Framework คือ กรอบวิธีปฏิบัติ, Model คือแบบจำลอง, Reference Standard คือมาตรฐานข้ออ้างอิง ในบทนี้มาดูว่าในโลกนี้มี framework อะไรบ้าง คำแนะนำ และอ้างอิงต่างๆ สำหรับการเลือกใช้ สมมติว่าเราจะทำ IT Governance ให้กับองค์กร (ในมุมของผู้บริหาร) ในมุมของ Auditor ถ้าต้องไปตรวจสอบการทำงาน IT ขององค์กร ต้องอาศัยคู่มือเช่นเดียวกัน เลือกใช้ framework ให้เหมาะสมกับธุรกิจ เริ่มต้นตั้งแต่ปี 70 จาก Auditor แต่เป็นภาพรวมขององค์กร มองทั้งองค์กร เริ่ม framework IT ในปี 90
Model ,Standard,Framework ถ้าเราเลือกมาตัวใดตัวหนึ่ง จะไม่ครบวงจร (มองในมุมของ IT) ไม่มี (How To) รายละเอียดที่จะทำ เกี่ยวกับด้าน Process เช่นเกี่ยวกับด้านกระบวนการจัดซื้อ IT ก็จะกล่าวคร่าวๆว่า จะซื้ออย่างไร หน่วยงานไหน ก็ไม่ได้กล่าวไว้ ลักษณะ Template คือนำไปทำต่อได้เลย เป็นโครงร่าง Checklist เช่น ..ทำงบประมาณหรือยัง??..นอกจากนั้น Tool จำพวก โปรแกรม หรือแบบคำนวณ และ Too Flexible/too rigid หลวมเกินไป ยืดหยุ่นมากเกินไป กว้างเกินไป
ในเรื่องของ Framework เนื้อหาแบบกว้างๆ หรือรวมๆ จะมีดังนี้
- philosophy ปรัชญาของการทำงาน
- Key issue ประเด็นที่สนใจในขณะนั้น เช่น ขณะนี้กำลังสนในในเรื่องกำไร ขาดทุน ความอยู่รอด
- Legal กฎหมายที่ออกใหม่
- Maturity ความเป็น professional ในการทำงาน IT
- Culture วัฒนธรรมขององค์กร (ไม่ยอมรับสิ่งใหม่ๆ แก้ไม่ได้)
(จาก Slide Ch#1) Content ที่สำคัญเกี่ยวกับ framework / model จะเป็นเรื่องเกี่ยวกับ business plan ,จะต้องมี IT Plan ที่มีความสำคัญเกี่ยวเนื่องกับ business plan ,Investment port folio การลงทุนด้าน IT ,การนำ IT Plan ไปปฏิบัติ เมื่อเขียนแผนได้แล้ว จะทำอย่างไรถึงจะนำไปปฏิบัติ ,ความเสี่ยงในการนำไปปฏิบัติ เช่น project นี้ทำไปแล้วจะสำเร็จหรือไม่ ความเสี่ยงด้าน IT เช่น ลงทุนซื้อ S/W ,H/W แล้ว Project จะสามารถดำเนินการสำเร็จหรือไม่ ถ้ามีการบริหารความเสี่ยง ก็จะรู้ว่า Project จะไปรอดหรือไม่ ,ภัย คือ ศัตรู อุปสรรค ,ตัวควบคุม ตัววัด ว่าทำงานได้ช้าเร็วแค่ไหน ความก้าวหน้าของโครงการ ทำได้มีประสิทธิภาพหรือไม่,Vendor&Outsourcing เนื่องจากบางคนอาจไม่ได้พัฒนาด้วยตนเอง ใช้วิธีการซื้อหรือจ้างพัฒนา, แนวคิดการบริหารคน IT และการปรับปรุงการทำงานต่างๆให้ดีขึ้น
กลุ่มของ International Standard & Framework : Focus Area แบ่งเป็นกลุ่มๆ ได้ดังนี้
- ธรรมาภิบาลทั่วไปด้าน IT
- Project Manangement การบริหารโครงการ ถ้าบริหารได้ดี งานทุกอย่างจะดีด้วย ต้องดูว่าทำงานโปรเจคเยอะหรือไม่ หรือมีงานนอกแผนงานเยอะหรือไม่
- System Software เน้นด้านการพัฒนาโปรแกรม
- Quality เน้นคุณภาพ เช่น ISO ทั้งหลาย วัดคุณภาพอย่างเดียว Security เน้นด้านการปลอดภัยข้อมูล ฐานข้อมูล ระบบ Network
- IT Operation & Infrastructure ไม่ใช่ Operation ทำงานได้โดยไม่ติดขัด สำหรับ Users ,Programmer H/W Development S/W Network….เป็นส่วนร่วมไม่มีเจ้าของ
- เน้นการบริหารคน ถ้าบริหารคน IT งานทุกอย่างก็จะดีด้วย ถ้าขายของประเภทจับต้องไม่ได้ งานบริการต่างๆ ก็จะใช้คนเยอะ
- เน้นด้านประสิทธิภาพการทำงาน วัดตัวเลข วัดเปอร์เซ็นต์ มองในแง่ ถ้า Performance ดี ก็จะดีด้วย
- เรื่องของกฎหมาย คนที่เขียน standard กลุ่มนี้ก็จะมาจากด้านกฎหมาย ร่าง IT Governance ในเรื่องของกฎหมาย
- Outsourcing/Vendor Management เน้นคนที่ทำธุรกิจ Outsource เยอะ กลุ่มนี้จะมีธรรมภิบาลผู้ที่ว่าจ้างและ Outsource ด้วย
- Customer มีแนวคิดว่า ทำอะไรก็ได้ให้ลูกค้ามีความพึงพอใจ
COBIT สืบเนื่องมาจาก ITGI เป็นองค์กรทำงานด้าน IT Governance ได้ร่าง Model COBIT ขึ้นมา จาก ม.Holland ทำมาตั้งแต่ปี 1998 ปัจจุบันเป็น V.4.1 (2007) งานทั้งหมดใน IT มีอยู่ทั้งหมด 34 กระบวนการ ทั้ง 34 จะแบ่งเป็น 4 Domain เชื่อมโยงกัน เหมาะกับใช้ควบคุม IT ทั้งหมด เป็นระดับที่มองระดับสูงลงมา ภาพมองของ IT Streeing Committee เหมาะแก่การทำ Audit ด้วย เหมาะแก่เป็นเครื่องมือในการ Audit หรือตรวจสอบ และจะมี ISACA ควบคุมการสอบ Certified มีสองแบบคือ CISA/CISM
Model นี้ชื่อว่า COSO เหมือนกับการควบคุมภายใน Internal Model Framework ออกมาในปี 1994 ผู้ก่อตั้งคือสมาคมผู้สอบบัญชีและอนุญาติ AICPA และ AAA (สมาคมการบัญชีอเมริกัน) เพื่อเป็นแนวทางในการปฏิบัติ หรือตรวจสอบ ยึดความถูกต้อง ยึดการตรวจสอบด้านการเงินเป็นหลัก โดยมีแนวคิดว่าถ้าการเงินถูกต้อง ก็จะมีธรรมาภิบาล
Project Management ความคิดด้านการควบคุม Project ถ้าควบคุมโปรเจคได้ดี งานก็จะออกมาได้ดีด้วย ผู้ที่ร่างคือกรมบัญชีกลางสหรัฐ การใช้งานคือนำไปประเมินค่า การลงทุนด้าน IT คุ้มค่าหรือไม่ ได้ทุนคืนมาหรือไม่ ประเมินค่าและคัดเลือก และจัดลำดับความสำคัญ
มี Model PMBOK (หนังสือแห่งความรู้) และ OPM3 มี 5 ระดับ วัดความเป็น Profesional เขียนโดย Project Management Institute เมื่อปี 2004 โดยมีกระบวนการที่
เกี่ยวข้องกับการบริหารโครงการอยู่ 5 process และมีเรื่องเกี่ยวกับ Knowledge อยู่ 9 ข้อ และ tool ที่ใช้ในการบริหาร หรือมีแบบสอบถามตัวเองเพื่อประเมินตัวเอง มี Certified คือ PMP
PMMM มีความเกี่ยวข้องกับ PMBOM และ CMMI
PRINCE2 ผู้ที่ร่างคือ CCTA (เนคเทคประเทศอังกฤษ) PRINCE2 เป็นมาตรฐานที่รัฐบาลอังกฤษใช้บริหารโปรเจค และงาน IT ด้วย ถ้าจ้างบริษัทเอกชนทำงานก็จะใช้มาตรฐานนี้เป็นตัววัดด้วย ข้อดี คือ บริหารโปรเจคเล็กหรือใหญ่ เน้นเฉพาะรายละเอียดต่างๆ จะจัดโปรเจคให้อยู่ในรูปแบบ Standard เพื่อที่จะบริหารได้ง่าย มีกระบวนการที่จะสามารถสร้าง project management team ขึ้นมาได้ มี process ที่จะเขียนมาให้ว่าจะบริหารอย่างไร
CMMI เป็น Model ที่ดังที่สุดในด้าน System/Software Development เป็น Model ที่มีการวัดความเป็น Profesional วัดความเป็นมาตรฐานของการพัฒนาระบบ แบ่งเป็น 5
ระดับ ซึ่งจะเกี่ยวข้องกับการพัฒนา Application/การจัดซื้อ จัดหา Certification จะเป็นระดับขององค์กร เป้าหมายคือ Certification Level 5 หลายบริษัทต้องการ Certificate ตัวนี้เพื่อที่จะได้ขาย software ได้ หรือบริษัทที่ไม่ได้ขาย software อย่างเช่นการไฟฟ้า ต้องการ Certification ตัวนี้เพื่อความมั่นใจของลูกค้า คนที่คิดค้นขึ้นมาคือ CMU(Carnegie Melon University) โดยนักวิชาการทั้งหลาย และตั้งเป็นสถาบันภายใต้มหาวิทยาลัยนี้ ชื่อ SEI (Software Engineering Institute)
เป็น Certified ระดับองค์กรเกี่ยวกับด้านคุณภาพ คนเข้าใจว่า software ของบริษัทมีคุณภาพ
แง่มุมเกี่ยวกับด้านคุณภาพ อาจจะประกอบไปด้วย ลูกค้า ความเป็นผู้นำ บุคลากร ปรับปรุงกระบวนการต่างๆ...Supplier Management
ความเบี่ยงเบนแบบมาตรฐาน Six Sigma คือ Sigma ที่หกที่เบี่ยงเบนออกไป เป็นจำนวนที่น้อยมาก เปรียบเทียบกับ 3.4 Defect ในล้าน ความหมายคือ ถ้าทำรถยนต์ออกมา 1 ล้านคัน จะมี
3.4 คันที่เสีย งานที่ทำ Process ต่างๆ ถ้าทำ 1 ล้าน Report จะมีที่เสียไป 3.4 report พยายามทำให้มี Defect น้อย ก็จะมีประสิทธิภาพ
Lean Manufacturing ลดทรัพยากรที่ไม่จำเป็นในการผลิต ใช้ทรัพยากรให้ดีที่สุด มีประสิทธิภาพสูงสุด ใช้เวลาน้อย สถานที่น้อย ทรัพยากรน้อย
Baldridge National Quality Award เป็นรางวัลด้านคุณภาพของสหรัฐ
แนวคิด Six Sigma มาจากประเทศญี่ปุ่น ซึ่งจะเน้นเรื่องคุณภาพ
บริษัท Motorola และ GE ได้นำไปพัฒนาต่อเพื่อให้เป็นมาตรฐาน
ISO 17799 เริ่มมาจาก BS7799 ทำจนมีมาตรฐาน มองการควบคุมคุณภาพในมุมของนโยบาย การบริหาร 17799 เป็นเรื่องของ IT Security โดยตรง เช่น ธนาคาร ทำในส่วน Internet Bank ที่ต้องการ Security สูง และ BS7799 พัฒนามาเป็น ISO17799 การขอ Certification นี้ จะเป็นระดับองค์กร ISO27001 เป็น Implementation Guideline ของ ISO17799 โดย ISO17799 อาจจะเขียนเป็นแนวนโยบาย IT Security Policy ขององค์กรต้องประกอบด้วยอะไร นโยบายด้านความปลอดภัยขององค์กรต้องเป็นอย่างไร ทรัพย์สินขององค์กรด้าน IT ประกอบด้วยอะไรบ้าง ศูนย์คอมพิวเตอร์มีอะไรบ้าง แผนป้องกันภัยภิบัติของศูนย์คอมพิวเตอร์ขององค์กร จึงจำเป็นต้องมี ISO27001 ขึ้นมาเพื่อแนะแนวปฏิบัติ เพื่อให้ทำงานง่ายขึ้น จึงมีคนนำไปใช้มาก เพราะชัดเจน ในด้าน Security จะต้องมีแผนที่ดี
สำหรับ ISO27001 และ ISO17799 นี้ หลักสำคัญคือ PDCA (Plan-Do-Check-Ack) ในด้านความปลอดภัยของข้อมูลจะต้องมีแผนที่ดี หลังจากนั้นนำแผนไปปฏิบัติหรือImplement บังคับใช้ นำไปใช้ควบคุมจริงๆ คอยดูแลว่ากฎระเบียบตรงไหนขาดตกบกพร่อง เฝ้าดูว่าการปฏิบัติ การควบคุมด้าน IT Security ดีแค่ไหน ปลอดภัยหรือไม่ สามารถวัดได้ มีการตรวจสอบโดย Auditor และนำมาทบทวนแก้ไข ปรับปรุงแผนให้ดีขึ้น ใน Standard นี้จะมีกลุ่มทั้งหมด 11
Security เช่น Password Policy งานทุกอย่างของ IT ต้องมีการวางแผน เฝ้าดู ตรวจสอบและวัดผล
ศูนย์คอมพิวเตอร์ ปฏิบัติการ ระบบ Network ศูนย์ Network Database ฯลฯ จะอยู่ในส่วน Infrastructure จะเป็นในส่วน ISO20000 ล่าสุดเป็น V.2 คนที่เขียนขึ้นมาคือ ITSMF เน้นทางด้าน Service Management คือถ้าเป็นศูนย์คอมฯ หน่วยงาน IT ในองค์กร หรืออะไรที่ไม่ได้พัฒนา ไม่ได้เขียนโปรแกรมออกมาเป็น Application เราเรียกว่า Operation Infrastructure งาน Service พวกนี้ต้องบริการให้ โปรแกรมเมอร์ Analyst หรือ Users ให้ดีที่สุด มีทั้งหมด 10 Process ต้องดูว่าได้ทำครบทั้ง 10 กระบวนการหรือไม่ และแต่ละลำดับขั้นตอนใน process ได้ทำหรือไม่ ถ้าทำแล้วดีหรือไม่ อีกมุมหนึ่งเป็นบริษัทที่ทำ software ขาย (outsource) หรือ web hosting หรือ ให้เช่า software และทำการ operate ให้ ก็จะเป็นในส่วนนี้ เหมาะที่จะนำไปใช้งาน
รายละเอียดบริการ มีกระบวนการอะไรบ้าง
1.Service Level Management SLM ถ้าเป็นภายในองค์กร หมายถึงผู้ให้บริการ IT กับ Users แต่ถ้าเป็นภายนอกองค์กร จะเป็นบริษัทที่ให้บริการ กับ ลูกค้า เมื่อมี SLA แล้ว จะต้องมี SLM ซึ่งเกี่ยวข้องกับการบริหาร
2.Service Delivery เช่น รายงานการส่งมอบงาน การคิดเงิน ค่าจ้าง
3. Relationship Management ในเรื่องของ supplier
4.Resolution management หรือ problem การให้บริการใดๆในองค์กร ศูนย์คอมพิวเตอร์ บริการ Users ภายใน จะมีปัญหาเกิดขึ้น ปัญหาการใช้งาน ปัญหาการ operate ต้องมีการบริหารปัญหา ต้องทำให้ได้ดี สามารถติดตามปัญหาได้ มีการรายงานผลให้กับ users
5.Control&Release การบริหารการเปลี่ยนแปลง ในการส่งมอบงานต่างๆ งานบริการต่างๆ จะมีการเปลี่ยนแปลง Version หรือ Release หรือเปลี่ยน Server ใหม่ยกชุด ขอหยุดบริการ ต้องทำการบริหารไม่ให้เกิดผลกระทบ ต้องมีการแจ้งให้ users ทราบ
Model นี้ชื่อ ITIL คนคิดคือ CCTA (เนคเทคของอเมริกา) และ APMG จะทำเกี่ยวกับการอบรม ทำ Certification มี 10 กระบวนการ จะเป็นพวกให้บริการด้าน Operation Network และคนที่ร่างจะร่างในด้าน Governance มากขึ้น
Human Resource บุคลากร คือองค์กรที่เน้นบุคลากร ทำให้เป็นธรรมาภิบาล เพราะมีปัญหาเรื่องบุคคลเป็นหลัก
P-CMM เน้นการพัฒนาคน ขีดความสามารถของคนทางด้านเทคนิค ด้านการทำงาน และความก้าวหน้าของบุคคล
กลุ่มของ Performance Management การวัดประสิทธิภาพขององค์กร จะมี BSC และ Critical Success Factor วัดผลสำเร็จด้วยกลยุทธ์ เป็นองค์กรที่ดีหรือไม่ เป็นธรรมาภิบาลหรือไม่ ซึ่ง BSC กล่าวไว้แล้วในบทที่ 1 จะมีทั้งหมด 4 ด้าน คือผลกำไร การเติบโตของผลกำไร ,ด้านลูกค้า ได้สิ่งของที่ดี มีความพึงพอใจ,Process ทั่วๆไป กิจกรรมหลักขององค์กร ต้องมีกระบวนการที่ดี,และ
บุคคลจะต้องพัฒนาตัวเองด้วยการศึกษาเพิ่มเติม การฝึกอบรม การสับเปลี่ยนหน้าที่การงาน สามารถแปลงเป็น IT BSC (IT Business Balance Scored Card) ด้าน Finance ก็เป็นต้นทุน IT ต่อ Users เงินลงทุน งบประมาณด้าน IT เทียบกับรายได้ขององค์กรให้เหมาะสม ,Strategic IT คือ IT ที่เป็นกลยุทธ์ ที่จะเพิ่มรายได้ กำไร ให้กับองค์กร,Project Management ,Operation Process ,Application &Training ถ้าทำทั้ง 5 ส่วนนี้ได้ดี ก็จะสอดคล้องกับ Balance Scored Card
ในเรื่องของการทำ outsourcing ก็จะมี Model ที่เกี่ยวข้องคือ OPBOK และ eSCM โดย outsource จะต้องทำอะไรบ้าง ซึ่งทำตาม Model นี้จะทำให้เกิดข้อผิดพลาดน้อย และจะบริหาร Vendor อย่างไร มี Certification ที่เรียกว่า COP
ใน eSCM ก็จะแบ่งเป็น SP และ CL เช่น เป็นธนาคารแห่งหนึ่ง หรือเป็นบุคคลที่ใช้คอมพิวเตอร์ ถ้าอยากที่จะทำ Outsource ก็จะไปนำ CL มาใช้ หรือเป็นบริษัท IBM และไปรับงาน outsource และรับเงินมา ก็จะเป็นแบบ SP
Model ในส่วนของ Customer แนวคิดเกี่ยวกับเรื่องลูกค้า การกระทำเกี่ยวกับผลิตภัณฑ์ หรือบริการลูกค้า จะออกมาในลักษณะ 3 แนวทางคือ ธรรมดาๆ ขายได้ อีกอย่างคือ ออกมามีคุณภาพ มีประสิทธิภาพ ราคาถูก ใช้ได้ และแบบที่สามจะเป็นแบบดีเด่นมาก คุณภาพดีเลิศ ลูกค้าแย่งกันซื้อ เป็นแนวคิดของอาจารย์ Kano แห่งมหาวิทยาลัยในญี่ปุ่น และเรียก Model นี้เรียกว่า VOC ซึ่งถ้าบริษัท
ไหนเน้นในเรื่องนี้ ก็จะกระทบหลายส่วนเหมือนกัน กระทบกับการวางแผน การออกแบบผลิตภัณฑ์ และสำหรับวิธีการที่ทำ จะใช้เป็นลักษณะ Survey ไปที่ลูกค้า หรือ Market Research ดูว่าลูกค้าชอบผลิตภัณฑ์ขององค์กรเราแค่ไหน ถ้านำมาประยุกต์ใช้ในด้านของ IT ก็จะทำมาในลักษณะจัดทำแบบสอบถาม Survey ไปที่ Users ว่าบริการเป็นอย่างไร หรือออกไปถามลูกค้าว่า software ที่ผลิตออกมามีคุณภาพเป็นอย่างไร
กลุ่มของกฎหมาย หรือกฎระเบียบขององค์กร Model Sarbanes Oxley Act SOX 2002 เป็นที่นิยม กฎหมายที่ออกมาเพื่อควบคุมบริษัทในตลาดหลักทรัพย์ มีความเป็นบรรษัทภิบาลแค่ไหน ที่ออกมาเนื่องจากทีในช่วงที่ผ่านมีบริษัทที่ มีการคอร์รับชัน เช่นบริษัท Enron ที่ผู้บริหารโกง บริหารผิดวิธี คนที่ออกกฎหมายเหล่านี้มาคือรัฐสภาในสหรัฐ นำไปใช้ควบคุมโดยเน้นไปที่กรรมการบริษัท ผู้บริหารระดับสูงว่าจะต้องทำ/ไม่ทำอะไรบ้าง ตรวจสอบได้ในลักษณะไหน ที่เกี่ยวข้องกับ IT จะเป็นในส่วน Section 404 จะกล่าวถึงการประเมิน การตรวจสอบภายใน
เป็น Standard Model ของประเทศออสเตรเลีย จัดทำขึ้นเมื่อปี 2003 มี 2 Model คือ AS8000 และ AS8015 ซึ่ง AS8000 จะเกี่ยวกับ Enterprise Governance บรรษัทภิบาลต้องทำอย่างไรบ้าง และ AS8015 จะเกี่ยวข้องกับ ICT Governance
ในส่วนนี้จะเกี่ยวข้องในเรื่องของกฎหมายเช่นกัน FDA(อ.ย.),FDIC(ประกันภัย),HIPPA(สุขภาพ),SEC เป็นคล้ายๆกับลักษณะองค์กรที่ย่อยลงมา หรือหน่วยงานกลางของรัฐบาลที่ย่อยลงมา ซึ่งจะมีกฎ ระเบียบ ควบคุม Industry นั้นโดยเฉพาะ เช่นบริษัทที่เกี่ยวกับอาหาร ก็จะมี อ.ย.ควบคุม บริษัทประกันภัย ก็อยู่ภายใต้การควบคุมของโครงการประกันภัย FDIC ธนาคารพานิชย์ก็อยู่ภายใต้การควบคุมของแบงค์ชาติ ถ้าไม่ทำตามกฏของหน่วยงานรัฐบาลที่ควบคุมก็จะไม่ถือว่าเป็นธรรมาภิบาล
ถ้าเป็น Manager จะต้องมีความเกี่ยวข้องกับธรรมาภิบาลในกลุ่มนี้ สีเขียวคือ Manager ในส่วนของ 1 Line Manager สีชมพูจะเป็นในส่วนของ 2 Line Manager สองส่วนจะเกี่ยวข้องเป็นแบบหัวหน้า รองหัวหน้า หรือเรียกอีกอย่างว่า People Manager (Manager ที่มีลูกน้องเป็นมนุษย์) สำหรับสีเหลืองจะไม่ใช่ People Manager เพราะจะไม่มีลูกน้อง
******************
ไม่มีความคิดเห็น:
แสดงความคิดเห็น