สัญญาณเตือนว่าองค์กรของคุณอาจมีปัญหา IT Governance
IT Governance ไม่ใช่แค่เรื่องของฝ่าย IT แต่เป็นเรื่องของคณะกรรมการ ผู้บริหาร และโครงสร้างการตัดสินใจขององค์กรทั้งหมด เพราะมาตรฐาน ISO/IEC 38500:2024 ระบุชัดว่าเอกสารนี้ให้หลักการสำหรับสมาชิกของ governing bodies และผู้ที่สนับสนุนการกำกับดูแล เพื่อให้เกิดการใช้ IT อย่าง effective, efficient and acceptable ภายในองค์กร และใช้ได้กับองค์กรทุกประเภท ทุกขนาด ทั้งภาครัฐ เอกชน และไม่แสวงหากำไร
ในยุคที่องค์กรพึ่งพาเทคโนโลยีแทบทุกมิติ ไม่ว่าจะเป็นการดำเนินงานภายใน การให้บริการลูกค้า การบริหารข้อมูล หรือการขับเคลื่อนกลยุทธ์ธุรกิจ คำถามสำคัญจึงไม่ใช่เพียงว่า “องค์กรมีระบบ IT หรือไม่” แต่คือ “องค์กรกำกับดูแลการใช้ IT ได้ดีพอหรือยัง”
ปัญหาคือหลายองค์กรเข้าใจว่า IT Governance เป็นเรื่องเชิงเทคนิค ทั้งที่ในความจริงมันเกี่ยวกับการกำหนดทิศทาง การตัดสินใจ ความรับผิดชอบ การกำกับความเสี่ยง และการทำให้การลงทุนด้าน IT สอดคล้องกับเป้าหมายธุรกิจ หากองค์กรขาดสิ่งเหล่านี้ แม้จะลงทุนระบบจำนวนมาก ก็อาจไม่ได้ผลลัพธ์ที่ต้องการ
บทความนี้จะช่วยให้คุณมองเห็น สัญญาณเตือนว่าองค์กรอาจมีปัญหา IT Governance และเหตุใดการมีที่ปรึกษาที่เข้าใจทั้งธุรกิจและเทคโนโลยีจึงสำคัญต่อการแก้ปัญหาอย่างยั่งยืน
IT Governance คืออะไร และทำไมผู้บริหารควรสนใจ
ตามแนวทางของ ISO/IEC 38500, การกำกับดูแล IT เป็นส่วนหนึ่งของการกำกับดูแลองค์กร และครอบคลุมทั้งการใช้ IT ในปัจจุบันและอนาคต ไม่ได้จำกัดอยู่เพียงการดูแลระบบประจำวันของฝ่าย IT เท่านั้น
อีกประเด็นที่สำคัญคือแนวทางของมาตรฐานฉบับปี 2024 เน้นชัดขึ้นว่า Governance ไม่ได้เกิดขึ้นเฉพาะที่ระดับบอร์ดเท่านั้น แต่ต้องทำงานผ่านกรอบการกำกับดูแลที่ทำให้ governance และ management เชื่อมกันอย่างมีประสิทธิภาพทั้งองค์กร
ดังนั้น หากองค์กรมีระบบ IT จำนวนมาก แต่ยังขาดกลไกในการกำกับ ตัดสินใจ ติดตาม และประเมินผลอย่างเหมาะสม ก็มีโอกาสสูงที่จะเกิดปัญหา IT Governance โดยที่ผู้บริหารอาจยังไม่เห็นภาพชัด
1) องค์กรลงทุนด้าน IT มาก แต่ตอบไม่ได้ว่า “คุ้มค่าอย่างไร”
หนึ่งในสัญญาณเตือนที่พบได้บ่อยที่สุดคือ องค์กรมีการลงทุนด้าน IT ต่อเนื่อง แต่ผู้บริหารไม่สามารถอธิบายได้ชัดเจนว่าโครงการหรือระบบที่ลงทุนไปนั้นสร้างคุณค่าทางธุรกิจอย่างไร
อาการที่มักพบคือ
- ลงทุนระบบใหม่แต่ผู้ใช้งานจริงต่ำ
- มีหลายโครงการซ้ำซ้อนกัน
- ใช้งบประมาณจำนวนมากแต่ไม่เห็น KPI ที่เชื่อมกับผลลัพธ์ธุรกิจ
- ผู้บริหารรับรู้เพียงค่าใช้จ่าย แต่ไม่เห็น business value
ปัญหานี้สะท้อนว่าองค์กรอาจยังไม่มีกรอบ IT Governance ที่ช่วยให้การตัดสินใจด้านเทคโนโลยีสอดคล้องกับกลยุทธ์และความต้องการขององค์กรอย่างแท้จริง ซึ่งขัดกับเจตนาของ ISO/IEC 38500 ที่มุ่งให้เกิดการใช้ IT อย่างมีประสิทธิผลและมีประสิทธิภาพ
2) การตัดสินใจเรื่อง IT ขึ้นอยู่กับคนใดคนหนึ่งมากเกินไป
หากองค์กรยังตัดสินใจเรื่องสำคัญด้าน IT ด้วยความเห็นของบุคคลบางคนเป็นหลัก เช่น ผู้บริหารบางฝ่าย หัวหน้า IT เพียงคนเดียว หรือ vendor รายเดิม โดยไม่มีโครงสร้างกำกับดูแลที่ชัดเจน นี่คือสัญญาณที่ควรระวังอย่างมาก
ตัวอย่างเช่น
- ไม่มีคณะทำงานหรือกลไกอนุมัติโครงการ IT ที่ชัดเจน
- การเลือกเทคโนโลยีขึ้นกับความคุ้นเคยส่วนบุคคล
- ไม่มีเกณฑ์มาตรฐานในการประเมินความเสี่ยงหรือผลตอบแทน
- เรื่องสำคัญถูกตัดสินใจแบบเร่งด่วนโดยไม่มีข้อมูลรองรับเพียงพอ
IT Governance ที่ดีควรทำให้การตัดสินใจเรื่อง IT อยู่บนพื้นฐานของ governance framework, accountability และหลักการที่ยึดโยงกับองค์กร ไม่ใช่พึ่งพาความเห็นเฉพาะบุคคลมากเกินไป
3) ฝ่ายธุรกิจกับฝ่าย IT มองคนละเป้าหมาย
หลายองค์กรมีระบบ IT เก่งขึ้น แต่ธุรกิจกลับรู้สึกว่า “IT ไม่เข้าใจธุรกิจ” ขณะเดียวกันฝ่าย IT ก็รู้สึกว่า “ธุรกิจขอทุกอย่างแต่ไม่เข้าใจข้อจำกัด” ช่องว่างนี้มักเป็นอาการของ IT Governance ที่ยังไม่แข็งแรง
สัญญาณที่พบได้ เช่น
- โครงการ IT ไม่ตอบโจทย์หน่วยงานใช้งานจริง
- ธุรกิจมองว่า IT เป็น cost center เท่านั้น
- ฝ่าย IT ถูกดึงไปแก้ปัญหาเฉพาะหน้าแทนการสร้างคุณค่าระยะยาว
- ไม่มีเวทีร่วมกันในการกำหนด priority ด้านเทคโนโลยี
เมื่อ governance ไม่ชัด ความสัมพันธ์ระหว่าง business และ IT จะกลายเป็นการ “รับงาน-ส่งงาน” มากกว่าการร่วมกันขับเคลื่อนองค์กร ทั้งที่ ISO/IEC 38500 วาง IT ไว้ในฐานะส่วนหนึ่งของ governance ของทั้งองค์กร ไม่ใช่ silo แยกออกจากกัน
4) มีนโยบายและกระบวนการมาก แต่ไม่ถูกใช้งานจริง
บางองค์กรมี policy, framework, procedure และคู่มือต่าง ๆ จำนวนมาก แต่ในการทำงานจริงกลับไม่มีใครใช้ หรือใช้เพียงตอนตรวจประเมิน นี่เป็นอีกสัญญาณว่าการกำกับดูแลอาจอยู่เพียงบนเอกสาร
อาการที่มักพบคือ
- นโยบายมีอยู่แต่พนักงานไม่เข้าใจ
- กระบวนการอนุมัติหรือควบคุมถูกข้ามบ่อย
- เอกสารไม่ได้อัปเดตตามสภาพแวดล้อมจริง
- ผู้บริหารไม่ติดตามว่ากระบวนการถูกนำไปปฏิบัติหรือไม่
IT Governance ที่ดีต้องไม่หยุดอยู่ที่การมีเอกสาร แต่ต้องทำให้ governance framework ทำงานได้จริงผ่านบทบาท โครงสร้างการตัดสินใจ และความรับผิดชอบที่ชัดเจนทั่วทั้งองค์กร
5) องค์กรมีโครงการ IT จำนวนมาก แต่ขาดลำดับความสำคัญ
หากทุกโครงการถูกประกาศว่า “ด่วน” เหมือนกันหมด หรือแต่ละหน่วยงานผลักดันโครงการของตัวเองโดยไม่มีภาพรวมระดับองค์กร นี่มักเป็นสัญญาณของ governance gap
ผลลัพธ์ที่ตามมามักเป็น
- ทรัพยากร IT ไม่พอ
- โครงการล่าช้า
- ทีมงานทำงานแบบ reactive
- ระบบใหม่ถูกเพิ่มเข้ามาโดยไม่มีการเชื่อมโยงหรือควบคุมสถาปัตยกรรมรวม
ปัญหานี้ไม่ใช่แค่เรื่อง project management แต่เป็นเรื่อง governance เพราะองค์กรยังไม่มีกรอบในการพิจารณาว่าโครงการใดควรทำก่อน ภายใต้เป้าหมาย ความเสี่ยง และทรัพยากรที่มีอยู่
6) ความเสี่ยงด้าน IT ถูกมองเป็นเรื่องเทคนิค ไม่ใช่เรื่ององค์กร
อีกหนึ่งสัญญาณสำคัญคือ องค์กรมอง cyber risk, operational risk, data risk หรือ third-party risk ว่าเป็นหน้าที่ของฝ่าย IT หรือ security เท่านั้น
ในความเป็นจริง ความเสี่ยงเหล่านี้กระทบต่อการดำเนินธุรกิจ ชื่อเสียง การปฏิบัติตามกฎหมาย และความเชื่อมั่นของลูกค้าโดยตรง หากผู้บริหารไม่ได้รับข้อมูลที่เพียงพอ หรือไม่มี governance mechanism เพื่อกำกับความเสี่ยงด้าน IT อย่างเหมาะสม องค์กรอาจตัดสินใจช้าเกินไปหรือไม่ครอบคลุมประเด็นสำคัญ
แนวคิดของ ISO/IEC 38500 ชี้ให้เห็นว่า governing body ควรมีบทบาทในเรื่องการใช้ IT อย่างเหมาะสม ยอมรับได้ และสอดคล้องกับองค์กร ซึ่งรวมถึงการกำกับเรื่องความเสี่ยงและการใช้งานที่เหมาะสมด้วย
7) Vendor หรือ Third Party มีอิทธิพลต่อทิศทาง IT มากเกินไป
องค์กรจำนวนมากพึ่งพาผู้ให้บริการภายนอกทั้งด้าน cloud, security, software, managed services และ implementation partner ซึ่งไม่ใช่เรื่องผิด แต่หากองค์กรไม่มี governance ที่ดี อำนาจในการกำหนดทิศทาง IT อาจค่อย ๆ ย้ายจากองค์กรไปอยู่กับ vendor โดยไม่รู้ตัว
สัญญาณที่พบได้ เช่น
- เลือกโซลูชันตามข้อเสนอขายมากกว่าความเหมาะสม
- ขาดหลักเกณฑ์ในการประเมิน vendor
- ไม่รู้ว่าผู้ให้บริการรายใดมีความเสี่ยงสูง
- เปลี่ยนระบบหรือขยายระบบตาม vendor roadmap มากกว่าธุรกิจ roadmap
ปัญหานี้มักสะท้อนว่าองค์กรยังไม่มี governance structure ที่เข้มแข็งพอในการควบคุมการตัดสินใจด้านเทคโนโลยี
8) ผู้บริหารได้รับข้อมูล IT มาก แต่ยังใช้ตัดสินใจไม่ได้
อีกสัญญาณที่พบบ่อยคือ ผู้บริหารได้รับรายงาน IT จำนวนมาก เช่น uptime, incident count, project status, vulnerability count หรือค่าใช้จ่าย แต่ข้อมูลเหล่านั้นไม่ช่วยให้ตัดสินใจเชิงกลยุทธ์ได้จริง
ตัวอย่างเช่น
- รายงานมีรายละเอียดเชิงเทคนิคมากเกินไป
- ไม่มีการเชื่อมข้อมูล IT กับ business impact
- ไม่มี dashboard ที่สะท้อนความเสี่ยง มูลค่า และความพร้อมในระดับบริหาร
- ผู้บริหารเห็นข้อมูลย้อนหลัง แต่ไม่เห็นแนวโน้มหรือประเด็นที่ควรตัดสินใจ
นี่คือปัญหา governance communication ที่สำคัญ เพราะ governance ที่ดีต้องทำให้ข้อมูลด้าน IT ถูกแปลให้กลายเป็น insight สำหรับ governing body และผู้บริหาร ไม่ใช่เพียงข้อมูลเชิงปฏิบัติการ
9) ไม่มีเจ้าภาพชัดเจนในเรื่อง IT Governance
หลายองค์กรพูดถึงการกำกับดูแล IT แต่เมื่อถามว่าใครเป็นเจ้าภาพจริง กลับไม่มีคำตอบที่ชัดเจน บางแห่งโยนให้ CIO, บางแห่งให้ฝ่าย audit, บางแห่งให้ risk, บางแห่งให้ IT manager ทั้งหมดทำให้ governance กลายเป็นเรื่องของ “ทุกคน” และสุดท้าย “ไม่มีใคร” รับผิดชอบจริงจัง
สัญญาณนี้มักมาพร้อมกับปัญหาอื่น เช่น
- ไม่มี roadmap ด้าน IT Governance
- ไม่มีตัวชี้วัดร่วม
- ไม่เคยประเมิน maturity
- ไม่รู้ว่าควรเริ่มปรับปรุงจากจุดไหนก่อน
หากไม่มี accountability ชัดเจน การขับเคลื่อน IT Governance จะเดินได้ยากมาก แม้องค์กรจะมีเจตนาดีหรือมีผู้บริหารสนับสนุนก็ตาม
10) องค์กรทำ Digital Transformation แต่ Governance ไม่โตตาม
หลายองค์กรเร่งลงทุน cloud, data, AI, automation และ cybersecurity แต่ยังใช้รูปแบบการตัดสินใจแบบเดิมที่ไม่รองรับความซับซ้อนของเทคโนโลยีใหม่ นี่คือสัญญาณเตือนที่ชัดเจนที่สุดในยุคปัจจุบัน
เมื่อเทคโนโลยีเปลี่ยนเร็ว แต่ governance framework ไม่ปรับตาม องค์กรมักเผชิญกับ
- โครงการจำนวนมากที่กระจัดกระจาย
- ความเสี่ยงที่เพิ่มขึ้นจาก third-party และข้อมูล
- การกำกับดูแลไม่ทันการเปลี่ยนแปลง
- การตัดสินใจช้า หรือผิดลำดับความสำคัญ
ISO/IEC 38500:2024 ใช้ได้กับการกำกับดูแลการใช้ IT ทั้งปัจจุบันและอนาคต จึงเหมาะอย่างมากกับองค์กรที่กำลังเปลี่ยนผ่านทางดิจิทัลและต้องการยกระดับกลไกการกำกับดูแลให้ทันยุค
ถ้าองค์กรมีสัญญาณเหล่านี้ ควรเริ่มต้นอย่างไร
หากองค์กรของคุณเริ่มเห็นอาการบางข้อข้างต้น สิ่งที่ควรทำไม่ใช่รีบออกนโยบายเพิ่มทันที แต่ควรเริ่มจากการประเมินภาพรวมของการกำกับดูแล IT ก่อน เช่น
- โครงสร้างการตัดสินใจด้าน IT ชัดเจนหรือไม่
- บทบาทของผู้บริหารกับฝ่าย IT เชื่อมกันดีแค่ไหน
- การลงทุนด้าน IT เชื่อมกับกลยุทธ์องค์กรหรือไม่
- มีกลไกกำกับความเสี่ยงและติดตามผลเพียงพอหรือยัง
- มี governance framework ที่ใช้ได้จริงหรือยัง
แนวทางแบบนี้จะช่วยให้องค์กรเห็น “รากของปัญหา” มากกว่าการไล่แก้เฉพาะจุด
ACIS Professional Center ช่วยองค์กรของคุณเรื่อง IT Governance ได้อย่างไร
ACIS Professional Center เราเป็นที่ปรึกษาและให้บริการทั้ง training services และ consulting services ในด้าน information technology, cybersecurity, IT Governance, ITSMS, information security และ business continuity โดยครอบคลุมมิติ People, Process and Technology ซึ่งเป็นมุมมองที่เหมาะอย่างยิ่งกับการยกระดับ IT Governance ในองค์กร
ในมุมของบริการที่ปรึกษา องค์กรสามารถใช้ ACIS Professional Center เพื่อสนับสนุนงานด้าน IT Governance ได้ในลักษณะต่อไปนี้
- ช่วยประเมินสภาพปัจจุบันของ IT Governance ในองค์กร
- ช่วยวิเคราะห์ pain point และ governance gap ที่กระทบธุรกิจ
- ช่วยออกแบบแนวทางกำกับดูแลที่เหมาะกับบริบทองค์กร
- ช่วยเชื่อมมุมมองของผู้บริหาร ฝ่ายธุรกิจ และฝ่าย IT ให้ทำงานร่วมกันได้ดีขึ้น
- ช่วยวาง roadmap การพัฒนา governance framework อย่างเป็นขั้นตอน
- ช่วยยกระดับความเข้าใจของทีมงานผ่านการอบรมและ workshop
บนฝั่งการพัฒนาศักยภาพบุคลากร ACIS Academy ยังมีหลักสูตรในหมวด Governance, Risk and Compliance เช่น COBIT 2019, CGEIT, CRISC, CISA, รวมถึงหลักสูตรที่เกี่ยวข้องกับ Data Governance และ IT Service Management ซึ่งสะท้อนความพร้อมของ ACIS ในการสนับสนุนองค์กรที่ต้องการพัฒนา governance capability อย่างเป็นระบบ
สำหรับองค์กรที่เริ่มมองเห็นปัญหา แต่ยังไม่แน่ใจว่าจะเริ่มอย่างไร การมีที่ปรึกษาที่เข้าใจทั้งมาตรฐาน แนวทาง governance และบริบทธุรกิจจริง จะช่วยลดความสับสนและทำให้การปรับปรุงเกิดผลได้เร็วกว่าเริ่มต้นเพียงลำพัง
