IT Governance & Control Objective to Environmental Control (ต่อ)

ครั้งก่อนผมได้เล่าสู่กันฟังถึงแนวคิดหลัก และหลักการในการกำหนดกรอบของ IT Governance รวมถึงความสัมพันธ์ของ IT Governance กับ Corporate Governance ที่มีความสัมพันธ์แบบพึ่งพากัน ในวันนี้เราจะมาพูดคุยต่อถึงปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance รวมถึงบทบาท หน้าที่ของฝ่ายตรวจสอบ คณะกรรมการและผู้บริหารขององค์กรที่เกี่ยวข้องกับ IT Governance กันครับ

ปัจจัยที่ใช้วัดความสำเร็จที่เกี่ยวกับ IT Governance โดยย่อ
ปัจจัยที่ใช้วัดความสำเร็จทางด้านเทคโนโลยีสารสนเทศ และ IT Governance ที่สำคัญ ซึ่งจะเชื่อมโยงนำไปสู่ความสำเร็จขององค์กรโดยรวม จะพิจารณาทางด้านกฎหมาย ด้านการจัดองค์กร และกระบวนการปฏิบัติงานทั่วทั้งองค์กร ไม่ว่าจะใช้โปรแกรมประยุกต์เพื่อการบริหารทรัพยากรทั่วทั้งองค์กรด้านเทคนิค ซึ่งอาจเป็นระบบ Enterprise Resource Planning (ERP) หรือไม่ก็ตาม การวางแผน การปฏิบัติ การสอบทาน และการแก้ไข เพื่อนำไปสู่ความคิดในการพัฒนางานด้าน IT Governance ให้เป็นส่วนหนึ่งของการกำกับดูแลกิจการที่ดีขององค์กร (GCG – Good Corporate Governance) นั้น เป็นทั้งหน้าที่และความรับผิดชอบของคณะกรรมการ และผู้บริหารระดับสูงของทุกองค์กร

สำหรับการบริหาร IT Governance เท่าที่เป็นอยู่ในปัจจุบัน เมื่อเทียบกับมาตรฐานที่ใช้ในการประเมินผลการบริหารความเสี่ยงด้าน IT Governance ซึ่งเป็นส่วนหนึ่งของการประเมินระดับการบริหารความเสี่ยงขององค์กรนั้น มีข้อควรพิจารณาปรับปรุงบางประการ เช่น BCP-Business Continuity Plan การบริหารสภาพแวดล้อมของศูนย์คอมพิวเตอร์หลัก โดยการจัดให้มีการควบคุมสภาพแวดล้อมที่เหมาะสมตามมาตรฐาน ที่วัดได้ ปฎิบัติได้ โดยมี Performance Measurement ที่เหมาะสม

การจัดให้มีกระบวนการสร้างความมั่นใจถึงความสมดุลระหว่างผลตอบแทนจากการลงทุนและการจัดการด้าน เทคโนโลยีสารสนเทศ กับความเสี่ยงที่อาจเกิดขึ้น

การสร้างเกณฑ์วัดคุณภาพงานและผลสำเร็จของกลยุทธ์ หรือนโยบาย และการจัดการด้านเทคโนโลยีสารสนเทศตามที่กำหนดไว้ เช่น กลยุทธ์ หรือนโยบายด้านเทคโนโลยีสารสนเทศ ในการสนับสนุนให้องค์กรมีผลตอบแทนจากการลงทุนที่มากขึ้น กลยุทธ์หรือนโยบายด้านเทคโนโลยีสารสนเทศในการกำหนดมาตรฐานการปฏิบัติงานขององค์กร เป็นต้น

บทบาทของฝ่ายตรวจสอบที่เกี่ยวข้องกับ IT Governance
ฝ่ายตรวจสอบควรมีบทบาทในฐานะเป็นผู้ให้คำแนะนำ และสร้างคุณค่าเพิ่มในการปฏิบัติหน้าที่ตามมาตรฐานการตรวจสอบภายในของทุกสายงาน และในฐานะผู้ประเมินคุณภาพการบริหารความเสี่ยง การควบคุมภายในทางด้านต่าง ๆ เช่น
1. คุณภาพของการปฏิบัติงาน (Operational)
2. คุณภาพทางด้านการปฏิบัติตามนโยบาย กฎเกณฑ์ ระเบียบ คำสั่ง (Compliance)
3. คุณภาพด้านการเงิน และการรายงาน (Financial) รวมทั้งการให้คำแนะนำด้านเทคโนโลยีสารสนเทศ และ IT Governance
4. การตรวจสอบทางด้านเทคโนโลยีสารสนเทศ รวมทั้งการใช้ Outsource เพื่อเป้าหมายดังกล่าว รวมทั้งมุมมองที่กว้างกว่านั้น องค์กรควรวางกรอบความต้องการของตนให้ชัดเจนเพื่อความคุ้มค่าในการดำเนินงาน เพราะการตรวจสอบด้านเทคโนโลยียุคใหม่จะเป็นการตรวจสอบการจัดการความเสี่ยงทางด้าน IT Governance โดยเฉพาะอย่างยิ่งการตรวจสอบความสามารถในการดำเนินธุรกิจอย่างต่อเนื่อง (BCM – Business Continuity Management) และ Control Objective ไปสู่ Business Process เพื่อก้าวไปสู่ Business Objective ขององค์กร โดยเน้นหลักการ Best Practice

บทบาทหน้าที่ของคณะกรรมการและผู้บริหารขององค์กรเกี่ยวกับ IT Governance
1. นำกรอบงานธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ (IT Governance) มาใช้ในองค์กร
2. กำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศที่สอดคล้องกับเป้าหมายการทำธุรกิจ
3. การเชื่อมโยงกลยุทธ์ และเป้าหมายลงไปในแต่ละระดับขององค์กร
4. กำหนดโครงสร้างองค์กรที่ช่วยสนับสนุนการดำเนินงานตามกลยุทธ์ที่วางไว้
5. นำกรอบงานด้านการควบคุมเทคโนโลยีสารสนเทศ และด้าน IT Governance มาใช้
6. จัดให้มีโครงสร้างพื้นฐานด้านเทคโนโลยีที่ช่วยสนับสนุนการสร้างสารสนเทศทางธุรกิจและการใช้สารสนเทศดังกล่าวร่วมกัน
7. การผนวกรวมความรับผิดชอบด้านการบริหารความเสี่ยงไว้ในองค์กร
8. มุ่งเน้นกระบวนการเทคโนโลยีสารสนเทศที่สำคัญ และความสามารถหลักของเทคโนโลยีสารสนเทศ (Core IT Competencies)
9. วัดผลการดำเนินงาน (Balanced Business Scorecard)

กิจกรรมด้าน IT Governance โดยสรุป
1. กำหนด IT Master Plan วิธีการปฏิบัติงานใหม่ที่มีกระบวนการที่ใช้เทคโนโลยีสารสนเทศ และคำนึงถึงผลกระทบทางด้านเทคโนโลยีสารสนเทศที่มีต่อองค์กรและวิธีการทำงานใหม่ ๆ
2. กำหนดความคาดหวังและผลตอบแทน เพื่อกำหนดแนวทางการใช้เทคโนโลยีสารสนเทศอย่างคุ้มค่า
3. มีการพิจารณา Physical Security และ Information Security Governance ที่เป็นรูปธรรมโดยเฉพาะจากข้อกำหนดของหน่วยงานภาครัฐฯ และบุคคลภายนอกที่เกี่ยวข้อง
4. กำหนดหน้าที่ ความรับผิดชอบ การประสานงาน การใช้เทคโนโลยีสารสนเทศของแต่ละสายงานทั่วทั้งองค์กรที่สามารถทำงานกับสายงานได้อย่างลงตัว
5. การพิจารณาใช้เทคโนโลยีสารสนเทศสนับสนุนกระบวนการปฏิบัติงาน ทั้งภายในและภายนอกองค์กรอย่างสอดคล้อง และต่อเนื่องทั่วถึงกันทุกระบบที่สำคัญขององค์กร
6. กำหนดจุดควบคุมของทุกกระบวนการ และมีการสอบทานติดตามในกระบวนการปฏิบัติงาน
7. รวบรวม และบริหารทรัพยากรอย่างผสมผสานระหว่าง IT Process และ Business Process ตั้งแต่การวางแผนการจัดองค์กร การพนักงาน การกำกับไปจนถึงการติดตาม
8. การบริหารและจัดการกับความเสี่ยงที่เกี่ยวข้องทั่วทั้งองค์กร ที่รวมทั้งความเสี่ยงทางด้านเทคโนโลยีสารสนเทศตามคุณลักษณะที่ดี
9.จัดให้มีการวัดผลการปฏิบัติงานทุกสายงาน และภาพโดยรวมขององค์กร โดยเน้นการพลิกฟื้นด้านปฏิบัติการ (Operation Turnaround) การพลิกโฉมทางยุทธศาสตร์ (Strategic Turnaround)
10. สอบทาน และรับรองคุณภาพของผลการปฏิบัติงานโดยรวม จากการมีการใช้เทคโนโลยีสารสนเทศ และ IT Governance
11. การพิจารณาความดีความชอบจากการบริหาร และการปฏิบัติงานด้าน IT Governance อย่างผสมผสานทั่วทั้งองค์กรในส่วนที่เกี่ยวข้อง

Advertisements

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: