Regular MBA 2010

IT Governance

Agendaมี 5 เรื่อง ได้แก่
1. CG + GRC + COSO
2. ITG
3. ICT Standards
4. COBIT
5. ITIL

Governance คือ ความโปร่งใส (ด้านข้อมูล, Process) ตรวจสอบการทำงานได้ และมีจริยธรรม มีจุดประสงค์เพื่อสร้างความมั่นใจในการลงทุน
Cooperate Governance หรือบรรษัทธรรมาภิบาล คือ การศึกษาว่าแต่ละฝ่ายหรือแต่ละบุคคล มีส่วนในความรับผิดชอบการใช้สินทรัพย์อย่างมีประสิทธิภาพ ประสิทธิผลและมีความถูกต้อง
(รูปสไลด์ 3)

รูปนี้แสดงให้เห็นถึงโครงสร้างของบรรษัทธรรมาภิบาล โดยแบ่งเป็นแต่ละส่วนดังนี้
Board ประกอบไปด้วย Shareholder, Stakeholder Monitoringและ Disclosure ซึ่งในบริษัทมหาชน จะมีการระดมทุน และจัดตั้งกรรมการขึ้นมาเป็น Board เพื่อดูแลฝ่ายต่างๆ
Senior Executive Term มีหน้าที่ในการบริหารองค์กร เพื่อให้บริษัทเป็น Cooperate Good Governance โดยผ่าน 2 สิ่งคือ
• Strategy การทำกลยุทธ์
• Desirable behavior การบริหารความเสี่ยง บริหาร Asset ได้อย่างมีประสิทธิภาพ สามารถทำกำไรได้ มี Performance ที่ดี และทำตามกฎ กติกา มารยาท
ซึ่ง Senior Executive Term จะกำกับดูแล ให้สินทรัพย์ (Assets) ต่างๆ ถูกบริหารอย่างมีประสิทธิภาพ อย่างมีกลยุทธ์ และไม่ให้เกิดการผิดพลาดในการทำงาน
Key Asset เป็นสินทรัพย์ขององค์กร ซึ่งมี 7 ประเภท ได้แก่
• Human Assets : บุคลากร
• Financial Assets : เงินทุน
• Physical Assets
• IP Assets : แบรนด์ต่างๆ เช่น Coke Pepsi เป็นต้น
• Information and IT assets
• Relationship Assets : ความสัมพันธ์กับภายนอกองค์กร เช่น Supplier เป็นต้น
ซึ่งจะมี IT เป็นส่วนหนึ่งของ Good Governance โดย Governance เป็นกระบวนการเพื่อการตัดสินใจ (Making Decision) ว่าจะทำหรือไม่ทำ และในการทำ Governance คือการทำอย่างไรให้องค์กรมี Performance ที่ดี ทำกำไรได้ บริหารต้นทุนได้ บริหาร Asset ได้ดี นอกจากนี้จะต้องทำตามกฎ กติกา มารยาทต่างๆ เช่น กฎของตลาดหลักทรัพย์ในการจดทะเบียนในตลาดหลักทรัพย์ เป็นต้น
สรุป Governance จะมองใน 2 ประเด็น คือ
1. มั่นใจได้อย่างไรว่าคนที่มาบริหารสินทรัพย์ทั้ง 7 ประเภทข้างต้น สามารถบริหารได้อย่างมีประสิทธิภาพ ได้อย่างมีกลยุทธ์ ทำกำไรได้ นั่นคือจะมั่นใจได้อย่างไรว่า Board สามารถนำเงินที่ลงทุน หรือพนักงาน ให้อยู่รอด มีกำไร จ่ายโบนัสได้ เป็นต้น
2. มั่นใจได้อย่างไรว่าบริษัทมีความโปร่งใสพอ สามารถให้บุคคลภายนอกมาตรวจสอบได้
Effective Integration of GRC
GRC ย่อมาจาก Governance Risk Compliance คือ วิธีการบริหารจัดการความเสี่ยงจากสิ่งที่เกิดขึ้น อย่างในกรณี ช่วงที่มีการชุมนุมแยกราชประสงค์ มีหลายบริษัทต้องปิดทำการชั่วคราว ทำให้ธุรกิจหยุดชะงัก เราจะต้องจัดการ IT อย่างไร เช่นบริษัทประกัน ไม่สามารถโทรศัพท์ หรือเรียกประกันได้ เพราะว่า Call centerและIT ต่างๆ อยู่บริเวณที่มีการชุมนุม ทำให้ไม่สามารถทำงานได้ เป็นต้น ดังนั้น ในการบริหารความเสี่ยง จะต้องมีแผนสำรองฉุกเฉิน จำลองสถานการณ์ต่างๆและวิธีแก้ไขปัญหาในสถานการณ์นั้นๆ
The Committee of Sponsoring Organization
The Committee of Sponsoring Organization หรือ COSO เป็นมาตรฐานที่ใช้ในการดูเรื่องของ Good governance ในปัจจุบันจะมุ่งเน้นในการบริหารความเสี่ยงของบริษัทเป็นหลัก ซึ่งจะครอบคลุมในทุกๆด้าน เช่น Financial, Risk Business Risk, Political Risk, Organization Risk เป็นต้น
(รูปในสไลด์ที่ 6)
จากรูป จะเห็นได้ว่า COSO เป็นกรอบมาตรฐานอย่างหนึ่ง ในการบริหารความเสี่ยงจะเกียวข้องกับ Subsidiary, Business unit, Division, Entity-Level ซึ่งเป็นองค์ประกอบต่างๆที่อยู่ในบริษัท โดยจุดประสงค์จะมุ่งเน้นว่าจะมีการวางแผนการบริหารความเสี่ยงอย่างไร มีกลยุทธ์อย่างไร มีวิธีการจัดการปัญหาในระดับปฏิบัติการอย่างไร และต้องมีการทำรายงานออกมาด้วย และ COSO เป็นกรอบกว้างๆ ไม่ได้ยึดกับกฎ กติกา (Compliance) ตัวใดตัวหนึ่ง เช่น Basel II SOX J-SOX เป็นต้น และในการบริหารความเสี่ยงจะต้องดูถึงสภาพแวดล้อมในองค์กร(Internal Environment) ได้แก่
1. Objective Setting
2. Event Identification
3. Risk Assessment
4. Risk Response
5. Control Activities
6. Information & Communication
7. Monitoring
Risk Assessment: เป็นการประเมินความเสี่ยง มี 2 ประเภท ได้แก่ ความเสี่ยงนั้นเกิดบ่อยแค่ไหน และ ถ้าความเสี่ยงนั้นเกิดขึ้นจะมีผลกระทบมากน้อยแค่ไหน เพื่อจะนำมาทำ Risk Matrix

จากกราฟเป็นตัวอย่างการทำ Risk Matrix ซึ่งเป็นความสัมพันธ์ระหว่างผลกระทบและความเป็นไปได้ที่จะเกิดความเสี่ยงนั้น ถ้าหากความเสี่ยงนั้นอยู่ในโซนสีแดง แสดงว่า เป็นความเสี่ยงที่เกิดขึ้นบ่อยครั้งและมีผลกระทบแต่ละครั้งสูง ต้องมีการดูแลเป็นพิเศษ หากความเสี่ยงนั้นอยู่ในโซนสีเขียว แสดงว่าความเสี่ยงนั้นเกิดขึ้นน้อยครั้ง และมีผลกระทบแต่ละครั้งค่อนข้างต่ำ
Risk Response: วิธีการทำมีอยู่ 4 แบบ ได้แก่
• Avoidance คือ การหลีกเลี่ยงที่จะไปเกี่ยวข้องกับความเสี่ยงนั้น ตัวอย่างเช่น ไม่ตั้งบริษัทในเขตที่มีความเสี่ยง เช่น ใน 3 จังหวัดชายแดนภาคใต้ ความเสี่ยงในเชิงธุรกิข เพื่อป้องกันความเสี่ยงด้านอัตราแลกเปลี่ยน ก็ใช้วิธีหาแหล่งเงินทุนในประเทศแทนที่จะเป็นเงินทุนจากต่างประเทศ เป็นต้น
• Reduction คือ ลดความเสี่ยง เช่น เปลี่ยนการลงทุนในหุ้นสามัญที่มีความเสี่ยงสูง ไปลงทุนในพันธบัตรรัฐบาลที่มีความเสี่ยงต่ำ เป็นต้น
• Sharing คือ การกระจายความเสี่ยง อย่างเช่น การทำประกัน หากเป็นกรณีของ IT ก็คือการใช้ Outsource เนื่องจาก มี SLA(Service Level Agreement) หรือบริการดูแลระบบให้ โดยที่องค์กรไม่จำเป็นต้องเสียค่าใช้จ่ายเพิ่มหากระบบเกิดปัญหา ลักษณะเช่นนี้จึงคล้ายๆกับการทำประกันนั่นเอง
• Acceptance คือ ยอมรับความเสี่ยง เนื่องจาก ความเสี่ยงบางชนิดไม่สามารถป้องกันได้ จึงจำเป็นต้องยอมรับความเสี่ยงนั้น เช่น ความเสี่ยงทาง Facebook ของบริษัท ที่เกิดจากการ complain ของลูกค้า บริษัทไม่สามารถห้ามให้ลูกค้ามาตำหนิได้ แต่บริษัทสามารถจัดพื้นที่ให้ลูกค้าได้ ในที่นี้คือ Facebook เป็นต้น
ประเภทของ COSO มี 2 Version ได้แก่
• COSO I สำหรับผู้ตรวจสอบบริษัท (Internal Control)
• COSO II จะเน้นในเรื่อง ERM(Enterprise Risk Management)
IT Governance
แต่เดิมคุณค่าของ IT ค่อนข้างจะน้อย ผู้บริหารไม่ค่อยเห็นความสำคัญ ไม่ค่อยให้งบประมาณในการสร้างระบบIT หรือบางครั้ง ระบบก็ไม่สามารถทำงานตามเป้าหมาย Scope ไม่นิ่ง งบประมาณบานปลาย คุณภาพไม่ดี ดังนั้น IT Governance (ITG) จึงถูกสร้างขึ้นมาเพื่อตอบคำถาม 2 ประเด็นดังนี้ คือ
1. มั่นใจได้อย่างไรว่าเงินทุนที่ลงทุนไปใน ITG นั้นคุ้มค่าและได้ประโยชน์ เช่น ต้องการลงทุนในระบบ CRM จะมั่นใจได้อย่างไรว่าระบบนี้จะคุ้มค่ากับเงินลงทุน นั่นคือ มีความสามารถตามที่กำหนดไว้ หรือ สามารถควบคุมการพัฒนาระบบให้เป็นไปตามแผนที่วางไว้ ไม่เกิดการบานปลายของงบประมาณ เป็นต้น
2. ทำอย่างไรหากเกิดความเสี่ยงขึ้น หรือ Risk Control ความเสี่ยงที่เกิดจากการใช้ IT ตัวอย่างเช่น การFishing(การทำโดเมนหลอก) ระบบติดไวรัส เป็นต้น ซึ่งอาจจะควบคุมความเสี่ยงได้โดยการ Backupข้อมูลเอาไว้ หรือหากไม่มีการ Backup เลย จะสามารถกู้ข้อมูลมาได้อย่างไร
IT Governance กับ Cooperate Governance มีลักษณะคล้ายกัน นั่นคือ มี 2 ฝ่ายตามที่ได้กล่าวไปแล้วข้างต้น โดย IT เป็นเพียงส่วนหนึ่งของ Good Governance เท่านั้น โดย ITG จะต้องมีลักษณะดังต่อไปนี้
- ITG จะต้องสามารถสร้างมูลค่าเพิ่มให้แก่บริษัทได้
- IT ต้องสามารถตอบโจทย์ทางธุรกิจได้ เช่น Wal-Mart ที่มี Vision คือ Everyday low price และเพื่อทำให้สินค้าของ Wal-Mart ถูกที่สุดตามสโลแกน จึงนำ IT มาใช้ในการบริหาร Supply chain หรือ ใช้IT ในการวิเคราะห์พฤติกรรมของผู้บริโภค ในการบริหาร Inventory เช่น ช่วง 911 ธงชาติอเมริกันขายดีมาก IT ช่วยให้ Wal-Mart รู้ทันทีว่ามีความต้องการธงชาติ เนื่องจากข้อมูลเป็นระบบ Real time ทำให้ Wal-Mart สามารถตอบสนองความต้องการของลูกค้าได้ในทันที เป็นต้น
- ITG จะต้องระบุว่า ใครรับผิดชอบอะไร ใครตัดสินใจอะไร นั่นคือ ต้องกำหนดหน้าที่อย่างชัดเจน
- ITG จะครอบคลุมถึงขั้นตอนการควบคุมและตรวจสอบต่างๆ ซึ่งจะสามารถช่วยลดความเสี่ยงที่เกิดจากความล้มเหลวของ IT ได้ นั่นคือ มีระบบ IT ในการควบคุมความเสี่ยงขององค์กรนั่นเอง
หลักในการทำ IT Governance ซึ่งเป็นหลักของสมาคม ISACA (Information Systems Audit and Control Association) มีอยู่ 5 องค์ประกอบ ได้แก่
1. Strategic Alignment นั่นคือ IT จะต้องมีความสอดคล้องกับกลยุทธ์ขององค์กร
2. Value Delivery นั่นคือ IT จะมีความสามารถอย่างที่ตั้งใจไว้หรือไม่
3. Resource Management การบริหารจัดการ IT Resource ได้แก่ Hardware Software Infrastructure Database และคน เช่น programmer เป็นต้น
4. Performance Measurement ต้องมีการตรวจสอบระบบว่ามีการทำงานอย่างที่คาดไว้หรือไม่
5. Risk Management การบริหารจัดการความเสี่ยงจาก IT เช่น IT Securities BMC (Business Continuity Management) BCP (Business Continuity Plan) เป็นต้น ทำอย่างไรให้ธุรกิจสามารถดำเนินต่อไปได้อย่างต่อเนื่อง
Strategic Alignment
Strategic Alignment เป็นกระบวนการเชื่อม innovation strategy กับ corporate vision, goalsและกลยุทธ์ของบริษัท
(รูปในสไลด์ที่ 15)

จากภาพจะเป็นการอธิบายว่า โดยปรกติแล้วส่วนของ Business และ IT จะมองแตกต่างกัน (ตามรูปตัว V) ดังนั้นจะทำอย่างไรให้ทั้งสองส่วนไปด้วยกันได้ ตัวอย่างเช่น Balance Scorecard ซึ่งจะประกอบไปด้วย Vision Mission Objectiveและ Initiative โดยในส่วนของ Objectiveนั้น BSC จะไม่มองว่า Finance สำคัญเพียงเรื่องเดียว จะต้องมองด้าน Customer ด้าน Process Improvement และ Learning &Innovation ด้วย ปัจจัยเหล่านี้ล้วนเป็นส่วนของธุรกิจ สิ่งสำคัญก็คือ IT จะเข้าเชื่อมส่วนต่างๆได้อย่างไร เช่น Finance จะนำ IT มาช่วยให้กำไรเพิ่มขึ้น และ ต้นทุนลดลง Customer จะเป็นทั้งในประเทศและต่างประเทศ Process นำ IT เข้ามาบริหารระบบ Supply Chain เป็นต้น

จากรูปจะแสดงให้เห็นถึง BSC ในส่วนของ IT โดยแบ่งออกเป็น 2 แบบ
1. IT Development BSC เป็น BSC ของ Project ซึ่งเป็นระบบที่ไม่มีในบริษัทและพัฒนาขึ้นมาใหม่ โดยมี SDLC (Software Development Lifecycle) เป็นขั้นตอนการพัฒนาระบบ โดยมีขั้นตอนการเก็บข้อมูลความต้องการของผู้ใช้ ออกแบบระบบ พัฒนาระบบ ทำTraining ส่งมอบระบบและ support ซึ่งในงานโครงการต้องมีผู้มาบริหารจัดการ จึงต้องมีการทำ Project management หรือการบริหารโครงการ ซึ่งการบริหารโครงการที่ดีประกอบไปด้วย 9 ข้อ ดังนี้
- Scope ขอบเขตของงานโครงการจะต้องไม่มากหรือน้อยเกินไป และต้องสามารถทำตามที่ได้สัญญาไว้
- Time บริหารโครงการให้ทันตามเวลา
- Cost ต้นทุนของโครงการ
- Quality คุณภาพของโครงการ
- Risk ความเสี่ยงของโครงการ
- Procurement การจัดซื้อทุกอย่างในโครงการ
- Human Resource มีการบริหารบุคคลอย่างไร มีการแบ่งหน้าที่ชัดเจน
- Communicate จะต้องมีการสื่อสาร
- Integration
นอกจากนี้ยังมีมาตรฐานอื่นๆอีก เช่น CMMI (Capability Maturity Model Integration) PMBOK (Project Management Body of Knowledge) เป็นต้น
2. IT Operation BSC ซึ่งเป็น BSC ของระบบที่มีอยู่แล้วในองค์กร เป็นการดูแลรักษาระบบให้ดำเนินการได้อย่างราบรื่น โดยจะต้องคำนึงถึง Network Database Serverต่างๆ และ IT Support ที่ดูแลเกี่ยวกับ User ซึ่งมีมาตรฐานในการวัดได้แก่ ITIL และ ISO 27001

จากรูปจะเป็นการอธิบายถึง
- Business Goal นั่นคือ ชื่อเสียงของบริษัทจะต้องไม่ด่างพร้อย และต้องเป็นผู้นำทางด้านธุรกิจ
- IT Goal เพื่อตอบ Business Goal โดยมีเป้าหมายคือ IT จะต้องมีการบริหารจัดการระบบโดยที่ระบบจะต้องไม่ล่ม และ IT จะต้องไม่ถูกโจมตีจากภายนอก เช่น ไวรัส เป็นต้น
- Process Goal จะต้องมีการตรวจสอบระบบตลอดเวลา
- Activity Goal เข้าใจในระบบว่าการโจมตีนั้นจะมาจากไหนบ้าง

ICT Standard and Framework
(ภาพสไลด์ที่ 22)
จากรูปจะเป็นการอธิบายถึงมาตรฐานต่างๆที่เกี่ยวข้องกับ IT Governance ซึ่งจะเห็นได้ว่า COSO จะครอบคลุมในทุกเรื่องใน ICT Standard เป็นตัวบอกว่าอะไรที่จะต้องทำบ้าง (What) แต่ไม่บอกวิธีการทำ (How) ในขณะที่ COBIT จะครอบคลุมเฉพาะในส่วนของ IT Assets เท่านั้น
(ภาพสไลด์ที่23)
จากรูปจะเป็นการอธิบายว่า ด้านมาตรฐานของ Cooperate Governance ที่มองใน2เรื่อง ได้แก่
• Performance ดู BSC และ IT BSC
• Conformance ดูเรื่องความเสี่ยง โดยมีมาตรฐาน เช่น Basel II Sarbaes Oxly เป็นต้น
ในด้านของ IT Governance จะใช้มาตรฐาน COBIT เป็นหลัก ซึ่งจะบอกเป็นภาพรวม ไม่ได้บอกวิธีการ ดังนั้นในส่วนของ Best Practice Standard และ Process and Procedure จะเป็นส่วนที่บอกถึงวิธีการนั่นเอง
The Control Objectives for Information and related Technology (COBIT)
COBIT เป็นมาตรฐานรูปแบบหนึ่งที่มีพัฒนาขึ้นโดยกลุ่มความร่วมมือ (Information Systems Audit and Control Association -ISACA) สำหรับผู้ตรวจสอบเทคโนโลยีสารสนเทศ (IT Audit) ใช้เป็นกรอบควบคุมการปฏิบัติงานด้านเทคโนโลยีสารสนเทศรวมไปถึงเป็นแนวคิดและแนวทางการปฏิบัติ (Framework) เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่างๆ ที่จะใช้อ้างอิงถึงแนวทางการปฏิบัติที่ดี (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ

จากรูปคือ COBIT Framework ซึ่งแบ่งออกเป็น 3 ส่วนดังนี้
1. IT Resource แบ่งออกเป็น 4 ประเภทได้แก่ Application Information Infrastructure และ People
2. IT Processes แบ่งออกเป็น 3 หัวข้อ ได้แก่ Domains Process และ Activities
3. Information criteria มี 7 หัวข้อ ได้แก่ Effectiveness Efficiency Confidentiality Integrity Available Compliance และ Reliability
IT Resource มีมุมมองในการมองทรัพยากรทางด้าน IT อยู่ 4 ตัวได้แก่
• Application คือ Softwareต่างๆ
• Information
• Infrastructure (Server, Database, Network และคน)
• People
โดยมีการเชื่อมโยงกันคือ Information ที่มีอยู่ใน Application และ Application ก็ run อยู่ใน Infrastructure โดยมี คนหรือ people เป็นผู้ดูแลระบบ ซึ่ง IT Resource ทั้ง 4 ประเภทนี้ จะต้องทำให้ Information เป็นลักษณะตาม Information criteria
Information criteria ซึ่งประกอบไปด้วย 7 หัวข้อได้แก่
• Effectiveness มีประสิทธิผล ได้แก่ ให้ Information สามารถส่งได้ตรงตามเวลาและถูกต้อง
• Efficiency นั่นคือ การใช้ทรัพยากรอย่างมีประสิทธิภาพ
• Confidentiality จัดลำดับการเข้าถึงและการใช้ข้อมูล
• Integrity ต้องมั่นใจว่าข้อมูลของระบบมีความสมบูรณ์
• Available ข้อมูลมีความน่าเชื่อถือ และมีความพร้อมตลอดเวลาหากต้องการใช้
• Compliance กฎ กติกา มารยาทต่างๆ
• Reliability
IT Processes เป็นหัวใจของ COBIT ประกอบไปด้วย 3 ส่วนได้แก่ Domain ProcessและActivities
ซึ่งแต่ละส่วนก็จะแบ่งออกเป็นส่วนย่อยๆได้แก่
1. Domain เป็นกระบวนการหลัก ซึ่งจะต้องสอดคล้องกับกระบวนการทางธุรกิจ (Business process) ประกอบด้วย 4 กระบวนการได้แก่
1.1 การวางแผนและการจัดการองค์กร (PO : Planning and Organization)
เป็นเรื่องของการทำกลยุทธ์ ซึ่งIT จะต้องสามารถตอบสนองต่อจุดประสงค์ของธุรกิจได้และจะต้องมีความสอดคล้องกันระหว่าง IT และ Business จะต้องมีการสื่อสารให้คนในองค์กรเข้าใจร่วมกัน โดยจะประกอบไปด้วย
- PO1 การจัดทำแผนกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (Define a Strategic IT Plan) เพื่อให้องค์กรได้รับประโยชน์สูงสุดจากการใช้ IT
- PO2 การกำหนดโครงสร้างด้านสารสนเทศ (Define the Information Architecture) เพื่อให้ได้รับประโยชน์สูงสุดจากการจัดรูปแบบระบบสารสนเทศ
- PO3 การกำหนดทิศทางด้านเทคโนโลยี (Determine Technological Direction) เพื่อให้สามารถใช้เทคโนโลยีสมัยใหม่เป็นกลยุทธ์ในการบริหารธุรกิจ
- PO4 การจัดโครงสร้างองค์กรด้านเทคโนโลยีสารสนเทศและความสัมพันธ์กับหน่วยงานอื่น(Define the IT Organization and Relationships) เพื่อให้สามารถให้บริการด้าน IT ได้อย่างเหมาะสมถูกต้อง
- PO5 การจัดการด้านการลงทุนในเทคโนโลยีสารสนเทศ (Manage the IT Investment) เพื่อให้มั่นใจในเงินลงทุนที่ต้องใช้ และมีการดูแลการใช้จ่ายเงินอย่างเหมาะสม
- PO6 การสื่อสารเป้าหมายและทิศทางภายในองค์กร (Communicate Management
- PO7การจัดการทรัพยากรบุคคล (Manage Human Resources) เพื่อให้มีบุคลากรที่มีความสามารถ และทุ่มเทในการทำงาน
- PO8 การปฏิบัติตามข้อกำหนดขององค์กรภายนอก(Ensure Compliance with External Requirements) เพื่อให้สอดคล้องถูกต้องตามกฎหมาย ระเบียบ และสัญญา
- PO9 การประเมินความเสี่ยง (Assess Risks) เพื่อให้ IT สามารถตอบสนองความต้องการของผู้บริหารในการตัดสินใจเพื่อลดความเสี่ยง โดยให้ข้อมูลที่เป็นรูปธรรม และชี้ให้เห็นประเด็นที่สำคั
- PO10 การจัดการโครงการ (Manage Projects) เพื่อกำหนดระดับความสำคัญ และดำเนินการให้แล้วเสร็จภายในเวลาและงบประมาณที่กำหนด
1.2 การจัดหาและติดตั้ง (AI : Acquisition and Implementation)
จะครอบคลุมในเรื่องของการส่งมอบระบบ ว่าจะมีการส่งมอบอย่างไรให้เป็นไปตามความต้องการของธุรกิจ การพัฒนาระบบจะต้องเป็นไปตามแผน งบประมาณต้องไม่บานปลาย และหากเกิดปัญหาจะมีการแก้ไขปัญหานั้นๆได้อย่างไร
- AI1การเลือกเทคโนโลยีมาใช้ในการปฏิบัติงาน (Identify Automated Solutions) เพื่อให้มั่นใจว่าจะตอบสนองความต้องการข้อมูลของผู้ใช้ได้อย่างมีประสิทธิผลและประสิทธิภาพ
- AI2 การจัดหาและบำรุงรักษาซอฟต์แวร์ประยุกต์ (Acquire and Maintain Application Software) เพื่อให้บริการประมวลผลที่สนับสนุนการดำเนินงาน และการปฏิบัติงานขององค์กรได้อย่างมีประสิทธิผล
- AI3 การจัดหาและบำรุงรักษาโครงสร้างพื้นฐานด้านเทคโนโลยี (Acquire and Maintain Technology Infrastructure) เพื่อให้องค์กรมี IT platform ที่เหมาะสมกับระบบงาน
- AI4 ระเบียบปฏิบัติในการพัฒนาและบำรุงรักษา (Develop and Maintain Procedures) เพื่อให้มีการใช้ระบบงานได้อย่างถูกต้องและเป็นระเบียบ
- AI5 การติดตั้งและรับรองระบบ (Install and Accredit Systems) เพื่อสอบทานให้แน่ใจว่าระบบงานนั้นถูกต้องตรงตามวัตถุประสงค์ที่ต้องการ
- AI6 การจัดการการเปลี่ยนแปลง (Manage Changes) เพื่อลดโอกาสการหยุดชะงัก การแก้ไขโดยพลการ และความผิดพลาด
1.3 การส่งมอบและบำรุงรักษา (DS : Delivery and Support) จะมีการสนับสนุนบริการต่างๆได้อย่างไรบ้าง
- DS1 การกำหนดและการจัดการระดับการให้บริการ (Define and Manage Service Levels) เพื่อให้เกิดความเข้าใจที่ถูกต้องของระดับบริการที่เป็นที่ต้องกา
- DS2การจัดการการใช้บริการจากบุคคลภายนอก (Manage Third-Party Services) เพื่อให้มั่นใจว่าหน้าที่และความรับผิดชอบของ Third-Party มีกำหนดไว้ชัดเจน และมีการดำเนินการที่ถูกต้อง ต่อเนื่อง
- DS3 การจัดการด้านประสิทธิภาพและความสามารถ (Manage Performance and Capacity) เพื่อให้มั่นใจว่ามี Capacity อย่างเหมาะสม ใช้ประโยชน์ได้สูงสุด ให้บริการได้ตามที่กำหนด
- DS4 ความต่อเนื่องในการให้บริการ (Ensure Continuous Service) เพื่อให้มั่นใจว่าบริการด้าน IT มีให้ใช้ได้ตามที่ต้องการ และเกิดปัญหาต่อการดำเนินธุรกิจน้อยที่สุด หากมีเหตุการณ์สำคัญทำให้ต้องหยุดชะงัก
- DS5 การรักษาความปลอดภัยระบบ (Ensure Systems Security) เพื่อปกป้องข้อมูลจากการถูกใช้ เปิดเผย แก้ไข ทำลาย โดยไม่ได้รับอนุมัติหรือการสูญหาย
- DS6 การกำหนดและจัดสรรต้นทุน (Identify and Allocate Costs) เพื่อให้เกิดการรับรู้อย่างถูกต้องในต้นทุนของบริการด้าน IT
- DS7 การให้ความรู้และฝึกอบรมผู้ใช้งาน (Educate and Train Users) เพื่อให้มั่นใจว่าผู้ใช้สามารถใช้บริการได้อย่างมีประสิทธิภาพ และเข้าใจถึงความเสี่ยง ความรับผิดชอบที่เกี่ยวเนื่องในการใช้นั้นๆ
- DS8 การให้ความช่วยเหลือและคำแนะนำแก่ผู้ใช้ระบบงานในองค์กร (Assist and Advise Customers) เพื่อให้มั่นใจว่าปัญหาที่ผู้ใช้ประสบได้รับการแก้ไขอย่างเหมาะสม
- DS9 การจัดการรายละเอียดทรัพย์สิน (Manage the Configuration) เพื่อให้มีการดูแลรักษา จดบันทึกอย่างเหมาะสมในอุปกรณ์ IT ป้องกันการแก้ไขเปลี่ยนแปลงโดยไม่ได้รับอนุมัติ มีการตรวจนับ และมีระบบการควบคุมการเปลี่ยนแปลง
- DS10 การจัดการปัญหาและเหตุการณ์ที่เกิดขึ้น (Manage Problems and Incidents) เพื่อให้มั่นใจว่าปัญหาและอุบัติเหตุที่เกิดขึ้นได้รับการแก้ไข มีการหาสาเหตุ และป้องกันไม่ให้เกิดขึ้นซ้ำอี
- DS11 การจัดการข้อมูล (Manage Data) เพื่อให้มั่นใจว่าข้อมูลมีความสมบูรณ์ ถูกต้องและน่าเชื่อถือ ทั้งในช่วง input, update & storage
- DS12 การจัดการด้านสิ่งอำนวยความสะดวก (Manage Facilities) เพื่อให้มีบรรยากาศแวดล้อมทางกายภาพที่เหมาะสมในการปกป้องอุปกรณ์ IT และบุคลากรจากภัยธรรมชาติและบุคคล
- DS13 การจัดการด้านการปฏิบัติการ (Manage Operations) เพื่อให้มั่นใจว่าการปฏิบัติการด้าน IT ที่สำคัญ มีการดำเนินงานอย่างสม่ำเสมอและเป็นลำดับอย่างถูกต้อง

1.4 การติดตามผล (M : Monitoring)
เป็นการติดตามกระบวนการทำงาน (Monitor the Processes) เพื่อให้มั่นใจว่ากิจกรรม ด้าน IT สามารถบรรลุเป้าหมายการปฏิบัติงานตามที่กำหนด
- M1 การติดตามกระบวนการทำงาน (Monitor the Processes) เพื่อให้มั่นใจว่ากิจกรรมด้าน IT สามารถบรรลุเป้าหมายการปฏิบัติงานตามที่กำหนด
- M2 การประเมินความเพียงพอของการควบคุมภายใน (Assess Internal Control Adequacy) เพื่อให้มั่นใจว่าเป้าหมายของการควบคุมภายในของกิจกรรมด้าน IT สามารถบรรลุได้ตามที่กำหนด
- M3 การรับรองความเป็นอิสระ (Obtain Independent Assurance) เพื่อเพิ่มความมั่นใจและการไว้วางใจระหว่างองค์กร ผู้ใช้ และ Third-Party
- M4 ความเป็นอิสระในการตรวจสอบ (Provide for Independent Audit) เพื่อเพิ่มระดับความมั่นใจและประโยชน์จากผู้เชี่ยวชาญในวิธีการปฏิบัติที่ดี
2. Process จะประกอบไปด้วย
2.1 IT Strategy การวางแผนระบบ
2.2 Computer Operation
2.3 Incident Handing การรับมือกับเหตุการณ์ที่เกิดขึ้นแล้ว
2.4 Acceptance Testing เป็นการให้ User ไปลองใช้ก่อน เมื่อtest แล้วถึงจะผ่าน
2.5 Change Management การทำ communication เพื่อสื่อสารว่าระบบมีการเปลี่ยนแปลง
2.6 Contingency Planning ถ้าระบบทำงานไม่ได้จะsupportอย่างไร
2.7 Problem Management กระบวนการบริหารจัดการปัญหาที่เกิดขึ้น
3. Activities
3.1 Record ควรมีการบันทึกข้อมูลเก็บไว้หรือไม่
3.2 Propose Solution
3.3 Monitor Solution

รูปแสดง COBIT Framework

The Information Technology Infrastructure Library (ITIL)
ITIL เป็นเรื่องของการทำ IT Service ต่างๆ มีจุดมุ่งหมายเพื่อให้บริการทางด้าน IT ไม่ได้ทำขึ้นเพื่อตอบสนองการทำโครงการ เหมาะกับองค์กรที่ให้บริการทางด้าน IT มี 5 หลักดังนี้
- Service Strategy เป็นกลยุทธ์ของผู้ให้บริการด้าน IT ว่าจะมีบริการอะไรบ้าง จะต้องใช้เม็ดเงินลงทุนเท่าไหร่ เป็นต้น
- Service Design การให้บริการนั้นจะมีการการันตีเท่าไหร่ เช่น ให้บริการอินเตอร์เน็ตความเร็วสูง 6Mb เป็นต้น จะมีการให้บริการอย่างไร เช่น มี call center ตลอด 24 ชม. มีการ Backup ข้อมูลไว้ตลอดเวลา เป็นต้น
- Service Operation งาน Helpdesk ต่างๆ เช่น การให้บริการตอบคำถาม เป็นต้น
- Service Transition ถ้าระบบมีความเสียหาย จะมีขั้นตอนการแก้ไขอย่างไร
- Continual Service Improvement มีการพัฒนาบริการต่างๆตลอดเวลา

รูปแสดงส่วนประกอบของ ITIL
ISO 27001
ชื่อเต็มคือ ISO/IEC 27001:2005 (Information Security Management System: ISMS) เป็นระบบมาตรฐานด้านความปลอดภัยของข้อมูล เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อ เนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือ ระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electro technical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด, ช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคุม ทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ

Paticipate

5210211003 วจนะ ภูผานี
5210211064 สุนทร ลักษณวิวัฒน์
5220211023 นายวิศิษฏ์ เอี่ยมแสงชัยรัตน์ x3
5220211058 นายภราดร สุนทรสุธี x3