IT Governance & Practical Road Mapความสําเร็จ (KPI) • กําหนดความเส ี่ยง และสมมติฐาน Step 5 Step 6 •

1

IT Governance & Practical Road Map

By : Metha Suvanasarn

------------------------------------------------------------------------------------------------------------------

IT Governance เปนหนาท่ีของผูบริหาร

IT Governance เปนหนาที่และความรับผิดชอบเกี่ยวกับการจัดการที่ดีทางดานเทคโนโลยีสารสนเทศควบคูกันไปกับความสามารถดานอื่น ๆ ของคณะกรรมการและผูบริหารระดับสูงที่ใชเปนกรอบ และองคประกอบของกระบวนการบริหารงานในการปฏิบัติตามนโยบาย กลยุทธเพื่อสรางศักยภาพ คุณคาเพิ่ม และการเติบโตอยางยั่งยืนอยางรูคุณคาใหกับองคกรควบคูกันไปกับหลักการกํากับดูแลกิจการที่ดีที่แยกกันไมได ในกระบวนการบริหารความเสี่ยงตามองคประกอบของการจัดการตั้งแตการวางแผน การจัดองคกร การจัดพนักงาน การดําเนินการและการควบคุม

ท่ีมา : ดัดแปลง/ปรับปรุง จาก IT Portfolio Management / Bryan Maizlish & Robert Handler / Page 97

Step 1

Road Map : สูกระบวนการนํา ITG ไปสูมาตรฐานการปฏิบัติเปนรปูธรรม โดยยอ

• จัดตั้ง IT Strategy Committee และ IT Steering Committee

• กําหนดหนาท่ีและความรับผิด ชอบของคณะกรรมการและผูบริหาร

• Committee เปนผูกําหนด Business Policy, Information Policy, IT Policy, ITG organization, ITG Process และMeasurements

• กําหนดเปาหมาย ITG สูระดับ 5 ในป ……

Step 2

• สรางความเช่ือมโยงของ IT เขากับ เปาหมาย กลยุทธ ความตองการทางธุรกิจขององคกร รวมทั้งการจัดลําดับความสําคัญ

• นํานโยบายไปสูการปฏิบัติเพ่ือกําหนดพฤติกรรมใหมีการปฏิบัติสอดคลองกับกลยุทธ เปาหมายของการลงทุน และการมีระดับความเสี่ยงที่ยอมรับได Step 3

• การจัดการทางดาน IT Portfolio และ IT Investment

• จัดมาตรฐาน IT Process และกระบวนการควบคุมที่เกี่ยวของเพ่ือชวยในการจัดการ IT Portfolio (โดยใชมาตรฐานดาน Security ของ ISO/IEC 17799 และแนวทางของ Nectec Version 1

กําหนด IT processes และสวนที่เปนเปาหมายหลักในการปรับใหสอดคลองกับกรอบของ ITG

•กรอบ ITG ภายใตการกํากับของกระทรวงการ คลัง (การประเมินดานการบริหารความเสี่ยง) และ•กรอบ ITG ตามมาตรฐาน COBIT

Step 4

กําหนดบุคลากรและการแตงต้ังคณะกรรมการที่เหมาะสม-ผูดําเนินการหลัก และเปนบุคคลที่ทําให ITG ประสบความสําเร็จคูกับการบริหารความเส่ียงได ตาม Step 3 – 4

รูปแบบการกํากับทางดาน ITG ควรมีการจัดทําเปนกฎบัตร ITG ที่เปนลายลักษณอกัษร และควรครอบคลุมถึง;

• วตัถุประสงคของการกํากับทางดาน ITG คูกับ CG

• ขอบเขต ITG • ผูที่เกี่ยวของและมีสวนรวม

• กระบวนการ ITG• นโยบายและวตัถุประสงค

• บทบาทและหนาที่ความรับผิดชอบ

• กําหนดตัวช้ีวดัความสําเร็จ (KPI)

• กําหนดความเสี่ยงและสมมติฐาน

Step 5

Step 6

• กําหนด baseline ในการวดัผล (ที่เปน Driver และ Output/Outcome)

• มีการติดตาม วดัผล และประเมินผล รวมท้ังมีการปรับปรุงอยางตอเนื่อง (โดยใช maturity model ของ COBIT)

Step 7

กรอบ ITG ภายใตการกํากับของกระทรวงการคลัง (หัวขอการบริหารความเสี่ยง)• Board มีความมั่นใจในความสมดุลระหวาง Risk Mgmt. ดาน IT และ

ผลตอบแทนการลงทุนดาน IT รวมท้ังการวดัผลดาน Intangible Value ดวย• Board มีการติดตามการบริหารดาน ITG ที่เปนรูปธรรม• AC กํากับดูแล ติดตาม ใหขอเสนอแนะดานการจัดการ ITG เพ่ือสรางมูลคาเพ่ิม• AC มีการทบทวนกฎบัตรในดานที่เกี่ยวของกับ IT• จัดใหม ีIT Strategy Committee, BCM-Business Continuity

Mgmt., e-DOC ที่ใชในการติดตามงานได, IT Security Room, IT Investment ที่ไดดุลยภาพกับการบริหารความเสี่ยง

• ฝายบริหารประเมินศักยภาพของ IT และจัดการอยางสม่ําเสมอ

Busin

ess V

alue

Sarbanes – Oxley Compliance

สรางความยั่งยืน

2

ความหมายของ IT Governance IT Governance / ITG หรือ ธรรมาภิบาลทางดานเทคโนโลยีสารสนเทศ คือ รูปแบบโครงสราง

ของความสัมพันธและกระบวนการการจัดการและการปฏิบัติในองคกร ที่กํากับและควบคุมองคกรใหบรรลุถึงเปาประสงค โดยการสรางมูลคาเพิ่มใหเกิดขึ้น ในขณะเดียวกันก็สามารถสรางความสมดุลในการจัดการกับความเสี่ยงที่เกิดขึ้นเทียบกับสิ่งที่ไดรับจากเทคโนโลยีสารสนเทศและจากกระบวนการที่เกี่ยวของ หรือ

ITG คือ การบริหารดุลยภาพทางดานการลงทุนและกระบวนการจัดการทางดานเทคโนโลยี

สารสนเทศกับการบริหารความเสี่ยง และประโยชนที่ไดรับในรูปแบบตาง ๆ ที่เกี่ยวของกับ Intangible Assets / Value และ Tangible Assets / Value เพื่อสรางคุณคาเพิ่มผาน Business process สู Business objectives ขององคกร ไดอยางมั่นใจ หรือ

เปน การบริหารกระบวนการความสัมพันธ และดุลยภาพ ระหวาง เปาประสงคทางธุรกิจกับ

เปาประสงคทางดานการจัดการสารสนเทศ เพื่อใหมีการบริหารความเสี่ยงอยางเปนกระบวนการตามหลักการของ COSO- ERM อยางผสมผสาน และ อยางบูรณาการ กับมาตรฐานตางๆที่เกี่ยวของ

7

การตรวจสอบภายใน(RBIA)

การบริหารIT Governance

การควบคุมภายใน(COSO)

การกํากับดูแลกิจการท่ีดี (Corporate Governance)

การบริหารความเสี่ยง (ERM)

องคประกอบของการกํากับดูแลกิจการท่ีดีกับการบริหารความเสี่ยง

เพ่ือกาวสูการบรรลุเปาหมายและเติบโตอยางยั่งยืน

3

IT Governance สําคัญอยางไร

IT Governance ทําใหเกิดการบริหารและการบูรณาการที่เปนระบบ มีระเบียบ เปนขั้นตอน ลดความซ้ําซอน ลดความเสี่ยง เพิ่มศักยภาพโดยทํางานขามสายงานได และประสานงานระหวางองคกรไดอยางรวดเร็ว ทันเวลา มีประสิทธิภาพสอดประสานกับ การดําเนินงานระดับตาง ๆ จากการใชความสามารถและศักยภาพของเทคโนโลยีสารสนเทศ และทรัพยากรตาง ๆ เพื่อการผลักดันความสําเร็จ ของการจัดการทั่วทั้งองคกรอยางเปนกระบวนการ

เทคโนโลยีสารสนเทศสรางความเสี่ยงใหม ๆ การสูญเสียโอกาสที่มีผลตอประสิทธิภาพ

ประสิทธิผลในการดําเนินการ การปฏิบัติตามนโยบาย กฎหมาย ระเบียบ ประกาศ คําสั่ง ฯลฯ รวมทั้งผลกระทบตอความนาเชื่อถือและความถูกตองของการตรวจสอบและการจัดทํารายงาน ซ่ึงเปนหัวใจของการบริหารและการควบคุมภายในอยางคาดไมถึง ในการบริหารงานระดับตาง ๆ ขององคกรควบคูกันไปดวย ดังนั้น การผสมผสานความสามารถดานตาง ๆ ขององคกรกับศักยภาพของระบบงานและการจัดการเทคโนโลยีสารสนเทศที่ดี จึงเปนทั้งหนาที่ความรับผิดชอบที่ไมอาจหลีกเลี่ยงไดของคณะกรรมการและผูบริหารระดับสูงขององคกรในปจจุบัน

ความสําคัญของ IT Governance เคียงคูกับความสําคัญของ Corporate Governance ในทุกมุมมอง

อยางแยกกันไมได ซ่ึงอาจสรุปไดดังนี้

1. ความจําเปนที่ตองมีการควบคุมการจัดการ และการใชเทคโนโลยีสารสนเทศ เพื่อการบรรลุกลยุทธและเปาหมายขององคกร

ความกาวหนาในการพัฒนาเทคโนโลยีสารสนเทศมาก ทําใหขอมูลสามารถสงผานถึงผูรับไดอยางรวดเร็วโดยปราศจากขอจํากัดดานเวลา ระยะทางและความรวดเร็ว องคกรที่มีการปฏิบัติงานในระบบอัตโนมัติจําเปนตองมีกลไกในการควบคุมที่ดียิ่งขึ้น โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร และระบบเครือขาย ทั้งในดานของ Hardware และ Software ซ่ึงระบบการควบคุมจําเปนตองพัฒนาไปพรอมกับการพัฒนาของเทคโนโลยีที่เกิดขึ้นอยางรวดเร็วและเปนไปแบบกาวกระโดด จึงจําเปนตองมีการจัดการความเสี่ยงที่มาพรอมกับการเปลี่ยนแปลงนี้ใหดียิ่งขึ้น ไมวาจะเปนการจัดการกับขอมูลที่เปดเผย และขอมูลที่เปนความลับ รวมทั้งการนําขอมูลไปใชกระทําการที่ผิดกฎหมาย ดังนั้น การบริหารความเสี่ยงท่ีเก่ียวของ

เทคโนโลยีสารสนเทศจึงกลายมาเปนสวนสําคัญในการกํากับดูแลกิจการที่ดีขององคกร (Corporate

Governance)

4

ผูบริหารจะตองสามารถตัดสินใจไดวาควรจะลงทุน ณ ระดับใดในเรื่องการรักษาความ

ปลอดภัยและการควบคุม และจะรักษาจุดสมดุลอยางไรระหวางความเสี่ยงที่รับไดกับการลงทุนในดานการควบคุม แตถาเปนเรื่องของการปฎิบัติตาม Compliance ก็เปนสิ่งที่องคกรไมอาจหลีกเลี่ยงได ตามหลัก GRC (Governance-Risk management-Compliance) ที่เปน first priority ขององคกรยุคใหมในปจจุบัน

8

Managing Risk by GRCFrom the Boardroom to the Mailroom

GOVERNANCE

Market, Regulator and Stakeholder Expectations(Emerging Standards and New Requirements)

RISK MANAGEMENT

COMPLIANCENot Doing the Wrong Thing (Rules and Constraints)

G

R

C

Monitoring and Assurance

Inform

ation

and Co

mmunicat

ion

Extended Enterprise and Value ChainDoing the right thing (values)

Culture EthicsIntegrity

Source :Adopt from IT Governance InstituteSoft & Hard

Controls

2. ความจําเปนของการควบคุมและกํากับทางดานเทคโนโลยีสารสนเทศ ตามกฎหมายที่ยอมรับในระดับสากล คือไมทําผิด Compliance ( Not Doing the Wrong Thing- Laws/Rules and Constraints ) แต องคกรควรมีนโยบายที่จะดําเนินการในสิ่งที่ถูกและไดมาตรฐานตองเทานั้น

องคกรตาง ๆ ที่อยูในตลาดหลักทรัพยในสหรัฐฯ จําเปนตองใหความสําคัญกับการควบคุมและการประมวลขอมูลโดยมีการระบุในกฎหมาย Sarbanes-Oxley Act, 2002 ใน section 404 ที่กลาวถึง “Management’s Report on Internal Controls over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports” วารายงานของการควบคุมภายในจะตองครอบคลุมเนื้อหาดังนี้

5

2.1. การระบุความรับผิดชอบของผูบริหารที่มีตอการจัดการใหมีการควบคุมภายในในการจัดทํารายงานทางการเงินขององคกร

2.2. การตรวจสอบของผูบริหารถึงความถูกตองและความมีประสิทธิผลในการควบคุมภายในของการจัดทํารายงานทางการเงินขององคกร ณ วันสิ้นสุดรอบการเงิน

2.3. การระบุถึงกรอบการจัดการในการประเมินความถูกตองและความมีประสิทธิผลในการควบคุมภายในของการจัดทํารายงานทางการเงินขององคกร

2.4. การตรวจรับรองโดยองคกรตรวจสอบบัญชีและรายงานถึงการตรวจสอบของผูบริหารถึงความถูกตองและความมีประสิทธิผลในการควบคุมภายในของการจัดทํารายงานทางการเงินขององคกรซ่ึงการใชขอมูลโดยพึ่งพาเทคโนโลยีสารสนเทศเปนสิ่งที่จําเปน การมีการควบคุมที่ดีในการจัดการขอมูล รวมทั้งการควบคุมคุณภาพและการรักษาความปลอดภัยในการเขาถึงขอมูล จึงมีความสําคัญอยางยิ่ง โดยปกติการเซ็นชื่อรับรองงบการเงินจะกระทําโดย CEO และ CFO แตปจจุบันเริ่มมีหลายองคกรให CIO เซ็นชื่อรวมดวย โดยใหความสําคัญกับ Technology Support เพื่อใหไดมาซึ่งรายงานทางการเงินที่เชื่อถือได กอนที่ผูสอบบัญชีจะรับรองงบการเงิน ความสัมพันธของ Corporate Governance กับ IT Governance โดยยอ

IT Governance เปนสวนสําคัญที่รวมอยูในความสําเร็จของ Corporate Governance โดยจะเปนจุดวัดของการปรับปรุงในดานประสิทธิผล และประสิทธิภาพของกระบวนการปฏิบัติงานขององคกร โดยธรรมาภิบาลขององคกรจะเปนกรอบในการกําหนดแนวทางสําหรับธรรมาภิบาลทางดานเทคโนโลยีสารสนเทศ สวนกิจกรรม / กระบวนการตาง ๆ ขององคกรจะตองใชขอมูลจาก กิจกรรม / กระบวนการของเทคโนโลยีสารสนเทศ ดังนี้ ความสัมพันธของ Corporate Governance กับ IT Governance

Enterprise Governance

Information Technology Governance

Enterprise Activities

Information Technology

Activities

สรางกรอบและแนวทาง

ตองการขอมูลจาก IT

เพื่อใหบรรลุวัตถุประสงคทางธุรกิจ

Corporate Governance

Information Technology Governance

Enterprise Activities

Information Technology

Activities

สรางกรอบและแนวทาง

ตองการขอมูลจาก IT

เพ่ือใหบรรลุวัตถุประสงคทางธุรกิจ

6

Corporate Governance จะกํากับ ควบคุม เปนผูขับเคลื่อน และกําหนดรูปแบบของ IT Governance ในขณะเดียวกัน เทคโนโลยีสารสนเทศก็ไดสนับสนุนขอมูลที่จําเปนตาง ๆ เพื่อใชในการวางแผนดานกลยุทธ และในบางครั้งยังเปนสวนที่มีอิทธิพลในการสรางโอกาสใหม ๆ ใหกับองคกร จึงถือไดวาเทคโนโลยีสารสนเทศและการวางแผนดานกลยุทธมีความสัมพันธแบบพึ่งพากัน โดยกิจกรรมในองคกร จําเปนตองใชขอมูลจาก IT Activities เพื่อใหบรรลุวัตถุประสงคทางธุรกิจ โดย IT Activities จะตองสอดคลองกับกิจกรรมในองคกร และชวยใหองคกรสามารถใชประโยชนจากขอมูลอยางเต็มที่ในการสรางประโยชนสูงสุด และไดผลตอบแทนจากการลงทุนจากโอกาสทางธุรกิจตาง ๆ รวมทั้งสามารถเพิ่มความไดเปรียบในการแขงขันมากขึ้น

โดยปกติแลวองคกร จะมีการกํากับ บริหาร และควบคุมโดยใชหลักการจัดการและการปฏิบัติที่

เหมาะสมหรือที่ดีที่สุด หรือ Promotion of Best Practice ซ่ึงเปนขอหนึ่งของหลัก การกํากับดูแลกิจการที่ดี/CG เพื่อใหมั่นใจวาองคกรจะสามารถบรรลุเปาประสงคที่ตองการ โดยตองมีการควบคุมความเสี่ยงจากตนเหตที่ดีดวยเชนกัน

ในขณะเดียวกันเทคโนโลยีสารสนเทศก็จําเปนตองมีการกํากับ บริหาร และควบคุมที่ดี โดยยึด

หลักการของ Good Practices หรือ Best Practices เชน เดียวกัน เพื่อใหขอมูลและเทคโนโลยีที่ใชในองคกร สามารถชวยใหองคกรบรรลุวัตถุประสงคทางธุรกิจได รวมทั้งการใชทรัพยากรตาง ๆ อยางมีเหตุมีผล และมีการบริหารความเสี่ยงที่เหมาะสม

จากประเด็นดังกลาวจะเปนพื้นฐานสําคัญในการกําหนดแนวทางของกิจกรรมทางดานเทคโนโลยี

สารสนเทศซึ่งสามารถสรุปลักษณะของกิจกรรมหลักไดดังนี้ – การวางแผนและการจัดการองคการ (Planning & Organization - PO) – การจัดหาและการนําระบบออกใชงานจริง (Acquisition & Implementation - AI) – การสงมอบและการบํารุงรักษา (Delivery & Support - DS) – การติดตาม (Monitoring - M)

โดยมีวัตถุประสงคควบคูไปกับการบริหารความเสี่ยง (ในดานความปลอดภัย ความเชื่อมั่น และ

ความสอดคลอง ของ IT Activities) และการไดมาซึ่งประโยชนสูงสุด (ในดานการเพิ่มประสิทธิภาพ และประสิทธิผล) ผลลัพธที่ไดในรูปแบบของรายงาน จะบอกถึง IT Activities วาสามารถสอดคลอง และสนับสนุนองคกรใหบรรลุวัตถุประสงคและเปาหมายขององคกรหรือไม และทําไดดีเพียงใดและอยางไร ดังนี้

7

ขอบเขตของ IT Governance

บทบาทของ CIO ท่ีเปล่ียนไป เพื่อการสรางมูลคาเพิ่ม บทบาทหนาที่ของ CIO โดยปกติจะเนนถึงการใหบริการในสวนของ Utility ตาง ๆ ในการรักษา

ระบบที่ใชอยู ใหการปฏิบัติงาน / การใหบริการสามารถดําเนินไปได ซ่ึงรวมถึงการบริหารจัดการ IT Architecture และใหความรูความเขาใจและผลักดันในการคิดคนพัฒนาผลิตภัณฑ และ Solutions ใหม ๆ อยางไรก็ตามบทบาทที่มีความสําคัญมากขึ้นและถือไดวาเปนปจจัยสูความสําเร็จในการจัดการดานเทคโนโลยีสารสนเทศในยุคปจจุบัน คือ

1. เปนผูวางกลยุทธ นําเสนอแนวคิดในการวางกลยุทธขององคกรและบริหารความสมดุลของ

การลงทุนในกลุมผลิตภัณฑและบริการตาง ๆ ในแตละ Business Unit และฝาย 2. ใชวิธีการการวิเคราะหการลงทุนและผลตอบแทนในการวิเคราะหความเสี่ยงของ IT

Solutions ที่จะนํามาใช ในการเพิ่ม Productivity สรางการเติบโตของรายไดใหเกิดขึ้น และลดตนทุน 3. บริหารและวัดผลการดําเนินงานและความสอดคลองของ IT Portfolio Fund (key role ใน IT

steering committee)

๏ ความสอดคลองของ IT กับธุรกิจเพ่ือสรางผลประโยชนสูงสุด

๏ ใชทรัพยากรทาง IT อยางคุมคาและมีความรับผิดชอบ

๏ การจดัการความเสี่ยงทีเ่หมาะสมของเทคโนโลยสีารสนเทศ

การควบคุมการการ

ควบคุมควบคุมการ

ควบคุมการการ

ควบคุมควบคุม

ผลประโยชนท่ีจะไดรับจัดการความเสี่ยง

๏ ความปลอดภัย๏ ความเช่ือถอืได๏ ความรวมมือ

เพ่ิมการทํางานแบบอัตโนมัต ิเพ่ือกอใหเกิดประสทิธิผล

การลดตนทุนทําใหเกิด ประสทิธิภาพ

วางแผนวางแผน

ปฏิบัติปฏิบัติ

ตรวจสอบตรวจสอบ

แกไขแกไข

การวางแผนและจัดการการวางแผนและจัดการ

การไดรับและนํามาปฏิบัติการไดรับและนํามาปฏิบัติ

การจัดสงและสนับสนุนการจัดสงและสนับสนุน

การควบคุมการควบคุม

สารสนเทศขององคกร และเทคโนโลยีทีเ่ก่ียวของ สนับสนุนการบรรลุวัตถปุระสงคทางธุรกิจขององคกร

รายงาน

กาํกบั

การกํากบัและจัดการกจิกรรมตาง ๆ ทางดานเทคโนโลยีสารสนเทศใหเกดิความสมดุลระหวางการจัดการความเสีย่งและผลประโยชนที่จะไดรับ

8

4. ส่ือความรู และความเปนผูนําในการสื่อใหเห็นความสําคัญและคุณคาของเทคโนโลยีสารสนเทศ ที่มีตอองคกร รวมทั้งการบริหาร IT Investment ของระบบเทคโนโลยีสารสนเทศที่มีอยูและที่จะเกิดใหม

5. บริหารและจัดการบุคลากรทางดาน เทคโนโลยีสารสนเทศ เพื่อใหไดมาและรักษาไวซ่ึงบุคลากรที่ดีที่สุด

6. บริหารการสื่อสารที่เกี่ยวของกับเทคโนโลยีสารสนเทศใหทั่วทั้งองคกร รวมทั้งกาวขามการตอตานในองคกร

7. รักษาระดับความเสี่ยงที่มองเห็นและยอมรับไดใน IT Portfolio และมั่นใจถึงผลตอบแทนทางการเงินที่อยูในระดับที่คาดไว การจัดตั้ง IT Strategy Committee และ IT Steering Committee

การจัดตั้งคณะกรรมการทางดานกลยุทธเทคโนโลยีสารสนเทศ และ IT Steering Committee ถือไดวามีความสําคัญในการเริ่มตนกระบวนการบริหารเทคโนโลยีสารสนเทศตามแนวทาง IT Governance โดยความรับผิดชอบหลัก คือการมุงไปที่การเพิ่มคุณคาในการใชเทคโนโลยีสารสนเทศ (IT Value) การบริหารความเสี่ยงที่เกี่ยวของกับเทคโนโลยีสารสนเทศ (IT Risks) และผลการปฏิบัติงานอันเนื่องมาจากการใชเทคโนโลยีสารสนเทศ (IT Performance)

1. IT Governance Institute ไดระบุถึงความสําคัญของเทคโนโลยีสารสนเทศที่มีตอการดําเนินธุรกิจในปจจบุันวา

1.1. องคกรสวนใหญในปจจุบันไมสามารถจะดํารงอยูไดถาไมมีเทคโนโลยีสารสนเทศโดยเฉพาะในกลุมที่ดําเนินธุรกิจ ดานการสื่อสาร การบิน การเงินการธนาคาร เปนตน

1.2. รูปแบบทางธุรกิจในปจจุบันที่สามารถกําหนดอนาคตไดดวยเทคโนโลยีสารสนเทศ 1.3. ตนทุนทางเทคโนโลยีสารสนเทศที่มีความสําคัญตอผลกําไรของธุรกิจ อันเนื่องมาจาก

การลงทุนทางดานเทคโนโลยีสารสนเทศ 1.4. การดําเนินธุรกิจอาจไมสามารถทําไดอยางเต็มที่ในการบรรลุเปาหมายทางธุรกิจถาขาด

การสนับสนุนการทํางานจากระบบเทคโนโลยีสารสนเทศอัตโนมัติ 1.5. ความจําเปนในการตอบสนองระดับการบริการ (Service Levels) ที่ไดมีการตกลงกับ

ลูกคารวมทั้งการปฏิบัติใหสอดคลองกับขอบังคับตาง ๆ

ผูบริหารระดับสูงขององคกรตาง ๆ ในฐานะกรรมการขององคกร ซ่ึงถือไดวาเปนตัวแทนของผูถือหุน ไดตระหนักถึงแนวโนมและความจําเปนของการสรางคุณคาในการใชงานเทคโนโลยีสารสนเทศและการบริหารความเสี่ยงที่เกี่ยวของกับเทคโนโลยีสารสนเทศ โดยเฉพาะความสําคัญของขอมูลที่ผูบริหารใชในการตัดสินใจซึ่งจําเปนจะตองเชื่อถือได และมีการรักษาความปลอดภัยของขอมูลที่เหมาะสม และจุดนี้ที่ทํา

9

ใหขอมูลที่ถือวาเปน Intangible Asset สามารถสรางคุณคาใหแกธุรกิจในการเพิ่มมูลคาในตลาด และการมุงไปสูการดําเนินงานที่มีศักยภาพอยางเต็มที่ไมใชเพียงแคใหอยูรอดเทานั้น

IT Governance ไมสามารถจะจัดการแยกมาโดดเดี่ยวไดแตควรจะตองรวมเปนสวนหนึ่งของการ

บริหาร และจัดการที่ดี หรือ ธรรมาภิบาลขององคกร (Enterprise Governance) โดยจําเปนตองใหคณะกรรมการบริหารเนนย้ําและใหความสําคัญเพื่อใหมั่นใจวา ผลตอบแทนจากการลงทุนทางดานเทคโนโลยีสารสนเทศสามารถสรางคุณคาไดสูงสุด และมีการบริหารความเสี่ยงที่เหมาะสม เพื่อใหตอบสนองความตองการทางธุรกิจและบรรลุเปาหมายที่ตองการไดอยางดุลยภาพ

2. บทบาทของคณะกรรมการบริหารที่เกี่ยวของกับ IT Governance

บทบาทของคณะกรรมการบริหารที่เกี่ยวของกับ IT Governance จึงสามารถทํางานผานทางIT strategy committee และ IT Steering Committee และเปนผูกําหนด Business Policy, Information Policy, IT Policy, IT Governance Organization, IT Governance Process และ Measurements ดังรายละเอียดของระดับที่เกี่ยวของและหนาที่ความรับผิดชอบดังนี้

IT Strategy Committee (Board Level)

คณะกรรมการบริหารองคกร (Board) และผูเช่ียวชาญ (Specialist/non board)

IT Steering Committee (Executive Level)

• ผูบริหารระดับสูงจากดานตาง ๆ

• CIO

• ที่ปรึกษาที่จําเปนจากดานที่เกี่ยวของ

1. ใหคําแนะนําและขอมูลเชิงลึกในดานเทคโนโลยีสารสนเทศแกคณะกรรมการในประเด็นที่เกี่ยวกับ

1.1 การพัฒนาของ เชิ งลึ กในด าน เทคโนโลยีสารสนเทศในมุมมองทางดานธุรกิจที่เกี่ยวของ

1.2 การพิจารณาถึงความสอดคลองของเชิงลึกในดานเทคโนโลยีสารสนเทศกับทิศทางของธุรกิจ

1.3 การบรรลุวัตถุประสงคทางดานกลยุทธของเชิงลึกในดานเทคโนโลยีสารสนเทศ

1.4 การมีทรัพยากรทางดานเทคโนโลยีสารสนเทศที่เพียงพอและเหมาะสม รวมทั้งทักษะที่จําเปนและ IT Infrastructure เพื่อใหสามารถบรรลุเปาหมายของธุรกิจ

1.5 การรักษาระดับทางดานเทคโนโลยีสารสนเทศใหอยูในระดับที่เหมาะสม ซึ่งรวมถึงบทบาท คุณคาและประโยชนที่ไดรับจากการใชบริการดานเทคโนโลยีสารสนเทศจากการลงทุนทางดานเทคโนโลยีสารสนเทศ

1. ตัดสินใจการลงทุนทางดานเทคโนโลยีสารสนเทศโดยรวมและจะจัดสรรตนทุนอยางไร 2. อนุมัติรูปแบบ IT Architecture ขององคกรและทําใหเกิดความสอดคลองกัน 3. อนุมั ติแผนโครงการและงบประมาณ รวมทั้ งจัดลําดับความสําคัญและ Milestones 4. กําหนดและจัดหา ทรัพยากรที่ตองใช 5. คอยพิจารณาอยางตอเนื่องวาโครงการที่ทํานั้นสามารถบรรลุตามความตองการของธุรกิจรวมทั้งมีการประเมิน Business Case อีกครั้ง เผื่อวาตองมีการปรับเปลี่ยน 6. พิจารณาติดตามแผนงานของโครงการวาใหผลตามที่คาดหวังในระยะเวลาและงบประมาณที่กําหนด 7. พิจารณาติดตามการใชทรัพยากรและความขัดแยงในการจัดลําดับความสําคัญที่เกิดขึ้นระหวางหนวยงาน

10

IT Strategy Committee (Board Level) คณะกรรมการบริหารองคกร (Board) และผูเช่ียวชาญ

(Specialist/non board)

IT Steering Committee (Executive Level)

• ผูบริหารระดับสูงจากดานตาง ๆ

• CIO

• ที่ปรึกษาที่จําเปนจากดานที่เกี่ยวของ

1.6 พิจารณาความกาวหนาของโครงการเชิงลึกในดานเทคโนโลยีสารสนเทศขนาดใหญ

1.7 พิจารณาความกาวหนาของโครงการเชิงลึกในดานเทคโนโลยีสารสนเทศขนาดใหญ

1.8 ผลของธุรกิจที่ไดรับจากการใชเชิงลึกในดานเทคโนโลยีสารสนเทศ (สามารถสรางคุณคาใหแกธุรกิจไดตามที่คาดไว)

1.9 พิจารณาความเสี่ยงที่เกี่ยวของกับเทคโนโลยีสารสนเทศ รวมทั้งความเสี่ยงที่เกิดจากการไมปฏิบัติตามนโยบายดานเทคโนโลยีสารสนเทศ

1.10 พิจารณาถึ งการจํ ากัดความเสี่ ยงทางด านเทคโนโลยีสารสนเทศ 2. กําหนดทิศทาง ทางดานเทคโนโลยีสารสนเทศที่เกี่ยวของกับกลยุทธทางดานเทคโนโลยีสารสนเทศใหแกผูบริหาร 3. เปนผูผลักดัน IT Governance ในระดับคณะกรรมการบริหาร (Board) 4. ใหคําปรึกษาแกคณะกรรมการบริหารองคกร และผูบริหารในดานกลยุทธเทคโนโลยีสารสนเทศ 5. รับมอบหมายจากคณะกรรมการบริหารองคกร ใหเปนผูช้ีแนะกลยุทธดานเทคโนโลยีสารสนเทศและเตรียมขออนุมัติ 6. เนนประเด็นที่เกี่ยวของกับกลยุทธ ทั้งในปจจุบันและอนาคต

เทคโนโลยีสารสนเทศกับสวนงานตาง ๆ 8. ใหคําเสนอแนะและความจําเปนในการปรับเปลี่ยนแผนกลยุทธ เชน การจัดลําดับความสําคัญ งบประมาณ แนวทางการใชเทคโนโลยี การใชทรัพยากร เปนตน 9. สื่อสารเปาหมาย/กลยุทธ ใหแก Project Team ตาง ๆ 10. เ ป น ผู รั บ ผิ ด ช อบหลั ก แ ล ะ ผ ลั ก ดั น ด า น IT Governance 11. ใหความชวยเหลือแกทีมผูบริหารในการพัฒนา กลยุทธดานเทคโนโลยีสารสนเทศ 12. ติดตามการบริหารงานดานเทคโนโลยีสารสนเทศ (Day-to-Day) และโครงการดานเทคโนโลยีสารสนเทศ 13. เนนประเด็นที่เกี่ยวของกับการปฏิบัติงาน

โดยสามารถแจกแจงรายละเอียดถึงหนาที่ความรับผิดชอบของแตละระดับในแตละบทบาทไดดังนี้

2.1. Board of directors

2.1.1. Board of Directors ความสอดคลองของกลยุทธ (Strategic Alignment) 1) กํากับฝายบริหารวาไดมีการกําหนดกระบวนการในการวางแผนกลยุทธที่

ดี

11

2) เห็นชอบและอนุมัติกลยุทธทางดานเทคโนโลยีสารสนเทศที่สอดคลองกับความตองการขององคกร และของธุรกิจ

3) ใหการรับรองวาโครงสรางของ IT Organization สามารถรองรับและตอบสนองรูปแบบของธุรกิจ และทิศทางในอนาคต

การไดผลลัพธที่เพิ่มคุณคาใหธุรกิจ (Value Delivery) 1) กํากับฝายบริหารวาไดมีการกําหนดกระบวนการ และแนวทางในการ

ปฏิบัติที่ชวยให IT สามารถสรางคุณคาใหแกธุรกิจ 2) กํากับดูแลเพื่อใหมั่นใจวาการลงทุนทางดาน IT (IT Investment) ที่ยอมรบั

ไดนั้น มีความสมดุลในการบริหารความเสี่ยงเทียบกับประโยชนที่ไดรับตามงบประมาณ การจัดการทรัพยากรดาน IT (IT Resource Management) 1) ติดตามฝายบริหารวามีการจัดการทรัพยากรทางดานเทคโนโลยี

สารสนเทศ อยางไรเพื่อใหสามารถบรรลุเปาหมายได 2) กํากับดูแลความสมดุลในการจัดการดานการลงทุนทางดานเทคโนโลยี

สารสนเทศ ที่ทําใหองคกรสามารถดําเนินธุรกิจไดพรอมกับการสรางความเติบโตดวย การบริหารความเสี่ยง (Risk Management) 1) ตระหนักถึงความเสี่ยงที่มากับ IT และการจํากัดความเสี่ยงใหอยูระดับที่

ยอมรับได 2) ประเมินผลฝายจัดการในการติดตามความเสี่ยงทางดานเทคโนโลยี

สารสนเทศ การวัดผลการดําเนินงาน (Performance Management) 1) ประเมินผลการดําเนินงานของผูบริหารระดับสูงในดานของกลยุทธ

เทคโนโลยีสารสนเทศในทางปฏิบัติ 2) ทํางานรวมกับผูบริหารในการกําหนดและติดตามผลการดําเนินงานดาน

เทคโนโลยีสารสนเทศในระดับบน

2.1.2. IT Strategy Committee ความสอดคลองของกลยุทธ (Strategic Alignment) 1) กําหนดทิศทางกลยุทธทางดานเทคโนโลยีสารสนเทศ และความ

สอดคลองกับกลยุทธของธุรกิจ 2) ใหแนวทางในการกําหนดนโยบาย เชน ดานความเสี่ยง ดานงบประมาณ

การสรางพันธมิตร/คูสัญญา เปนตน

12

3) ตรวจสอบวามีการปฏิบัติตามกลยุทธ เชน การบรรลุ เป าหมาย /วัตถุประสงคทางกลยุทธที่กําหนด

การไดผลลัพธที่เพิ่มคุณคาใหธุรกิจ (Value Delivery) 1) ยืนยันไดวา IT/ Business Architecture มีความเหมาะสมในการสราง

คุณคาทางธุรกิจไดสูงสุด 2) กํากับการใชเทคโนโลยีสารสนเทศในการสรางคุณคาใหแกองคกร 3) พิจารณาผลตอบแทนจากการลงทุนทางดานเทคโนโลยีสารสนเทศและ

ศักยภาพในการแขงขัน การจัดการทรัพยากรดาน IT (IT Resource Management) 1) ใหคําชี้แนะในการกําหนดทิศทางในการจัดหา และการใชทรัพยากร

ทางดาน IT 2) พิจารณาการจัดหา/จัดสรรเงินทุนสําหรับเทคโนโลยีสารสนเทศใน

ภาพรวมทั้งหมดขององคกร การบริหารความเสี่ยง (Risk Management) 1) กํากับฝายบริหารในการกําหนดใหมีทรัพยากรที่เหมาะสมเพื่อใชในการ

บริหารความเสี่ยงดานเทคโนโลยีสารสนเทศ 2) พิจารณาความเสี่ยงในดานการลงทุนทางดานเทคโนโลยีสารสนเทศ 3) ยืนยันไดวาสามารถจัดการความเสี่ยงวิกฤตตาง ๆ ได การวัดผลการดําเนินงาน (Performance Management) 1) ตรวจสอบวามีการปฏิบัติตามกลยุทธ เชน การบรรลุ เป าหมาย /

วัตถุประสงคทางกลยุทธที่กําหนด 2) ทบทวนการวัดผลทางดาน IT และผลของการใชงานทางดานเทคโนโลยี

สารสนเทศที่สงผลตอธุรกิจ

2.2. Executive Management

2.2.1. CEO ความสอดคลองของกลยุทธ (Strategic Alignment) 1) ประสานเชื่อมโยงกลยุทธเทคโนโลยีสารสนเทศ 2) ประสานเชื่อมโยงการดําเนินงานดานเทคโนโลยีสารสนเทศเขากับการ

ดําเนินงานทางธุรกิจ 3) ส่ือสารเชื่อมโยงกลยุทธและเปาหมายลงไปตามลําดับชั้นในองคกร 4) เปนสื่อเชื่อมโยงความจําเปนทางธุรกิจเขากับความจําเปนทางเทคโนโลยี

13

การไดผลลัพธที่เพิ่มคุณคาใหธุรกิจ (Value Delivery) 1) กํากับการมีตนทุนทางดานเทคโนโลยีสารสนเทศที่เหมาะสม 2) กําหนดความรับผิดชอบรวมของธุรกิจในการลงทุนทางดานเทคโนโลยี

สารสนเทศ 3) กํากับเพื่อใหมั่นใจวางบประมาณทางดานเทคโนโลยีสารสนเทศ และ

แผนการลงทุนสอดคลองกับความเปนจริงและบรรจุอยูในแผนการเงิน การจัดการทรัพยากรดาน IT (IT Resource Management) 1) กํากับเพื่อใหมั่นใจวาบริษัทฯมีการใชประโยชนของขอมูลและความรูได

คุมคามากที่สุด 2) กําหนดลําดับความสําคัญของธุรกิจ (Business Priorities) และจัดสรร

ทรัพยากรเพื่อใหการใชงานทางดานเทคโนโลยีสารสนเทศเกิดผลสูงสุด 3) จัดโครงสรางองคกร และกําหนดความรับผิดชอบ เพื่อใหสามารถนําพา

กลยุทธทางดานเทคโนโลยีสารสนเทศไปสูการปฏิบัติได 4) กําหนดบทบาทของ CIO และใหการสนับสนุนเพื่อใหมั่นใจวา CIO

จะตองเปนสวนสําคัญในการดําเนินธุรกิจและเปนผูบริหารที่มีสวนรวมในการตัดสินใจ การบริหารความเสี่ยง (Risk Management) 1) ใหการยอมรับในกรอบของการบริหารความเสี่ยงตามมาตรฐาน COSO-

ERM การควบคุมและการตรวจสอบตามฐานคงวามเสี่ยง รวมทั้งการกํากับดูแลที่ดี (Governance) 2) ใหความรับผิดชอบทางดานการจัดการความเสี่ยงและการควบคุมเขาไป

ฝงตัวอยูในกระบวนการทํางานขององคกร 3) ติดตามความเสี่ยงทางดานเทคโนโลยีสารสนเทศและใหการยอมรับความ

เสี่ยงคงเหลือทางดานเทคโนโลยีสารสนเทศที่ยอมรับได (Residual IT Risks) ภายในกรอบของ Risk appetite หรือ ความเสี่ยงที่ยอมรับไดขององคกร ที่ควรผานความเห็นชอบและอนุมัติโดย คณะกรรมการ

การวัดผลการดําเนินงาน (Performance Management) 1) ใหการรับรองผลของการดําเนินงานดานเทคโนโลยีสารสนเทศการ

ควบคุมและความเสี่ยงของเทคโนโลยีสารสนเทศ รวมทั้งการยอมรับการตัดสินใจที่เปนอิสระทางดานเทคโนโลยีสารสนเทศ ในเรื่องสําคัญ ๆ โดยกําหนด KPI ใหตรงกับเปาหมายที่ตองการอยางเปนรูปธรรม

2) ทํางานรวมกับ CIO ในการกําหนด IT Balanced Scorecard เพื่อใหมั่นใจวามีการเชื่อมโยงกับเปาหมายทางธุรกิจไดอยางมั่นใจ

14

17

Criteria for Effective Performance Measures

Source : Benefits Management / John Ward and Elizabeth Daniel / Page 176

to the organization’s strategy and able to demonstrate progress towards achievement

clear and unambiguous, easy to understand both in terms of the definition of the measure and how it is calculated

those whose performance is being measured can influence the result by their own actions and are not dependent on the performance of others

performance can be compared over time and across different groups carrying out the same tasks

they cannot be misinterpreted – the assumptions and limitations of the measures are understood

Relevant

Well Defined

Attributable

Comparable

Contextual

อออ 2.2.2. Business Executive

ความสอดคลองของกลยุทธ (Strategic Alignment) 1) เขาใจถึงรูปแบบ IT Organization ขององคกร รวมทั้งรูปแบบ

Infrastructure และความสามารถ (Capabilities) ทางดานเทคโนโลยีสารสนเทศ 2) ผลักดันการกําหนดความตองการทางธุรกิจและเปนเจาของ 3) สนับสนุนและเปน Project Sponsor ในโครงการ IT ที่มีความสําคัญ การไดผลลัพธที่เพิ่มคุณคาใหธุรกิจ (Value Delivery) 1) อนุมัติและควบคุม service levels 2) เปนลูกคาที่รับบริการทางดานเทคโนโลยีสารสนเทศ 3) กําหนดและนําการบริการทางดานเทคโนโลยีสารสนเทศใหม ๆ มาใช 4) ประเมินผลถึงประโยชนที่ไดรับจากการลงทุนทางดานเทคโนโลยี

สารสนเทศที่รับผิดชอบอยู และเผยแพรใหทราบทั่วกัน การจัดการทรัพยากรดาน IT (IT Resource Management) 1) จัดสรรทรัพยากรที่จําเปนในการควบคุมและกํากับการดําเนินงานดาน IT

(IT Governance) ในการจัดการโครงการและในการดําเนินงานตาง ๆ การบริหารความเสี่ยง (Risk Management)

15

1) ประเมินผลกระทบทางธุรกิจและนําเสนอเขาสูกระบวนการการจัดการความเสี่ยงขององคกร

การวัดผลการดําเนินงาน (Performance Management) 1) ใหการยอมรับและอนุมัติ IT Balanced Scorecard 2) ติดตาม/พิจารณา Service Levels 3) ใหความสําคัญกับการจัดการปญหาการดําเนินงานทางดานเทคโนโลยี

สารสนเทศ ทั้งในการระบุปญหาและการแกไข

18

พฒันาการวัดระดับการบริหารความเสีย่ง เพือ่การเติบโตอยางยั่งยืน

ความนาเชือ่ถ

อืของ

Stak

ehold

er

สูง

ต่ํา สูง

Judgmental -Basedใชดุลยพินิจในการวัดความเส่ียง

Quantitative -Basedใชสถิติในการวัดความเส่ียง

Specific / Standard -Basedใชมาตรฐานสากลในการวัดความเสี่ยง

ดุลยภาพและประโยชนที่จะไดจากการบริหารความสีย่ง

Promotion of Best Practice to

CG&ITG

2.2.3. CIO ความสอดคลองของกลยุทธ (Strategic Alignment) 1) ผลักดันการพัฒนากลยุทธทางดานเทคโนโลยีสารสนเทศ และการนําไป

ปฏิบัติ รวมทั้งใหสามารถสรางคุณคาตามที่มีการวัดผลไดตรงตามเวลา ในงบประมาณที่มีอยู ทั้งในปจจุบัน และอนาคต

2) นํานโยบายและมาตรฐานทางดานเทคโนโลยีสารสนเทศไปสูการปฏิบัติ

16

3) ใหความรูความเขาใจแกผูบริหารอื่น ๆ ในเรื่องของระดับการพึ่งพาของ เทคโนโลยีสารสนเทศที่มีตอธุรกิจ ตนทุนทางดานเทคโนโลยีสารสนเทศที่เกี่ยวของ ประเด็นและมุมมองตาง ๆ ทางเทคโนโลยี รวมทั้งความสามารถของเทคโนโลยีสารสนเทศที่มีอยู (IT Capabilities)

การไดผลลัพธที่เพิ่มคุณคาใหธุรกิจ (Value Delivery) 1) ช้ีแจงและแสดงใหเห็นถึงคุณคาที่เทคโนโลยีสารสนเทศสรางใหแก

องคกร 2) หาแนวทางในการเพิ่มคุณคาจากการใชเทคโนโลยีสารสนเทศโดยใชวิธี

แบบเชิงรุก 3) เชื่อมโยงงบประมาณทางดานเทคโนโลยีสารสนเทศเขากับวัตถุประสงค

และเปาหมายเชิงกลยุทธ 4) สามารถจัดการกับความคาดหวังทางธุรกิจ และของผูบริหารที่มีตอ

เทคโนโลยีสารสนเทศ 5) กําหนดระเบียบปฏิบัติที่เขมงวดในการบริหารโครงการ

การจัดการทรัพยากรดาน IT (IT Resource Management) 1) กําหนด IT Infrastructure ที่สงเสริมใหมีการใชขอมูลทางธุรกิจรวมกันใน

ระดับตนทุนที่เหมาะสม 2) สามารถจัดใหมีทรัพยากรทางดานเทคโนโลยีสารสนเทศที่เหมาะสม

รวมทั้งความรูความชํานาญ และ โครงสรางพื้นฐาน (Infrastructure) ที่จะสามารถทําใหบรรลุวัตถุประสงคตามกลยุทธที่กําหนดได

3) มีการกําหนดบทบาท และการจัดการบุคลากรที่มีความสําคัญในการสรางคุณคาสูงสุดจากการใชเทคโนโลยีสารสนเทศไดอยางเหมาะสม

4) กําหนดมาตรฐานของ Architecture และ เทคโนโลยี

การบริหารความเสี่ยง (Risk Management) 1) ประเมินความเสี่ยง และมีการลดความเสี่ยงไดอยางมีประสิทธิภาพ และ

สามารถแจงความเสี่ยงใหผูเกี่ยวของหรือมีสวนไดสวนเสียไดรับทราบ 2) มีการกําหนดบทบาท และการจัดการบุคลากรที่มีความสําคัญในการ

จัดการกับความเสี่ยงดานเทคโนโลยีสารสนเทศไดอยางเหมาะสม

17

การวัดผลการดําเนินงาน (Performance Management) 1) รับผิดชอบการดําเนินงานทางดานเทคโนโลยีสารสนเทศในแตละวัน

(Day-to-Day Management) และทบทวนกระบวนการทางดานเทคโนโลยีสารสนเทศ และการควบคุมทางดานเทคโนโลยีสารสนเทศอยูเสมอ

2) นํา IT Balanced Scorecard ไปสูการปฏิบัติโดยมีตัวช้ีวัดผลการดําเนินงานที่ไมมากนัก แตมีความละเอียดและชัดเจนโดยมีการประสานเชื่อมโยงโดยตรงกับกลยุทธ

2.3. Committees ท่ีประสานงานและสนับสนุนการทํางานของ Executive และ CIO

2.3.1. IT Steering Committee ความสอดคลองของกลยุทธ (Strategic Alignment) 1) จัดลําดับความสําคัญของโครงการตาง ๆ 2) ประเมินแตละโครงการวามีความสอดคลองและเหมาะสมกับกลยุทธ

หรือไม 3) พิจารณา/ทบทวน IT portfolio เพื่อใหเกิดความตอเนื่องกับกลยุทธ

การไดผลลัพธที่เพิ่มคุณคาใหธุรกิจ (Value Delivery) 1) พิจารณาอนุมัติและใหเงินทุนกับแนวคิดการพัฒนาปรับปรุงใหม ๆ และ

ประเมินวาจะชวยพัฒนากระบวนการทางธุรกิจไดอยางไร 2) ใหมั่นใจวาไดมีการระบุตนทุนที่เกี่ยวของกับเทคโนโลยีสารสนเทศ

ทั้งหมด รวมทั้งมีการวิเคราะหตนทุนเทียบกับประโยชนที่ไดรับ (Cost/Benefit Analysis) 3) มีการพิจารณาทบทวน IT Portfolio เพื่อการจัดการตนทุนที่เหมาะสม

การจัดการทรัพยากรดาน IT (IT Resource Management) 1) จัดการสมดุลของการลงทุนระหวางการลงทุนเพื่อสนับสนุนกิจกรรมใน

ปจจุบันกับการลงทุนเพื่อสรางความเติบโตใหธุรกิจ การบริหารความเสี่ยง (Risk Management) 1) กํากับใหมีการจัดการความเสี่ยงในทุก ๆ โครงการ 2) สนับสนุนและเปน Sponsor ที่เกี่ยวของกับกรอบของการบริหารความ

เสี่ยง และการควบคุม รวมทั้งการกํากับดูแลที่ดี (Governance) 3) เปนผูตัดสินใจในเรื่องของ IT Governance ที่สําคัญ

18

การวัดผลการดําเนินงาน (Performance Management) 1) กําหนดการวัดผลสําเร็จของโครงการ 2) ติดตามผลและความคืบหนาของโครงการเทคโนโลยีสารสนเทศที่สําคัญ

ตาง ๆ 3) ติดตามและกํากับกระบวนการของ IT Governance

2.3.2. Technology Council ความสอดคลองของกลยุทธ (Strategic Alignment) 1) ใหแนวทางที่ชัดเจนเกี่ยวกับการเปลี่ยนแปลงของเทคโนโลยีที่มีผลตอ

ธุรกิจทั้งทางตรงและทางออม 2) ติดตามการเปลี่ยนแปลงของเทคโนโลยีที่เกี่ยวของและมีผลตอธุรกิจ

การไดผลลัพธที่เพิ่มคุณคาใหธุรกิจ (Value Delivery) 1) ใหคําปรึกษาแนะนําในการเลือกเทคโนโลยีในกรอบมาตรฐานที่มีอยู 2) ใหความชวยเหลือในการพิจารณาการเปลี่ยนแปลงตาง ๆ

การจัดการทรัพยากรดาน IT (IT Resource Management) 1) ใหคําแนะนําในดานผลิตภัณฑของ infrastructure 2) กํากับมาตรฐานทางเทคโนโลยี และขอปฏิบัติตามหลักบริหาร

Compliance ( โปรดดูรูป GRC ขางตน)

การบริหารความเสี่ยง (Risk Management) 1) พิจารณาวามีการประเมินจุดออนและผลกระทบของเทคโนโลยีใหม ๆ ที่

เกิดขึ้น การวัดผลการดําเนินงาน (Performance Management) 1) ตรวจสอบการปฏิบัติที่สอดคลองกับแนวทางและมาตรฐานของ

เทคโนโลยี ความสอดคลองของกลยุทธ (Strategic Alignment) 1) ใหแนวทางเกี่ยวกับการเปลี่ยนแปลงของเทคโนโลยี 2) ติดตามการเปลี่ยนแปลงของเทคโนโลยีที่เกี่ยวของและมีผลตอธุรกิจ

19

การไดผลลัพธที่เพิ่มคุณคาใหธุรกิจ (Value Delivery) 1) ใหคําปรึกษาแนะนําในการเลือกเทคโนโลยีในกรอบมาตรฐานที่มีอยู 2) ใหความชวยเหลือในการพิจารณาการเปลี่ยนแปลงตาง ๆ

การจัดการทรัพยากรดาน IT (IT Resource Management) 1) ใหคําแนะนําในดานผลิตภัณฑของ Infrastructure 2) กํากับมาตรฐานทางเทคโนโลยี และขอปฏิบัติ

การบริหารความเสี่ยง (Risk Management) 1) พิจารณาวามีการประเมินจุดออนของเทคโนโลยีใหม ๆ ที่เกิดขึ้น

การวัดผลการดําเนินงาน (Performance Management) 1) ตรวจสอบการปฏิบัติที่สอดคลองกับแนวทางและมาตรฐานของ

เทคโนโลยี

2.3.3. IT Architecture Review Board ความสอดคลองของกลยุทธ (Strategic Alignment) 1) เสนอแนะแนวทางดาน IT Architecture การไดผลลัพธที่เพิ่มคุณคาใหธุรกิจ (Value Delivery) 1) ใหคําปรึกษาแนะนําในการนําแนวทางดาน IT Architecture ไปใช การจัดการทรัพยากรดาน IT (IT Resource Management) 1) กํากับการออกแบบ IT Architecture การบริหารความเสี่ยง (Risk Management) 1) กํากับเพื่อใหมั่นใจวา IT Architecture มีความสอดคลองกับกฎหมาย

ขอบังคับ หลักการ กฎเกณฑในการใชขอมูล และการดําเนินธุรกิจอยางตอเนื่อง โดยไมมีการตอรองเมื่อมีอุปสรรคในการปฎิบัติงาน ทั้งนี้ควรติดตาม ศึกษาจากหลัก GRC (Governance-Risk Mgmt.-Compliance)

การวัดผลการดําเนินงาน (Performance Management) 1) ตรวจสอบการปฏิบัติที่สอดคลองกับแนวทาง Architecture

20

กิจกรรมโดยรวมที่เก่ียวกับ IT Governance และ บทบาทที่เก่ียวของกับคณะกรรมการตรวจสอบ และผูบริหารขององคกร

โดยทั่วไป ปจจัยที่ใชวัดความสําเร็จทางดานเทคโนโลยีสารสนเทศและ IT Governance ที่สําคัญ ซ่ึงจะเชื่อมโยงนําไปสูความสําเร็จขององคกรโดยรวม จะพิจารณาทางดานกฎหมาย ดานเทคนิค ดานการจัดองคกรและกระบวนการปฏิบัติงานทั่วทั้งองคกร ไมวาจะใชโปรแกรมประยุกตเพื่อการบริหารทรัพยากรทั่วทั้งองคกร ซึ่งอาจเปนระบบ Enterprise Resource Planning (ERP) หรือไมก็ตาม การวางแผน การปฏิบัติ การสอบทาน และการแกไข เพื่อนําไปสูความคิดในการพัฒนางานดาน IT Governance ใหเปนสวนหนึ่งของการกํากับดูแลกิจการที่ดี (GCG) นั้น เปนทั้งหนาที่และความรับผิดชอบของผูบริหารระดับสูงและคณะกรรมการของทุกองคกร

กิจกรรมดาน IT Governance โดยยอ จะประกอบดวย 1.1. กําหนด IT Master Plan วิธีการปฏิบัติงานใหมที่มีกระบวนการที่ใชเทคโนโลยีสารสนเทศ

และคํานึงถึงผลกระทบทางดานเทคโนโลยีสารสนเทศที่มีตอเปาหมายขององคกรและวิธีการทํางานใหม ๆ 1.2. กําหนดความคาดหวัง และผลตอบแทนเพื่อกําหนดแนวทางการใชเทคโนโลยีสารสนเทศ

อยางคุมคา ที่ควรเขาใจถึงคุณคา จาก Intangible asset และ Tangible asset อยางเปนกระบวนการ 1.3. มีการพิจารณา Physical Security และ Information Security Governance ที่เปนรูปธรรม

โดยเฉพาะจากขอกําหนดของหนวยงานภาครัฐฯ และบุคคลภายนอกที่เกี่ยวของ

21

1.4. กําหนดหนาที่ ความรับผิดชอบ การประสานงาน การใชเทคโนโลยีสารสนเทศของแตละสายงานทั่วทั้งองคกรที่สามารถทํางานกับสายงานไดอยางลงตัว

1.5. การพิจารณาใชเทคโนโลยีสารสนเทศสนับสนุนกระบวนการปฏิบัติงานทั้งภายใน และภายนอกองคกรอยางสอดคลอง และตอเนื่องทั่วถึงกันทุกระบบที่สําคัญขององคกร

1.6. กําหนดจุดควบคุมของทุกกระบวนการ และมีการสอบทานติดตามในกระบวนการปฏิบัติงาน 1.7. รวบรวม และบริหารทรัพยากรอยางผสมผสานระหวาง IT Process และ Business

Process ตั้งแตการวางแผนการจัดองคกร การพนักงาน การกํากับไปจนถึงการติดตาม 1.8. การบริหาร และจัดการกับความเสี่ยงที่เกี่ยวของทั่วทั้งองคกรที่รวมทั้งความเสี่ยง

ทางดานเทคโนโลยีสารสนเทศตามคุณลักษณะที่ดี 1.9. จัดใหมีการวัดผลการปฏิบัติงานทุกสายงาน และภาพโดยรวมขององคกร โดยเนนการ

พลิกฟน ดานปฏิบัติการ (Operation Turnaround) การพลิกโฉมทางยุทธศาสตร (Strategic Turnaround) 1.10. สอบทาน และรับรองคุณภาพของผลการปฏิบัติงานโดยรวมจากการมีการใช

เทคโนโลยีสารสนเทศ และ IT Governance 1.11. การพิจารณาความดีความชอบจากการบริหาร และการปฏิบัติงานดาน IT Governance

อยางผสมผสาน ทั่วทั้งองคกรในสวนที่เกี่ยวของ

ความตองการผลตอบแทนของการลงทุนท่ีสูงขึ้นจากเทคโนโลยีสารสนเทศ ความสําคัญของ Information และ เทคโนโลยีที่พัฒนา อันถือไดวาเปนสินทรัพยที่มีคายิ่ง

โดยเฉพาะในโลกของการแขงขันที่รุนแรง ผูบริหารจะใหความสําคัญและความคาดหวังกับเทคโนโลยีสารสนเทศมากยิ่งขึ้น โดยเฉพาะการตอบสนองที่รวดเร็ว มีคุณภาพ สามารถใชงานไดหลากหลาย และสะดวกตอการใชงาน โดยใชเวลานอยลง เพิ่มระดับการบริการใหดียิ่งขึ้น โดยมีตนทุนที่ต่ําลง รวมทั้งเกิดความคุมคาตามความคาดหวังของผูที่เกี่ยวของกับการลงทุนและผลตอบแทนจากการลงทุนดังนี้

1. ความตองการของผูถือหุนในดาน Return On Investment (ROI)

1.1. ความตองการในระยะสั้น / เปาหมายในดานของรายได และกําไร 1.2. ความตองการในระยะยาว / วัตถุประสงคขององคกร เพื่อการเติบโต 1.3. ผูมีสวนไดสวนเสีย มีความตองการเพิ่มขึ้นในสวนของขอมูล การควบคุม และการ

แสดงถึงความสํานึกรับผิดชอบ เพื่อใหมั่นใจวามีการใชทรัพยากรในระดับที่เหมาะสม และมีการลงทุนในชองทางที่ใหผลตอบแทนสูงสุด

1.4. คณะกรรมการองคกร จะมุงเนนการลงทุนที่เกี่ยวเนื่องกับการรักษาความปลอดภัย การดําเนินธุรกิจอยางตอเนื่อง (Business Continuity) Disaster Recovery, Infrastructure และสมรรถภาพของ Networking

22

1.5. มีการวัด ROI ทุกไตรมาสแทนที่จะเปนรายป และมองระยะเวลาคืนทุนแบบอัตราเรง โดยมุงเนนการปฏิบัติแบบบูรณาการและมีการควบคุมดานกระบวนการดําเนินงาน การประมวลผล และการใชขอมูล อยางเปนระบบ สามารถติดตาม ตรวจสอบ ประเมินผล และวัดความคุมคา สามารถทํา Intangible Value ใหเปน Tangible Value ได ความไดเปรียบในดานการแขงขัน และการเกิดประสิทธิภาพดานตนทุน

การแขงขันที่รุนแรงขึ้นกอใหเกิดการเปลี่ยนแปลงขององคกรในดานตาง ๆ ไมวาจะเปน 1. การปรับเปลี่ยนระบบและกระบวนการทํางานใหกระชับขึ้น โดยนําเทคโนโลยีสารสนเทศมา

ชวยในการปรับปรุงเพื่อเพิ่มความสามารถในการแขงขันมากขึ้น 2. มีการปรับขนาดขององคกรใหกระชับและมีความเหมาะสม มีการใชบริการจากภายนอกมาก

ขึ้น 3. มีการกระจายอํานาจและปรับโครงสรางองคกรใหเปนแนวราบมากขึ้น

ส่ิงเหลานี้มีผลกระทบตอการปฏิบัติงานทั้งขององคกรเอกชน และองคกรของรฐับาล โดยเฉพาะการ

เนนไปที่การไดเปรียบในดานการแขงขัน และการเกิดประสิทธิภาพดานตนทุน ซ่ึงเปนผลใหแตละองคกรจําเปนตองพึ่งพาเทคโนโลยีมากขึ้น และกลายเปนยุทธศาสตรที่สําคัญขององคกร ความจําเปนท่ีตองมีการควบคุมการจัดการและการใชเทคโนโลยีสารสนเทศเพื่อการบรรลุผลทางกลยุทธและเปาหมายขององคกร

ความกาวหนาในการพัฒนาเทคโนโลยีสารสนเทศมาก ทําใหขอมูลสามารถสงผานถึงผูรับไดอยางรวดเร็วโดยปราศจากขอจํากัดดานเวลา ระยะทางและความรวดเร็ว ซ่ึงเปนผลเกี่ยวเนื่องมาจาก

1. การพึ่งพาการใชงานจาก ขอมูล และระบบตาง ๆ ที่เพิ่มมากขึ้น 2. การเพิ่มขึ้นของการใชขอมูลเพื่อการบริหารและการจัดการ รวมท้ังการยกศักยภาพการ

แขงขัน 3. การเปลี่ยนแปลงของตนทุน และ ขนาดของการลงทุนของขอมูล และ Information Systems

ในปจจุบัน และในอนาคต 4. ศักยภาพที่เพิ่มขึ้นของเทคโนโลยีที่ขับเคลื่อนการเปลี่ยนแปลงใหเกิดขึ้นในองคกร รวมทั้ง

ปรับเปลี่ยนหลักการการจัดการและการปฏิบัติงาน ซ่ึงกอใหเกิดโอกาสทางธุรกิจใหม ๆ และชวยใหตนทุนลดลงดวย

การแขงขันที่รุนแรงขึ้นกอใหเกิดการเปลี่ยนแปลงขององคกรในดานตาง ๆ ไมวาจะเปนการปรับเปลี่ยนระบบและกระบวนการทํางานใหกระชับขึ้น โดยนําเทคโนโลยีสารสนเทศมาชวยในการ

23

ปรับปรุงเพื่อเพิ่มความสามารถในการแขงขันมากขึ้น มีการปรับขนาดขององคกรใหกระชับและมีความเหมาะสม มีการใชบริการจากภายนอกมากขึ้น มีการกระจายอํานาจและปรับโครงสรางองคกรใหเปนแนวราบมากขึ้น ส่ิงเหลานี้มีผลกระทบตอการปฏิบัติงานทั้งขององคกรเอกชน และองคกรของรัฐบาล โดยเฉพาะการเนนไปที่การไดเปรียบในดานการแขงขัน และการเกิดประสิทธิภาพดานตนทุน ซ่ึงเปนผลใหแตละองคกรจําเปนตองพึ่งพาเทคโนโลยีมากขึ้น และกลายเปนยุทธศาสตรที่สําคัญขององคกร

ส่ิงเหลานี้ที่เกิดขึ้นทําใหหลายองคกรมองเห็นความสําคัญของ Information และ เทคโนโลยีที่พัฒนา

อันถือไดวาเปนสินทรัพยที่มีคายิ่ง โดยเฉพาะในโลกของการแขงขันที่รุนแรง ผูบริหารจะใหความสําคัญและความคาดหวังกับเทคโนโลยีสารสนเทศมากยิ่งขึ้นโดยเฉพาะการตอบสนองที่รวดเร็ว มีคุณภาพ สามารถใชงานไดหลากหลาย และสะดวกตอการใชงาน โดยใชเวลานอยลง เพิ่มระดับการบริการใหดียิ่งขึ้น โดยมีตนทุนที่ต่ําลง

องคกรที่มีการปฏิบัติงานในระบบอัตโนมัติจําเปนตองมีกลไกในการควบคุมที่ดียิ่งขึ้น โดยเฉพาะ

การควบคุมทั้งระบบคอมพิวเตอร และ ระบบเครือขาย ทั้งในดานของ Hardware และ Software ซ่ึงระบบการควบคุมจําเปนตองพัฒนาไปพรอมกับการพัฒนาของเทคโนโลยีที่เกิดขึ้นอยางรวดเร็วและเปนไปแบบกาวกระโดด

หลายองคกรไดเล็งเห็นถึงประโยชนที่จะไดรับจากเทคโนโลยี และสําหรับองคกรที่ประสบ

ความสําเร็จก็มีความเขาใจและสามารถบริหารความเสี่ยง ที่มาพรอมกับการนําเทคโนโลยีมาใชไดเปนอยางดี โดยเฉพาะการเปลี่ยนแปลงทางดานเทคโนโลยีสารสนเทศไดเกิดมากขึ้นเปนลําดับและรวดเร็ว จึงจําเปนตองมีการจัดการความเสี่ยงที่มาพรอมกับการเปลี่ยนแปลงนี้ใหดียิ่งขึ้น ไมวาจะเปนการจัดการกับขอมูลที่เปดเผย และขอมูลที่เปนความลับ รวมทั้งการนําขอมูลไปใชกระทําการที่ผิดกฎหมาย ดังนั้นการบริหารความเสี่ยงที่เกี่ยวของกับเทคโนโลยีสารสนเทศ จึงกลายมาเปนสวนสําคัญในการกํากับดูแลกิจการทีด่ีขององคกร (Corporate Governance)

ที่ผานมาความตองการในการมีกรอบมาตรฐาน สําหรับการจัดการเรื่องความปลอดภัย และการ

ควบคุมทางดานเทคโนโลยีสารสนเทศมีคอนขางมาก โดยเฉพาะองคกรที่ประสบความสําเร็จตาง ๆ ไดมีความเขาใจ และประเมินคาของความเสี่ยง เทียบกับขอจํากัดในการใชเทคโนโลยีสารสนเทศในทุกระดับขององคกร เพื่อใหมั่นใจวาองคกรจะสามารถมีการกํากับดูแลที่มีประสิทธิผล และมีการควบคุมที่เพียงพอ

ในระดับบริหาร จะตองสามารถตัดสินใจไดวาควรจะลงทุน ณ ระดับใดในเรื่องการรักษาความ

ปลอดภัยและการควบคุม และจะรักษาจุดสมดุลอยางไร ระหวางความเสี่ยงที่รับไดกับการลงทุนในดานการ

24

ควบคุม ถึงแมการรักษาความปลอดภัยและการควบคุมทางดานเทคโนโลยีสารสนเทศจะชวยในการบริหารความเสี่ยง แตความเสี่ยงก็ยังคงมีอยูไมไดถูกขจัดออกไปทั้งหมดเพราะไมมีผูใดสามารถกําหนดระดับความเสี่ยงไดชัดเจนแนนอน ดังนั้น ผูบริหารจึงตองกําหนดระดับความเสี่ยงที่รับได โดยเปรียบเทียบกับตนทุนที่ตองลงทุน ซ่ึงถือไดวาเปนการตัดสินใจที่คอนขางยาก ดังนั้นจึงจําเปนตองมีกรอบมาตรฐาน เพื่อใหทราบถึงระดับการยอมรับไดในการรักษาความปลอดภัยและการควบคุมดานเทคโนโลยีสารสนเทศที่เปนหลักปฏิบัติทั่วไป เพื่อเทียบวัดกับสภาวะของเทคโนโลยีสารสนเทศในปจจุบันและที่จะเปนในอนาคต

สวนของระดับผูใช ก็ตองมีความมั่นใจวามีการรักษาความปลอดภัยและการควบคุม อยางเพียงพอ

ในการใชงานดานเทคโนโลยีสารสนเทศไมวาจะเปนการใชบริการจากภายในองคกร หรือจากผูใหบริการจากภายนอก ซ่ึงที่ผานมาการควบคุมทางดานเทคโนโลยีสารสนเทศจะคอนขางสับสนเนื่องจากมีการประเมินมาตรฐานหลายวิธีการจากหลายองคกร เชน ITSEC, TCSEC, ISO 9000 และการประเมินการควบคุมภายในแบบ COSO เปนตน ดังนั้นผูใชเองจึงจําเปนตองมีหลักเบื้องตนเพื่อยึดเปนแนวทาง

ในสวนของผูตรวจสอบก็จําเปนจะตองมีมาตรฐานสากลในการตรวจสอบเนื่องจากจะตองมีจุดยืน

ในการใหแนวคิดและเหตุผลเกี่ยวกับการตรวจสอบภายในกับระดับบริหาร ซ่ึงถาปราศจากกรอบมาตรฐานแลวจะหาจุดพิจารณาถึงระดับการรักษาความปลอดภัยและการควบคุม ดานเทคโนโลยีสารสนเทศที่เหมาะสมไดคอนขางยาก การสรางคุณคาเพิ่มทางดานเทคโนโลยีสารสนเทศและการจัดการทางดาน IT Portfolio และ IT Management

การควบคุมตนทุนทางดานเทคโนโลยีสารสนเทศ และสามารถสรางคุณคาเพิ่มและผลกําไรใหเพิ่มขึ้นได ดังนั้น จําเปนตองมีความเขาใจในกระบวนการบริหารงาน ในลักษณะสอดประสานและบูรณาการทั่วทั้งองคกร ความเขาใจดังกลาวสามารถสรางความแตกตาง และยกระดับการแขงขัน รวมทั้งการสรางความพึงพอใจใหแกลูกคา

1. การควบคุมตนทุนทางดานเทคโนโลยีสารสนเทศ และสามารถสรางคุณคาเพิ่มและผลกําไร

ใหเพิ่มขึ้นไดนั้นจําเปนตองมี 1.1. กระบวนการวางแผนที่ดี 1.2. การตัดสินใจในการใชทรัพยากรที่เหมาะสม 1.3. การมีแผนงานและงบประมาณที่กอใหเกิดผล

25

ที่ผานมาจะพบวาองคกร / องคกร สวนใหญมักจะพบกับปญหาในดาน การวางแผน การจัดสรร และจัดความสําคัญของทรัพยากรกับงาน การทํางบประมาณ การวัดผลการดําเนินงาน และอื่น ๆ ที่มีการจัดการแบบตางคนตางทําเปนสวน ๆ และขาดการสอดประสานกันระหวางหนวยงานที่เกี่ยวของขาดการเชื่อมโยงซึ่งกันและกัน

ตัวอยางที่เห็นได คือ องคกร / องคกร อาจมีกลยุทธในการดําเนินธุรกิจแตการวัดผลการดําเนินงาน

นั้นไมสอดคลองกับกลยุทธที่มีอยู การวางแผนธุรกิจ และเทคโนโลยีสารสนเทศไมสอดคลองกัน หรือกระบวนการดําเนินงานที่มีอยูไมไดใชขอมูลอยูบนฐานเดียวกันและไมเชื่อมโยงกัน อีกประการหนึ่งคือ องคกรสวนใหญมักจะมีการแบงงานชนิดที่ตางคนตางทําตามสายงานเปนหลัก จึงมักขาดการสอดประสาน และขาดการมองภาพรวมขององคกร รวมทั้งขาดการเชื่อมโยงเพื่อขามกําแพงที่ขวางแผนก / สวน / ฝาย ทําใหธุรกิจไมเชื่อมโยงกัน แตในบทบาทของเทคโนโลยีสารสนเทศนั้น

นอกเหนือจากการมีการควบคุมตนทุนทางดานเทคโนโลยีสารสนเทศและการสรางผลตอบแทนที่ดี

แลว เทคโนโลยีสารสนเทศยังจะตองชวยในการเชื่อมตอ / เชื่อมโยงการดําเนินงานขององคกรดวย โครงสรางพื้นฐานของเทคโนโลยีสารสนเทศ (IT Infrastructure) จะตองสรางมาเพื่อเชื่อมโยงระบบขอมูล เพื่อใหการทํางานของแตละฝาย เชื่อมโยงและสอดประสานกันขามพรมแดนของแตละฝาย และในมุมมองเดียวกัน การวางแผนงาน การจัดลําดับความสําคัญของงาน การจัดสรรงบประมาณ ฯลฯ ก็จําเปนตองเชื่อมโยงแตละฝายเพื่อใหเกิดประสิทธิผลดวย

การบริหารงบประมาณ และการจัดการในโครงการตาง ๆ จะใหผลลัพธที่ดีไดตอเมื่อผูบริหาร และ

บุคลากรในองคกรปฏิบัติไดอยางมีประสิทธิผลโดยไมใชตางคนตางทํา หรือขาดการเชื่อมโยงกัน 2. ขอสังเกตอาจพบไดเมื่อองคกรขาดการเชื่อมตอกันในการปฏิบัติงานในดานเทคโนโลยี

สารสนเทศ คือ 2.1. แผนธุรกิจไมไดเปนตัวกําหนดแผนเทคโนโลยีสารสนเทศ 2.2. แผนเทคโนโลยีสารสนเทศมุงเนนดานเทคโนโลยีมากกวา การสนองตอบ / สนับสนุน

กลยุทธขององคกร 2.3. ผูบริหารไมไดเล็งเห็นวาเทคโนโลยีสารสนเทศจะชวยสนับสนุนกลยุทธขององคกร

ได 2.4. โครงการทางดานเทคโนโลยีสารสนเทศไมไดสนับสนุนกลยุทธขององคกร การใช

จายทางดานเทคโนโลยีสารสนเทศ ในดานการดูแลบํารุงรักษา IT Infrastructure และ Application ไมไดสนับสนุนกลยุทธขององคกร

26

2.5. งบประมาณขององคกร / องคกร ไมไดนําสวนของการวางแผนทางดานเทคโนโลยีสารสนเทศมาเกี่ยวของดวย

2.6. แผนงานทางดานเทคโนโลยีสารสนเทศไมไดชวยใหผูบริหารสามารถใชในการตัดสินใจหรือใชในการกําหนด / บริหารโครงการและการทํางบประมาณ

2.7. การบริหารและกับดูแลเทคโนโลยีสารสนเทศที่ดี (IT Governance) ไมไดกํากับเทคโนโลยีสารสนเทศไปในทิศทางที่สอดคลองกับธุรกิจ

ส่ิงเหลานี้ที่เกิดขึ้นก็เนื่องมาจากความลมเหลวในการวางแผนการทํางานที่ไมสอดคลองกัน ความลมเหลวในการจัดลําดับความสําคัญของงาน การขาดการสรางนวัตกรรมใหม ๆ การขาดการวัดผลการดําเนินงาน ทางดานเทคโนโลยีสารสนเทศที่สอดคลองกับกลยุทธของธุรกิจ ซ่ึงเปนผลมาจากวัฒนธรรมในการบริหารงานที่ไมสอดคลองกันระหวางการบริหารธุรกิจกับเทคโนโลยีสารสนเทศ

ดังนั้น การแกปญหาจุดตาง ๆ นี้จะสามารถทําได โดยการพิจารณาถึงกระบวนการจัดการในมุมมอง

ของ Value Chain ในการนํากลยุทธไปสูการเพิ่มคุณคา / ผลกําไรได โดยมุงเนนการเชื่อมโยง การวางแผนและการกําหนดกลยุทธขององคกรเขากับ การวางแผนทางดานเทคโนโลยีสารสนเทศ การกําหนดงบประมาณ การกําหนดกิจกรรมทางดานเทคโนโลยีสารสนเทศ รวมทั้งการวัดผลการดําเนินงานเพื่อติดตามผล ดังแผนภาพตอไปนี้

Value Chain ของการนํากลยุทธไปสูการเพิ่มคุณคาของผลกําไร / ผลตอบแทน

3. ปจจัยสูความสําเร็จ เปนหัวใจสําคัญยิ่งของทุกองคกรและในทุกสายธุรกิจที่ควรเขาใจ คําจํากัดความและ

ความหมายที่แทจริงใหตรงกัน ใชภาษาเดียวกัน ความสําเร็จขององคกรจะเกิดขึ้นไดตอเมื่อมีกระบวนการวางแผนที่ดี มีการตัดสินใจในการใชทรัพยากรที่เหมาะสมและมีการกําหนดแผนงาน โครงการและงบประมาณที่กอใหเกิดผล โดยมีการทํางานแบบสอดประสานขามสายงานในแตละฝาย ซ่ึงจะทําใหกิจกรรมทางดานเทคโนโลยีสารสนเทศที่ไดกําหนดขึ้นนั้น สามารถกอใหเกิดประสิทธิผล รวมทั้งสามารถครอบคลุมตนทุน และวัดถึงผลตอบแทนทางธุรกิจที่เกิดขึ้นได อยางไรก็ตามสิ่งเหลานี้จะเกิดขึ้นไดก็ยังขึ้นกับ กระบวนการดําเนินงานและวัฒนธรรมของการจัดการดวย

การวัดผลการดําเนนิงาน

กลยุทธของ ธุรกิจ / องคกร

(Business Strategies)

• กระบวนการวางแผนที่ดี

• การตัดสินใจในการใชทรัพยากรท่ีเหมาะสม

• การมีแผนงานโครงการ และงบประมาณที่กอใหเกิดผล

กิจกรรมทาง ดาน IT

(IT Actions)

ผลลัพธ ทางดาน ผลกําไร / ผลตอบแทน

27

ผลลัพธที่ดีนั้นประกอบดวย 1. การมีโครงการที่ดีขึ้นกวาเดิม 2. การคัดเลือกโครงการที่ดี 3. มีการลดคาใชจายในสวนที่ไมกอใหเกิดผล 4. การใชจายในปจจุบันกอใหเกิดผลที่ดีขึ้น 5. มีการจัดการที่ถูกตองเหมาะสม

การพิจารณาดูวาบริษัท / องคกรสามารถสรางผลลัพธไดดีเพียงใด ใหพิจารณา

1. กระบวนการวางแผนทางธุรกิจและเทคโนโลยีสารสนเทศมีการเชื่อมโยงและสอดประสานกันอยางเปนกระบวนการ

2. นวัตกรรมใหม ๆ ทางดานเทคโนโลยีสารสนเทศมีสวนอยูในการวางแผนของธุรกิจ และสรางใหเกิดกลยุทธธุรกิจใหมๆ รวมทั้งพัฒนาการนํากลยุทธของธุรกิจในปจจุบันไปดําเนินการใหเกิดผล

3. การลงทุนทางดานเทคโนโลยีสารสนเทศ มีการจัดลําดับความสําคัญ โดยพิจารณาจากกลยุทธของธุรกิจ ตึควรเขาใจตรงกันดวยวา การปฎิบัติตาม กฎหมาย กฎเกณฑ ขอบังคับ และนโยบายเปนเร่ืองที่องคกรไมอาจหลีกเลี่ยงได

4. การใชจายทางดานเทคโนโลยีสารสนเทศไมวาจะเปนการพัฒนา การปฏิบัติการ การดูแล และบํารุงรักษาและการใหบริการ มีความสอดคลองกับกลยุทธและแผนของธุรกิจ

5. มีการวัดผลการดําเนินงานของเทคโนโลยีสารสนเทศทั้งในดานผลทางธุรกิจ และดานเทคนิคที่เปนรูปธรรม เปนไปตาม หลักการ การกําหนด KPI ที่ดี

6. ทีมผูบริหารทั้งดานการจัดการ และดานเทคโนโลยีสารสนเทศมีกระบวนการดําเนินงานที่สอดคลองกันเพื่อให เทคโนโลยีสารสนเทศ สามารถเพิ่มคุณคาและกอใหเกิดผลตอบแทน / กําไรที่ดีขึ้น ความพึงพอใจที่ดีขึ้น

7. กระบวนการวางแผนและการจัดการ มุงเนนไปถึงการลงทุนทางดานเทคโนโลยีสารสนเทศทั้งในดานการบํารุงรักษา / ใหบริการของระบบในปจจุบัน และในโครงการตาง ๆ ดวย

8. ผูบริหารทั้งทางดานเทคโนโลยีสารสนเทศ และในสวนธุรกิจ มีสวนรวมในการปฏิบัติตามกระบวนการตาง ๆ ที่กลาวมานี้อยางเต็มที่

จุดตาง ๆ นี้ถือไดวาเปนปจจัยสูความสําเร็จในการจะทําใหมีการตัดสินใจที่เหมาะสม และกอใหเกิดผลลัพธที่ดี ทั้ง 5 ประการดังที่กลาวมาขางตน ซ่ึงจะเปนผลใหตนทุนทางดานเทคโนโลยีสารสนเทศลดลงและยังชวยหลักการในการจัดการ เพื่อสราง Value Chain ในการนํากลยุทธไปสูการเพิ่มคุณคาใหผลตอบแทนทางเทคโนโลยีสารสนเทศ

28

หลักการท่ีพิจารณาไดวา องคกรมีเคร่ืองมือสําหรับผูบริหารทั้งในดานเทคโนโลยีสารสนเทศ

และในสวนทางธุรกิจ ในการพัฒนากระบวนการการจัดการ เพื่อนํากลยุทธขององคกร ไปกําหนดโปรแกรมและแผนงานที่ เทคโนโลยีสารสนเทศ นําไปปฏิบัติไดมี ดังนี้

1. การวางแผนในการกําหนด Strategic demand / supply

ตองกําหนดใหชัดเจนวา องคกรตองการจะทําอะไรหรือที่เรียกวา Strategic Intents (ความตองการทางธุรกิจ) โดยผูบริหารทางดานธุรกิจและเทคโนโลยีสารสนเทศจะตองเขาใจในภาพเดียวกันวา องคกรกําลังจะไปในทิศทางใด และเทคโนโลยีสารสนเทศสามารถชวยเสริมในดานใดไดบาง โดยความตองการทางธุรกิจนี้จะกําหนด “ตัวขับเคลื่อนทางธุรกิจ” (Business Drivers) ซ่ึงจะใชเปนตัวกําหนดกลยุทธทางดาน IT (Strategic IT Requirements) เพื่อใหบรรลุถึงความตองการทางธุรกิจนั้น ๆ

กลยุทธทางดานเทคโนโลยีสารสนเทศ จะเปนแนวทางในการกําหนดความตองการทางดาน IT (Strategic Demand for IT) โดยการวางแผนทางดาน IT (IT Strategic Planning) จะบงบอกถึงเทคโนโลยีใด (Strategic Supply) ที่สามารถเสริมใหกลยุทธ IT บรรลุได ส่ิงที่ไดลําดับความสําคัญกอนหลัง ซ่ึงจะเปนแผนงานเทคโนโลยีสารสนเทศและแผนการปฏิบัติงาน

2. นวัตกรรม

เปนไปไดวาเทคโนโลยีสารสนเทศ สามารถสรางโอกาสทางธุรกิจ โดยทิศทางของเทคโนโลยีสารสนเทศ อาจชวยกอใหเกิดโอกาสทางธุรกิจใหม ๆ และถูกนําไปกําหนดเปนกลยุทธขององคกรและแผนการดําเนินงานได ผลที่เกิดขึ้นคือ จะชวยใหองคกรสามารถสรางความไดเปรียบในการแขงขันไดดียิ่งขึ้น

3. การจัดลําดับความสําคัญ

การประเมินโครงการเทคโนโลยีสารสนเทศ ที่มีการนําเสนอและมีการจัดลําดับความสําคัญ มีการกําหนดทรัพยากรที่ตองใชใหกับโครงการที่สรางคุณคาไดสูงสุด ทําใหองคกรสามารถบริหารจัดการวาจะใชเงินไปกับโครงการใด ที่กอใหเกิดผลที่ดีที่สุดกับกลยุทธขององคกร และจัดลําดับของโครงการตามผลที่ประเมิน ซ่ึงจะทําใหมีการใชเงินอยางถูกตองคุมคา โดยผูบริหารทั้งดานธุรกิจและเทคโนโลยีสารสนเทศไดมีการตัดสินใจรวมกัน

29

4. ความสอดคลอง ประเมินผลที่ไดรับจากกิจกรรมที่มีอยูในปจจุบันวากิจกรรมใด ควรไดรับการจัดสรร

ทรัพยากรให แทนที่จะคิดวากิจกรรมเทคโนโลยีสารสนเทศ ทุกอยางที่ทําอยูจะตองไดรับการสนับสนุน โดยพิจารณาวากิจกรรมใดที่ไมกอใหเกิดผล หรือไมสอดคลองกับกลยุทธของธุรกิจ ก็ควรขจัดออกไปเพื่อที่จะไดจัดสรรทรัพยากรไปใหกับ กิจกรรม IT ใหม ๆ ที่ชวยพัฒนาใหองคกรสามารถบรรลุกลยุทธทางธุรกิจได และถือไดวาเปนการจัดการการใชเงินที่มีเหตุมีผล เนื่องจากรับการพัฒนาใหม ๆ ที่เกิดขึ้นดวย

5. การวัดผลการดําเนินงาน

การวัดผลการดําเนินงานทางดานเทคโนโลยีสารสนเทศ ที่สอดคลองกับองคกร การวัดผลการดําเนินงานในดานเทคนิคและการปฏิบัติงานนั้นทําไดไมยาก แตการวัดผลที่เทคโนโลยีสารสนเทศสรางคุณคาใหกับองคกรนั้น กระทําไดคอนขางยาก ที่ดีที่สุดคือ การวัดผลที่ผสมผสานทั้ง 2 สวนเขาดวยกัน ดังนั้นจึงจะตองมีการกําหนดวาจะวัดอะไร เขาใจไดอยางไร ซ่ึงผลที่ตองการคือ มีการปรับปรุงผลการดําเนินงาน เพราะมีการวัดผล และการปรับปรุงการสื่อสารที่มีตอผูบริหารในสวนของธุรกิจใหดียิ่งขึ้น เพื่อใหเขาใจและปฏิบัติสอดคลองกันทั้งในสวนของเทคโนโลยีสารสนเทศและสวนของบริหารธุรกิจ

โดยหลักการจัดการทั้ง 5 สวนนี้มุงเนนถึงวิธีการจัดการ การประเมินคุณคาของ IT (IT

Impact) การบริหาร Portfolio และการบริหารจัดการทางดานวัฒนธรรมขององคกร โดยการประเมินคุณคาของ IT จะชวยใหทราบวาอะไรที่มีความสําคัญขององคกร การบริหาร Portfolio ชวยใหผูบริหารตัดสินใจในการลงทุนและจัดลําดับความสําคัญได รูวาจะใชจายไปกับเทคโนโลยีสารสนเทศ เทาไร อยางไร และในดานวัฒนธรรมขององคกรเองจะชวยใหผูบริหารสามารถกาวขามสิ่งกีดขวางตาง ๆ ท่ีทําใหกระบวนการทํางานสามารถเชื่อมโยงและสอดประสานกันไดดียิ่งขึ้น

หลักการทั้ง 5 จะชวยใหองคกรเชื่อมโยงการลงทุนทางดานเทคโนโลยีสารสนเทศ เขา

กับกลยุทธขององคกรได แตยังจําเปนตองอาศัยกระบวนการทํางานที่เชื่อมโยงกัน เพื่อใหเกิดการปฏิบัติที่ถูกตองเหมาะสม อันจะสงผลใหเกิดผลลัพธที่ถูกตองดวยเชนกัน ดังแสดงในแผนภาพดังตอไปนี้

30

ความสําเร็จสุดทายอยูท่ีการนําไปปฏิบัติ (Action) ท่ีเหมาะสมถูกตอง หมายถึง

คณะกรรมการ ผูบริหารทางดาน IT และ C-Level ตางๆ จะตองรูวาสิ่งท่ีปฏิบัติอยูนั้นสอดคลองกับกลยุทธของธุรกิจหรือไม ถาไมสอดคลองก็ไมควรปฏิบัติ เพื่อใหการควบคุมตนทุนเกิดประสิทธิผลและชวยใหเทคโนโลยีสารสนเทศสามารถสรางคุณคาเพิ่ม และใหผลตอบแทนที่ในมุมมองตางๆสูงขึ้นแกธุรกิจได ท้ังนี้ควรนําหลักการบริหารคุณภาพมาใช นั่นคือ Plan-Do-Act- Check หรือ P-D-A-C นั่นเอง

ขอสรุป สงทายบทความนี้วา……

ระบบดี คนดี นั้นดีแน ระบบดี คนแย พอแกไข ระบบแย คนดี มีทางไป ระบบแย คนไมเอาใหน บรรลัยเอย

ผลลัพธทางดานผลกําไร/ผลตอบแทน

กิจกรรม ทางดาน

IT (IT Actions)

- กระบวนการวางแผน- การตัดสินใจในการใชทรพัยากร

ที่เหมาะสม- การมีแผนงานโครงการ งบประมาณที่กอใหเกิดผล

กลยทุธของธุรกิจ/องคกร(Business Strategies)

ผลลัพธทางดานผลกําไร/ผลตอบแทน

กิจกรรม ทางดาน

IT (IT Actions)

- กระบวนการวางแผน- การตัดสินใจในการใชทรพัยากร

ที่เหมาะสม- การมีแผนงานโครงการ งบประมาณที่กอใหเกิดผล

กลยทุธของธุรกิจ/องคกร(Business Strategies)

การวัดผลการดําเนินงาน

การวัดผลการดําเนนิงาน

ภาพรวม IT ขององคกร ที่เช่ือมโยงกนัในแตละสวน

แผนงานดาน IT

(IT Plan)

งบประมาณของ IT ที่มี

อยู

แผนงานของแตละ

โครงการ

โครงการตาง ๆ

การบริหาร / ประเมิน portfolio

(ความสอดคลอง การบริการ คุณภาพ

เทคโนโลยี

งบประมาณของแตละโครงการ

แผนธรุกจิ

(ประจําป)การกําหนดความตองการ

ดาน IT

(Strategic IT Requirements)

ลําดับความสําคัญ

ของกลยุทธดาน IT

(Strategic IT Agenda)

แผนกลยุทธดาน IT

(Strategic IT Plan)

สวนของธรุกจิ / ฝาย / ดาน

การวางแผนงาน IT (ประจําป)การวางแผนกลยุทธทางดาน ITความตองการทางธรุกจิ

(Strategic Intents)

จากแผนกลยุทธทางธรุกจิ

การปฏบิัติ(Action)

การวัดผลการดําเนนิงาน

ภาพรวม IT ขององคกร ที่เช่ือมโยงกนัในแตละสวน

แผนงานดาน IT

(IT Plan)

งบประมาณของ IT ที่มี

อยู

แผนงานของแตละ

โครงการ

โครงการตาง ๆ

การบริหาร / ประเมิน portfolio

(ความสอดคลอง การบริการ คุณภาพ

เทคโนโลยี

งบประมาณของแตละโครงการ

แผนธรุกจิ

(ประจําป)การกําหนดความตองการ

ดาน IT

(Strategic IT Requirements)

ลําดับความสําคัญ

ของกลยุทธดาน IT

(Strategic IT Agenda)

แผนกลยุทธดาน IT

(Strategic IT Plan)

สวนของธรุกจิ / ฝาย / ดาน

การวางแผนงาน IT (ประจําป)การวางแผนกลยุทธทางดาน ITความตองการทางธรุกจิ

(Strategic Intents)

จากแผนกลยุทธทางธรุกจิ

การปฏบิัติ(Action)

การเชื่อมโยง Value Chain ของกลยุทธสูการปฏิบัติ