อาจารย์จิรพร สุเมธีประสิทธิ์
ด้วยเหตุที่การกำกับดูแลกิจการด้วย IT ที่เรียกว่า IT Governance หรือไอทีภิบาลเป็นเรื่องของการกำกับดูแลในระดับองค์กร จึงมีความจำเป็นที่จะต้องดึงเอาคณะกรรมการบริษัทเข้ามารับผิดชอบในเรื่องนี้ให้ชัดเจน
ISO จึงตัดสินใจออกมาตรฐานโดยเฉพาะในเรื่องนี้เรียกว่า ISO 38500:Corporate Governance For IT เพื่อวางหลักการสำหรับคณะกรรมการบริษัทเพื่อใช้เป็นแนวทางในการ
(ก) ประเมิน
(ข) จัดการระดับนโยบาย และ
(ค) กำกับติดตามความคืบหน้าในการใช้ IT ภายในกิจการโดยใช้มาตั้งแต่ปี 2008
กิจการตระหนักในความสำคัญของ IT แต่มีเพียงไม่กี่กิจการที่สามารถจะประเมินผลตอบแทนของการลงทุนด้าน IT ได้อย่างชัดเจน และบางกิจการผลตอบแทนกลับออกมามีค่าติดลบด้วยซ้ำ หากไม่ได้ดึงเอา IT มาใช้รองรับและส่งเสริมการเติบโตทางธุรกิจอย่างทัดเทียมกัน
มาตรฐานISO 38500 จึงช่วยวางกรอบแนวทางเพื่อให้การกำกับด้าน IT เกิดประสิทธิผล เพื่อช่วยเพิ่มความเข้าใจแก่คณะกรรมการบริษัทและผู้บริหารระดับสูง ตั้งแต่นิยาม หลักการ และแบบจำลองการกำกับด้าน IT
|
ประการที่ 1 |
ขอบเขตของมาตรฐาน ครอบคลุมการกำกับกระบวนการบริหารและการตัดสินใจที่เกี่ยวข้องกับบริการสารสนเทศและการสื่อสารที่ใช้อยู่ในกิจการ กระบวนการบริหารตามมาตรฐานนี้อาจจะควบคุมโดยผู้เชี่ยวชาญ IT ภายในกิจการ หรือผู้ให้บริการภายนอกหรือหน่วยธุรกิจภายในกิจการ เป็นมาตรฐานที่ต้องการแนะนำ ชี้แจง ช่วยเหลือคณะกรรมการบริษัทในด้านงานกำกับไอทีหรือไอทีภิบาล |
|
ประการที่ 2 |
วัตถุประสงค์ของมาตรฐาน เพื่อส่งเสริมการใช้ IT ให้มีประสิทธิภาพ เกิดประสิทธิผลและเป็นที่ยอมรับ (1) ทำให้ผู้มีส่วนได้ส่วนเสียสามารถมั่นใจองค์กรที่กำกับด้าน IT ตามมาตรฐาน (2) ทำให้คณะกรรมการบริษัทมีข้อมูลและแนวทางในการกำกับการใช้งาน IT ในกิจการ (3) ทำให้ได้พื้นฐานในการประเมินงานกำกับกิจการด้าน IT |
|
ประการที่ 3 |
ประโยชน์ของการใช้มาตรฐาน เป็นมาตรฐานที่ให้หลักการการใช้งาน IT อย่างมีประสิทธิภาพเกิดประสิทธิผลและเป็นที่ยอมรับ สามารถรักษาดุลยภาพระหว่างประเด็นความเสี่ยงและผลตอบแทนจากการเข้าถึงโอกาสที่มาจากการใช้ IT นอกจากนั้น มาตรฐานยังเสนอแบบจำลองในการกำกับกิจการด้าน IT เพื่อลดความเสี่ยงของคณะกรรมการบริษัทในการนำเอาหลักการตามมาตรฐานนี้ไปใช้ในกิจการ |
|
ประการที่ 4 |
กระบวนการดำเนินธุรกิจของกิจการที่เกี่ยวข้องกับ IT อาจจะมีลักษณะของความเสี่ยงเฉพาะเจาะจง หากกำกับดูแลไม่เหมาะสมและไม่เพียงพอ อย่างเช่น (1) ประเด็นด้านการรักษาความปลอดภัยไม่เป็นไปตามมาตรฐาน (2) ประเด็นด้านการรักษาความลับของข้อมูล (3) ประเด็นด้านการเกิด spam (4) ประเด็นด้านการใช้วิธีปฏิบัติทางการค้าที่เป็นไปตามธรรมเนียมและกฎหมาย (5) ประเด็นเรื่องการละเมิดทรัพย์สินทางปัญญา (6) ประเด็นเรื่องความจำเป็นในการเก็บรักษาข้อมูลที่ได้ดำเนินการไปแล้ว (7) ประเด็นด้านการอนุรักษ์สภาพแวดล้อมไม่เป็นไปตามกฎหมาย (8) ประเด็นด้านสุขภาพและการรักษาความปลอดภัยตามเงื่อนไขของกฎหมาย (9) ประเด็นเรื่องการควบคุมสิทธิในการเข้าถึงข้อมูลไม่เป็นไปตามกฎหมาย (10) ประเด็นกฎหมายกำหนดให้ต้องแสดงความรับผิดชอบต่อสังคม |
|
ประการที่ 5 |
การใช้ IT เพื่อเชื่อมโยงกับผลดำเนินงานและการบริหารผลดำเนินงาน (1) ผ่านการประยุกต์ใช้และการทำหน้าที่ในฐานะของสินทรัพย์ด้าน IT (2) ผ่านความชัดเจนของหน้าที่ ความรับผิดชอบในการใช้และบำรุงรักษา IT ให้บรรลุเป้าประสงค์ขององค์กร (3) ผ่านการส่งเสริมความต่อเนื่องทางธุรกิจและความยั่งยืนของกิจการ (4) ผ่านการปรับปรุง IT ให้สอดคล้องกับความจำเป็นทางธุรกิจ (5) ผ่านการจัดสรรทรัพยากรอย่างมีประสิทธิภาพ (6) ผ่านการสร้างนวัตกรรมของบริการ การตลาด และของธุรกิจ (7) ผ่านการปฏิบัติที่ดี และมีความสัมพันธ์ที่ดีกับผู้มีส่วนได้ส่วนเสีย (8) ผ่านการลดต้นทุนการดำเนินงานของกิจการ (9) ผ่านการรับรู้ประโยชน์ที่เกิดจากการลงทุนใน IT |
|
ประการที่ 6 |
การใช้งาน IT ภายในกิจการ หมายความถึง การวางแผน การพัฒนา การบริหาร การดูแลการใช้และการนำไปใช้ของ IT ที่มุ่งเน้นจะตอบสนองความต้องการของธุรกิจ ISO 38500 ครอบคลุมงานการกำกับดูแล แต่ไม่รวมงานบริหารและการจัดการตามภาระหน้าที่ตามปกติ โดยครอบคลุมทั้งด้าน (ก) ความต้องการในบริการด้าน IT และ(ข) การมีอยู่และด้านอุปทานของบริการด้าน IT ทั้งจากภายในและภายนอกกิจการ กิจการจะต้องแยกแยะระหว่างคำว่า Governance ออกจากคำว่า Management การ Governance รวมการประเมินผลด้วยนอกเหนือจากการสอดส่อง ติดตามการดำเนินตามปกติ |
|
ประการที่ 7 |
องค์ประกอบของมาตรฐาน มี 3 ส่วน ส่วนที่ 1 ขอบเขต ส่วนที่ 2 กรอบแนวทาง ส่วนที่ 3 แนวทางพึงปฏิบัติ |
|
ประการที่ 8 |
หลักการสำคัญของ IT Governance ประกอบด้วย 6 หลักการด้วยกัน (1) หลักความรับผิดชอบ บุคลากรทุกระดับรับรู้ความรับผิดชอบของตนทั้งในด้านความต้องการต่อ IT และการจัดให้มี IT เป็นเครื่องมือให้บริการและมีอำนาจในการทำให้เกิด IT ตามที่ควรจะเป็น (2) หลักการยึดมั่นด้วยกลยุทธ์ กลยุทธ์ทางธุรกิจควรจะปรับปรุงให้สอดคล้องกับความเป็นไปได้ด้าน IT และ IT ทั้งหมดที่มีภายในกิจการควรจะสนับสนุนกลยุทธ์ทางธุรกิจ (3) หลักการจัดหา IT การลงทุนในด้าน IT ทั้งหมดต้องเป็นไปบนพื้นฐานของลักษณะทางธุรกิจ และสามารถกำกับติดตามได้อย่างต่อเนื่องว่าสมมติฐานที่กำหนดไว้ ณ วันที่ตัดสินใจลงทุนยังคงเป็นจริงหรือไม่ (4) หลักผลดำเนินงาน ผลดำเนินงานของระบบ IT ควรจะนำสู่ประโยชน์ทางธุรกิจและมีผลดำเนินงานที่ครบถ้วนตามเงื่อนไขที่จำเป็นในการใช้ IT สนับสนุนธุรกิจอย่างเหมาะสม (5) หลักการสอดคล้องกับกฎหมาย ระบบงาน IT ควรมีส่วนช่วยให้หลักประกันว่า กระบวนการดำเนินกิจการจะสอดคล้องกับกฎเกณฑ์ เงื่อนไข ทางกฎหมาย และตัว IT เองควรจะสอดคล้องตามเงื่อนไขทางกฎหมาย และระเบียบทีวางไว้ในกิจการเอง (6) หลักการกำกับพฤติกรรมของบุคคล นโยบายด้าน IT ตลอดจนการปฏิบัติและการตัดสินใจคำนึงถึงพฤติกรรมของบุคคลและตระหนักในความจำเป็นของบุคลากรในกระบวนการที่เกี่ยวข้อง |
|
ประการที่ 9 |
การจำลองในการกำกับดูแลด้วย IT ในมาตรฐาน ISO 38500 ได้กำหนดว่าการดำเนินงานของกิจการควรจะกำกับงาน IT ผ่านภาระงานหลัก 3 ประการ ได้แก่ (1) การประเมินการใช้งาน IT ที่เป็นอยู่ในปัจจุบันและที่คาดว่าจะมีความจำเป็นในอนาคตเพื่อวางแผนการพัฒนา (2) การวางแนวทางตั้งแต่การเตรียมการและการนำมาใช้ เป็นแผนงานและนโยบายเพื่อทำให้มั่นใจว่าการใช้ IT จะบรรลุวัตถุประสงค์ของกิจการ (3) การกำกับติดตามสภาพการดำเนินงานที่เกิดจริงเปรียบเทียบกับที่กำหนดไว้เป็นนโยบายและความแตกต่างต้องไม่เกิดขึ้น |
ท่านอาจารย์จิรพรครับ กระผมขออนุญาติ print นะครับ ขอบคุณมากครับ