Skip to content Skip to footer
ACIS Professional Center Co., Ltd.
Close
Article News & Events

จะประเมินความพร้อมด้าน IT Governance ขององค์กรได้อย่างไร

4 hours ago 0Comments

Article,News & Events

จะประเมินความพร้อมด้าน IT Governance ขององค์กรได้อย่างไร

การประเมินความพร้อมด้าน IT Governance ไม่ใช่แค่ตรวจเอกสารหรือดูโครงสร้างฝ่าย IT แต่คือการประเมินว่าการใช้เทคโนโลยีขององค์กรสอดคล้องกับเป้าหมายธุรกิจ มีการกำกับความเสี่ยง และสร้างคุณค่าได้จริงหรือไม่ บทความนี้สรุปแนวทางประเมินอย่างเป็นระบบสำหรับผู้บริหารและองค์กรไทย

จะประเมินความพร้อมด้าน IT Governance ขององค์กรได้อย่างไร

ในยุคที่องค์กรขับเคลื่อนธุรกิจด้วยเทคโนโลยีแทบทุกมิติ ไม่ว่าจะเป็นระบบงานหลัก ข้อมูล ลูกค้า การปฏิบัติงาน หรือการตัดสินใจเชิงกลยุทธ์ คำถามสำคัญจึงไม่ใช่เพียงว่าองค์กร “มี IT” หรือไม่ แต่คือองค์กร “กำกับดูแลการใช้ IT ได้ดีเพียงใด” เพราะการมีระบบจำนวนมากไม่ได้แปลว่าองค์กรใช้เทคโนโลยีได้อย่างมีประสิทธิผลหรือสอดคล้องกับเป้าหมายธุรกิจเสมอไป

มาตรฐาน ISO/IEC 38500:2024 ระบุว่าแนวทางนี้ให้หลักการสำหรับสมาชิกของ governing bodies และผู้ที่สนับสนุนการกำกับดูแล เพื่อให้เกิดการใช้ IT อย่าง effective, efficient and acceptable ภายในองค์กร และใช้ได้กับองค์กรทุกประเภท ทุกขนาด ทั้งภาครัฐ เอกชน และไม่แสวงหากำไร รวมถึงครอบคลุมทั้งการใช้ IT ในปัจจุบันและอนาคตด้วย

ดังนั้น การประเมินความพร้อมด้าน IT Governance จึงเป็นจุดเริ่มต้นสำคัญสำหรับองค์กรที่ต้องการรู้ว่าปัจจุบันตนเองอยู่ตรงไหน มี governance gap อะไรบ้าง และควรปรับปรุงเรื่องใดก่อน เพื่อให้การลงทุนด้านเทคโนโลยีเชื่อมกับผลลัพธ์ทางธุรกิจและบริหารความเสี่ยงได้อย่างเหมาะสม

การประเมินความพร้อมด้าน IT Governance คือการตรวจสอบว่าองค์กรมีโครงสร้างการตัดสินใจ บทบาทความรับผิดชอบ การกำกับความเสี่ยง การติดตามผล และการใช้ IT ที่สอดคล้องกับเป้าหมายธุรกิจมากน้อยเพียงใด ไม่ใช่แค่ดูว่ามีนโยบายหรือระบบ IT ครบหรือไม่ โดยแนวทางของ ISO/IEC 38500:2024 เน้นว่าการกำกับดูแล IT เป็นส่วนหนึ่งของ governance ขององค์กร และควรช่วยให้การใช้ IT มีประสิทธิผล มีประสิทธิภาพ และเหมาะสมกับองค์กร การประเมินที่ดีจึงควรพิจารณาอย่างน้อยเรื่อง strategy alignment, decision-making structure, risk oversight, value realization, accountability, policy-to-practice และ management reporting เพื่อให้ผู้บริหารเห็นภาพรวมและวาง roadmap ปรับปรุงได้อย่างเป็นระบบ

IT Governance คืออะไรในมุมของการประเมินความพร้อม

หากอธิบายให้เข้าใจง่าย IT Governance คือกรอบการกำกับดูแลที่ทำให้องค์กรใช้ IT เพื่อสนับสนุนเป้าหมายธุรกิจได้อย่างเหมาะสม ไม่ใช่เพียงการดูแลระบบให้ทำงานได้ แต่รวมถึงการตัดสินใจเรื่องการลงทุน ความเสี่ยง ความรับผิดชอบ และผลลัพธ์ที่องค์กรคาดหวังจากการใช้เทคโนโลยีด้วย ซึ่งใน ISO/IEC 38500:2024 ระบุชัดว่า governance of IT เป็นส่วนหนึ่งของ governance ขององค์กร ไม่ใช่เรื่องที่แยกขาดจากธุรกิจ

เอกสารประกอบจากคณะทำงานของ ISO ยังอธิบายเพิ่มเติมว่าเวอร์ชัน 2024 ได้อัปเดตโมเดลความสัมพันธ์ระหว่าง governance และ management ของ IT ให้ชัดขึ้น รวมทั้งเน้นเรื่อง governance framework และการ engage stakeholders มากขึ้น ซึ่งสะท้อนว่าการประเมินความพร้อมไม่ควรมองเฉพาะฝ่าย IT แต่ต้องมองทั้งองค์กรและผู้มีส่วนเกี่ยวข้องด้วย

ทำไมองค์กรจึงควรประเมินความพร้อมด้าน IT Governance

หลายองค์กรเริ่มตระหนักถึงความสำคัญของ IT Governance ก็ต่อเมื่อเริ่มเห็นอาการ เช่น ลงทุนด้าน IT มากแต่ไม่แน่ใจว่าคุ้มค่าหรือไม่ โครงการ IT มีจำนวนมากแต่ขาดลำดับความสำคัญ ฝ่ายธุรกิจกับฝ่าย IT ไปคนละทิศทาง หรือผู้บริหารได้รับข้อมูลจำนวนมากแต่ไม่สามารถใช้ตัดสินใจเชิงกลยุทธ์ได้จริง ปัญหาเหล่านี้มักสะท้อนว่าองค์กรยังไม่มี governance framework ที่แข็งแรงพอ แม้จะมีทีม IT หรือมีระบบ security อยู่แล้วก็ตาม ซึ่งเป็นประเด็นที่สอดคล้องกับแนวคิดหลักของ ISO/IEC 38500 ว่าการกำกับดูแล IT ต้องช่วยให้องค์กรใช้เทคโนโลยีอย่างมีประสิทธิผลและเหมาะสม ไม่ใช่แค่มีเทคโนโลยีอยู่ในองค์กรเท่านั้น

การประเมินความพร้อมจึงมีประโยชน์อย่างน้อย 3 เรื่องสำคัญ คือ

  1. ทำให้องค์กรเห็นภาพปัจจุบันอย่างเป็นระบบ
  2. ทำให้ผู้บริหารรู้ว่า governance gap อยู่ตรงไหน
  3. ช่วยจัดลำดับการปรับปรุงให้เหมาะกับความเสี่ยงและเป้าหมายธุรกิจ

1) เริ่มจากการประเมินความสอดคล้องระหว่าง IT กับเป้าหมายธุรกิจ

จุดแรกที่ควรประเมินคือ องค์กรมีความชัดเจนหรือไม่ว่า IT กำลังถูกใช้เพื่อสนับสนุนเป้าหมายทางธุรกิจอย่างไร เพราะหากองค์กรมีโครงการ ระบบ หรือเครื่องมือจำนวนมาก แต่ไม่สามารถเชื่อมโยงกับ business outcomes ได้ ก็อาจสะท้อนว่าการกำกับดูแลด้านเทคโนโลยียังไม่ชัดเจน

คำถามที่ใช้ประเมินได้ เช่น

  • ผู้บริหารสามารถอธิบายได้หรือไม่ว่าโครงการ IT สำคัญแต่ละเรื่องสนับสนุนเป้าหมายธุรกิจข้อใด
  • มีเกณฑ์ในการจัดลำดับความสำคัญของโครงการ IT หรือไม่
  • การลงทุนด้านเทคโนโลยีมีตัวชี้วัดผลลัพธ์ที่เชื่อมกับธุรกิจหรือไม่

แนวทางของ ISO/IEC 38500 เน้นว่าการใช้ IT ต้องมีทั้ง effectiveness และ efficiency ดังนั้นองค์กรที่พร้อมด้าน IT Governance ควรแสดงให้เห็นได้ว่า IT ไม่ได้ถูกใช้แบบแยกส่วน แต่เชื่อมกับกลยุทธ์และคุณค่าที่องค์กรต้องการสร้างจริง ๆ

2) ประเมินโครงสร้างการตัดสินใจและบทบาทความรับผิดชอบ

ความพร้อมด้าน IT Governance ไม่ได้เกิดจากการมีฝ่าย IT ที่เก่งเพียงอย่างเดียว แต่เกิดจากการมีโครงสร้างการตัดสินใจที่ชัดเจน ว่าเรื่องใดควรตัดสินใจในระดับใด ใครเป็นเจ้าภาพ ใครให้ข้อมูล ใครอนุมัติ และใครติดตามผล โดยเอกสารจาก ISO ชี้ให้เห็นว่ารุ่น 2024 เน้นความสัมพันธ์ระหว่าง governance และ management ชัดขึ้น ซึ่งหมายความว่าการประเมินควรมองทั้งระดับนโยบายและระดับปฏิบัติร่วมกัน

คำถามที่ควรใช้ประเมิน เช่น

  • เรื่องสำคัญด้าน IT มีเจ้าของที่ชัดเจนหรือไม่
  • ผู้บริหารมีเวทีหรือกลไกในการกำกับทิศทาง IT หรือไม่
  • ธุรกิจ ฝ่าย IT และหน่วยงานกำกับดูแลเชื่อมโยงกันดีเพียงใด
  • การตัดสินใจยังขึ้นกับบุคคลใดบุคคลหนึ่งมากเกินไปหรือไม่

หากองค์กรตอบคำถามเหล่านี้ได้ไม่ชัด นั่นมักเป็นสัญญาณว่าควรเริ่มทบทวน governance structure อย่างจริงจัง

3) ประเมินการกำกับความเสี่ยงด้าน IT ในระดับองค์กร

อีกองค์ประกอบสำคัญของการประเมินความพร้อม คือการดูว่าองค์กรกำกับความเสี่ยงด้าน IT ในระดับผู้บริหารได้ดีเพียงใด เพราะความเสี่ยงด้านเทคโนโลยีในปัจจุบันไม่ได้จำกัดแค่เรื่องระบบล่มหรือภัยไซเบอร์ แต่รวมถึงความเสี่ยงจาก third party, data, compliance, operational disruption และการตัดสินใจลงทุนที่ผิดทิศทางด้วย ซึ่ง ISO/IEC 38500 วาง IT ไว้ในฐานะส่วนหนึ่งของ governance ขององค์กร จึงทำให้เรื่อง risk oversight เป็นประเด็นที่ผู้บริหารควรเห็นและเข้าใจ ไม่ใช่ปล่อยให้เป็นเรื่องของฝ่ายเทคนิคอย่างเดียว

คำถามที่ควรใช้ประเมิน เช่น

  • ผู้บริหารได้รับข้อมูลความเสี่ยงด้าน IT ที่เพียงพอและเข้าใจง่ายหรือไม่
  • มีการยกระดับความเสี่ยงที่สำคัญเข้าสู่ระดับตัดสินใจที่เหมาะสมหรือไม่
  • ความเสี่ยงจาก vendor, cloud, data และ cyber ถูกเชื่อมกับมุมมองธุรกิจหรือไม่

องค์กรที่พร้อมด้าน governance จะไม่เพียงแค่ “มีทีมดูแลความเสี่ยง” แต่ต้องทำให้ความเสี่ยงเหล่านั้นถูกกำกับในระดับองค์กรได้จริง

4) ประเมินความสามารถในการติดตามคุณค่าและผลลัพธ์จาก IT

หลายองค์กรมี dashboard, report หรือข้อมูลเชิงปฏิบัติการจำนวนมาก แต่ยังไม่สามารถตอบคำถามพื้นฐานได้ว่า IT กำลังสร้างคุณค่าอะไรให้ธุรกิจ ซึ่งถือเป็นช่องว่างสำคัญของ IT Governance เพราะหากไม่มีการติดตาม value realization อย่างเหมาะสม องค์กรอาจใช้งบประมาณและทรัพยากรจำนวนมากโดยไม่ได้ผลลัพธ์ตามที่คาดหวัง

การประเมินในมิตินี้ควรดูว่า

  • มี KPI หรือ outcome ที่เชื่อม IT กับผลลัพธ์ทางธุรกิจหรือไม่
  • ผู้บริหารเห็นแนวโน้มและความคืบหน้าของ value delivery หรือไม่
  • การรายงานผลช่วยให้ตัดสินใจได้จริงหรือเป็นเพียงรายงานเพื่อรับทราบ

องค์ประกอบเรื่อง “value” ปรากฏชัดในโมเดลการอธิบายของ ISO เกี่ยวกับ governance of IT และเป็นแกนสำคัญที่องค์กรควรใช้เมื่อประเมิน maturity ของตนเอง

5) ประเมินว่ามีนโยบายและกรอบกำกับดูแลที่ “ใช้ได้จริง” หรือไม่

หลายองค์กรมีนโยบาย มี framework และมีคู่มือจำนวนมาก แต่การทำงานจริงกลับไม่สอดคล้องกับเอกสาร ซึ่งเป็นปัญหาคลาสสิกของ governance ที่เน้นเอกสารมากกว่าการปฏิบัติจริง การประเมินความพร้อมจึงควรถามว่า policy และ framework ที่องค์กรมีอยู่ถูกใช้เพื่อขับเคลื่อนการตัดสินใจและพฤติกรรมการทำงานจริงหรือไม่

คำถามที่ใช้ได้ เช่น

  • ผู้เกี่ยวข้องเข้าใจ policy และนำไปใช้จริงหรือไม่
  • มีการทบทวน update ตามบริบทปัจจุบันหรือไม่
  • governance framework ที่มีอยู่ช่วยให้ผู้บริหารกำกับได้จริงหรือไม่

เอกสาร white paper ของ ISO อธิบายว่าเวอร์ชัน 2024 ให้ความสำคัญกับ governance framework มากขึ้น ซึ่งหมายความว่าการมีเอกสารเฉย ๆ ไม่เพียงพอ หากกรอบนั้นยังไม่ทำให้ governance และ management เชื่อมกันอย่างมีประสิทธิภาพทั่วทั้งองค์กร

6) ประเมินคุณภาพของข้อมูลและรายงานที่ส่งถึงผู้บริหาร

อีกจุดที่มักถูกมองข้ามคือ quality of reporting เพราะผู้บริหารจำนวนมากได้รับรายงาน IT เป็นประจำ แต่รายงานเหล่านั้นอาจลงลึกเชิงเทคนิคมากเกินไป หรือไม่เชื่อมกับผลกระทบทางธุรกิจ ทำให้ใช้ตัดสินใจได้ยาก

การประเมินความพร้อมในด้านนี้ควรถามว่า

  • รายงาน IT สะท้อนเรื่อง strategy, value, risk และ performance หรือไม่
  • ผู้บริหารอ่านแล้วเข้าใจได้ทันทีหรือยังต้องตีความเพิ่มเติม
  • รายงานช่วยตัดสินใจเรื่องสำคัญได้จริงหรือไม่

เมื่อดูจากโมเดลที่ ISO ใช้อธิบาย governance of IT จะเห็นว่าประเด็น strategy, value, risk และ performance เป็นองค์ประกอบที่เชื่อมกัน ดังนั้นรายงานที่ดีควรสะท้อนภาพเหล่านี้ให้ผู้บริหารมองเห็นได้อย่างชัดเจน

7) ประเมินความพร้อมของผู้มีส่วนเกี่ยวข้องและการมีส่วนร่วมของ Stakeholders

การกำกับดูแล IT ที่ดีไม่ได้เกิดจากฝ่ายใดฝ่ายหนึ่ง แต่ต้องอาศัยการมีส่วนร่วมของผู้มีส่วนเกี่ยวข้องที่สำคัญ ทั้งผู้บริหาร ฝ่ายธุรกิจ ฝ่าย IT ฝ่ายความเสี่ยง ฝ่ายกำกับดูแล และบางกรณีรวมถึง vendor หรือ partner ภายนอกด้วย โดย ISO ระบุว่าฉบับ 2024 เพิ่มน้ำหนักให้กับแนวคิด engage stakeholders อย่างชัดเจน ซึ่งทำให้การประเมินความพร้อมควรครอบคลุมเรื่องนี้โดยตรง

คำถามที่ควรใช้ เช่น

  • stakeholder สำคัญด้าน IT ถูกดึงเข้ามาในกระบวนการตัดสินใจหรือไม่
  • ฝ่ายธุรกิจมีบทบาทในการกำหนด priority ด้าน IT หรือไม่
  • มีความเข้าใจร่วมกันระหว่าง business กับ IT เพียงใด

ถ้าผู้มีส่วนเกี่ยวข้องยังทำงานเป็น silo องค์กรก็มักจะเจอ governance gap แม้จะมีโครงสร้างหรือเอกสารที่ดูครบถ้วนแล้วก็ตาม

8) ประเมินระดับความพร้อมแบบ “ภาพรวม” ก่อนทำ Roadmap

เมื่อองค์กรประเมินแต่ละมิติข้างต้นแล้ว ขั้นต่อไปคือการสรุปภาพรวมว่าองค์กรอยู่ในระดับใด เช่น

  • เริ่มต้น: ยังไม่มีโครงสร้างหรือกลไกที่ชัด
  • กำลังก่อตัว: มีบางส่วนแล้วแต่ยังไม่สม่ำเสมอ
  • เป็นระบบ: มี governance framework ชัดและใช้ได้จริงหลายด้าน
  • พัฒนาแล้ว: governance เชื่อมกับ strategy, risk, value และ reporting อย่างครบถ้วน

แม้มาตรฐาน ISO/IEC 38500 ไม่ได้กำหนด maturity scale ตายตัวในหน้าคำอธิบายสาธารณะ แต่หลักการที่ระบุไว้อย่างชัดเจนเกี่ยวกับการใช้ IT อย่าง effective, efficient and acceptable สามารถใช้เป็นกรอบอ้างอิงในการดูระดับความพร้อมและลำดับการพัฒนาได้

แนวทางปฏิบัติสำหรับองค์กรที่ต้องการเริ่มประเมิน IT Governance

หากองค์กรยังไม่เคยประเมินความพร้อมด้าน IT Governance มาก่อน แนวทางเริ่มต้นที่เหมาะสมมีดังนี้

1. กำหนดขอบเขตการประเมินให้ชัด

ควรเริ่มจากการระบุว่าองค์กรต้องการประเมินในมุมใด เช่น ระดับผู้บริหารทั้งองค์กร ระดับสายงานหลัก หรือระดับโครงการ/portfolio เพื่อให้ผลประเมินตอบโจทย์การใช้งานจริง

2. สัมภาษณ์ผู้เกี่ยวข้องหลายฝ่าย

อย่าประเมินจากมุมมองฝ่าย IT เพียงฝ่ายเดียว ควรมีทั้งผู้บริหาร ฝ่ายธุรกิจ ฝ่ายความเสี่ยง ฝ่าย compliance และผู้ดูแลระบบที่เกี่ยวข้อง เพื่อให้เห็นภาพ governance จริงทั้งองค์กร

3. ทบทวนทั้งเอกสารและการปฏิบัติจริง

การมี policy หรือ committee structure ไม่ได้แปลว่า governance แข็งแรง ควรดูว่ามีการใช้งานจริงหรือไม่ และผลลัพธ์สะท้อนออกมาอย่างไร

4. สรุปเป็น gap และ priority

ผลประเมินที่ดีควรไม่หยุดแค่บอกว่าองค์กร “พร้อมหรือไม่พร้อม” แต่ต้องตอบได้ว่าควรแก้อะไรก่อน และอะไรคือ quick win เทียบกับประเด็นเชิงโครงสร้างระยะยาว

ACIS Professional Center ช่วยองค์กรประเมินความพร้อมด้าน IT Governance ได้อย่างไร

ACIS Professional Center ระบุว่าบริษัทให้บริการทั้ง training services และ consulting services ในด้าน information technology, cybersecurity, IT Governance, ITSMS, information security และ business continuity โดยครอบคลุม People, Process and Technology ซึ่งสอดคล้องโดยตรงกับลักษณะของงานประเมิน IT Governance ที่ต้องมองทั้งโครงสร้างผู้บริหาร กระบวนการทำงาน และมิติทางเทคโนโลยีร่วมกัน

ในมุมของบริการที่ปรึกษา ACIS Professional Center จึงสามารถช่วยองค์กรได้ในประเด็นสำคัญ เช่น

  • ประเมินภาพปัจจุบันของ IT Governance ในองค์กร
  • วิเคราะห์ governance gap ที่กระทบต่อธุรกิจ การตัดสินใจ และความเสี่ยง
  • ช่วยออกแบบ governance framework ที่เหมาะกับบริบทขององค์กร
  • เชื่อมมุมมองของผู้บริหาร ฝ่ายธุรกิจ และฝ่าย IT ให้สอดคล้องกันมากขึ้น
  • จัดทำ roadmap การพัฒนา governance capability แบบเป็นขั้นตอน

นอกจากนี้ ACIS Academy ยังมีหลักสูตรในหมวด Governance, Risk and Compliance เช่น COBIT 2019, CGEIT, CISA, CRISC และ Data Governance Framework and Guidelines ซึ่งสะท้อนความพร้อมของ ACIS ในการสนับสนุนทั้งด้านการประเมิน การวางกรอบ และการพัฒนาศักยภาพบุคลากรในองค์กรควบคู่กันไป

ISO/IEC 38500 – ACIS Professional Center Co., Ltd.

FAQ

IT Governance คืออะไร

IT Governance คือการกำกับดูแลการใช้เทคโนโลยีสารสนเทศขององค์กรให้สอดคล้องกับเป้าหมายธุรกิจ ช่วยให้การตัดสินใจ การลงทุน และการบริหารความเสี่ยงด้าน IT เป็นไปอย่างเหมาะสม โดย ISO/IEC 38500:2024 ให้หลักการสำหรับ governing bodies และผู้ที่สนับสนุนการกำกับดูแลโดยตรง

จะประเมินความพร้อมด้าน IT Governance จากอะไรได้บ้าง

สามารถประเมินได้จากหลายมิติ เช่น strategy alignment, decision-making structure, accountability, risk oversight, value realization, policy-to-practice, quality of reporting และ stakeholder engagement ซึ่งเป็นองค์ประกอบที่สอดคล้องกับโมเดล governance of IT ที่ ISO อธิบายไว้

องค์กรขนาดเล็กต้องประเมิน IT Governance หรือไม่

ควรประเมิน เพราะ ISO/IEC 38500 ใช้ได้กับองค์กรทุกประเภทและทุกขนาด ไม่ได้จำกัดเฉพาะองค์กรขนาดใหญ่ เพียงแต่รูปแบบ governance ควรเหมาะกับบริบทและระดับการใช้ IT ของแต่ละองค์กร

ถ้ามีระบบ Security ดีอยู่แล้ว ยังต้องประเมิน IT Governance หรือไม่

ยังควรประเมิน เพราะ security เป็นเพียงส่วนหนึ่งของภาพรวม IT Governance ซึ่งยังรวมถึงการลงทุนด้าน IT การกำกับความเสี่ยง การสร้างคุณค่า และการตัดสินใจระดับผู้บริหารด้วย

ACIS Professional Center ช่วยเรื่อง IT Governance อย่างไร

ACIS ให้บริการ training และ consulting ด้าน IT Governance, cybersecurity, ITSMS, information security และ business continuity โดยครอบคลุม People, Process และ Technology รวมถึงมีหลักสูตรในสาย Governance, Risk and Compliance เช่น COBIT 2019, CGEIT, CISA, CRISC และ Data Governance Framework and Guidelines เพื่อสนับสนุนการพัฒนาองค์กรอย่างเป็นระบบ

Related Content