วันอังคารที่ 15 มกราคม พ.ศ. 2556

COBIT


กรอบงานโคบิต (CoBIT Framework)
  • 1.1 ภาพรวมของโคบิต         โคบิตได้รับการพัฒนาขึ้นในปี 1992 โดยสมาคมการควบคุมและการตรวจสอบระบบสารสนเทศ หรือ The Information Systems Audit and Control Association (ISACA) และ สถาบันเทคโนโลยีสารสนเทศาภิบาล หรือ Information Technology Governance Institute (ITGI) เป็นผู้ดูแลในปัจจุบัน (ซึ่ง ISACA และ ITGI เป็นองค์กรชั้นนำในด้านของการตรวจสอบและการควบคุมด้านเทคโนโลยีสารสนเทศระดับโลกที่ตั้งอยู่ในประเทศสหรัฐอเมริกา) โคบิตเวอร์ชันแรก (CoBIT 1st edition) ได้รับการตีพิมพ์และเผยแพร่ในปี 1996 จากนั้นได้มีการปรับปรุงเป็นเวอร์ชันที่ 2 (CoBIT 2rdedition) ในปี 1998 โดยในเวอร์ชันที่ 2 มีการเพิ่มเติมแหล่งข้อมูลและมีการทบทวนเนื้อหาในส่วนของวัตถุประสงค์การควบคุมหลักและเนื้อหาอื่นๆ บางส่วน ต่อมาได้มีการพัฒนาเป็นเวอร์ชันที่ 3 (CoBIT 3 edition) ในปี 2000 (ส่วนที่เป็น on-line edition ได้รับการเผยแพร่ในปี 2003) และเวอร์ชันที่ 4 (CoBIT 4.0) ซึ่งเป็นเวอร์ชันล่าสุดโดยได้มีการเผยแพร่ในเดือนธันวาคมปี 2005 โดยเป็นการปรับปรุงเนื้อหาให้มีความใกล้เคียงกับมาตรฐานสากลต่างๆ เช่น Sarbanes-Oxley Act. เป็นต้น
             สถาบันเทคโนโลยีสารสนเทศาภิบาล (ITGI) จัดตั้งขึ้นเมื่อปีค.ศ. 1998 โดยสมาคมการควบคุมและตรวจสอบระบบสารสนเทศ (ISACA) และสมาคมอื่นๆ ที่เกี่ยวข้อง โดยมีวัตถุประสงค์เพื่อเสริมสร้างความเข้าใจและนำหลักการด้านการกำกับดูแลที่ดีด้านเทคโนโลยีสารสนเทศมาใช้งาน โดยมีการเพิ่มเติมแนวทางในการบริหาร หรือ แนวทางสำหรับผู้บริหาร (Management Guideline) เข้ามาในโคบิตเวอร์ชันที่ 3 รวมถึงการเสริมสร้างและยกระดับการกำกับดูแลที่ดีด้านเทคโนโลยีสารสนเทศ
    โคบิตนั้นถูกพัฒนาโดยมีพื้นฐานมาจากกรอบวิธีปฏิบัติต่างๆ หลายตัว เช่น Capability Maturity Model (CMM) ของ Software Engineering Institute (SEI), ISO 9000 และ Information Technology Infrastructure Library (ITIL) โดยเดิมทีผู้พัฒนาตั้งใจที่จะสร้างให้โคบิตเป็นเครื่องมือ หรือ แนวทางที่ใช้ในการปฏิบัติงานของผู้ตรวจสอบการควบคุมภายในด้านเทคโนโลยีสารสนเทศ แต่ต่อมามีการนำไปใช้โดยผู้บริหารธุรกิจ และผู้บริหารระบบสารสนเทศมากขึ้น เนื่องจากโคบิตเป็นทั้งแนวคิดและแนวทางในการปฏิบัติ เพื่อให้การควบคุมภายในด้านเทคโนโลยีสารสนเทศสามารถดำเนินไปได้อย่างมีประสิทธิภาพ โดยมีการอ้างอิงถึงแนวทางการปฏิบัติที่ดีที่สุด (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ เพื่อมุ่งเน้นในการยกระดับประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่เป็นส่วนผลักดันงานขององค์กร (มากกว่าการมุ่งเน้นทางด้านของการรักษาความมั่นคงปลอดภัยของเทคโนโลยีสรสนเทศเหมือนมาตรฐาน ISO/IEC 27001) ดังนั้นโคบิตจึงเริ่มเป็นที่แพร่หลายในกลุ่มของผู้บริหารงานด้านเทคโนโลยีสารสนเทศด้วย
            โคบิตเป็นบทสรุปรวมของความรู้หรือข้อมูลต่างๆ ที่องค์กรต้องการสำหรับการนำไปปรับใช้เพื่อให้องค์กรมีการควบคุมภายในด้านเทคโนโลยีสารสนเทศที่ดี และเพื่อพัฒนาองค์กรให้เข้าสู่การเป็นองค์กรที่มี “ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ” หรือ IT Governance กล่าวคือ สามารถบริหารจัดการระบบสารสนเทศขององค์กรให้สามารถใช้งานได้อย่างมีประสิทธิภาพ มีความคุ้มค่ากับการลงทุน และมีการบริหารจัดการที่โปร่งใสสามารถตรวจสอบได้ โดยโคบิตจะรวบรวมตัววัด (Measures) เครื่องบ่งชี้ (Indicators) ขั้นตอนการปฏิบัติงาน (Processes) และ แนวทางการปฏิบัติที่ดีที่สุด (Best Practices) ซึ่งเป็นข้อมูลที่มีโครงสร้าง สามารถเข้าใจและนำไปใช้ได้โดยง่ายอีกทั้งเป็นที่ยอมรับกันโดยทั่วไป ผู้ที่นำโคบิตไปใช้ (ได้แก่ ผู้บริหารธุรกิจ ผู้บริหารระบบสารสนเทศ และผู้ตรวจสอบ) สามารถนำสิ่งต่างๆ เหล่านี้ไปใช้เป็นเครื่องมือเพื่อสร้างประโยชน์สูงสุดจากการนำเทคโนโลยีสารสนเทศเข้ามาใช้งานภายในองค์กร และช่วยให้การลงทุนทางด้านเทคโนโลยีสารสนเทศประสบความสำเร็จอย่างตรงตามความต้องการทางด้านธุรกิจ เนื่องจากการนำโคบิตเข้ามาใช้จะช่วยให้ผู้ที่ปฏิบัติงานต่างๆ มีความเข้าใจในระบบเทคโนโลยีสารสนเทศที่ตนเองเกี่ยวข้องมากยิ่งขึ้น อีกทั้งยังช่วยในเรื่องของการยกระดับของการควบคุมด้านความปลอดภัยที่จำเป็นสำหรับการป้องกันสินทรัพย์ต่างๆ ขององค์กร
            แนวทางในการบริหารจัดการของโคบิตเขียนขึ้นเพื่อให้สามารถนำไปใช้ปฏิบัติได้จริง และเพื่อให้สามารถตอบคำถามต่างๆ ของผู้บริหารได้ เช่น

    • องค์กรสามารถเติบโตได้ถึงขั้นไหน (ในด้านของการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร)
    • การลงทุนทางด้านเทคโนโลยีสารสนเทศคุ้มค่ากับประโยชน์ที่องค์กรจะได้รับหรือไม่
    • ควรใช้อะไรเป็นตัวชี้วัดถึงประสิทธิภาพในการดำเนินงานด้านเทคโนโลยีสารสนเทศที่ดี
    • อะไรเป็นปัจจัยที่สำคัญที่จะทำให้องค์กรประสบความสำเร็จได้ตรงตามเป้าหมายที่กำหนดไว้
    • ความเสี่ยงที่จะทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่ตั้งไว้มีอะไรบ้าง จะมีวิธีการตรวจสอบและการควบคุมอย่างไร เพื่อลดโอกาสเกิดของความเสี่ยงดังกล่าวให้น้อยลง

            เราสามารถนำมาตรฐาน หรือ แนวทางปฏิบัติอื่นๆ ที่มีจุดมุ่งหมายที่ต้องการจะเน้นที่การควบคุมเฉพาะจุดใดจุดหนึ่ง มาประยุกต์ใช้ร่วมกับโคบิตได้ เช่น กลุ่มมาตรฐานของ ISO/IEC 27000 (ISO/IEC 27000 series) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการรักษาความปลอดภัยของเทคโนโลยีสารสนเทศ หรือ มาตรฐาน ISO/IEC 9001:2000 ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการจัดการความต้องการทางด้านคุณภาพของระบบ (Quality Management Systems Requirement) หรือ มาตรฐานของ Information Technology Infrastructure Library (ITIL) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการให้บริการด้านเทคโนโลยีสารสนเทศที่มีคุณภาพ หรือ มาตรฐาน Capability Maturity Model Integration (CMMI) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการพัฒนาและผลิตซอร์ฟแวร์ที่มีคุณภาพ รวมไปถึงมาตรฐาน Projects in Controlled Environments 2 (PRINCE2) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการบริหารจัดการโครงการที่มีประสิทธิภาพ เป็นต้น เนื่องจากโคบิตเป็นกรอบการปฏิบัติที่บอกให้ผู้ปฏิบัติทราบว่าต้องการอะไรบ้าง (what to do) แต่ไม่มีรายละเอียดในแง่ของวิธีการปฏิบัติที่จะนำไปสู่จุดนั้น (how to do) ดังนั้นผู้ปฏิบัติจึงควรนำมาตรฐาน หรือแนวทางปฏิบัติอื่นๆ เข้ามาช่วยเสริมในส่วนของรายละเอียดที่เจาะลึกลงไปในเรื่องที่ต้องการได้
    โครงสร้างของโคบิตถูกออกแบบให้อยู่บนพื้นฐานของกระบวนการทางธุรกิจ (Business Process) ซึ่งแบ่งเป็น 4 กระบวนการหลัก (Domains) ได้แก่

    1. การวางแผนและการจัดองค์กร (Plan and Organize : PO)
    2. การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
    3. การส่งมอบและการสนับสนุน (Delivery and Support : DS)
    4. การติดตามและประเมินผล (Monitor and Evaluate : ME)
            ในแต่ละกระบวนการหลักข้างต้น โคบิตยังได้แสดงถึงวัตถุประสงค์การควบคุมหลัก (High-Level Control Objectives) รวมทั้งหมด 34 หัวข้อ และในแต่ละหัวข้อจะประกอบไปด้วยวัตถุประสงค์การควบคุมย่อย (Detailed Control Objectives) รวมทั้งหมดถึง 318 หัวข้อย่อย พร้อมทั้งยังมีแนวทางการตรวจสอบ (Audit Guideline) สำหรับแต่ละหัวข้อการควบคุมอีกด้วย (ซึ่งรายละเอียดจะกล่าวในหัวข้อถัดไป) นอกจากนี้โคบิตได้แสดงถึงความสัมพันธ์ต่อปัจจัยหลัก 2 ตัว ในทุกๆ หัวข้อของวัตถุประสงค์การควบคุม ได้แก่
    • คุณภาพของสารสนเทศ (Information Criteria)
    • ทรัพยากรด้านเทคโนโลยี (IT Resources)
            คุณภาพของสารสนเทศ 7 ประการ
    1. ประสิทธิภาพ (Effectiveness) หมายถึง มีการจัดการกับข้อมูลที่ใช้หรือเกี่ยวข้องกับกระบวนการทางธุรกิจ โดยเฉพาะการส่งมอบสารสนเทศต่างๆ ให้แก่ผู้ใช้ได้อย่างถูกต้อง ทันเวลา และสามารถใช้ประโยชน์ได้
    2. ประสิทธิผล (Efficiency) หมายถึง มีการใช้ประโยชน์จากทรัพยากรอย่างเต็มที่ (คือให้ผลตอบแทนสูงสุดในขณะที่ใช้ต้นทุนที่ต่ำที่สุด) เพื่อให้ได้มาซึ่งสารสนเทศที่ผู้ใช้ต้องการ
    3. การรักษาความลับ (Confidentiality) หมายถึง มีการป้องกันการเปิดเผยข้อมูลที่มีความสำคัญต่อบุคคลหรือหน่วยงานที่ไม่ได้รับอนุญาต
    4. ความสมบูรณ์ของข้อมูล (Integrity) หมายถึง ความถูกต้องตรงกันและความครบถ้วนสมบูรณ์ของสารสนเทศที่มีอยู่ในองค์กร
    5. ความพร้อมใช้งานของข้อมูล (Availability) หมายถึง การที่สามารถเรียกใช้ข้อมูลสารสนเทศได้ตลอดเวลาเมื่อผู้ใช้ต้องการ รวมถึงการป้องกันและรักษาความปลอดภัยให้กับทรัพยากรที่จำเป็นต่างๆ และการรักษาระดับความสามารถในการทำงานของทรัพยากรเหล่านั้น ห้ามารถทำงานได้อย่างมีประสิทธิภาพอยู่ตลอดเวลา
    6. การปฏิบัติตามระเบียบ (Compliance) หมายถึง การที่องค์กรปฏิบัติตามกฎ ระเบียบ ข้อบังคับ หลักเกณฑ์ ข้อตกลง หรือกฎหมาย ที่เกี่ยวข้องกับกระบวนการทางธุรกิจที่มีขึ้นเพื่อบังคับใช้ทั้งจากหน่วยงานภายในและภายนอกองค์กร
    7. ความน่าเชื่อถือของข้อมูล (Reliability) หมายถึง ความสามรถในการหาข้อมูลที่เหมาะสมและเชื่อถือได้ ให้แก่ผู้บริหารเพื่อใช้ในการดำเนินธุรกิจและให้สามารถจัดทำรายงานทางการเงินหรือรายงานอื่นๆ ที่จำเป็น
            ทรัพยากรด้านเทคโนโลยีสารสนเทศ 4 ประเภท
    1. ระบบงานประยุกต์ (Application Systems) ได้แก่ ขั้นตอนและกระบวนการที่ใช้ในการปฏิบัติงานทั้งแบบที่ปฏิบัติเองด้วยมือและแบบที่ทำด้วยโปรแกรมคอมพิวเตอร์
    2. สารสนเทศ (Information) ได้แก่ ข้อมูลหรือสารสนเทศในรูปแบบต่างๆ ทั้งที่เป็นรูปภาพ ข้อมูลเสียง เป็นต้น โดยสามารถเป็นได้ทั้งข้อมูลที่มีโครงสร้างและที่ไม่มีโครงสร้าง ที่องค์กรนำมาใช้ในการปฏิบัติงาน
    3. โครงสร้างพื้นฐาน (Infrastructure) ได้แก่ โครงสร้างพื้นฐานทางด้านเทคโนโลยีสารสนเทศขององค์กร ที่ใช้ในการปฏิบัติงานต่างๆ ภายในองค์กร ซึ่งรวมตั้ง hardware, software, ระบบปฏิบัติการ ระบบบริหารฐานข้อมูล ระบบเครือข่าย และยังรวมไปถึงทรัพยากรต่างๆ ที่ใช้ในสนับสนุนการปฏิบัติงานขององค์กร เช่น อาคาร สถานที่ และสาธารณูปโภคต่างๆ
    4. บุคลากร (People) ได้แก่ บุคลากรที่มีความรู้ความชำนาญในการบริหารและการปฏิบัติงานทางด้านเทคโนโลยีสารสนเทศ เพื่อให้สามารถมั่นใจได้ว่าระบบสารสนเทศจะได้รับการดูแลที่ดีจากบุคลากรที่มีความสามารถ
    Image01
    ภาพที่ 1 Cobit Cube
  • 1.2 ภาพรวมของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ        โคบิตถือเป็นกรอบวิธีปฏิบัติตัวหนึ่งที่เน้นให้องค์กรเป็นองค์กรที่มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี ดังนั้นองค์กรที่ต้องการประสบความสำเร็จในการเป็นองค์กรที่มีธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดีควรที่จะนำโคบิตไปปรับใช้ในการบริหารงานขององค์กร ซึ่งในตัวของโคบิตเองก็ได้มีเนื้อหาสำคัญที่เกี่ยวพันธ์กับเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศด้วย ด้วยเหตุนี้จึงอยากจะให้ผู้ที่นำไปใช้ได้เข้าใจในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศก่อน
            ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศคือ การนำกรอบวิธีการปฏิบัติและวิธีการปฏิบัติที่ดีที่สุด จากมาตรฐานต่างๆ มาปรับใช้ในองค์กร เพื่อช่วยในการตรวจสอบติดตาม และปรับปรุงกระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร เพื่อเพิ่มมูลค่าทางธุรกิจและเป็นการลดความเสี่ยงด้านธุรกิจที่องค์กรต้องเผชิญไปด้วยในตัว และให้สามารถแน่ใจได้ว่าเทคโนโลยีสารสนเทศขององค์กร ได้สนับสนุนวัตถุประสงค์ของธุรกิจ เพื่อที่จะทำให้องค์กรสามารถได้รับประโยชน์อย่างเต็มที่ จากข้อมูลของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
            ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพจะช่วยให้องค์กรสามารถแน่ใจได้ว่า เทคโนโลยีที่องค์กรนำมาใช้จะสามารถสนับสนุนเป้าหมายทางธุรกิจ ช่วยเพิ่มประสิทธิภาพสูงสุดทางด้านธุรกิจให้กับการลงทุนทางด้านเทคโนโลยีสารสนเทศ และช่วยให้องค์กรมีวิธีที่ใช้ในการจัดการกับความเสี่ยงอย่างเหมาะสม การที่มีความเข้าใจที่ดีในเรื่องของ สภาพแวดล้อมทางธุรกิจ ความเสี่ยงต่างๆ ที่เกี่ยวข้อง กลยุทธ์ทางด้านธุรกิจขององค์กร โครงสร้างในด้านเทคโนโลยีสารสนเทศขององค์กร ความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่สำคัญต่อองค์กร และแนวโน้มในการใช้งานของเทคโนโลยีสารสนเทศ จะเป็นส่วนสำคัญของการประสบความสำเร็จในการนำธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมาใช้ในองค์กร ซึ่งหน้าที่ในการดูแลและรับผิดชอบในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศนั้น ถือเป็นอีกหน้าที่หลักของผู้บริหารระดับสูงและคณะกรรมการผู้จัดการ (Broad of Directors) ในการผลักดันให้องค์กรก้าวเข้าสู่หลักธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี

    ความสำคัญของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ

    • ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศทำให้องค์กรมีการบริหารงานที่เป็นระบบ ระเบียบ มีขั้นตอนที่แน่นอน ลดความซ้ำซ้อน และลดความเสี่ยง ทำให้องค์กรสามารใช้สารสนเทศได้อย่างเต็มประสิทธิภาพ ยังผลให้เกิดประโยชน์สูงสุดแก่องค์กร
    • ช่วยป้องกันการทุจริตของผู้บริหารหรือผู้ปฏิบัติงานได้ เนื่องจากมีการบริหารงานที่โปร่งใส สามารถตรวจสอบได้
    • ช่วยให้การลงทุนทางด้านเทคโนโลยีสารสนเทศประสบความสำเร็จได้อย่างมีประสิทธิภาพสูงสุด คือ ได้ผลประโยชน์สูงสุดกับองค์กรโดยที่ใช้ต้นทุนที่ต่ำที่สุด
    • ช่วยสร้างและส่งเสริมภาพลักษณ์ที่ดีต่อองค์กร ทำให้ผู้ที่มีส่วนเกี่ยวข้องกับองค์กร (เช่น ผู้ถือหุ้น องค์กรที่ทำธุรกิจร่วมกัน และลูกค้าขององค์กร) เกิดความเชื่อมั่นและความไว้วางใจในองค์กรมากยิ่งขึ้น
    ความต้องการในเรื่องธรรมาภิบาลด้านเทคโนโลยีสารสนเทศของผู้มีส่วนเกี่ยวข้อง        ในองค์กรมีผู้ที่มีส่วนเกี่ยวข้องหลายคนที่จำเป็นจะต้องให้ความสนใจกับเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ เพื่อที่จะสามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพ ซึ่งโคบิตได้จัดเตรียมเนื้อหาในหัวข้อ “IT Governance Implementation Guide” เพื่อช่วยตอบคำถามที่ผู้มีส่วนเกี่ยวข้องต่างๆ ต้องการทราบในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศเหล่านี้
    • ผู้บริหารระดับสูงและคณะกรรมการผู้จัดการ (Executive and Broad of Director) ต้องการที่จะทราบว่าจะสามารถกำหนดเป้าหมายทางธุรกิจอย่างไรให้สามารถบรรลุเป้าหมายดังกล่าวได้โดยก่อให้เกิดประโยชน์สูงสุดแก่องค์กร และจะนำแนวทางปฏิบัติของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมาปรับใช้กับองค์กรให้เหมาะสมได้อย่างไร เพื่อให้สามารถแน่ใจได้ว่าความเสี่ยงต่างๆ ที่เกี่ยวข้องกับสารสนเทศที่มีความสำคัญต่อองค์กรจะได้รับการจัดการอย่างเหมาะสม
    • ผู้บริหารด้านธุรกิจ (Business Manager) ต้องการที่จะทราบว่าฝ่ายบริหารจะสามารถกำหนดความต้องการทางด้านธุรกิจที่เกี่ยวข้องกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศได้อย่างไร เพื่อให้สามารถมั่นใจได้ว่าโอกาสที่จะเกิดความเสี่ยงต่างๆ ที่เกี่ยวข้องจะถูกทำให้ลดน้อยลง
    • ผู้บริหารด้านเทคโนโลยีสารสนเทศ (IT Manager)ต้องการที่จะทราบว่าจะต้องทำอย่างไรเพื่อให้การให้บริการทางด้านเทคโนโลยีสารสนเทศสามารถตอบสนองได้ตรงตามความต้องการของธุรกิจอยู่ตลอดเวลา
    • ผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Auditor)ต้องการที่จะทราบว่าจะต้องทำอย่างไรในการที่จะนำเนื้อหาต่างๆ ของโคบิตมาปรับใช้ในกระบวนการตรวจสอบด้านเทคโนโลยีสารสนเทศ เพื่อให้สามารถแน่ใจได้ว่ากระบวนการตรวจสอบจะมีประสิทธิภาพและมีความเป็นอิสระจากฝ่ายงานอื่น
    • ความเสี่ยง และ พนักงานทั่วไป(compliance officer) ต้องการที่จะทราบว่าผู้จัดการด้านความเสี่ยง (risk manager) และ พนักงานทั่วไป จะสามารถนำโคบิตมาใช้ในเรื่องที่เกี่ยวกับกิจกรรมด้านความเสี่ยงและการปฏิบัติตามกฎระเบียบข้อบังคับได้อย่างไร เพื่อให้สามารถแน่ใจได้ว่าความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศใหม่ๆ จะถูกค้นพบได้อย่างรวดเร็ว และ พนักงานที่จำเป็นต้องปฏิบัติตามกฎ (IT complies) มีการปฏิบัติตามนโยบาย ระเบียบข้อบังคับ และกฎหมายหรือไม่
  • 1.3 โคบิตกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ        ในเนื้อหาของโคบิตได้มีหลายหัวข้อที่มีความเกี่ยวเนื่องกับเรื่องของธรรมาภิลาบด้านเทคโนโลยีสารสนเทศ เพื่อต้องการที่จะให้องค์กรที่นำโคบิตไปใช้ได้เป็นองค์กรที่มีธรรมาภิบาลที่ดี โดยเรื่องที่โคบิตกล่าวถึงเกี่ยวกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมีดังนี้
    • วัตถุประสงค์ของโคบิตในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
    • IT Governance Focus Areas
    วัตถุประสงค์ของโคบิตในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ         ซึ่งโคบิตสนับสนุนในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยมีการจัดเตรียมกรอบวิธีปฏิบัติต่างๆ เพื่อต้องการให้แน่ใจว่า :
    • เทคโนโลยีสารสนเทศที่นำมาใช้จะเป็นไปในทิศทางเดียวกันกับธุรกิจขององค์กร
    • เทคโนโลยีสารสนเทศสามารถที่จะสนับสนุนความต้องทางด้านธุรกิจได้อย่างเต็มประสิทธิภาพ
    • ทรัพยากรด้านเทคโนโลยีสารสนเทศถูกใช้อย่างเหมาะสม
    • สามารถจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม

    IT Governance Focus Areas        โคบิตนำเสนอเนื้อหาที่เกี่ยวกับการจัดการในส่วนของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยแบ่งออกเป็น 5 ส่วนหลัก ซึ่งมีเนื้อหาที่ครอบคลุมในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศทั้งหมด ดังข้อมูลด้านล่างนี้
    • การจัดวางกลยุทธ์ (IT strategic alignment) มีเนื้อหาในการเน้นที่เรื่องของการเชื่อมโยงให้เกิดความสอดคล้องกันระหว่างแผนทางธุรกิจกับแผนทางเทคโนโลยีสารสนเทศ โดยจะครอบคลุมไปถึงการกำหนดและการวางแผน การดูแลรักษา และการตรวจสอบความถูกต้องของเทคโนโลยีสารสนเทศ และรวมไปถึงการทำให้กระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ดำเนินไปในทิศทางเดี่ยวกับกระบานการปฏิบัติงานขององค์กร
    • การนำเสนอคุณค่า (Value delivery) มีเนื้อหาในการเน้นที่เรื่องของการนำเสนอคุณค่าตลอดจนวงจรของการนำส่ง หลักการพื้นฐานของการสร้างคุณค่าด้านเทคโนโลยีสารสนเทศคือ การส่งมอบให้ตรงเวลา อยู่ในงบประมาณที่กำหนด ผลประโยชน์ที่ได้รับจะต้องสามารถระบุได้และเป็นไปตามที่ได้กำหนดไว้ เพื่อทำให้มั่นใจได้ว่าเทคโนโลยีสารสนเทศสามารถสร้างประโยชน์ได้ตามที่กำหนดไว้ในกลยุทธ์ขององค์กร
    • การจัดการกับทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resources management) มีเนื้อหาในการเน้นที่เรื่องของการบริหารจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ ซึ่งครอบคลุมในส่วนของการลงทุนอย่างไรเพื่อให้ได้รับผลตอบแทนสูงสุด และเรื่องการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร (ได้แก่ ระบบงานประยุกต์ สารสนเทศ โครงสร้างพื้นฐาน และบุคลากร) อย่างเหมาะสม ซึ่งประเด็นของเรื่องนี้จะอยู่ที่การนำความรู้และโครงสร้างพื้นฐานที่องค์กรมีอยู่มาใช้ประโยชน์ให้ได้มากที่สุด
    • การจัดการความเสี่ยง (Risk management) มีเนื้อหาในการเน้นที่เรื่องของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อให้เกิดความเข้าใจที่ชัดเจนในเรื่องของความเสี่ยงต่างๆ ที่เกี่ยวข้องกับการดำเนินงานขององค์กร และสามารถตระหนักถึงความเสี่ยงที่มีความสำคัญต่อองค์กร เพื่อเป็นการปลูกฝังในเรื่องของหน้าที่ความรับผิดชอบของผู้ที่มีส่วนเกี่ยวข้องต่างๆ ในองค์กร
    • การวัดประสิทธิภาพ (Performance measurement) มีเนื้อหาในการเน้นที่เรื่องของกลยุทธ์และวิธีที่ใช้ในการตรวจสอบและติดตามในด้านของ การทำให้เป็นผล (implementation) ความครบถ้วนสมบูรณ์ของโครงการ (project completion) การใช้งานทรัพยากร (resource usage) ประสิทธิภาพของกระบวนการ (process performance) และ การส่งมอบการให้บริการ (service delivery) ซึ่งการวัดประสิทธิภาพถือเป็นส่วนที่มีความสำคัญมากที่สุดในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ เพราะจะทำให้องค์กรทราบได้ว่าหลักการที่องค์กรได้นำมาใช้นั้นประสบผลสำเร็จมากน้อยแค่ไหน และควรที่จะปรับปรุงไปในทิศทางไหน
    Image02
    ภาพที่ 2 IT Governance Focus Areas
  • 1.4 สิ่งที่องค์กรได้จากการโคบิต        กรอบงานโคบิตสามารถตอบสนองสิ่งที่จำเป็นต่างๆ เหล่านี้ให้กับองค์กรได้
    • ทำให้เกิดการเชื่อมโยงกันระหว่างเป้าหมายทางธุรกิจ (Business Goals) กับเป้าหมายทางเทคโนโลยีสารสนเทศ (IT Goals) ซึ่งเป้าหมายทางด้านเทคโนโลยีสารสนเทศจะต้องเป็นทำหน้าที่ในการสนับสนุนให้เป้าหมายทางธุรกิจประสบความสำเร็จได้อย่างมีประสิทธิภาพ
    • มีการจัดโครงสร้างของกิจกรรมด้านเทคโนโลยีสารสนเทศ เพื่อให้กิจกรรมเหล่านั้นมีความเป็นมาตรฐานซึ่งเป็นที่ยอมรับกันโดยทั่วไป
    • ช่วยในการระบุให้องค์กรทราบถึงทรัพยากรทางด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร เพื่อให้สามารถเตรียมมาตรการที่ใช้ในการดูแลรักษาทรัพยากรเหล่านั้นได้อย่างเหมาะสม
    • มีการกำหนดวัตถุประสงค์การควบคุมในการบริหารจัดการต่างๆ ภายในองค์กรเพื่อให้ผู้ที่เกี่ยวข้องทุกคนมีความเข้าใจในวัตถุประสงค์ของงานต่าง ๆ ที่ตรงกัน
    • มีการจัดเตรียมเครื่องมือต่างๆ ที่ใช้ในการบริหารจัดการองค์กร ได้แก่
      • จัดเตรียมตัววัด (Metrics) เพื่อใช้ในการวัดประสิทธิภาพของเทคโนโลยีสารสนเทศที่องค์กรนำมาใช้
      • มีระดับการควบคุมต้นแบบ (Maturity Models) เพื่อใช้ในการวัดและจัดระดับความสามารถของกระบวนการทางด้านเทคโนโลยีสารสนเทศ
      • มีการใช้ RACI chart (Responsible, Accountable, Consulted, and Informed) เพื่อใช้ในการระบุบทบาทและหน้าที่ของผู้ที่เกี่ยวข้องให้ชัดเจน
  • 1.5 ประโยชน์ของการนำโคบิตมาใช้        การนำโคบิตมาประยุกต์ใช้ในองค์กรสามารถสร้างประโยชน์หลายประการให้แก่องค์กร ดังตัวอย่างด้านล่างนี้ :
    • ทำให้ธุรกิจและเทคโนโลยีสารสนเทศดำเนินไปในทิศทางเดียวกัน โดยให้ภาคธุรกิจเป็นเป้าหมายหลักในการดำเนินนโยบาย
    • เกิดการแบ่งปันในส่วนของความรู้และความเข้าใจให้กับผู้ที่มีส่วนเกี่ยวข้องทุกคน โดยเป็นการใช้ภาษาเดียวกันทำให้เกิดความเข้าใจที่ตรงกัน
    • ทำให้เกิดความเข้าใจมุมมองหรือภาพรวมในเรื่องของการนำเทคโนโลยีสารสนเทศเข้ามาใช้ในการจัดการด้านธุรกิจขององค์กรอย่างไร
    • ทำให้เกิดความกระจ่างในเรื่องของบทบาท หน้าที่ความรับผิดชอบ และความเป็นเจ้าของ ในการปฏิบัติงานของพนักงานในองค์กร
    • เพื่อให้เกิดความไว้วางใจและการยอมรับกันอย่างแพร่หลายจากองค์กรหรือบริษัทภายนอกที่เกี่ยวข้องและผู้วางกฎระเบียบ (regulator) ต่างๆ
  • 1.6 กลุ่มผลิตภัณฑ์ของโคบิต        นอกจากโคบิตจะมีกรอบวิธีปฏิบัติในด้านของการบริหารจัดการเทคโนโลยีสารสนเทศแล้ว โคบิตยังมีเนื้อหาอีกหลายส่วนที่สามารถนำมาปรับใช้ในองค์กรเพื่อช่วยให้องค์กรมีการบริหารจัดการด้านสารสนเทศที่ดี ซึ่งเนื้อหาในแต่ละส่วนโคบิตได้จัดทำให้เหมาะสมกับผู้ใช้งานที่แตกต่างกัน เช่น ผู้บริหารระดับสูง ผู้บริหารด้านธุรกิจ ผู้บริหารจัดการด้าน IT ผู้ตรวจสอบ IT และรวมไปถึงผู้ปฏิบัติงานต่างๆ ด้วย โดยกลุ่มผลิตภัณฑ์ของโคบิตแบ่งได้ดังนี้
    • Board Briefing on IT Governance 2rd edition ซึ่งถูกสร้างขึ้นมาเพื่อช่วยให้ผู้บริหารระดับสูงเข้าใจถึงความสำคัญของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ ทำไมจึงต้องนำมาใช้ภายในองค์กร อะไรคือประเด็นที่สำคัญ และพวกเขาจะต้องมีหน้าที่รับผิดชอบอะไรบ้างในการที่จะบริหารจัดการสิ่งเหล่านั้น
    • Executive Summary  ประกอบด้วยมุมมองในภาพรวมของการบริหารจัดการ (Executive Overview) โดยมีเนื้อหาในการกระตุ้นและสร้างให้เกิดความเข้าใจในแนวคิดและหลักการหลักๆ ที่สำคัญของโคบิต และรวมถึงเนื้อหาที่เป็นการสรุปในส่วนของ framework เพื่อให้ผู้บริหารสามารถเข้าใจในรายละเอียดของ framework ได้อย่างถูกต้อง
    • Management Guideline  เป็นเครื่องมือสำหรับผู้บริหารด้านธุรกิจและผู้บริหารด้าน IT ซึ่งมีการจัดเตรียมเนื้อหาในส่วนของหลักหรือวิธีที่ใช้ในการบริหารจัดการด้าน IT รวมถึงคำแนะนำในการนำ framework ของโคบิตมาปรับใช้ในการบริหารจัดการ และ guideline นี้ยังมีการจัดเตรียมเครื่องมือที่ใช้ในการวัดประสิทธิภาพของการบริหารจัดการองค์กรในหลายๆ ด้าน เช่น
      • Maturity Model เป็นเครื่องมือหลักที่ช่วยในการวัดและจัดระดับความสามารถของกระบวนการด้าน IT
      • Critical Success Factors เป็นเครื่องมือที่ช่วยในการระบุให้ทราบว่ามีการกระทำที่สำคัญอะไรบ้างที่จะทำให้การควบคุมที่นำมาใช้ประสบความสำเร็จ
      • Key Goal Indicators เป็นเครื่องมือที่ช่วยในการกำหนดระดับของเป้าหมายด้านประสิทธิภาพของ IT ที่ใช้ในปัจจุบัน
      • Key Performance Indicators เป็นเครื่องมือที่ช่วยในการวัดให้ทราบว่าการนำกระบวนการในการควบคุมด้าน IT เข้ามาใช้นั้นตรงตามกับวัตถุประสงค์หรือไม่
    • Control Objectives  เป็นเครื่องมือที่ช่วยให้ผู้ใช้สามารถเข้าใจในรายละเอียดที่จำเป็นของการควบคุมแต่ละตัว เพื่อให้เข้าใจถึงเป้าหมาย วัตถุประสงค์ และนโยบายของการควบคุมนั้นๆ พร้อมทั้งยังมีการบอกถึงความต้องการขั้นต่ำของการนำการควบคุมแต่ละตัวเข้ามาใช้เพื่อให้การควบคุมนั้นมีประสิทธิภาพ ทำให้ผู้ใช้สามารถนำไปปฏิบัติได้สำเร็จตามเป้าหมายที่ต้องการ ซึ่งจะแบ่งเป็น 2 ส่วนคือ
      • High-Level Control Objectives โดยจะเป็นการพูดถึงภาพรวมของการควบคุม ซึ่งมีทั้งหมด 34 หัวข้อการควบคุมหลัก
      • Detailed Control Objectives จะเป็นการพูดถึงรายละเอียดของหัวข้อการควบคุมหลักแต่ละตัว ซึ่งมีทั้งหมด 318 หัวข้อการควบคุมย่อย
    • Control Practices  เป็นเครื่องมือที่มีเนื้อหาในการให้คำแนะนำในการนำ control ต่างๆ ไปใช้อย่างเป็นขั้นตอน โดยจะบอกให้ทราบว่าทำไมการควบคุมจึงเป็นสิ่งที่จำเป็น และอะไรคือแนวทางปฏิบัติที่ดีที่สุดที่มีความสำคัญและจำเป็นต่อการที่จะประสบความสำเร็จตามวัตถุประสงค์ของการควบคุมนั้นๆ จุดประสงค์ของ control practices คือ ช่วยให้สามารถแน่ใจได้ว่ากระบวนการควบคุมที่นำมาใช้ได้รับการกำหนดแนวทางที่ถูกต้อง เพื่อให้ผู้ปฏิบัติสามารถนำไปปรับใช้ได้อย่างถูกต้องและมีประสิทธิภาพ
    • IT Control Objectives for Sarbanes-Oxley  เป็นเครื่องมือที่มีเนื้อหาในการให้คำแนะนำและแนวทางในการปฏิบัติ เพื่อให้สามารถแน่ใจได้ว่าองค์กรนำการควบคุมต่างๆ เข้ามาใช้อย่างถูกต้องตามความต้องการของมาตรฐาน Sarbanes-Oxley (เป็นการนำ control ของโคบิตมาปรับใช้เพื่อให้สอดคล้องและเป็นไปตามมาตรฐานของ Sarbanes-Oxley)
    • IT Governance Implementation Guide  เป็นเครื่องมือที่มีเนื้อหาในการอธิบายแนวทางและภาพรวมในการนำเครื่องมือต่างๆ ของโคบิตมาปรับใช้ เพื่อให้องค์กรก้าวเข้าสู่องค์กรที่มีหลักธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี
    • CoBIT Quickstart  เป็นเครื่องมีที่มีเนื้อหาในการจัดเตรียมความรู้และรายละเอียดพื้นฐานของการนำโคบิตมาปรับใช้กับองค์กรขนาดเล็ก รวมถึงรายละเอียดในการเตรียมการขั้นเริ่มต้นของการนำโคบิตไปใช้จริง
    • CoBIT Security Baseline  เป็นส่วนของเนื้อหารที่เน้นในเรื่องของขั้นตอนที่สำคัญในการนำมาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศมาปรับใช้ภายในองค์กร เพื่อให้แน่ใจได้ว่าสารสนเทศที่องค์กรนำมาใช้จะได้รับการป้องกันอย่างมีประสิทธิภาพและเกิดความปลอดภัยสูงสุด
    Image03
    รูปที่ 3 กลุ่มผลิตภัณฑ์ของโคบิต
  • โครงสร้างของโคบิต (CoBIT Structure)        การนำระบบเทคโนโลยีสารสนเทศเข้ามาใช้เพื่อสนับสนุนการทำงานและกลยุทธ์ต่างๆ ขององค์กร จะสามารถประสบความสำเร็จได้นั้น องค์กรจะต้องมีการกำหนดหน้าที่ความรับผิดชอบต่างๆ ให้ชัดเจน และพนักงานทุกคนจะต้องเข้าใจว่าอะไรคือสิ่งที่ได้จากการนำเทคโนโลยีสารสนเทศเข้ามาใช้ และจะใช้สิ่งต่างๆ เหล่านั้นให้เกิดประโยชน์ได้อย่างไร ซึ่งโคบิตได้จัดเตรียมเนื้อหาที่ครอบคลุมในเรื่องของการบริหารจัดการเทคโนโลยีสารสนเทศที่นำมาใช้ในองค์กร โดยจะแบ่งออกเป็น 4 โดเมนหลักๆ ซึ่งมีรายละเอียดดังนี้
             การวางแผนและการจัดองค์กร (Plan and Organize : PO)
             เนื้อหาในโดเมนนี้ครอบคลุมในเรื่องของกลยุทธ์และวิธีการที่นำมาใช้ในองค์กร โดยจะเน้นในเรื่องของการกำหนดวิธีที่จะทำให้เทคโนโลยีสารสนเทศมีบทบาทสำคัญ เพื่อให้สารสนเทศนั้นสามารถตอบสนองความต้องการทางด้านธุรกิจขององค์กรได้ ซึ่งการกำหนดกลยุทธ์ที่สามารถนำมาใช้ได้จริงนั้นจำเป็นที่จะต้องมีการวางแผน มีการบริหารจัดการที่ดี และต้องมีการสื่อสารให้พนักงานทั้งองค์กรรับทราบร่วมกัน และท้ายสุดองค์กรจำเป็นต้องมีการจัดวางโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่เหมาะสม จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้

    • ทำให้ผู้บริหารทราบว่ากลยุทธ์ทางด้าน IT และกลยุทธ์ทางด้านธุรกิจเป็นไปในทิศทางเดียวกันหรือไม่
    • ประสิทธิภาพและคุณภาพของระบบ IT ที่องค์กรนำมาใช้ มีความเหมาะสมกับความต้องการทางด้านธุรกิจหรือไม่
    • เพื่อให้ผู้บริหารสามารถทราบได้ว่าองค์กรกำลังประสบความสำเร็จด้วยการใช้ทรัพยากรต่างๆ อย่างเต็มที่หรือไม่
    • เพื่อให้ทราบได้ว่าพนักงานในองค์กรมีความเข้าใจในวัตถุประสงค์ขององค์กรหรือไม่
    • เพื่อให้ทราบว่าผู้ปฏิบัติงานมีความรู้ความเข้าใจในความเสี่ยงทางด้าน IT ที่เกี่ยวข้องกับการปฏิบัติงานของตนหรือไม่ และจะมีวิธีการบริหารจัดการกับความเสี่ยงดังกล่าวได้อย่างไร

             การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
    เนื้อหาในโดเมนนี้จะเน้นที่เรื่องของการทำให้กลยุทธ์ที่ได้กำหนดไว้ประสบผลสำเร็จ ซึ่งการดำเนินงานตามกลยุทธ์ที่ได้วางไว้นั้น จะต้องมีการระบุ พัฒนาหรือจัดซื้อจัดหา นำไปติดตั้งใช้งาน รวมถึงการผนวกรวมเทคโนโลยีสารสนเทศเข้าเป็นส่วนหนึ่งของกระบวนการทางธุรกิจ และในโดเมนนี้ยังรวมถึงการเปลี่ยนแปลงและการดูแลรักษาระบบงานที่องค์กรมีอยู่ เพื่อให้สามารถมั่นใจได้ว่าเทคโนโลยีสารสนเทศยังคงสามารถสนับสนุนการทำงานและวัตถุประสงค์ของธุรกิจได้อยู่ตลอดเวลา จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
    • โครงการด้านเทคโนโลยีสารสนเทศใหม่ที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้เพื่อแก้ไขปัญหาหรือสร้างประโยชน์ให้กับธุรกิจได้หรือไม่
    • โครงการที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้งานได้ทันตามระยะเวลาและงบประมาณที่กำหนดไว้หรือไม่
    • ระบบใหม่ที่นำมาใช้งานนั้น สามารถทำงานได้อย่างมีประสิทธิภาพ ตรงตามความต้องการของธุรกิจหรือไม่
    • การเปลี่ยนแปลงที่เกิดขึ้นทำให้เกิดผลเสียต่อการปฏิบัติงานของธุรกิจในปัจจุบันหรือไม่
             การส่งมอบและการสนับสนุน (Delivery and Support : DS)
    เนื้อหาในโดเมนนี้จะเน้นในเรื่องของการส่งมอบบริการด้านเทคโนโลยีสารสนเทศเมื่อมีความต้องการจากภาคธุรกิจ ซึ่งรวมตั้งแต่การส่งมอบบริการ การดำเนินงานด้านการรักษาความปลอดภัยและความต่อเนื่องของการให้บริการ การบริหารจัดการสารสนเทศและอุปกรณ์อำนวยความสะดวกต่างๆ ที่ใช้ในการปฏิบัติงาน ไปจนถึงการฝึกอบรมพนักงานเพื่อให้มีความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับงานที่ตนเองปฏิบัติ จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้

    • การให้บริการด้านเทคโนโลยีสารสนเทศสามารถสนับสนุนกรปฏิบัติงานด้านธุรกิจได้อย่างสอดคล้องกับเป้าหมายและวัตถุประสงค์ของธุรกิจหรือไม่
    • ต้นทุนด้านเทคโนโลยีสารสนเทศที่ใช้ไปคุ้มค่าแล้วหรือไม่
    • การปฏิบัติงานต่างๆ ขององค์กรสามารถที่จะใช้งานระบบสารสนเทศได้อย่างมีประสิทธิภาพและเกิดความปลอดภัยหรือไม่
    • ระบบเทคโนโลยีสารสนเทศที่ใช้อยู่ในปัจจุบันมีการรักษาความลับ (Confidentiality) ความถูกต้องตรงกัน (Integrity) และความพร้อมใช้งาน (Availability) เพียงพอแล้วหรือไม่
             การติดตามและประเมินผล (Monitor and Evaluate)
    เนื้อหาในโดเมนนี้จะเน้นในเรื่องของการตรวจสอบติดตามและประเมินผลของระบบเทคโนโลยีสารสนเทศ โดยกระบวนการด้านเทคโนโลยีสารสนเทศทั้งหมดจะต้องได้รับการประเมินอยู่เสมอ เพื่อรับประกันได้ถึงคุณภาพและการปฏิบัติตามขอบังคับของการควบคุม ในโดเมนนี้จะเป็นการระบุถึงการบริหารจัดการในด้านของประสิทธิภาพของระบบสารสนเทศ ซึ่งจะต้องได้รับการประเมินจากผู้ตรวจสอบทั้งภายในและภายนอกองค์กร จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
    • มีการประเมินหรือวัดประสิทธิภาพของระบบเทคโนโลยีสารสนเทศ เพื่อตรวจหาปัญหาก่อนที่ปัญหานั้นจะเกิดขึ้นจริงหรือไม่
    • ผู้บริหารจะสามารถมั่นใจได้อย่างไรว่าการควบคุมต่างๆ ที่องค์กรนำมาใช้นั้นมีประสิทธิภาพและประสิทธิผลจริง
    • ประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่มีอยู่นั้นสามารถสนับสนุนเป้าหมายทางด้านธุรกิจหรือไม่
    • มีการวัดผลและรายงานในเรื่องของความเสี่ยง การควบคุม การปฏิบัติตามกฎ และประสิทธิภาพ ไปยังผู้บริหารระดับสูงขององค์กรหรือไม่

โครงสร้างของโคบิต (CoBIT Structure)

         จากที่ได้อธิบายให้ทราบแล้วว่าเนื้อหาหลักของโคบิตแบ่งออกเป็นโดเมนหลัก 4 โดเมน เพื่อให้มีรายละเอียดครอบคลุมในเรื่องของการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่ดี และในแต่ละโดเมนก็ยังแบ่งเนื้อหาย่อยออกเป็นหลายๆ หัวข้อการควบคุมหลัก (Control Objectives) ซึ่งมีการเน้นรายละเอียดที่ต้องการที่แตกต่างกันไปตามแต่ละหัวข้อ ดังนั้นเพื่อให้ผู้อ่านสามารถเข้าใจเนื้อหา รายละเอียด ขอบเขต และวัตถุประสงค์ของแต่ละหัวข้อการควบคุมหลักมากยิ่งขึ้นจึงอยากจะขออธิบายรายละเอียดของแต่ละหัวข้อการควบคุมหลัก ว่าแต่ละหัวข้อต้องการที่จะเน้นในเรื่องใด สามารถนำไปปฏิบัติให้เกิดผลได้อย่างไร และให้ประโยชน์อะไรในการที่นำไปปฏิบัติ เป็นต้น เมื่อผู้อ่านเข้าใจในรายละเอียดของหัวข้อการควบคุมหลักแล้วจะทำให้สามารถมองภาพรวมของเนื้อหาในแต่ละโดเมนได้ดียิ่งขึ้น ซึ่งรายละเอียดในแต่ละหัวข้อการควบคุมหลักมีดังนี้
โดเมนการวางแผนและการจัดองค์กร (PO)
  1. PO1 : Define a Strategic IT Plan         หัวข้อการควบคุมนี้เป็นการเน้นที่เรื่องของการกำหนดแผนกลยุทธ์ด้านเทคโนโลยีสารสนเทศ โดยโคบิตได้กล่าวไว้ว่าการวางแผนกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศ (IT Strategic Plan) ถูกจัดทำขึ้นเพื่อใช้ในการบริหารจัดการและใช้กำหนดทิศทางของทรัพยากรต่างๆ ที่มีอยู่ให้ดำเนินไปในทิศทางเดียวกับกลยุทธ์และความสำคัญของธุรกิจ แผนก IT และผู้ถือหุ้นทางธุรกิจมีหน้าที่ในการสร้างความมั่นใจว่าองค์กรจะได้รับผลตอบแทนที่ดีที่สุดจากโครงการและการให้บริการต่างๆ ที่องค์กรมีอยู่ ซึ่งในแผนธุรกิจควรที่จะมีการปรับปรุงเรื่องความเข้าใจหลักของผู้ถือหุ้นในส่วนของโอกาสที่ดี (Opportunities) และข้อจำกัด (Limitations) ทางด้านเทคโนโลยีสารสนเทศ เรื่องการประเมินประสิทธิภาพในปัจจุบัน และให้ความกระจ่างในเรื่องระดับของการลงทุนที่ต้องการ ซึ่งแผนกลยุทธ์ทางด้าน IT นี้จะต้องได้รับการยอมรับและมีความเข้าใจทั้งภาคธุรกิจและภาคของ IT
  2. PO2 : Define the Information Architecture         หัวข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดสถาปัตยกรรมด้านเทคโนโลยีสารสนเทศขององค์กร โดยโคบิตได้เน้นว่า function การทำงานของระบบ IT ควรที่จะถูกสร้างและทำให้ทันสมัยอยู่เสมอ เพื่อปรับเปลี่ยนให้เหมาะสมตามโครงสร้างของธุรกิจ รวมถึงการพัฒนาพจนานุกรมข้อมูล (Data Dictionary) ด้วยรูปแบบและกฎเกณฑ์ (syntax rules) ขององค์กรเอง มีการจัดทำรูปแบบการจัดกลุ่มข้อมูล (data classification scheme) และการจัดระดับความปลอดภัยของข้อมูล เพื่อให้แน่ใจได้ว่าความน่าเชื่อถือและความปลอดภัยของข้อมูลได้ถูกจัดเตรียมไว้แล้ว ซึ่งวัตถุประสงค์ของกระบวนการนี้ต้องการที่จะเพิ่มความสามารถในการตรวจสอบติดตาม (Accountability) ในเรื่องของความถูกต้องและความปลอดภัยของข้อมูล และช่วยในการเพิ่มประสิทธิภาพของการควบคุมในด้านของการ share ข้อมูลสารสนเทศข้ามระบบงาน โดยการจัดระดับการเข้าถึงข้อมูลสารสนเทศเพื่อป้องกันไม่ให้ผู้ที่ไม่มีสิทธิเข้าถึงสารสนเทศโดยไม่ได้รับอนุญาต
  3. PO3 : Determine Technological Direction         หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการกำหนดทิศทางในการใช้เทคโนโลยีสารสนเทศ เพื่อให้สามารถสนับสนุนการทำงานของภาคธุรกิจได้อย่างมีประสิทธิภาพ ซึ่งต้องการการสร้างแผนโครงสร้างพื้นฐานด้านเทคโนโลยี (Technology Infrastructure Plan) และควรที่จะปรับปรุงให้แผนทันสมัยอยู่เสมอ โดยแผนดังกล่าวควรประกอบไปด้วยเรื่องสถาปัตยกรรมระบบ (System Architecture) ทิศทางของเทคโนโลยี (Technology Direction) แผนการจัดหาระบบ (Acquisition Plan) และมาตรฐานต่างๆ ซึ่งกระบวนการต่างๆ เหล่านี้จะช่วยให้องค์กรสามารถตอบรับเปลี่ยนแปลงได้อย่างรวดเร็ว เพื่อให้ทันกับสภาพแวดล้อมของธุรกิจที่มีการแข่งขันกันสูง
  4. PO4 : Define the IT Processes, Organization and Relationships        หัวข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดกระบวนการด้าน IT การจัดวางผังองค์กร และการจัดการความสัมพันธ์ภายในองค์กร โดยในโครงสร้างด้าน IT ควรที่จะมีการกำหนดความต้องการในด้านต่างๆ เช่น ความเชี่ยวชาญของบุคลากร หน้าที่การทำงานของระบบ ความสามารถในการตรวจสอบติดตาม การกำหนดสิทธิ์ เรื่องของบทบาท หน้าที่ความรับผิดชอบ และการควบคุมต่างๆ โดยผู้มีส่วนร่วมทั้งด้านของธุรกิจและด้านของ IT ควรที่จะต้องกำหนดระดับความสำคัญของทรัพยากรด้าน IT และควรมีการกำหนดนโยบายและขั้นตอนการปฏิบัติงานในทุกๆ function โดยเฉพาะเรื่องการควบคุม การรับประกันคุณภาพ (quality assurance) การจัดการความเสี่ยง (risk management) การรักษาความปลอดภัยของสารสนเทศ (information security) การกำหนดความเป็นเจ้าของในระบบและข้อมูลต่างๆ (data and system ownership) รวมถึงเรื่องของการแบ่งแยกหน้าที่ความรับผิดชอบ (segregation of duties) เพื่อให้แน่ใจได้ว่าระบบ IT สามารถสนับสนุนภาคธุรกิจได้อย่างมีประสิทธิภาพ
  5. PO5 : Manage the IT Investment        หัวข้อการควบคุมนี้จะเน้นที่เรื่องของการบริหารจัดการในการลงทุนด้าน IT เพื่อให้มีความสอดคล้องกับแนวนโยบาย เป้าหมาย และวัตถุประสงค์ขององค์กร ตลอดจนข้อกำหนดทางธุรกิจต่างๆ ที่เกี่ยวข้อง มีการสร้างกระบวนการที่ใช้ในการพิจารณาการลงทุนด้าน IT อย่ารอบคอบ มีการควบคุมค่าใช้จ่ายอย่างรัดกุม สามารถตรวจสอบได้ และการลงทุนต้องให้ผลตอบแทนที่เหมาะสมมากที่สุด
  6. PO6 : Communicate Management Aims and Direction         หัวข้อการควบคุมนี้เน้นที่เรื่องของการสื่อสารให้ทุกคนในองค์กรทราบถึงจุดมุ่งหมายและทิศทางในการบริหาร ซึ่งผู้บริหารระดับสูงควรที่จะมีการสร้างกรอบงานและนโยบายที่ใช้ในการสื่อสาร เพื่อสื่อสารให้พนักงานทุกคนทราบถึงภารกิจ วัตถุประสงค์ในการให้บริการ นโยบาย และขั้นตอนการปฏิบัติงานต่างๆ เพื่อให้สามารถแน่ใจได้ว่าพนักงานทุกคนมีความเข้าใจถึงสิ่งที่ได้กล่าวมาเพื่อเป็นการกระตุ้นให้พนักงานตระหนักถึงเรื่องของความเสี่ยงทั้งด้านธุรกิจและด้าน IT ได้ดียิ่งขึ้น ซึ่งกระบวนการนี้จำเป็นที่จะต้องได้รับการสนับสนุนและอนุมัติจากผู้บริหารระดับสูงขององค์กร
  7. PO7 : Manage IT Human Resources         หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการบริหารจัดการทรัพยากรมนุษย์ที่เกี่ยวข้องกับด้านของเทคโนโลยีสารสนเทศ ซึ่งโคบิตได้บอกไว้ว่าการได้มา การดูแลรักษา และการกระตุ้นให้เกิดการทำงานที่มีประสิทธิภาพ เพื่อให้การบริการด้าน IT สามารถสนับสนุนภาคธุรกิจได้ สิ่งนี้จะสามารถสำเร็จได้ด้วยการกำหนดแนวทางในการปฏิบัติที่ชัดเจนในเรื่องของการสรรค์หาบุคลากรใหม่ คุณสมบัติของบุคลากร การฝึกอบรม การประเมินผลงาน การโยกย้ายเลื่อนตำแหน่ง และการปลดพนักงานออก เป็นต้น ซึ่งกระบวนการเหล่านี้เป็นกระบวนการที่มีความสำคัญอย่างยิ่ง เนื่องจากโคบิตถือว่าบุคลากรเป็นทรัพยากรที่มีความสำคัญมากที่สุดในบรรดาทรัพยากรทั้งหมดในองค์กร
  8. PO8 : Manage Quality         หัวข้อการควบคุมนี้เป็นการเน้นที่เรื่องของการจัดการคุณภาพ ซึ่งระบบที่ใช้ในการจัดการคุณภาพควรที่จะมีการวางแผน พัฒนา ติดตั้ง และดูแลรักษา ด้วยการจัดเตรียมข้อมูลที่มีความชัดเจนในด้านนโยบาย ขั้นตอนการปฏิบัติงาน และความต้องการด้านคุณภาพ ซึ่งการพัฒนาอย่างต่อเนื่องสามารถบรรลุผลได้ด้วยการวิเคราะห์ และตรวจสอบติดตามอยู่ตลอดเวลา รวมถึงการรายงานผลที่ได้ไปยังผู้ที่มีส่วนเกี่ยวข้อง ซึ่งกระบวนการในการจัดการคุณภาพนี้ถือเป็นกระบวนการสำคัญที่ทำให้แน่ใจได้ว่า IT สามารถสนับสนุนธุรกิจได้ และสามารถที่จะพัฒนาต่อไปได้เพื่อเป็นการเพิ่มประสิทธิภาพของระบบ IT
  9. PO9 : Assess and Manage IT Risk         หัวข้อการควบคุมนี้เน้นที่เรื่องของการประเมินและการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ โดยมีการสร้างและดูแลรักษากรอบการปฏิบัติ (framework) ด้านการจัดการความเสี่ยง ซึงเป็นแหล่งที่รวบรวมเอกสารต่างๆ ที่เกี่ยวกับเรื่องของความเสี่ยงด้านเทคโนโลยีสารสเทศ เช่นการจัดระดับของความเสี่ยงด้าน IT กลยุทธ์ที่ใช้ในการลดความเสี่ยง และรายการของความเสี่ยงที่เหลืออยู่ (residual risk) ผลกระทบต่างๆ ต่อเป้าหมายขององค์กรที่เกิดขึ้นจากการเหตุการณ์ที่ไม่ได้วางแผนไว้จะต้องถูกระบุ วิเคราะห์ และประเมินให้หมด ซึ่งกลยุทธ์ที่ใช้ในการลดความเสี่ยงจะต้องถูกนำมาใช้เพื่อลดความเสี่ยงที่เหลืออยู่ ให้อยู่ในระดับที่องค์กรสามารถยอมรับได้ (accepted level)
  10. PO10 : Manage Projects         หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ ซึ่งควรทำการสร้าง framework ที่ใช้ในการบริหารจัดการโครงการ โดย framework นี้จะครอบคลุมในส่วนของแผนแม่บท (Master Plan) การกำหนดทรัพยากรที่จำเป็น การระบุสิ่งที่ต้องส่งมอบ การประกันคุณภาพ การสร้างแผนการทดสอบที่เป็นทางการ รวมไปถึงการทดสอบและพิจารณาหลังนำระบบออกใช้งานจริง เพื่อให้มั่นใจได้ว่ามีการบริหารจัดการความเสี่ยงของโครงการที่มีประสิทธิภาพ ซึ่งกระบวนการต่างๆ เหล่านี้จะช่วยลดความเสี่ยงที่ไม่สามารถคาดเดาได้ในด้านของต้นทุนและการล้มเลิกโครงการ และเพื่อให้แน่ใจได้ว่าผลลัพธ์ที่ได้จากโครงการจะมีคุณภาพและมีคุณค่าต่อองค์กร
โดเมนการจัดหาและนำระบบออกใช้งานจริง (AI)
  1. AI1 : Identify Automated Solutions         หัวข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดระบบงานที่จะนำมาใช้ในการแก้ไขปัญหา โดยโคบิตได้ระบุไว้ว่าจะต้องทำการวิเคราะห์ก่อนที่จะมีการจัดหาหรือสร้างระบบงานใหม่ เพื่อให้มั่นใจได้ว่าความต้องการทางธุรกิจได้รับการตอบสนองด้วยวิธีการที่มีประสิทธิภาพและประสิทธิผล ซึ่งกระบวนการนี้จะครอบคลุมตั้งแต่การกำหนดความต้องการ การพิจารณาทางเลือกของแหล่งที่มา (การเลือกผู้จัดจำหน่าย) การพิจารณาความเป็นไปได้ในด้านของเทคโนโลยีและด้านธุรกิจ ทำการวิเคราะห์ความเสี่ยง (Risk Analysis) ทำการวิเคราะห์ต้นทุนและผลประโยชน์ที่จะได้รับ (Cost-Benefit Analysis) และต้องมีการสรุปในท้ายที่สุดว่าระบบใหม่ที่องค์กรต้องการนั้นจะ “ซื้อ” หรือจะ “พัฒนาเอง” ซึ่งขั้นตอนต่างๆ เหล่านี้จะช่วยให้องค์กรสามารถลดต้นทุนในการจัดหาหรือการพัฒนาระบบงานใหม่ และเพื่อให้มั่นใจได้ว่าสิ่งต่างๆ เหล่านี้จะทำให้ธุรกิจประสบความสำเร็จตามเป้าหมายที่ได้กำหนดไว้
  2. AI2 : Acquire and Maintain Application Software         หัวข้อการควบคุมนี้เน้นที่เรื่องของการจัดหาและดูแลในส่วนของระบบงานประยุกต์ (Application) ที่องค์กรนำมาใช้ โดยโคบิตกล่าวไว้ว่าระบบงานประยุกต์ต่างๆ ที่นำมาใช้จะต้องเป็นไปตามความต้องการของภาคธุรกิจ ซึ่งกระบวนการนี้จะครอบคลุมตั้งแต่การออกแบบระบบงาน การรวมเรื่องของการควบคุมและการรักษาความปลอดภัยเข้าไปในระบบงานที่จะพัฒนา และการลงมือสร้างระบบและการตั้งค่า configuration ให้เป็นไปตามมาตรฐานความปลอดภัย สิ่งเหล่านี้ทำให้ธุรกิจขององค์กรได้รับการสนับสนุนจากระบบงานที่ถูกต้องเหมาะสม
  3. AI3 : Acquire and Maintain Technology Infrastructure         หัวข้อการควบคุมนี้จะเน้นที่เรื่องของการจัดหาและการดูแลรักษาโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ (Technology Infrastructure) ซึ่งองค์กรควรจัดให้มีกระบวนการที่ใช้ในการจัดหา ติดตั้ง และการพัฒนาระบบโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ โดยกระบวนการนี้ต้องการการวางแผนในการจัดหา การดูแลรักษา และการป้องกันในส่วนของโครงสร้างพื้นฐานเพื่อให้เป็นไปตามกลยุทธ์ด้านเทคโนโลยีที่องค์กรได้กำหนดไว้ ซึ่งกระบวนการเหล่านี้จะทำให้แน่ใจได้ว่าเทคโนโลยีสารสนเทศจะสามารถสนับสนุนระบบงานด้านธุรกิจได้อย่างต่อเนื่อง
  4. AI4 : Enable Operation and Use         หัวข้อการควบคุมนี้เน้นที่เรื่องของการเผยแพร่ความรู้ของระบบงานใหม่ให้กับพนักงานในองค์กรรับทราบ ซึ่งกระบวนการนี้รวมไปถึงการสร้างคู่มือในการปฏิบัติงานของทั้งผู้ใช้งานและเจ้าหน้าที่ด้าน IT และยังต้องมีการฝึกอบรม เพื่อให้มั่นใจได้ว่าผู้ใช้งานสามารถใช้งานระบบสารสนเทศและโครงสร้างพื้นฐานต่างๆ ได้อย่างถูกต้องและเหมาะสม
  5. AI5 : Procure IT Resources         หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการจัดหาทรัพยากรด้านเทคโนโลยีสารสนเทศ ซึ่งทรัพยากรด้านเทคโนโลยีสารสนเทศในความหมายของโคบิตรวมตั้งแต่บุคลากร hardware, software และ บริการต่างๆ โดยที่สิ่งต่างๆ เหล่านี้จำเป็นต้องมีกระบวนการที่ใช้ในการจัดหาอย่างมีประสิทธิภาพ ซึ่งกระบวนการนี้ต้องการการกำหนดและการบังคับใช้ขั้นตอนในการจัดหา (Procurement Procedures) มีการคัดเลือกผู้จัดจำหน่าย มีการจัดเตรียมสัญญาที่ใช้ในการจ้างพนักงาน ซึ่งกระบวนการเหล่านี้จะทำให้มั่นใจได้ว่าองค์กรจะมีทรัพยากรด้านเทคโนโลยีสารสนเทศที่ต้องการได้อย่างทันเวลาและมีการใช้ต้นทุนอย่างมีประสิทธิภาพ
  6. AI6 : Manage Changes         หัวข้อการควบคุมนี้จะเน้นที่เรื่องของการบริหารดูแลการเปลี่ยนแปลงต่างๆ โดยโคบิตกล่าวไว้ว่าการเปลี่ยนแปลงที่เกิดขึ้นทั้งหมดที่เกี่ยวข้องกับโครงสร้างพื้นฐานและระบบงานต่างๆที่อยู่ในสภาพแวดล้อมของระบบงานจริง (Production Environment) จำเป็นต้องมีการบริหารจัดการที่เป็นระบบเพื่อใช้ควบคุมการเปลี่ยนแปลงที่เกิดขึ้น ซึ่งการเปลี่ยนแปลงทั้งหลาย (รวมตั้งแต่ขั้นตอนและกระบวนการที่ใช้ในการปฏิบัติงาน และค่า parameter ต่างๆที่ใช้ในการให้บริการของระบบ) จำเป็นที่จะต้องถูกจัดเก็บ (Logged) เพื่อสามารถนำมาใช้ในการวิเคราะห์เมื่อเกิดปัญหาจากการเปลี่ยนแปลงได้ ซึ่งกระบวนการเหล่านี้จะทำให้มั่นใจได้ว่าสามารถลดความเสี่ยงจากผลกระทบที่ไม่ดีในด้านของความมั่นคง (Stability) และความถูกต้อง (Integrity) ในสภาพแวดล้อมของระบบงานจริง
  7. AI7 : Install and Accredit Solutions and Changes         หัวข้อการควบคุมนี้เน้นในเรื่องของกระบวนการที่ใช้ในการพัฒนาและติดตั้งระบบสารสนเทศใหม่ ซึ่งในกระบวนการนี้จำเป็นต้องมีการทดสอบที่เหมาะสมในสภาพแวดล้อมที่เตรียมไว้สำหรับการทดสอบโดยเฉพาะ ต้องมีการจัดทำคู่มือสำหรับการติตั้งระบบ มีการเตรียมแผนการติดตั้งระบบใหม่ (Release Planning) มีการเตรียมแผนในการผลักดันระบบที่พัฒนาออกใช้งานจริง และมีการสังเกตการณ์หลังจากที่ได้นำระบบออกใช้งานจริงแล้ว (Post-Implementation Review) เพื่อให้มั่นใจว่าการทำงานของระบบสารสนเทศจะเป็นไปตามที่ได้คาดหวังไว้
โดเมนการส่งมอบและการสนับสนุน (DS)
  1. DS1 : Define and Manage Service Levels         หัวข้อการควบคุมนี้เน้นที่เรื่องของการกำหนดและจัดการระดับของการให้บริการ (Service Level) ซึ่งจำเป็นต้องใช้การสื่อสารที่มีประสิทธิภาพระหว่างฝ่าย IT กับฝ่ายธุรกิจ หรือลูกค้าในการตกลงเพื่อให้เกิดความพึงพอใจกับทุกฝ่าย โดยควรมีการจัดทำเป็นเอกสารที่ระบุถึงข้อตกลงร่วมกันในด้านของระดับการให้บริการด้าน IT ที่ชัดเจน ซึ่งกระบวนการนี้จะทำให้การบริการด้าน IT สามารถตอบสนองไปในทิศทางที่ธุรกิจต้องการได้อย่างถูกต้องและมีประสิทธิภาพ
  2. DS2 : Manage Third-Party Services         หัวข้อการควบคุมนี้เน้นที่เรื่องของการดูแลและจัดการกับการให้บริการของผู้ให้บริการภายนอกที่องค์กรใช้บริการอยู่ การที่ผู้บริหารจะมั่นใจได้ว่าบริการที่ได้รับจากผู้ให้บริการภายนอกจะสามารถตอบสนองความต้องการของธุรกิจได้นั้น จำเป็นต้องมีกระบวนการในการบริหารจัดการผู้ให้บริการที่มีประสิทธิภาพ โดยกระบวนการนี้จะสมบูรณ์ได้นั้นจะต้องประกอบด้วยการกำหนดบทบาท หน้าที่ความรับผิดชอบ และความคาดหวังในข้อตกลงของผู้ให้บริการภายนอกอย่างชัดเจน รวมถึงการตรวจสอบติดตามในข้อตกลงดังกล่าวเพื่อให้ได้รับบริการที่มีประสิทธิภาพและเป็นไปตามข้อตกลงที่ได้กำหนดไว้ ซึ่งกระบวนการบริหารจัดการผู้ให้บริการภายนอกที่มีประสิทธิภาพจะช่วยลดความเสี่ยงด้านธุรกิจที่เกี่ยวข้องกับการไม่ปฏิบัติตามข้อตกลงของผู้ให้บริการภายนอกได้
  3. DS3 : Manage Performance and Capacity         หัวข้อการควบคุมนี้เน้นที่เรื่องของการบริหารจัดการในส่วนของประสิทธิภาพและความสามารถของระบบเทคโนโลยีสารสนเทศที่องค์กรนำมาใช้ ซึ่งการบริหารจัดการประสิทธิภาพและความสามารถของทรัพยากรด้านเทคโนโลยีสารสนเทศ ต้องการกระบวนการที่ใช้ในการในการตรวจสอบติดตามประสิทธิและความสามารถของทรัพยากรด้านเทคโนโลยีสารสนเทศเป็นช่วงเวลาที่แน่นอน ซึ่งกระบวนการนี้รวมไปถึงการพยากรณ์ความต้องการทรัพยากรในอนาคตโดยดูจาก workload ในปัจจุบัน โดยกระบวนการนี้เป็นการสร้างความมั่นใจว่าทรัพยากรด้านเทคโนโลยีสารสนเทศจะสามารถนำมาใช้เพื่อสนับสนุนความต้องการทางด้านธุรกิจได้อย่างต่อเนื่องตลอดเวลา
  4. DS4 : Ensure Continuous Service         หัวข้อการควบคุมนี้เน้นที่เรื่องของความต่อเนื่องในการให้บริการด้านเทคโนโลยีสารสนเทศ โดยโคบิตกล่าวไว้ว่าการจัดเตรียมการบริการด้านเทคโนโลยีสารสนเทศให้มีความต่อเนื่องอยู่เสมอ จำเป็นต้องมีการพัฒนา การดูแลรักษา และการทดสอบในส่วนของแผนความต่อเนื่องด้านเทคโนโลยีสารสนเทศ (IT Continuity Plan) การสำรองแหล่งข้อมูลที่ศูนย์สำรอง (Offsite Backup Storage) และกำหนดการฝึกอบรมตามแผนความต่อเนื่องอย่างเป็นช่วงเวลาที่แน่นอน (Periodic Continuity Plan Training) ซึ่งแผนความต่อเนื่องที่มีประสิทธิภาพจะช่วยลดโอกาสเกิดและผลกระทบของการหยุดชะงักในการให้บริการด้านเทคโนโลยีสารสนเทศที่มีความสำคัญในกระบวนการทางธุรกิจ
  5. DS5 : Ensure Systems Security         หัวข้อการควบคุมนี้ถือเป็นหัวข้อหนึ่งที่มีความสำคัญมากเนื่องในหัวข้อนี้จะเน้นที่เรื่องของการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศ โดยโคบิตได้บอกไว้ว่าในเรื่องของการดูแลรักษาความถูกต้องของสารสนเทศและการป้องกันทรัพย์สินด้านเทคโนโลยีสารสนเทศ จำเป็นต้องมีกระบวนการบริหารจัดการด้านความปลอดภัยที่ดี ซึ่งกระบวนการนี้ประกอบด้วยการสร้างและการดูแลรักษาบทบาทและหน้าที่ความรับผิดชอบในส่วนของความปลอดภัยด้านเทคโนโลยีสารสนเทศ การกำหนดนโยบาย มาตรฐาน และขั้นตอนการปฏิบัติงานด้านความปลอดภัยที่ดี รวมถึงมีการตรวจสอบติดตามด้านความปลอดภัย มีการทดสอบความถูกต้องเป็นประจำ และมีการแก้ไขจุดอ่อนด้านความปลอดภัยที่ตรวจพบด้วยกระบวนการที่มีความถูกต้อง ซึ่งการบริหารจัดการด้านความปลอดภัยที่มีประสิทธิภาพจะช่วยป้องกันทรัพย์สินทั้งหมดในองค์กรให้มีผลกระทบจากช่องโหว่และเหตุผิดปกติด้านความปลอดภัยน้อยที่สุด
  6. DS6 : Identify and Allocate Costs         หัวข้อการควบคุมนี้เน้นที่เรื่องของการระบุและจัดสรรต้นทุนด้านเทคโนโลยีสารสนเทศ การจัดสรรต้นทุนด้านเทคโนโลยีสารสนเทศที่มีความยุติธรรมและสมเหตุสมผลนั้น ต้องการตัววัดที่มีความถูกต้องแม่นยำและต้องได้รับความเห็นชอบจากผู้ใช้งานภาคธุรกิจด้วย ซึ่งกระบวนการจัดสรรที่เป็นธรรมนี้จะช่วยลดความเสี่ยงต่อความเสียหายที่เกิดจากการกำหนดนโยบายในการจัดสรรงบประมาณในการดำเนินงาน และยังช่วยลดความเสียหายที่เกิดจากการใช้ทรัพยากรที่ไม่เหมาะสมอีกด้วย
  7. DS7 : Educate and Train Users         หัวข้อการควบคุมนี้เน้นที่เรื่องของการให้ความรู้และการฝึกอบรมพนักงาน ซึ่งโคบิตระบุไว้ว่าการให้ความรู้และการฝึกอบรมในเรื่องที่เกี่ยวกับระบบสารสนเทศอย่างมีประสิทธิภาพกับพนักงานทั้งองค์กรจะเริ่มตั้งแต่การระบุการฝึกอบรมที่พนักงานแต่ละกลุ่มต้องการ การกำหนดและการดำเนินการในเรื่องของกลยุทธ์ที่ใช้ในการฝึกอบรม และต้องมีการวัดผลของการฝึกอบรมนั้นๆ ด้วย ซึ่งการโปรแกรมการฝึกอบรมที่มีประสิทธิภาพจะช่วยเพิ่มประสิทธิภาพในการใช้งานระบบสารสนเทศด้วยการลดข้อผิดพลาดที่เกิดจากตัวพนักงาน ช่วยเพิ่มผลผลิตให้กับองค์กร และช่วยให้เกิดการปฏิบัติตามการควบคุมต่างๆ ที่องค์กรนำมาใช้ได้ง่ายยิ่งขึ้น
  8. DS8 : Manage Service Desk and Incidents         หัวข้อการควบคุมนี้เน้นที่เรื่องของการบริหารจัดการด้านการให้บริการและเหตุการณ์ที่เกิดขึ้น ซึ่งโคบิตบอกไว้ว่าการตอบสนองในเรื่องของปัญหาหรือข้อสงสัยด้าน IT จากผู้ใช้งานที่มีประสิทธิภาพและอยู่ในเวลาที่เหมาะสม ต้องการการวางแผน และมีการใช้กระบวนการบริหารจัดการที่ดี โดยกระบวนการนี้เริ่มตั้งแต่การจัดตั้งหน่วยงานที่ทำหน้าที่ในการให้บริการ มีการกำหนดระดับขั้นในการจัดการเหตุการณ์ (Incident Escalation) มีการวิเคราะห์แนวโน้มและสาเหตุของปัญหา และมีการกำหนดแนวทางที่ใช้ในการแก้ไขปัญหาที่ชัดเจน ซึ่งกระบวนการเหล่านี้จะช่วยเพิ่มประสิทธิภาพในการแก้ไขปัญหาที่เกิดขึ้น ทำให้สามารถแก้ไขปัญหาได้อย่างรวดเร็วทันต่อความต้องการของธุรกิจ และต้องมีการจัดทำรายงานของปัญหาที่เกิดขึ้นให้ผู้บริหารทราบด้วย
  9. DS9 : Manage the Configuration         หัวข้อการควบคุมนี้จะเน้นที่เรื่องของการดูแลการ configuration ในส่วนของ hardware และ software ต่างๆ ซึ่งโคบิตได้กำหนดไว้ว่าการที่จะสามารถแน่ใจได้ว่า configuration ของ hardware และ software ที่ใช้ในองค์กรจะมีความถูกต้องตรงกัน จำเป็นต้องมีการสร้างและดูแลรักษาแหล่งที่ใช้ในการเก็บค่า configuration ต่างๆ ให้มีความถูกต้องและสมบูรณ์อยู่เสมอ ซึ่งกระบวนการของหัวข้อการควบคุมนี้รวมไปถึงการเก็บรวบรวมค่า configuration เริ่มต้น มีการสร้าง baseline ต่างๆ มีการตรวจสอบความถูกต้องของค่า configuration และจำเป็นที่จะต้องมีการปรับปรุงแหล่งที่เก็บค่า configuration ให้ทันสมัยอยู่เสมอ การบริหารจัดการค่า configuration ให้มีประสิทธิภาพจะช่วยส่งเสริมให้ระบบมีสภาพพร้อมใช้งานที่มากขึ้น ช่วยลดประเด็นข้อผิดพลาดที่เกิดในระบบงาน และช่วยให้การแก้ไขประเด็นข้อผิดพลาดต่างๆ ทำได้อย่างรวดเร็ว
  10. DS10 : Manage Problems         หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการจัดการปัญหาที่เกิดขึ้นภายในองค์กร โดยโคบิตได้บอกไว้ว่าการจัดการกับปัญหาที่มีประสิทธิภาพนั้นต้องการการระบุและการจัดกลุ่มของปัญหา การวิเคราะห์ถึงสาเหตุของปัญหา และการกำหนดแนวทางที่ใช้ในการแก้ไขปัญหา ซึ่งกระบวนการที่ใช้ในการจัดการปัญหาเริ่มตั้งแต่การกำหนดข้อแนะนำต่างๆ ในเรื่องของการปรับปรุงแก้ไขข้อบกพร่อง การดูแลจัดการบันทึกของปัญหาที่เกิดขึ้น และการปรับปรุงให้ลูกค้าเกิดความสะดวกสบายและความพึงพอใจ
  11. DS11 : Manage Data         หัวข้อการควบคุมนี้เน้นที่เรื่องของการบริหารจัดการในส่วนของข้อมูลที่ใช้ในการปฏิบัติงาน โดยโคบิตได้กล่าวไว้ว่าการบริหารจัดการข้อมูลที่มีประสิทธิภาพจำเป็นที่จะต้องมีการระบุความต้องการของข้อมูล โดยกระบวนการที่ใช้ในการบริหารจัดการข้อมูลประกอบด้วยการสร้างวิธีการที่ใช้ในการบริหารการจัดเก็บข้อมูลอย่างมีประสิทธิภาพ การสำรองและการกู้คืนข้อมูล และการจัดวางข้อมูลต่างๆ ให้เหมาะสม เป็นต้น ซึ่งการบริหารจัดการข้อมูลที่มีประสิทธิภาพจะช่วยให้สามารถแน่ใจได้ว่าข้อมูลทางธุรกิจจะเป็นข้อมูลที่มีคุณภาพ ทันสมัย และมีสภาพพร้อมใช้งานอยู่เสมอ
  12. DS12 : Manage the Physical Environment         หัวข้อการควบคุมนี้จะเน้นถึงเรื่องของการบริหารจัดกรอุปกรณ์ที่เป็น Physical devices ซึ่งการป้องกันเครื่องมือและอุปกรณ์ต่างๆ จำเป็นที่จะต้องมีการออกแบบและการบริหารจัดการที่ดี โดยกระบวนการของการบริหารจัดการสิ่งเหล่านี้จะประกอบไปด้วยการระบุความต้องการของสถานที่ตั้ง (Physical Site) การคัดเลือกอุปกรณ์ที่เหมาะสม การออกแบบกระบวนการที่มีประสิทธิภาพเพื่อใช้ในการตรวจสอบติดตามปัจจัยของสภาพแวดล้อมต่างๆ และการดูแลการเข้าถึงทางกายภาพ (Physical Access) ซึ่งการบริหารจัดการด้านสภาพแวดล้อมทางกายภาพ (Physical Environment) ที่มีประสิทธิภาพ จะช่วยลดการหยุดชะงักของภาคธุรกิจที่เกิดจากความเสียหายของอุปกรณ์คอมพิวเตอร์และบุคลากร
  13. DS13 : Manage Operations         หัวข้อการควบคุมนี้จะเน้นในเรื่องของการบริหารจัดการกระบวนการปฏิบัติงาน ซึ่งโคบิตได้กล่าวไว้ว่าความครบถ้วนสมบูรณ์และถูกต้องของกระบวนการในการประมวลผลข้อมูลต่างๆ ต้องการการบริหารจัดการที่มีประสิทธิภาพ รวมไปถึงการดูแลรักษา hardware ที่มีประสิทธิภาพด้วย โดยกระบวนการนี้รวมตั้งแต่การกำหนดนโยบายของการปฏิบัติงาน การกำหนดขั้นตอนการปฏิบัติงานที่มีประสิทธิภาพ การจัดตารางในการปฏิบัติงานที่มีประสิทธิภาพ การป้องกันผลลัพธ์ที่มีความสำคัญ การตรวจสอบโครงสร้างพื้นฐาน รวมถึงการดูแลและป้องกัน hardware ให้สามารถใช้งานได้อยู่ตลอดเวลา ซึ่งการบริหารจัดการกระบวนการปฏิบัติงานที่มีประสิทธิภาพจะช่วยให้ข้อมูลต่างๆ มีความถูกต้องอยู่เสมอ และยังช่วยลดความล่าช้าในการปฏิบัติงานด้านเทคโนโลยีสารสนเทศอีกด้วย
โดเมนการติดตามและประเมินผล (ME)
  1. ME1 : Monitor and Evaluate IT Performance         หัวข้อการควบคุมนี้เน้นในเรื่องของการตรวจสอบและการประเมินประสิทธิภาพของของระบบสารสนเทศ โดยโคบิตได้ระบุไว้ว่าการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพจำเป็นต้องมีการตรวจสอบติดตามการปฏิบัติงานเหล่านั้นด้วย  ซึ่งกระบวนการนี้รวมตั้งแต่การกำหนดตัวชี้วัดประสิทธิภาพที่เกี่ยวข้อง การรายงานผลของประสิทธิภาพอย่างเป็นระบบและเป็นเวลา การเตรียมขั้นตอนในการรับมือเมื่อเกิดปัญหา ซึ่งการตรวจสอบติดตามนั้นคือความต้องการให้แน่ใจว่าสิ่งที่ถูกต้องได้ถูกนำมาปฏิบัติเพื่อให้เป็นไปตามทิศทางของนโยบายในองค์กร
  2. ME2 : Monitor and Evaluate Internal Control         หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่การสร้างรายการของการควบคุมภายในที่มีประสิทธิภาพสำหรับระบบเทคโนโลยีสารสนเทศที่ต้องการกระบวนการตรวจสอบที่ถูกสร้างขึ้นมาอย่างดี ซึ่งกระบวนการนี้ประกอบไปด้วยการตรวจสอบและการรายงานผลของการไม่ปฏิบัติตามการควบคุม (Control Exceptions) ผลของการประเมินประสิทธิภาพการทำงาน และการตรวจสอบประสิทธิภาพของผู้ให้บริการต่างๆ ภายนอก ข้อดีที่สำคัญของการตรวจสอบติดตามการควบคุมภายในคือการสร้างความเชื่อมั่นในเรื่องของประสิทธิภาพและประสิทธิผลของกระบวนการปฏิบัติงาน และ เพื่อให้กระบวนการดังกล่าวเป็นไปตามกฎระเบียบที่องค์กรนำมาใช้
  3. ME3 :Ensure Regulatory Compliance         หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการสร้างขั้นตอนที่ใช้ในการตรวจสอบอย่างเป็นอิสระ เพื่อให้สามารถมั่นใจได้ว่าการปฏิบัติงานต่างๆ ภายในองค์กรนั้นเป็นไปตามที่กำหนดไว้ในกฎหมายและระเบียบข้อบังคับต่างๆ ซึ่งรวมถึงการกำหนดกฎระเบียบด้านการตรวจสอบ (Audit Charter) ความเป็นอิสระของผู้ตรวจสอบ (Auditor Independence) มาตรฐานและศีลธรรมของผู้เชี่ยวชาญ (Professional Ethics and Standard) ประสิทธิภาพในการปฏิบัติงานของผู้ตรวจสอบ (Performance of Audit Work) การรายงานและการติดตามผลการปฏิบัติงานด้านการตรวจสอบ (Reporting and Follow-up of Audit Activities) เป้าหมายของหัวข้อการควบคุมนี้เพื่อจัดเตรียมขั้นตอนต่างๆที่เกี่ยวข้องกับการปฏิบัติตามกฎหมายและระเบียบข้อบังคับต่างๆ ที่สามารถเชื่อถือได้
  4. ME4 : Provide IT Governance         หัวข้อการควบคุมนี้มีเนื้อหาเน้นที่เรื่องของการสร้างแนวทางการปฏิบัติด้านธรรมาภิบาลที่มีประสิทธิภาพ ซึ่งรวมตั้งแต่การกำหนดโครงสร้างขององค์กร กระบวนการปฏิบัติงาน ความเป็นผู้นำ บทบาทและหน้าที่ความรับผิดชอบ เพื่อให้สามารถแน่ใจได้ว่าการลงทุนทางด้านเทคโนโลยีสารสนเทศสามารถสอดคล้องและสนับสนุนกลยุทธ์และวัตถุประสงค์ขององค์กรได้



ไม่มีความคิดเห็น:

แสดงความคิดเห็น