 5 ไดนำามาแสดงไวในภาคผนวกน• ภาคผนวก B. รำยละเอยดควำมสมพนธระหวำงเปำหมำยระดบองคกรกบเปำหมำยทเก ยวของกบไอท อธบายวาเปาหมายระดบองคกรในแตละขอ สนบสนนโดยเปาหมายทเกยวของกบไอทขอใดบาง

• ภาคผนวก C. รำยละเอยดควำมสมพนธระหวำงเปำหมำยทเก ยวของกบไอทและกระบวนกำรทเก ยวของกบไอท กบกระบวนการทเกยวของกบไอทอธบายวากระบวนการตางๆ ใน COBIT สนบสนนการบรรลถงเปาหมายทเกยวของกบไอทไดอยางไร

• ภาคผนวก D. ควำมตองกำรของผมสวนไดเสยและเปำหมำยระดบองคกร อธบายวา ความตองการของผมสวนไดเสยเกยวของกบเปาหมายระดบองคกรใน COBIT 5 อยางไร

• ภาคผนวก E. กำรเทยบ COBIT 5 กบมำตรฐำน/กรอบกำรด�ำเนนงำนอนทเก ยวของและเกยวเนองกนมำกทสด• ภาคผนวก F. กำรเปรยบเทยบระหวำงตนแบบสำรสนเทศใน COBIT 5 กบเกณฑคณสมบตของสำรสนเทศใน

COBIT 4.1• ภาคผนวก G. ค�ำอธบำยอยำงละเอยดของปจจยเออใน COBIT 5 จากบทท 5 และรวมถงรายละเอยดเพมเตมของ

ปจจยเออตางๆ รวมถงรายละเอยดของตนแบบปจจยเออ (enabler model) ทอธบายถงองคประกอบเฉพาะและแสดงตวอยางประกอบ

• ภาคผนวก H. อภธำนศพท


บทท 2 หลกการท 1: การตอบสนองตอความตองการของผมสวนไดเสย

19

บทท 2หลกการท 1: การตอบสนองตอความตองการของผมสวนไดเสยบทน�ำองคกรตงขนเพอทสรางคณคาใหกบผมสวนไดเสย ดงนนองคกรไมวาจะเปนองคกรการคาหรอไมแสวงหาผลกำาไรกจะตองมการสรางคณคาเปนหนงในวตถประสงคของการกำากบดแล การสรางคณคาหมายถง การไดรบผลประโยชนดวยตนทนทรพยากรทใหประโยชนสงสดและความเสยงทเหมาะสมทสด (ดรปภำพท 3) ผลประโยชนสามารถรบรไดหลายรปแบบ ยกตวอยางเชน ดานการเงนสำาหรบองคกรทแสวงหาผลกำาไร หรอการบรการสาธารณะสำาหรบหนวยงานภาครฐ

รปภำพท 3—วตถประสงคในกำรก�ำกบดแล: กำรสรำงคณคำ

องคกรมผมสวนไดเสยหลายคน และคำาวา “สรางคณคา” กมความหมายทแตกตางกนไปและบางครงกขดแยงกน การกำากบดแลจงเปนการเจรจาตอรองและตดสนใจทามกลางความแตกตางในผลประโยชนทของผมสวนไดเสยทงหลาย ดวยเหตนระบบการกำากบดแลจงควรพจารณาถงผมสวนไดเสยทงหมดเมอจะตดสนใจในการประเมนผลประโยชน ความเสยง และทรพยากร คำาถามทควรถามในการตดสนใจแตละครงคอ ใครเปนผไดรบประโยชน ใครเปนผรบความเสยง และตองใช ทรพยากรอะไรบาง

กำรสงทอดเปำหมำยของ COBIT 5 ทกองคกรดำาเนนงานภายใตบรบททตางกน ซงบรบทนกำาหนดโดยทงปจจยภายนอก (ดานการตลาด ประเภทธรกจ ภมศาสตรการเมอง และอนๆ ) และปจจยภายใน (วฒนธรรม การจดองคกร การยอมรบความเสยง และอนๆ ) และจำาเปนตองมระบบการกำากบดแลและการบรหารจดการทปรบแตงใหเหมาะสมเฉพาะสำาหรบองคกร

ความตองการของผมสวนไดเสย จะตองถกแปลงมาเปนกลยทธขององคกรทสามารถดำาเนนการได การสงทอดเปาหมายของ COBIT 5 เปนกลไกในการแปลงความตองการของผมสวนไดเสยมาเปนเปาหมายขององคกร เปาหมายทเกยวของกบไอท และเปาหมายของปจจยเออทปรบแตงใหเปนเฉพาะตวและสามารถนำาไปปฏบตได การแปลงนชวยใหมการกำาหนดเปาหมายทเฉพาะเจาะจงลงไปในแตละระดบและในทกดานขององคกรเพอสนบสนนเปาหมายและความตองการของผมสวนไดเสยในภาพรวม และสนบสนนใหเกดความสอดคลองกนระหวางความตองการขององคกรกบกระบวนการแกไขปญหาแบบเบดเสรจและการใหบรการดานไอท

การสงทอดเปาหมายของ COBIT 5 แสดงไวใน รปภำพท 4

ข นตอนท 1 ปจจยผลกดนผมสวนไดเสยมอทธผลตอควำมตองกำรของผมสวนไดเสยความตองการของผมสวนไดเสยไดรบอทธพลจากปจจยผลกดนหลายอยาง ยกตวอยางเชน การเปลยนแปลงกลยทธ การเปลยนแปลงสภาพแวดลอมทางธรกจและกฎระเบยบในการควบคม และเทคโนโลยใหมๆ

ข นตอนท 2 สงทอดควำมตองกำรของผมสวนไดเสยไปยงเปำหมำยระดบองคกรความตองการของผมสวนไดเสยสามารถเชอมโยงไปถงเปาหมายทวไปในระดบองคกร (Generic enterprise goal) เปาหมายระดบองคกรเหลานกำาหนดขนโดยใชมตตางๆ ของการวดผลแบบสมดล (BSC)1 และเปนการแสดงรายการเปาหมายทมกใชกนโดยทวไปซงองคกรสามารถนำามากำาหนดใชเปนของตนได ถงแมวาเปาหมายตางๆ ทมอยในรายการนจะไมใชเปาหมายทงหมด แตเปาหมายเฉพาะขององคกรโดยสวนใหญกสามารถเทยบไดงายกบเปาหมายทวไปในระดบองคกรน ตารางแสดงความสมพนธระหวางความตองการของผมสวนไดเสยกบเปาหมายระดบองคกรแสดงไวในภาคผนวก D1 Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy Into Action, Harvard University Press, USA, 1996


20

รปภำพท 4—ภำพรวมของกำรสงทอดเปำหมำยใน COBIT 5

COBIT 5 กำาหนดเปาหมายทวไปไว 17 ขอ ดงทแสดงไวในรปภำพท 5 ซงประกอบดวย • มตของการวดผลแบบสมดล (BSC) ทเหมาะสมกบเปาหมายระดบองคกร • เปาหมายระดบองคกร• ความสมพนธกบวตถประสงคหลกของการกำากบดแล 3 ประการ คอ การไดรบผลประโยชน ความเสยงในระดบทเหมาะ

สม และการใชทรพยากรใหเกดประโยชนสงสด (P หมายถง ความสมพนธหลก และ S หมายถง ความสมพนธรอง หรอมความสมพนธกนนอย)

ข นตอนท 3 เปำหมำยระดบองคกรสงทอดไปยงเปำหมำยทเก ยวของกบไอทการบรรลซ งเปาหมายระดบองคกรจำาเปนตองมผลลพธ2 ทเกยวของกบไอทจำานวนหนง ซงไดแกเปาหมายทเกยวของกบไอท นนเอง คำาวาเกยวของกบไอทหมายถงสารสนเทศและเทคโนโลยทเกยวของ และเปาหมายทเกยวของกบไอทนได กำาหนดขนตามมตของการวดผลแบบสมดลดานไอท (IT BSC) COBIT 5 ไดกำาหนดเปาหมายทเกยวของกบไอทไว 17 ขอ ตามรปภำพท 6

ตารางแสดงความสมพนธระหวางเปาหมายทเกยวของกบไอทกบเปาหมายระดบองคกรไดแสดงไวในภาคผนวก B และยงแสดงใหเหนดวยวาเปาหมายระดบองคกรแตละขอสนบสนนดวยเปาหมายทเกยวของกบไอทขอใดบาง

ข นตอนท 4 เปำหมำยทเก ยวของกบไอทสงทอดไปยงเปำหมำยของปจจยเออการบรรลเปาหมายเกยวของกบไอทจำาเปนตองมระบบงานททำางานไดดและใชปจจยเออจำานวนหนง แนวคดของปจจยเออไดอธบายรายละเอยดไวในบทท 5 ปจจยเออรวมถงกระบวนการ โครงสรางการจดองคกร และสารสนเทศ และไดมการกำาหนดเปาหมายสำาหรบปจจยเออแตละประเภททจะสนบสนนเปาหมายทเกยวของกบไอท

กระบวนการเปนหนงในปจจยเออ ในภาคผนวก C ไดแสดงความสมพนธระหวางเปาหมายทเกยวของกบไอทและกบกระบวนการของ COBIT 5 ทเกยวของ ซงรวมถงเปาหมายของกระบวนการเหลานนดวย

2 ไอทยอมไมใชส งเดยวเทานนทจำาเปนในการบรรลเปาหมายระดบองคกร หนาทงานในดานอนๆ ทงหมดภายในองคกร เชน การเงนและการตลาด ยอมมสวนชวยใหบรรลเปาหมายระดบองคกรเชนกน แตในบรบทของ COBIT 5 จะพจารณาเฉพาะเปาหมายทเกยวของกบไอทเทานน



21

รปภำพท 5—เปำหมำยระดบองคกรของ COBIT 5

มตการวดผลแบบสมดล

เปาหมายระดบองคกร

ความเชอมโยงกบวตถประสงคในการกำากบดแล

การไดรบผล

ประโยชนความเสยงทเหมาะสม

ทรพยากรทใหประโยชน

สงสด

ดานการเงน 1. คณคาจากการลงทนในธรกจของผมสวนไดเสย P S

2. กลม (Portfolio)ของผลตภณฑและบรการทมความสามารถในการแขงขน

P P S

3. ความเสยงทางธรกจทไดรบการจดการ (การปกปองคมครองสนทรพย) P S

4. การปฏบตตามกฎหมายและกฎระเบยบขอบงคบจากภายนอก P

5. ความโปรงใสทางการเงน P S S

ดานลกคา 6. วฒนธรรมทเนนการบรการลกคา P S

7. บรการของธรกจมความตอเนองและความพรอมใหบรการ P

8. การตอบสนองอยางฉบไวตอการเปลยนแปลงในสภาพแวดลอมทางธรกจ

P S

9. การตดสนใจเชงกลยทธบนพนฐานของสารสนเทศ P P P

10. ตนทนในการสงมอบบรการทใหประโยชนสงสด P P

ดานกระบวนการภายใน

11. หนาทงานในกระบวนการทางธรกจทใหประโยชนสงสด P P

12. ตนทนของกระบวนการทางธรกจทใหประโยชนสงสด P P

13. ชดโครงการเพอการเปลยนแปลงทางธรกจทไดรบการบรหารจดการ P P S

14. การปฏบตงานและบคคลากรทมประสทธภาพ P P

15. การปฏบตตามนโยบายภายในองคกร P

ดานการเรยนรและเตบโต

16. บคคลากรทมทกษะและแรงจงใจ S P P

17. วฒนธรรมทสงเสรมนวตกรรมสำาหรบผลตภณฑและการดำาเนนธรกจ P

รปภำพท 6—เปำหมำยทเก ยวของกบไอทมตการวดผลแบบสมดลดานไอท

เปาหมายของสารสนเทศและเทคโนโลยทเกยวของ

ดานการเงน 01 กลยทธดานไอทสอดคลองไปในแนวทางเดยวกนกบกลยทธดานธรกจ

02 ไอทเอออำานวยและสนบสนนใหธรกจสามารถปฏบตตามกฎหมายและกฎระเบยบขอบงคบของหนวยงานภายนอก

03 ผบรหารระดบสงใหคำามนในการตดสนใจตางๆ ทเกยวของกบไอท

04 ความเสยงของธรกจทเกยวของกบไอทสามารถบรหารจดการได

05 ประโยชนทไดรบจรงจากกลมของการลงทนและการใหบรการในดานตางๆ ทมไอทเปนปจจยเออ

06 ตนทน ประโยชน และความเสยงทางดานไอทมความโปรงใส

ดานลกคา 07 การสงมอบบรการดานไอทเปนไปตามความตองการของธรกจ

08 การใชระบบงาน สารสนเทศและเทคโนโลยอยางเหมาะสม

ดานกระบวนการภายใน

09 ความคลองตวทางดานไอท

10 ความมนคงปลอดภยของสารสนเทศ โครงสรางพนฐานในการประมวลผล และระบบงาน

11 การใชสนทรพย ทรพยากร และสมรรถนะทางดานไอทใหไดประโยชนสงสด

12 การเอออำานวยและสนบสนนการทำางานของกระบวนการทางธรกจโดยบรณาการระบบงานและเทคโนโลยเขาไปใช ในกระบวนการทางธรกจ

13 การสงมอบชดโครงการตางๆ กอใหเกดประโยชน ตรงเวลา ตามงบประมาณทตงไว และตามความตองการและมาตรฐานดานคณภาพ

14 ความพรอมใชของสารสนเทศทเชอถอได และมประโยชนในการตดสนใจ

15 ไอททปฏบตตามนโยบายภายในขององคกร

ดานการเรยนรและเตบโต

16 บคลากรทงทางดานไอทและดานธรกจทมความสามารถและมแรงจงใจ

17 ความร ความเชยวชาญ และการรเรมดำาเนนการเพอนวตกรรมทางธรกจ


22

กำรใชกำรสงทอดเปำหมำยของ COBIT 5 ประโยชนของกำรสงทอดเปำหมำยของ COBIT 5การสงทอดเปาหมาย3 เปนสงสำาคญทจะชวยจดลำาดบความสำาคญในการนำาไปใชงาน การปรบปรงใหดข น และการใหความเชอมนในการกำากบดแลไอทระดบองคกร บนพนฐานของวตถประสงค (เชงกลยทธ) ขององคกรและความเสยงทเกยวของ ในทางปฏบตการสงทอดเปาหมายจะรวมถง• กำาหนดเปาหมายและวตถประสงคทเกยวของและจบตองได สำาหรบหนาทความรบผดชอบในระดบตางๆ • กรองฐานความร (Knowledge base) ของ COBIT 5 เฉพาะทเกยวของกบเปาหมายในระดบองคกร เพอคดเฉพาะแนวทาง

ทเกยวของไปใชในโครงการหนงๆ ไมวาจะเปนโครงการเพอการนำาไปใชงาน(ระบบงานใหม) เพอการปรบปรงใหดข น หรอเพอใหความเชอมน

• ระบและสอสาร (ในบางครงอาจเปนในระดบปฏบตการ) อยางชดเจนวา ปจจยเออมความสำาคญตอการบรรลเปาหมายในระดบองคกรอยางไร

กำรใชกำรสงทอดเปำหมำยของ COBIT 5 อยำงระมดระวงการสงทอดเปาหมาย รวมทงตารางแสดงความสมพนธระหวางเปาหมายระดบองคกรกบเปาหมายทเกยวของกบไอท และระหวางเปาหมายทเกยวของกบไอทกบปจจยเออของ COBIT 5 (รวมถงกระบวนการตางๆ ) ไมไดเปนคำาตอบทครอบจกรวาล และผใชไมควรพยายามทจะนำาไปใชโดยไมคำานงถงปจจยแวดลอมอนๆ แตควรใชเปนเพยงแนวทางหนงดวยเหตผลหลายประการ ไดแก• ทกองคกรมการจดลำาดบความสำาคญของเปาหมายทแตกตางกน และลำาดบความสำาคญนอาจจะเปลยนแปลงไปตามเวลา• ตารางแสดงความสมพนธไมไดแยกแยะขนาด และ/หรอ ประเภทธรกจขององคกร แตเปนการแสดงใหเหนวา โดยทวไป

แลวเปาหมายในระดบตางๆ มความสมพนธตอกนอยางไร• คาบงชตางๆ ทระบไวในตารางแสดงถงระดบของความสำาคญหรอความสมพนธทแบงเปน 2 ระดบ ซงชนำาวาเราสามารถ

“แยกแยะ” ระดบทงสองไดอยางชดเจน แตในความเปนจรงแลว ระดบความสมพนธอาจเปนคาใดคาหนงทอยระหวางชวงของ 2 ระดบดงกลาวกได

กำรใชกำรสงทอดเปำหมำยของ COBIT 5 ในทำงปฏบต จากเหตผลทกลาวมาขางตน เหนไดชดวาในขนแรกของการใชการสงทอดเปาหมายน องคกรควรปรบแตงตารางความสมพนธใหสอดคลองกบสถานการณเฉพาะหนงๆ หรออกนยหนง แตละองคกรควรจดทำาการสงทอดเปาหมายทเปนลกษณะเฉพาะของตวเองกอน จากนนจงนำามาเปรยบเทยบกบของ COBIT เพอปรบใหมความสมบรณมากขน

ยกตวอยาง องคกรอาจปรารถนาทจะ• แปลงลำาดบความสำาคญของกลยทธมาเปนการใหนำาหนกหรอใหความสำาคญอยางใดอยางหนงสำาหรบเปาหมายในระดบ

องคกรแตละขอ• ตรวจสอบความสมเหตสมผลของความสมพนธในการสงทอดเปาหมาย โดยพจารณาถงสภาพแวดลอมหรอประเภทธรกจท

เปนเรองเฉพาะของตน เปนตน

3 การสงทอดเปาหมายมาจากงานวจยโดยมหาวทยาลยอนทเวบ (University of Antwerp) สาขาวชา Management School IT Alignment and Governance Institute ในประเทศเบลเยยม



23

ตวอยำงท 1—กำรสงทอดเปำหมำยองคกรไดกำาหนดเปาหมายกลยทธขนมาจำานวนหนง ซงการปรบปรงความพงพอใจของลกคาเปนเปาหมายทสำาคญทสด จากจดดงกลาว องคกรตองการทราบถงทกจดทเกยวของกบไอททจะตองปรบปรง

องคกรตดสนใจกำาหนดใหความพงพอใจของลกคามความสำาคญในลำาดบตน เทากบวาไดยกระดบความสำาคญใหกบเปาหมายระดบองคกรในขอตอไปน (จากรปภำพท 5):• 6. วฒนธรรมทเนนการบรการลกคา• 7. บรการของธรกจมความตอเนองและความพรอมใหบรการ• 8. การตอบสนองอยางฉบไวตอการเปลยนแปลงในสภาพแวดลอมทางธรกจ

จากนน องคกรดำาเนนการในลำาดบถดมาในการสงทอดเปาหมาย ไดแกการวเคราะหวาเปาหมายทเกยวของกบไอทขอใดทมความเชอมโยงกบเปาหมายระดบองคกรเหลาน ความเชอมโยงทใหเปนแนวทางไวน ไดแสดงไวในภาคผนวก B

จากนน เปาหมายทเกยวของกบไอทดงตอไปนถอวามความสำาคญมากทสด (ระบไวในตารางวามความสมพนธหลก ‘P’ ):• 01 กลยทธดานไอทสอดคลองไปในแนวทางเดยวกนกบกลยทธดานธรกจ• 04 ความเสยงของธรกจทเกยวของกบไอทสามารถบรหารจดการได • 07 การสงมอบบรการดานไอทเปนไปตามความตองการของธรกจ• 09 ความคลองตวทางดานไอท• 10 ความมนคงปลอดภยของสารสนเทศ โครงสรางพนฐานในการประมวลผล และระบบงาน• 14 ความพรอมใชของสารสนเทศทเชอถอได และมประโยชนในการตดสนใจ• 17 ความร ความเชยวชาญ และการรเรมดำาเนนการเพอนวตกรรมทางธรกจ

องคกรตรวจสอบความสมเหตสมผลของรายการ และตดสนใจทจะคงไวซ งเปาหมาย 4 ขอแรกใหมความสำาคญในลำาดบตน

ในการสงทอดในลำาดบถดไป โดยใชแนวคดของปจจยเออ (ดบทท 5) เปาหมายทเกยวของกบไอทเหลานขบเคลอนเปาหมายของปจจยเออจำานวนหนงซงรวมถงเปาหมายของกระบวนการ ในภาคผนวก C ไดแนะใหเหนถงความสมพนธระหวางเปาหมายทเกยวของกบไอทกบกระบวนการใน COBIT 5 ตารางทนำาเสนอชวยใหสามารถระบถงกระบวนการทเกยวของกบไอททมความเกยวเนองมากทสดในการสนบสนนเปาหมายทเกยวของกบไอท แตกระบวนการอยางเดยวยงไมเพยงพอ ปจจยเอออนๆ เชน วฒนธรรม พฤตกรรมและจรยธรรม โครงสรางการจดองคกร หรอทกษะและความเชยวชาญลวนมความสำาคญไมยงหยอนไปกวากนและจำาเปนตองมเปาหมายทชดเจน

เมอทำาขนตอนดงกลาวเสรจแลว องคกรกจะไดชดของเปาหมายทสอดคลองสำาหรบปจจยเออทงหมดทชวยใหบรรลถงวตถประสงคดานกลยทธทไดประกาศไวและชดของมาตรวดในการวดผลการดำาเนนงานทเกยวของ

ตวอยำงท 2—ควำมตองกำรของผมสวนไดเสย: ควำมสำมำรถในกำรด�ำรงอยได หลงจากดำาเนนการวเคราะหความตองการของผมสวนไดเสยแลว องคกรตดสนใจวา ‘ความสามารถในการดำารงอยได’ เปนกลยทธทมความสำาคญในลำาดบตนๆ สำาหรบความสามารถในการดำารงอยไดนนไมไดมเพยงแคมมมองดานสภาพแวดลอมเทานน แตยงรวมถงทกสงทสงผลตอความสำาเรจในระยะยาวขององคกรดวย จากผลการวเคราะหความตองการของผมสวนไดเสย องคกรตดสนใจทจะมงเนนไปทวตถประสงค 5 ขอตอไปน โดยมขอมลรายละเอยดเพมเตมสำาหรบเปาหมายบางประการ1. คณคาจากการลงทนในธรกจของผมสวนไดเสย โดยเฉพาะในสงคมของผมสวนไดเสย4. การปฏบตตามกฎหมายและกฎระเบยบขอบงคบจากภายนอก เนนทกฎหมายดานสงแวดลอมและกฎหมายทเกยวของกบ

กฎระเบยบขอบงคบดานแรงงานในขอตกลงบรการจากหนวยงานภายนอก8. การตอบสนองอยางฉบไวตอการเปลยนแปลงในสภาพแวดลอมทางธรกจ

16. บคคลกรทมทกษะและแรงจงใจ ตระหนกวาความสำาเรจขององคกรขนอยกบบคลากรในองคกร17. วฒนธรรมทสงเสรมนวตกรรมสำาหรบผลตภณฑและการดำาเนนธรกจ โดนเนนทนวตกรรมในระยะยาว

จากลำาดบความสำาคญน สามารถนำาการสงทอดเปาหมายมาประยกตใชดงทไดอธบายไวแลว

ค�ำถำมเกยวกบกำรก�ำกบดแลและกำรบรหำรจดกำรดำนไอทในการตอบสนองความตองการของผมสวนไดเสยในองคกรทพ งพาไอทเปนอยางมาก จะเกดคำาถามมากมายเกยวกบการกำากบดแลและการบรหารจดการไอทระดบองคกร (รปภำพท 7)


24

รปภำพท 7—ค�ำถำมเกยวกบกำรก�ำกบดแลและกำรบรหำรจดกำรไอทผมสวนไดเสยภำยใน ค�ำถำมของผมสวนไดเสยภำยใน

• คณะกรรมการบรหาร• ประธานเจาหนาท

บรหาร (CEO)• ผบรหารสงสดดานการ

เงน (CFO)• ผบรหารสงสด

ดานสารสนเทศ (CIO)• ผบรหารสงสดดาน

ความเสยง(CRO)• ผบรหารดานธรกจ• เจาของกระบวนการ

ทางธรกจ• ผจดการดานธรกจ• ผจดการดานความเสยง• ผจดการดานความมน

คงปลอดภย• ผจดการดานบรการ• ผจดการดานทรพยา

กรบคคล • ผตรวจสอบภายใน • เจาหนาทดานการรก

ษาความเปนสวนบคคล• ผใชงานไอท• ผจดการดานไอท• อนๆ

• เราจะไดรบคณคาจากการใชไอทไดอยางไร ผใชงานมความพอใจกบคณภาพของบรการดานไอทหรอไม

• เราจะจดการกบประสทธภาพดานไอทไดอยางไร• เราจะนำาเทคโนโลยใหมๆ มาใชใหดทสดเพอเปดชองทางกลยทธไดอยางไร• เราจะจดตงและจดโครงสรางหนวยงานดานไอทใหดทสดไดอยางไร• เราตองพงพาผใหบรการภายนอกมากนอยเพยงใด มการจดการกบสญญาบรการดานไอท

กบบคคลภายนอกไดดเพยงใด เราจะไดรบความเชอมนจากผใหบรการภายนอกไดอยางไร• มขอกำาหนด (ดานการควบคม) อะไรบางเกยวกบสารสนเทศ • เราไดระบถงความเสยงทเกยวของทงหมดแลวหรอยง• เรามการดำาเนนงานดานไอททมประสทธภาพ และตานทานภยตางๆ ไดหรอไม• เราจะควบคมตนทนดานไอทไดอยางไร เราจะใชทรพยากรดานไอทใหมประสทธภาพ

และประสทธผลไดอยางไร ทางเลอกใดทมประสทธภาพและประสทธผลมากทสดในการจางหนวยงานภายนอก

• เรามบคลากรทเพยงพอสำาหรบงานดานไอทหรอไม เราจะพฒนาและรกษาทกษะของบคลากรไดอยางไร และจะจดการประสทธภาพในการทำางานไดอยางไร

• เราจะไดรบความเชอมนในเรองของไอทไดอยางไร• ขอมลทไดรบการประมวลผลมความปลอดภยหรอไม• เราจะเพมความคลองตวใหกบธรกจดวยการมสภาพแวดลอมดานไอททมความยดหยนไดอยางไร• โครงการดานไอทประสบความลมเหลวทจะสงมอบงานตามทกำาหนดหรอไม ถาใช

เปนดวยสาเหตใด ไอทเปนอปสรรคในการดำาเนนกลยทธทางธรกจหรอไม• ไอทมความสำาคญเพยงใดตอความอยรอดขององคกร จะทำาอยางไรหากไอทไมพรอมใช • กระบวนการทางธรกจทเปนหลกสำาคญในการดำาเนนธรกจใดทตองพงพาไอท และกระบวน

การเหลานนตองการอะไรบาง• มการใชจายเกนงบประมาณสำาหรบการปฏบตงานดานไอทโดยเฉลยเทาไร โครงการดานไอท

มการใชจายเงนเกนงบประมาณบอยครงหรอไมและเปนจำานวนเงนมากนอยเพยงใด• มการใชความพยายามไปในการแกปญหาเฉพาะหนามากกวาการปรบปรงทางธรกจ

มากนอยเพยงใด• มทรพยากรทางไอททเพยงพอและมโครงสรางพนฐานทพรอมใชในการบรรลถงวตถประสงค

ดานกลยทธขององคกรหรอไม• การตดสนใจในเรองสำาคญๆ ทางดานไอทใชเวลานานมากนอยเพยงใด• การใชกำาลงคนและการลงทนทางดานไอทมความโปรงใสหรอไม • ไอทใชในการสนบสนนองคกรในการปฏบตตามกฎระเบยบขอบงคบตางๆ และระดบของการ

ใหบรการหรอไม จะทราบไดอยางไรวาเราไดปฏบตตามกฎระเบยบขอบงคบตางๆ ทใชบงคบทงหมดแลว

ผมสวนไดเสยภำยนอก ค�ำถำมของผมสวนไดเสยภำยนอก• พนธมตรทางธรกจ• ผขายหรอผใหบรการ• ผถอหน• หนวยงานกำากบดแล / รฐบาล

• ผใชภายนอก• ลกคา• องคกรทกำาหนดมาตรฐาน• ผตรวจสอบภายนอก• ทปรกษา• อนๆ

• จะทราบไดอยางไรวาการดำาเนนงานของพนธมตรทางธรกจมความปลอดภยและเชอถอได • จะทราบไดอยางไรวาองคกรปฏบตตามกฎและกฎระเบยบขอบงคบทเกยวของ• จะทราบไดอยางไรวาองคกรรกษาระบบการควบคมภายในใหมประสทธภาพหรอไม • พนธมตรทางธรกจสามารถจดการใหสารสนเทศทเชอมโยงระหวางกนอยภายใตการควบคม

หรอไม

เรำจะหำค�ำตอบส�ำหรบค�ำถำมเหลำนไดอยำงไรคำาถามทงหมดทระบไวใน รปภำพท 7 สามารถเชอมโยงไปถงเปาหมายระดบองคกร และใชเปนขอมลเพอการสงทอดเปาหมายเพอใหคำาถามเหลานนไดรบการตอบสนองอยางมประสทธภาพ ในภาคผนวก D จะมตวอยางของความสมพนธระหวางคำาถามของผมสวนไดเสยภายทระบไวใน รปภำพท 7 กบเปาหมายระดบองคกร



25

บทท 3หลกการท 2: ครอบคลมทวทงองคกรอยางครบวงจรCOBIT 5 กลาวถงการกำากบดแลและการบรหารจดการสารสนเทศและเทคโนโลยทเกยวของในมมมองทครอบคลมทวทงองคกรอยางครบวงจร ซงหมายความวา COBIT 5:• บรณาการการควบคมกำากบดแลไอทระดบองคกรเขาไปในการควบคมกำากบดแลขององคกร กลาวคอระบบการกำากบดและของไอทระดบองคกรทนำาเสนอใน COBIT 5 สามารถบรณาการอยางไรรอยตอเขากบระบบการกำากบดแลใดๆ กตาม COBIT 5 ยงสอดคลองกบมมมองลาสดของการกำากบดแล

• ครอบคลมหนาทงานและกระบวนการทงหมดทจำาเปนตองกำากบดแลและบรหารจดการสารสนเทศขององคกรและเทคโนโลยทเกยวของไมวาสารสนเทศจะไดรบการประมวลผลทใดกตาม โดยการขยายขอบเขตใหครอบคลมทวทงองคกรนจงทำาให COBIT 5 มการระบถงบรการดานไอททงภายในและภายนอกทงหมดทเกยวของพรอมกบกระบวนการทางธรกจทงภายในและภายนอก

COBIT 5 ใหภาพของการกำากบดแลและการบรหารจดการไอทระดบองคกรอยางเปนองครวมและเปนระบบ (ดหลกการท 4) โดยองกบปจจยเออจำานวนหนง ปจจยเออเหลานอาจพบอยตรงไหนกไดทวทงองคกรและตงแตเรมตนจนจบ ไดแกการรวมเอาทกสงและทกคน ทงภายในและภายนอก ทเกยวเนองกบการกำากบดแลและการบรหารจดการสารสนเทศขององคกรและไอททเกยวของ รวมทงกจกรรมและความรบผดชอบของทงดานไอทและดานธรกจทไมใชไอท

สารสนเทศเปนปจจยเออประเภทหนงของ COBIT รปแบบท COBIT ไดระบถงปจจยเออชวยใหผมสวนไดเสยทกคนสามารถระบถงความตองการสารสนเทศและวฏจกรการประมวลผลของสารสนเทศของตนไดอยางครอบคลมและสมบรณ จงชวยให สามารถเชอมตอกบธรกจและความตองการของธรกจทจำาเปนตองมสารสนเทศและหนาทงานดานไอททเหมาะสม รวมทงสนบสนนธรกจและบรบททมความสำาคญ

วธปฏบตส�ำหรบกำรก�ำกบดแลวธปฏบตสำาหรบการกำากบดแลอยางครบวงจรเปนเรองขนพนฐานของ COBIT 5 ดงทแสดงในรปภำพท 8 ซงแสดงใหเหนถงสวนประกอบหลกของระบบการกำากบดแล4

รปภำพท 8—กำรก�ำกบดแลและกำรบรหำรจดกำร COBIT 5

นอกจากวตถประสงคดานการกำากบดแลแลวองคประกอบทสำาคญอนๆ ของวธปฏบตสำาหรบการกำากบดแลยงรวมถง ปจจยเออ ไดแกขอบเขตบทบาทหนาท กจกรรมตางๆ และความสมพนธ

4 ระบบการกำากบดแลไดแสดงไวในการรเรมดำาเนนงาน ISACA’ s Taking Governance Forward (TGF) รายละเอยดเพมเตมสามารถหาไดจาก www.takinggovernanceforward.org.


26

ปจจยเออเพอกำรก�ำกบดแลปจจยเออเพอการกำากบดแล ไดแกทรพยากรทใชสำาหรบจดระบบในการกำากบดแล เชน กรอบการดำาเนนงาน หลกการโครงสราง กระบวนการ และแนวปฏบต ซงกำาหนดทศทางของการกระทำาและชวยใหบรรลวตถประสงค ปจจยเออยงรวมถงทรพยากรขององคกรเชน ความสามารถในการบรการ (โครงสรางพนฐานดานไอท ระบบงาน และอนๆ ) บคลากร และสารสนเทศ การขาดแคลนทรพยากรหรอปจจยเอออาจจะสงผลตอความสามารถขององคกรในการสรางคณคา

ดวยความสำาคญของปจจยเออเพอการกำากบดแล COBIT 5 จงมเพยงหนทางเดยวทจะพจารณาและจดการกบปจจยเออ(ดบทท 5).

ขอบเขตของกำรก�ำกบดแลการกำากบดแลสามารถประยกตใชกบทวทงองคกรกบหนวยงานใดหนวยงานหนง กบสนทรพยทงทจบตองไดและจบตองไมได และอนๆ กลาวคอ เราสามารถกำาหนดการนำาการกำากบดแลไปประยกตใชในมมมองทแตกตางกนไปของแตละองคกร และเปนสงจำาเปนทจะตองระบขอบเขตของระบบการกำากบดแลนใหด ขอบเขตของ COBIT 5 คอ ระดบองคกร แตเนอหาสาระของ COBIT 5 สามารถนำาไปประยกตใชไดในมมมองใดๆ ทแตกตางออกไปกได

บทบำท กจกรรม และควำมสมพนธองคประกอบสดทาย คอ บทบาท กจกรรมและความสมพนธของการกำากบดแลซงระบวาใครมสวนรวมในการกำากบดแล มสวนรวมอยางไร และบคคลเหลานนทำาอะไร และจะมปฏสมพนธระหวางกนอยางไร ภายใตขอบเขตของระบบการกำากบดแล ใน COBIT 5 จะแบงแยกกจกรรมการกำากบดแลออกจากกจกรรมการบรหารจดการอยางชดเจน พรอมกบระบถงความสมพนธระหวางกนและผทมบทบาทหนาทจะเขามามสวนรวม รปภำพท 9 แสดงถงรายละเอยดของสวนลางของรปภำพท 8 ซงแสดงรายการปฏสมพนธระหวางบทบาทหนาทตางๆ

สำาหรบขอมลเพมเตมในมมมองทวไปสำาหรบการกำากบดแล กรณาด “taking governance Forward” ท www.takinggovernanceforward.org

รปภำพท 9—บทบำทหนำท กจกรรม และควำมสมพนธท ส�ำคญ


บทท 4 หลกการท 3: ประยกตใชกรอบการด�าเนนงานทบรณาการเปนหนงเดยว

27

บทท 4หลกการท 3: ประยกตใชกรอบการดำาเนนงานทบรณาการเปนหนงเดยวCOBIT 5 เปนกรอบการดำาเนนงานทบรณาการเปนหนงเดยว เนองจาก:• สอดคลองกบมาตรฐานและกรอบการดำาเนนงานอนๆ ทเกยวของ ซงชวยใหองคกรสามารถใช COBIT 5 เสมอนเปนกรอบ

การดำาเนนงานทครอบอยเหนอการบรณาการกำากบดแลและการบรหารจดการ• ครอบคลมทวทงองคกรอยางสมบรณ ซงใหหลกในการบรณาการ การใชกรอบการดำาเนนงาน มาตรฐาน และแนวปฏบต

อนๆ อยางมประสทธผล กรอบการดำาเนนงานทครอบเปนหนงเดยวนทำาใหการนำาแนวทางจากแหลงตางๆ มาใชสอดคลองและบรณาการเขาดวยกน โดยไมใชภาษาเชงเทคนคหรอภาษาดานเทคโนโลย

• ใหสถาปตยกรรมทเรยบงายสำาหรบจดโครงสรางของเอกสารประกอบแนวทางและการจดทำาชดผลตภณฑทสอดคลองกน• บรณาการองคความรตางๆ ทกระจดกระจายอยตามกรอบการดำาเนนงานตางๆ ของ ISACA ทงหมด ISACA ไดวจยประเดน

ทสำาคญๆ เกยวกบการกำากบดแลระดบองคกรมาหลายป และจดทำากรอบการดำาเนนงานออกมาใชมากมาย ไมวาจะเปน COBIT, Val IT, Risk IT, BMIS, เอกสารทช อวาบทสรปการกำากบดแลไอทสำาหรบกรรมการบรหาร (Board briefing on IT Governance), และ ITAF ซงใหแนวทางและการสนบสนนแกองคกร COBIT 5 ไดบรณาการองคความรทงหมดนเขาไว ดวยกน

COBIT 5 เปนทรวบรวมกรอบกำรด�ำเนนงำนตำงๆ รปภำพท 10 ใหคำาอธบายดวยภาพวา COBIT 5 เปนกรอบการดำาเนนงานทบรณาการและมความสอดคลองไปในแนวทางเดยวกนไดอยางไร

รปภำพท 10—กรอบกำรด�ำเนนงำนทรวมกนเปนหนงเดยวของ COBIT 5


28

กรอบการดำาเนนงานของ COBIT 5 ไดใหแนวทางทสมบรณและเปนปจจบนมากทสดแกผมสวนไดเสยตางๆ (ดรปภำพท 11) ในดานการกำากบดแลและการบรหารจดการไอทระดบองคกร โดย

• การทำาวจยและใชแหลงขอมลตางๆ ทผลกดนใหเกดการพฒนาเนอหาใหมๆ ซงประกอบดวย– การนำาแนวทางของ ISACA ทมอย (COBIT4.1, ValIT2.0, RiskIT, BMIS) มารวมกนเปนกรอบการดำาเนนงานเพยงหนง

เดยว– การเสรมเนอหาในสวนทจำาเปนตองมคำาอธบายเพมเตมและตองปรบปรงใหเปนปจจบน– การจดแนวใหสอดคลองกบมาตรฐานและกรอบการดำาเนนงานอนๆ ทเกยวของ เชน ITIL ,TOGAF และมาตรฐาน ISO

รายการอางองทงหมดสามารถดไดในภาคผนวก A• การระบถงกลมของปจจยเออเพอการกำากบดแลและการบรหารจดการ ซงใชเปนโครงสรางสำาหรบเอกสารประกอบแนวทาง

ทงหมด• การเพมขอมลเขาสฐานความรของ COBIT 5 ใหจดเกบแนวทางและเนอหาทงหมดในปจจบนและใหโครงสรางสำาหรบ

เนอหาทจะเพมเตมในอนาคต• การใชอางองสำาหรบแนวปฏบตทดทเหมาะสมและครอบคลม

รปภำพท 11—ชดผลตภณฑของ COBIT 5


บทท 5 หลกการท 4: เออใหวธปฏบตแบบองครวมสมฤทธผล

29

บทท 5หลกการท 4: เออใหวธปฏบตแบบองครวมสมฤทธผลปจจยเออใน COBIT 5ปจจยเออ อาจเปนหนงปจจยหรอหลายปจจยมารวมกน ทมอทธพลตอความสำาเรจของงาน ซงในทนกคอการกำากบดแลและการบรหารจดการไอทระดบองคกร ปจจยเออขบเคลอนโดยการสงทอดเปาหมาย (goals cascade) กลาวคอเปาหมายทเกยวของกบไอทในภาพรวมจะระบวาจะตองมปจจยเอออะไรบาง

กรอบการดำาเนนงาน COBIT 5 อธบายถงปจจยเออ 7 ประเภท ประกอบดวย (รปภำพท 12) • หลกกำร นโยบำย และกรอบกำรด�ำเนนงำน ซงเปนสงทนำาไปสการแปลงพฤตกรรมทคาดหวงใหเปนแนวทางทปฏบต

ไดจรงสำาหรบการบรหารจดการประจำาวน• กระบวนกำร อธบายถงกลมของแนวปฏบตและกจกรรมทใชบรรลวตถประสงคบางประการ และใหผลลพธเพอสนบสนน

การบรรลวตถประสงคทเกยวของกบไอทโดยรวม • โครงสรำงกำรจดองคกร ระบถงหนวยงานทเปนหลกในการตดสนใจในองคกร • วฒนธรรม จรยธรรม และพฤตกรรม ทงของแตละบคคลและขององคกร ซงมกจะไดรบการประเมนคานอยกวาจรงใน

การเปนปจจยสความสำาเรจของกจกรรมการกำากบดแลและการบรหารจดการ • สำรสนเทศ ทใชกนอยางกวางขวางทวทงองคกร ซงรวมสารสนเทศทงทเกดจากและทใชโดยองคกร สารสนเทศเปนสง

จำาเปนทองคกรจะตองใชเพอดำาเนนกจกรรมและเพอการกำากบดแลทด แตสำาหรบในระดบปฏบตการเทานน สารสนเทศมกมองวาเปนผลผลตหลกขององคกร

• บรกำร โครงสรำงพนฐำน และระบบงำน รวมถงโครงสรางพนฐาน เทคโนโลย และระบบงานทใชสำาหรบการประมวลผลและบรการอนๆ ดานเทคโนโลยแกองคกร

• บคลำกร ทกษะ และศกยภำพ เชอมโยงกบเขากบตวบคคลและเปนสงจำาเปนทจะชวยใหกจกรรมทงหมดสำาเรจลลวงไปดวยด และชวยใหตดสนใจไดอยางถกตองพรอมทงดำาเนนการแกไข

รปภำพท 12—ปจจยเออขององคกรใน COBIT 5

ปจจยเออบางประการทระบไวกอนหนาน กเปนทรพยากรขององคกรทจำาเปนตองจดการและกำากบดแลเชนกน ซงรวมถง• สารสนเทศ ซงจำาเปนตองไดรบการบรหารจดการเชนเดยวกบทรพยากรอนๆ สารสนเทศบางอยางเชน รายงานสำาหรบ

ผบรหาร และขอมลเพอการวเคราะหธรกจ (business intelligence information) เปนปจจยเออทสำาคญสำาหรบการกำากบดแลและการบรหารจดการองคกร

• บรการ โครงสรางพนฐาน และระบบงาน• บคคลากร ทกษะ และศกยภาพ

กำรก�ำกบดแลและกำรบรหำรจดกำรอยำงเปนระบบดวยปจจยเออทเชอมตอถงกน

รปภำพท 12 ยงไดแสดงถงแนวคดทควรนำาไปประยกตใชกบการกำากบดแลในระดบองคกรเพอใหบรรลวตถประสงคหลกขององคกร ซงยอมรวมถงการกำากบดแลทางดานไอทดวย องคกรใดๆ กตามจะตองคำานงถงการเชอมโยงกนของปจจยเออตางๆ น กลาวคอ แตละปจจยเออ • ตองการขอมลจากปจจยเอออนๆ เพอใหสามารถทำางานไดอยางมประสทธผล ยกตวอยางเชน กระบวนการตอง

การสารสนเทศ โครงสรางขององคกรตองการทกษะและพฤตกรรม เปนตน• สงมอบผลลพธทเปนประโยชนแกปจจยเอออนๆ ยกตวอยางเชน กระบวนการสงมอบสารสนเทศ ทกษะและพฤตกรรม

ชวยใหกระบวนการมประสทธผลดงนน เมอตองรบมอกบการกำากบดแลและการบรหารจดการไอทระดบองคกร การตดสนใจทดจะเกดขนไดกตอเมอมการกำากบดแลและการบรหารจดการอยางเปนระบบ ซงยอมหมายความวา เมอตองรบมอกบความตองการของผมสวนไดเสย


30

ปจจยเออตางๆ ทมความสมพนธกนนตองไดรบการวเคราะหในเรองความเชอมโยงถงกนและไดรบการจดการเมอเกดปญหา ผบรหารระดบสงขององคกรจะตองผลกดนแนวคดน ดงทจะแสดงใหเปนตวอยางตอไปน

ตวอยำงท 3—กำรก�ำกบดแลและกำรบรหำรจดกำรไอทระดบองคกรการใหบรการดานไอทแกผใชทกคนจำาเปนตองมความสามารถในการใหบรการ (โครงสรางพนฐาน ระบบงาน) และบคลากรทมทกษะและพฤตกรรมทเหมาะสม ทงยงตองมกระบวนการทำางานเพอสงมอบบรการตางๆ ทสนบสนนดวยโครงสรางการจดองคกรทเหมาะสม ซงแสดงใหเหนวาปจจยเออตางๆ เหลานมความจำาเปนตอความสำาเรจในการสงมอบบรการ

ตวอยำงท 4—กำรก�ำกบดแลและกำรบรหำรจดกำรไอทระดบองคกรความจำาเปนทจะตองรกษาความมนคงปลอดภยดานสารสนเทศทำาใหองคกรตองออกนโยบายและขนตอนการปฏบตงานตางๆ มาบงคบใช อยางไรกตาม หากวฒนธรรมและจรยธรรมของบคคลและองคกรไมเหมาะสม กระบวนการและขนตอนการรกษาความมนคงปลอดภยดานสารสนเทศกจะไรประสทธผล

มตตำงๆ ของปจจยเออใน COBIT 5ทกปจจยเออมมตทเหมอนกนอยชดหนง (ดรปภำพท 13) มตเหลาน• ชวยใหมวธทเหมอนกน เรยบงาย และเปนระบบในการจดการกบปจจยเออ• ชวยใหแตละหนวยงานสามารถบรหารจดการปฏสมพนธทซบซอนของตนได • ชวยใหปจจยเออทำางานไดผลสำาเรจ

รปภำพท 13—ปจจยเออท วไปใน COBIT 5

มตตำงๆ ของปจจยเออปจจยเออตางมมตทเหมอนกนอย 4 ดาน ไดแก • ผมสวนไดเสย—แตละปจจยเออมผมสวนไดเสย (ผทมบทบาทสำาคญหรอมผลประโยชนในปจจยเออนน) ยกตวอยาง

เชน กระบวนการมหนวยงานตางๆ ทดำาเนนกจกรรมของกระบวนการ และ/หรอทไดรบประโยชนจากผลลพธของกระบวนการนนๆ โครงสรางองคกรมผทมสวนไดเสยซงแตละคนกมบทบาทหนาทและผลประโยชนอนเปนสวนหนงของโครงสราง ผมสวนไดเสยอาจจะอยภายในหรออยภายนอกองคกรกได ผมสวนไดเสยตางกมผลประโยชนและความตองการของตนซงในบางครงอาจจะขดแยงกนเอง ความตองการของผมสวนไดเสยแปลงมาเปนเปาหมายขององคกร ซงเปาหมายนกจะถกแปลงมาเปนเปาหมายทเกยวของกบไอทสำาหรบองคกร รายละเอยดของผมสวนไดเสยแสดงอยใน รปภำพท 7

• เปำหมำย—แตละปจจยเออมเปาหมายจำานวนหนงและปจจยเออใหคณคาโดยการบรรลเปาหมายเหลานน เปาหมายเหลานอาจระบเปนลกษณะของ– ผลลพธทคาดหวงจากปจจยเออ– ระบบงานหรอปฏบตการของปจจยเออเอง

เปาหมายของปจจยเออเปนขนตอนสดทายของการสงทอดเปาหมายใน COBIT 5 เปาหมายสามารถแยกออกเปนกลมตางๆ ได ดงน

– คณภำพในตวเอง (intrinsic quality) ครอบคลมถงการทปจจยเออทำางานอยางถกตอง เทยงตรง และใหผลลพธท


บทท 5 หลกการท 4: เออใหวธปฏบตแบบองครวมสมฤทธผล

31

แมนยำา เทยงตรง และเชอถอได – คณภำพเชงบรบท (contextual quality) ครอบคลมถงการทปจจยเออและผลลพธเปนไปตามจดประสงคในบรบทท

ปจจยเออนนดำาเนนงานอย ยกตวอยางเชน ผลลพธควรจะเกยวเนอง สมบรณ เปนปจจบน เหมาะสม สมำาเสมอ เขาใจได งาย และใชงานงาย

– กำรเขำถงและกำรรกษำควำมม นคงปลอดภย ครอบคลมถงการทปจจยเออและผลลพธสามารถเขาถงไดและมความปลอดภย ยกตวอยางเชน • ปจจยเออมความพรอมใชเมอตองการ • มการรกษาความปลอดภยใหกบผลลพธ ไดแกการเขาถงผลลพธจำากดใหเฉพาะผทไดรบอนมตและจำาเปนตองใชเทานน

• วฏจกร—แตละปจจยเออมวฏจกรจากจดเรมตนผานชวงเวลาของการดำาเนนงาน/การใชประโยชนจนถงการจำาหนายออก วฏจกรนประยกตใชกบสารสนเทศ โครงสราง กระบวนการ นโยบาย และอนๆ วฏจกรประกอบดวยระยะตางๆ ของการดำาเนนงานดงน– การวางแผน (รวมถง การพฒนาและการคดเลอกแนวคด)– การออแบบ– การสราง/การจดซอจดหา/การจดทำา/การนำาไปใช – ใช/ดำาเนนการ– ประเมน/เฝาตดตาม– ปรบใหเปนปจจบน/จำาหนายออก

• แนวปฏบตท ด—เราสามารถกำาหนดแนวปฏบตทดสำาหรบปจจยเออแตละรายการได แนวปฏบตทดสนบสนนปจจยเออให บรรลถงเปาหมาย แนวปฏบตทดใหตวอยางหรอขอแนะนำาวาจะนำาปจจยเออไปใชงานอยางไรใหไดดทสด และชนงานหรอขอมลรบเขาและผลลพธอะไรบางทตองการ COBIT 5 ไดใหตวอยางของแนวปฏบตทดสำาหรบปจจยเออใน COBIT 5 เฉพาะบางรายการ (เชน กระบวนการ) สวนปจจยเอออนๆ ทเหลอสามารถใชแนวทางจากมาตรฐาน และกรอบการดำาเนนงานอนๆ ได

กำรบรหำรจดกำรประสทธภำพของปจจยเออองคกรคาดหวงทจะไดผลลพธในดานดจากระบบงานและการใชปจจยเออตางๆ ในการบรหารจดการประสทธภาพของปจจยเออจะตองเฝาตดตามคำาถามเหลานและหาคำาตอบจากมาตรวดอยางสมำาเสมอ • มการระบความตองการของผมสวนไดเสยหรอไม• บรรลเปาหมายของปจจยเออหรอไม• วฏจกรของปจจยเออไดรบการจดการหรอไม• มการประยกตใชแนวปฏบตทดหรอไม

คำาถามสองขอแรกเปนคำาถามเกยวกบผลทเกดขนจรงจากปจจยเออ มาตรวดทใชวดวาไดบรรลถงเปาหมายเพยงใดนน เรยกวา ‘ดชนตาม’ (lag indicators)

คำาถามสองขอหลงเปนคำาถามเกยวกบการทำางานจรงของปจจยเออ และมาตรวดทใชจะเรยกวา ‘ดชนชนำา’ (lead indicators)


32

ตวอยำงของปจจยเออในทำงปฏบต ตวอยางท 5 แสดงถงปจจยเออ การเชอมตอระหวางกน และมตตางๆ ของปจจยเออ และการใชส งเหลานใหเกดประโยชนในทางปฏบต

ตวอยำงท 5—ปจจยเออองคกรไดแตงตง ”ผจดการกระบวนการ” สำาหรบกระบวนการทเกยวของกบไอทเพอรบผดชอบในการจดวางและดำาเนนกระบวนการตางๆ ทเกยวของกบไอทใหมประสทธภาพและประสทธผล ภายใตบรบทของการกำากบดแลและการบรหารจดการไอทระดบองคกร

เรมตน ผจดการกระบวนการจะมงไปทปจจยเออดานกระบวนการ โดยพจารณาถงมตตางๆของปจจยเออดงน • ผมสวนไดเสย: ผมสวนไดเสยในกระบวนการ รวมถงผปฏบตงานทงหมดในกระบวนการ ไดแก ทกฝายทรบผดชอบตามหนาท

(Responsible) รบผดชอบในผลงาน (Accountable) ใหคำาปรกษา (Consulted) หรอไดรบแจงใหทราบ(Informed) (ตาราง RACI) สำาหรบหรอระหวางการดำาเนนกจกรรมของกระบวนการ เราสามารถนำาตาราง RACI ทไดอธบายไวใน COBIT 5 : การสมฤทธผลของกระบวนการ (COBIT 5: Enabling Processes) มาใชงานได

• เปำหมำย: แตละกระบวนการตองมการกำาหนดเปาหมายและมาตรวดทเหมาะสม ยกตวอยางเชน กระบวนการบรหารจดการความสมพนธ (กระบวนการ APO08 ใน COBIT 5 : การสมฤทธผลของกระบวนการ (COBIT 5: Enabling Processes) ) เราสามารถอางถงชดของเปาหมายและมาตรวดดงน – เปำหมำย: ทำาความเขาใจถงกลยทธทางธรกจ แผนงาน และความตองการ เปนอยางด จดทำาเปนลายลกษณอกษร และได

รบอนมต • มำตรวด: รอยละของชดโครงการ (programme) ทสอดคลองกบความตองการทางธรกจหรอลำาดบความสำาคญของ

องคกร – เปำหมำย: มความสมพนธทดระหวางองคกรกบหนวยงานดานไอท

• มำตรวด: คะแนนจากผลการสำารวจความพงพอใจของผใชงานและบคลากรดานไอท• วฏจกร: แตละกระบวนการมวฏจกรในการดำาเนนงาน ไดแก กระบวนการไดรบการสรางขน ดำาเนนการและเฝาตด

ตาม และปรบปรงแกไขเมอจำาเปน แตในทสดกระบวนการนนกจะถกยกเลกไป ดวยวฏจกรน ผจดการกระบวนการจะตองออกแบบและกำาหนดใหมกระบวนการขนมาเปนอยางแรก โดยสามารถใชองคประกอบตางๆ ทมระบไวใน COBIT 5 : การสมฤทธผลของกระบวนการ (COBIT 5: Enabling Processes) เพอใชในการออกแบบกระบวนการ ไดแก เพอกำาหนดหนาทความรบผดชอบ และเพอแตกกระบวนการใหยอยลงมาเปนแนวปฏบตและกจกรรมตางๆ พรอมทงระบช นงานของกระบวนการ (ขอมลรบเขาและผลลพธ) ในขนตอมา จะตองทำาใหกระบวนการมความทนทานและมประสทธภาพ และดวยจดประสงคน ผ จดการกระบวนการสามารถเพมระดบขดความสามารถของกระบวนการ โดยการนำาตนแบบการวดระดบความสามารถของกระบวนการ (Process Capability Model) และคณลกษณะความสามารถของกระบวนการใน COBIT 5 ซงไดแรงบนดาลใจจาก ISO/IEC 15504 มาใชเพอการน

• แนวปฏบตท ด: COBIT 5 อธบายถงรายละเอยดของแนวปฏบตทดสำาหรบกระบวนการไวใน COBIT 5 : การสมฤทธผลของกระบวนการ (COBIT 5: Enabling Processes) ดงทไดกลาวไวแลวในหวขอกอนหนาน โดยทมาและตวอยางของกระบวนการสามารถหาดไดจากเอกสารดงกลาว ซงครอบคลมถงกจกรรมทหลากหลายอยางครบถวนทจำาเปนสำาหรบการกำากบดแลและการบรหารจดการไอทระดบองคกรทด

นอกจากแนวทางของปจจยเออดานกระบวนการแลว ผจดการกระบวนการยงสามารถพจารณาปจจยเอออนๆ ไดอกดวย อาทเชน• ตาราง RACI ซงอธบายถงบทบาทหนาทและความรบผดชอบ ปจจยเอออนๆ ชวยใหเราสามารถลงไปในรายละเอยดของมตน

ได เชน– ในปจจยเออดานทกษะและความสามารถ เราสามารถกำาหนดทกษะและความสามารถสำาหรบแตละบทบาทหนาท พรอมทง

กำาหนดเปาหมายทเหมาะสม (เชน ระดบของทกษะดานเทคนคและดานพฤตกรรม) และมาตรวดทเกยวของ– ตาราง RACI ยงไดแสดงถงโครงสรางองคจำานวนหนง ซงปจจยเออดานโครงสรางการจดองคกรสามารถอธบายรายละเอยด

เพมเตมเกยวกบโครงสรางเหลาน ไมวาจะเปนคำาอธบายในรายละเอยด ผลลพธทคาดหวง และมาตรวดทเกยวของ (เชน การตดสนใจ) ตลอดจนการสามารถกำาหนดแนวปฏบตทด (เชน ชวงการควบคม (span of control) หลกการปฏบตงานของโครงสราง ระดบของอำานาจหนาท)

• หลกการและนโยบาย จะทำาใหกระบวนการมลกษณะทเปนทางการและใชอธบายวาทำาไมถงตองมกระบวนการน ใชกบใครและใชอยางไร สงเหลานเปนจดทปจจยเออดานหลกการและนโยบายจะเนนถง

ในภาคผนวก G ไดกลาวถงปจจยเออ 7 ประเภทไวอยางละเอยด จงควรอานภาคผนวก G เพอทำาความเขาใจปจจยเออใหดขน และเขาใจถงประโยชนวามมากนอยเพยงใดตอการกำากบดแลและบรหารจดการไอทระดบองคกร


บทท 6 หลกการท 5: ความแตกตางระหวางการก�ากบดแลและการบรหารจดการ

33

บทท 6หลกการท 5: ความแตกตางระหวางการกำากบดแลและการบรหารจดการกำรก�ำกบดแลและกำรบรหำรจดกำร

กรอบการดำาเนนงาน COBIT 5 ชใหเหนถงความแตกตางอยางชดเจนระหวาง การกำากบดแลและการบรหารจดการ หลกการทงสองนนำาไปสประเภทของกจกรรมทแตกตางกน มความตองการการจดโครงสรางองคกรทแตกตางกน และใช สำาหรบจดประสงคทแตกตางกน ความแตกตางทสำาคญระหวางการกำากบดแลและการบรหารจดการตามมมมองของ COBIT 5 คอ• กำรก�ำกบดแล (Governance)

กำรก�ำกบดแล มเพอใหม นใจไดวำ มกำรประเมนควำมตองกำร เง อนไข และทำงเลอกของผมสวนไดเสย เพอก�ำหนดควำมสมดลและควำมเหนชอบรวมกนในวตถประสงคระดบองคกรทตองกำรบรรล เพอก�ำหนดทศทำงผำนกำรจดล�ำดบควำมส�ำคญและกำรตดสนใจ และเพอกำรเฝำตดตำมประสทธภำพในกำรท�ำงำนและกำรปฏบตตำมกฏระเบยบขอบงคบใหเปนไปตำมทศทำงและวตถประสงคทมกำรตกลงรวมกน

ในองคกรสวนใหญ คณะกรรมการบรหารเปนผรบผดชอบในการกำากบดแล โดยมประธานบรษทเปนผนำา

• กำรบรหำรจดกำร

ผบรหำรวำงแผน สรำง ด�ำเนนงำน และเฝำตดตำมกจกรรมตำงๆ ใหสอดคลองกบทศทำงทก�ำหนดโดยหนวยงำนก�ำกบดแล (governance body) เพอใหบรรลวตถประสงคขององคกร

ในองคกรสวนใหญ ผบรหารระดบสงเปนผรบผดชอบในการบรหารจดการ โดยมประธานเจาหนาทบรหารเปนผนำา

ควำมสมพนธระหวำงกำรก�ำกบดแลและกำรบรหำรจดกำรจากคำานยามของการกำากบดแลและการบรหารจดการ เหนไดชดเจนวาทงสองอยางนประกอบดวยประเภทของกจกรรมทแตกตางกน มหนาทความรบผดชอบทตางกน อยางไรกตาม ในบทบาทของการกำากบดแล–เพอการประเมน สงการ และเฝาตดตาม–จำาเปนตองมปฏสมพนธกนระหวางการกำากบดแลและการบรหารจดการ เพอใหเกดประสทธภาพและประสทธผลในระบบการกำากบดแล ภาพรวมของปฏสมพนธตามโครงสรางของปจจยเออแสดงไวในรปภำพท 14

รปภำพท 14—COBIT 5 ควำมสมพนธระหวำงกำรก�ำกบดแลและกำรบรหำรจดกำรปจจยเออ ปฏสมพนธระหวางการกำากบดแลและการบรหารจดการ

กระบวนการ ในการแสดงถงตนแบบของกระบวนการใน COBIT 5 (COBIT 5 : การสมฤทธผลของกระบวนการ) มความแตกตางระหวางกระบวนการสำาหรบการกำากบดแลและกระบวนการบรหารจดการ ซงรวมถงแนวปฏบตและกจกรรมตางๆ สำาหรบแตละกระบวนการ ตนแบบของกระบวนการน ยงไดรวมเอาตาราง RACI ซงอธบายถงความรบผดชอบสำาหรบตำาแหนงงานและบทบาทหนาทตางๆ ภายในองคกร

สารสนเทศ ตนแบบของกระบวนการอธบายถง การรบขอมลและการสงผลลพธจากแนวปฏบตของกระบวนการหนงไปยงกระบวนการอนๆ ซงรวมถงการแลกเปลยนสารสนเทศกนระหวางกระบวนการของการกำากบดแลและการบรหารจดการดวย สารสนเทศทใชสำาหรบการประเมน การสงการ และการเฝาตดตามไอทระดบองคกร ไดมการแลกเปลยนกนระหวางการกำากบดแลและการบรหารจดการ ดงทอธบายไวในการรบขอมลและการสงผลลพธทอยภายใตตนแบบของกระบวนการ

โครงสรางองคกร โครงสรางองคกรตางๆ ไดถกกำาหนดขนสำาหรบแตละองคกร โครงสรางองคกรหนงๆ อาจอยในสวนของการกำากบดแลหรอของของการบรหารจดการกได ขนอยกบองคประกอบและขอบเขตในการตดสนใจนนๆ เนองจากการกำากบดแลเปนเรองเกยวกบการกำาหนดทศทาง ปฏสมพนธจงเกดขนระหวางการตดสนใจทเกดขนจากโครงสรางในสวนของการกำากบดแล (ยกตวอยางเชน การตดสนใจเกยวกบกลมของการลงทน (investment portfolio) การกำาหนดความเสยงทยอมรบได) และ การนำาผลการตดสนใจไปปฏบต

หลกการ นโยบาย และ กรอบการดำาเนนงาน

หลกการ นโยบาย และกรอบการดำาเนนงาน เปนสงทนำาไปสการตดสนใจดานการกำากบดแลใหเกดขนภายในองคกร และดวยเหตผลนจงเกดปฏสมพนธระหวางการตดสนใจดานการกำากบดแล (การกำาหนดทศทาง) และการบรหารจดการ (การปฏบตตามการตดสนใจ)

วฒนธรรม จรยธรรมและพฤตกรรม

พฤตกรรม เปนหนงในปจจยเออหลกสำาหรบการบรหารจดการและการกำากบดแลทดขององคกร ซงกำาหนดขนโดยผบรหารระดบสงดวยการปฏบตใหเหนเปนตวอยาง ดงนนพฤตกรรมจงเปนปฏสมพนธทสมพนธระหวางการกำากบดแลและการบรหารจดการ

บคลากร ทกษะ และความสามารถ

กจกรรมตางๆ ในการกำากบดแลและการบรหารจดการตองการกลมของทกษะตางๆ ทแตกตางกน แตทกษะทจำาเปนสำาหรบสมาชกในหนวยงานกำากบดแลและผบรหาร คอการเขาใจภารกจของทงสองดานและเขาใจถงความแตกตางระหวางกน

บรการ โครงสรางพนฐาน และ ระบบงาน

เราตองการบรการซงสนบสนนโดยระบบงานและโครงสรางพนฐาน เพอใหสารสนเทศทเหมาะสมกบหนวยงานกำากบดแล และเพอสนบสนนกจกรรมการกำากบดแลทรวมถงการประเมน การกำาหนดทศทาง และการเฝาตดตาม


34

5 ในบรบทของโดเมนการกำากบดแล คำาวา ”เฝาตดตาม” หมายถง กจกรรมตางๆ ททำาใหหนวยงานกำากบดแลทราบไดวาผบรหารไดดำาเนนงานไปจรงตามทศทางทไดกำาหนดไวใหมากนอยเพยงใด

ตนแบบอำงองของกระบวนกำรใน COBIT 5COBIT 5 ไมไดเปนกฎตายตว แตสนบสนนใหองคกรนำากระบวนการทางดานการกำากบดแลและการบรหารจดการไปใชงานใหครอบคลมถงจดตางๆ ทสำาคญตามทแสดงไวในรปภำพท 15

รปภำพท 15—จดส�ำคญในกำรก�ำกบดแลและกำรบรหำรจดกำรของ COBIT 5

องคกรสามารถจดใหมกระบวนการตางๆ ทเหนวาเหมาะสม ตราบใดทครอบคลมถงวตถประสงคทจำาเปนสำาหรบการกำากบดแลและการบรหารจดการ ทงน การบรรลถงวตถประสงคเดยวกน องคกรขนาดเลกอาจใชเพยงไมกกระบวนการ แตในองคกรขนาดใหญและมความซบซอนอาจจำาเปนตองมกระบวนการทมากกวา

COBIT 5 ประกอบดวย ตนแบบอางองของกระบวนการทระบและอธบายถงรายละเอยดของกระบวนการสำาหรบการกำากบดแลและการบรหารจดการ โดยแสดงถงกระบวนการทงหมดซงปกตมกจะพบไดในองคกรหนงๆ ในสวนทเกยวกบกจกรรมทางไอท และใหตนแบบอางองทสามารถใชรวมกนได ในลกษณะทเขาใจงายสำาหรบผจดการทงดานปฏบตการไอทและดานธรกจ ตนแบบของกระบวนการทนำาเสนอนเปนตนแบบทมความสมบรณและครอบคลม แตกไมไดเปนตนแบบของกระบวนการเพยงอนเดยวทใชได องคกรแตละแหงจะตองกำาหนดกลมของกระบวนการของตนขนมาใชใหเหมาะสมกบในแตละสถานการณ

การผนวกรวมรปแบบในการดำาเนนธรกจ (Operational model) และการใชภาษาสามญเขาไปไวในทกภาคสวนในองคกรทมสวนรวมในกจกรรมทางดานไอทเปนกาวสำาคญและจำาเปนทจะนำาไปสการกำากบดแลทด โดยใหกรอบการดำาเนนงานสำาหรบการวดผลและการเฝาตดตามประสทธภาพในการทำางานดานไอท การใหความเชอมนทางดานไอท การสอสารกบผใหบรการ และการบรณาการแนวปฏบตทดดานการบรหารจดการ

ตนแบบอางองของกระบวนการใน COBIT 5 แยกการกำากบดแลและการบรหารจดการไอทระดบองคกรออกเปนสองสวนทสำาคญ• กำรก�ำกบดแล ประกอบดวย กระบวนการกำากบดแล 5 กระบวนการ ในแตละกระบวนการไดมการระบแนวปฏบตสำาหรบ

ประเมน (Evaluate) การสงการ (Direct) และการเฝาตดตาม (Monitor) (EDM)5 เอาไว • กำรบรหำรจดกำร ประกอบดวย 4 โดเมนทสอดคลองกบความรบผดชอบในการวางแผน (Plan) สราง (Build)

ดำาเนนการ (Run) และเฝาตดตาม (Monitor) (PBRM) และครอบคลมไอทอยางครบวงจร โดเมนเหลานมววฒนาการมาจากโดเมนและโครงสรางของกระบวนการใน COBIT 4.1 ชอของโดเมนไดตงใหสอดคลองกบงานหลกทเกยวของ ซงไดมการเพมคำากรยาเขาไปเปนคำาอธบายเพมเตม ดงน– จดวางแนว (Align) จดทำาแผน (Plan) และจดระบบ (Organise) (APO)– จดสราง (Build) จดหา (Acquire) และนำาไปใช (Implement) (BAI)– สงมอบ (Deliver) ใหบรการ (Service) และสนบสนน (Support) (DSS))– เฝาตดตาม (Monitor) วดผล (Evaluate) และประเมน (Assess) (MEA)


บทท 6 หลกการท 5: ความแตกตางระหวางการก�ากบดแลและการบรหารจดการ

35

แตละโดเมนประกอบดวยกระบวนการตางๆ ทงน ตามทไดอธบายไปแลวกอนหนาน แมวากระบวนการสวนใหญตางกมกจกรรมในการ ‘วางแผน’ ‘นำาไปใช’ ‘ปฏบตการ’ และ ‘เฝาตดตาม’ ภายในกระบวนการนนๆ หรอภายใตประเดนปญหาเฉพาะทางทไดรบการหยบยกขนมา (อาทเชน ดานคณภาพ ดานความมนคงปลอดภย เปนตน) แตกจกรรมตางๆ เหลานนถกจดเขาไปไวในแตละโดเมนตามความเกยวเนองโดยสวนใหญของกจกรรมในแตละดาน ตามมมมองของไอทในระดบองคกร

ตนแบบอางองของกระบวนการใน COBIT 5 พฒนาตอจากตนแบบของกระบวนการใน COBIT 4.1 และไดบรณาการเอาตนแบบกระบวนการใน Risk IT และ Val IT เขาไปไวดวย

รปภำพท 16 แสดงภาพทครบชดของกระบวนการสำาหรบการกำากบดแลและการบรหารจดการ 37 กระบวนการใน COBIT 5 รายละเอยดของกระบวนการทงหมดตามทกลาวไวขางตนจะไดรวบรวมไวในเอกสาร COBIT 5: การสมฤทธผลของกระบวนการ.

รปภำพท 16—ตนแบบอำงองของกระบวนกำรใน COBIT 5


36



บทท 7 แนวทางในการน�าไปใชงาน

37

บทท 7แนวทางในการนำาไปใชงานบทน�ำคณคาทเหมาะสมทสดจะสามารถเกดขนไดดวยการใชประโยชนจาก COBIT โดยจะตองรบมาและปรบใชอยางมประสทธผลใหเหมาะสมกบสภาพแวดลอมทแตกตางกนของแตละองคกรเทานน วธปฏบตสำาหรบการนำาไปใชงานแตละวธจำาเปนตองสามารถจดการกบเรองทาทาย และรวมถงการบรหารการเปลยนแปลงดานวฒนธรรมและพฤตกรรมอกดวย

ISACA ไดใหแนวทางสำาหรบการนำาไปใชงาน (implementation guideline) ทครอบคลมและสามารถนำาไปปฏบตไดจรงในเอกสารฉบบทช อวา การนำา COBIT 5 ไปใชงาน (COBIT 5 Implementation)6 ซงตงอยบนพนฐานของวฏจกรการปรบปรงอยางตอเนอง ทงน เอกสารฉบบนไมไดจดทำาขนเพอเปนวธปฏบตทตายตวหรอเปนกระบวนการแกไขปญหาแบบเบดเสรจทสมบรณ แตออกแบบมาเพอเปนแนวทางในการหลกเลยงการเผชญกบอนตรายแอบแฝงทมกจะพบอยเปนปกต เพอใช ประโยชนจากแนวปฏบตทด และเพอชวยใหเกดผลสำาเรจ แนวทางเหลานไดรบการสนบสนนจากชดคมอพรอมใชสำาหรบการนำาไปใชงาน (implementation tool kit) อนประกอบดวยทรพยากรตางๆ ทจะไดรบการพฒนาใหดข นอยางตอเนอง ประกอบดวย• การประเมนตนเอง การวดผล และเครองมอในการวเคราะห• การนำาเสนอทพงเปาไปถงผรบสารทหลากหลาย• บทความตางๆ ทเกยวของ และคำาอธบายเพมเตม

วตถประสงคของบทน ไดแกการแนะนำาภาพรวมสำาหรบวฏจกรของการนำาไปใชและการปรบปรงอยางตอเนอง และเนนหวขอทสำาคญจำานวนหนงจากเอกสารการนำา COBIT 5 ไปใชงาน เชน• การจดทำาเหตผลทางธรกจเพอสนบสนนการนำาการกำากบดแลและการบรหารจดการดานไอทไปใชและการปรบปรงใหดข น• การรบรถงจดทมปญหา (pain point) และเหตการณจดชนวน (trigger events)• การสรางสภาพแวดลอมทเหมาะสมสำาหรบการนำาไปใชงาน• ใชประโยชนจาก COBIT ในการระบถงชองวางและแนวทางการพฒนาปจจยเออ อาทเชน นโยบาย กระบวนการหลกการ

โครงสรางองคกร บทบาทและหนาทความรบผดชอบ

ขอควรพจำรณำในบรบทขององคกรการกำากบดแลและการบรหารจดการไอทระดบองคกรไมไดเกดขนจากสญญากาศ ทกองคกรตองออกแบบแผนการนำาไปใช หรอแผนการทำางานเพอใหบรรลเปาหมาย (Road map) ทสอดคลองกบปจจยทเปนสภาพแวดลอมเฉพาะขององคกรทงภายในและภายนอก ยกตวอยางเชน• จรยธรรมและวฒนธรรม• กฎหมายทเกยวของ ระเบยบขอบงคบ และนโยบาย• ภารกจ วสยทศน และคณคา• นโยบายและแนวปฏบตดานการกำากบดแล • แผนธรกจและกลยทธทตงไว • ตนแบบสำาหรบปฏบตงานและระดบวฒภาวะ• รปแบบ (Style) ในการบรหารจดการ• ความเสยงทยอมรบได • ความสามารถและความพรอมของทรพยากร• แนวปฏบตเฉพาะประเภทธรกจ

สงทสำาคญไมยงหยอนกวากนคอ การใชประโยชนจากปจจยเออและสรางปจจยเออเพมจากทมอยแลวสำาหรบการกำากบดแลในระดบองคกร

วธปฏบตทเหมาะสมอาจแตกตางกนไปในแตละองคกรสำาหรบการกำากบดแลและบรหารจดการไอทระดบองคกร ซงจะตองทำาความเขาใจและพจารณาถงสภาพแวดลอมกอนทจะรบ COBIT มาปรบใชใหมประสทธผลในการนำาปจจยเออมาไปใชงานสำาหรบการกำากบดแลและการบรหารจดการไอทระดบองคกร COBIT มกอางถงกรอบการดำาเนนงาน แนวปฏบตทด และมาตรฐานอนๆ ดวย สงเหลานกจะตองนำามาประยกตใหเขากบความตองการเฉพาะองคกรเชนกน

ปจจยหลกสความสำาเรจทจะชวยใหการนำาไปใชงานประสบผลสำาเรจประกอบดวย• ผบรหารระดบสงเปนผใหทศทางและสงการสำาหรบการรเรมดำาเนนงาน (initiatives) พรอมกบใหคำามน

และการสนบสนนทตอเนองอยางชดเจน • ทกภาคสวนทสนบสนนกระบวนการกำากบดแลและบรหารจดการ มความเขาใจในวตถประสงคทงทางดานธรกจและดาน

ไอท

6 www.isaca.org/cobit


38

• ทำาใหแนใจไดวามการสอสารทมประสทธผลและสามารถทำาใหเกดการเปลยนแปลงทจำาเปน• ปรบใช COBIT และแนวปฏบตทดและมาตรฐานทสนบสนนอนๆ ใหเหมาะสมกบบรบทเฉพาะขององคกร• มงเนนการแกปญหาททำาไดเรว (Quick win) และใหความสำาคญในลำาดบตนสำาหรบการปรบปรงทใหประโยชนสงสดซง

สามารถนำาไปใชงานจรงไดงาย

กำรสรำงสภำพแวดลอมทเหมำะสม เปนสงสำาคญสำาหรบการรเรมดำาเนนการเพอการนำาไปใชโดยใชประโยชนจาก COBIT ทจะตองมการกำากบดแลอยางถกตองและบรหารจดการอยางเหมาะสม การรเรมดำาเนนการ (initiatives) ทเกยวของกบไอททสำาคญ มกประสบความลมเหลวเนองจากไมไดกำาหนดทศทางทเหมาะสม ขาดการสนบสนนและดแลจากผมสวนไดเสยตางๆ การจดใหมการกำากบดแลและการบรหารจดการสำาหรบปจจยเออทางดานไอทโดยใชประโยชนจาก COBIT กเชนเดยวกน การสนบสนนและการใหทศทางจากผมสวนไดเสยหลกเปนเรองจำาเปนเพอใหการปรบปรงไดรบมาใชอยางยงยน ยงในสภาพแวดลอมขององคกรทออนแอ (เชน รปแบบการดำาเนนงานไมชดเจน หรอขาดปจจยเออดานการกำากบดแลระดบองคกรทชดเจน) การสนบสนบสนนและการมสวนรวมจากผมสวนไดเสยกยงมความสำาคญมากขน

ปจจยเออทใชประโยชนจาก COBIT ควรจะใหกระบวนการแกปญหาแบบเบดเสรจ (solution) ทสามารถจะจดการกบความตองการและประเดนปญหาของธรกจไดอยางแทจรงมากกวาทจะใช COBIT เปนผลลพธสดทาย ควรมการระบถงความตองการทมาจากจดทมปญหา(pain point) และปจจยขบเคลอน (driver) ซงฝายบรหารยอมรบวาเปนจดทจำาเปนตองจดการ การตรวจสอบสถานะในภาพรวม (high level health check) การวนจฉย หรอการประเมนความสามารถตาม COBIT เปนเครองมอทดในการสรางความตระหนก นำาไปสความเหนชอบรวมกน และกอใหเกดการใหคำามนทจะดำาเนนการ ผมสวนไดเสยทเกยวของควรใหคำามนและความเหนชอบตงแตเรมตน ซงในการทจะบรรลถงสงเหลาน จะตองกำาหนดวตถประสงคของการนำาไปใชงานและผลประโยชนทตองการอยางชดเจนในมมมองทางธรกจ และสรปไวเปนหวขอหนงในเหตผลทางธรกจ

เมอไดรบคำามนแลว ควรจดสรรทรพยากรทจำาเปนเพอสนบสนนชดโครงการตางๆ (programme) และควรกำาหนดและมอบหมายบทบาทหนาทและความรบผดชอบทเปนหลกสำาหรบชดโครงการ ควรใหความใสใจอยางตอเนองทจะรกษาคำามนจากผมสวนไดเสยทไดรบผลกระทบ

ควรจดทำาและดแลรกษาโครงสรางและกระบวนการทเหมาะสมในการควบคมดแลและกำาหนดทศทาง โครงสรางและกระบวนการเหลานควรจะใหความมนใจไดวา วธปฏบตในการกำากบดแลและการบรหารจดการความเสยงทวทงองคกรเปนไปในทศทางทสอดคลองกนอยเสมอ

ผมสวนไดเสยหลก เชน คณะกรรมการบรหาร และผบรหารระดบสง จะตองใหการสนบสนนและใหคำามนทเหนไดอยางชดเจน เพอกำาหนดเปนแนวทางจากผบรหารระดบสง และเพอใหมนใจวาจะไดรบคำามนจากเจาหนาทในทกระดบสำาหรบการดำาเนนงานตามชดโครงการตางๆ

กำรรบรจดทมปญหำและเหตกำรณจดชนวน มปจจยจำานวนมากทอาจจะชใหเหนถงความจำาเปนทจะตองปรบปรงการกำากบดแลและการบรหารจดการไอทระดบองคกร

จากการใชจดทมปญหาและเหตการณจดชนวนใหเปนจดเรมตนในการรเรมดำาเนนการเพอการนำาไปใช จะทำาใหเหตผลทางธรกจทใชสนบสนนการปรบปรงการกำากบดแลและการบรหารจดการไอทระดบองคกรสามารถเชอมโยงไดกบประเดนปญหาทประสบอยจรงในการปฏบตงานประจำาวน โดยจะชวยใหเกดการยอมรบไดดข นและทำาใหคนในองคกรรสกถงความจำาเปนทจะตองเรงรบเรมตนการนำาไปใช นอกจากน ยงชวยใหสามารถระบไดถงการแกปญหาททำาไดเรวและสามารถแสดงถงมลคาเพมในจดเหลานนใหเหนและรบรไดอยางชดเจนทสดในองคกร สงเหลานจะเปนพนฐานในการนำาเสนอการเปลยนแปลงเพมเตมตอไป และสามารถชวยใหไดรบคำามนและการสนบสนนจากผบรหารอาวโสในวงกวาง

ตวอยางของจดทมปญหาทมกเกดขน ทการสรางหรอปรบปรงการกำากบดแลและการบรหารจดการปจจยเออดานไอทอาจสามารถใชเปนกระบวนการแกปญหาแบบเบดเสรจ (หรอบางสวน) สำาหรบจดทมปญหาดงกลาวได ตามทระบไวใน การนำา COBIT 5 ไปใชงาน ไดแก• ความไมพอใจตอการรเรมดำาเนนการทลมเหลว ตนทนดานไอททสงขน และความรสกวาคณคาของธรกจลดลง• เหตการณทมนยสำาคญเกยวกบความเสยงดานไอท เชน ขอมลสญหาย หรอ โครงการลมเหลว• ปญหาการสงมอบผลงานจากผใหบรการภายนอก เชน ความลมเหลวในการใหบรการตามระดบทตกลงกนไว อยางตอเนอง• ความลมเหลวทจะปฏบตตามขอกำาหนดของกฎระเบยบขอบงคบและสญญา• ไอทจำากดความคดสรางสรรคและความคลองตวในการดำาเนนธรกจขององคกร• มประเดนทพบจากการตรวจสอบอยเปนประจำา เกยวกบปญหาประสทธภาพดานไอท หรอ รายงานเกยวกบปญหาคณภาพ

ของการใหบรการดานไอท• มคาใชการจายดานไอททปดบงไว หรอใชในทางทไมถกตอง• มการทบซอนหรอซำาซอนกนระหวางการรเรมดำาเนนการกบการสญเสยทรพยากร เชน การยกเลกโครงการกอนกำาหนด

ทรพยากรดานไอทไมเพยงพอ บคลากรขาดทกษะทเหมาะสม หรอบคลากรเหนอยลา/ไมพอใจ



39

• การเปลยนแปลงทมไอทเปนปจจยเออ ไมสามารถบรรลถงความตองการทางธรกจ และสงมอบลาชาหรอเกนงบประมาณ• กรรมการบรหาร ผบรหารระดบสง หรอผจดการอาวโสไมเตมใจทจะมสวนรวมในไอทหรอขาดผใหการสนบสนนจากภาค

ธรกจทจะใหคำามน (Commitment) และมความพอใจกบบรการ• ตนแบบสำาหรบการปฏบตงานดานไอทมความซบซอน

นอกจากจดทมปญหาขางตนแลว เหตการณอนๆ ในสภาพแวดลอมทงภายในและภายนอกองคกรกสามารถสงสญญาณ หรอกระตนใหองคกรหนมาใหความสนใจกบการกำากบดแลและการบรหารจดการดานไอทได ตวอยางจากบทท 3 ของเอกสาร การนำา COBIT 5 ไปใชงาน ( COBIT 5 implementation) ประกอบดวย• การควบรวมกจการ การซอกจการ และการขายกจการ• การเปลยนแปลงในการตลาด เศรษฐกจ และการแขงขน• การเปลยนแปลงในตนแบบการปฏบตงานทางธรกจเปน รปแบบการดำาเนนธรกจตลอดจนวธหรอแหลงทใชในการจดซอ

จดหา (sourcing arrangement)• กฏระเบยบขอบงคบหรอขอกำาหนดทตองปฏบตตามทออกมาใหม • การเปลยนแปลงดานไอททมนยสำาคญ หรอการปรบเปลยนกระบวนทศน (Paradigm Shift) • การใหความสนใจเปนพเศษกบการกำากบดแลทวทงองคกรหรอโครงการดานการกำากบดแลทวทงองคกร • การเปลยนประธานเจาหนาทบรหาร (CEO) ผบรหารสงสดดานการเงน (CFO) ผบรหารสงสดดานสารสนเทศ (CIO) หรอผ

บรหารคนอนๆ • การประเมนจากผตรวจสอบภายนอก หรอทปรกษา• แผนกลยทธหรอการจดลำาดบความสำาคญใหมของธรกจ

กำรเออใหเกดกำรเปลยนแปลง การนำาไปใชจะประสบความสำาเรจไดกข นอยกบการทำาใหเกดการเปลยนแปลงทเหมาะสมอยางถกวธ (ปจจยเออดานการกำากบดแลและการบรหารจดการทเหมาะสม) ในหลายองคกรไดมงเนนไปทมมมองแรก—แกนของการกำากบดแลและการบรหารจดการดานไอท—เปนสำาคญ แตกลบละเลยมมมองของการบรหารจดการบคคลากร พฤตกรรม และวฒนธรรมสำาหรบการเปลยนแปลง และการจงใจใหผมสวนไดเสยยอมรบการเปลยนแปลง

เราไมควรทจะอปมานวา ผมสวนไดสวนเสยตางๆ ทมสวนรวมหรอไดรบผลกระทบจากปจจยเออทเกดขนใหมหรอทไดรบการปรบปรงจะพรอมยอมรบกบการเปลยนแปลงและรบมาใช โอกาสทจะละเลย และ/หรอตอตานการเปลยนแปลง จะตองไดรบการจดการดวยวธปฏบตทเปนแบบแผนและเชงรก (proactive) นอกจากน การรบรถงความเปนไปตางๆ ในชดโครงการสำาหรบการนำาไปใชในระดบทเหมาะสมสามารถเกดขนไดจากแผนการสอสารทระบถงสงทจะตองสอสาร วธการสอสาร และผ ทจะไดรบการสอสาร ตลอดระยะตางๆ ของชดโครงการ

การปรบปรงอยางยงยนสามารถบรรลได 2 ทาง ทางหนงคอการไดมาซงคำามนจากผมสวนไดเสย (ความพยายามในการทจะชนะใจ ในการไดเวลาจากผนำา และในการสอสารและตอบสนองตอผปฏบตงาน) หรออกทางหนงหากยงจำาเปน คอการบงคบใหปฏบตตาม (ความพยายามในกระบวนการทจะบรหารจดการ เฝาตดตาม และบงคบใช) พดอกนยหนงคอ ตองเอาชนะอปสรรคดานบคคลากร พฤตกรรม และวฒนธรรม เพอใหเกดความเหนพองตองกนในการรบการเปลยนแปลงมาใชอยางเหมาะสม ปลกฝงความพยายามทจะรบการเปลยนแปลงมาใช และใหแนใจถงความสามารถในการรบการเปลยนแปลงมาใช


40

วธปฏบตแบบวฏจกร (a life cycle approach)วฏจกรของการนำาไปใชงาน ใหแนวทางสำาหรบองคกรในการใช COBIT ทจะจดการกบความซบซอนและความทายทายทจะเผชญในระหวางการนำาไปใชงาน มองคประกอบของวงจรชวตทสมพนธกน 3 สวนคอ1. แกนของวฏจกรทปรบปรงใหดข นอยางตอเนอง – ไมใชแคโครงการทเกดขนแลวจบ 2. เออใหเกดการเปลยนแปลง – เนนทมมมองดานพฤตกรรมและวฒนธรรม3. การบรหารจดการชดโครงการ (programme)

ดงทไดอธบายไปแลว การมสภาพแวดลอมทเหมาะสมจะชวยใหมนใจวา การรเรมดำาเนนการเพอการนำาไปใชหรอเพอการปรบปรงจะประสบความสำาเรจ วฏจกรทแบงออกเปน 7 ระยะไดแสดงไวในรปภำพท 17

รปภำพท 17—วฎจกรกำรน�ำไปใช 7 ระยะ

ระยะท 1 เรมตนจากการตระหนกและเหนพองตองกนถงความจำาเปนของการรเรมดำาเนนการเพอการนำาไปใชหรอเพอการปรบปรง ซงระบถงจดทมปญหาและตวจดชนวน (trigger) ในปจจบน และการสรางความปรารถนาทจะทำาใหเกดการเปลยนแปลงในกลมผบรหารระดบสง

ระยะท 2 มงไปทการระบถงขอบเขตของการรเรมดำาเนนการเพอการนำาไปใชหรอเพอการปรบปรงจะประสบความสำาเรจ โดยใชการเทยบเปาหมายในระดบองคกร กบเปาหมายทเกยวของกบไอท และกบกระบวนการทางไอททเกยวของของ COBIT 5 และพจารณาวาความเสยงในสถานการณตางๆ (risk scenarios) จะชวยใหสามารถระบถงกระบวนการหลกทควรใหความสนใจ การวนจฉยในภาพรวมยงมประโยชนในการกำาหนดขอบเขตและเขาใจถงเรองทมความสำาคญเรงดวนทจะตองใหความสนใจ จากนนจะประเมนภาวะปจจบนและระบถงประเดนปญหาหรอขอบกพรองโดยกระบวนการประเมนความสามารถ การรเรมดำาเนนการทมขนาดใหญควรจดเปนโครงสรางทแบงออกเปนการดำาเนนตามวฏจกรหลายๆ รอบ เชน การรเรมดำาเนนการทนานเกนกวา 6 เดอนซงมความเสยงทจะสญเสยแรงกระตน ความสนใจ และการยอมรบจากผมสวนไดเสยได

ระยะท 3 มการกำาหนดเปาหมายในการปรบปรง ตามมาดวย การวเคราะหในรายละเอยดทใชแนวทางของ COBIT ในการระบชองวางและกระบวนการแกปญหาแบบเบดเสรจทอาจเปนไปได กระบวนการแกปญหาแบบเบดเสรจบางอยางอาจเปนการแกปญหาไดอยางรวดเรว แตบางอยางกอาจมความทาทายมากกวาและดำาเนนกจกรรมทยาวนานกวา เราควรใหความสำาคญกบการรเรมดำาเนนการทสำาเรจไดงายและนาจะใหผลทเปนประโยชนสงสดกอน

ระยะท 4 วางแผนกระบวนการแกปญหาแบบเบดเสรจทนำาไปปฏบตไดจรง โดยกำาหนดโครงการทมเหตผลทางธรกจทสมเหตสมผลรองรบขนมาดำาเนนการ มการจดทำาแผนรองรบการเปลยนแปลงสำาหรบการนำาไปใช เหตผลทางธรกจทจดทำาขนมาอยางดจะชวยใหมนใจวา มการระบถงและเฝาตดตามผลประโยชนทตองการไดรบจากโครงการ



41

ระยะท 5 กระบวนการแกปญหาแบบเบดเสรจทนำาเสนอจะไดรบการนำาไปใชในการดำาเนนงานประจำาวน กำาหนดใหมการวดผลและจดใหมการเฝาตดตามโดยใชเปาหมายและมาตรวดของ COBIT เพอใหมนใจถงการมและการรกษาไวซ งความสอดคลองกนทางธรกจ และสามารถวดประสทธภาพในการทำางานได ความสำาเรจตองการการมสวนรวมและการแสดงถงคำามนจากผบรหารระดบสง พรอมทงจตสำานกในความเปนเจาของจากผมสวนไดเสยทงทางธรกจและดานไอท

ระยะท 6 มงไปทการดำาเนนงานอยางยงยนของปจจยเออ ทงปจจยเออทเกดขนใหมหรอทไดรบการปรบปรง และการเฝาตดตามการบรรลถงผลประโยชนทคาดหวง

ระยะท 7 สอบทานความสำาเรจของการรเรมดำาเนนการในภาพรวม ระบถงการกำากบดแลและการบรหารจดการไอทระดบองคกรทควรมเพมเตม และสนบสนนใหมการพฒนาอยางตอเนอง

เมอเวลาผานไป วฏจกรนจะเกดขนหลายๆ รอบ ซงในขณะเดยวกนกชวยสรางวธปฏบตทยงยนใหกบการกำากบดแลและการบรหารจดการไอทระดบองคกร

เร มตน: สรำงเหตผลทำงธรกจเพอใหแนใจไดวา การรเรมดำาเนนการเพอการนำาไปใชโดยใชประโยชนจาก COBIT จะประสบความสำาเรจ ทกคนในองคกรจะตองตระหนกและไดรบการสอสารใหทราบถงสงทจำาเปนตองทำา โดยอาจจะอยในรปแบบของการกระตนเตอน (ในจดทเคยมปญหามากอน ตามทกลาวไวขางตน) หรอการแสดงใหเหนถงโอกาสในการปรบปรง และทสำาคญมากคอผลประโยชนทจะไดรบ ปลกฝงใหสำานกถงระดบของความเรงดวนทเหมาะสม (ทจะตองดำาเนนการ) และผมสวนไดเสยหลกควรตระหนกถงความเสยงหากไมมการดำาเนนการใดๆ และประโยชนทจะไดรบจากการดำาเนนชดโครงการ

การรเรมดำาเนนการควรมผสนบสนนเปนเจาของ ใหผมสวนไดเสยหลกทงหมดมสวนรวม และมเหตผลทางธรกจรองรบ ในขนตนอาจเรมทภาพรวมจากมมมองดานกลยทธ – จากผบรหารลงมา – เรมจากการทำาความเขาใจใหชดเจนถงผลลพธทางธรกจทตองการ แลวคอยๆ เพมคำาอธบายรายละเอยดเขาไปงานทมความสำาคญ พรอมทงกำาหนดจดชวดความกาวหนาในแตระยะและบทบาทหนาทความรบผดชอบ เหตผลทางธรกจเปนเครองมอทมประโยชนสำาหรบผบรหารในการใหแนวทางเพอสรางคณคาทางธรกจ อยางนอยเหตผลทางธรกจควรรวมถงเรองตอไปน• ผลประโยชนทางธรกจทตงเปาไว ความสอดคลองกบกลยทธทางธรกจ และผเปนเจาของผลประโยชนทเกยวของ (หรอ

อกนยหนงคอบคคลทจะตองรบผดชอบในการรกษาผลประโยชน) ซงอาจมาจากจดทมปญหาและเหตการณจดชนวนตางๆ

• การเปลยนแปลงทางธรกจตองสรางคณคาทมองเหนได โดยอาจมาจากการตรวจสอบสถานะ (health check) การวเคราะหชองวางในความสามารถ (capability gap analyses) และควรระบไดอยางชดเจนวา อะไรทอยในขอบเขต และอะไรทไมอยในขอบเขตของการเปลยนแปลงน

• การลงทนทจำาเปนเพอใหเกดการเปลยนแปลงในการกำากบดแลและการบรหารจดการไอทระดบองคกร (ประมาณจากความจำาเปนทตองมโครงการตางๆ )

• ตนทนการดำาเนนงานทงดานไอทและธรกจ • ผลประโยชนทคาดหวงจากการดำาเนนงานหลงจากการเปลยนแปลง• ความเสยงทสบเนองมาจากหวขอตางๆ ขางตน ซงรวมถงขอจำากดหรอภาวะทตองขนอยกบปจจยอน (dependencies)

(บนพนฐานของความทาทายและปจจยแหงความสำาเรจ)• บทบาทหนาท ความรบผดชอบ และความรบผดชอบในผลงาน (accountability) ทเกยวของกบการรเรมดำาเนนการนน • จะเฝาตดตามการลงทนและการสรางคณคาตลอดอายการใชงานเชงเศรษฐกจไดอยางไร และจะใชอะไรเปนมาตรวด (บน

พนฐานของเปาหมายและมาตรวด)

เหตผลทางธรกจไมใชเอกสารททำาครงเดยวจบ แตเปนเครองมอในการปฏบตงานทตองไดรบการปรบปรงใหเปนปจจบนอยางตอเนอง เพอสะทอนถงภาพในอนาคตณ ปจจบน ใหเหนไดวาชดโครงการสามารถดำาเนนตอไปได

อาจเปนเรองยากทจะวดผลประโยชนในเชงปรมาณจากการรเรมดำาเนนการเพอการนำาไปใชหรอเพอการปรบปรง และควรระวงทจะตกลงเฉพาะสำาหรบผลประโยชนทสมเหตสมผลและสามารถเกดขนไดจรง ขอมลทองคกรตางๆ ไดศกษาจดทำาขน สามารถใหสารสนเทศอนเปนประโยชนในเรองของผลประโยชนทเกดขนไดจรง


42

ITGI มอบหมายให PWC ดำาเนนโครงการวจยดานการตลาดในเรองการกำากบดแลดานไอท7 จากผตอบแบบสอบถามซงอยทงทางดานไอทและดานธรกจกวา 800 รายจาก 21 ประเทศ พบวารอยละ 38 ของผตอบแบบสอบถาม ระบวามตนทนดานไอทลดลงจากผลการกำากบดแลดานไอท รอยละ 28.1 เหนวามการพฒนาดานศกยภาพในการแขงขนทางธรกจ รอยละ 27.1 ระบวาผลตอบแทนจากการลงทนดานไอทเพมขน นอกจากน ยงมการรายงานถงผลประโยชนอนๆ ทอาจไมสามารถประเมนเปนตวเงนได เชน การบรหารความเสยงทเกยวของกบไอทไดดข น (รอยละ 42.2 ของผตอบแบบสอบถาม) การสอสารและความสมพนธทดข นระหวางธรกจและไอท (รอยละ 39.6 ของผตอบแบบสอบถาม) และไอททใหผลตอวตถประสงคของธรกจไดดข น (รอยละ 37.3 ของผตอบแบบสอบถาม)

ISACA ไดทำาการวจยอกอนหนง8 เพอสำารวจและแสดงใหเหนถงคณคาทางธรกจของ COBIT ผลลพธจากการวจยไดเปดโอกาสใหมการวเคราะหเพมเตมอกมาก และทำาใหเหนภาพของความสมพนธระหวางการกำากบดแลขององคกรและประสทธภาพในดำาเนนงานของธรกจทชดเจน

การวจยอกอนหนงไดสำารวจองคกร 250 แหงทวโลก พบวาดวยวตถประสงคเดยวกน9 องคกรทมการกำากบดแลดานไอททดจะมกำาไรมากกวาองคกรทขาดการกำากบดแลอยางนอยรอยละ 20 อาจกลาวอกนยหนงไดวา คณคาทางธรกจของไอท เปนผลโดยตรงจากการกำากบดแลดานไอททมประสทธผล

ทายสดน กรณศกษาวจยในอตสาหรกรรมเครองบน ไดขอสรปวา การนำาการกำากบดแลดานไอทไปใช และการใหความเชอมนอยางตอเนอง จะชวยฟนฟความเชอมนระหวางธรกจและไอทใหกลบมา และชวยใหการลงทนสอดคลองกบเปาหมายทางกลยทธมากยงขน นอกจากน ยงมการรายงานถงผลประโยชนทจบตองไดมากขน รวมทงการลดลงของตนทนดานไอทตอหนวยผลตทางการคา (business production unit) อยางตอเนอง และชวยใหมงบประมาณเหลอมาใช สำาหรบนวตรกรรมใหมๆ ดวย กรณศกษาอกอนหนงในภาคธรกจการเงน แสดงใหเหนวา องคกรทมวธปฏบตสำาหรบการกำากบดแลดานไอททด จะไดรบคะแนนวฒภาวะของความสอดคลองกนระหวางธรกจ/ไอทในระดบสง10

ตวอยำงท 6—สถตของกำรก�ำกบดแลดำนไอท

7 ITITGI, Global Status Report on the Governance of Enterprise IT (GEIT)—2011, USA, 2011, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/ Pages/Global-Status-Report-on-the-Governance-of-Enterprise-IT-GEIT-2011.aspx

8 ISACA, Building the Business Case for COBIT®

and Val ITTM Executive Briefing, USA, 2009, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Building-the-Business-Case-for-COBIT-and-Val-IT-Executive-Briefing.aspx

9 Weill, Peter; Jeanne W. Ross; IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business School Press, USA, 200410 De Haes, Steven; Dirk Gemke; John Thorp; Wim Van Grembergen; ‘Analyzing IT Value Management @ KLM Through the Lens of Val IT’, ISACA Journal,

2011, vol 4. Van Grembergen, Wim; Steven De Haes; Enterprise Governance of IT: Achieving Alignment and Value, Springer, USA, 2009


บทท 8 ตนแบบความสามารถของกระบวนการใน COBIT 5

43

บทท 8ตนแบบความสามารถของกระบวนการใน COBIT 5 บทน�ำผใช COBIT 4.1 Risk IT และ Val IT จะคนเคยกบตนแบบระดบวฒภาวะของกระบวนการ (process maturity model) ทมอยในกรอบการดำาเนนงานเหลานน ตนแบบนใชสำาหรบวดระดบวฒภาวะของกระบวนการทเกยวกบไอทขององคกรในปจจบนหรอทกำาลงใชอย ใชระบถงระดบวฒภาวะทตองการใหเปนในอนาคต ใชระบชองวางระหวางกน และใชระบวาจะพฒนากระบวนการเพอบรรลถงระดบวฒภาวะทตองการไดอยางไร

ในชดผลตภณฑของ COBIT 5 ไดรวมถงตนแบบความสามารถของกระบวนการ ทองกบ ISO/IEC 15504 วศกรรมซอฟแวร - มาตรฐานการประเมนกระบวนการ (Software engineering - Process assessment standard) ซงเปนทยอมรบในระดบสากล ตนแบบดงกลาวนใชเพอวตถประสงคเชนเดยวกบการประเมนกระบวนการและการสนบสนนการปรบปรงกระบวนการ กลาวคอใหวธในการวดผลประสทธภาพในการดำาเนนงานของกระบวนการการกำากบดแล (EDM based) หรอกระบวนการบรหารจดการ (PBRM base) และชวยใหสามารถระบถงจดทควรตองไดรบการปรบปรง

อยางไรกตาม ตนแบบใหมนตางจากตนแบบระดบวฒภาวะ (maturity model) เดมของ COBIT 4.1 ทงในแงของการออกแบบและการใชงาน ดวยเหตน ในบทนจะไดกลาวถง 4 หวขอดงตอไปน • ความแตกตางระหวางตนแบบของ COBIT 5 และ COBIT 4.1 • ประโยชนของตนแบบของ COBIT 5• บทสรปความแตกตางทผใชงาน COBIT 5 จะพบในทางปฏบต • การประเมนความสามารถโดยใช COBIT 5

รายละเอยดของวธปฏบตของ COBIT 5 สำาหรบการประเมนความสามารถ มแสดงไวในเอกสารของ ISACA ชอ COBIT® Process Assessment Model (PAM): Using COBIT® 4.1 11

ถงแมวาวธปฏบตนจะใหขอมลทเปนประโยชนเกยวกบสถานะของกระบวนการตางๆ แตกระบวนการกเปนเพยงหนงในปจจยเออ 7 ประเภทสำาหรบการกำากบดแลและการบรหารจดการ ดงนนการประเมนกระบวนการเพยงอยางเดยวจะไมไดใหภาพทงหมดสำาหรบสถานะของการกำากบดแลในองคกร จงมความจำาเปนตองมการประเมนปจจยเอออนๆ รวมดวย

ควำมแตกตำงระหวำงตนแบบวฒภำวะใน COBIT4.1 และตนแบบวฒภำวะของกระบวนกำรใน COBIT 5องคประกอบของตนแบบระดบวฒภาวะ(maturity model) ใน COBIT 4.1 ไดแสดงในรปภำพท 18

รปภำพท 18—สรปตนแบบวฒภำวะใน COBIT 4.1

11 www.isaca.org/cobit-pam


44

การใชตนแบบวฒภาวะใน COBIT 4.1 สำาหรบวตถประสงคในการปรบปรงกระบวนการ ไมวาจะเปนการประเมนระดบวฒภาวะของกระบวนการ การระบระดบวฒภาวะเปาหมาย หรอการระบของวางทเปนความตาง จำาเปนตองใชองคประกอบของ COBIT 4.1 ดงน• เรมแรก จะตองประเมนเพอใหทราบวา มการดำาเนนงานใหเปนไปตามวตถประสงคของการควบคมสำาหรบกระบวนการหรอ

ไม• ถดมา ตนแบบวฒภาวะทแสดงไวในแนวทางการบรหารจดการสำาหรบแตละกระบวนการ อาจนำามาใชในการหาขอมลราย

ละเอยด (profile) เกยวกบระดบวฒภาวะของกระบวนการ• นอกจากน ตนแบบระดบวฒภาวะทวไป (generic maturity model) ใน COBIT 4.1 ยงไดกำาหนดคณลกษณะทแตกตาง

กน 6 ประการสำาหรบแตละกระบวนการ ซงชวยทำาใหเหนถงรายละเอยดของระดบวฒภาวะของกระบวนการ• การควบคมกระบวนการ (Process Control) เปนวตถประสงคของการควบคมทวไป ซงจำาเปนตองไดรบการสอบทานเมอม

การประเมนกระบวนการ การควบคมกระบวนการบางสวนทบซอนกบคณลกษณะของตนแบบวฒภาวะทวไป

ตนแบบความสามารถของกระบวนการ ใน COBIT 5 สามารถสรปไดตามรปภำพท 19

รปภำพท 19—สรปตนแบบวฒภำวะของกระบวนกำรใน COBIT 5

กระบวนการหนงๆ มความสามารถไดอย 6 ระดบ ซงรวมถง “กระบวนการทไมสมบรณ” หากแนวปฏบตภายใตกระบวนการไมสามารถบรรลถงวตถประสงคทตงไว • 0 กระบวนกำรทไมสมบรณ (incomplete process) — กระบวนการไมถกนำาไปใช หรอไมสามารถบรรลวตถประสงคของกระบวนการนนๆ ได ในระดบนมหลกฐานเพยงเลกนอยหรอไมมหลกฐานเลยทจะแสดงถงการบรรลวตถประสงคของกระบวนการ

• 1 กระบวนกำรทมผลส�ำเรจ (Performed process (1 คณลกษณะ)) — กระบวนการทไดรบการนำาไปใชงานประสบความสำาเรจตามวตถประสงคของกระบวนการ

• 2 กระบวนกำรทไดรบกำรบรหำรจดกำร (Managed process (2 คณลกษณะ)) — กระบวนการทมผลสำาเรจดงทกลาวไวในขอกอน ไดรบการบรหารจดการ (วางแผน เฝาตดตาม และแกไข) และชนงานไดรบการกำาหนด ควบคม และเกบรกษาอยางเหมาะสม

• 3 กระบวนกำรทไดรบกำรจดต ง (Established process (2 คณลกษณะ)) — กระบวนการทกลาวไวใน กระบวนการทได รบการบรหารจดการกอนหนาน ทไดรบการนำาไปใชโดยเปนไปตามกระบวนการทกำาหนดไวเพอใหสามารถไดมาซงผลลพธของกระบวนการ

• 4 กระบวนกำรทคำดหวงได (Predictable process (2 คณลกษณะ)) — กระบวนการทกลาวไวใน กระบวนการทไดรบการจดตงกอนหนาน ทมการดำาเนนงานภายใตขอจำากดทกำาหนดไว เพอใหไดมาซงผลลพธของกระบวนการ

• 5 กระบวนกำรทใหประโยชนสงสด (Optimising process (2 คณลกษณะ)) กระบวนการทกลาวไวในกระบวนการทคาดหวงไดกอนหนาน ไดรบการปรบปรงอยางตอเนองเพอใหบรรลเปาหมายทางธรกจทเกยวของทงในปจจบนและทประมาณการไว



45

ในการทจะบรรลถงความสามารถในแตละระดบไดนนเราตองบรรลถงความสามารถในระดบตำากวาอยางสมบรณใหไดกอน ตวอยางเชน ความสามารถของกระบวนการทระดบ 3 (กระบวนการทไดรบการจดตง) กำาหนดใหกระบวนการตองมความสามารถทเปนไปตามคำานยามของกระบวนการและมคณลกษณะของการนำากระบวนการไปใชงาน (Process deployment attribute) เปนสวนใหญ โดยจะตองมคณลกษณะของความสามารถทระดบ 2 (กระบวนการทไดรบการบรหารจดการ) อยางสมบรณกอน

มความแตกตางอยางเปนนยสำาคญระหวางความสามารถของกระบวนการในระดบท 1 กบระดบทสงกวา ความสามารถของกระบวนการระดบท 1 จะตองบรรลคณลกษณะของประสทธภาพในการดำาเนนงานของกระบวนการ (process performance attribute) เปนสวนใหญ ซงจรงๆ แลวหมายถงการไดดำาเนนกระบวนการอยางเสรจสนสมบรณและองคกรไดผลลพธตามทตองการ ความสามารถของกระบวนการในระดบทสงกวาจะตองมคณลกษณะอนๆทเพมเตมเขาไป การประเมนในลกษณะน แมวามาตรวดจะมสงสดถงระดบ 5 แตการบรรลความสามารถในระดบ 1 กถอวาเปนความสำาเรจกาวสำาคญขององคกรแลว มขอสงเกตวาแมวาแตละองคกรอาจเลอกระดบความสามารถเปาหมายหรอระดบทตองการระดบใดกได (ตามการวเคราะหตนทน-ประโยชน และการศกษาความเปนไปได) แตแทบจะไมพบวามองคกรทเลอกระดบสงสด

ความแตกตางทสำาคญระหวาง การประเมนความสามารถของกระบวนการ ตาม ISO/IEC 15504 (ISO/IEC 15504- process capability assessment) กบตนแบบระดบวฒภาวะ (maturity model) ใน COBIT 4.1 (และเชนเดยวกบตนแบบระดบวฒภาวะของแตละโดเมนใน Val IT และ Risk IT) สามารถสรปไดดงน• ชอและความหมายของระดบของความสามารถทกำาหนดใน ISO/IEC 15504 คอนขางแตกตางจากระดบวฒภาวะของกระบวนการใน COBIT 4.1

• ใน ISO/IEC 15504 ระดบความสามารถถกกำาหนดโดยคณลกษณะของกระบวนการ 9 ขอ ซงคณลกษณะเหลานครอบคลมเฉพาะบางคณลกษณะของระดบวฒภาวะใน COBIT 4.1 (COBIT 4.1 maturity attribute) และ/หรอการควบคมกระบวนการปจจบนเพยงในระดบหนงเทานนและเปนไปในทางทแตกตางกน

การปฏบตตามตนแบบอางองของกระบวนการใน ISO/IEC 15504:2 กำาหนดไววา ในคำาอธบายของกระบวนการใดๆ ทจะได รบประเมน ไดแก กระบวนการสำาหรบการกำากบดแลและ/หรอการบรหารจดการของ COBIT5 ใดๆ จะตองระบถง :• คำาบรรยายทกลาวถงวตถประสงคและผลลพธ• คำาอธบายกระบวนการไมควรกำาหนดมมมองใดๆ สำาหรบการวดผลตามกรอบดำาเนนงานทนอกเหนอไปกวาระดบท 1ซงหมายความวา ไมวาจะเปนลกษณะใดๆ ของคณลกษณะของกระบวนการทเหนอกวาระดบท 1 จะตองไมปรากฏในคำาอธบายกระบวนการหรอในแนวปฏบตในการบรหารจดการใดๆ /กจกรรมใดภายใตกระบวนการนนๆ ดงนน คำาอธบายกระบวนการทแสดงไวใน COBIT 5: การสมฤทธผลของกระบวนการ (COBIT 5: Enabling Process) จะมเพยงขนตอนทจำาเปนเพอทจะบรรลวตถประสงคและเปาหมายของกระบวนการเทานน

• จากหวขอขางตน คณลกษณะทวไปทใชไดกบกระบวนการทงหมดขององคกรซงชวยใหบรรลถงวตถประสงคการควบคมทอาจแสดงไวซำาซอนกนในเอกสาร COBIT® 3rd Edition ไดรบการนำามาจดกลมเปนวตถประสงคการควบคมกระบวนการ (PC) ใน COBIT 4.1 และปจจบนไดถกกำาหนดเปนระดบ 2 ถงระดบ 5 ในรปแบบการประเมน (assessment model)

แนวปฏบตท แตกตำงกน12

จากทไดอธบายไปขางตน เปนทชดเจนวามแนวปฏบตทแตกตางกนบางประการทเกยวของกบการเปลยนแปลงรปแบบการประเมน (Assessment model) ผใชงานตองตระหนกถงการเปลยนแปลงน และเตรยมพรอมทจะนำามาพจารณาในแผนดำาเนนการ

การเปลยนแปลงสำาคญทควรพจารณาประกอบดวย• ถงแมวานาจะมการเปรยบเทยบผลการประเมนระหวาง COBIT 4.1 และ COBIT 5 เนองจากความคลายคลงกนในระดบของ

การวดและคำาทใชในการอธบาย แตการเปรยบเทยบนยากมากเนองจากความแตกตางกนในขอบเขต จดสนใจ และเจตนารมณ ดงทไดแสดงในรปภำพท 20

• โดยทวไปแลว คะแนนทไดจากตนแบบความสามารถของกระบวนการใน COBIT 5 (COBIT 5 process capability model) จะตำากวา ตามทแสดงในรปภำพท 20 ดวยตนแบบระดบวฒภาวะ (maturity model) ใน COBIT 4.1 กระบวนการจะบรรลระดบท 1 หรอ 2 ไดโดยไมจำาเปนตองบรรลวตถประสงคทงหมดของกระบวนการอยางสมบรณ แตถาวดตามระดบความสามารถของกระบวนการ (process capability level) ใน COBIT 5 แลวจะไดแคเพยงระดบ 0 หรอ 1 เทานน

การวดระดบของความสามารถ (capability scale) ใน COBIT 4.1 และ COBIT 5 สามารถเทยบกนไดคราวๆ ตามรปภำพท 20

• ไมมตนแบบระดบวฒภาวะ (maturity model) สำาหรบแตละกระบวนการในเนอหารายละเอยดของกระบวนการใน COBIT 5 อกตอไป เพราะวาวธปฏบตสำาหรบการประเมนความสามารถของกระบวนการใน ISO /IEC 15504 ไมมกำาหนดไว และถงขนาดหามไมใหใชวธปฏบตน แตวธปฏบตนกำาหนดสารสนเทศทตองการสำาหรบ ‘ตนแบบอางองของกระบวนการ’ แทน (ตนแบบกระบวนการทจะใชในการประเมนน) ดงน- คำาอธบายกระบวนการ พรอมกบคำาแถลงจดประสงค- แนวปฏบตพนฐาน ซงเทยบไดกบแนวปฏบตสำาหรบกระบวนการกำากบดแลและบรหารจดการในความหมายของ COBIT 5

12 ขอมลเพมเตมเกยวกบโปรแกรมการประเมน COBIT ทองกบมาตรฐาน ISO/IEC 15504 ใหมๆ สามารถหาไดจาก www.isaca.org/cobit-assessment-programme


46

- ชนงาน (Work product) ซงเทยบไดกบขอมลทรบมาและผลลพธในความหมายของ COBIT 5

• ตนแบบระดบวฒภาวะ (maturity model) ใน COBIT 4.1 ใหรายละเอยดของวฒภาวะในแตละระดบสำาหรบองคกรวตถประสงคหลกของรายละเอยดนกเพอระบถงมมมองหรอคณลกษณะทมจดออนทควรไดรบการปรบปรง องคกรจะใชวธปฏบตนเมอตองการเนนทการปรบปรงใหดข นมากกวาทจะทำาเพอใหไดมาซงตวเลขระดบวฒภาวะเพอจดประสงคในการรายงาน ในรปแบบการประเมนของ COBIT 5 ใหมาตราของการวดผลสำาหรบแตละคณลกษณะดานความสามารถ (capability attribute) และใหแนวทางในการประยกตใช ดงนน การประเมนคณลกษณะดานความสามารถสำาหรบแตละกระบวนการสามารถจงทำาไดในแตละขอของคณลกษณะดานความสามารถทง 9 ขอ

• คณลกษณะของวฒภาวะใน COBIT 4.1 และคณลกษณะความสามารถของกระบวนการใน COBIT 5 มความแตกตางกน แตทบซอนกนในระดบหนงดงทไดแสดงไวในรปภำพท 21 องคกรทใชวธปฏบตทองกบคณลกษณะของตนแบบระดบวฒภาวะ (maturity model attribute approach) ใน COBIT 4.1 สามารถนำาขอมลการประเมนทมอยมาจดแบงประเภทใหมภายใตการประเมนคณลกษณะใน COBIT 5 ได ตามรปภำพท 21

รปภำพท 20—ตำรำงเปรยบเทยบระดบวฒภำวะ (COBIT 4.1) และระดบควำมสำมำรถของกระบวนกำร (COBIT 5)ตนแบบระดบวฒภำวะใน COBIT 4.1 ควำมสำมำรถของกระบวนกำรตำม

ISO/IEC 15504บรบท

5.เหมำะสม (Optimised)- กระบวนการไดรบการปรบให อยในระดบแนวปฏบตทด ซ งเปนผลจากการปรบปรงอยางตอเนองและการใชตนแบบระดบวฒภาวะเพอเปรยบเทยบกบองคกรอนๆ มการบรณาการไอทเพอใหเกดกระแสงาน (workflow) ทเปนอตโนมต เปนเครองมอในการปรบปรงคณภาพและประสทธผล ทำาใหองคกรปรบตวไดอยางรวดเรว

ระดบท 5 กระบวนการทเหมาะสม (Optimising process)–มการพฒนาจากระดบท 4 กระบวนการทคาดหวงได ดวยการปรบปรงอยางตอเนอง เพอใหบรรลเปาหมายทางธรกจทเกยวของทงในปจจบนและทประมาณการไว

มมมองขององคกร- องคความรขององคกร

4. บรหำรจดกำรและวดผล – ผบรหารเฝาตดตามและวดผลการปฏบตตามขนตอน และดำาเนนการเมอพบวากระบวนการไมไดประสทธผล กระบวนไดรบการปรบปรงอยางสมำาเสมอและใหแนวปฏบตทด มการใชการทำางานทเปนอตโนมตและเครองมอตางๆ อยบางอยางกระจดกะจาย

ระดบท 4 กระบวนกำรทคำดหวงได (Predictable process)–เมอกระบวนการทไดรบการจดตงในระดบท 3 ดำาเนนการภายใตขอจำากดทระบเพอใหบรรลถงผลลพธของกระบวนการ

3. กระบวนกำรทชดเจน (defined process) – ขนตอนการปฏบตงานมความเปนมาตรฐานและจดทำาเปนลายลกษณอกษร และสอสารผานทางการฝกอบรม มการบงคบใชใหปฏบตตามกระบวนการดงกลาว อยางไรกตามไมมการตรวจสอบวามความคลาดเคลอนไปจากกระบวนการหรอไม ขนตอนการปฏบตงานไมยงยาก แตทำาใหแนวปฏบตงานทใชอยเปนทางการมากขน

ระดบท 3 กระบวนกำรทไดรบกำรจดต ง(Established process)—กระบวนการทไดรบการบรหารจดการในระดบท 2 ไดรบการนำาไปใชโดยมการกำาหนดกระบวนการทสามารถทำาใหบรรลถงผลลพธของกระบวนการ

ระดบท 2 กระบวนกำรทไดรบกำรบรหำรจดกำร(Managed Process)—กระบวนการทมผลสำาเรจในระดบท 1 ไดรบนำาไปใชโดยมการบรหารจดการ(วางแผน เฝาตดตาม และแกไข) และชนงานของกระบวนการไดรบการจดทำา ควบคม และเกบรกษาอยางเหมาะสม

มมมองตามแตกรณ- องคความรของ

บคคล

2. ท�ำซ�ำไดแตท�ำโดยสญชำตญำณ (repeatable but intuitive) กระบวนการไดรบการพฒนาไปถงขนทมบคคลหลายๆ คนททำางานอยางเดยวกนโดยปฏบตตามขนตอนการปฏบตงานแบบเดยวกน ไมมการฝกอบรมอยางเปนทางการหรอสอสารถงกระบวนการทเปนมาตรฐาน การทำางานโดยสวนใหญขนอยกบตวบคคลจงมกมความผดพลาดเกดขนบอยครง

ระดบท 1 กระบวนกำรทมผลส�ำเรจ (Performed process)—กระบวนการทไดรบการนำาไปใชและบรรลจดประสงคของกระบวนการ

หมำยเหต อำจเปนไปไดวำกระบวนกำรทไดรบกำรจดใหอยระดบท 1 ภำยใตตนแบบระดบวฒภำวะ อำจไดรบกำรจดวำอยท ระดบ 0 ตำม 15504 ถำไมไดบรรลถงผลลพธของกระบวนกำรน น1. เร มตน/เฉพำะกจ (initial/adhoc)—มหลกฐานวา

องคกรตระหนกวามประเดนทเปนปญหาและมความจำาเปนตองจดการ อยางไรกตาม ไมมกระบวนการทเปนมาตรฐาน แตกลบใชวธปฏบตเฉพาะกจทมกจะขนอยกบตวบคคลหรอเปนกรณๆ ไป วธปฏบตในการบรหารจดการโดยรวมไมเปนระบบระเบยบ

0. ไมม (non existent)—ไมมกระบวนการใดๆ องคกรไมไดรบทราบวามประเดนปญหาทจะตองจดการ

ระดบ 0 กระบวนกำรทไมสมบรณ (Incomplete process)—กระบวนการไมถกนำาไปใช หรอลมเหลวในการบรรลถงจดประสงค



47

รปภำพท 21—ตำรำงเปรยบเทยบคณลกษณะของวฒภำวะ (COBIT 4.1) และคณลกษณะของกระบวนกำร (COBIT 5)

COBIT 4.1 คณลกษณะของวฒภำวะ

COBIT 5 คณลกษณะดำนควำมสำมำรถของกระบวนกำร

ประ

สทธภ

ำพข

องก

ระบ

วนก

ำร

กำร

บรห

ำรจด

กำร

ประ

สทธภ

ำพ

กำร

บรห

ำรจด

กำร

ช น

งำน

ค�ำน

ยำม

ก

ระบ

วนก

ำร

กำร

น�ำ

กระ

บวน

กำร

ไป

ใช

กำร

วดผ

ล

กระ

บวน

กำร

กำร

ควบ

คม

กระ

บวน

กำร

นวต

กรร

มข

องก

ระบ

วนก

ำร

กำร

ปรบ

กระ

บวน

กำร

ใหเห

มำะ

สมท

สด

การตระหนกและสอสารนโยบาย แผนงาน และขนตอนการปฏบตงานเครองมอและการทำางานทเปนอตโนมตทกษะและความชำานาญความรบผดชอบและความรบผดชอบในผลงานการกำาหนดเปาหมายและการวดผล

ประโยชนจำกกำรเปลยนแปลง ประโยชนของตนแบบความสามารถของกระบวนการใน COBIT 5 เมอเปรยบเทยบกบตนแบบระดบวฒภาวะ ของ COBIT 4.1 คอ• การเนนมากขนในกระบวนการทไดนำาไปปฏบต เพอยนยนวาไดบรรลวตถประสงคจรงและสงมอบผลลพธไดตามทคาดหวง

จากกระบวนการนนๆ • มเนอหาเรยบงายไมซำาซอน เพราะการประเมนตนแบบระดบวฒภาวะของ COBIT 4.1 ตองใชสวนประกอบหลายประการ

เพอสนบสนนการประเมน ซงรวมถงตนแบบระดบวฒภาวะทวไป ตนแบบระดบวฒภาวะของกระบวนการ วตถประสงคการควบคม และการควบคมกระบวนการ

• ปรบปรงใหกจกรรมการประเมนความสามารถของกระบวนการและการประเมนผลมความนาเชอถอมากขนและมความสามารถในการทำาซำาไดดข น ลดขอโตแยงและความเหนตางในผลของการประเมนระหวางผมสวนไดเสยตางๆ

• ใชผลลพธจากการประเมนความสามารถของกระบวนการไดมากขน เพราะตนแบบใหมนไดสรางพนฐานสำาหรบการประเมนทเปนทางการและเขมงวดมากขน สำาหรบจดประสงคภายในองคกรและจดประสงคทอาจเกดขนจากภายนอกองคกร

• สอดคลองกบมาตรฐานการประเมนกระบวนการทยอมรบกนโดยทวไป ดงนน จงสนบสนนวธปฏบตสำาหรบการประเมนกระบวนการทมอยแลวไดเปนอยางด

ด�ำเนนกำรประเมนควำมสำมำรถของกระบวนกำรตำม COBIT 5 มาตรฐาน ISO /IEC 15504 ระบวา เราอาจประเมนความสามารถของกระบวนการดวยจดประสงคทหลากหลาย และดวยระดบความเขมงวดทแตกตางกน จดประสงคอาจเปนการภายในโดยเนนทการเปรยบเทยบระหวางหนวยงานในองคกร และ/หรอการปรบปรงกระบวนการเพอประโยชนตอองคกรเปนการภายใน หรออาจเปนจดประสงคจากภายนอกทจะเนนการประเมน การรายงาน และการใหการรบรองแบบเปนทางการ

COBIT 5 ซงองกบวธปฏบตสำาหรบการประเมนของ ISO /IEC 15504 เปนวธปฏบตหลกของ COBIT มาตงแตปค.ศ. 2000 ทยงคงชวยใหบรรลวตถประสงคดงตอไปนเสมอมา• เออสำาหรบหนวยงานกำากบดแลและผบรหาร ทจะสามารถวเคราะหเปรยบเทยบความสามารถของกระบวนการ

(benchmark process capability) • เออในการตรวจสอบสถานะ (health check) ในภาพรวม ‘ตามสภาพปจบน’ และ ‘ทตองการ’ เพอสนบสนนหนวยงานกำากบ

ดแลและผบรหารสำาหรบการตดสนใจลงทนในเรองการปรบปรงกระบวนการ• วเคราะหชองวางและปรบปรงขอมลในการวางแผนเพอสนบสนนการใหคำานยามของความสมเหตผลสำาหรบโครงการ

ปรบปรงตางๆ • ใหคะแนน (Rating) จากการประเมนแกหนวยงานกำากบดแลและผบรหาร เพอวดผลและเฝาตดตามขดความสามารถใน

ปจจบน

ในสวนนจะอธบายวา เราจะดำาเนนการประเมนในภาพรวมโดยใชตนแบบการประเมนความสามารถของกระบวนการใน COBIT 5 เพอใหบรรลวตถประสงคตางๆ ขางตนไดอยางไร

การประเมนทำาใหเหนความแตกตางระหวางการประเมนความสามารถในระดบท 1 และระดบทสงกวา ทจรงแลว ตามทได อธบายไปแลววา ความสามารถของกระบวนการในระดบท 1 บรรยายใหเราทราบไดวากระบวนการไดบรรลจดประสงคทตงไว หรอไม ดงนน จงเปนระดบทสำาคญมากทจะตองบรรล และถอวาเปนพนฐานทนำาไปสระดบความสามารถทสงขน การประเมนวากระบวนการบรรลเปาหมายแลวหรอไม หรอในอกนยหนงคอการบรรลความสามารถในระดบท 1 สามารถทำาไดโดย


48

1. สอบทานผลลพธของกระบวนการ ตามทไดบรรยายไวในคำาอธบายกระบวนการในรายละเอยดสำาหรบแตละกระบวนการ

และใชระดบการประเมนตาม ISO/IEC 15504 เพอจดระดบวาแตละกระบวนการไดบรรลเปาหมายในระดบใด ระดบดงกลาวนประกอบดวย• N (ไมบรรลวตถประสงค) คอ ไมมหลกฐานหรอมหลกฐานเพยงเลกนอย ทแสดงใหเหนไดวากระบวนการไดบรรล

คณลกษณะทกำาหนดไวในกระบวนการทไดรบการประเมน (บรรลรอยละ 0 ถง 15)• P (บรรลบางสวน) มหลกฐานอยบางถงการมวธปฏบตเพอชวยใหบรรลผลและการบรรลผลตามคณลกษณะทกำาหนดไวใน

กระบวนการทไดรบการประเมน การบรรลผลตามคณลกษณะในบางดานอาจจะไมสามารถคาดเดาได (บรรลรอยละ รอยละ 15 ถง 50 )

• L (บรรลไดเปนสวนใหญ) มหลกฐานของการมวธปฏบตทเปนระบบและการบรรลผลตามคณลกษณะทไดกำาหนดไวในกระบวนการทไดรบการประเมนเปนสวนใหญ พบจดออนบางในคณลกษณะของกระบวนการทไดรบการประเมน (บรรลรอยละ 50 ถง 85)

• F (บรรลอยางสมบรณ) มหลกฐานทแสดงวามวธปฏบตทสมบรณและเปนระบบ และไดบรรลผลอยางสมบรณตามคณลกษณะทไดกำาหนดไวในกระบวนการทไดรบการประเมน ไมมจดออนทเปนนยสำาคญในคณลกษณะของกระบวนการทไดรบการประเมน(รอยละ 85 ถง 100 ของความสำาเรจ)

2. นอกจากน แนวปฏบตของการกระบวนการ (การกำากบดแลและการบรหารจดการ) ยงสามารถไดรบการประเมนโดยใชการจดระดบสำาหรบผลการประเมนแบบเดยวกน เพอแสดงใหเหนถงระดบทมการนำาแนวปฏบตขนพนฐานไปประยกตใช

3. เพอใหการประเมนมความละเอยดมากขนในอนาคต อาจพจารณาจากชนงานเพอระบวาไดบรรลถงคณลกษณะทไดรบการประเมนบางรายการมากนอยเพยงใด

ถงแมวาการกำาหนดเปาหมายใหกบระดบความสามารถจะขนอยกบการตดสนใจของแตละองคกร หลายองคกรอยากให กระบวนการทงหมดขององคกรบรรลความสามารถในระดบท 1 (ไมเชนนนจะมกระบวนการเหลานไปเพออะไร) ถาไมสามารถบรรลระดบท 1 ได เรายอมสามารถระบถงสาเหตททำาใหไมบรรลระดบดงกลาวไดอยางชดเจนจากวธปฏบตขางตน และสามารถจดทำาแผนการปรบปรงขนมาได 1. ถาหากไมสามารถบรรลผลลพธทตองการจากกระบวนการไดอยางสมำาเสมอหมายถงกระบวนการไมบรรลวตถประสงคและ

จำาเปนตองไดรบการปรบปรงใหดข น2. การประเมนแนวปฏบตของกระบวนการจะเผยใหเหนวาแนวการปฏบตใดทยงบกพรองหรอลมเหลว ชวยใหการนำาไปใช

งานและ/หรอการปรบปรงแนวปฏบตเหลานนสมฤทธผล และชวยใหบรรลผลลพธทงหมดจากกระบวนการ

สำาหรบระดบความสามารถของกระบวนการทสงขน มการนำาแนวปฏบตทวไปจาก ISO/IEC 15504:2 มาใช ซงจะใหคำาอธบายโดยทวไปสำาหรบระดบของความสามารถในแตละระดบ


ภาคผนวก A ขอมลอางอง

49

ภาคผนวก Aขอมลอางองในการพฒนา COBIT 5 น กรอบการดำาเนนงาน มาตรฐาน และแนวทางอนๆ ตอไปน ไดรบการใชเปนเอกสารอางองและเปนขอมลเบองตน

Association for Project Management (APM); APM Introduction to Programme Management, Latimer, Trend and Co., UK, 2007British Standards Institute (BSI), BS25999:2007 Business Continuity Management Standard, UK, 2007CIO Council, Federal Enterprise Architecture (FEA), ver 1.0, USA, 2005European Commission, The Commission Enterprise IT Architecture Framework (CEAF), Belgium, 2006Kotter, John; Leading Change, Harvard Business School Press, USA, 1996HM Government, Best Management Practice Portfolio, Managing Successful Programmes (MSP), UK, 2009HM Government, Best Management Practice Portfolio, PRINCE2®, UK, 2009HM Government, Best Management Practice Portfolio, Information Technology Infrastructure Library (ITIL®), 2011International Organization for Standardization (ISO), 9001:2008 Quality Management Standard, Switzerland, 2008ISO/International Electrotechnical Commission (IEC), 20000:2006 IT Service Management Standard, Swit-zerland, 2006ISO/IEC, 27005:2008, Information Security Risk Management Standard, Switzerland, 2008ISO/IEC, 38500:2008, Corporate Governance of Information Technology Standard, Switzerland, 2008King Code of Governance Principles (King III), South Africa, 2009Organisation for Economic Co-operation and Development (OECD), OECD Principles of Corporate Gover-nance, France, 2004The Open Group, TOGAF® 9, UK, 2009Project Management Institute, Project Management Body of Knowledge (PMBOK2®), USA, 2008UK Financial Reporting Council, ‘Combined Code on Corporate Governance’, UK, 2009


50



51

ภาคผนวก B รายละเอยดความสมพนธระหวางเปาหมายระดบองคกร

กบเปาหมายทเกยวของกบไอท

ภาคผนวก Bรายละเอยดความสมพนธระหวางเปาหมายระดบองคกรกบเปาหมายทเกยวของกบไอทการสงทอดเปาหมาย (goals cascade) ของ COBIT 5 ไดอธบายไวในบทท 2

จดประสงคของตารางแสดงความสมพนธในรปภำพท 22 คอการแสดงใหเหนวาเปาหมายระดบองคกรไดรบการสนบสนนจาก (หรอการแปลงไปส) เปาหมายทเกยวของกบไอทไดอยางไร ดวยเหตน ตารางนจงประกอบดวยขอมลตอไปน:• ในแตละสดมภ(แนวตง) ระบถงเปาหมายทวไปในระดบองคกรทงหมด 17 ขอใน COBIT 5 และจดเปนกลมตามมตของการวดผลแบบสมดล (BSC)

• ในแตละแถว(แนวนอน) ระบถงเปาหมายทเกยวของกบไอททงหมด 17 ขอ และจดเปนกลมตามมตของการการวดผลแบบสมดล ( BSC) ทางดานไอท เชนกน

• การแสดงความสมพนธวาเปาหมายในระดบองคกรแตละขอไดรบการสนบสนนจากเปาหมายทเกยวของกบไอทอยางไร โดยแสดงเปนระดบของความสมพนธดงตอไปน-“P” หมายความวา เปนความสมพนธในระดบหลก ใชเมอความสมพนธมความสำาคญ ไดแก เปาหมายทเกยวของกบไอทเปนปจจยหลกทสนบสนนใหบรรลเปาหมายระดบองคกรในขอนนๆ

-“S” หมายความวา เปนความสมพนธในระดบรอง ใชเมอความสมพนธชดเจนแตมความสำาคญนอยกวา ไดแก เปาหมายทเกยวของกบไอท เปนปจจยในระดบรองทจะสนบสนนใหบรรลเปาหมายระดบองคกรในขอนนๆ

ตวอยำงท 7—ตำรำงแสดงควำมสมพนธ

ตารางแสดงความสมพนธ ชใหเหนวา• เปาหมายในระดบองคกรขอ 7 บรการของธรกจมความตอเนองและความพรอมใหบรการซง:

– ขนอยกบการบรรลเปาหมายทเกยวของกบไอทดงตอไปนเปนหลก:• 04 ความเสยงของธรกจทเกยวของกบไอทสามารถบรหารจดการได • 10 ความมนคงปลอดภยของสารสนเทศ โครงสรางพนฐานในการประมวลผล และระบบงาน• 14 ความพรอมใชของสารสนเทศทเชอถอได และมประโยชนในการตดสนใจ

– และขนอยการบรรลเปาหมายทเกยวของกบไอทดงตอไปนเปนอนดบรอง:• 01 กลยทธดานไอทสอดคลองไปในแนวทางเดยวกนกบกลยทธดานธรกจ• 07 การสงมอบบรการดานไอทเปนไปตามความตองการของธรกจ• 08 การใชระบบงาน สารสนเทศและเทคโนโลยอยางเหมาะสม

• การใชตารางแสดงความสมพนธนในทางกลบกน กลาวคอ การบรรลเปาหมายเกยวของกบไอทขอ 09 ความคลองตวทางดานไอท จะยงผลใหบรรลเปาหมายระดบองคกรหลายขอ ไดแก– การยงผลทเปนหลกใหแกเปาหมายระดบองคกรขอตอไปน

• 2. กลม (Portfolio)ของผลตภณฑและบรการทมความสามารถในการแขงขน• 8. การตอบสนองอยางฉบไวตอการเปลยนแปลงในสภาพแวดลอมทางธรกจ • 11. หนาทงานในกระบวนการทางธรกจทใหประโยชนสงสด • 17. วฒนธรรมทสงเสรมนวตกรรมสำาหรบผลตภณฑและการดำาเนนธรกจ

– การยงผลในอนดบรองใหแกเปาหมายระดบองคกรขอตอไปน• 1. คณคาจากการลงทนในธรกจของผมสวนไดเสย• 3. ความเสยงทางธรกจทไดรบการจดการ (การปกปองคมครองสนทรพย)• 6. วฒนธรรมทเนนการบรการลกคา• 13. ชดโครงการเพอการเปลยนแปลงทางธรกจทไดรบการบรหารจดการ• 14. การปฏบตงานและบคคลากรทมประสทธภาพ• 16. บคคลากรทมทกษะและแรงจงใจ

ตารางขางตนจดทำาขนจากขอมลดงตอไปน • การวจยของมหาวทยาลย Antwerp Management School IT Alignment และ Governance Research Institute• การสอบทานและความเหนของผเชยวชาญเพมเตมทไดรบระหวางกระบวนการพฒนาและสอบทาน COBIT 5


52

เมอใชตำรำงในรปภำพท 22 กรณำพจำรณำถงขอสงเกตทไดใหไวในบทท 2 เร องกำรใชกำรสงทอดเปำหมำยของ COBIT 5

รปภำพท 22— ควำมสมพนธระหวำงเปำหมำยระดบองคกรใน COBIT 5 กบเปำหมำยทเก ยวของกบไอทเปำหมำยระดบองคกร

คณคา

จากก

ารลง

ทนใ

นธรก

จของ

ผมส

วนได

เสย

กลมข

องผล

ตภณ

ฑแล

ะบรก

ารท

มควา

มสาม

ารถใ

นการ

แขงข

น

ความ

เส ยง

ทาง

ธรกจ

ทได

รบกา

รจดก

าร (

การป

กปอง

คมค

รองท

รพยส

น)

การป

ฏบตต

ามกฎ

หมา

ยและ

กฎระ

เบยบ

ขอบง

คบจา

กภาย

นอก

ความ

โปรง

ใสท

างกา

รเงน

วฒนธ

รรมท

เนนก

ารบร

การล

กคา

บรกา

รของ

ธรกจ

มควา

มตอเ

นองแ

ละคว

ามพ

รอมใ

หบร

การ

การต

อบสน

องอย

างฉบ

ไวตอ

การเ

ปลยน

แปลง

ในสภ

าพแว

ดลอม

ทาง

ธรกจ

การต

ดสนใ

จเชง

กลยท

ธบนพ

นฐาน

ของส

ารสน

เทศ

ตนท

นในก

ารสง

มอบบ

รการ

ทให

ประโ

ยชนส

งสด

หนา

ทงา

นในก

ระบว

นการ

ทาง

ธรกจ

ทให

ประโ

ยชนส

งสด

ตนท

นของ

กระบ

วนกา

รทาง

ธรกจ

ทให

ประโ

ยชนส

งสด

ชดโค

รงกา

รเพ

อการ

เปล

ยนแป

ลงท

างธร

กจท

ไดรบ

การบ

รหาร

จดกา

ร

การป

ฏบตง

านแล

ะบคค

ลากร

ทมป

ระสท

ธภาพ

การป

ฏบตต

ามนโ

ยบาย

ภายใ

นองค

กร

บคคล

กรท

มทกษ

ะและ

แรงจ

งใจ

วฒนธ

รรมท

สงเส

รมนว

ตกรร

มสำ าห

รบผล

ตภณ

ฑแล

ะการ

ดำาเน

นธรก

จ

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.

เปำหมำยทเก ยวของกบไอท ดำนกำรเงน ดำนลกคำ ดำนกระบวนกำรภำยใน

ดำนกำรเรยนร และ

เตบโต

ดำน

กำร

เงน

01 กลยทธดานไอทสอดคลองไปในแนวทางเดยวกนกบกลยทธดานธรกจ

P P S P S P P S P S P S S

02 ไอทเอออำานวยและสนบสนนใหธรกจสามารถปฏบตตามกฎหมายและกฎระเบยบขอบงคบของหนวยงานภายนอก

S P P

03 ผบรหารระดบสงใหคำามนในการตดสนใจตางๆ ทเกยวของกบไอท

P S S S S S P S S

04 ความเสยงของธรกจทเกยวของกบไอทสามารถบรหารจดการได

P S P S P S S S

05 ประโยชนทไดรบจรงจากกลมของการลงทนและการให บรการในดานตางๆ ทมไอทเปนปจจยเออ

P P S S S S P S S

06 ตนทน ประโยชนและความเสยงทางดานไอทมความโปรงใส

S S P S P P

ดำน

ลกค

ำ 07 การสงมอบบรการดานไอทเปนไปตามความตองการของธรกจ

P P S S P S P S P S S S S

08 การใชระบบงาน สารสนเทศและเทคโนโลยอยางเหมาะสม

S S S S S S S P S P S S

ดำน

กระ

บวน

กำร

ภำย

ใน

09 ความคลองตวทางดานไอท S P S S P P S S S P

10 ความมนคงปลอดภยของสารสนเทศ โครงสรางพนฐานในการประมวลผล และระบบงาน

P P P P

11 การใชสนทรพย ทรพยากร และสมรรถนะทางดานไอทใหไดประโยชนสงสด

P S S P S P S S S

12 การเอออำานวยและสนบสนนการทำางานของกระบวนการทางธรกจโดยบรณาการระบบงานและเทคโนโลยเขาไปใชในกระบวนการทางธรกจ

S P S S S S P S S S S

13 การสงมอบชดโครงการตางๆ กอใหเกดประโยชน ตรงเวลา ตามงบประมาณทตงไว และตามความตองการและมาตรฐานดานคณภาพ

P S S S S S P

14 ความพรอมใชของสารสนเทศทเชอถอได และมประโยชนในการตดสนใจ

S S S S P P S

15 ไอททปฏบตตามนโยบายภายในขององคกร S S P

ดำน

กำร

เรย

นรแ

ละเต

บโต

16 บคลากรทงทางดานไอทและดานธรกจทมความสามารถและมแรงจงใจ

S S P S S P P S

17 ความร ความเชยวชาญ และการรเรมดำาเนนการเพอนวตกรรมทางธรกจ S P S P S S S S P


ภาคผนวก C รายละเอยดความสมพนธระหวางเปาหมายทเกยวของกบไอท

และกระบวนการเกยวของกบไอท

53

ภาคผนวก Cรายละเอยดความสมพนธระหวางเปาหมายทเกยวของกบไอทและกระบวนการทเกยวของกบไอทภาคผนวกนแสดงตารางทอธบายวากระบวนการทางดานไอทสนบสนนเปาหมายทเกยวของกบไอทไดอยางไร ซงเปนสวนหนงของการสงทอดเปาหมาย (goal cascade) ดงทอธบายในบทท 2

รปภำพท 23 ประกอบดวย• ในแตละสดมภ(แนวตง) แสดงถงเปาหมายทวไปทเกยวของกบไอททงหมด 17 ขอตามทระบไวในบทท 2 และจดเปน

กลมตามมตของการวดผลแบบสมดล (BSC)• ในแตละแถว(แนวนอน) แสดงถงกระบวนการใน COBIT 5 ทงหมด 37 กระบวนการ และจดเปนกลม

ตามโดเมน • การแสดงใหเหนวาเปาหมายทเกยวของกบไอทแตละขอไดรบการสนบสนนจากกระบวนการทเกยวของกบ

ไอทของ COBIT 5 อยางไร โดยแสดงเปนระดบของความสมพนธดงตอไปน-“P” หมายความวา เปนความสมพนธในระดบหลก ใชเมอความสมพนธมความสำาคญ ไดแก กระบวนการของ COBIT 5 เปนปจจยสนบสนนหลกทจะชวยใหบรรลเปาหมายเกยวของกบไอท

-“S” หมายความวา เปนความสมพนธในระดบรอง ใชเมอความสมพนธชดเจนแตมความสำาคญนอยกวา ไดแก กระบวนการของ COBIT 5 เปนปจจยสนบสนนในระดบรองทจะชวยใหบรรลเปาหมายเกยวของกบไอท

ตวอยำงท 8—APO13 กำรบรหำรจดกำรกำรรกษำควำมม นคงปลอดภย

กระบวนการ APO13 การบรหารจดการการรกษาความมนคงปลอดภย • เปนปจจยหลกทจะชวยใหบรรลเปาหมายทเกยวของกบไอทตอไปน

- 02 ไอทเอออำานวยและสนบสนนใหธรกจสามารถปฏบตตามกฎหมายและกฎระเบยบขอบงคบของหนวยงานภายนอก- 04 ความเสยงของธรกจทเกยวของกบไอทสามารถบรหารจดการได - 06 ตนทน ประโยชนและความเสยงทางดานไอทมความโปรงใส- 10 ความมนคงปลอดภยของสารสนเทศ โครงสรางพนฐานในการประมวลผล และระบบงาน- 14 ความพรอมใชของสารสนเทศทเชอถอได และมประโยชนในการตดสนใจ

• ในระดบความเขมทตำาลง บรรลเปาหมายดานไอท ทเกยวของ- 07 การสงมอบบรการดานไอทเปนไปตามความตองการของธรกจ- 08 การใชระบบงาน สารสนเทศและเทคโนโลยอยางเหมาะสม

ตารางขางตนจดทำาขนจากขอมลดงตอไปน • การวจยของมหาวทยาลย Antwerp Management School IT Alignment และ Governance Research Institute• การสอบทานและความเหนของผเชยวชาญเพมเตมทไดรบระหวางกระบวนการพฒนาและสอบทาน COBIT 5


54

เมอใชตำรำงในรปภำพท 23 กรณำพจำรณำถงขอสงเกตทไดใหไวในบทท 2 เร องกำรใชกำรสงทอดเปำหมำย ของ COBIT 5

รปภำพท 23— ควำมสมพนธระหวำงเปำหมำยทเก ยวของกบไอทกบกระบวนกำรตำงๆ ใน COBIT 5

เปาหมายทเกยวของกบไอท

กลยท

ธดาน

ไอท

สอดค

ลองไ

ปในแ

นวท

างเด

ยวกน

กบกล

ยทธด

านธร

กจ

ไอท

เอออ

ำานวย

และส

นบสน

นให

ธรกจ

สามา

รถปฏ

บตตา

มกฎห

มายแ

ละกฎ

ระเบ

ยบขอ

บงคบ

ของห

นวยง

านภา

ยนอก

ผบร

หาร

ระดบ

สงให

คำามน

ในกา

รตดส

นใจต

างๆ

ทเก

ยวขอ

งกบไ

อท

ความ

เส ยง

ของธ

รกจท

เกยว

ของก

บไอท

สามา

รถบร

หาร

จดกา

รได

ประโ

ยชนท

ไดรบ

จรงจ

ากกล

มของ

การล

งทนแ

ละกา

รให

บรกา

รในด

านตา

งๆ ท

มไอท

เปนป

จจยเ

ออ

ตนท

น ปร

ะโยช

นและ

ความ

เส ยง

ทาง

ดานไ

อทมค

วามโ

ปรงใ

ส

การส

งมอบ

บรกา

รดาน

ไอท

เปนไ

ปตาม

ความ

ตองก

ารขอ

งธรก

จ

การใ

ชระบ

บงาน

สาร

สนเท

ศและ

เทคโ

นโลย

อยาง

เหมา

ะสม

ความ

คลอง

ตวท

างดา

นไอท

ความ

มนคง

ปลอด

ภยขอ

งสาร

สนเท

ศ โค

รงสร

างพ

นฐาน

ในกา

รประ

มวล

ผล แ

ละระ

บบงา

น

การใ

ชสนท

รพย

ทรพ

ยากร

และ

สมรร

ถนะท

างดา

นไอท

ใหได

ประโ

ยชน

สงสด

การเ

อออ

ำานวย

และส

นบสน

นการ

ทำาง

านขอ

งกระ

บวนก

ารท

างธร

กจโด

ยบร

ณาก

ารระ

บบงา

นและ

เทคโ

นโลย

เขาไ

ปใชใ

นกระ

บวนก

ารท

างธร

กจ

การส

งมอบ

ชดโค

รงกา

รตาง

ๆ ก

อให

เกดป

ระโย

ชน ต

รงเว

ลา ต

ามงบ

ประม

าณท

ตงไว

และ

ตามค

วามต

องกา

รและ

มาตร

ฐานด

านคณ

ภาพ

ความ

พรอ

มใชข

องสา

รสนเ

ทศท

เช อถ

อได

และม

ประโ

ยชนใ

นการ

ตดสน

ใจ ไอท

ทปฏ

บตตา

มนโย

บายภ

ายใน

ของอ

งคกร

บคลา

กรท

งทาง

ดานไ

อทแล

ะดาน

ธรกจ

ทมค

วามส

ามาร

ถและ

มแรง

จงใจ

ความ

ร คว

ามเช

ยวชา

ญ แ

ละคว

ามคด

รเรม

เพอน

วตกร

รมท

างธร

กจ

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17

กระบวนกำรใน COBIT 5 ดำนกำรเงนดำน

ลกคำ ดำนกระบวนกำรภำยใน


เตบโต

ประ

เมน

ส งก

ำร แ

ละเฝ

ำตด

ตำม

EDM01 มนใจในการกำาหนดกรอบการดำาเนนงานการกำากบดแลและการบำารงรกษา

P S P S S S P S S S S S S S S S

EDM02 มนใจในการสงมอบผลประโยชน P S P P P S S S S S S P

EDM03 มนใจในความเสยงทเหมาะสม S S S P P S S P S S P S S

EDM04 มนใจในการใชทรพยากรใหไดประโยชนสงสด S S S S S S S P P S P S

EDM05 มนใจในความโปรงใสตอผมสวนไดเสย

S S P P P S S S S

จดวำ

งแน

ว จด

ท�ำแ

ผน

และ

จดระ

บบ

APO01 บรหารจดการกรอบการดำาเนนงานการบรหารงานดานไอท

P P S S S P S P S S S P P P

APO02 บรหารจดการกลยทธ P S S S P S S S S S S S S P

APO03 บรหารจดการสถาปตยกรรมองคกร P S S S S S S P S P S S S

APO04 บรหารจดการนวตกรรม S S P P P P S S P

APO05 บรหารจดการกลมของชดโครงการ P S S P S S S S S P S

APO06 บรหารจดการงบประมาณและตนทน S S S P P S S S S

APO07 บรหารจดการทรพยากรบคคล P S S S S S S P P S P P

APO08 บรหารจดการความสมพนธ P S S S S P S S P S S S P

APO09 บรหารจดการขอตกลงการใหบรการ S S S S P S S S S S P S

APO10 บรหารจดการผขายหรอผใหบรการ S P S S P S P S S S S S S

APO11 บรหารจดการคณภาพ S S S P P S S S P S S S S

APO12 บรหารจดการความเสยง P P P S S S P P S S S S

APO13 บรหารจดการความมนคงปลอดภย P P P S S P P


ภาคผนวก C รายละเอยดความสมพนธระหวางเปาหมายทเกยวของกบไอท

และกระบวนการเกยวของกบไอท

55

รปภำพท 23— ควำมสมพนธระหวำงเปำหมำยทเก ยวของกบไอทกบกระบวนกำรตำงๆ ใน COBIT 5 (ตอ)

เปำหมำยทเก ยวของกบไอท

กลยท

ธดาน

ไอท

สอดค

ลองไ

ปในแ

นวท

างเด

ยวกน

กบกล

ยทธด

านธร

กจ

ไอท

เอออ

ำานวย

และส

นบสน

นให

ธรกจ

สามา

รถปฏ

บตตา

มกฎห

มายแ

ละกฎ

ระเบ

ยบขอ

บงคบ

ของห

นวยง

านภา

ยนอก

ผบร

หาร

ระดบ

สงให

คำามน

ในกา

รตดส

นใจต

างๆ

ทเก

ยวขอ

งกบไ

อท

ความ

เส ยง

ของธ

รกจท

เกยว

ของก

บไอท

สามา

รถบร

หาร

จดกา

รได

ประโ

ยชนท

ไดรบ

จรงจ

ากกล

มของ

การล

งทนแ

ละกา

รให

บรกา

รในด

านตา

งๆ ท

มไอท

เปนป

จจยเ

ออ

ประโ

ยชนท

ไดรบ

จรงจ

ากกล

มของ

การล

งทนแ

ละกา

รให

บรกา

รในด

านตา

งๆ ท

มไอท

เปนป

จจยเ

ออ

การส

งมอบ

บรกา

รดาน

ไอท

เปนไ

ปตาม

ความ

ตองก

ารขอ

งธรก

จ

การใ

ชระบ

บงาน

สาร

สนเท

ศและ

เทคโ

นโลย

อยาง

เหมา

ะสม

ความ

คลอง

ตวท

างดา

นไอท

ความ

มนคง

ปลอด

ภยขอ

งสาร

สนเท

ศ โค

รงสร

างพ

นฐาน

ในกา

รประ

มวล

ผล แ

ละระ

บบงา

น

การใ

ชสนท

รพย

ทรพ

ยากร

และ

สมรร

ถนะท

างดา

นไอท

ใหได

ประโ

ยชน

สงสด

การเ

อออ

ำานวย

และส

นบสน

นการ

ทำาง

านขอ

งกระ

บวนก

ารท

างธร

กจโด

ยบร

ณาก

ารระ

บบงา

นและ

เทคโ

นโลย

เขาไ

ปใชใ

นกระ

บวนก

ารท

างธร

กจ

การส

งมอบ

ชดโค

รงกา

รตาง

ๆ ก

อให

เกดป

ระโย

ชน ต

รงเว

ลา ต

ามงบ

ประม

าณท

ตงไว

และ

ตามค

วามต

องกา

รและ

มาตร

ฐานด

านคณ

ภาพ

ความ

พรอ

มใชข

องสา

รสนเ

ทศท

เช อถ

อได

และม

ประโ

ยชนใ

นการ

ตดสน

ใจ ไอท

ทปฏ

บตตา

มนโย

บายภ

ายใน

ของอ

งคกร

บคลา

กรท

งทาง

ดานไ

อทแล

ะดาน

ธรกจ

ทมค

วามส

ามาร

ถและ

มแรง

จงใจ

ความ

ร คว

ามเช

ยวชา

ญ แ

ละคว

ามคด

รเรม

เพอน

วตกร

รมท

างธร

กจ

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17

กระบวนกำรใน COBIT 5 ดำนกำรเงนดำน

ลกคำ ดำนกระบวนกำรภำยใน


เตบโต

จดสร

ำง จ

ดห

ำ แล

ะน�ำไ

ปใช

BAI01 บรหารจดการโครงการและชดโครงการ P S P P S S S S P S S

BAI02 บรหารจดการขอกำาหนดความตองการ P S S S S P S S S S P S S S

BAI03 บรหารจดการการระบและจดสรางกระบวนการแกปญหาแบบเบดเสรจ S S S P S S S S S S

BAI04 บรหารจดการความพรอมใชงานและขดความสามารถ

S S P S S P S P S

BAI05 บรหารจดการเพอใหการเปลยนแปลงองคกรสมฤทธผล

S S S S P S S S P S P

BAI06 บรหารจดการการเปลยนแปลง S P S P S S P S S S S S S

BAI07 บรหารจดการการยอมรบการเปลยนแปลงและการปรบเปลยน

S S S P S P S S S S

BAI08 บรหารจดการความร S S S S P S S S S P

BAI09 บรหารจดการสนทรพย S S P S S S P S S

BAI10 บรหารจดการองคประกอบของระบบ P S S S S S P P S

สงม

อบ บ

รกำร

และ

สนบ

สนน DSS01 บรหารจดการการปฏบตการ S P S P S S S P S S S S

DSS02 บรหารจดการคำารองขอบรการและเหตการณทเกดขน

P P S S S S S

DSS03 บรหารจดการปญหา S P S P S S P S P S S

DSS04 บรหารจดการการความตอเนอง S S P S P S S S S S P S S S

DSS05 บรหารจดการบรการดานความมนคงปลอดภย S P P S S P S S S S

DSS06 บรหารจดการการควบคมกระบวนการทางธรกจ S P P S S S S S S S S

เฝำต

ตต

ำม ว

ดผ

ล แล

ะประ

เมน MEA01 เฝาตดตาม วดผล และประเมน

ประสทธภาพและความสอดคลองในการดำาเนนงาน S S S P S S P S S S P S S P S S

MEA02 เฝาตดตาม วดผล และประเมนระบบการควบคมภายใน

P P S S S S S P S

MEA03 เฝาตดตาม วดผล และประเมนการปฏบต ตามขอกำาหนดจากหนวยงานภายนอก P P S S S S S


56



ภาคผนวก D ความตองการของผมสวนไดเสยและเปาหมายระดบองคกร

57

ภาคผนวก Dความตองการของผมสวนไดเสยและเปาหมายระดบองคกรบทท 4 แสดงถงแตละขนตอนของการสงทอดเปาหมาย (goal cascade) เรมจากความตองการของผมสวนไดเสยลงไปถงเปาหมายของปจจยเออ บทท 2 ไดรวมเอาตารางทมคำาถามดานไอททพบบอยเกยวกบการกำากบดแลและการบรหารจดการ จากมมมองของผมสวนไดเสยเปนทนาสนใจวา คำาถามเหลานเกยวของกบเปาหมายระดบองคกรอยางไร ดวยเหตผลน จงนำารปภำพท 24 มาแสดงเพอใหเหนวาความตองการของผมสวนไดเสยภายในแตละรายการมความเชอมโยงกบเปาหมายระดบองคกรอยางไร ตารางนสามารถชวยกำาหนดและจดลำาดบความสำาคญใหกบเปาหมายระดบองคกรหรอเปาหมายทเกยวของกบไอทบนพนฐานของความตองการของผมสวนไดเสย การใชตารางนมขอควรระวงเชนเดยวกบการใชตารางการสงทอดเปาหมายอนๆกลาวคอ แตละองคกรมสภาพแวดลอมทแตกตางกน และตารางนไมควรไดรบนำามาใชแบบตรงๆ โดยไมคำานงถงปจจยอนๆ แตควรใชเปนเพยงแนวทางทจะมองหาความสมพนธแบบกวางๆ เทานน ในรปภำพท 24 ชองทตดกนระหวางความตองการของผมสวนไดเสยกบเปาหมายระดบองคกรจะมขอมล หากความตองการเหลานนควรไดรบการพจารณาสำาหรบเปาหมายขอนนๆ

รปภำพท 24—ควำมสมพนธระหวำงเปำหมำยระดบองคกรของ COBIT 5 กบค�ำถำมของผบรหำร

ควำมตองกำรของผ ม สวนไดเสย

คณคา

จากก

ารลง

ทนใ

นธรก

จของ

ผมส

วนได

เสย

กลมข

องผล

ตภณ

ฑแล

ะบรก

ารท

มควา

มสา

มารถ

ในกา

รแขง

ขน

ความ

เส ยง

ทาง

ธรกจ

ทได

รบกา

รจดก

าร

(การ

ปกปอ

งคมค

รองท

รพยส

น)

การป

ฏบตต

ามกฎ

หมา

ยและ

กฎระ

เบยบ

ขอบง

คบจา

กภาย

นอก

ความ

โปรง

ใสท

างกา

รเงน

วฒนธ

รรมท

เนนก

ารบร

การล

กคา

บรกา

รของ

ธรกจ

มควา

มตอเ

นองแ

ละคว

ามพ

รอมใ

หบร

การ

การต

อบสน

องอย

างฉบ

ไวตอ

การ

เปล

ยนแป

ลงใน

สภาพ

แวดล

อมท

างธร

กจ

การต

ดสนใ

จเชง

กลยท

ธบนพ

นฐาน

ของ

สารส

นเท

ศ

ตนท

นในก

ารสง

มอบบ

รการ

ทให

ประโ

ยชน

สงสด

หนา

ทงา

นในก

ระบว

นการ

ทาง

ธรกจ

ทให

ปร

ะโยช

นสงส

ด

ตนท

นของ

กระบ

วนกา

รทาง

ธรกจ

ทให

ปร

ะโยช

นสงส

ด

ชดโค

รงกา

รเพ

อการ

เปล

ยนแป

ลงท

างธร

กจท

ไดรบ

การบ

รหาร

จดกา

ร

การป

ฏบตง

านแล

ะบคค

ลากร

ทม

ประส

ทธภ

าพ

การป

ฏบตต

ามนโ

ยบาย

ภายใ

นองค

กร

บคคล

กรท

มทกษ

ะและ

แรงจ

งใจ

วฒนธ

รรมท

สงเส

รมนว

ตกรร

มสำ าห

รบผล

ตภณ

ฑแล

ะการ

ดำาเน

นธรก

จ

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.

เราจะไดรบคณคาจากการใชไอทไดอยางไร ผใชงานมความพอใจกบคณภาพของบรการดานไอทหรอไม

เราจะจดการกบประสทธภาพดานไอทได อยางไร

เราจะนำาเทคโนโลยใหมๆ มาใชใหดทสดเพอเปดชองทางกลยทธไดอยางไร

เราจะจดตงและจดโครงสรางหนวยงานดานไอทใหดทสดไดอยางไร

เราตองพงพาผใหบรการภายนอกมากนอยเพยงใด มการจดการกบสญญาบรการดานไอทกบบคคลภายนอกไดดเพยงใด เราจะเชอมนในผใหบรการภายนอกไดอยางไร

มขอกำาหนด (ดานการควบคม) อะไรบางเกยวกบสารสนเทศ

เราไดระบถงความเสยงทเกยวของทงหมดแลว หรอยง

เรามการดำาเนนงานดานไอททมประสทธภาพ และตานทานภยตางๆ ไดหรอไม

เราจะควบคมตนทนดานไอทไดอยางไร เราจะใชทรพยากรดานไอทใหมประสทธภาพและประสทธผลไดอยางไร ทางเลอกใดทมประสทธภาพและประสทธผลมากทสดในการจางหนวยงานภายนอก

เรามบคลากรทเพยงพอสำาหรบงานดานไอทหรอไม เราจะพฒนาและรกษาทกษะของบคลากรไดอยางไร และจะจดการประสทธภาพในการทำางานไดอยางไร

เราจะมความเชอมนในเรองของไอทได อยางไร


58

รปภำพท 24—ควำมสมพนธระหวำงเปำหมำยระดบองคกรของ COBIT 5 กบค�ำถำมของผบรหำร (ตอ)

ควำมตองกำรของผม สวนไดเสย

คณคา

จากก

ารลง

ทนใ

นธรก

จของ

ผมส

วนได

เสย

กลมข

องผล

ตภณ

ฑแล

ะบรก

ารท

มควา

มสา

มารถ

ในกา

รแขง

ขน

ความ

เส ยง

ทาง

ธรกจ

ทได

รบกา

รจดก

าร

(การ

ปกปอ

งคมค

รองท

รพยส

น)

การป

ฏบตต

ามกฎ

หมา

ยและ

กฎระ

เบยบ

ขอบง

คบจา

กภาย

นอก

ความ

โปรง

ใสท

างกา

รเงน

วฒนธ

รรมท

เนนก

ารบร

การล

กคา

บรกา

รของ

ธรกจ

มควา

มตอเ

นองแ

ละคว

ามพ

รอมใ

หบร

การ

การต

อบสน

องอย

างฉบ

ไวตอ

การ

เปล

ยนแป

ลงใน

สภาพ

แวดล

อมท

างธร

กจ

การต

ดสนใ

จเชง

กลยท

ธบนพ

นฐาน

ของ

สารส

นเท

ศ

ตนท

นในก

ารสง

มอบบ

รการ

ทให

ประโ

ยชน

สงสด

หนา

ทงา

นในก

ระบว

นการ

ทาง

ธรกจ

ทให

ปร

ะโยช

นสงส

ด

ตนท

นของ

กระบ

วนกา

รทาง

ธรกจ

ทให

ปร

ะโยช

นสงส

ด

ชดโค

รงกา

รเพ

อการ

เปล

ยนแป

ลงท

างธร

กจท

ไดรบ

การบ

รหาร

จดกา

ร

การป

ฏบตง

านแล

ะบคค

ลากร

ทม

ประส

ทธภ

าพ

การป

ฏบตต

ามนโ

ยบาย

ภายใ

นองค

กร

บคคล

กรท

มทกษ

ะและ

แรงจ

งใจ

วฒนธ

รรมท

สงเส

รมนว

ตกรร

มสำ าห

รบผล

ตภณ

ฑแล

ะการ

ดำาเน

นธรก

จ

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.

ขอมลทไดรบการประมวลผลมความปลอดภยหรอไม

เราจะเพมความคลองตวใหกบธรกจดวยการมสภาพแวดลอมดานไอททมความยดหยนได อยางไร

โครงการดานไอทประสบความลมเหลวทจะสงมอบงานตามทกำาหนดหรอไม ถาใช เปนดวยสาเหตใด ไอทเปนอปสรรคในการดำาเนนกลยทธทางธรกจหรอไม

ไอทมความสำาคญเพยงใดตอความอยรอดขององคกร จะทำาอยางไรหากไอทไมพรอมใช

กระบวนการทางธรกจทเปนหลกสำาคญในการดำาเนนธรกจใดทตองพงพาไอท และกระบวนการเหลานนตองการอะไรบาง

มการใชจายเกนงบประมานสำาหรบการปฏบต งานดานไอทโดยเฉลยเทาไร โครงการดานไอทมการใชจายเงนเกนงบประมาณบอยครงหรอไมและเปนจำานวนเงนมากนอยเพยงใด

มการใชความพยายามไปในการแกปญหาเฉพาะหนามากกวาการปรบปรงทางธรกจมากนอยเพยงใด

มทรพยากรทางไอททเพยงพอและมโครงสรางพนฐานทพรอมใชในการบรรลถงวตถประสงคดานกลยทธขององคกรหรอไม

การตดสนใจในเรองสำาคญๆ ทางดานไอทใช เวลานานมากนอยเพยงใด

การใชกำาลงคนและการลงทนทางดานไอทมความโปรงใสหรอไม

ไอทใชในการสนบสนนองคกรในการปฏบต ตามกฎระเบยบขอบงคบตางๆ และระดบของการใหบรการหรอไม จะทราบไดอยางไรวาเราไดปฏบตตามกฎระเบยบขอบงคบตางๆ ทใชบงคบทงหมดแลว


ภาคผนวก E การเทยบ Cobit 5 กบมาตรฐาน/กรอบการด�าเนนงานอนทเกยวของและเกยวเนองกนมากทสด

59

ภาคผนวก Eการเทยบ COBIT 5 กบมาตรฐาน/กรอบการดำาเนนการอนทเกยวของและเกยวเนองกนมากทสด

บทน�ำ ในภาคผนวกนไดเปรยบเทยบ COBIT กบมาตรฐาน/กรอบดำาเนนงานอนทเกยวเนองและใชกนมากทสดในดานการกำากบดแล สำาหรบ ISO /IEC 38500 การเปรยบเทยบอยบนพนฐานของหลกการใน ISO /IEC 38500 สำาหรบการเปรยบเทยบอนๆ การเปรยบเทยบจะอยในรปแบบของตารางโดยนำากระบวนการของ COBIT 5 ไปเทยบกบเนอหาในมาตรฐานและกรอบดำาเนนงานตางๆ ทนำามาอางองถง

COBIT 5 และ ISO /IEC 38500 ขอมลดานลางนใหขอสรปวา COBIT 5 สนบสนนการประยกตใชหลกการของมาตรฐานและวธปฏบตสำาหรบการนำาไปใชงานอยางไร มาตรฐาน ISO /IEC 38500 ของปค.ศ. 2008 การกำากบดแลองคกรดานเทคโนโลยสารสนเทศ (Corporate governance of information technology) ตงอยบนหลกการสำาคญ 6 ประการ ความหมายเชงปฏบตสำาหรบหลกการในแตละขอไดอธบายไวในทน พรอมกบคำาอธบายวาแนวทางของ COBIT 5 เออใหเกดแนวปฏบตทดไดอยางไร

หลกกำรของ ISO /IEC 38500หลกกำรท 1 – ควำมรบผดชอบ มควำมหมำยอยำงไรในทำงปฏบต

ธรกจ(ลกคา)และฝายไอท (ผใหบรการ) ควรรวมมอกนแบบเปนพนธมตรทมการสอสารกนอยางมประสทธผลบนพนฐานของความสมพนธทดและมความเชอใจกน และแสดงถงความชดเจนในหนาทความรบผดชอบและความรบผดชอบในผลงานตามหนาท (accountability) สำาหรบในองคกรขนาดใหญ คณะกรรมการดานไอท (IT executive committee) (หรอมกเรยกวาคณะกรรมการกลยทธดานไอท - IT Strategy Committee) ปฏบตหนาท ในนามของคณะกรรมการบรหารและมประธานทแตงตงจากสมาชกของคณะกรรมการบรหาร ถอเปนกลไกทมประสทธผลมากสำาหรบการประเมน สงการ และเฝาตดตามการใชไอทในองคกร และสำาหรบการแนะนำาคณะกรรมการในประเดนดานไอททสำาคญ กรรมการสำาหรบองคกรขนาดเลกและขนาดกลาง ทมสายบงคบบญชาทไมซบซอนและมเสนทางการสอสารทสน จำาเปนตองใชวธปฏบตทเขาถงโดยตรง (Direct approach) มากกวาในการดแลกจกรรมทางดานไอท และไมวาจะเปนกรณใดกตาม หนวยงานทมหนาทกำากบดแลจะตองสงการใหม โครงสรางองคกร บทบาทหนาทและความรบผดชอบทเหมาะสมสำาหรบการกำากบดแล เพอใหมความชดเจนถงความเปนเจาของและความรบผดชอบในผลงานอยางชดเจนสำาหรบการตดสนใจและภารกจทสำาคญ ซงควรรวมถง ความสมพนธกบผใหบรการหลกดานไอทหลกจากภายนอก

แนวทำงของ ISACA เออตอแนวปฏบตท ดอยำงไร1.กรอบดำาเนนงาน COBIT 5 ระบถงปจจยเออจำานวนหนงสำาหรบการกำากบดแลไอทระดบองคกร ปจจยเออ

ดาน “กระบวนการ” และปจจยเออดาน “โครงสรางองคกร” ประกอบกบตาราง RACI มความเกยวพนกนในบรบทน โดยสนบสนนใหมการมอบหมายหนาทความรบผดชอบ และใหตวอยางบทบาทหนาทและความรบผดชอบสำาหรบสมาชกของคณะกรรมการบรหารและผบรหารในเรองของกระบวนการและกจกรรมทสำาคญทงหมด

2.การนำา COBIT 5 ไปใชงาน (COBIT 5 Implementation) อธบายถงหนาทความรบผดชอบของผมสวนไดเสยและกลมทมสวนรวมอนๆ เมอนำาการกำากบดแลดานไอทไปใชหรอปรบปรงใหดข น

3.COBIT 5 มการเฝาตดตาม 2 ระดบ ระดบแรกมความเกยวของกบบรบทของการกำากบดแล กระบวนการ EDM05 มนใจในความโปรงใสตอผมสวนไดเสย (ensure stakeholder transparency) อธบายถงบทบาทของกรรมการในการเฝาตดตามและประเมนการกำากบดแลดานไอทและประสทธภาพในการทำางานดานไอทดวยวธทวไปสำาหรบการกำาหนดเปาหมายและวตถประสงคและมาตรวดทเกยวของ

หลกกำรท 2 กลยทธมควำมหมำยอยำงไรในทำงปฏบต การวางแผนกลยทธทางไอทมความซบซอนและมความสำาคญยงทตองมความรวมมอกนอยางใกลชดระหวางหนวยงานดานธรกจในองคกรและไอท เราจำาเปนตองใหลำาดบความสำาคญสำาหรบแผนทมโอกาสทจะบรรลผลประโยชนตามคาดหวงและสำาหรบการจดสรรทรพยากรอยางมประสทธผล เปาหมายในภาพรวมตองแปลงมาเปนแผนยทธวธทสามารถทำาใหบรรลผลได เพอลดโอกาสเกดความลมเหลวหรอเหตการณทไมคาดคด โดยมเปาหมายคอการสงมอบคณคาเพอสนบสนนวตถประสงคของกลยทธไปพรอมๆ กบการพจารณาถงความเสยงทเกยวของกบการยอมรบความเสยงของคณะกรรมการบรหาร แมวาจะเปนเรองสำาคญทจะตองสงทอดแผนในลกษณะจากบนไปสลาง แตแผนกตองยดหยนและสามารถปรบให รองรบความตองการทางธรกจและโอกาสทางดานไอททมการเปลยนแปลงอยางรวดเรวดวย

นอกจากน การมหรอขาดความสามารถดานไอท สามารถเออหรอขดขวางกลยทธทางธรกจได ดงนนการวางแผนกลยทธ13ตาราง RACI แสดงใหเหนวาใครเปนผรบผดชอบตามหนาท (Responsible) ผรบผดชอบในผลงาน (Accountable) ผใหคำาแนะนำาปรกษา (Consulted) และผทจะ

ตองไดรบแจงใหทราบ (Informed) สำาหรบงานหนงๆ


60

ดานไอทควรรวมถงการวางแผนความสามารถดานไอททโปรงใสและเหมาะสม โดยรวมถงการประเมนความสามารถของโครงสรางพนฐานดานไอทและทรพยากรบคคลในปจจบน เพอรองรบความตองการของธรกจในอนาคต และพจารณาถงการพฒนาเทคโนโลยในอนาคตทอาจชวยใหเกดความไดเปรยบในการแขงขนและ/หรอตนทนทเกดประโยชนสงสด ทรพยากรดานไอทยงรวมถงความสมพนธกบผขายผลตภณฑและผใหบรการตางๆภายนอก ซงบางรายอาจมบทบาทสำาคญในการสนบสนนการดำาเนนงานของธรกจ ดงนนการกำากบดแลกลยทธในการจดซอจดหานจงมนยสำาคญมากในกจกรรมการวางแผนกลยทธทตองการทศทางและการควบคมดแลจากผบรหารระดบสง

แนวทำงของ ISACA เออตอแนวปฏบตท ดอยำงไร1.COBIT 5 ใหแนวทางเฉพาะในการจดการการลงทนดานไอทและ (โดยเฉพาะในกระบวนการ EDM02 มนใจในการสง

มอบประโยชน ของโดเมนการกำากบดแล) วตถประสงคดานกลยทธควรไดรบการสนบสนนจากเหตผลทางธรกจตางๆ ทเหมาะสมอยางไร

2.โดเมน APO ใน COBIT 5 อธบายถงกระบวนการทจำาเปนเพอการวางแผนและการจดการอยางเปนระบบทมประสทธผลสำาหรบทรพยากรดานไอททงภายในและภายนอก ซงรวมถงการวางแผนกลยทธ การวางแผนดานเทคโนโลยและสถาปตยกรรม การวางแผนองคกร การวางแผนนวตกรรม การบรหารกลมของชดโครงการ การบรหารเงนลงทน การบรหารความเสยง การบรหารความสมพนธ และการบรหารคณภาพ มการอธบายถงความสอดคลองกนระหวางเปาหมายทางธรกจและเปาหมายดานไอทดวยตวอยางทวไปทแสดงใหเหนถงการสนบสนนวตถประสงคดานกลยทธสำาหรบกระบวนการทเกยวของกบไอทจากการวจยอยางกวางขวางในอตสาหกรรม

3.การระบและวางแนวเปาหมายระดบองคกรและเปาหมายทเกยวของกบไอทใหสอดคลองกน ชวยใหเกดความเขาใจทดข นในความสมพนธทสงทอดถงกนระหวางเปาหมายระดบองคกร เปาหมายทเกยวของกบไอท และปจจยเออตางๆ ซงรวมถงกระบวนการดานไอท โดยไดแสดงรายการทเปนเปาหมายทวไประดบองคกรทชดเจนและสมบรณ 17 ขอและเปาหมายทวไปทเกยวของกบไอทอก 17 ขอ ทไดรบการตรวจสอบความสมเหตสมผลและจดลำาดบความสำาคญสำาหรบภาคสวนตางๆ อกทงสารสนเทศทเชอมโยงกนระหวางเปาหมายทงสองระดบเปนพนฐานทดทในการสงทอดเปาหมายทางธรกจไปยงเปาหมายทเกยวของกบไอท

หลกกำรท 3 กำรจดซอจดหำ ( Acquisition)มควำมหมำยอยำงไรในทำงปฏบต กระบวนการแกไขปญหาแบบเบดเสรจดานไอทมไวเพอสนบสนนกระบวนการดานธรกจ ดงนนจงตองระมดระวงทจะไมนำากระบวนการแกไขปญหาแบบเบดเสรจดานไอทไปพจารณาแยกตางหาก หรอมองเปนเพยงแคโครงการหรอบรการดานเทคโนโลยเทานน ในทางกลบกน การเลอกสถาปตยกรรมของเทคโนโลยทไมเหมาะสม ความลมเหลวทจะทำาใหโครงสรางพนฐานดานเทคนคทนสมยและเหมาะสม หรอการขาดบคคลากรทมทกษะ ลวนสามารถสงผลใหโครงการลมเหลว ขาดความสามารถทจะดำาเนนกจกรรมทางธรกจไดอยางยงยน หรอลดคณคาทมตอธรกจ การจดซอจดหาทรพยากรดานไอทจงควรพจารณาเสมอนเปนสวนหนงของการเปลยนแปลงทางธรกจโดยมไอทเปนปจจยเออ เทคโนโลยทจดซอมาจะตองสนบสนนและสามารถทำางานรวมกบกระบวนการทางธรกจและโครงสรางพนฐานดานไอททองคกรมอยแลวและทวางแผนไว การนำาไปใชงานกไมใชเปนเพยงแคประเดนดานเทคโนโลยเทานน แตจะตองผสมผสานไปกบการเปลยนแปลงองคกร การปรบปรงกระบวนการทางธรกจ การฝกอบรม และการเออใหเกดการเปลยนแปลงดวย ดงนน โครงการดานไอทควรเปนสวนหนงของชดโครงการ (programmes) เพอการเปลยนแปลงในระดบองคกร ซงรวมเอาโครงการตางๆ ทมการดำาเนนกจกรรมครบในทกดานตามทตองการเพอชวยใหมนใจวาจะไดรบผลสำาเรจ

แนวทำงของ ISACA เออตอแนวปฏบตท ดไดอยำงไร1.โดเมน EDM ของ COBIT 5 ใหแนวทางในการกำากบดแลและการบรหารจดการการลงทนของธรกจทมไอท เปน

ปจจยเออผานทางวฎจกรทครบกระบวนการ (การจดซอจดหา การนำาไปตดตงใชงาน การปฏบตงาน และการเลกใชงาน) กระบวนการ APO05 บรหารจดการกลมของชดโครงการ (Manage portfolio) ระบถงการนำาการบรหารจดการกลมของชดโครงการและชดโครงการของทมการลงทนมาใชใหมประสทธผลเพอชวยใหมนใจไดวาจะไดรบผลประโยชนจรงและมตนทนทเหมาะสม

2.โดเมน APO ใน COBIT 5 ใหแนวทางสำาหรบการวางแผนในการจดซอจดจาง ซงรวมถงการวางแผนการลงทน การบรหารความเสยง การวางแผนชดโครงการและโครงการ และการวางแผนดานคณภาพ

3.โดเมน BAI ใน COBIT 5 ใหแนวทางสำาหรบกระบวนการทจำาเปนในการจดซอจดหาและการนำากระบวนการแกปญหาแบบเบดเสรจดานไอท(IT solution) ไปใชงาน ซงครอบคลมถงการระบความตองการ การระบการแกปญหาแบบเบดเสรจทเปนไปได การจดเตรยมเอกสาร การฝกอบรมและการเออใหกบผใชงานและการปฏบตการในการใชระบบใหม นอกจากน แนวทางนยงชวยใหมนใจวา กระบวนการแกปญหาแบบเบดเสรจนไดรบการทดสอบและควบคมอยางเหมาะสมเมอการเปลยนแปลงไดรบมาใชในสภาพแวดลอมของการดำาเนนงานจรงทงทางดานธรกจและไอท

4.โดเมน MEA ใน COBIT 5 และกระบวนการ EDM05 ไดรวมเอาแนวทางสำาหรบกรรมการใหสามารถเฝาตดตามและประเมนกระบวนการจดซอจดหาและการควบคมภายใน เพอชวยใหมนใจวาการจดซอจดหาไดรบการบรหารจดการและดำาเนนการอยางเหมาะสม



61

หลกกำรท 4 ผลกำรด�ำเนนงำนมควำมหมำยอยำงไรในทำงปฏบต การวดผลการดำาเนนงานทมประสทธผลขนอยกบมมมองหลก 2 ดานคอ คำาจำากดความทชดเจนของคำาวา “ผลการดำาเนนงานเปาหมาย” และ ”การจดทำามาตรวดทมประสทธผลสำาหรบการเฝาตดตามการบรรลเปาหมาย” เราจำาเปนตองมกระบวนการในการวดผลการดำาเนนงานเพอใหมนใจวา ผลการดำาเนนงานนนไดรบการเฝาตดตามอยางสมำาเสมอและเชอถอได การกำากบดแลจะมประสทธผลกตอเมอวตถประสงคกำาหนดมาจากบนลงลางซงสอดคลองกบเปาหมายทางธรกจในภาพรวมทได รบอนมต และมาตรวดจดทำาขนจากลางขนบนซงสอดคลองไปในทางทเออใหบรรลเปาหมายในทกระดบโดยมผบรหารของแตละระดบชนเฝาตดตาม ปจจยสำาคญสความสำาเรจในการกำากบดแล 2 ปจจยคอ การทผมสวนไดเสยอนมตเปาหมาย และการทบคลากรในระดบกรรมการและผจดการ ยอมรบความรบผดชอบในผลงาน (accountability) ในการบรรลเปาหมาย ไอทเปนหวขอทมความซบซอนและมรายละเอยดเชงเทคนค ดงนน จงเปนสงทสำาคญทจะตองมความโปรงใสโดยการสอถงเปาหมาย มาตรวด และการรายงานผลการดำาเนนงานในภาษาทเขาใจไดงายสำาหรบผมสวนไดเสย เพอใหมการดำาเนนการอยางเหมาะสม

แนวทำงของ ISACA เออตอแนวปฏบตท ดไดอยำงไร1.กรอบการดำาเนนงานของ COBIT 5 ใหตวอยางทวไปทแสดงถงเปาหมายและมาตรวดทครบถวนสำาหรบกระบวนการ

ทเกยวของกบไอทและปจจยเอออนๆและยงแสดงใหเหนถงความเกยวของกบเปาหมายทางธรกจ ซงเออใหองคกรสามารถนำามาปรบใชใหเขากบการใชงานเฉพาะองคกรได

2.COBIT 5 ใหแนวทางสำาหรบผบรหารในการกำาหนดเปาหมายดานไอทใหสอดคลองกบเปาหมายทางธรกจ และอธบายวาเราสามารถเฝาตดตามผลการดำาเนนงานของวตถประสงคเหลานโดยการใชเปาหมายและมาตรวดตางๆ ไดอยางไร เราสามารถประเมนความสามารถของกระบวนการไดโดยการใชตนแบบการประเมนความสามารถตามทระบไวใน ISO/IEC 11504

3.กระบวนการหลกใน COBIT 5 2 กระบวนการ ไดใหแนวทางทเฉพาะเจาะจงคอ-APO02 บรหารจดการกลยทธ (Manage strategy) เนนในเรองการกำาหนดเปาหมาย-APO09 บรหารจดการขอตกลงการใหบรการ (Manage service agreements) เนนในเรองการกำาหนดบรการ และเปาหมายของบรการทเหมาะสม และจดทำาเปนลายลกษณอกษรไวในขอตกลงระดบการบรการ

4.ในกระบวนการ MEA01 เฝาตดตาม วดผล และประเมนประสทธภาพและความสอดคลองในการดำาเนนงาน (Monitor, evaluate and assess performance and conformance) ของ COBIT 5 ใหแนวทางเกยวกบหนาทความรบผดชอบของผบรหารระดบสงในกจกรรมน

5.แนวทางการใหความเชอมนสำาหรบ COBIT 5 (COBIT 5 for Assurance) ทมแผนจะนำาออกสตลาดในอนาคต จะอธบายวา ผประกอบวชาชพเกยวกบการใหความเชอมน สามารถใหความเชอมนทเปนอสระแกกรรมการในเรองประสทธภาพของการดำาเนนงานดานไอทไดอยางไร

หลกกำรท 5 ควำมสอดคลองกนมควำมหมำยอยำงไรในทำงปฏบต ตลาดโลกในวนนมอนเตอรเนตและเทคโนโลยทกาวหนาเปนปจจยเออ องคกรจำาเปนตองปฏบตตามขอกำาหนดดานกฏหมายและกฎระเบยบขอบงคบทมจำานวนเพมมากขน จากขาวออฉาวและความลมเหลวดานการเงนของบรษทตางๆ เมอไมกปทผานมา ทำาใหคณะกรรมการเกดความตระหนกอยางมากในเรองของกฏหมายและกฎระเบยบขอบงคบทออกมาบงคบใชซ งเขมขนขนและผลกระทบทม ผมสวนไดเสยตองการความเชอมนเพมขนวา ในการดำาเนนงานจรงองคกรไดปฏบตตามกฏหมายและกฎระเบยบขอบงคบ และดำาเนนการตามแนวปฏบตทดดานการกำากบดแลองคกรแลว นอกจากน จากการทไอทได เออใหเกดกระบวนการทางธรกจระหวางองคกรอยางไรรอยตอ จงมความจำาเปนทจะตองมนใจไดวา สญญาตางๆ ครอบคลมถงขอกำาหนดทเกยวของกบไอท ในเนอหาอาทเชน การรกษาความเปนสวนบคคล การรกษาความลบ การรกษาสนทรพยทางปญญา และการรกษาความมนคงปลอดภย เปนตน

กรรมการจำาเปนตองมนใจไดวา การปฏบตตามขอกำาหนดจากองคกรภายนอกถอเปนสวนหนงของการวางแผนกลยทธมากกวาทจะใหเกดความเสยหายขนแลวคอยมาคดทหลง กรรมการยงจำาเปนตองกำาหนดแนวทางจากผบรหารระดบสง พรอมทงกำาหนดเปนนโยบายและขนตอนการปฏบตงานใหผบรหารและพนกงานปฏบตตามเพอใหมนใจวาไดบรรลเปาหมายของคกร ลดความเสยง และมการปฏบตตาม(กฎหมาย/กฎระเบยบขอบงคบ) ผบรหารระดบสงจะตองทำาใหเกดความสมดลระหวางประสทธภาพในการดำาเนนงานและการปฏบตตาม(กฎหมาย/กฎระเบยบขอบงคบ) เพอใหมนใจวาเปาหมายของประสทธภาพในการดำาเนนงานไมขดแยงกบการปฏบตตาม (กฎหมาย/กฎระเบยบขอบงคบ) และในทางตรงกนขาม การปฏบตตาม(กฎหมาย/กฎระเบยบขอบงคบ) กตองมความเหมาะสม ไมเขมงวดมากจนเกนไปกบการดำาเนนธรกจ

แนวทำงของ ISACA เออตอแนวปฏบตท ดไดอยำงไร1. แนวปฏบตในการกำากบดแลและการบรหารจดการของ COBIT 5 ใหพนฐานในการสรางสภาพแวดลอมในการควบคมท

เหมาะสมในองคกร การประเมนความสามารถของกระบวนการเออใหผบรหารสามารถประเมนและเปรยบเทยบความสามารถของกระบวนการดานไอท

2. กระบวนการ AOP02 บรหารจดการกลยทธ (Manage strategy) ของ COBIT 5 ชวยใหมนใจวาแผนดานไอทสอดคลองกบวตถประสงคทางธรกจในภาพรวม ซงรวมถงขอกำาหนดดานการกำากบดแลดวย

3. กระบวนการ MEA02 เฝาตดตาม วดผล และประเมนระบบการควบคมภายใน (Monitor, evaluate and assess the system of internal control) ของ COBIT 5 เออใหกรรมการสามารถประเมนวา การควบคมเพยงพอตอการปฏบตตามขอกำาหนดตางๆ หรอไม

4. กระบวนการ MEA03 เฝาตดตาม วดผล และประเมนการปฏบตตามขอกำาหนดจากหนวยงานภายนอก (Monitor, evaluate


62

and assess compliance with external requirements) ชวยใหมนใจวา มการระบถงขอกำาหนดทตองปฏบตตาม กรรมการไดกำาหนดทศทางสำาหรบการปฏบต และ มการเฝาตดตาม ประเมน และรายงานผลการปฏบตตามขอกำาหนดดานไอท เสมอนเปนสวนหนงของการปฏบตขอกำาหนดอนๆ ขององคกร

5. แนวทางการใหความเชอมนสำาหรบ COBIT 5 (COBIT 5 for Assurance) อธบายวา ผตรวจสอบจะใหความเชอมน อยางเปนอสระไดอยางไรเกยวกบการปฏบตตามและการยดมนในนโยบายภายในทมาจากการสงการภายใน ขอกำาหนดตามกฏหมายและตามสญญา และยนยนวาเจาของกระบวนการทรบผดชอบไดดำาเนนการแกไขเพออดชองวางของการปฏบต ตามขอกำาหนดในเวลาทเหมาะสม

หลกกำรท 6 พฤตกรรมบคคลมควำมหมำยอยำงไรในทำงปฏบต การนำาการเปลยนแปลงใดๆ ทมไอทเปนปจจยเออไปใชงาน ซงรวมถงการกำากบดแลดานไอทดวย มกตองมการเปลยนแปลงอยางเปนนยสำาคญตอวฒนธรรมและพฤตกรรมภายในองคกร เชนเดยวกบลกคาและพนธมตรทางธรกจ ซงอาจสรางความวตกและความไมเขาใจใหเกดขนทามกลางหมพนกงาน ดงนน การนำาไปใชจงจำาเปนตองไดรบการจดการอยางระมดระวงเพอใหบคลากรยงคงมทศนคตทดในการทำางาน กรรมการจะตองสอสารเปาหมายอยางชดเจนและแสดงใหเหนวาเปนผ สนบสนนการเปลยนแปลงทนำาเสนอนน การฝกอบรมและการเพมทกษะของบคลากรเปนกญแจสำาคญสำาหรบการปลยนแปลง โดยเฉพาะการเปลยนเแปลงดานเทคโนโลยทมกเกดขนอยางรวดเรว ไอทมผลกระทบตอบคลากรทกระดบในองคกร ไมวาจะเปนผมสวนไดเสย ผจดการ และผใชงาน หรอผเชยวชาญทใหบรการทเกยวของกบไอทและกระบวนการแกปญหาแบบเบดเสรจใหกบองคกร และ กระบวนการแกปญหาแบบเบดเสรจแกธรกจ นอกจากสงผลกระทบภายในองคกรแลว ไอทยงสงผลกระทบตอลกคาและพนธมตรทางธรกจ ทงยงเออใหเกดการบรการตนเองและการทำาธรกรรมอตโนมตระหวางองคกรทงภายในประเทศและขามประเทศ แมวากระบวนการทางธรกจทมไอทเปนปจจยเออจะนำามาซงประโยชนและโอกาสใหมๆ แตกมาพรอมกบความเสยงตางๆ ทเพมขนดวย ประเดนปญหาเชนขอมลสวนบคคลและการทจรตเปนเรองทบคคลมความวตกกงวลเพมมากขน และความเสยงนพรอมทงความเสยงอนๆ ตองไดรบการจดการเพอใหผใชเกดความเชอมนในระบบไอททใชอย ระบบสารสนเทศยงสงผลกระทบตอแนวปฏบตในการทำางานอยางมากโดยการแปลงขนตอนการปฏบตงานททำาโดยคนใหเปนการทำางานโดยอตโนมต

แนวทำงของ ISACA เออตอแนวปฏบตท ดไดอยำงไรปจจยเออใน COBIT 5 (รวมถงกระบวนการตางๆ ) ตอไปน ใหแนวทางเกยวกบความตองการทเกยวของกบพฤตกรรมบคคล1.ปจจยเออของ COBIT 5 รวมถง คน ทกษะ ความสามารถ วฒนธรรม จรยธรรม และพฤตกรรม สำาหรบแตละ ปจจยเออจะ

มตนแบบทใชจดการกบปจจยเออโดยแสดงเปนตวอยางใหเหน2.กระบวนการ APO07 บรหารจดการทรพยากรบคคล (Manage human resources) ใน COBIT 5 อธบายวา ผล

การดำาเนนงานของแตละบคคลควรจะสอดคลองกบเปาหมายขององคกรไดอยางไร ทกษะของผเชยวชำานาญดานไอทจะถกรกษาไวไดอยางไร และบทบาทหนาทและความรบผดชอบควรถกำาหนดขนมาอยางไร

3.กระบวนการ BAI02 บรหารจดการขอกำาหนดความตองการ (Manage requirements definition) ใน COBIT 5 ชวยใหมนใจวา การออกแบบระบบงานตรงกบความตองการในการปฏบตงานและการใชงานของผใช

4.กระบวนการ BAI05 บรหารจดการเพอใหการเปลยนแปลงองคกรสมฤทธผล (Manage organisationalchange enablement) และ BAI 08 บรหารจดการความร (Manage knowledge) ใน COBIT 5 ชวยใหมนใจวา ผใชงานสามารถใชระบบไดอยางมประสทธผล

นอกจากน ISACA ยงใหวฒบตร 4 แบบสำาหรบผประกอบวชาชพทมบทบาทหนาทหลกเกยวของกบการกำากบดแลดานไอทและมองคความรทเนอหาใน COBIT 5 ไดครอบคลมถงอยางเปนนยสำาคญ ไดแก• Certified in the Governance of Enterprise IT® (CGEIT®)• Certified Information Systems Auditor® (CISA®)• Certified Information Security Manager® (CISM®)• Certified in Risk and Information Systems ControlTM (CRISCTM)

ผถอวฒบตรเหลานแสดงถงความสามารถและประสบการณในการทำางานตามบทบาทหนาทนน

ISO/IEC 38500 ประเมน ส งกำร และเฝำตดตำมแนวทางของ ISACA เออตอแนวปฏบตทดไดอยางไรโดเมนดานการกำากบดแลในกระบวนการตนแบบของ COBIT 5 ม 5 กระบวนการ โดยแตละกระบวนการไดระบถงแนวปฏบต สำาหรบการประเมน สงการ และเฝาตดตาม (EDM) ไว ซงเปนสวนท COBIT 5 ไดระบถงกจกรรมทเกยวของกบการกำากบดแล

กำรเปรยบเทยบกบมำตรฐำนอนๆ COBIT 5 พฒนาขนโดยคำานงถงมาตรฐานและกรอบการดำาเนนงานอนๆ จำานวนหนง ซงมาตรฐานเหลานไดแสดงไวในภาคผนวก A

หนงสอ COBIT 5:การสมฤทธผลของกระบวนการ (COBIT 5: Enabling Processes) กลาวถงการเปรยบเทยบในภาพรวมระหวาง กระบวนการใน COBIT 5 แตละกระบวนการกบสวนทใกลเคยงกนในมาตรฐาน/กรอบการดำาเนนงานทเกยวของ ซงใหเปนแนวทางเพมเตม



63

ในสวนนจะกลาวโดยสรปถงกรอบการดำาเนนงานและมาตรฐานแตละอยาง โดยระบวาเกยวของกบจดหรอโดเมนใดใน COBIT 5

ITIL® V3 2011 และ ISO/IEC 20000ITIL V3 2011 and ISO/IEC 20000 ครอบคลมถงจดและโดเมนใน COBIT 5 ตอไปน• สวนหนงของกระบวนการตางๆ ในโดเมน DSS• สวนหนงของกระบวนการตางๆ ในโดเมน BAI• บางกระบวนการในโดเมน APO

ชดของ ISO/IEC 27000ISO/IEC 27000 ครอบคลมถงจดและโดเมนใน COBIT 5 ตอไปน• กระบวนการทเกยวของกบความมนคงปลอดภยและความเสยงในโดเมน EDM APO และ DSS• กจกรรมตางๆ ทเกยวของกบความมนคงปลอดภยภายใตกระบวนการในโดเมนอนๆ • กจกรรมตางๆ ในการเฝาตดตามและการประเมนจากโดเมน MEA

ชด ISO/IEC 31000ISO/IEC 31000 ครอบคลมถงจดและโดเมนใน COBIT 5 ตอไปน• กระบวนการทเกยวของกบการบรหารความเสยงในโดเมน EDM และ APO

TOGAF®

TOGAF ครอบคลมถงจดและโดเมนใน COBIT 5 ตอไปน• กระบวนการทเกยวของกบทรพยากรในโดเมน EDM (การกำากบดแล) – สวนประกอบของ TOGAF ซงได แก Architecture Board, Architecture Governance และ Architecture Maturity Model เทยบไดกบการใชทรพยากรให เกดประโยชนสงสด• กระบวนการในการสรางสถาปตยกรรมองคกรในโดเมน APO โดยแกนของ TOGAF คอ Architecture development method (ADM) cycle ซงเทยบไดกบแนวปฏบตของ COBIT 5 เรองการพฒนาวสยทศนดานสถาปตยกรรม (ADM Phase A) การระบถงสถาปตยกรรมอางอง ( ADM Phase B,C,D) การเลอกโอกาสและแนวทางการแกไขปญหาแบบเบดเสรจ (ADM Phase E) และการกำาหนดการนำาสถาปตยกรรมไปใชงาน (ADM Phase F, G) องคประกอบของ TOGAF จำานวนหนงสามารถเทยบไดกบแนวปฏบตของ COBIT 5 เรองการใหบรการดานสถาปตยกรรมองคกร ซงรวมถง– การบรหารจดการความตองการของ ADM– หลกการของสถาปตยกรรม– การบรหารจดการผมสวนไดเสย– การประเมนความพรอมในการปรบเปลยนธรกจ– การบรหารความเสยง– การวางแผนบนพนฐานของความสามารถ– การปฏบตตามขอกำาหนดของสถาปตยกรรม– สญญาดานสถาปตยกรรม

Capability Maturity Model Integration (CMMI) (development)CMMI ครอบคลมถงจดและโดเมนใน COBIT 5 ตอไปน• กระบวนการทเกยวของกบการจดสรางและจดซอจดหาระบบงานในโดเมน BAI • กระบวนการทเกยวของกบการจดองคกรและจดการคณภาพในโดเมน APO

PRINCE2®

PRINCE2 ครอบคลมถงจดและโดเมนใน COBIT 5 ตอไปน• กระบวนการทเกยวของกบการบรหารจดการกลมของชดโครงการในโดเมน APO• กระบวนการทเกยวของการบรหารจดการชดโครงการและโครงการในโดเมน BAI


64

รปภำพท 25 แสดงถงความสมพนธระหวาง COBIT 5 กบมาตรฐานและกรอบการดำาเนนงานอนๆ

รปภำพท 25—ควำมสมพนธระหวำง COBIT 5 กบมำตรฐำนและกรอบกำรด�ำเนนงำนอนๆ


ภาคผนวก F การเปรยบเทยบระหวางตนแบบสารสนเทศใน COBIT 5 กบเกณฑคณสมบตของสารสนเทศใน Cobit 4.1

65

ภาคผนวก F การเปรยบเทยบระหวางตนแบบสารสนเทศใน COBIT 5 กบเกณฑคณสมบตของสารสนเทศใน COBIT 4.1

เกณฑคณสมบตของสารสนเทศ (Information Criteria) 7 ขอใน COBIT 4.1 — ความมประสทธผล ความมประสทธภาพ ความถกตองสมบรณ ความเชอถอได ความพรอมใช การรกษาความลบ การปฏบตตาม (กฎหมายหรอกฎระเบยบขอบงคบ) — เกยวของกบประเภทของคณภาพสำาหรบสารสนเทศและมตตางๆ ของปจจยเออดานสารสนเทศ (information enabler) ของ COBIT 5 ดงทไดแสดงไวในภาคผนวก G รปภำพท 32

ตารางขางลางนประกอบดวย 2 คอลมน คอ• คอลมนแรกแสดงรายการเกณฑคณสมบตของสารสนเทศทง 7 ขอใน COBIT 4.1 • คอลมนทสองแสดงรายการทางเลอกใน COBIT 5 ไดแก เปาหมายของปจจยเออดานสารสนเทศทสมพนธกบเกณฑ

คณสมบตของสารสนเทศในแตละขอ

รปภำพท 26—COBIT 5 ทเทยบไดกบเกณฑคณสมบตของสำรสนเทศใน COBIT 4.1

เกณฑคณสมบตของสำรสนเทศใน COBIT 4.1

COBIT 5 ทเทยบเทำ

ความมประสทธผล สารสนเทศจะมประสทธผลถาสามารถบรรลความตองการของผใชสารสนเทศซงใช สารสนเทศสำาหรบภารกจเฉพาะหนงๆ ถาผใชสารสนเทศสามารถปฏบตภารกจดวยการใช สารสนเทศนนกแสดงวาสารสนเทศนนมประสทธผล ซงสมพนธกบเปาหมายดานคณภาพของสารสนเทศในเรองจำานวนทเหมาะสมของความเกยวเนอง เขาใจไดงาย สามารถแปลความหมายได และเทยงตรง.

ความมประสทธภาพ ในขณะทความมประสทธผลจะมองสารสนเทศเปนผลลพธ ประสทธภาพจะเกยวของกบกระบวนการในการไดมาและการใชสารสนเทศ ดงนน จงสอดคลองกบมมมองทวา ‘สารสนเทศเปนการใหบรการ’ (‘information as service’) ถาสารสนเทศตรงกบความตองการของผใชสารสนเทศและใชไดอยางสะดวกสบาย (เชน ใชทรพยากรนอย ไมวาจะเปนการลงแรง การใชความคด เวลา และเงน) กเรยกไดวาการใชงานสารสนเทศนนมประสทธภาพ ซงสมพนธกบเปาหมายดานคณภาพของสารสนเทศในเรองความนาเชอถอ การเขาถงได ความงายในการใชงาน และชอเสยง

ความถกตองสมบรณ ถาสารสนเทศมความถกตองสมบรณ กหมายถงสารสนเทศนนครบถวนและไมมความผดพลาด ซงสมพนธกบเปาหมายดานคณภาพของสารสนเทศในเรองความครบถวนและถกตอง

ความเชอถอได ความเชอถอไดมกจะถกมองวามความหมายเชนเดยวกบคำาวา ความถกตอง อยางไรกตาม เราอาจกลาวไดวา สารสนเทศมความเชอถอไดหากเปนเรองจรงและไดอยางถกตองและวางใจได หากเปรยบกบความถกตองสมบรณ ความเชอถอไดเปนเรองของดลพนจซงขนกบมมมองของแตละบคคล ไมไดมองเพยงขอเทจจรงอยางเดยว ซงสมพนธกบเปาหมายดานคณภาพของสารสนเทศในเรอง ความนาเชอถอ ชอเสยง ความเทยงตรง

ความพรอมใช ความพรอมใช เปนหนงในเปาหมายดานคณภาพของสารสนเทศภายใตหวขอการเขาถงไดและความมนคงความปลอดภย

การรกษาความลบ การรกษาความลบ สมพนธกบเปาหมายดานคณภาพของสารสนเทศในเรองของการจำากดการเขาถง

การปฏบตตาม การปฏบตตาม ใชในความหมายทสารสนเทศตองสอดคลองกบขอกำาหนดตางๆ ซงเปนสวนหนงของเปาหมายดานคณภาพของสารสนเทศทข นอยกบขอกำาหนดทม การปฏบตตามกฎระเบยบขอบงคบมกจะเปนเปาหมายหรอขอกำาหนดในการใช สารสนเทศ ซงไมคอยเกยวเนองกบคณภาพของสารสนเทศ

ตารางขางตน แสดงถงเกณฑคณสมบตของสารสนเทศทงหมดจาก COBIT 4.1 ท COBIT 5 ไดครอบคลมถง อยางไรกตาม ตนแบบสารสนเทศ (information model) ของ COBIT 5 สามารถกำาหนดชดของเกณฑเพมเตมได จงเพมคณคาใหกบเกณฑของ COBIT 4.1


66



ภาคผนวก G ค�ำอธบำยอยำงละเอยดของปจจยเออใน COBIT 5

67

ภาคผนวก Gคำาอธบายอยางละเอยดของปจจยเออใน COBIT 5บทน�ำในสวนนจะประกอบดวย คำาอธบายประเภทของปจจยเออทง 7 ประเภทในรายละเอยด ซงเปนสวนหนงของกรอบการดำาเนนงาน COBIT 5 ซงไดอธบายในเบองตนไวในบทท 5 และจะนำามากลาวซำาอกในรปภำพท 27

รปภำพท 27—ปจจยเออท วไปใน COBIT 5

มตตำงๆ ของปจจยเออมตททกปจจยเออมรวมกนทง 4 มตไดแก • ผมสวนไดเสย—แตละปจจยเออมผมสวนไดเสย ไดแกผทมบทบาทสำาคญหรอมผลประโยชนในปจจยเออนน ยกตวอยาง

เชน กระบวนการมหนวยงานตางๆ ทดำาเนนกจกรรมของกระบวนการ และ/หรอทไดรบประโยชนจากผลลพธของกระบวนการนนๆ โครงสรางองคกรมผทมสวนไดเสยซงแตละคนกมบทบาทหนาทและผลประโยชนอนเปนสวนหนงของโครงสราง ผ มสวนไดเสยอาจจะอยภายในหรออยภายนอกองคกรกได ผมสวนไดเสยตางกมผลประโยชนและความตองการของตนซงในบางครงอาจจะขดแยงกนเอง ความตองการของผมสวนไดเสยแปลงมาเปนเปาหมายขององคกร ซงเปาหมายนกจะถกแปลงมาเปนเปาหมายทเกยวของกบไอทสำาหรบองคกร รายละเอยดของผมสวนไดเสยแสดงอยในรปภำพท 7

• เปำหมำย—แตละปจจยเออมเปาหมายจำานวนหนงและปจจยเออใหคณคาโดยการบรรลเปาหมายเหลานนเปาหมายเหลานอาจระบเปนลกษณะของ – ผลลพธทคาดหวงจากปจจยเออ– ระบบงานหรอปฏบตการของปจจยเออเอง

เปาหมายของปจจยเออเปนขนตอนสดทายของการสงทอดเปาหมายใน COBIT 5 เปาหมายสามารถแยกออกเปนกลมตางๆ ไดดงน– คณภำพในตวเอง (intrinsic quality) ครอบคลมถงการทปจจยเออทำางานอยางถกตอง เทยงตรง และใหผลลพธท

แมนยำาเทยงตรง และเชอถอได – คณภำพเชงบรบท (contextual quality) ครอบคลมถงการทปจจยเออและผลลพธเปนไปตามจดประสงคในบรบทท

ปจจยเออนนดำาเนนงานอย ไดแก ผลลพธควรจะเกยวเนอง สมบรณ เปนปจจบน เหมาะสม สมำาเสมอ เขาใจไดงาย และใช งานงาย.

– กำรเขำถงและกำรรกษำควำมม นคงปลอดภย ครอบคลมถงการทปจจยเออและผลลพธสามารถเขาถงไดและมความปลอดภย • ปจจยเออมความพรอมใชเมอตองการ• มการรกษาความปลอดภยใหกบผลลพธ ยกตวอยางเชน การเขาถงผลลพธจำากดใหเฉพาะผทไดรบอนมตและจำาเปน

ตองใชเทานน


68

• วฏจกร—แตละปจจยเออมวฏจกรจากจดเรมตนผานชวงเวลาของการดำาเนนงาน/การใชประโยชนจนถงการจำาหนายออก

วฏจกรนประยกตใชกบสารสนเทศ โครงสราง กระบวนการ นโยบาย และอนๆ วฏจกรประกอบดวยการดำาเนนงานในระยะตางๆ ดงน–การวางแผน (รวมถง การพฒนาและการคดเลอกแนวคด)–การออแบบ–การสราง/การจดซอจดหา/การจดทำา/การนำาไปใช –ใช/ดำาเนนการ–ประเมน/เฝาตดตาม–ปรบใหเปนปจจบน/จำาหนายออก

• แนวปฏบตท ด —เราสามารถกำาหนดแนวปฏบตทดสำาหรบปจจยเออแตละรายการได แนวปฏบตทดสนบสนนปจจยเออให บรรลถงเปาหมาย แนวปฏบตทดใหตวอยางหรอขอแนะนำาวาจะนำาปจจยเออไปใชงานอยางไรใหไดดทสด และชนงานหรอขอมลรบเขาและผลลพธอะไรบางทตองการ COBIT 5 ไดใหตวอยางของแนวปฏบตทดสำาหรบปจจยเออใน COBIT 5 เฉพาะบางรายการ (เชน กระบวนการ) สวนปจจยเอออนๆ ทเหลอสามารถใชแนวทางจากมาตรฐานและกรอบการดำาเนนงานอนๆ ได

กำรบรหำรจดกำรประสทธภำพของปจจยเออองคกรคาดหวงทจะไดผลลพธในดานดจากระบบงานและการใชปจจยเออตางๆ ในการบรหารจดการประสทธภาพของปจจยเออจะตองเฝาตดตามคำาถามเหลานและหาคำาตอบจากมาตรวดอยางสมำาเสมอ • มการระบความตองการของผมสวนไดเสยหรอไม• บรรลเปาหมายของปจจยเออหรอไม• วฏจกรของปจจยเออไดรบการจดการหรอไม• มการประยกตใชแนวปฏบตทดหรอไม

คำาถามสองขอแรกเปนคำาถามเกยวกบผลทเกดขนจรงจากปจจยเออ มาตรวดทใชวดวาไดบรรลถงเปาหมายเพยงใดนน เรยกวา ‘ดชนตาม’ (lag indicators)

คำาถามสองขอหลงเปนคำาถามเกยวกบการทำางานจรงของปจจยเออ และมาตรวดทใชจะเรยกวา ‘ดชนชนำา’ (lead indicators)สำาหรบแตละปจจยเออยงมสวนทแยกออกมา ซงมรปคลายกบรปภาพท 27 แตไดรวมถงสวนประกอบจำานวนหนงสำาหรบปจจยเออนนๆ โดยไดแสดงเปนตวอกษรเขมสแดง

ขนตอไป เปนการอธบายในรายละเอยดสำาหรบแตละองคประกอบทง 4 โดยอธบายองคประกอบทสำาคญและความสมพนธกบปจจยเอออนๆ

ตวอยางจำานวนหนงไดถกรวมไวพรอมกบภาพทแสดงใหเหนถงความหมายและการใชงานของปจจยเออตางๆ

จดประสงคในสวนนคอ การใหความเขาใจเพมเตมในกรอบการดำาเนนงาน COBIT 5 และแนวคดของปจจยเออสามารถนำาไปประยกตใชเพอใหการกำากบดแลและการบรหารจดการไอทระดบองคกรไดรบการนำาไปใชและปรบปรงใหดข นไดอยางไร



69

ปจจยเออใน COBIT 5: หลกกำร นโยบำย และกรอบกำรด�ำเนนงำนหลกการและนโยบายเปนกลไกในการสอสารทจดทำาขนเพอถายทอดทศทางและคำาสงจากผบรหารและหนวยงานกำากบดแล รายละเอยดเฉพาะของปจจยเออสำาหรบหลกการ นโยบาย และกรอบการดำาเนนงานเปรยบเทยบกบคำาอธบายของปจจยเออทวไป (generic enabler) ไดแสดงไวในรปภำพท 28

ตนแบบของหลกการ นโยบาย และกรอบการดำาเนนงาน แสดงถง• ผมสวนไดเสย—ผมสวนไดเสยสำาหรบหลกการและนโยบายอาจอยภายในหรอภายนอกองคกรกได โดยรวมถงคณะกรรรม

การบรหารและผบรหารระดบสง เจาหนาทดานการปฏบตตาม(กฎระเบยบขอบงคบ) ผจดการความเสยง ผตรวจสอบภายในและผตรวจสอบภายนอก ผใหบรการ ลกคาและหนวยงานกำากบดแล สวนไดเสยม 2 ดาน: ผมสวนไดเสยบางคนทเปนผ กำาหนดนโยบาย และทเหลอเปนผทตองปฏบตตนใหสอดคลองและเปนตามนโยบาย

• เปำหมำยและมำตรวด—หลกการ นโยบายและกรอบการดำาเนนงานเปนเครองมอในการสอสารถงกฎขององคกรทกำาหนดขนโดยคณะกรรมการบรหารและผบรหารระดบสง เพอสนบสนนวตถประสงคดานการกำากบดแลและคณคาขององคกร หลกการจำาเปนตอง – จำากดจำานวน– ใชภาษาทงาย แสดงออกใหชดเจนมากทสดถงแกนของคณคาองคกร

นโยบายใหแนวทางทละเอยดมากขน วาจะนำาหลกการไปปฏบตไดอยางไรและมอทธพลตอการตดสนใจวาสอดคลองกบหลกการอยางไร นโยบายทดตอง– มประสทธผล—บรรลตามจดประสงคทตงไว – มประสทธภาพ—ชวยใหมนใจวาไดนำาหลกการไปใชอยางมประสทธภาพ– ไมกาวกายหรอเปนทรบกวน (Non-intrusive) —แสดงถงความสมเหตผลแกผทปฏบตตาม นนคอ ไมทำาใหเกด

การตอตานทไมจำาเปน

การเขาถงนโยบาย—มกลไกทชวยใหผมสวนไดเสยทงหมดสามารถเขาถงนโยบายไดโดยงายหรอไม หรออกนยหนง ผมสวนไดเสยทราบหรอไมวาจะหาอานนโยบายไดจากทใด

รปภำพท 28—ปจจยเออใน COBIT 5: หลกกำร นโยบำย และกรอบกำรด�ำเนนงำน

กรอบการดำาเนนงานดานการกำากบดแลและการบรหารจดการ ควรใหโครงสราง แนวปฏบต เครองมอ และอนๆ แกผบรหาร ทชวยใหเกดการกำากบดแลและการบรหารจดการไอทระดบองคกรทเหมาะสม กรอบดำาเนนงานควร– กวางและครอบคลมถงทกจดทจำาเปน– เปดรบและยดหยน สามารถปรบใหสอดคลองเขากบสถานการณเฉพาะขององคกร – เปนปจจบน กลาวคอ สะทอนถงทศทางในปจจบนขององคกรและเปาหมายการกำากบดแลในปจจบน– พรอมใชงานและผมสวนไดเสยทงหมดสามารถเขาถงได


70

• วฎจกร - นโยบายมวฏจกรทจะตองสนบสนนการบรรลถงเปาหมายทกำาหนดไว กรอบการดำาเนนงานสงสำาคญทให

โครงสรางทชวยจะกำาหนดแนวทางทสอดคลองกน ยกตวอยางเชน กรอบการดำาเนนงานดานนโยบายใหโครงสรางทเออให มการกำาหนดและรกษาชดของนโยบายทสอดคลองกน และยงใหจดนำาทางแบบงายๆ ภายในและระหวางนโยบายแตละขอ

องคกรอาจมขอกำาหนดทใชบงคบควบคมในระดบทแตกตางกนไปเพอการควบคมภายในและกรอบการดำาเนนงานดานนโยบายทเขมแขง ขนอยกบสภาพแวดลอมภายนอกทองคกรดำาเนนงานอย จดสำาคญทควรนำามาพจารณาเกยวกบกรอบการดำาเนนงานและนโยบายคอ ความเปนปจจบนของนโยบาย—วานโยบายไดรบการสอบทานและปรบใหเปนปจจบนเมอได มกลไกทแขงแกรงทจะทำาใหมนใจไดวา บคคลไดรบรถงการปรบใหเปนปจจบนนหรอไม นโยบายทปรบใหเปนปจจบนใหมนสามารถเขาถงไดงายหรอไม(กรณาดประเดนกอนหนาน) และสารสนเทศทเลกใชแลวไดรบการจดเกบไวตางหาก (archived) หรอทำาลายอยางเหมาะสมหรอไม • แนวปฏบตท ด:

– แนวปฏบตทดจำาเปนตองมนโยบายทเปนสวนหนงของกรอบดำาเนนงานดานการกำากบดแลและการบรหารจดการ ซงให โครงสราง (เชงลำาดบชน) ททำาใหนโยบายทงหมดสอดคลองและสามารถเชอมโยงกบหลกการทเปนพนฐานไดอยางชดเจน

– ในการเปนสวนหนงของกรอบการดำาเนนงานดานนโยบาย หวขอดงตอไปนจะตองมคำาอธบาย• ขอบเขต และความสมเหตสมผล• ผลทตามมาจากการทไมปฏบตตามนโยบาย• วธการรบมอกบขอยกเวน• วธตรวจสอบและวดผลการปฏบตตามนโยบาย

– กรอบการดำาเนนงานดานการกำากบดแลและการบรหารจดการทไดรบการยอมรบกนโดยทวไปนน ใหแนวทางทเปนประโยชนในการระบถงขอความทควรจะรวมอยในนโยบาย

– นโยบายควรจะสอดคลองกบระดบความเสยงทองคกรยอมรบได นโยบายเปนองคประกอบสำาคญของระบบควบคมภายในขององคกรซงมจดประสงคเพอบรหารจดการและควบคมความเสยง สวนหนงในกจกรรมดานการกำากบดแลความเสยงรวมถงการกำาหนดระดบความเสยงทองคกรยอมรบได และระดบความเสยงทยอมรบไดนควรสะทอนใหเหนอยในนโยบายดวย องคกรทหลกเลยงการรบความเสยง (risk averse enterprise) ยอมมนโยบายทเขมงวดกวาองคกรทพรอมจะยอมรบความเสยง (risk-aggressive enterprise)

– นโยบายจำาเปนตองไดรบการประเมนความสมเหตสมผลใหม (revalidated) และ/หรอปรบใหเปนปจจบนตามชวงเวลาทสมำาเสมอ

• ควำมสมพนธกบปจจยเอออ นๆ —ความเชอมโยงกบปจจยเอออนๆ รวมถง:– หลกการ นโยบาย และกรอบการดำาเนนงานควรจะสะทอนถงคณคาของวฒนธรรมและจรยธรรมขององคกร และควรสง

เสรมใหเกดพฤตกรรมทตองการ ดงนน จงมความเชอมโยงทแนนแฟนกบปจจยเออดานวฒนธรรม จรยธรรม และพฤตกรรม

– แนวปฏบตและกจกรรมของกระบวนการ เปนพาหนะทสำาคญในการปฏบตตามนโยบาย– โครงสรางองคกรสามารถกำาหนดนโยบายและนำาไปใชงานงานภายใตขอบเขตของการควบคม(span of control) และ

ในทางกลบกนกจกรรมตางๆ กจะถกกำาหนดขนโดยนโยบายเชนกน – นโยบายกเปนสารสนเทศ ดงนน แนวปฏบตทดทงหมดทประยกตใชกบสารสนเทศกสามารถประยกตใชกบนโยบายเชน

กนตวอยำงท 9—สอสงคม

องคกรกำาลงพจารณาวาจะจดการกบสอสงคม (social media) ทใชกนอยางแพรหลายและแรงกดดนจากพนกงานทตองการเขาถงเพอใชงานไดอยางไร จนถงปจจบน องคกรยงคงใชความระมดระวงหรอจำากดการใหสทธในการเขาถงบรการน ดวยเหตผลหลกคอการรกษาความมนคงปลอดภย

มแรงกดดนจากดานตางๆ ใหพจารณาเปลยนจดยนขององคกรเกยวกบสอสงคมน พนกงานตองการใหสามารถเขาถงสอสงคมได เชนเดยวกบทพวกเขาทำาทบาน และองคกรกตองการใชสอสงคมเพอประโยชนดานการตลาดและเพอจดประสงคในการสรางความตระหนกในหมสาธารณะชน

ไดมการตดสนใจทจะกำาหนดนโยบายในการใชสอสงคมบนเครอขายและระบบขององคกร ซงรวมถงเครองคอมพวเตอรพกพาทองคกรใหกบพนกงานขององคกรใช นโยบายทกำาหนดใหมนสอดคลองกบกรอบการดำาเนนงานดานนโยบายทมอยภายใตหวขอ ‘นโยบายการใชงานทยอมรบได’ (acceptable use policy) ซงผอนปรนมากกวานโยบายเดม ดงนน จงไดมการพฒนาการสอสารเพอทอธบายถงเหตผลของนโยบายใหม ในขณะเดยวกนกมผลกระทบกบปจจยเออบางรายการ เชน• พนกงานจำาเปนตองเรยนรวาจะจดการกบสอใหมนอยางไรเพอจะหลกเลยงสถานการณทจะกอใหเกดความเสอมเสยแกองคกร

พวกเขาจำาเปนตองเรยนรถงพฤตกรรมทเหมาะสมใหสอดคลองกบทศทางใหมทองคกรกำาลงจะไปและพฒนาทกษะทเหมาะสม• กระบวนการจำานวนหนงทเกยวของกบการรกษาความมนคงปลอดภยจำาเปนตองเปลยนไป เมอเปดใหเขาถงสอสงคมเหลานกจะ

ตองมการเปลยนแปลงการกำาหนดคาการทำางานและคาตวแปรตางๆ ดานการรกษาความมนคงปลอดภย และอาจตองกำาหนดมาตรการทดแทนบางประการขนมาใช

หมายเหต: COBIT 5 เปนตวอยางของกรอบการดำาเนนงานดงทอธบายไวในปจจยเออน



71

ปจจยเออใน COBIT 5: กระบวนกำรรายละเอยดเฉพาะของปจจยเออดานกระบวนการ (Process enabler) เปรยบเทยบกบปจจยเออทวไป (generic enabler) ไดแสดงไวในรปภำพท 29

รปภำพท 29—ปจจยเออใน COBIT 5: กระบวนกำร

กระบวนการ หมายถง ‘กลมของแนวปฏบตท ไดรบอทธพลจำกนโยบำยและข นตอนกำรปฏบตงำนขององคกร ทรบขอมลจำกแหลงตำงๆ (รวมถงกระบวนกำรอนๆ ) จดด�ำเนนกำรขอมลทรบเขำมำ และจดท�ำผลลพธ(ยกตวอยำงเชน ผลตภณฑ บรกำร)’

ตนแบบของกระบวนการ (Process model) แสดงถง• ผมสวนไดเสย— กระบวนการมผมสวนไดเสยทงภายในและภายนอกและตางมบทบาทหนาทของตน ผมสวนไดเสย และ

ระดบหนาทความรบผดชอบของแตละคนไดแสดงไวในตาราง RACI ผมสวนไดเสยภายนอกรวมถง ลกคา พนธมตรทางธรกจ ผถอหน และหนวยงานกำากบดแล ผมสวนไดเสยภายในไดแก คณะกรรมการบรหาร ผบรหาร เจาหนาท และอาสาสมคร

• เปำหมำย—เปาหมายของกระบวนการ นยามไววาเปน ‘ขอความทอธบายถงผลลพธทคาดหวงจากกระบวนการ ผลลพธอาจจะเปนสงทจดทำาขนมา (artifact) การเปลยนแปลงสถานะอยางเปนนยสำาคญ หรอการปรบปรงความสามารถของกระบวนการอนๆ อยางเปนนยสำาคญ’ เปาหมายของกระบวนการเปนสวนหนงของการสงทอดเปาหมาย (goal cascade)นนคอ เปาหมายของกระบวนการสนบสนนเปาหมายทเกยวของกบไอท ซงในทางเดยวกนกสนบสนนเปาหมายขององคกร

เปาหมายของกระบวนการสามารถจดประเภทไดดงน:– เปำหมำยในตวเอง (Intrinsic goal)—กระบวนการมคณภาพในตวเองหรอไม มความถกตองแมนยำาและสอดคลองกบ

แนวปฏบตทดหรอไม เปนตามตามกฎทงภายในและภายนอกหรอไม– เปำหมำยเชงบรบท (Contextual goal)—กระบวนการไดถกปรบแตงและรบมาใชใหเขากบสถานการณเฉพาะของ

องคกรหรอไม กระบวนการมความเกยวของ เขาใจได และงายตอการนำาไปประยกตใชงานหรอไม– เปำหมำยกำรเขำถงและกำรรกษำควำมม นคงปลอดภย—กระบวนการเปนความลบ และสามารถรบรและเขาถงได

เฉพาะผทจำาเปนใชเมอตองการ

ในแตละระดบของการสงทอดเปาหมาย ซงรวมถงกระบวนการดวย มการกำาหนดมาตรวดเพอวดผลการบรรลถงเปาหมาย มาตรวดอาจสามารถระบเปน ‘หนวยเชงปรมาณทชวยวดการบรรลถงเปาหมายของกระบวนการ มาตรวดควรเปน SMART – เฉพาะเจาะจง (Specific) วดผลได (Measurable) สามารถนำาไปปฏบตไดจรง (Actionable) มความเกยวเนอง (Relevant) และทนเวลา (Timely)’


72

ในการบรหารจดการปจจยเออใหมประสทธภาพและประสทธผล จำาเปนตองกำาหนดมาตรวดเพอวดวาบรรลผลลพธทคาดหวงมากนอยเพยงใด นอกจากน ในมมมองทสองของการบรหารประสทธภาพในการดำาเนนงานของปจจยเออยงไดอธบายถงการนำาแนวปฏบตทดมาประยกตใช ซงสามารถกำาหนดมาตรวดทเกยวของขนมาเพอชวยในการบรหารปจจยเออ

• วฏจกร—แตละกระบวนการมวฏจกรในการดำาเนนงาน ซงไดแก กำาหนดขน จดทำาใหมข น ดำาเนนงาน เฝาตดตาม และแกไข/ปรบปรง หรอเลกใชงาน แนวปฏบตทวไปดงเชนทไดระบไวในตนแบบการประเมนกระบวนการ (process assessment model) ของ COBIT ซงองกบมาตรฐาน ISO/IEC 15504 จะชวยในการระบ การดำาเนนการ การเฝาตดตาม และการทำาใหกระบวนการนนใหประโยชนสงสด

• แนวปฏบตท ด— ในเอกสาร การสมฤทธผลของกระบวนการของ COBIT 5 (COBIT 5: Enabling process) มตนแบบอางองของกระบวนการ (process reference model) ซงไดอธบายรายละเอยดมากขนสำาหรบแนวปฏบตทดสำาหรบกระบวนการภายใน ไดแก แนวปฏบต กจกรรม และกจกรรมยอย14

แนวปฏบต • สำาหรบแตละกระบวนการใน COBIT 5 แนวปฏบตเกยวกบการกำากบดแล/การบรหารจดการไดใหขอกำาหนดในภาพรวมท

เปนชดสมบรณสำาหรบการกำากบดแลและการบรหารจดการไอทระดบองคกรทมประสทธผล ซงประกอบดวย- คำาแถลงการณกระทำา (Statements of actions) เพอสงมอบผลประโยชน เพอรกษาระดบความเสยงในระดบทเหมาะสมและเพอการใชทรพยากรใหเกดประโยชนสงสด

- สอดคลองกบมาตรฐานและแนวปฏบตทดทเกยวของ ซงเปนทยอมรบกนโดยทวไป - มลกษณะทวไป (Generic) จงจำาเปนตองนำามาปรบใชใหเหมาะสมสำาหรบแตละองคกร- ครอบคลมถงผทมบทบาทหนาททงในภาคธรกจและภาคไอทในกระบวนการ (ตงแตตนจนจบ)

• หนวยงานกำากบดแลและผบรหารขององคกรจำาเปนตองตดสนใจเลอกในเรองทเกยวของกบแนวปฏบตดานการกำากบดแลและการบรหารจดการ โดย - เลอกสงทสามารถนำามาประยกตใชได และตดสนใจวาสงใดทจะนำามาใช - เพมเตม และ/หรอปรบใชแนวปฏบตตามความจำาเปน- กำาหนดและเพมเตมแนวปฏบตทไมเกยวของกบไอท เพอบรณาการใหเขากบกระบวนการทางธรกจ- เลอกวาจะนำาไปใชอยางไร (ความถ ขอบเขต ความเปนอตโนมต และอนๆ )- ยอมรบความเสยงจากการไมนำาสงทอาจนำาไปประยกตใชไดไปใช

กจกรรม—ใน COBIT ไดแกการกระทำาทสำาคญเพอดำาเนนกระบวนการ • นยามวาเปน ‘แนวทางเพอชวยใหบรรลแนวปฏบตในการบรหารจดการสำาหรบการกำากบดแลและการบรหารจดการไอท

ระดบองคกร’ กจกรรมตางๆ ใน COBIT 5 ไดใหแนวทางวาจะตองนำาอะไรไปใชงานในแตละแนวปฏบตของการกำากบดแลและการบรหารจดการไอทระดบองคกร นำาไปใชอยางไรและทำาไมตองนำาไปใช เพอทจะปรบปรงประสทธภาพในการดำาเนนงานดานไอท และ/หรอจดการกบความเสยงในการสงมอบกระบวนการแกไขปญหาแบบเบดเสรจดานไอทและการสงมอบบรการ ขอมลเหลานเปนประโยชนตอ - ผบรหาร ผใหบรการ ผใชงาน และผประกอบวชาชพดานไอท ผซ งจำาเปนตองวางแผน จดทำา ดำาเนนการ หรอเฝา

ตดตามไอทระดบองคกร - ผประกอบวชาชพดานการใหความเชอมน (assurance professional) ผซ งใหความเหนเกยวกบการนำาไปใชงานใน

ปจจบนหรอทกำาลงนำาเสนอ หรอการปรบปรงทจำาเปน• ชดของกจกรรมทวไปและกจกรรมเฉพาะทครบถวนสมบรณ ซงใหวธปฏบตหนงเดยวทประกอบดวยขนตอนทงหมดท

จำาเปนและเพยงพอสำาหรบการบรรลถงแนวปฏบตหลกดานการกำากบดแล (GP) และดานการบรหารจดการ (MP) และยงใหแนวทางในภาพรวมในระดบทตำากวา GP/MP สำาหรบการประเมนผลการดำาเนนงานทเกดขนจรง และเพอพจารณาถงการปรบปรงทอาจเกดขน กจกรรมประกอบดวย – การอธบายถงชดของขนตอนทจำาเปนและเพยงพอสำาหรบการนำาไปใชงานในเชงปฏบต เพอบรรล GP/MP – พจารณาถงขอมลรบเขา (input) และผลลพธของกระบวนการ– องกบมาตรฐานและแนวปฏบตทดทยอมรบกนโดยทวไป– สนบสนนการจดใหมบทบาทหนาทและความรบผดชอบทชดเจน– ไมตายตว และจำาเปนตองนำามาปรบใชและพฒนาไปสกระบวนการเฉพาะทเหมาะสมสำาหรบองคกร

กจกรรมยอย—กจกรรมอาจจะไมมรายละเอยดเพยงพอในการนำาไปใชงาน อาจจำาเปนตองใชแนวทางเพมเตม– จากมาตรฐานและแนวปฏบตทดทเกยวของ เชน ITIL ชด ISO/IEC 27000 และ PRINCE2– จากการพฒนาเพมเตมเมอมรายละเอยดมากขนหรอมกจกรรมเฉพาะโดยมการพฒนาเพมในชดผลตภณฑของ COBIT 5 ขอมลรบเขำและผลลพธ—ขอมลรบเขาและผลลพธใน COBIT 5 เปนชนงานหรอสงททำาขนของกระบวนการทถอวาเปนสงจำาเปนในการสนบสนนการดำาเนนกระบวนการ ซงเออตอการตดสนใจทสำาคญ ใหขอมลและรองรอยสำาหรบการตรวจสอบกจกรรมของกระบวนการ และเออตอการตดตามเมอเกดเหตการณผดปกตขน กจกรรมยอยกำาหนดขนในระดบของแนว

14เฉพาะแนวปฏบตและกจกรรมเทานนทไดรบการพฒนาภายใตโครงการปจจบน ระดบของรายละเอยดทมากขนยงจำาเปนตองพฒนาเพมเตม ไดแก แนวทางสำาหรบวชาชพตางๆ ทใหแนวทางเฉพาะวชาชพ นอกจากน แนวทางเพมเตมยงสามารถหาไดจากมาตรฐานและกรอบการดำาเนนงานอนๆ ทเกยวของ ดงทไดระบไวในคำาอธบายกระบวนการในรายละเอยด



73

ปฏบตหลกดานการกำากบดแล/การบรหารจดการ และอาจรวมถงชนงานทใชเฉพาะภายในกระบวนการนนๆ และบอยครงจะเปนขอมลรบเขาทจำาเปนสำาหรบกระบวนการอนๆ15

แนวปฏบตทดจากภายนอก อาจมรปแบบและระดบของรายละเอยดทแตกตางกน และสวนใหญจะองกบมาตรฐานและกรอบการดำาเนนงานอนๆ COBIT สอดคลองกบมาตรฐานทเกยวของเหลานและมขอมลการเปรยบเทยบไวให ผใชจงสามารถอางองแนวปฏบตทดจากภายนอกเหลานไดตลอดเวลา

กำรบรหำรจดกำรประสทธภำพในกำรด�ำเนนงำนของปจจยเออองคกรคาดหวงผลลพธในดานดจากระบบงานและการใชปจจยเออ สำาหรบการบรหารจดการประสทธภาพในการดำาเนนงานของปจจยเออ คำาถามตอไปนจำาเปนตองไดรบการเฝาตดตามและหาคำาตอบจากมาตรวดอยางสมำาเสมอ • มการระบถงความตองการของผมสวนไดเสยหรอไม• บรรลเปาหมายของปจจยเออหรอไม• วฏจกรของปจจยเออไดรบการจดการหรอไม• มการนำาแนวปฏบตทดมาประยกตใชหรอไม

ในกรณของปจจยเออดานกระบวนการ 2 หวขอแรกเกยวของกบผลลพธของกระบวนการทเกดขนจรง มาตรวดทใชวดวาได บรรลเปาหมายมากนอยเพยงใดนนเรยกวา ‘ดชนตาม (lag indicator)’ ใน COBIT 5: การสมฤทธผลของกระบวนการ (COBIT 5: Enabling Process) มการกำาหนดมาตรวดจำานวนหนงสำาหรบแตละเปาหมายของกระบวนการ

2 หวขอหลงเกยวของกบหนาทการทำางานจรงของปจจยเออ และมาตรวดสำาหรบกลมนจะเรยกวา ‘ดชนนำา (lead indicator)’

ระดบควำมสำมำรถของกระบวนกำร (Process capability level)–ของ COBIT 5 ไดรวมเอาแบบแผนการประเมนความสามารถของกระบวนการจาก ISO /IEC 15504 โดยไดอธบายไวในบทท 8 ของ COBIT 5 และยงมแนวทางเพมเตมทสามารถหาไดจากในเอกสารเลมอนของ COBIT 5 ทตพมพโดย ISACA โดยสรปแลว ระดบความสามารถกระบวนการวดผลทงการบรรลเปาหมายหมายและการประยกตใชแนวปฏบตทด

ควำมสมพนธกบปจจยเอออ นๆ – มการเชอมโยงกนระหวางกระบวนการและปจจยเออประเภทอนๆ ผานทางความสมพนธตอไปน • กระบวนการตองการสารสนเทศ (เปนสวนหนงของขอมลรบเขา) และกระบวนการสามารถทำาใหเกดสารสนเทศได (เปนชน

งาน (work product)) • กระบวนการจำาเปนตองมโครงสรางการจดองคกรและบทบาทหนาทในการดำาเนนงาน (ตามทระบไวในตาราง RACI ยก

ตวอยางเชน คณะกรรมการอำานวยการดานไอท (IT steering committee) คณะกรรมการความเสยงองคกร (enterprise risk committee) คณะกรรมการบรหาร หนวยงานตรวจสอบ ผบรหารสงสดดานสารสนเทศ (CIO) ประธานเจาหนาทบรหาร (CEO)

• กระบวนการทำาใหเกดและตองการใชความสามารถในการใหบรการ (โครงสรางพนฐาน ระบบงาน และอนๆ )• กระบวนการอาจและจะขนอยกบกระบวนการอน• กระบวนการกำาหนดหรอจำาเปนตองมนโยบายและขนตอนการปฏบตงานเพอใหมนใจถงความสอดคลองกนในการนำาไปใช

งานและการใชปฏบต • มมมองดานวฒนธรรมและพฤตกรรมจะกำาหนดวากระบวนการจะถกนำาไปปฏบตไดดมากนอยเพยงใด

ตวอยำงในเชงปฏบตของปจจยเออดำนกระบวนกำรตวอยางท 10 แสดงถงปจจยเออดานกระบวนการ การเชอมโยงกนระหวางปจจยเออ และมตตางๆ ของปจจยเออ ตวอยางนจดทำาตามตวอยางท 7 ทกลาวไวกอนหนาน

ตนแบบอำงองของกระบวนกำรใน COBIT 5 กระบวนกำรก�ำกบดแลและบรหำรจดกำรหนงในหลกการสำาคญของ COBIT คอความแตกตางระหวางการกำากบดแลและการบรหารจดการ ในหลกการนทกองคกรลวนคาดหวงใหนำากระบวนการตางๆ ดานการกำากบดแลและกระบวนการตางๆ ดานการบรหารจดการไปใชงานเพอใหเกด การกำากบดแลและการบรหารจดการไอทระดบองคกรอยางครอบคลม

15รายการทแสดงถงขอมลรบเขาและผลลพธใน COBIT 5 ไมควรถอวามเพยงขอมลตามทรายการแสดงไวเทานน เพราะอาจมการระบกระแสสารสนเทศเพมเตมขนอกได ขนอยกบสภาพแวดลอมขององคกรและกรอบการดำาเนนงานของกระบวนการ


74

เมอพจารณาถงกระบวนการดานการกำากบดแลและการบรหารจดการในบรบทขององคกรแลว ความแตกตางระหวางประเภทของกระบวนการอยทวตถประสงคของกระบวนการ • กระบวนกำรดำนกำรก�ำกบดแล—กระบวนการดานการควบคมกำากบดแลจะใชกบวตถประสงคดานการกำากบดแลผมสวน

ไดเสย—การสงมอบคณคา การรกษาระดบความเสยงใหเหมาะสม และการใชทรพยากรใหเกดประโยชนสงสด—และรวมถงแนวปฏบตและกจกรรมทมงไปยงการประเมนทางเลอกดานกลยทธ การใหทศทางดานไอท และการเฝาตดตามผลลพธ (EDM- ทเปนไปตามแนวคดของมาตรฐาน ISO/IEC 38500)

• กระบวนกำรบรหำรจดกำร—เปนไปตามคำานยามของการบรหารจดการ แนวปฏบต และกจกรรรมในกระบวนการบรหารจดการทครอบคลมถงหนาทความรบผดชอบดานการวางแผน จดสราง ดำาเนนการและเฝาตดตาม (PBRM-Plan, Build, Run and Monitor) ไอทระดบองคกร และตองใหการครอบคลมไอทอยางครบวงจร

ตวอยำงท 10—กำรเชอมโยงกนในระหวำงปจจยเออดำนกระบวนกำรองคกรไดแตงตง ‘ผจดการกระบวนการ’ สำาหรบกระบวนการทเกยวของกบไอท เพอรบผดชอบในการกำาหนดและดำาเนนกระบวนการใหมประสทธภาพและประสทธผล ในบรบทของการกำากบดแลและการบรหารจดการไอทระดบองคกร

เรมดวยผจดการกระบวนการจะมงเนนไปทปจจยเออดานกระบวนการ โดยพจารณาถงมตตางๆ ของปจจยเออ• ผมสวนไดเสย:ผมสวนไดเสยของกระบวนการซงรวมถงผกระทำาการในกระบวนการทงหมด (process actor) ไดแก ทกฝายท

รบผดชอบตามหนาท รบผดชอบในผลงาน (Accountability) ใหคำาปรกษา (Consulted) หรอไดรบแจงใหทราบ (Informed) (RACI) สำาหรบหรอในระหวางการดำาเนนกจกรรมของกระบวนการ เพอการน สามารถใชตาราง RACI Chart ตามทไดไดอธบายไวใน COBIT 5: กำรสมฤทธผลของกระบวนกำร (COBIT 5: Enabling Process)

• เปำหมำย: แตละกระบวนการจะตองกำาหนดเปาหมายทเหมาะสมและมาตรวดทเกยวของ ยกตวอยางเชน กระบวนการ AP008บรหำรจดกำรควำมสมพนธ ใน COBIT 5: กำรสมฤทธผลของกระบวนกำร (COBIT 5: Enabling Process) เราสามารถคนหาชดเปาหมายของกระบวนการและมาตรวด เชน – เปำหมำย: มความเขาใจกลยทธทางธรกจ แผนงาน และความตองการตางๆ อยางถองแทจดทำาเปนเอกสารและไดรบการอนมต

• มำตรวด: รอยละของชดโครงการ (programmes) ทสอดคลองกบความตองการทางธรกจ/ลำาดบความสำาคญขององคกร– เปำหมำย: ความสมพนธทดระหวางองคกรกบหนวยงานดานไอท

• มำตรวด: คะแนนจากผลสำารวจความพงพอใจของผใชและบคคลากรดานไอท• วฏจกร: แตละกระบวนการมวฏจกร ไดแก สรางขน ดำาเนนการ และเฝาตดตาม รวมทงปรบเปลยนตามความเหมาะสม ทายทสด

กระบวนการกจะถกยกเลกไป ในกรณน กอนอนผจดการกระบวนการจำาเปนตองออกแบบและกำาหนดกระบวนการขนมาเปนอยางแรก โดยสามารถใชองคประกอบตางๆ ใน COBIT 5: กำรสมฤทธผลของกระบวนกำร (COBIT 5: Enabling Process) เพอออกแบบกระบวนการ ไดแก ใชในการกำาหนดหนาทความรบผดชอบและแตกกระบวนการลงมาเปนแนวปฏบตและกจกรรมตางๆ รวมถงระบช นงาน (work product) ของกระบวนการ (ขอมลรบเขาและผลลพธ) ขนตอนถดมา กระบวนการจำาเปนตองมความทนทาน (robust) และมประสทธภาพมากขน และดวยจดประสงคดงกลาวผจดการกระบวนการสามารถเพมระดบความสามารถของกระบวนการได ตนแบบความสามารถกระบวนการ (process capability model) และคณลกษณะความสามารถของกระบวนการ ( process capability attribute) ใน COBIT 5 ทอางองมาจาก ISO/IEC 15504 สามารถนำามาใชสำาหรบจดประสงคดงกลาว เชน – ความสามารถของกระบวนการระดบ 2 จะตองบรรลคณลกษณะ 2 ประการ ไดแก การบรหารจดการประสทธภาพในการดำาเนนงาน

(performance management) และการบรหารจดการชนงาน (work product management) คณลกษณะแรกจำาเปนตองมกจกรรมตางๆ ทเกยวของกบระยะในการวางแผน ไดแก เชน • กำาหนดวตถประสงคสำาหรบประสทธภาพของกระบวนการ• มการวางแผนดานประสทธภาพของกระบวนการ• มการกำาหนดหนาทความรบผดชอบในการดำาเนนกระบวนการ • มการกำาหนดทรพยากรทตองใช • อนๆ ทระดบของความสามารถเดยวกนน ไดระบถงกจกรรมตางๆ ในระยะของ ‘การเฝาตดตาม’ ภายใตวฏจกรของกระบวนการ อาทเชน • การเฝาตดตามประสทธภาพในการดำาเนนงานของกระบวนการ• ประสทธภาพในการดำาเนนงานของกระบวนการไดรบการปรบแกใหเปนไปตามแผน• อนๆ

– เราสามารถใชวธปฏบตเดยวกนนเพอทจะใหไดแนวทางสำาหรบระยะอนๆ ภายใตวฏจกร จากคณลกษณะของประสทธภาพความสามารถตางๆ ในระดบความสามารถของกระบวนการทเพมขน

• แนวปฏบตท ด: COBIT 5 ไดอธบายถงแนวปฏบตทดอยางละเอยดสำาหรบกระบวนการตางๆ ไวใน COBIT 5: การสมฤทธผลของกระบวนการ (COBIT 5: Enabling Process) ตามทไดกลาวไวในหวขอกอน โดยมแรงบนดาลใจและตวอยางของกระบวนการตางๆ แสดงไว ซงครอบคลมถงกจกรรมหลากหลายอยางครบดวนสำาหรบการกำากบดแลและการบรหารจดการไอทระดบองคกรทด

นอกจากแนวทางในเรองของปจจยเออดานกระบวนการแลว ผจดการกระบวนการอาจจะตดสนใจทจะพจารณาปจจยเออ อนๆ ดวย เชน• ตาราง RACI ไดอธบายถงบทบาทแหนาทและความรบผดชอบ ปจจยเอออนๆ จะชวยใหสามารถลงไปในรายละเอยดของมตน เชน

- ในเรองทกษะและความสามารถของปจจยเออ จะตองกำาหนดทกษะและความสามารถทจำาเปนตองมสำาหรบแตละบทบาทหนาท และกำาหนดเปาหมายทเหมาะสม (เชน ระดบของทกษะทางพฤตกรรมและทางเทคนค) และสามารถกำาหนดมาตรวดทเกยวของ

- ตาราง RACI ไดบรรจโครงสรางองคกรตางๆ ไว ซงโครงสรางเหลานไดมอธบายเพมเตมไวในปจจยเออดานโครงสรางองคกร ซงไดให รายละเอยดของโครงสรางมากขน มการกำาหนดผลลพธทคาดหวงและมาตรวดทเกยวของ (เชน การตดสนใจ) มการกำาหนดแนวปฏบตทด (เชน ขอบเขตของการควบคม หลกการดำาเนนงานของโครงสราง ระดบของอำานาจในการสงการ)

- หลกการและนโยบายจะทำาใหกระบวนการเปนทางการและอธบายถงเหตผลของความจำาเปนทจะตองมกระบวนการน ใครเปนผทเกยวของและจะใชอยางไร ซงเปนจดทสำาคญของปจจยเออดานหลกการและนโยบาย



75

.ถงแมวาผลลพธของกระบวนการทง 2 ประเภทจะมความแตกตางกนและมบคคลทเกยวของทแตกตางกน แตภายในแลว ภายใตบรบทของกระบวนการ กระบวนการทงหมดจำาเปนตองมกจกรรมตางๆ ในการวางแผน การจดทำาหรอการนำาไปใชงาน การปฏบต และการเฝาตดตาม ภายในกระบวนการ

ตนแบบอำงองของกระบวนกำรใน COBIT 5 COBIT 5 ไมใชส งทตายตว แตจากรายละเอยดขางตนเปนทชดเจนวา COBIT 5 สนบสนนใหองคกรนำากระบวนการกำากบดแลและบรหารจดการไปใชงานโดยไดครอบคลมถงหวขอหลกตามทแสดงไวในรปภำพท 30

ในทางทฤษฏแลว องคกรสามารถจดใหมกระบวนการตางๆ ตามทเหนวาเหมาะสม ตราบใดทยงครอบคลมวตถประสงคขนพนฐานของการกำากบดแลและการบรหารจดการ เพอใหครอบคลมวตถประสงคเดยวกน องคกรขนาดเลกอาจใชเพยงไมกกระบวนการในขณะทองคกรทขนาดใหญและซบซอนกวาอาจจะจำาเปนตองมกระบวนการมากมาย

รปภำพท 30—จดส�ำคญในกำรก�ำกบดแลและกำรบรหำรจดกำรของ COBIT 5

COBIT 5 ไดรวมเอาตนแบบอางองของกระบวนการทระบและอธบายถงรายละเอยดของกระบวนการกำากบดแลและบรหารจดการตางๆ โดยใหตนแบบอางองของกระบวนการทเปนตวแทนของกระบวนการทงหมดทเกยวของกบกจกรรมทางดานไอทซงมกจะพบในองคกร ชวยใหมตนแบบอางองทใชรวมกนระหวางผปฏบตงานดานไอทและผจดการทางธรกจซงสามารถเขาใจได ตนแบบของกระบวนการทนำาเสนอนเปนตนแบบทมความครบถวนสมบรณและครอบคลม แตไมไดเปนแคตนแบบเดยวเทานนทสามารถใชได แตละองคกรจะตองกำาหนดชดของกระบวนการขนมาใชโดยคำานงถงความเหมาะสมในแตละสถานการณ

โดยการรวมเอารปแบบในการดำาเนนงาน (Operational model) และภาษาสามญทวไป (common language) เขาไปไวในทกสวนขององคกรทเกยวของกบกจกรรมดานไอท ถอเปนขนตอนทจำาเปนและสำาคญอยางยงทจะนำาไปสการกำากบดแลทด และยงใหกรอบดำาเนนการสำาหรบการวดผลและการเฝาตดตามประสทธภาพในการดำาเนนงานดานไอท สอสารกบผใหบรการ และบรณาการแนวปฏบตทดทสดในการบรหารจดการ

ตนแบบอางองของกระบวนการใน COBIT 5 แบงกระบวนการดานการกำากบดแลและการบรหารจดการไอทระดบองคกร ออกเปน 2 กลมกจกรรมทสำาคญ—การกำากบดแลและการบรหารจดการ—และยงแบงยอยเพมเตมออกเปนโดเมนของกระบวนการดงน• กำรควบคมก�ำกบดแล—โดเมนนมกระบวนการกำากบดแล 5 กระบวนการ ซงในแตละกระบวนการมการกำาหนดแนวปฏบต

สำาหรบประเมน สงการ และเฝาตดตาม (EDM) • กำรบรหำรจดกำร—โดเมนทง 4 นสอดคลองกบจดทเปนความรบผดชอบของ PBRM (วางแผน จดทำา ดำาเนนการ และ

เฝาตดตาม) (ววฒนาการจากโดเมนตางๆ ของ COBIT 4.1) และครอบคลมไอทอยางครบวงจร แตละโดเมนมกระบวนการตางๆ เชนเดยวกบใน COBIT 4.1 และรนอนๆ กอนหนานน จากทไดอธบายไปแลว ถงแมวากระบวนการสวนใหญจำาเปนตองมกจกรรมดาน ‘การวางแผน’ ‘การนำาไปใชงาน’ ‘การปฏบตงาน’ และ ‘การเฝาตดตาม’ ภายในกระบวนการหรอภายในประเดนทกำาลงพจารณาอย (เชน คณภาพ การรกษาความมนคงปลอดภย) กจกรรมเหลานไดถกจดไปไวในแตละโดเมนตามจดของกจกรรมทโดยทวไปแลวมความเกยวเนองทใกลชดมากทสดเมอกลาวถงเรองของไอทในระดบองคกร


76

ใน COBIT 5 กระบวนการยงไดครอบคลมถงขอบเขตทงหมดของกจกรรมทงทางธรกจและทางดานไอททเกยวของกบการกำากบดแลและการบรหารจดการไอทระดบองคกร ดงนนจงทำาใหตนแบบของกระบวนการใชไดทวทงองคกรอยางแทจรง ตนแบบอางองของกระบวนการใน COBIT 5 พฒนามาจากตนแบบของกระบวนการใน COBIT 4.1 ทไดบรณาการตนแบบของกระบวนการใน Risk IT และ Val IT เขาไปไวดวย รปภำพท 31 แสดงถงกระบวนการดานการกำากบดแลและการบรหารจดการทง 37 กระบวนการอยางครบชดใน COBIT 5 รายละเอยดของกระบวนการทงหมดตามทตนแบบของกระบวนการได อธบายไวกอนหนานไดรวมไวใน COBIT 5: การสมฤทธผลของกระบวนการ (COBIT 5: Enabling Processes)

รปภำพท 31—ตนแบบอำงองของกระบวนกำรใน COBIT 5



77

ปจจยเออใน COBIT 5: โครงสรำงกำรจดองคกรขอมลรายละเอยดเฉพาะของปจจยเออดานโครงสรางองคกร เปรยบเทยบกบคำาอธบายปจจยเออทวไป แสดงไวในรปภำพท 32

รปแบบของโครงสรางการจดองคกรแสดงใหเหนถง • ผมสวนไดเสย—ผมสวนไดเสยอาจอยภายในหรอภายนอกองคกรกได และรวมถงสมาชกแตละคนทอยในโครงสราง โครง

สรางอนๆ หนวยงานตางๆ ในองคกร ลกคา ผขาย/ผใหบรการ และหนวยงานกำากบดแล บทบาทหนาทของพวกเขากมความหลากหลาย ซงรวมถงการตดสนใจ การบงคบควบคม และการใหคำาแนะนำา สวนไดเสยของผมสวนไดเสยแตละคนกมความหลากหลาย เชน ผลประโยชนอะไรทจะไดรบจากการตดสนใจทมาตามโครงสราง

• เปำหมำย—เปาหมายของปจจยเออดานโครงสรางองคกรรวมถง การมอบหมายอำานาจทเหมาะสม หลกการดำาเนนงานทระบไวอยางชดเจน และการประยกตใชแนวปฏบตทดอนๆ ผลลพธทไดจากปจจยเออดานโครงสรางการจดองคกรควรรวมถงกจกรรมและการตดสนใจตางๆ ทด

• วฏจกร—โครงสรางการจดองคกร มวฏจกรในการดำาเนนงาน ซงสรางขน ตงอย และปรบแก และทายทสดกจะถกยกเลกไป ในชวงเรมตนจะตองระบการมอบหมายอำานาจ—เปนเหตผลและจดประสงคสำาหรบการมโครงสรางการจดองคกร

• แนวปฏบตท ด—แนวปฏบตทดตางๆ สำาหรบการจดโครงสรางองคกร สามารถแยกแยะไดเปน – หลกการในการดำาเนนงาน—การจดระเบยบสำาหรบการดำาเนนงานของโครงสรางทสามารถนำาไปปฏบตได เชนความถของ

การประชม การจดทำาเอกสารตางๆ และกฎในการรกษาความเปนระเบยบเรยบรอย (housekeeping rules)– สวนประกอบ—โครงสรางมสมาชกซงเปนผมสวนไดเสยทงภายในและภายนอก– ขอบเขตของการควบคม—การจำากดวงของอำานาจในการตดสนใจตามโครงสรางการจดองคกร– ระดบของอำานาจ/สทธในการตดสนใจ—การตดสนใจตามทโครงสรางทไดใหอำานาจไว – การมอบหมายอำานาจ—โครงสรางสามารถมอบหมาย (บางสวนของ) อำานาจในการตดสนใจไปใหโครงสรางอนทข นตอ

โครงสรางนน– ขนตอนในการแจงเรองตามระดบ (Escalation procedures)—เสนทางการแจงเรองตามระดบการสำาหรบโครงสรางหนงๆ

จะอธบายถงการกระทำาทจำาเปนในกรณทเกดปญหาในการตดสนใจ

รปภำพท 32—ปจจยเออใน COBIT 5: โครงสรำงกำรจดองคกร

ควำมสมพนธกบปจจยเอออ นๆ —ความเชอมโยงกบปจจยเอออนๆ รวมถง• ตาราง RACI เชอมกจกรรมตางๆ ของกระบวนการกบโครงสรางการจดองคกร และ/หรอกบบทบาทหนาทของแตละ

บคคลในองคกร โดยอธบายถงระดบของการมสวนรวมในกระบวนการของแตละบทบาทหนาท: รบผดชอบตามหนาท รบผดชอบในผลงาน ใหคำาปรกษา หรอไดรบแจงใหทราบ

• วฒนธรรม จรยธรรม และพฤตกรรม เปนสงทกำาหนดความมประสทธภาพและประสทธผลของโครงสรางการจดองคกรและการตดสนใจ

• องคประกอบของโครงสรางการจดองคกรควรพจารณาและกำาหนดชดของทกษะทเหมาะสมของสมาชกในโครงสราง• การมอบหมายอำานาจและหลกการดำาเนนงานของโครงสรางการจดองคกร เปนไปตามแนวทางของกรอบดำาเนนงานดาน

นโยบายทมอย • ขอมลรบเขาและผลลพธ—โครงสรางจำาเปนตองมการรบเขา (มกไดแก สารสนเทศ) กอนจะสามารถตดสนใจโดยมขอมลท

เหมาะสมและกอใหเกดผลลพธได ยกตวอยางเชน การตดสนใจ สารสนเทศอนๆ หรอการขอขอมลเพมเตม


78

ภำพของโครงสรำงกำรจดองคกรใน COBIT 5ตามทไดกลาวไวในตนแบบของกระบวนการใน COBIT 5 วาไดมการจดทำาภาพแสดงตนแบบอางองของกระบวนการใน COBIT 5 และอธบายรายละเอยดไวใน COBIT 5: การสมฤทธผลของกระบวนการ (COBIT 5: Enabling Process) ตนแบบนรวมถงตาราง RACI ซงมบทบาทและโครงสรางจำานวนหนง รปภำพท 33 อธบายถงบทบาทหนาทและโครงสรางทไดมการกำาหนดไวแลว

หมายเหต• หนาทการทำางานจรงทมอยในองคกรอาจไมจำาเปนตองเปนไปตามบทบาทหนาทเหลาน แตอยางไรกด ขอมลเหลานให

ประโยชนในแงของการอธบายถงจดประสงคของโครงสรางหรอบทบาทหนาททยงคงใชไดสำาหรบองคกรสวนใหญ• จดประสงคของตารางน ไมไดเปนการกำาหนดผงการจดองคกรทใชไดสำาหรบทกองคกร แตควรดไวเปนตวอยาง

รปภำพท 33—บทบำทหนำทและโครงสรำงกำรจดองคกรของ COBIT 5

บทบำทหนำท/โครงสรำง

ค�ำนยำม/ค�ำอธบำย

คณะกรรมการบรหาร กลมของผบรหารระดบสงสดและ/หรอกรรมการทไมใชผบรหารขององคกร ทรบผดชอบในผลงานดานการกำากบดแลองคกรและการควบคมทรพยากรขององคกรโดยรวม

ประธานเจาหนาทบรหาร (CEO)

เจาหนาทระดบสงสดทรบผดชอบดานการบรหารจดการทงหมดขององคกร

ผบรหารสงสดดานการเงน (CFO)

เจาหนาทอาวโสทสดขององคกรทรบผดชอบในผลการบรหารจดการดานการเงนในทกรปแบบ ซงรวมถง ความเสยงและการควบคมดานการเงน และความเชอถอไดและความถกตองของบญช

ผบรหารสงสดดานปฏบตการ(COO)

เจาหนาทอาวโสทสดขององคกรทรบผดชอบในผลปฏบตการขององคกร

ผบรหารสงสดดานความเสยง(CRO)

เจาหนาทอาวโสทสดขององคกรทรบผดชอบในผลการบรหารความเสยงในทกรปแบบทวทงองคกร อาจมการจดตงหนาทงานสำาหรบเจาหนาทดแลความเสยงดานไอทขนมาเพอดแลความเสยงทเกยวของกบไอท

ผบรหารสงสดดานสารสนเทศ (CIO)

เจาหนาทอาวโสทสดขององคกรทรบผดชอบใหไอทเปนไปในแนวทางเดยวกบกลยทธทางธรกจ และรบผดชอบในผลงานดานการวางแผน การจดหาทรพยากร และการบรหารจดการเพอการสงมอบบรการและกระบวนการแกไขปญหาแบบเบดเสรจดานไอท เพอสนบสนนวตถประสงคขององคกร

ผบรหารสงสดดานความมนคงปลอดภยสารสนเทศ (CISO)

เจาหนาทอาวโสทสดขององคกรทรบผดชอบในผลงานดานการรกษาความมนคงปลอดภยสารสนเทศขององคกรในทกรปแบบ

ผบรหารทางธรกจ เจาหนาทอาวโสขององคกรทรบผดชอบในผลงานดานปฏบตการของหนวยงานหนงๆ หรอบรษทในเครอหนงๆ

เจาของกระบวนการทางธรกจ

บคคลทรบผดชอบในผลงานดานประสทธภาพการดำาเนนงานของกระบวนการ ในการบรรลวตถประสงค ในการผลกดนใหเกดการปรบปรง และในการอนมตการเปลยนแปลงกระบวนการ

คณะกรรมการ (ผบรหารดานไอท) ดานกลยทธ

กลมของผบรหารระดบสงทแตงตงขนโดยคณะกรรรมการบรหาร เพอใหมนใจวาคณะกรรมการบรหารมสวนรวมและไดรบทราบในเรองตางๆ และการตดสนใจทสำาคญทเกยวของกบไอท คณะกรรมการรบผดชอบในผลงานของการบรหารจดการกลม (portfolio) ของการลงทนทมไอทเปนปจจยเออ บรการดานไอท และสนทรพยดานไอท ทำาใหมนใจไดวามการสงมอบคณคาและบรหารจดการความเสยง โดยปกตแลวคณะกรรมการจะมสมาชกของคณะกรรมการบรหารเปนประธาน ไมใชผบรหารสงสดดานสารสนเทศ (CIO)

คณะกรรมการอำานวยการ (โครงการและชดโครงการ)

กลมของผมสวนไดเสยและผเชยวชาญทรบผดชอบในผลงานของการใหแนวทาง (guidance) สำาหรบชดโครงการ (programmes) และโครงการ ซงรวมถงการบรหารจดการและการเฝาตดตามการวางแผน การจดสรรทรพยากร การสงมอบผลประโยชนและคณคา และการบรหารจดการความเสยงชดโครงการและโครงการ

คณะกรรมการสถาปตยกรรมระบบ

กลมของผมสวนไดเสยและผเชยวชาญทรบผดชอบในผลงานของการใหคำาแนะนำาในเรองทเกยวของและการตดสนใจดานสถาปตยกรรมระบบขององคกร และการกำาหนดนโยบายและมาตรฐานดานสถาปตยกรรมระบบ

คณะกรรมการความเสยงระดบองคกร

กลมของผบรหารระดบสงขององคกรทรบผดชอบในผลงานดานความรวมมอและความเหนชอบรวมกน ในระดบองคกรทจะสนบสนนกจกรรมและการตดสนใจตางๆ ในเรองของการบรหารจดการความเสยงระดบองคกร (ERM) สภาความเสยงดานไอท (IT risk Council) อาจจดตงขนเพอพจารณาความเสยงดานไอทในรายละเอยดและใหคำาแนะนำาแกคณะกรรมการความเสยงระดบองคกร

หวหนาหนวยงานทรพยากรบคคล

เจาหนาทอาวโสทสดขององคกรทรบผดชอบในผลงานดานการวางแผนและนโยบายในเรองทงหมดทเกยวของกบทรพยากรบคคลในองคกร

หนวยงานกำากบดแล หนาทงานในองคกรทรบผดชอบในการใหแนวทางทเกยวของกบการปฏบตตามกฎหมาย กฎระเบยบขอบงคบ และสญญา

หนวยงานตรวจสอบ หนาทงานในองคกรทรบผดชอบในการจดใหมการตรวจสอบภายใน



79

รปภำพท 33—บทบำทหนำทและโครงสรำงกำรจดองคกรของ COBIT 5 (ตอ)บทบำทหนำท/

โครงสรำงค�ำนยำม/ค�ำอธบำย

หวหนาดานสถาปตยกรรมระบบ

เจาหนาทอาวโสทรบผดชอบในผลงานของกระบวนการดานสถาปตยกรรมระบบขององคกร

หวหนาดานพฒนาระบบ

เจาหนาทอาวโสทรบผดชอบในผลงานสำาหรบกระบวนการพฒนาการแกไขปญหาแบบเบดเสรจดานไอท

หวหนาดานปฏบตการไอท

เจาหนาทอาวโสทรบผดชอบในผลงานดานสภาพแวดลอมและโครงสรางพนฐานของปฏบตการดานไอท

หวหนาดานการบรหารหนวยงานไอท

เจาหนาทอาวโสทรบผดชอบในผลงานดานระเบยนทเกยวของกบไอท และรบผดชอบในการสนบสนนการบรหารกจกรรมตางๆ ทเกยวของกบไอท

สำานกงานบรหารชดโครงการและโครงการ(PMO)

หนาทงานทรบผดชอบในการสนบสนนผจดการชดโครงการ (programme) และโครงการ และรวบรวม ประเมน และรายงานสารสนเทศทเกยวของกบการดำาเนนชดโครงการ (programmes) และโครงการทอยภายใตชดโครงการ

สำานกงานบรหารคณคา(VMO)

หนาทงานทเสมอนเลขานการสำาหรบการบรหารกลม(portfolio) ของการลงทนและการใหบรการ ซงรวมถงการประเมนและใหคำาแนะนำาเกยวกบโอกาสและเหตผลทางธรกจ ใหคำาแนะนำาเกยวกบวธการกำากบดแล/การบรหารจดการคณคา การควบคมคณคา และการรายงานความคบหนาของการสรางและรกษาไวซ งคณคาจากการลงทนและบรการ

Service Manager ผ จดการงานบรการ (ไอท)

บคคลทบรหารการพฒนา การนำาไปใชงาน การประเมน และการบรหารจดการอยางตอเนองสำาหรบผลตภณฑและบรการใหมหรอทมอยเดม สำาหรบลกคา (ผใช) หรอกลมของลกคา (ผใช)

ผจดการดานความมนคงปลอดภยสารสนเทศ

บคคลทบรหาร ออกแบบ ดแล และ/หรอประเมนความมนคงปลอดภยของสารสนเทศในองคกร

ผจดการดานความตอเนองในการดำาเนน ธรกจ

บคคลทบรหาร ออกแบบ ดแล และ/หรอประเมนความสามารถในการดำาเนนธรกจตอเนองขององคกร เพอใหความมนใจวา องคกรยงคงสามารถปฏบตหนาทงานทสำาคญไดอยางตอเนองภายหลงเกดเหตการณหยดชะงกของระบบ

เจาหนาทดานการรกษาความเปนสวนบคคล

บคคลทรบผดชอบในการเฝาตดตามความเสยงและผลกระทบตอธรกจจากกฎหมายขอมลสวนบคคล (privacy laws) และใหแนวทางและความรวมมอในการนำานโยบายและกจกรรมตางๆ ไปใช งาน เพอใหเกดความมนใจวาไดปฏบตตามกฎระเบยบทเกยวของกบขอมลสวนบคคล ตำาแหนงนอาจจะเรยกอกชอหนงวา เจาหนาทคมครองขอมล (data protection officer)


80




81

ปจจยเออใน COBIT 5: วฒนธรรม จรยธรรม และพฤตกรรมวฒนธรรม จรยธรรม และพฤตกรรม หมายถงกลมของพฤตกรรมอยางใดอยางหนงหรอหลายอยางรวมกนภายในองคกรขอมลรายละเอยดเฉพาะของปจจยเออดานวฒนธรรม จรยธรรม และพฤตกรรม เปรยบเทยบกบคำาอธบายปจจยเออทวไปได แสดงไวในรปภำพท 34

รปภำพท 34—ปจจยเออใน COBIT 5: วฒนธรรม จรยธรรม และพฤตกรรม

รปแบบของวฒนธรรม จรยธรรม และพฤตกรรมแสดงถง • ผมสวนไดเสย—ผมสวนไดเสยทเกยวของกบวฒนธรรม จรยธรรม และพฤตกรรมอาจอยภายในหรอภายนอกองคกรกได

ผมสวนไดเสยภายในรวมถงหนวยงานทงหมดในองคกร ผมสวนไดเสยภายนอกรวมถงผกำากบดแล เชน ผตรวจสอบภายนอกหรอหนวยงานทควบคมดแล (supervisory bodies) สวนไดเสยม 2 ดาน: ผมสวนไดเสยบางคน เชน เจาหนาทดานกฎหมาย ผจดการดานความเสยง ผจดการดานทรพยากรบคคล คณะกรรมการกำาหนดคาจาง (remuneration board) และเจาหนาทอนๆ เปนผซ งมหนาทกำาหนด นำาไปใช และบงคบใชใหเกดพฤตกรรมทตองการ สวนทเหลอเปนผทตองปฏบตตนใหเปนไปตามกฎและบรรทดฐาน

• เปำหมำย—เปาหมายของปจจยเออดานวฒนธรรม จรยธรรม และพฤตกรรมเกยวของกบ– จรยธรรมองคกร ซงกำาหนดโดยคณคาทองคกรตองการ– จรยธรรมบคคล กำาหนดโดยคานยมของแตละบคคลในองคกร และขนอยกบระดบความสำาคญของปจจยภายนอก เชน

ศาสนา เชอชาต พนฐานทางเศรษฐกจและสงคม พนฐานทางภมศาสตร และประสบการณสวนบคคล– พฤตกรรมบคคล ซงเมอรวมกนแลวจะเปนเปนสงทกำาหนดวฒนธรรมขององคกร ปจจยหลายๆ อยาง เชน ปจจย

ภายนอกทกลาวถงขางตน รวมถงความสมพนธระหวางบคคลในองคกร วตถประสงคและความทะเยอทะยานของบคคล ลวนผลกดนใหเกดพฤตกรรมสวนบคคล ประเภทของพฤตกรรมทเกยวของภายใตบรบทนรวมถง:• พฤตกรรมการยอมรบความเสยง—ความเสยงเทาใดทองคกรสามารถยอมรบได และความเสยงอะไรทองคกรเตมใจทจะยอมรบ

• พฤตกรรมการปฏบตตามนโยบาย—บคคลสามารถยอมรบและ/หรอปฏบตตามนโยบายไดมากนอยเพยงใด • พฤตกรรมทมตอผลลพธในดานลบ—องคกรรบมอกบผลลพธในดานลบอยางไร ไดแก เหตการณทกอใหเกด

ความสญเสยหรอการพลาดโอกาส องคกรไดเรยนรจากสงผดพลาดเหลานนและพยายามปรบปรงหรอไม หรอจะกลาวโทษโดยไมแกทตนเหตของปญหา

• วฏจกร—วฒนธรรมองคกร จดยนทางจรยธรรม และพฤตกรรมบคคล ตางกมวฏจกร เรมตนจากวฒนธรรมทมอย องคกรสามารถระบการเปลยนแปลงทตองการและดำาเนนการไปสการนำาการเปลยนแปลงดงกลาวไปใช มเครองมอหลายอยาง—ดงทอธบายไวในแนวปฏบตทด—ทสามารถนำามาใชได

• แนวปฏบตท ด—แนวปฏบตทดสำาหรบการทำาใหเกดการสนบสนนผลกดน และการรกษาไวซ งพฤตกรรมทพงปรารถนาทวทงองคกร ประกอบดวย – การสอสารทวทงองคกรเกยวกบพฤตกรรมทพงปรารถนาและพนฐานคณคาขององคกร– การทำาใหตระหนกถงพฤตกรรมทปรารถนา เสรมดวยการทผบรหารระดบสงและผทเปนแชมเปยนปฏบตเปนแบบอยาง– ผลตอบแทนทสนบสนนและยบยงเพอทำาใหเกดพฤตกรรมทพงปรารถนา โดยมความเชอมโยงทชดเจนระหวาง

พฤตกรรม บคคลกบแบบแผนการใหรางวลตามทหนวยงานทรพยากรบคคลขององคกรกำาหนดขนมา– กฎและบรรทดฐาน ซงใหแนวทางเพมเตมสำาหรบพฤตกรรมองคกรทพงปรารถนา โดยเชอมโยงอยางชดเจนมากกบหลก

การและนโยบายทองคกรกำาหนดขน


82

• ควำมสมพนธกบปจจยเอออ นๆ—ความเชอมโยงกบปจจยเอออนๆ รวมถง

– เราสามารถออกแบบกระบวนการใหสมบรณแบบได แตถาผมสวนไดเสยของกระบวนการไมตองการปฏบตตามกจกรรมตางๆ ของกระบวนการตามทออกแบบไว—กลาวคอ ถาพวกเขามพฤตกรรมไมปฏบตตามในทางใดทางหนง—กจะไมสามารถบรรลผลลพธจากกระบวนการได

– เชนเดยวกน โครงสรางการจดองคกรอาจออกแบบและจดตงขนตามตำารา แตการตดสนใจไมไดรบการนำาไปใช งาน—ดวยเหตผลสวนบคคล ขาดผลตอบแทนทจงใจ หรออนๆ —ยอมไมกอใหเกดการกำากบดแลและการบรหารจดการไอทระดบองคกรทด

– หลกการและนโยบาย เปนกลไกในการสอสารทสำาคญเกยวกบคณคาและพฤตกรรมทพงปรารถนาขององคกร

ตวอยำงท 11—กำรปรบปรงคณภำพ องคกรเผชญหนากบปญหาหนกเกยวกบคณภาพของระบบงานใหมซำาแลวซำาเลา แมวาองคกรจะมระเบยบวธในการพฒนาซอฟแวรทดแลวกตาม แตบอยครงทปญหาดานซอฟแวรทำาใหเกดปญหาในการดำาเนนธรกจประจำาวน

จากการสบสวนพบวา การประเมนผลงานและการใหผลตอบแทนแกเจาหนาทและผบรหารในทมพฒนาระบบตงอยบนพนฐานของการสงมอบงานใหทนเวลา ภายใตงบประมาณทมอยของโครงการ พวกเขาไมไดถกวดดวยเกณฑดานคณภาพหรอเกณฑผลประโยชนทางธรกจ สงผลใหพวกเขาเนนแคเพยงการสงมอบงานใหทนเวลาและการลดตนทนในการพฒนาระบบเทานน เชน ลดเวลาในการทดสอบ การสบสวนยงแสดงใหเหนดวยวาไมมการปฏบตตามระเบยบวธและขนตอนการปฏบตงานทกำาหนดไว เพอลดเวลาทตองใชในการพฒนาระบบ (แลกกบคณภาพ) นอกจากน โครงสรางการจดองคกรยงไดกำาหนดใหการมสวนรวมของทมพฒนาระบบจะหยดการมสวนรวมทนทเมอระบบทพฒนานนไดสงมอบใหกบทมปฏบตการแลว หลงจากนนการมสวนรวมของทมพฒนาระบบจะเปนลกษณะทางออม (indirect) ผานทางกระบวนการบรหารจดการเหตการณผดปกต (incident management) และกระบวนการบรหารจดการปญหา (problem management) ทมอยเทานน

บทเรยนทไดรบคอจะตองใชผลตอบแทนเพอจงใจทดกวานสำาหรบเจาหนาทและผบรหารในทมพฒนาระบบ เพอสงเสรมใหงานมคณภาพ

ตวอยำงท 12—ควำมเสยงทเก ยวของกบไอทสงทบงบอกบางอยางทสอถงวฒนธรรมทไมเหมาะสมหรอมปญหาดานวฒนธรรมทเกยวของกบความเสยงดานไอท ไดแก• ความไมสอดคลองระหวางการยอมรบความเสยง (risk appetite) ทแทจรงกบทนำามาแปลงเปนนโยบาย คานยมทแทจรงของ

ผบรหารในเรองของความเสยงอาจไดแก กลาไดกลาเสยพอสมควรและชอบความเสยง ในขณะทนโยบายทกำาหนดขนใชจรงกลบสะทอนถงทศนคตเชงอนรกษมากกวา ดงนน จงมความไมสอดคลองกนระหวางคานยมกบวธการทจะบรรลถงคานยมดงกลาว จงนำาไปสความขดแยงอยางหลกเลยงไมได ความขดแยงอาจเกดขนได เชน ความขดแยงกนระหวางผลตอบแทนเพอจงใจทใหกบผบรหารกบการบงคบใชนโยบายทไมสอดคลองกน

• วฒนธรรมการกลาวโทษ (Blame culture) ทมอย วฒนธรรมประเภทนควรหลกเลยงเพราะเปนการปดกนความมประสทธผลของการสอสาร ในวฒนธรรมการกลาวโทษน เมอโครงการไมสามารถสงมอบงานไดตามเวลาทกำาหนดหรอไมตรงกบสงทคาดหวง หนวยงานธรกจมกจะกลาวโทษไปทหนวยงานไอทโดยไมทนไดตระหนกวาการมสวนรวมของหนวยงานธรกจตงแตตนจะชวยสงผลใหโครงการประสบความสำาเรจได ในกรณทรนแรงทสด หนวยงานธรกจอาจจะกลาวโทษในเรองความลมเหลวทจะเปนไปตามความคาดหวงไปทหนวยงานไอท ทงทหนวยงานไอทอาจไมเคยไมไดรบการสอสารความคาดหวงอยางชดเจนเลย การกลาวโทษกนเชนนไมเพยงแตทำาลายการสอสารทมประสทธผลระหวางหนวยงานเทานน แตยงเปนสาเหตใหเกดความลาชาอกดวย ผบรหารระดบสงในฐานะของผนำาตองระบและควบคมวฒนธรรมการกลาวโทษนใหไดอยางรวดเรวหากตองการใหเกดความรวมมอกนทวทงองคกร



83

ปจจยเออใน COBIT 5: สำรสนเทศบทน�ำ—วฏจกรของสำรสนเทศปจจยเออดานสารสนเทศใชกบสารสนเทศทงหมดทเกยวของกบองคกร ไมเฉพาะแตสารสนเทศทเปนอตโนมตเทานน (automated information) อาจเปนสารสนเทศแบบมโครงสรางหรอไมมโครงสราง เปนแบบทางการหรอไมเปนทางการกได

สารสนเทศอาจพจารณาไดวาเปนขนตอนหนงใน ‘วฏจกรของสารสนเทศ’ ขององคกร ในวฏจกรของสารสนเทศ (รปภำพท 35) กระบวนการทางธรกจทำาใหเกดและประมวลผลขอมล แปลงขอมลใหเปนสารสนเทศและความร และทายสดสรางคณคาใหกบองคกร ขอบเขตของปจจยเออดานสารสนเทศโดยหลกแลวจะเกยวของกบระยะทเปน ‘สารสนเทศ’ ในวฏจกรของสารสนเทศ แต COBIT 5 กไดครอบคลมถงมมมองในดานขอมลและความรดวย

รปภำพท 35—ขอมลค�ำนยำมของขอมลใน COBIT 5—วฏจกรของสำรสนเทศ

ปจจยเออดำนสำรสนเทศใน COBIT 5ขอมลรายละเอยดเฉพาะของปจจยเออดานสารสนเทศ เปรยบเทยบกบคำาอธบายปจจยเออทวไป แสดงไวในรปภำพท 36

รปภำพท 36—ปจจยเออใน COBIT 5: สำรสนเทศ


84

ตนแบบสารสนเทศ (Information Model) แสดงถง• ผมสวนไดเสย—อาจจะมาจากภายในหรอภายนอกองคกรกได รปแบบทวไป (generic model) แนะนำาดวยวา นอกจาก

การระบถงผมสวนไดเสยแลว ยงตองกำาหนดสวนไดเสยของผมสวนไดเสยดวย กลาวคอ ทำาไมพวกเขาตองใหความสนใจในสารสนเทศ

สำาหรบผมสวนไดเสยของสารสนเทศเปนใครไดบางนน อาจเปนไปไดทจะจดกลมของบทบาทหนาทในการจดการกบสารสนเทศทแตกตางกนไป เรมตงแตขอเสนอทใหจดกลมอยางละเอยด–เชนทแนะนำาใหใชขอมลหรอสารสนเทศทเฉพาะเจาะจงสำาหรบแตละบทบาทหนาท เชน สถาปนก เจาของ ผบรการ (steward) ผดแลทรพยสน/ผลประโยชน (trustee) ผ ขาย ผรบผลประโยชน ผจดการดานคณภาพ ผจดการดานการรกษาความมนคงปลอดภย–ไปจนถงขอเสนอทใหจดกลมอยางกวางๆ –เชน การแยกออกเปนผสรางสารสนเทศ ผเกบรกษาสารสนเทศ และผบรโภคสารสนเทศ:– ผสรางสารสนเทศ (information producer) มหนาทในการทำาใหมสารสนเทศเกดขน – ผเกบรกษาสารสนเทศ (information custodian) มหนาทในการจดเกบและดแลสารสนเทศ– ผบรโภคสารสนเทศ (information consumer) มหนาทในการใชสารสนเทศ

การจดกลมเหลาน องกบกจกรรมทเกยวของกบแหลงทมาของขอมล กจกรรมขนอยกบระยะ (phase) ในวฏจกรของสารสนเทศ ดงนน เราสามารถนำามตตางๆ ในวฏจกรของสารสนเทศตามทระบไวในตนแบบสารสนเทศมาใชเพอใหทราบไดวากลมบทบาทใดมระดบของความละเอยดทเหมาะสมกบตนแบบสารสนเทศนน ซงหมายความวา บทบาทของผมสวนไดเสยดานสารสนเทศสามารถระบเปนระยะในวฏจกรของสารสนเทศ เชน ผวางแผนดานสารสนเทศ ผรบสารสนเทศ ผใชสารสนเทศ ในขณะเดยวกน กหมายความวามตของผมสวนไดเสยดานสารสนเทศไมใชมตทเปนเอกเทศ ระยะตางๆ ในวฏจกรยอมมผมสวนไดเสยทแตกตางกนไป

ในขณะทบทบาทหนาททเกยวของขนอยกบระยะตางๆ ในวฏจกรของสารสนเทศ สวนไดเสยสามารถเชอมโยงไดกบเปาหมายของสารสนเทศ

• เปำหมำย— เปาหมายของสารสนเทศ แบงออกเปน 3 มตเชงคณภาพดงน คณภำพในตวเอง (Intrinsic quality)—คาของขอมลสอดคลองกบคาทแทจรงหรอคาทถกตองเพยงใด รวมถง– ความถกตอง—สารสนเทศมความถกตองและเชอถอไดเพยงใด – ความเทยงตรง (Objectivity)—สารสนเทศมความเปนกลาง ไมมการบดเบอน ไมเอนเอยงเพยงใด – ความนาเชอถอ (Believability)—สารสนเทศถอไดวามความถกตองและนาเชอถอเพยงใด – ชอเสยง (Reputation)—สารสนเทศมาจากแหลงขอมลหรอเนอหาทนาเชอถอไดมากนอยเพยงใด คณภำพเชงบรบทและกำรน�ำเสนอ—สารสนเทศสามารถนำามาประยกตใชในภารกจของผใชสารสนเทศและนำาเสนอในรปแบบทเขาใจไดงายและชดเจนเพยงใด คณภาพของสารสนเทศนนขนอยกบบรบทของการใช ซงรวมถง – ความเกยวเนอง (Relevancy)—สารสนเทศสามารถนำามาประยกตใชและเปนประโยชนในภารกจทกำาลงทำาอยเพยงใด– ความครบถวน (Completeness)—สารสนเทศไมขาดหายและมความลกและกวางเพยงพอสำาหรบภารกจทกำาลงทำาอย

เพยงใด– ความเปนปจจบน—สารสนเทศเปนปจจบนอยางเพยงพอตอภารกจทกำาลงทำาอยเพยงใด– ปรมาณสารสนเทศทเหมาะสม (Appropriate amount of information)—ปรมาณสารสนเทศเพยงพอสำาหรบภารกจท

กำาลงทำาอยเพยงใด– การนำาเสนอทสนกระชบ (Concise representation)—สารสนเทศนำาเสนอดวยความกระชบเพยงใด– การนำาเสนอทมความสอดคลองกน (Consistent representation)—สารสนเทศนำาเสนอในรปแบบทเหมอนกนเพยงใด– ความสามารถในการตความ (Interpretability)—สารสนเทศใชภาษา สญลกษณ และหนวยนบทเหมาะสม ดวยนยามท

ชดเจนเพยงใด– ความเขาใจได—สารสนเทศทำาความเขาใจไดงายเพยงใด– ความงายตอการจดดำาเนนการ (manipulation)—สารสนเทศสามารถจดดำาเนนการและนำาไปประยกตใชกบภารกจตางๆ

ไดงายมากนอยเพยงใดคณภำพดำนควำมม นคงปลอดภยและกำรเขำถง (Security/accessibility quality)—สารสนเทศพรอมใชงานและสามารถไดรบมา (obtainable) เพยงใด ซงรวมถง– ความพรอมใช/และทนเวลา—สารสนเทศพรอมใชงานเมอตองการ หรอเรยกใชไดงายและรวดเรวเพยงใด– การจำากดการเขาถง—มการจำากดการเขาถงสารสนเทศใหเฉพาะกบผทไดรบอนญาตอยางเหมาะสมเพยงใด

ในภาคผนวก F ไดใหรายละเอยดการเปรยบเทยบเกณฑดานคณภาพของสารสนเทศใน COBIT 5 กบ COBIT 4.1 ยกตวอยางเชน ความถกตองสมบรณ (integrity) (ตามทระบไวใน COBIT 4.1) อยภายใตเปาหมายของสารสนเทศดานความครบถวนและถกตอง (completeness and accuracy)

• วฏจกร—ตองพจารณาถงวฏจกรของสารสนเทศอยางครบวงจร และอาจจำาเปนตองใชวธปฏบตทแตกตางกนสำาหรบสารสนเทศในแตละระยะของวฏจกร ปจจยเออดานสารสนเทศใน COBIT 5 สามารถแบงออกเปนระยะตางๆ ไดดงน – วำงแผน— ระยะน เปนการเตรยมการสำาหรบการจดทำาและใชขอมล กจกรรมในระยะนอาจรวมถงการกำาหนด

วตถประสงค การวางแผนสถาปตยกรรมขอมล และการพฒนามาตรฐานและคำานยามตางๆ ยกตวอยางเชน คำานยามของขอมล ขนตอนการปฏบตงานในการเกบรวบรวมขอมล

– กำรออกแบบ– จดท�ำ/จดหำ—กจกรรมของระยะน อาจรวมถงการจดทำาระเบยนขอมล (data record) การซอขอมล และการถายโอน

ขอมลจากแฟมขอมลภายนอกเขาสระบบ



85

– ใช/ปฏบตกำร ประกอบดวย • การจดเกบ—ในระยะน สารสนเทศจะถกจดเกบในรปแบบของอเลกทรอนกส หรอบนกระดาษ (หรอแมแตในความทรง

จำาของบคคล) กจกรรมในระยะนอาจเกยวของกบการจดเกบสารสนเทศในรปแบบอเลกทรอนก (เชน แฟมขอมล ฐานขอมล คลงขอมล ทเปนอเลกทรอนก) หรอบนกระดาษ (เชน เอกสารทเปนกระดาษ)

• แบงปน—ในระยะน สารสนเทศพรอมทเรยกใชงานผานวธการในการแจกจายขอมล กจกรรมในชวงนอาจรวมถงกระบวนการในการนำาสารสนเทศไปไวในททสามารถเขาถงและใชงานได เชน การแจกจายเอกสารผานทางจดหมายอเลกทรอนกส สำาหรบสารสนเทศทอยในรปแบบอเลกทรอนก วฏจกรในระยะนสวนใหญอาจทบซอนกบระยะของการจดเกบ เชน การแบงปนขอมลผานทางการเขาถงฐานขอมลและเครองแมขายสำาหรบแฟมขอมล/เอกสาร

• ใช—เปนระยะทใชสารสนเทศเพอใหบรรลเปาหมายทตงไว กจกรรมในระยะนอาจรวมถงการใชงานสารสนเทศในทกรปแบบ (เชน การตดสนใจเชงบรหาร การดำาเนนกระบวนการทเปนอตโนมต) และอาจรวมถงกจกรรมเชน การเรยกและแปลงสารสนเทศจากรปแบบหนงไปเปนอกรปแบบหนงดวย

จากมมมองในหนงสอ Taking Governance Forward สารสนเทศเปนปจจยเออสำาหรบการกำากบดแลองคกร ดงนน การใช สารสนเทศตามทระบไวในตนแบบสารสนเทศน อาจถอไดวาเปนการใชดวยจดประสงคเชนเดยวกบการทผมสวนไดเสยดานการกำากบดแลจำาเปนตองใชสารสนเทศเพอปฏบตหนาท ดำาเนนกจกรรมตางๆ และมปฏสมพนธตอกน.

บทบาทหนาท กจกรรม และความสมพนธเหลานไดนำามาแสดงไวในรปภำพท 8 ปฏสมพนธระหวางผมสวนไดเสยจำาเปนตองมการไหลของสารสนเทศ (information flow) ซงมจดประสงคตามทระบไวในแบบแผน: เรองความรบผดชอบในผลของงาน เรองการมอบอำานาจ เรองการเฝาตดตาม เรองการกำาหนดทศทาง เรองความสอดคลองกน เรองการปฏบตงาน และเรองการควบคม– การเฝาตดตาม—เปนระยะทใหความมนใจวา ทรพยากรดานสารสนเทศยงคงสามารถทำางานไดอยางถกตอง กลาวคอ

ยงคงทำาประโยชนได กจกรรมในระยะนอาจรวมถงการเกบรกษาสารสนเทศใหเปนปจจบน รวมทงกจกรรมในการบรหารจดการสารสนเทศอนๆ เชน การทำาใหดข น การลบ การผนวกรวม และการขจดความซำาซอนของสารสนเทศในคลงขอมล

– จำาหนายออก—เปนระยะททรพยากรดานสารสนเทศจะถกลบหรอทงไปเมอไมจำาเปนตองใชงานอกตอไป กจกรรมในระยะน อาจรวมถงการจดเกบสารสนเทศทลบออกไปนไวตางหาก (archive) หรอการทำาลายทง

• แนวปฏบตท ด—ความเขาใจในแนวคดของสารสนเทศอาจมความหลากหลายแตกตางกนไปตามสาขาวชาตางๆ เชนเศรษฐศาสตร ทฤษฏการสอสาร วทยาศาสตรคอมพวเตอร การบรหารจดการความร และระบบสารสนเทศ ดงนน จงไมมคำาจำากดความเกยวกบสารสนเทศเพยงหนงเดยวทตกลงใชรวมกนได อยางไรกตาม เราสามารถบอกถงลกษณะของสารสนเทศไดดวยการระบและอธบายถงคณสมบตของสารสนเทศ

แบบแผนดงตอไปน นำาเสนอการจดโครงสรางสำาหรบคณลกษณะทแตกตางกนของสารสนเทศ ซงประกอบดวยการระบถงคณลกษณะของสารสนเทศ 6 ระดบหรอชนพรอมกบคำาอธบาย ระดบทง 6 นแสดงถงคณลกษณะทเชอมตอกน เรมตงแตในโลกกายภาพของสารสนเทศซงคณลกษณะจะเชอมโยงกบเทคโนโลยและสอทางเทคโนโลยเพอการเกบรวมรวบ เกบรกษา ประมวลผล แจกจาย และนำาเสนอสารสนเทศ ไปจนถงในโลกของสงคมทมการใชสารสนเทศ ทำาความเขาใจ และกระทำาการ

ชนและคณลกษณะของสารสนเทศสามารถอธบายไดดงตอไปน • ช นของโลกทำงกำยภำพ (Physical world layer)—คอโลกทปรากฏการณทงหมดซงสามารถสงเกตเหนไดจรงเกด

ขน–พาหนะ/สอของสารสนเทศ—คณลกษณะทระบถง พาหนะหรอสอทางกายภาพของสารสนเทศ ยกตวอยางเชน กระดาษ สญญาณไฟฟา คลนเสยง

• ช นของประสบกำรณ (Empiric layer)—การสงเกตการณเชงประจกษ (empirical observation) ถงสญญาณทใชในการเขารหสสารสนเทศ และความแตกตางระหวางกน ตลอดจนความแตกตางจากคลนรบกวน– ชองทางในการเขาถงสารสนเทศ—คณลกษณะทระบถงชองทางการเขาถงสารสนเทศ ยกตวอยางเชน การเชอมตอ

ระหวางผใชกบระบบ (user interfaces)• ช นของไวยกรณ (Syntactic layer) —กฎและหลกการสำาหรบการสรางประโยคตามภาษาธรรมชาตและภาษาประดษฐ

(artificial language) ไวยกรณ (syntax) ในทนหมายถงรปแบบของสารสนเทศ– รหส/ภาษา—คณลกษณะทระบถงการแสดงภาษา/รปแบบทใชในการเขารหสสารสนเทศและกฎในการรวบรวม

สญลกษณตางๆ ของภาษาเพอใหจดทำาเปนโครงสรางของไวยกรณ• ช นของควำมหมำย (Semantic layer)—กฎและหลกการสำาหรบการสรางความหมายจากโครงสรางของไวยกรณ

ความหมาย (Semantic) ในทน ไดแกความหมายของสารสนเทศ– ประเภทของสารสนเทศ—คณลกษณะทระบถงชนดของสารสนเทศ ไดแก สารสนเทศดานการเงนและสารสนเทศทไมใช

ดานการเงน สารสนเทศทมาจากภายในและสารสนเทศทมาจากภายนอก คาจากการประมาณการ/คาดการณและคาจากการสงเกต คาทไดจาการวางแผนและคาทเกดขนจรง

– ความเปนปจจบนของสารสนเทศ—คณลกษณะทระบถงชวงเวลาในการอางถงสารสนเทศ ไดแก สารสนเทศในอดต ในปจจบน และในอนาคต

– ระดบของสารสนเทศ—คณลกษณะทระบถงระดบรายละเอยดของสารสนเทศ ยกตวอยาเชน ยอดขายตอป ตอไตรมาศ ตอเดอน


86

• ช นของกำรปฏบต (Pragmatic layer) —กฎและโครงสรางทใชสรางโครงสรางทใหญขนดานภาษา เพอใหบรรลถง

จดประสงคอยางใดอยางหนงในการสอสารของมนษย การปฏบต (pragmatic) ในทนหมายถงการใชสารสนเทศ – ระยะเวลาในการจดเกบ (Retention period) —คณลกษณะทระบวา สารสนเทศจะจดเกบไวนานเพยงใดกอนจะถก

ทำาลายทง– สถานะของสารสนเทศ—คณลกษณะทระบวาสารสนเทศใดเปนสารสนเทศทใชงานอย หรอเปนสารสนเทศในอดต– ความใหม (Novelty) —คณลกษณะทระบวา สารสนเทศนนสรางใหเกดความรใหม หรอยนยนความรทมอยเดม ไดแก

สารสนเทศกบการยนยน – ขอแม (Contingency)—คณลกษณะทระบถงสารสนเทศทจำาเปนตองมมากอนทจะเกดสารสนเทศน (เพอใหขอมลนได

รบการพจารณาวาเปนสารสนเทศ) • ช นของโลกทำงสงคม (Social world layer)—- โลกทสรางขนทางสงคมจากการใชโครงสรางดานภาษาทระดบของ

การปฏบตดานศาสตรในการใชสญลกษณและภาษา (semiotic) เชน สญญา กฎหมาย วฒนธรรม– บรบท (Context) —คณลกษณะทระบถงบรบทททำาใหสารสนเทศมความหมาย ใช มคณคา และอนๆ เชน บรบทของ

วฒนธรรม บรบทของแตละโดเมน

ขอควรพจำณำเพมเตมเกยวกบสำรสนเทศ— การลงทนในสารสนเทศและเทคโนโลยทเกยวของตงอยบนพนฐานของเหตผลทางธรกจ ซงรวมถงการวเคราะหตนทน-ผลประโยชน ตนทนและผลประโยชนไมไดหมายถงแคปจจยทมตวตนและวดผลไดเทานน แตยงรวมถงปจจยทไมมตวตนดวย เชน ความไดเปรยบในการแขงขน ความพงพอใจของลกคา และความไมแนนอนของเทคโนโลย องคกรจะไดรบประโยชนจากการใชสารสนเทศกตอเมอไดนำาทรพยากรของสารสนเทศไปใชหรอประยกตใช ดงนน คณคาของสารสนเทศจงเกดขนไดจากการนำาไปใชงานเทานน (ใชภายในองคกรหรอขาย) สารสนเทศไมมคณคาในตวเอง คณคาจะเกดขนกตอเมอใชสารสนเทศในกจกรรมทสรางคณคาเทานน

ตนแบบสารสนเทศน เปนรปแบบใหมและมสวนประกอบตางๆ มากมาย โดยจะไดรบการพฒนาเพมเตมในเอกสารฉบบแยกตางหาก เพอทใหงายตอการเรยกใชสำาหรบผใชงาน COBIT 5 และทำาใหเหนความเกยวของไดชดเจนมากขนในบรบทของกรอบดำาเนนการของ COBIT 5 โดยรวม ตวอยางท 13 14 และ 15 เปนตวอยางของความเปนไปไดในการนำาตนแบบสารสนเทศไปใชงาน

ตวอยำงท 13–กำรใชตนแบบสำรสนเทศส�ำหรบรำยละเอยดคณสมบตของสำรสนเทศเมอพฒนาระบบงานใหม เราสามารถใชตนแบบสารสนเทศเพอชวยในการกำาหนดรายละเอยดคณสมบตของระบบงานและรปแบบของสารสนเทศหรอขอมลทเกยวของ คณลกษณะของสารสนเทศในตนแบบสารสนเทศสามารถใชเพอกำาหนดรายละเอยดคณสมบตสำาหรบระบบงานและกระบวนการทางธรกจทจะใชสารสนเทศ

ยกตวอยางเชน การออกแบบและรายละเอยดคณสมบตของระบบใหมจะตองกำาหนดถง• ชนของกายภาพ—จะจดเกบสารสนเทศไวทไหน• ชนของประสบการณ—จะเขาถงสารสนเทศไดอยางไร• ชนของไวยกรณ—สารสนเทศจะมโครงสรางและการเขารหสอยางไร• ชนของความหมาย—สารสนเทศเปนขอมลประเภทใด สารสนเทศอยในระดบใด• ชนของการปฏบต—ตองการเกบสารสนเทศไวนานเทาใด ยงมสารสนเทศอนๆ อกหรอไมทจำาเปนตองใชเพอใหสารสนเทศ

เปนประโยชนและสามารถทำางานได

เมอดทมตของผมสวนไดเสยรวมกบวฏจกรของสารสนเทศ เราสามารถระบไดวาใครทจำาเปนตองเขาถงขอมลประเภทใดบางในระยะใดภายใตวฏจกรของสารสนเทศ

เมอจะทดสอบระบบงาน ผทดสอบสามารถใชเกณฑดานคณภาพของสารสนเทศในการพฒนาชดของกรณทดสอบเพอใหมความครอบคลมได

ตวอยำงท 14–กำรใชตนแบบสำรสนเทศเพอก�ำหนดควำมคมครองทตองกำรกลมบคคลทรกษาความมนคงปลอดภยภายในองคกรจะไดประโยชนจากมตดานคณลกษณะของตนแบบสารสนเทศ โดยแทจรงแลว การรกษาความมนคงปลอดภยจะตองพจารณาถง• ชนของกายภาพ—จะจดเกบสารสนเทศไวทไหน และจดเกบอยางไร• ชนของประสบการณ—จะเขาถงสารสนเทศไดทางชองทางใดไดบาง• ชนของความหมาย—สารสนเทศเปนขอมลประเภทใด สารสนเทศเปนขอมลในปจจบน หรอเกยวของกบอดตหรอนาคต• ชนของการปฏบต—ตองการเกบสารสนเทศไวนานเทาใด เปนขอมลในอดตหรอเปนขอมลทใชอยในการดำาเนนงาน

การใชคณลกษณะเหลาน จะชวยใหผใชสามารถกำาหนดระดบของการคมครองและกลไกในการคมครองทตองการได

ดทอกมตหนงในตนแบบสารสนเทศ ผประกอบวชาชพดานการรกษาความมนคงปลอดภยยงสามารถพจารณาถงระยะในวฏจกรของสารสนเทศไดดวย เพราะสารสนเทศจำาเปนตองไดรบความคมครองทกระยะในวฏจกรของสารสนเทศ ทจรงแลว การรกษาความมนคงปลอดภยเรมจากระยะของการวางแผนสารสนเทศ และยงหมายรวมไปถงกลไกตางๆในการใหความคมครองสำาหรบการจดเกบ การแบงปน และการจำาหนายออกซงสารสนเทศ ตนแบบสารสนเทศใหความมนใจวา ขอมลจะไดรบความคมครองตลอดวฎจกรของสารสนเทศ



87

ตวอยำงท 15–กำรใชตนแบบสำรสนเทศในกำรก�ำหนดควำมงำยของกำรใชขอมลเมอดำาเนนการสอบทานกระบวนการทางธรกจ (หรอระบบงาน) ตนแบบสารสนเทศสามารถนำามาใชเพอชวยในการสอบทานสารสนเทศทไดรบการประมวลผลสงมอบโดยกระบวนการและระบบสารสนเทศตางๆ เกณฑดานคณภาพสามารถนำามาใชในการประเมนวาสารสนเทศมความพรอมใชเพยงใด—วาสารสนเทศครบถวน พรอมใชในเวลาทตองการ ถกตองตามความเปนจรง มความเกยวเนอง พรอมใชในปรมาณทเหมาะสมหรอไมเพยงใด เราอาจสามารถพจารณาเกณฑการเขาถง (accessibility criteria) ไดดวย—วาขอมลสามารถเขาถงไดเมอตองการและไดรบความคมครองอยางเหมาะสมหรอไม

การสอบทานอาจขยายเพมเตมใหรวมถงเกณฑในการแสดงผล ยกตวอยางเชน สารสนเทศทงายตอการทำาความเขาใจ ตความ ใชงาน และจดดำาเนนการ (manipulate)

การสอบทานทใชเกณฑดานคณภาพของสารสนเทศจากตนแบบสารสนเทศจะใหภาพทครอบคลมและครบถวนแกองคกรในเรองคณภาพของสารสนเทศในปจจบนภายใตกระบวนการทางธรกจ


88




89

ปจจยเออใน COBIT 5: บรกำร โครงสรำงพนฐำน และระบบงำนความสามารถในการใหบรการ หมายถงทรพยากรตางๆ เชน ระบบงานและโครงสรางพนฐาน ทใชประโยชนสำาหรบการสงมอบบรการทเกยวของกบไอท

รายละเอยดเฉพาะสำาหรบปจจยเออดานความสามารถในการใหบรการ เปรยบเทยบกบคำาอธบายสำาหรบปจจยเออทวไป (generic enabler) แสดงไวในรปภำพท 37

รปแบบของบรการ โครงสรางพนฐาน และระบบงาน แสดงถง• ผมสวนไดเสย—ความสามารถในการใหบรการ (ใชในความหมายทรวมถงบรการ โครงสรางพนฐาน และระบบงาน) มผม

สวนไดเสยทอาจจะมาจากภายในหรอภายนอกกได บรการอาจจะสงมอบโดยหนวยงานภายในหรอภายนอกกได—หนวยงานดานไอทภายใน ผจดการดานปฏบตการ ผใหบรการภายนอก ผใชบรการอาจอยภายในองคกร— ผใชงานทางธรกจ หรออยภายนอกองคกร—พนธมตรทางธรกจ ลกคา ผขาย สวนไดเสยของผมสวนไดเสยแตละคนจะตองไดรบการระบและใหความสนใจไมวาจะเปนในเรองของการสงมอบบรการทเหมาะสม หรอการไดรบบรการทรองขอจากผใหบรการ

• เปำหมำย—เปาหมายของระดบความสามารถในการใหบรการ จะแสดงออกมาในแงของบรการ—ระบบงาน โครงสรางพนฐาน เทคโนโลย—และระดบการใหบรการ โดยพจารณาถงบรการและระดบการใหบรการทประหยดทสดสำาหรบองคกร เนนอกครงวาเปาหมายจะตองเกยวของกบบรการและการใหบรการ รวมทงผลลพธของการใหบรการ กลาวคอ การมสวนในการสนบสนนใหกระบวนการทางธรกจประสบความสำาเรจ

• วฏจกร—ความสามารถในการใหบรการมวฏจกร ความสามารถในการใหบรการในอนาคตหรอทวางแผนไวมกจะอธบายไว ใน สถาปตยกรรมเปาหมาย ซงครอบคลมถงสวนประกอบยอย (building blocks) เชน ระบบงานในอนาคต และรปแบบเปาหมายของโครงสรางพนฐาน และยงอธบายถงความเชอมโยงและความสมพนธระหวางสวนประกอบยอยเหลาน

รปภำพท 37—ปจจยเออใน COBIT 5: บรกำร โครงสรำงพนฐำน และระบบงำน

ความสามารถในการใหบรการในปจจบนทใชงานหรอปฏบตการเพอการสงมอบบรการดานไอทไดอธบายไวในสถาปตยกรรมทเปนเกณฑพนฐาน (baseline architecture) ทงน ข นอยกบกรอบเวลาของสถาปตยกรรมเปาหมาย สถาปตยกรรมในชวงระหวางการปรบเปลยน (transition architecture) อาจตองไดรบการกำาหนดขนเพอแสดงใหองคกรเหนถงสถานะทเปนสวนเพมระหวางสถาปตยกรรมเปาหมายกบเกณฑพนฐาน


90

• แนวปฏบตท ด—แนวปฏบตทดสำาหรบความสามารถในการใหบรการ รวมถง

– คำานยามของหลกการดานสถาปตยกรรม—หลกการดานสถาปตยกรรมเปนแนวทางในภาพรวมทใชกำากบดแลการนำาไปใชงาน และการใชทรพยากรทเกยวของกบไอทในองคกร ตวอยางของหลกการดานสถาปตยกรรมประกอบดวย• กำรน�ำไปใชอก (reuse)—สวนประกอบของสถาปตยกรรมทใชรวมกน ควรนำาไปเปนสวนหนงของสถาปตยกรรมเปา

หมายหรอสถาปตยกรรมทอยระหวางการปรบเปลยน เพอใชในการออกแบบและนำากระบวนการแกปญหาแบบเบดเสรจ (solution) ไปใชงาน

• ซอหรอสรำง—กระบวนการการแกไขปญหาแบบเบดเสรจ (solution) ควรจะซอ ยกเวนแตถามการตดสนใจทสมเหตผลทจะพฒนาขนใชเองเปนการภายใน

• ควำมเรยบงำย—สถาปตยกรรมขององคกรควรออกแบบใหเรยบงายและดแลไดงายเทาทจะเปนไปไดในขณะทยงคงตอบสนองความตองการขององคกร

• ควำมคลองตว—สถาปตยกรรมองคกรควรมความคลองตวเพอตอบสนองตอการเปลยนแปลงความตองการของธรกจอยางมประสทธภาพและประสทธผล

• กำรเปดรบ (Openness)—สถาปตยกรรมองคกรควรใชประโยชนจากมาตรฐานอตสาหกรรมแบบเปด (open industry standard)

– นยามขององคกรสำาหรบสถาปตยกรรมทเหมาะสมทสด มองไปทการตอบสนองตอความตองการของผมสวนไดเสยทมความหลากหลาย มรปแบบ บญชรายชอ (catalogues) และมาตรวดตางๆ ทใชอธบายถงสถาปตยกรรมทเปนเกณฑพนฐาน สถาปตยกรรมเปาหมาย หรอสถาปตยกรรมในระหวางการปรบเปลยน ยกตวอยางเชน สถาปตยกรรมระบบงานอาจอธบายโดยใชแผนภาพการเชอมตอกนของระบบงาน (application interface diagram) ซงแสดงถงระบบงานตางๆ ทใชงานอย (หรอทวางแผนไว) และการเชอมตอระหวางกน

– มคลงเกบสถาปตยกรรม (architecture repository) ทใชจดเกบผลลพธของสถาปตยกรรมประเภทตางๆ รวมถง หลกการและมาตรฐานของสถาปตยกรรม ตนแบบอางองของสถาปตยกรรม และผลงานทสงมอบอนๆ ของสถาปตยกรรม และทใชกำาหนดสวนประกอบยอย (building blocks) ของบรการ เชน• ระบบงาน ททำาหนาทงานใหแกธรกจ • โครงสรางพนฐานดานเทคโนโลย รวมถง ฮารดแวร ซอฟตแวรระบบ และโครงสรางพนฐานดานเครอขาย • โครงสรางพนฐานทางกายภาพ

– ระดบการใหบรการทตองกำาหนดขน และผใหบรการตองปฏบตตาม

ยงมแนวปฏบตทดจากภายนอกอนๆ สำาหรบกรอบดำาเนนงานดานสถาปตยกรรมและความสามารถในการใหบรการทสามารถนำามาใชได ซงรวมถงแนวทาง แมแบบ (template) หรอมาตรฐานตางๆ ทสามารถนำามาใชเพอรนระยะเวลาในการจดทำาผลงานดานสถาปตยกรรมทจะตองสงมอบ ยกตวอยางเชน – TOGAF16 ใหตนแบบอางองดานเทคนคและตนแบบอางองดานโครงสรางพนฐานของสารสนเทศเชงบรณากา

(integrated information infrastructure reference model)– ITIL ใหแนวทางทครอบคลมในการออกแบบและปฏบตการสำาหรบการใหบรการ

• ควำมสมพนธกบปจจยเอออ นๆ —ควำมเชอมโยงกบปจจยเอออ นๆ รวมถง – สารสนเทศเปนสวนหนงของความสามารถในการใหบรการ และกระบวนการใชประโยชนจากความสามารถในการให

บรการเพอสงมอบบรการทงภายในและภายนอก– มมมองดานวฒนธรรมและพฤตกรรมกมความเกยวของ โดยจำาเปนตองสรางวฒนธรรมทเนนการใหบรการ (service

oriented culture)– ขอมลรบเขาและผลลพธของแนวปฏบตในการบรหารจดการ (management practice) และกจกรรมตางๆ ภายใน

COBIT 5 ควรรวมถงความสามารถในการใหบรการ ซงใชเปนขอมลรบเขาหรอสงมอบเปนผลลพธ

16 www.opengroup.org/togaf



91

ปจจยเออใน COBIT 5: บคลำกร ทกษะ และศกยภำพรายละเอยดเฉพาะสำาหรบปจจยเออดานบคลากร ทกษะ และศกยภาพ เปรยบเทยบกบคำาอธบายปจจยเออทวไป (generic enabler) แสดงไวในรปภำพท 38

รปภำพท 38—ปจจยเออใน COBIT 5: บคลำกร ทกษะ และศกยภำพ

รปแบบของบคลากร ทกษะ และศกยภาพ แสดงถง• ผมสวนไดเสย—ทกษะและศกยภาพอาจมผมสวนไดเสยอยภายในองคหรอองคกรกได ผมสวนไดเสยตางๆ สวม

บทบาททแตกตางกน—ผจดการทางธรกจ ผจดการโครงการ พนธมตรทางธรกจ คแขง ผสรรหาบคลากรใหม ผฝกอบรม ผ พฒนาระบบ ผเชยวชาญทางเทคนคดานไอท และอนๆ —และแตละบทบาทจำาเปนตองมชดของทกษะทแตกตางกน

• เปำหมำย—เปาหมายสำาหรบทกษะและศกยภาพเกยวของกบระดบการศกษาและคณสมบต ทกษะดานเทคนค ระดบของประสบการณ ความร และทกษะดานพฤตกรรม ซงเปนสงทจำาเปนตองมเพอใหกจกรรมตางๆ ของกระบวนการและการปฏบตตามบทบาทหนาทตางๆ ขององคกรประสบความสำาเรจ เปาหมายสำาหรบบคลากรยงรวมถงอตรากำาลงและอตราการลาออกทเหมาะสม

• วฎจกร—ทกษะและศกยภาพมวฏจกร องคกรตองทราบทกษะพนฐานในปจจบนและวางแผนไปสระดบทตองการ ทกษะไดรบอทธผลสวนหนงจากกลยทธและเปาหมายขององคกร ทกษะจำาเปนตองไดรบการพฒนาขนมา (เชน ผานทางการฝกอบรม) หรอการจดหา (เชน ผานทางการสรรหาพนกงานใหม) แลวจดสรรใหกบบทบาทตางๆ ภายใตโครงสรางการจดองคกร ทกษะอาจจำาเปนตองยกเลกไป ยกตวอยางเชน เมอกจกรรมนนเปลยนกรทำางานเปนแบบอตโนมต หรอใหหนวยงานภายนอกมาดำาเนนการแทน– องคกรตองประเมนทกษะพนฐานอยางสมำาเสมอ เชน ปละครง เพอใหเขาใจถงววฒนาการทเกดขน ซงจะเปนขอมลทใช

ในกระบวนการวางแผนสำาหรบงวดตอไป– การประเมนนยงชวยปอนขอมลเขาสกระบวนการใหรางวลและการยอมรบ (recognition) สำาหรบการบรหารทรพยากร

บคคล• แนวปฏบตท ด—แนวปฏบตทดสำาหรบทกษะและศกยภาพ ไดรวมเอาการระบถงความจำาเปนทจะตองมทกษะทตองการ

สำาหรบแตละบทบาทหนาทของผมสวนไดเสยตางๆ โดยอธบายถงระดบของทกษะทแตกตางกนในประเภทตางๆ ของทกษะ ควรมคำานยามของคำาวาทกษะสำาหรบในแตละระดบและประเภทของทกษะทเหมาะสม ตวอยางประเภทของทกษะสำาหรบกจกรรมทเกยวของกบไอท ไดแก การบรหารจดการสารสนเทศ การวเคราะหธรกจ – แนวปฏบตทดอนๆ

• มแนวปฏบตทดจากแหลงภายนอก เชน กรอบการดำาเนนงานดานทกษะสำาหรบยคของสารสนเทศ (skills framework for the information age) หรอ SFIA17 ซงใหคำานยามของคำาวาทกษะไวอยางครอบคลม

• ตวอยางประเภทของทกษะทเปนไปได เทยบกบกระบวนการของ COBIT 5 ในโดเมนตางๆ แสดงไวในรปภำพท 39

17 www.sfia.org.uk


92

รปภำพท 39—ประเภทของทกษะใน COBIT 5กระบวนกำรในโดเมนตำงๆ ตวอยำงประเภทของทกษะ

ประเมน สงการ และเฝาตดตาม (EDM) • การกำากบดแลไอทระดบองคกร

จดวางแนว จดทำาแผน และจดระบบ (APO) • การจดทำานโยบายดานไอท • กลยทธดานไอท • สถาปตยกรรมองคกร • นวตกรรม • การบรหารการเงน • การบรหารจดการกลม (ของโครงการหรอเงนลงทน)

จดสราง จดหา และนำาไปใช (BAI) • การวเคราะหธรกจ • การบรหารโครงการ • การประเมนการใชงาน (ใชและเรยนรไดงาย)• การใหคำานยามและการบรหารจดการความตองการ• การจดทำาโปรแกรม• การยศาสตรของระบบ (System ergonomics)• การเลกใชงานซอฟตแวร (Software decommissioning)• การบรหารจดการขดความสามรถ (Capacity management)

สงมอบ บรการ และสนบสนน (DSS) • การบรหารจดการความพรอมใช • การบรหารจดการปญหา• การบรหารจดการหนวยบรหาร (Service desk) และเหตการณผดปกต • การบรหารจดการความมนคงปลอดภย • ปฏบตการดานไอท• การบรหารจดการฐานขอมล

เฝาตตตาม วดผล และประเมน (MEA) • การสอบทานการปฏบตตาม (กฎหมายหรอกฎระเบยบขอบงคบ) • การเฝาตดตามประสทธภาพในการดำาเนนงาน• การตรวจสอบการควบคม

• ควำมสมพนธกบปจจยเอออ นๆ—ความเชอมโยงกบปจจยเอออนๆ รวมถง– ทกษะและศกยภาพเปนสงจำาเปนสำาหรบการปฏบตกจกรรมตางๆ ของกระบวนการและตดสนใจตามโครงสรางการจด

องคกร ในทางกลบกน บางกระบวนการเนนทการสนบสนนวฏจกรของทกษะและศกยภาพ– มการเชอมโยงกบวฒนธรรม จรยธรรม และพฤตกรรม กบทกษะดานพฤตกรรม ซงไดแกการผลกดนพฤตกรรมบคคล

และพฤตกรรมบคคลนกไดรบอทธพลจากจรยธรรมสวนบคคลและจรยธรรมองคกร– คำานยามของคำาวาทกษะกคอสารสนเทศ ซงจำาเปนตองไดรบการพจารณาตามแนวปฏบตทดสำาหรบปจจยเออดาน

สารสนเทศ


ภาคผนวก H อภธานศพท

93

ภาคผนวก Hอภธานศพท

ค�ำศพทองกฤษ ค�ำศพทไทย ค�ำนยำมaccountability ผรบผดชอบใน

ผลงาน (RACI)บคคล กลมบคคล หรอหนวยงานทรบผดชอบในผลสดทายของเรอง กระบวนการ หรอขอบเขตงานอยางใดอยางหนง

ในตาราง RACI จะใชตอบคำาถาม: ใครเปนผรบผดชอบตอความสำาเรจของงาน

Accountability of governance

ความรบผดชอบในผลงานของการกำากบดแล

การกำากบดแลทำาใหมนใจวาองคกรจะบรรลวตถประสงค โดยการประเมนความตองการของผมสวนไดเสย เงอนไข และทางเลอก; กำาหนดทศทางผานทางการจดลำาดบความสำาคญและการตดสนใจ; และเฝาตดตามประสทธภาพในการดำาเนนงาน การปฏบตตามกฎระเบยบขอบงคบ และความคบหนาของงานเปรยบเทยบกบแผน ในองคกรสวนใหญการกำากบดแลเปนหนาทความรบผดชอบของคณะกรรมการบรหารภายใตการนำาของประธานกรรมการ

Activity กจกรรม ใน COBIT หมายถงการกระทำาหลกทใชในการดำาเนนกระบวนการ แนวทางเพอบรรลแนวปฏบตในการบรหารจดการเพอใหประสบความสำาเรจในการกำากบดแลและการบรหารจดการไอทระดบองคกร กจกรรม• อธบายถงกลมของการกระทำาทจำาเปนและเพยงพอในขนตอนของการนำาไปใช

(implementation step) เพอใหสามารถบรรลแนวปฏบตในการกำากบดแลหรอแนวปฏบตในการบรหารจดการ

• พจารณาถงขอมลรบเขา (input) และผลลพธของกระบวนการ• ตงอยบนพนฐานของมาตรฐานและแนวปฏบตทด ซ งเปนทยอมรบกนโดยทวไป• สนบสนนการจดใหมบทบาทหนาทและความรบผดชอบทชดเจน• ไมใชส งทตายตว และจำาเปนตองนำาไปปรบใชและพฒนาใหเปนกระบวนการเฉพาะท

เหมาะสมกบองคกร

Alignment ความสอดคลอง ภาวะทปจจยเออในการกำากบดแลและการบรหารจดการไอทระดบองคกรสนบสนนเปาหมายและกลยทธขององคกร

Application architecture

สถาปตยกรรมระบบงาน

คำาอธบายถงกลมทางตรรกะ (logical group) ของความสามารถ (capability) ซงใช จดการวตถตางๆ ทจำาเปนในการประมวลสารสนเทศและสนบสนนวตถประสงคขององคกร

Architecture board คณะกรรมการบรหารดานสถาปตยกรรม

กลมของผมสวนไดเสยและผเชยวชาญทรบผดชอบในผลงานสำาหรบการใหแนวทางในเรองและในการตดสนใจทเกยวของกบสถาปตยกรรมองคกร ตลอดจนสำาหรบการกำาหนดนโยบายและมาตรฐานดานสถาปตยกรรม

Authentication การพสจนตวตน การกระทำาเพอพสจนตวตนและสทธของผใช ในการเขาถงสารสนเทศบนระบบคอมพวเตอร

หมายเหต: การใหความเชอมน: การพสจนตวตนออกแบบมาเพอปองกนการลงชอเขาใชระบบโดยมชอบ และยงอาจหมายถงการพสจนความถกตองของขอมลดวย

AuthenticationBaseline architecture

สถาปตยกรรมทเปนเกณฑพนฐาน

คำาอธบายทมอยของพนฐานการออกแบบสวนประกอบของระบบธรกจ กอนทจะเขาสวฏจกรของการสอบทานสถาปตยกรรมและออกแบบใหม (redesign)

Benefit realization การไดรบผลประโยชน

เปนหนงในวตถประสงคของการกำากบดแล การนำามาซงผลประโยชนใหมๆ สำาหรบองคกร การดำารงรกษาและเพมพนผลประโยชนในรปแบบทเปนอย และการกำาจดการรเรมดำาเนนการ (initiatives) และสนทรพยทไมสรางคณคาพอ

Business continuity ความตอเนองในการดำาเนนธรกจ

ปองกน ลดโอกาส และกคนสภาพจากการหยดชะงก ในความหมายของ ‘การวางแผนกลบคนสการดำาเนนธรกจ (business resumption planning)’ ‘การวางแผนฟนฟระบบจากภยพบต (disaster recovery planning)’ และ ‘การวางแผนรบมอสถานการณฉกเฉน (contingency planning)’ อาจนำามาใชในบรบทน ซงจะเนนทมมมองในดานการกคนสภาพ (recovery) ของความตอเนอง และดวยสาเหตน จงควรพจารณาถงมมมองในดาน ‘ความสามารถในการกลบคนสสภาพเดม (resilience)’ ดวย

Business goal เปาหมายทางธรกจ

การแปลความหมายของพนธกจขององคกรจากถอยแถลงเจตจำานง (statement of intention) มาเปนเปาและผลของประสทธภาพในการดำาเนนงาน

Business process control

การควบคมกระบวนการทางธรกจ

นโยบาย ขนตอนการปฏบตงาน แนวปฏบต และโครงสรางการจดองคกรทออกแบบมาเพอใหความเชอมนไดพอควรวากระบวนการทางธรกจจะสามารถบรรลเปาหมาย


94

ค�ำศพทองกฤษ ค�ำศพทไทย ค�ำนยำมChargeback การคดคาใชจาย

กลบคนการคดคาใชจายกลบคนไปใหหนวยงานในบรษททกอใหเกดคาใชจายนข นมา

หมายเหต: การคดคาใชจายกลบคน (chargeback) มความสำาคญเพราะหากไมมนโยบายดงกลาวแลว อาจจะเกดมมมองทคลาดเคลอนสำาหรบความสามารถในการกำาไรทแทจรงของสนคาและบรการได หากคาใชจายหลกถกละเลยหรอคำานวณตามอำาเภอใจ

COBIT COBIT 1. COBIT 5: เดมเปนทรจกในชอเตมวา Control objectives for information and related technology (COBIT) ปจจบนใชอกษรยอและเปนการทบทวนรอบท 5 COBIT 5 เปนกรอบการดำาเนนงานดานการกำากบดแลและการบรหารจดการดานสารสนเทศและเทคโนโลย (ไอท) ระดบองคกรทสมบรณและเปนทยอมรบในระดบสากล ซงสนบสนนผบรหารทกระดบขององคกรในการกำาหนดและบรรลเปาหมายทางธรกจและเปาหมายดานไอท COBIT อธบายถงหลกการ 5 ประการและปจจยเออ 7 ประเภททสนบสนนองคกรในการพฒนาและนำาไปใชซ งแนวปฏบตทดดานการกำากบดแลและการบรหารจดการทเกยวของกบไอท รวมถงการพฒนาอยางตอเนองและการเฝาตดตาม

หมายเหต: ใน COBIT รนกอนหนาน จะเนนในดานวตถประสงคของการควบคม (control objective) ทเกยวของกบกระบวนการดานไอท การบรหารจดการและการควบคมกระบวนการดานไอท และการกำากบดแลดานไอท การประยกตและนำากรอบดำาเนนงาน COBIT มาใชไดรบการสนบสนนจากผลตภณฑในชดของ COBIT ทได รบพฒนาออกมาใหมอยเรอยๆ (ดขอมลจาก www.isaca.org/cobit)

2. COBIT 4.1 และรนกอนหนาน: เดมเปนทรจกในชอเตมวา Control objectives for information and related technology (COBIT) ซงเปนกรอบการดำาเนนงานสำาหรบไอททสมบรณและเปนทยอมรบในระดบสากล ซงสนบสนนผบรหารและผ บรหารระดบสงทงทางธรกจและดานไอทในการกำาหนดเปาหมายทางธรกจและเปาหมายทเกยวของกบไอท และบรรลเปาหมายเหลานโดยใหตนแบบในการกำากบดแล การบรหารจดการ การควบคม และการใหความเชอมนดานไอทอยางครอบคลม COBIT อธบายถงกระบวนการดานไอทและวตถประสงคการควบคมทเกยวของ แนวทางในการบรหารจดการ (กจกรรรม ความรบผดชอบในผลงาน ความรบผดชอบตามหนาท และมาตรวดประสทธภาพในการดำาเนนงาน) และตนแบบของระดบวฒภาวะ (maturity model) COBIT สนบสนนผบรหารขององคกรในการพฒนา การนำาไปใช การปรบปรงอยางตอเนอง และการเฝาตดตามแนวปฏบตทดทเกยวของกบไอท

หมายเหต: การรบกรอบดำาเนนงาน COBIT มาใชไดรบการสนบสนนจากแนวทางสำาหรบผบรหารและผบรหารระดบสง (ใน บทสรปสำาหรบคณะกรรมการบรหารเพอการกำากบดแลไอท พมพครงท 2 - board briefing on IT governance 2 edi-tion) สำาหรบผนำาการกำากบดแลดานไอทไปใชงาน (IT governance implement-ers) (ใน COBIT Quickstart, 2nd Edition; IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition; และใน COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance) และสำาหรบผประกอบวชาชพดานการใหความเชอมนและการตรวจสอบดานไอท (ใน IT Assurance Guide Using COBIT) นอกจากน ยงมแนวทางทสนบสนนการประยกตใชสำาหรบขอกำาหนดดานกฎหมายและกฎระเบยบขอบงคบ (ยกตวอยางเชน IT Control Objectives for Sarbanes-Oxley และ IT Control Objectives for Basel II ) และทเกยวของกบการรกษาความมนคงปลอดภยสารสนเทศ (ใน COBIT Security Baseline) ไดมการแสดง COBIT เทยบกบกรอบดำาเนนงานและมาตรฐานอนๆ เพอใหเหนภาพของความครอบคลมอยางสมบรณในวฏจกรของการบรหารจดการดานไอท และสนบสนนการใช COBIT ในองคกรทใชกรอบดำาเนนงานและมาตรฐานทเกยวกบไอททหลากหลาย

Competence ความสามารถ/ศกยภาพ

ความสามารถในการปฏบตภารกจ การกระทำา และหนาทงานใหสำาเรจ



95

ค�ำศพทองกฤษ ค�ำศพทไทย ค�ำนยำมConsulted party (RACI)

ผใหคำาปรกษา (RACI)

หมายถงบคคลทใหความเหนเกยวกบกจกรรม (การสอสาร 2 ทาง)

ในตาราง RACI จะใชตอบคำาถาม: ใครเปนผใหขอมลเปนบทบาทหนาทหลกทใหขอมล (input) โปรดสงเกตวาจะขนอยกบผมความรบผดชอบในผลงานและผมความรบผดชอบตามหนาททจะรบสารสนเทศมาจากสวนงานหรอพนธมตรภายนอกอนๆ ดวย อยางไรกตาม ขอมล (input) ทรบมาจากบทบาทตางๆทมอยในรายการจะไดรบการพจารณา และตองมการดำาเนนการทเหมาะสมในการแจงเรองตามระดบ (escalation) ถาจำาเปน

Context บรบท กลมของปจจยทงภายในและภายนอกโดยรวมทอาจมอทธพลหรอมสวนในการกำาหนดวาองคกร หนวยงาน กระบวนการ หรอบคคลจะมการกระทำาอยางไร

หมายเหต: บรบทประกอบดวย• บรบททางเทคโนโลย—ปจจยดานเทคโนโลยทมผลตอความสามารถขององคกรใน

การสรางคณคาจากขอมล• บรบททางขอมล—ขอมลมความถกตอง พรอมใชงาน เปนปจจบน และมคณภาพ• ทกษะและความร—ประสบการณทวไป และทกษะดานการวเคราะห ดานเทคนค

และดานธรกจ• บรบทดานโครงสรางการจดองคกรและวฒนธรรม—ปจจยดานการเมอง และองคกร

ชอบทจะใชขอมลมากกวาใชสญชาตญาณหรอไม• บรบทดานกลยทธ—วตถประสงคดานกลยทธขององคกร

Control การควบคม วธในการบรหารความเสยง รวมถงนโยบาย ขนตอนการปฏบตงาน แนวทาง แนวปฏบต หรอโครงสรางการจดองคกร ซงอาจเปนดานการจดการดแล (administrative) ดานเทคนค ดานการบรหาร หรอดานกฎหมาย และยงใชในความหมายเดยวกนกบการปกปอง (safeguard) หรอมาตรการรบมอ (countermeasure)

Culture วฒนธรรม แบบแผน (pattern) ของพฤตกรรม ความเชอ สมมตฐาน ทศนคต และวธในการทำาสงตางๆ

Driver ปจจยขบเคลอน/ปจจยผลกดน

ปจจยภายนอกหรอปจจยภายใน ทรเร มดำาเนนการหรอสงผลใหองคกรหรอบคคลกระทำาการหรอเกดการเปลยนแปลง

enterprise goal เปาหมายองคกร ด เปาหมายของธรกจ (business goal)

Enterprisegovernance

การกำากบดแลองคกร

กลมของหนาทความรบผดชอบและแนวปฏบตทดำาเนนการโดยคณะกรรมการบรหารและผบรหารระดบสง โดยมเปาหมายในการใหทศทางเชงกลยทธ ทำาใหเกดความมนใจวาจะบรรลวตถประสงค แนใจไดวาความเสยงไดรบการบรหารจดการอยางเหมาะสม และตรวจสอบวามการใชทรพยากรขององคกรอยางมความรบผดชอบ และยงอาจหมายถงมมมองดานการกำากบดแลทเนนองคกรโดยรวม ซงเปนมมมองในภาพรวมระดบสงสดของการกำากบดแลซงทกมมมองอนทงหมดจะตองสอดคลองกบมมมองน

Full economic life cycle

ตลอดอายการใชงานทเหมาะสม

ชวงระยะเวลาทคาดวาจะไดรบผลประโยชนทางธรกจอยางเปนนยสำาคญ และ/หรอชวงระยะเวลาทคาดวาจะเกดคาใชจายอยางเปนนยสำาคญ (รวมถงการลงทน ตนทนในการดำาเนนธรกจ และตนทนในการเลกธรกจ) จากการลงทนในชดโครงการ (programme)

Good practice แนวปฏบตทด กจกรรมหรอกระบวนการทไดรบการพสจนแลววา เมอองคกรตางๆนำามาใชงานแลวจะประสบความสำาเรจ และสามารถทำาใหเกดผลลพธทเชอถอได

Governance การกำากบดแล การกำากบดแลชวยใหมนใจไดวา ความตองการ เงอนไข และทางเลอกตางๆ ของผมสวนไดเสยไดรบการประเมนเพอพจารณาถงการบรรลวตถประสงคทมความสมดลและเหนพองตองกนขององคกร; การกำาหนดทศทางผานทางการจดลำาดบความสำาคญและการตดสนใจ; และการเฝาตดตามประสทธภาพในการดำาเนนงานและการปฏบตตามทศทางและวตถประสงคทเหนพองตองกน

Governance/ management practice

แนวปฏบตในการกำากบดแล/การบรหารจดการ

สำาหรบแตละกระบวนการของ COBIT แนวปฏบตในการกำากบดแลและการบรหารจดการ จะใหขอกำาหนดในภาพรวมทครบชดสำาหรบการกำากบดแลและการบรหารจดการไอทระดบองคกรทมประสทธผลและนำาไปปฏบตไดจรง แนวปฏบตในการกำากบดแล/การบรหารจดการนเปนคำาแถลงการณกระทำา (statements of actions) จากหนวยงานกำากบดแลและผบรหาร

Governance enabler

ปจจยเออดานการกำากบดแล

สง (ทงจบตองไดและจบตองไมได) ทชวยใหเกดการกำากบดแลทมประสทธผล


96

ค�ำศพทองกฤษ ค�ำศพทไทย ค�ำนยำมGovernanceframework

กรอบการดำาเนนงานดานการกำากบดแล

กรอบการดำาเนนงานเปนโครงสรางแนวคดพนฐานทใชในการแกไขหรอจดการประเดนปญหาทมความซบซอน เปนปจจยเออสำาหรบการกำากบดแล เปนกลมของแนวคด ขอสมมตฐาน และแนวปฏบตทใชกำาหนดวธปฏบตหรอทำาความเขาใจในบางเรอง ตลอดจนกำาหนดความสมพนธระหวางหนวยงานตางๆทมสวนรวม บทบาทหนาทของผทม สวนรวม และขอบเขต (อะไรทรวมและไมรวมอยในระบบการกำากบดแล)

ตวอยาง: COBIT และการควบคมภายใน—กรอบการดำาเนนงานแบบบรณาการของ COSO

Governance of enterprise IT

การกำากบดแลไอทระดบองคกร

มมมองของการกำากบดแลทใหความมนใจวา สารสนเทศและเทคโนโลยทเกยวของสนบสนนและเออตอกลยทธขององคกรและชวยใหองคกรบรรลวตถประสงค และยงรวมถงหนาทในการกำากบดแลดานไอท กลาวคอ การทำาใหมนใจวาความสามารถดานไอทเกดขนไดอยางมประสทธภาพและประสทธผล

Information สารสนเทศ เปนสนทรพยเชนเดยวกบสนทรพยทางธรกจทสำาคญอนๆ ขององคกร เปนทส งจำาเปนตอการดำาเนนธรกจขององคกร อาจอยในรปแบบทแตกตางกน เชน สงพมพหรอขอความทเขยนบนกระดาษ เกบในรปแบบของอเลกทรอนก สงทางไปรษณยหรอทางอเลกทรอนกส แสดงบนฟลม หรอคำาพดในการสนทนา

Informed party (RACI)

ผทไดรบแจงให รบทราบ (RACI)

หมายถงผทบคคลตางๆจะใหขอมลเกยวกบความกาวหนาของงานหรอกจกรรม (การสอสารทางเดยว)

ในตาราง RACI จะใชตอบคำาถาม: ใครเปนผไดรบสารสนเทศเปนบทบาทหนาททจะไดรบแจงใหทราบถงความสำาเรจของงานและ/หรอการสงมอบงาน ทงน แนนอนอยแลววาบทบาทหนาทซ ง ‘รบผดชอบในผลงาน’ ควรจะไดรบสารสนเทศอยางเหมาะสมอยเสมอเพอใหสามารถควบคมดแลการทำางานได เชนเดยวกบบทบาทหนาทซ ง ‘รบผดชอบตามหนาท’ ทควรไดรบสารสนเทศในสวนทตนรบผดชอบ

Inputs and outputs ขอมลรบเขาและผลลพธ

ช นงานนหรอสงทจดทำาขนของกระบวนการทถอไดวามจำาเปนในการสนบสนนการดำาเนนกระบวนการ โดยเออตอการตดสนใจทสำาคญ ใหขอมลและรองรอยสำาหรบการตรวจสอบกจรรมตางๆของกระบวนการ และเออตอการตดตามเหตการณผดปกตทเกดขน โดยระบทระดบของแนวปฏบตในการบรหารจดการ (management practice) และอาจรวมถงชนงานบางอยางทใชภายในกระบวนการเทานนและมกจะเปนขอมลรบเขา (input) ทสำาคญของกระบวนการอน ขอมลรบเขา (input) และผลลพธทระบไวใน COBIT 5 ไมควรถอวามเพยงรายการเหลานนเทานน เพราะอาจมการกำาหนดกระแสสารสนเทศ (information flow) เพมเตมขนไดอก ขนอยกบสภาพแวดลอมขององคกรและกรอบการดำาเนนงานของกระบวนการ

Investment portfolio

กลมของการลงทน

กลมของการลงทนทกำาลงไดรบการพจารณาหรอกำาลงดำาเนนการอย

IT application ระบบงานดานไอท

เปนหนาทงานทางอเลกทรอนกทเปนสวนของกระบวนการทางธรกจ ซงดแลโดยหรอไดรบการสนบสนนจากหนวยงานดานไอท

IT goal เปาหมายดานไอท

ขอความทอธบายถงผลลพธทตองการของไอทระดบองคกรเพอสนบสนนเปาหมายขององคกร ผลลพธอาจเปนสงทจดทำาขนมา การเปลยนแปลงสถานะอยางเปนนยสำาคญ หรอการปรบปรงความสามารถอยางเปนนยสำาคญ

IT service การใหบรการดานไอท

การใหบรการโครงสรางพนฐานและระบบงานดานไอทกบลกคาในแตละวนและการสนบสนนผใชงาน ตวอยางรวมถง หนวยบรการ (service desk) การจดหาและยายอปกรณ และการใหสทธเพอรกษาความมนคงปลอดภย

Management ผบรหาร ผบรหารวางแผน จดสราง ดำาเนนการ และเฝาตดตามกจกรรมตางๆใหสอดคลองกบทศทางทกำาหนดมาจากหนวยงานกำากบดแลเพอใหบรรลวตถประสงคขององคกร

Model ตนแบบ/รปแบบ วธทใชอธบายถงกลมขององคประกอบและความสมพนธระหวางองคประกอบเหลานน เพออธบายถงการทำางานหลกของวตถ ระบบ หรอแนวคดอยางใดอยางหนง

Metric มาตรวด หนวยวดเชงปรมาณทใชวดความสำาเรจของกระบวนการตามเปาหมายทกำาหนด มาตรวดควรจะ SMART-ชเฉพาะ (Specific) วดผลได (Measurable) ทำางานได (Actionable) เกยวเนอง (Relevant) และทนเวลา (Timely) แนวทางสำาหรบมาตรวดทสมบรณจะตองระบถงหนวยทใช ความถในการวด คาเปาหมายทตองการ(ถาเหมาะสม) และยงรวมถงขนตอนทจะตองดำาเนนการในการวดผล และขนตอนในการตความผลการประเมน



97

ค�ำศพทองกฤษ ค�ำศพทไทย ค�ำนยำมObjective วตถประสงค คำาแถลงถงผลลพธทตองการ

Organisational structure

โครงสรางการจดองคกร

ปจจยเออสำาหรบการกำากบดแลและการบรหารจดการ รวมถงองคกรและโครงสรางขององคกร ลำาดบและสายการบงคบบญชา

ตวอยาง: คณะกรรมการอำานวยการ (Steering Committee)

Output ผลลพธ ดใน ขอมลรบเขาและผลลพธ (inputs and outputs)

Owner เจาของ บคคลหรอกลมทถอหรอไดรบสทธและมความรบผดชอบตอองคองคกร ตอหนวยงาน (entity) หรอตอสนทรพยขององคกร เชน เจาของกระบวนการ เจาของระบบ

Policy นโยบาย ความตงใจและทศทางในภาพรวมทผบรหารแสดงออกมาอยางเปนทางการ

Principle หลกการ ปจจยเออสำาหรบการกำากบดแลและการบรหารจดการ ประกอบดวยคานยามและขอสมมตฐานขนพนฐานทองคกรยดถออย ความเชอทช นำาและกำาหนดขอบเขตการตดสนใจขององคกร การสอสารทงภายในและภายนอกองคกร และการดแลรกษา (steward-ship)—การดแลสนทรพยทผอ นเปนเจาของ

ตวอยาง: กฎบตรจรยธรรม (ethic charter) กฎบตรความรบผดชอบตอสงคม (social responsibility charter)

Process กระบวนการ โดยทวไปหมายถงกลมของแนวปฏบตทไดรบอทธพลจากนโยบายและกระบวนการขององคกรซงรบขอมลมาจากแหลงตางๆ (ซงรวมถงกระบวนการอนๆ) จดดำาเนนการ (manipulate) ขอมลทรบเขาและจดทำาผลลพธ (เชน ผลตภณฑ บรการ)

หมายเหต: กระบวนการมเหตผลทางธรกจทสมเหตสมผลสำาหรบการมอย มเจาของผรบผดชอบในผลงาน (accountable owner) มบทบาทหนาทความรบผดชอบทชดเจนในการปฏบตงาน และมวธการสำาหรบการวดผลการปฏบตงาน

Process (capability) attribute

คณลกษณะ (ความสามารถ) ของกระบวนการ

ISO/IEC 15504: เปนลกษณะความสามารถของกระบวนการ (process capability) ทวดผลได ซงประยกตใชกบกระบวนการใดๆ กได

Process capability ความสามารถของกระบวนการ

ISO/IEC 15504: เปนลกษณะความสามารถของกระบวนการทชวยใหบรรลเปาหมายทางธรกจในปจจบนหรอทประมาณไว

Process goal เปาหมายของกระบวนการ

ขอความทอธบายถงผลลพธทตองการจากกระบวนการ ผลลพธอาจเปนสงทจดทำาขนมา การเปลยนสถานะอยางเปนนยสำาคญ หรอการปรบปรงความสามารถของกระบวนการอนๆ อยางเปนนยสำาคญ

Programme and project management office (PMO)

สำานกงานบรหารโครงการและชดโครงการ

เปนหนาทงานทรบผดชอบในการสนบสนนผบรหารชดโครงการ (programmes) และโครงการ ในการรวบรวม ประเมน และรายงานสารสนเทศทเกยวกบการดำาเนนงานตามชดโครงการและโครงการตางๆทประกอบอยในชดโครงการนนๆ

Services บรการ ด การใหบรการดานไอท (IT service)

Skill ทกษะ ความสามารถในการเรยนรเพอบรรลผลลพธทตงไว

Stakeholder ผมสวนไดเสย ผทรบผดชอบในหนาทตอความคาดหวงหรอผลประโยชนอนๆ บางประการขององคกร—เชน ผมสวนไดเสย ผใชงาน รฐบาล ผขาย ลกคา และสารธารณชน

System of internal control

ระบบการควบคมภายใน

นโยบาย มาตรฐาน แผนงานและขนตอนการปฏบตงาน และโครงสรางการจดองคกรทออกแบบมาเพอใหความเชอมนไดพอควรวา จะบรรลวตถประสงคขององคกร และเหตการณทไมพงปรารถนาจะไดรบการปองกน ตรวจพบและแกไข

Value creation การสรางคณคา วตถประสงคหลกดานการกำากบดแลขององคกร จะบรรลเมอสามารถสรางสมดลระหวางวตถประสงคพนฐาน 3 ขอ (การไดรบผลประโยชน ความเสยงทเหมาะสม และทรพยากรทใหประโยชนสงสด)


98



cobit5 it ระดับองค์กร

Documents