Q1 จากระดับ 3 ของการประเมิน รัฐวิสาหกิจมีการถ่ายทอดกระบวนการกำกับดูแลด้านการบริหารจัดการ คำถาม
ตอบ
Q2 การประเมินคะแนน หมวด DT ระดับคะแนนที่ได้รับการประเมินจะสามารถได้ในระดับถัดไปต้องผ่านรวมทุกข้อใช่หรือไม่ (ทั้งข้อใหญ่และข้อย่อย ของ DT) ตอบ การประเมินของ DT แบ่งเป็น 2 ส่วนอย่างชัดเจน ในส่วนของการประเมินส่วนกระบวนการ ซึ่งจะเป็นหัวข้อแรกของทุกข้อ (กระบวนการ) โดยประเมินแบบ Maturity Level คือไม่ครบถ้วนสมบูรณ์ในแต่ละระดับขั้นจะไม่สามารถเลื่อนระดับได้ ส่วนหัวข้อย่อยจะเป็นการประเมินส่วนผลลัพธ์ที่สำคัญที่แต่ละกระบวนการควรจะมีโดยจะพิจารณาเชิงคุณภาพ และความสมบูรณ์แต่ละผลลัพธ์ ซึ่งจะไปเป็นส่วนหนึ่งขององค์ประกอบ ในระดับ 2 ของการประเมินแบบกระบวนการ ดังนั้นในการประเมินส่วนกระบวนการจะได้คะแนนระดับ 3 ได้ ก็ต้องมีคะแนนการประเมินส่วนผลลัพธ์ที่ครบถ้วน Q3 หัวข้อ2 ประเด็นย่อย 2.2 การบริหารโครงการและการดำเนินงานด้านเทคโนโลยีดิจิทัลอย่างมีประสิทธิภาพ โดยครอบคลุมถึงการบริหารจัดการการระบุและการจัดสร้างกระบวนแก้ปัญหาแบบเบ็ดเสร็จการจัดสร้างกระบวนแก้ปัญหาแบบเบ็ดเสร็จ คืออะไร ตอบ การบริหารจัดการการระบุและการจัดสร้างกระบวนแก้ปัญหาแบบเบ็ดเสร็จเป็นหนึ่งในกระบวนการของ COBIT 5 BAI 03 บริหารจัดการการระบุและจัดสร้างกระบวนการแห้ปัญหาแบบเบ็ดเสร็จ (BAI03 Manage Solutions Identification and Build) คำอธิบายกระบวนการ จัดสร้างและดูแลกระบวนการแก้ปัญหาแบบเบ็ดเสร็จที่ระบุไว้ให้เป็นไปตามข้อกำหนดความต้องการขององค์กร โดยครอบคลุมการออกแบบ การพัฒนา การจัดซื้อ/จัดหา การเป็นพันธมิตรกับผู้ขาย หรือผู้ให้บริการ การบริหารองค์ประกอบของระบบ การเตรียมการเพื่อทดสอบ การทดสอบ การบริหารจัดการ สรุป จะต้องมีการระบุแนวทางในการดำเนินงานต่างๆไว้อย่างชัดเจน เพื่อให้เป็นไปตามข้อกำหนดความต้องการขององค์กร ตั้งแต่เรื่อง การออกแบบ การพัฒนา การจัดซื้อ/จัดหา การเป็นพันธมิตรกับผู้ขายหรือผู้ให้บริการ การบริหารองค์ประกอบของระบบ การเตรียมการเพื่อทดสอบ การทดสอบ การบริหารจัดการความต้องการ ตลอดจนการดูแลกระบวนการทางธุรกิจ ระบบงาน สารสนเทศ/ข้อมูลโครงสร้างพื้นฐานและบริการ เพื่อให้ผู้ปฏิบัติสามารถดำเนินการได้อย่างถูกต้องและครบถ้วนทุกขั้นตอน ตัวอย่างเช่น คู่มือการออกแบบระบบงาน ก็จะต้องมีการระบุขั้นตอนการดำเนินงานไว้อย่างชัดเจน ตั้งแต่เก็บรวบรวมความต้องการให้ครบถ้วน ประชุมหารือกับเจ้าของระบบ....... ฯลฯ รวมถึงถ้าเจอปัญหาจะพิจารณาแก้ไขอย่างไร ใครมีอำนาจในการตัดสินใจ อย่างนี้เป็นต้น ทุกอย่างต้องระบุให้ชัดเจนทุกขั้นตอนทั้งรายละเอียดกิจกรรม ผู้รับผิดชอบ ระยะเวลา Q4 การบูรณาการเชื่อมโยงข้อมูลและการดำเนินงานร่วมกันระหว่างหน่วยงาน หากรัฐวิสาหกิจมีหน่วยงานที่เกี่ยวข้องจำนวนน้อย หรือมีผู้มีส่วนได้ส่วนเสียน้อยราย จะพิจารณาอย่างไร ตอบ การประเมินผลในส่วนของการบูรณาการเชื่อมโยงข้อมูลและการดำเนินงานร่วมกันระหว่างหน่วยงาน
ตอบ การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) จะพิจารณาจากการจัดการกระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถทำซ้ำได้ (Repeatable Practice)และเป็นมาตรฐาน (Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กรโดยมีการวัด วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนามาปรับปรุง และพัฒนากระบวนการอย่างต่อเนื่อง
ตอบ การประเมินด้านการพัฒนาเทคโนโลยีดิจิทัลควรครอบคลุมกระบวนการ ได้แก่
ตอบ การกำกับดูแล (Governance) การกำกับดูแล ทำให้มั่นใจได้ว่าความต้องการ เงื่อนไข
และทางเลือกของผู้มีส่วนได้เสียได้รับการประเมินเพื่อกำหนดวัตถุประสงค์ที่องค์กรต้องการให้บรรลุซึ่งมีความสมดุลและเห็นชอบร่วมกัน การกำหนดทิศทาง ผ่านการจัดลำดับความสำคัญและการตัดสินใจ และการเฝ้าติดตามผลการดาเนินงานและ การบริหารจัดการ (Management) ผู้บริหารวางแผน สร้าง
ดำเนินงาน และเฝ้าติดตามกิจกรรมต่างๆ ให้สอดคล้องกับทิศทางที่กำหนด ที่มา : กรอบการดาเนินงานทางธุรกิจสาหรับการกากับดูแลและการบริหารจัดการไอทีระดับองค์กร, COBIT5 ISACA Model for Corporate Governance of Information Technology โดยรูปแบบ Corporate Governance of Information Technology มีหลักการจำนวน 6 ด้าน ดังนี้ 1) หลักการที่ 1 ความรับผิดชอบ (Responsibility) ธุรกิจ (ลูกค้า) และฝ่ายเทคโนโลยีสารสนเทศ (IT) (ผู้ให้บริการ) ควรร่วมมือกันแบบเป็นพันธมิตรที่มี 2) หลักการที่ 2 กลยุทธ์ (Strategy) การวางแผนกลยุทธ์ทางเทคโนโลยีสารสนเทศ
(IT) มีความซับซ้อนและความสำคัญ 3) หลักการที่ 3 การจัดซื้อจัดหา (Acquisition) กระบวนการแก้ไขปัญหาแบบเบ็ดเสร็จด้านเทคโนโลยีสารสนเทศ (IT) มีไว้เพื่อสนับสนุนกระบวนการด้านธุรกิจ ดังนั้น จึงต้องระมัดระวังที่จะไม่นำกระบวนการแก้ไขปัญหาแบบเบ็ดเสร็จด้านเทคโนโลยีสารสนเทศ (IT) ไปพิจารณาแยกอีกต่างหาก หรือมองเป็นเพียงแค่โครงการหรือบริการด้านเทคโนโลยีเท่านั้น
ในทางกลับกัน การเลือกสถาปัตยกรรมของเทคโนโลยีที่ไม่เหมาะสม ความล้มเหลวที่จะทาให้โครงสร้างพื้นฐานด้านเทคนิคทันสมัยและเหมาะสมหรือการขาดบุคลากรที่มีทักษะ ล้วนสามารถส่งผลให้โครงการล้มเหลวและขาดความสามารถที่จะดำเนินกิจกรรมทางธุรกิจได้อย่างยั่งยืน หรือลดคุณค่าที่มีต่อธุรกิจ การจัดซื้อจัดหาทรัพยากรด้านไอทีจึง ควรพิจารณาเสมือนเป็นส่วนหนึ่งของการเปลี่ยนแปลงทางธุรกิจ โดยมีปัจจัยด้านเทคโนโลยีสารสนเทศ (IT) เป็นปัจจัยสนับสนุน
เทคโนโลยีที่จัดซื้อมาจะต้องสนับสนุนและสามารถทำงานร่วมกับกระบวนการทางธุรกิจและโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ (IT) ที่องค์กรมีอยู่แล้วและที่วางแผนการนำไปใช้งานก็ไม่ใช้เป็นเพียงแค่ประเด็นด้านเทคโนโลยีเท่านั้น แต่จะต้องรวมไปกับการเปลี่ยนแปลงองค์กร การปรับปรุงกระบวนการทางธุรกิจ 4) หลักการที่ 4 ผลการดำเนินงาน (Performance) การวัดผลการดำเนินงานที่มีประสิทธิผลขึ้นอยู่กับมุมมองหลัก 2 ด้านคือ คำจำกัดความที่ชัดเจนของคำว่า “ผลการดำเนินงานเป้าหมาย” และ “การจัดทำมาตรวัดที่มีประสิทธิผลสำหรับการเฝ้าติดตามการบรรลุเป้าหมาย” จึงจำเป็นต้องมีกระบวนการในการวัดผลการดำเนินงานเพื่อให้มั่นใจว่า ผลการดำเนินงานนั้นได้รับการเฝ้าติดตามอย่างสม่ำเสมอและเชื่อถือได้
การกำกับดูแลจะมีประสิทธิผลก็ต่อเมื่อวัตถุประสงค์กำหนดมาจากบนลงล่างซึ่งสอดคล้องกับเป้าหมายทางธุรกิจในภาพรวมที่ได้รับอนุมัติ และมาตรวัดจัดทำขึ้นจากล่างขึ้นบน ซึ่งสอดคล้องไปในทางที่เอื้อให้บรรลุเป้าหมายในทุกระดับ โดยมีผู้บริหารของแต่ละระดับชั้นเฝ้าติดตามปัจจัยสาคัญ สู่ความสาเร็จในการกำกับดูแล 2 ปัจจัยคือ การที่ผู้มีส่วนได้เสียอนุมัติเป้าหมาย และการที่บุคลากรในระดับกรรมการและผู้จัดการยอมรับความรับผิดชอบในผลงาน (Accountability) ในการบรรลุเป้าหมายด้านเทคโนโลยีสารสนเทศ (IT)
เป็นหัวข้อที่มีความซับซ้อนและมีรายละเอียด 5) หลักการที่ 5 ความสอดคล้องกัน (Conformance) ตลาดโลกในวันนี้มีอินเตอร์เน็ตและเทคโนโลยีที่ก้าวหน้าเป็นปัจจัยเอื้อ องค์กรจำเป็นต้องปฏิบัติตามข้อกาหนดด้านกฏหมายและกฎระเบียบข้อบังคับที่มีจำนวนเพิ่มมากขึ้น จากข่าวอื้อฉาวและความล้มเหลวด้านการเงินของบริษัทต่างๆ เมื่อไม่กี่ปีที่ผ่านมา ทำให้คณะกรรมการเกิดความตระหนักอย่างมากในเรื่องของกฏหมายและกฎระเบียบข้อบังคับที่ออกมาบังคับใช้ ซึ่งเข้มข้นขึ้นและผลกระทบที่มีผู้มีส่วนได้เสียต้องการความเชื่อมั่นเพิ่มขึ้นว่า ในการดำเนินงานจริงองค์กรได้ปฏิบัติตามกฏหมายและกฎระเบียบข้อบังคับ และดำเนินการตามแนวปฏิบัติที่ดี ด้านการกำกับดูแลองค์กรแล้ว นอกจากนี้ จากการที่เทคโนโลยีสารสนเทศ (IT) ได้เอื้อให้เกิดกระบวนการทางธุรกิจระหว่างองค์กรอย่างไร้รอยต่อ จึงมีความจำเป็นที่จะต้องมั่นใจได้ว่า สัญญาต่างๆ ครอบคลุมถึงข้อกำหนดที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT) ในเนื้อหาอาทิเช่น การรักษาความเป็นส่วนบุคคล การรักษาความลับ การรักษาสินทรัพย์ทางปัญญา และการรักษาความมั่นคงปลอดภัย เป็นต้น กรรมการจำเป็นต้องมั่นใจได้ว่า การปฏิบัติ ตามข้อกำหนดจากองค์กรภายนอกถือเป็นส่วนหนึ่งของการวางแผนกลยุทธ์มากกว่าที่จะให้เกิดความเสียหายขึ้นแล้วพิจารณาภายหลัง กรรมการยังจำเป็นต้องกำหนดแนวทางจากผู้บริหารระดับสูง พร้อมทั้งกำหนดเป็นนโยบายและขั้นตอนการปฏิบัติงานให้ผู้บริหารและพนักงานปฏิบัติตาม เพื่อให้มั่นใจว่าได้บรรลุเป้าหมายขององค์กร ลดความเสี่ยง และมีการปฏิบัติตาม (กฎหมาย/กฎระเบียบข้อบังคับ) ผู้บริหารระดับสูงจะต้องทำให้เกิดความสมดุลระหว่างประสิทธิภาพในการดำเนินงานและการปฏิบัติตาม (กฎหมาย/กฎระเบียบข้อบังคับ) เพื่อให้มั่นใจว่าเป้าหมายของประสิทธิภาพในการดำเนินงานไม่ขัดแย้งกับการปฏิบัติตาม (กฎหมาย/กฎระเบียบข้อบังคับ) และในทางตรงกันข้าม การปฏิบัติตาม (กฎหมาย/กฎระเบียบข้อบังคับ) ก็ต้องมีความเหมาะสม ไม่เข้มงวดมากจนเกินไปกับการดำเนินธุรกิจ 6) หลักการที่ 6 พฤติกรรมบุคคล (Human Behavior) การนำการเปลี่ยนแปลงใดๆ ที่มีเทคโนโลยีสารสนเทศเป็นปัจจัยเอื้อไปใช้งาน ซึ่งรวมถึงการกำกับดูแลด้านเทคโนโลยีสารสนเทศด้วยต้องมีการเปลี่ยนแปลงอย่างเป็นนัยสาคัญต่อวัฒนธรรมและพฤติกรรมภายในองค์กร เช่นเดียวกับลูกค้าและพันธมิตรทางธุรกิจ ซึ่งอาจสร้างความวิตกและความไม่เข้าใจให้เกิดขึ้นท่ามกลางกลุ่มพนักงาน ดังนั้น
การนำไปใช้จึงจำเป็นต้องได้รับการจัดการอย่างระมัดระวังเพื่อให้บุคลากรยังคงมีทัศนคติที่ดีในการทำงาน และกรรมการจะต้องสื่อสารเป้าหมายอย่างชัดเจนและแสดง ที่มา : กรอบการดาเนินงานทางธุรกิจสาหรับการกากับดูแลและการบริหารจัดการเทคโนโลยีสารสนเทศระดับองค์กรและ COBIT5 : ISACA
ตอบ สถาปัตยกรรมองค์กร (Enterprise Architecture) คือ กระบวนในการนำเอาเทคโนโลยีสารสนเทศ (Information Technology: IT) มาสนับสนุนการดำเนินงานธุรกิจ (Business) ตัวอย่างสถาปัตยกรรมองค์กร (Enterprise Architecture)
ตอบ ทุกกระบวนการในการประเมินหัวข้อการพัฒนาเทคโนโลยีดิจิทัล (Digital
Technology : DT) จะต้องมีการวิเคราะห์ผู้มีส่วนได้ส่วนเสียที่เกี่ยวกับกระบวนการนั้นๆ ซึ่งจะมีจำนวนผู้มีส่วนได้ส่วนเสีย
ทั้งนี้ ควรจะเชิญบุคคลใดเป็นจากคณะกรรมการทีมีความรู้เทคโนโลยีมาเป็นประธานของคณะกรรมการ IT หรือไม่ เพื่อให้เกิดการกำกับดูแลงานด้าน IT ตอบ ขึ้นอยู่กับการพิจารณาขององค์กร โดยแนวทาง Best Practices ขององค์กรขนาดใหญ่ โครงสร้างการกำกับด้านดิจิทัล ควรมีคณะกรรมการรัฐวิสาหกิจมาเป็นองค์ประกอบของคณะกรรมการดิจิทัล เพื่อขับเคลื่อนการนำดิจิทัล มาปรับใช้กับทุกส่วนขององค์กร โดยองค์กรขนาดเล็กอาจไม่จำเป็น แต่อย่างไรก็ตามโดยลักษณะของรัฐวิสาหกิจ การจะขับเคลื่อนประเด็นใดให้มีประสิทธิภาพ ส่วนมากก็ควรจะได้รับการสนับสนุนจากคณะกรรมการรัฐวิสาหกิจ ทั้งนี้ เกณฑ์การประเมินจะไม่จำกัดรูปแบบโครงสร้างการกำกับดูแล แต่จะดูผลลัพธ์ที่มีประสิทธิภาพของการกำกับดูแล มากกว่า
ตอบ ประเด็นกระบวนการกำกับดูแลฯ เกณฑ์การประเมินไม่ได้กำหนดรูปแบบโครงสร้างและกระบวนการ ขึ้นอยู่กับแต่ละรัฐวิสาหกิจนั้นๆ กำหนด โดยต้องมีแนวทางที่กำหนดไว้อย่างชัดเจนในทุกประเด็น และที่สำคัญต้องสามารถ บอกได้ว่า สิ่งที่ดำเนินการตามแนวทางนั้นมีประสิทธิภาพ เช่น กำหนด KPI วัดประสิทธิผลของกระบวนการ เป็นต้น
ตอบ โดยปกติการกำกับดูแลจะต้องมีนโยบายกำกับดูแลฯ ที่ครอบคลุมการพัฒนาเทคโนโลยีดิจิทัล
ตอบ หลักการพื้นฐานของการประเมินด้านการพัฒนาเทคโนโลยีดิจิทัล (Digital Technology) ในทุกกระบวนการจะต้องมีการวิเคราะห์ผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับกระบวนการให้ครบถ้วน เพื่อถ่ายทอดแนวทาง และผลผลิตของกระบวนการให้ผู้มีส่วนได้ส่วนเสียให้มีการรับรู้ รวมถึงการประเมินผลการรับรู้ของผู้ส่วนได้ส่วนเสียที่เกี่ยวข้อง โดยจำนวนผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องขึ้นอยู่กับการวิเคราะห์แต่ละกระบวนการ
ตอบ แนวทางการประเมินตัวชี้วัดดังกล่าวเป็นการประเมินการบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) ในการบริหารจัดการทุกด้านขององค์กร ซึ่งจะพิจารณาจากแผนการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan :BCP) และแผนดำเนินงานที่จะต้องเตรียมไว้ในการกู้ระบบ
ตอบ เกณฑ์การประเมินผล Enablers ทั้ง 8 ด้าน <หน้า 2> |