อาจารย์จิรพร สุเมธีประสิทธิ์

                                                                                                  [email protected]

การกำกับกิจการในอดีตขึ้นกับบุคคล ไม่ว่าจะเป็นคณะกรรมการบริษัท ผู้บริหารระดับสูง หรือแนวคิดใหม่ที่เน้นให้เจ้าของกิจการกำกับตนเอง

แต่ในปัจจุบันและอนาคต กิจการต่างๆ จะต้องนึกถึงการกำกับที่ใช้บุคคลทางอ้อม ในการออกกฎให้ IT ทำงานแทน ซึ่งเรียกว่า IT Governance ซึ่งเป็นแนวทางการกำกับดูแลกิจการที่ได้รับความสนใจมากขึ้นอย่างรวดเร็ว

ความสำคัญในเรื่องของ IT Governance ที่กิจการเป็นกังวลและมองว่ามีความเสี่ยงสูง เป็นเพราะว่า IT Governance เป็นเรื่องของตัวขับเคลื่อนความเสี่ยง 2 ส่วนพร้อมกัน คือ

ตามรายงานของ ISACA องค์กรที่มีความชำนาญและประสบการณ์ในการวางกรอบแนวทาง IT Governance มานานได้รายงานว่า IT Governance เป็นองค์ประกอบของการกำกับที่อยู่ในลำดับต้นๆของกิจการส่วนใหญ่ ซึ่งยังไม่มีการจัดวางอย่างมั่นคงและเพียงพอในกิจการ

สิ่งที่มีส่วนในการกำหนดระดับของความเข้มข้นของ IT Governance ให้มีความแตกต่างกันในแต่ละกิจการมีอยู่ด้วยกันหลายประการ ได้แก่

ประการที่ 1 - วัฒนธรรมขององค์กร

บุคคลที่มีความสำคัญที่สุดในการกำหนดวัฒนธรรมขององค์กร ได้แก่

1) คณะกรรมการบริษัท

2) ผู้บริหารระดับสูง

เมื่อใดที่คณะกรรมการบริษัท หรือผู้บริหารระดับสูงของกิจการเปลี่ยนแปลงไปก็อาจจะมีส่วนทำให้วัฒนธรรมขององค์กรเปลี่ยนแปลงไปด้วย ซึ่งวัฒนธรรมขององค์กรก็จะมีความเชื่อมโยงกับแนวคิดการกำกับดูแลกิจการด้วย

ประการที่ 2 - สภาพแวดล้อมด้านกฎเกณฑ์

ในกิจการที่มีเงื่อนไขในด้านของกฎเกณฑ์ที่ต่างกัน จะมีผลให้การกำกับการปฏิบัติให้เป็นไปตามกฎเกณฑ์มีความแตกต่างกันออกไปด้วยตาม Compliance Environment

ในกิจการที่เงื่อนไขของกฎเกณฑ์ต่างๆมีความเข้มงวดมาก ก็จะทำให้กิจการมีแนวโน้มที่จะต้องควบคุมและกำกับการปฏิบัติที่รัดกุมและเคร่งครัดตามไปด้วย

ประการที่ 3 ระดับการพึ่งพา IT ของความสำเร็จในการดำเนินกลยุทธ์ทางธุรกิจ

หากการดำเนินกลยุทธ์ทางธุรกิจมีแนวโน้มที่จะพึ่งพา IT สูง กิจการนั้นก็จะมีแนวโน้มที่จะต้องให้ความสำคัญกับการควบคุมคุณภาพของ IT และใช้ประโยชน์จาก IT ให้มั่นใจว่าจะทำให้ผลตอบแทนของการลงทุนคุ้มค่าด้วย

ประการที่ 4 - มาตรฐานและแนวพึงปฏิบัติของตลาดหรือของอุตสาหกรรม

กิจการไม่อาจจะตัดสินใจได้ตามลำพัง หากอุตสาหกรรมหรือตลาดที่เกี่ยวข้องได้วางมาตรฐานด้าน IT ไว้อย่างชัดเจนแล้ว การดำเนินการด้าน IT ของกิจการจำเป็นต้องสอดคล้องกับตลาดและอุตสาหกรรมด้วย

ดังนั้น คุณค่าของ IT Governance ที่มีต่อกิจการจึงอาจจะไม่เท่าเทียมกัน และไม่อาจจะเทียบเคียงกันได้ หากสิ่งที่มีส่วนในการกำหนด IT Governance ไม่เหมือนกัน

กระนั้น ก็ดี กิจการสมัยใหม่ก็ยังคงมีความเชื่อเป็นส่วนใหญ่ว่า IT Governance ที่มีประสิทธิผลน่าจะมีส่วนช่วยสนับสนุนความสำเร็จของกิจการดีกว่ากิจการที่ไม่ได้ใช้ IT Governance ในการกำกับและจัดการกิจการ เพราะกิจการจะมีความได้เปรียบในการกำกับดูแลกิจการดีขึ้น

แต่การที่กิจการใดจะมี IT Governance ที่มีประสิทธิผล ไม่ใช่เรื่องที่เกิดโดยบังเอิญ หากแต่ต้องมาจากการออกแบ และจัดวางด้วยความตั้งใจ ซึ่งหากทำได้จะทำให้กิจการได้มูลค่าเพิ่มจาก IT Governance ด้วย จาก

1) การใช้ IT ในฐานะของสินทรัพย์

2) การลงทุนใน IT ได้อย่างเหมาะสม

3) การเชื่อมโยง IT กับความสำเร็จของผลดำเนินงานทางธุรกิจ

กิจกรรมที่สะท้อนถึงการดำเนินงาน IT Governance ในกิจการอาจจะพิจารณาได้จาก

1) การเปลี่ยนแปลงและยกระดับ IT สู่ระดับกลยุทธ์และแผนองค์กรควบคู่กับแผนกลยุทธ์ทางธุรกิจ

2) การวางโครงการด้าน IT และกิจกรรมภายใต้โครงการ IT ที่มุ่งสร้างคุณค่าและประโยชน์ที่รองรับแผนกลยุทธ์ทางธุรกิจ โดยแสดงความสัมพันธ์กันอย่างชัดเจน

3) การวิเคราะห์โอกาสทางธุรกิจและเชื่อมโยงสู่การพัฒนาศักยภาพและความพร้อมด้าน IT เพื่อให้พร้อมที่จะปรับปรุงเพื่อเข้าถึงโอกาสทางธุรกิจใหม่ๆโดยเฉพาะเทคโนโลยีใหม่

4) การเพิ่มทรัพยากรที่จัดสรรให้กับงานโครงการด้าน IT และกิจกรรม IT เพื่อให้มั่นใจว่าการใช้ประโยชน์ IT จะเป็นไปอย่างมีประสิทธิภาพและสามารถบริหารงานกลยุทธ์ธุรกิจได้

5) การดึงเอาปัจจัยเสี่ยงและตัวขับเคลื่อนความเสี่ยงที่ส่งผลกระทบต่อความสำเร็จทางธุรกิจในส่วนที่เกี่ยวข้องกับ IT และเทคโนโลยีมีการวางแผนการบริหารความเสี่ยงอย่างเพียงพอจนระดับความเสี่ยงลดลงอยู่ในระดับที่ยอมรับได้ ในจุดการตัดสินใจ การทำกิจกรรมประจำวัน อุบัติการณ์

6) มีการใช้แนวคิดการกำกับ IT บน IT GRC (Governance, Risk Management and Compliance) แทนที่จะใช้ IT Governance เพียงด้านเดียว เพื่อให้ IT พิจารณาบนมิติของความเสี่ยงและการกำกับการปฏิบัติตามกฎเกณฑ์อย่างเพียงพอ

7) การกำหนดตัวชี้วัด ความสำเร็จของ IT Governance และถือว่าเป็นส่วนหนึ่งของการกำกับติดตามและประเมินผลดำเนินงานของแผนกลยุทธ์แต่ละแผน โดยหนึ่งในตัวชี้วัดความสำเร็จ คือ การทดสอบ (Testing) ประสิทธิผลของการใช้ IT ในการควบคุมและกำกับว่าเป็นไปอย่างเพียงพอ

จะเห็นว่า สิ่งที่จะสะท้อนถึงการยกระดับและพัฒนาIT Governance มีส่วนหนึ่งที่มีความเป็นรูปธรรมที่ชัดเจนที่สามารถประเมินได้ ได้แก่

1) บทบาท CIO ที่ควรจะมีส่วนร่วมรับรู้ ให้ความเห็นเกี่ยวกับบทบาทและกิจกรรมด้าน IT ในระหว่างที่กิจการมีการวางแผนกลยุทธ์ธุรกิจ เพื่อให้แผนงานและกลยุทธ์ด้าน IT เป็นส่วนหนึ่งของแผนกลยุทธ์ธุรกิจ

2) การแต่งตั้งคณะกรรมการชุดกำกับ IT Governance เพื่อติดตามในภาพรวม (Oversight) ของการวางแผนงานและกลยุทธ์ IT การดำเนินงานที่เกิดจริง และช่วยในการแก้ไขปัญหาและอุปสรรคระหว่างการดำเนินงาน

3) คณะกรรมการบริษัทและผู้บริหารระดับสูงมีการกำหนดวาระการประชุมเป็นวาระประจำที่ติดตามความก้าวหน้าของการดำเนินงานด้าน IT Governance และผลงานของ IT ที่มีส่วนในการสนับสนุนกลยุทธ์ทางธุรกิจ

ในส่วนของการดำเนินโครงการด้าน IT และกิจกรรมภายใต้ IT ที่สะท้อนคุณค่าต่อองค์กร อาจจะพิจารณาได้จากการประเมินในประเด็นต่อไปนี้

1) เงื่อนไขการควบคุมที่จัดวางไว้ในส่วนของซอฟท์แวร์ และการพัฒนาด้านซอฟท์แวร์ มีการจัดทำเป็นลายลักษณ์อักษร และสื่อสารที่ชัดเจน

2) การเปลี่ยนแปลงด้านกระบวนการดำเนินงาน ที่เกี่ยวข้องกับการใช้ระบบงาน และ IT มีการจัดทำเป็นลายลักษณ์อักษร และสื่อสารให้เกิดความเข้าใจ

3) การกำหนดเกณฑ์ที่ยอมรับได้ ที่กำหนดให้ปฏิบัติงานเป็นไปตามเงื่อนไข และกฎเกณฑ์ที่กำหนด

4) การควบคุมและบริหารสารสนเทศที่เกี่ยวข้องในด้านความปลอดภัยและป้องกันการแก้ไขเปลี่ยนแปลง ตลอดจนที่เกี่ยวข้องกับการเปิดเผยให้เป็นไปอย่างโปร่งใส ถูกต้อง

5) สารสนเทศส่วนที่เป็นผลดำเนินงาน และข้อมูลประกอบการตัดสินใจอยู่ในระบบ MIS และมีการวาง Information Flow และความถี่การปรับปรุงข้อมูล เจ้าของข้อมูลอย่างชัดเจน

การพิจารณาโอกาสทางธุรกิจที่เกี่ยวข้องกับ IT อาจจะประเมินได้จาก

1) การศึกษาเทคโนโลยีใหม่ที่เกิดขึ้น และวิเคราะห์โอกาสและความเป็นไปได้ในการนำมาใช้ประโยชน์ในการสร้างมูลค่าเพิ่มทางธุรกิจแก่กิจการ โดยมีผลการศึกษาชัดเจน

2) ประเด็นที่ใช้ในการวิเคราะห์โอกาสทางธุรกิจประกอบด้วย

    (2.1) การติดต่อและสัมพันธ์กับลูกค้า หรือลูกค้าติดต่อกับกิจการ 

    (2.2) การต่อยอดบริการที่จะนำเสนอต่อลูกค้า

    (2.3) การรวบรวมข้อมูลป้อนกลับ ความเห็น แนวคิดจากลูกค้าและผู้มีส่วนได้ส่วนเสีย

    (2.4) การประเมิน ติดตามการตอบรับและสนองตอบจากตลาด

    (2.5) การเชื่อมโยง ประสานการปฏิบัติงานภายในกิจการ และ KM

    (2.6) การพัฒนาระบบการติดตาม ประเมินผลดำเนินงาน