IT Governance ไม่ใช่แค่เรื่องของฝ่าย IT หรือเอกสารกำกับดูแล แต่เป็นกลไกสำคัญที่เชื่อมการตัดสินใจด้านเทคโนโลยีกับเป้าหมายธุรกิจ บทความนี้พาผู้บริหารทำความเข้าใจ 5 ความเข้าใจผิดที่พบบ่อย และแนวทางปรับใช้ให้เกิดผลจริงในองค์กร
5 ความเข้าใจผิดเรื่อง IT Governance ที่ผู้บริหารควรรู้
ในยุคที่องค์กรพึ่งพาเทคโนโลยีแทบทุกมิติ ไม่ว่าจะเป็นการดำเนินงาน การให้บริการลูกค้า การบริหารข้อมูล หรือการขับเคลื่อนกลยุทธ์ธุรกิจ คำว่า IT Governance กลายเป็นประเด็นที่ผู้บริหารไม่ควรมองข้าม เพราะมาตรฐาน ISO/IEC 38500:2024 ระบุว่าเอกสารนี้ให้หลักการสำหรับสมาชิกของ governing bodies และผู้ที่สนับสนุนการกำกับดูแล เพื่อให้เกิดการใช้เทคโนโลยีสารสนเทศอย่างมีประสิทธิผล มีประสิทธิภาพ และเหมาะสมภายในองค์กร รวมถึงใช้ได้กับองค์กรทุกประเภทและทุกขนาด
อย่างไรก็ตาม ในทางปฏิบัติ ผู้บริหารจำนวนไม่น้อยยังเข้าใจเรื่อง IT Governance คลาดเคลื่อน ทำให้การลงทุนด้าน IT ไม่เชื่อมกับคุณค่าทางธุรกิจเท่าที่ควร หรือทำให้การกำกับดูแลกลายเป็นเพียงเรื่องเชิงเอกสารโดยไม่เกิดผลจริงในองค์กร ซึ่งเป็นจุดที่การมีที่ปรึกษาที่เข้าใจทั้งธุรกิจ เทคโนโลยี และ governance framework จะช่วยให้การวางแนวทางเป็นระบบมากขึ้น โดย ACIS Professional Center ระบุว่าบริษัทให้บริการ training และ consulting ด้าน information technology, cybersecurity, IT Governance, ITSMS, information security และ business continuity ครอบคลุม People, Process และ Technology
IT Governance ไม่ใช่แค่เรื่องของฝ่าย IT หรือเรื่องเอกสารกำกับดูแล แต่เป็นกลไกที่ช่วยให้ผู้บริหารกำกับการใช้ IT ให้สอดคล้องกับเป้าหมายธุรกิจ บริหารความเสี่ยง และตัดสินใจได้ดีขึ้น ความเข้าใจผิดที่พบบ่อย ได้แก่ การคิดว่า IT Governance เป็นหน้าที่ของฝ่าย IT เท่านั้น, เป็นแค่การควบคุมหรืออนุมัติโครงการ, เป็นเรื่องของเอกสารมากกว่าผลลัพธ์, ใช้เฉพาะองค์กรขนาดใหญ่, และไม่จำเป็นหากองค์กรมี security อยู่แล้ว โดยแนวทางของ ISO/IEC 38500:2024 ชี้ว่า governance of IT เป็นส่วนหนึ่งของการกำกับดูแลองค์กร และควรทำงานผ่าน governance framework ที่เชื่อม governance กับ management ทั่วทั้งองค์กร
IT Governance คืออะไรในมุมที่ผู้บริหารควรเข้าใจ
ถ้ามองให้สั้นและชัด IT Governance คือกรอบการกำกับดูแลที่ช่วยให้องค์กรใช้ IT เพื่อสนับสนุนเป้าหมายธุรกิจได้อย่างเหมาะสม ไม่ใช่แค่ “บริหารระบบให้ทำงานได้” แต่รวมถึงการตัดสินใจเรื่องการลงทุน ความเสี่ยง บทบาทความรับผิดชอบ และการติดตามผลให้สอดคล้องกับทิศทางองค์กรด้วย โดย ISO/IEC 38500:2024 ระบุชัดว่าแนวทางนี้ครอบคลุมทั้งการใช้ IT ในปัจจุบันและอนาคต และเป็นส่วนหนึ่งของ governance ขององค์กร ไม่ใช่กิจกรรมที่แยกออกมาจากธุรกิจ
อีกประเด็นสำคัญคือ ISO อธิบายเพิ่มเติมว่าเวอร์ชัน 2024 ขยายแนวคิดเรื่อง governance framework ให้ชัดขึ้น และเน้นว่าการกำกับดูแลไม่ได้เกิดขึ้นเฉพาะในห้องประชุมระดับบอร์ดเท่านั้น แต่ต้องทำงานผ่านโครงสร้าง กลไกการตัดสินใจ และความรับผิดชอบที่ช่วยให้ governance และ management ทำงานร่วมกันทั่วทั้งองค์กรได้อย่างมีประสิทธิภาพ
ความเข้าใจผิดที่ 1: IT Governance เป็นเรื่องของฝ่าย IT เท่านั้น
นี่คือความเข้าใจผิดที่พบมากที่สุด หลายองค์กรยังมองว่า IT Governance เป็นเรื่องของ CIO, IT Manager หรือทีมเทคนิค แต่ในความเป็นจริง ISO/IEC 38500 ถูกออกแบบมาสำหรับสมาชิกของ governing bodies และผู้ที่สนับสนุนการกำกับดูแล นั่นหมายความว่าเรื่องนี้เป็นประเด็นของผู้บริหารและโครงสร้างการกำกับดูแลองค์กรโดยตรง ไม่ใช่เพียงงานปฏิบัติการของฝ่าย IT
เมื่อผู้บริหารเข้าใจผิดในจุดนี้ องค์กรมักเผชิญปัญหา เช่น การลงทุนด้าน IT ไม่สอดคล้องกับกลยุทธ์ธุรกิจ ความเสี่ยงด้านเทคโนโลยีไม่ได้รับการยกระดับไปยังระดับตัดสินใจที่เหมาะสม และหน่วยงานธุรกิจกับฝ่าย IT ทำงานกันคนละทิศทาง ซึ่งสุดท้ายทำให้ IT ถูกมองเป็น cost center มากกว่ากลไกสร้างคุณค่าให้ธุรกิจ
สิ่งที่ผู้บริหารควรเข้าใจ
ผู้บริหารไม่จำเป็นต้องลงลึกทุกเรื่องทางเทคนิค แต่ต้องมีบทบาทในการกำหนดทิศทาง หลักเกณฑ์ และความคาดหวังเกี่ยวกับการใช้ IT ให้สอดคล้องกับเป้าหมายองค์กร รวมถึงต้องมั่นใจว่ามีโครงสร้าง governance ที่ชัดเจนเพียงพอสำหรับการตัดสินใจและการกำกับติดตาม
ความเข้าใจผิดที่ 2: IT Governance คือการควบคุมหรืออนุมัติโครงการ IT เท่านั้น
หลายองค์กรตีความ IT Governance แคบเกินไป โดยมองว่าเป็นเพียงการตั้งคณะกรรมการเพื่ออนุมัติโครงการ IT หรือเป็นขั้นตอนควบคุมก่อนใช้งบประมาณ แต่ในความจริง governance of IT กว้างกว่านั้นมาก เพราะเกี่ยวข้องกับการใช้ IT ทั้งปัจจุบันและอนาคต การจัดสมดุลระหว่างโอกาส ความเสี่ยง คุณค่า และความเหมาะสมของการตัดสินใจด้านเทคโนโลยีในระดับองค์กร
ถ้าองค์กรจำกัด IT Governance ไว้แค่การอนุมัติโครงการ ผลที่เกิดขึ้นคือระบบ governance จะกลายเป็นด่านอนุมัติเอกสาร มากกว่าจะเป็นกลไกที่ช่วยให้การลงทุนด้าน IT ตอบโจทย์ธุรกิจจริง ผู้บริหารจะเห็นเพียงรายชื่อโครงการ แต่ไม่เห็นภาพรวมของ value realization, risk exposure หรือ alignment กับกลยุทธ์องค์กร
สิ่งที่ผู้บริหารควรเข้าใจ
IT Governance ที่ดีต้องช่วยให้ผู้บริหารตอบได้ว่าองค์กรกำลังใช้ IT ไปเพื่ออะไร ความเสี่ยงอยู่ตรงไหน ใครรับผิดชอบ และผลลัพธ์ที่คาดหวังคืออะไร ไม่ใช่แค่อนุมัติงบหรือเซ็นเอกสารโครงการเท่านั้น
ความเข้าใจผิดที่ 3: IT Governance เป็นเรื่องของเอกสาร ไม่ใช่เรื่องผลลัพธ์
บางองค์กรเชื่อว่าหากมี policy, framework, committee charter หรือรายงานครบแล้ว เท่ากับมี IT Governance ที่ดี แต่ในทางปฏิบัติ เอกสารเป็นเพียงส่วนหนึ่งของ governance framework เท่านั้น หากเอกสารเหล่านั้นไม่สะท้อนการตัดสินใจจริง ไม่ถูกใช้จริง หรือไม่เชื่อมกับ accountability และผลลัพธ์ทางธุรกิจ ก็ไม่ได้ทำให้องค์กรมี governance ที่มีประสิทธิภาพ
ISO อธิบายว่ากรอบการกำกับดูแลควรเป็นกลไกที่ทำให้ governance และ management ทำงานร่วมกันได้จริงทั่วทั้งองค์กร ดังนั้นสาระสำคัญของ IT Governance จึงอยู่ที่ “การใช้งานจริง” มากกว่าการมีเอกสารครบถ้วนเพียงอย่างเดียว
สิ่งที่ผู้บริหารควรเข้าใจ
คำถามสำคัญไม่ใช่ว่า “องค์กรมีเอกสารหรือยัง” แต่คือ “เอกสารเหล่านั้นเปลี่ยนพฤติกรรมการตัดสินใจและการกำกับดูแลได้จริงหรือไม่” หาก governance อยู่แค่บนกระดาษ องค์กรก็มักยังเจอปัญหาเดิม เช่น ลงทุนไม่คุ้มค่า ความเสี่ยงไม่ถูกจัดการ และ business กับ IT ไม่สอดคล้องกัน
ความเข้าใจผิดที่ 4: IT Governance เหมาะเฉพาะองค์กรขนาดใหญ่
อีกความเชื่อที่พบบ่อยคือ IT Governance เป็นเรื่องของบริษัทขนาดใหญ่หรือองค์กรที่มีโครงสร้างซับซ้อนเท่านั้น แต่ตามคำอธิบายของ ISO/IEC 38500:2024 มาตรฐานนี้ใช้ได้กับองค์กรทุกประเภท ทั้งภาครัฐ เอกชน และไม่แสวงหากำไร รวมถึงใช้ได้กับองค์กรทุกขนาด ตั้งแต่องค์กรขนาดเล็กไปจนถึงขนาดใหญ่ โดยไม่ขึ้นกับระดับการใช้ IT มากน้อยเพียงใด
ในความเป็นจริง องค์กรขนาดกลางและขนาดเล็กก็มีความเสี่ยงจากการใช้ IT ไม่ต่างกัน ไม่ว่าจะเป็นการลงทุนที่ไม่คุ้มค่า การพึ่งพา vendor มากเกินไป การตัดสินใจที่ไม่มีข้อมูลรองรับ หรือการขาดเจ้าภาพชัดเจนในเรื่องเทคโนโลยี เพียงแต่รูปแบบ governance อาจไม่ต้องซับซ้อนเท่าองค์กรขนาดใหญ่ แต่ยังจำเป็นต้องมีหลักการ บทบาท และการกำกับดูแลที่เหมาะสมกับบริบทขององค์กรนั้น ๆ
สิ่งที่ผู้บริหารควรเข้าใจ
องค์กรไม่จำเป็นต้องรอให้ใหญ่ก่อนจึงค่อยทำ IT Governance แต่ควรเริ่มต้นจากการวางกรอบที่เหมาะกับขนาด ความเสี่ยง และเป้าหมายของตนเอง เพื่อให้การตัดสินใจด้าน IT มีทิศทางตั้งแต่ต้น
ความเข้าใจผิดที่ 5: ถ้าองค์กรมี Security ดีอยู่แล้ว ก็ไม่จำเป็นต้องโฟกัส IT Governance
หลายองค์กรลงทุนด้าน cybersecurity, information security และเครื่องมือป้องกันความเสี่ยงไว้มาก จึงเข้าใจว่าการมี security ที่ดีเพียงพอแล้ว แต่จริง ๆ แล้ว security เป็นเพียงส่วนหนึ่งของภาพรวม IT Governance เท่านั้น เพราะ governance ครอบคลุมมากกว่าการป้องกันภัยคุกคาม ยังรวมถึงการเชื่อมโยง IT กับเป้าหมายองค์กร การตัดสินใจลงทุน การบริหารความเสี่ยงเชิงธุรกิจ และ accountability ในระดับบริหารด้วย
กล่าวอีกแบบหนึ่งคือ องค์กรอาจมีระบบความมั่นคงปลอดภัยที่ดี แต่ยังมี governance gap ได้ เช่น โครงการ IT ไม่เชื่อมกับกลยุทธ์ธุรกิจ ผู้บริหารไม่ได้รับข้อมูลที่ใช้ตัดสินใจได้จริง หรือ vendor มีอิทธิพลต่อทิศทาง IT มากเกินไป จึงไม่ควรใช้คำว่า security maturity มาแทนคำว่า governance maturity โดยตรง
สิ่งที่ผู้บริหารควรเข้าใจ
Security ที่ดีช่วยลดความเสี่ยงบางด้าน แต่ IT Governance ที่ดีช่วยให้ทั้งการลงทุน การใช้ประโยชน์ การกำกับความเสี่ยง และการตัดสินใจด้านเทคโนโลยีเดินไปในทิศทางเดียวกับธุรกิจอย่างยั่งยืน
ทำไมผู้บริหารควรแก้ความเข้าใจผิดเรื่อง IT Governance ตั้งแต่วันนี้
เมื่อผู้บริหารเข้าใจ IT Governance ถูกต้อง องค์กรจะสามารถมอง IT ไม่ใช่เพียงต้นทุนหรือระบบสนับสนุน แต่เป็นส่วนหนึ่งของ governance ขององค์กรที่เชื่อมระหว่างกลยุทธ์ ความเสี่ยง คุณค่า และการตัดสินใจในระยะยาว ซึ่งเป็นสาระหลักที่ ISO/IEC 38500:2024 พยายามวางกรอบไว้ให้ชัดเจนมากขึ้นในฉบับล่าสุด
ในทางกลับกัน หากยังเข้าใจผิด องค์กรอาจเผชิญปัญหาซ้ำเดิม เช่น การลงทุน IT ไม่ตอบโจทย์ธุรกิจ โครงการจำนวนมากแต่ขาดลำดับความสำคัญ การกำกับความเสี่ยงที่ไม่ยกระดับถึงผู้บริหาร หรือมี policy มากแต่ไม่เกิดผลจริง ซึ่งล้วนกระทบต่อความสามารถในการแข่งขันและความยั่งยืนขององค์กรในระยะยาว
ACIS Professional Center ช่วยองค์กรเรื่อง IT Governance ได้อย่างไร
ACIS Professional Center ระบุว่าบริษัทให้บริการทั้ง training services และ consulting services ด้าน information technology, cybersecurity, IT Governance, ITSMS, information security และ business continuity โดยครอบคลุม People, Process และ Technology และให้บริการทั้งภาครัฐและเอกชนในไทย
ในมุมของบริการที่ปรึกษา ACIS Professional Center จึงเหมาะกับองค์กรที่ต้องการยกระดับ IT Governance อย่างเป็นระบบ ไม่ว่าจะเป็นการประเมินภาพปัจจุบัน การวิเคราะห์ governance gap การช่วยเชื่อมมุมมองผู้บริหารกับฝ่ายเทคโนโลยี การออกแบบแนวทางกำกับดูแลที่สอดคล้องกับเป้าหมายธุรกิจ หรือการวาง roadmap สำหรับการพัฒนา governance capability ในระยะยาว
นอกจากนี้ ACIS Academy ยังมีหลักสูตรในกลุ่ม Governance, Risk and Compliance เช่น CGEIT, COBIT 2019, CISA, CRISC และ Data Governance Framework and Guidelines ซึ่งสะท้อนความพร้อมของ ACIS ในการสนับสนุนองค์กรทั้งด้านการพัฒนาความรู้และการยกระดับศักยภาพเชิง governance ให้เกิดผลจริงในองค์กร
สรุป
5 ความเข้าใจผิดเรื่อง IT Governance ที่ผู้บริหารควรรู้ คือ การคิดว่า IT Governance เป็นเรื่องของฝ่าย IT เท่านั้น, เป็นแค่การอนุมัติโครงการ, เป็นเรื่องของเอกสารมากกว่าผลลัพธ์, เหมาะเฉพาะองค์กรขนาดใหญ่ และไม่จำเป็นหากองค์กรมี security ดีอยู่แล้ว แต่แนวทางของ ISO/IEC 38500:2024 ชี้ชัดว่า governance of IT เป็นส่วนหนึ่งของการกำกับดูแลองค์กร และควรช่วยให้องค์กรใช้ IT ได้อย่างมีประสิทธิผล มีประสิทธิภาพ และเหมาะสมในระดับองค์กรทั้งหมด
สำหรับองค์กรที่ต้องการทำให้ IT Governance ไม่ใช่แค่แนวคิดบนกระดาษ แต่เป็นกลไกที่ช่วยให้ผู้บริหารตัดสินใจได้ดีขึ้น เชื่อม IT กับธุรกิจได้ดีขึ้น และบริหารความเสี่ยงได้อย่างเป็นระบบ การมีที่ปรึกษาที่เข้าใจทั้งมาตรฐาน governance และบริบทธุรกิจจริง จะช่วยให้การวางแนวทางเกิดผลได้รวดเร็วและตรงจุดมากขึ้น โดย ACIS Professional Center เป็นหนึ่งในผู้ให้บริการที่มีทั้งมุม consulting และ training รองรับประเด็นนี้โดยตรง
FAQ
IT Governance คืออะไร
IT Governance คือการกำกับดูแลการใช้เทคโนโลยีสารสนเทศขององค์กรให้สอดคล้องกับเป้าหมายธุรกิจ ช่วยให้การตัดสินใจ การลงทุน และการบริหารความเสี่ยงด้าน IT เป็นไปอย่างเหมาะสม โดย ISO/IEC 38500:2024 ให้หลักการสำหรับ governing bodies และผู้ที่สนับสนุนการกำกับดูแลโดยตรง
ทำไม IT Governance ไม่ใช่เรื่องของฝ่าย IT อย่างเดียว
เพราะตาม ISO/IEC 38500 เรื่องนี้เป็นส่วนหนึ่งของ governance ขององค์กร และเกี่ยวข้องกับ governing bodies ผู้บริหาร และผู้สนับสนุนการกำกับดูแล ไม่ได้จำกัดอยู่ที่ทีมเทคนิคหรือฝ่ายปฏิบัติการด้าน IT เท่านั้น
องค์กรขนาดเล็กจำเป็นต้องสนใจ IT Governance หรือไม่
จำเป็น เพราะมาตรฐานระบุชัดว่าใช้ได้กับองค์กรทุกประเภทและทุกขนาด เพียงแต่รูปแบบ governance ควรเหมาะกับบริบท ความเสี่ยง และระดับการใช้ IT ของแต่ละองค์กร
ถ้ามีระบบ Security ดีอยู่แล้ว ยังต้องทำ IT Governance หรือไม่
ยังต้องทำ เพราะ security เป็นเพียงส่วนหนึ่งของภาพรวม IT Governance ซึ่งยังรวมถึงการลงทุนด้าน IT การกำกับความเสี่ยง การกำหนดบทบาทความรับผิดชอบ และการเชื่อมโยง IT กับเป้าหมายธุรกิจด้วย
ACIS Professional Center ช่วยเรื่อง IT Governance อย่างไร
ACIS ให้บริการ training และ consulting ด้าน IT Governance, cybersecurity, ITSMS, information security และ business continuity โดยครอบคลุม People, Process และ Technology และยังมีหลักสูตรในสาย Governance, Risk and Compliance เช่น CGEIT, COBIT 2019, CISA และ CRISC เพื่อสนับสนุนการพัฒนาความพร้อมขององค์กร
