5. ประเด็นคำถาม (Q&A) ของหัวข้อการพัฒนาเทคโนโลยีดิจิทัล (Digital Technology: DT)



Q1 จากระดับ 3 ของการประเมิน รัฐวิสาหกิจมีการถ่ายทอดกระบวนการกำกับดูแลด้านการบริหารจัดการ
เทคโนโลยีดิจิทัลแก่ผู้รับผิดชอบ พนักงาน ผู้ส่งมอบคู่ค้าที่สำคัญ ลูกค้าและผู้มีส่วนได้ส่วนเสียอื่น
ที่เกี่ยวข้องอย่างครบถ้วนมีการประเมินการรับรู้ของผู้รับผิดชอบ พนักงานผู้ส่งมอบ คู่ค้าที่สำคัญ 
ลูกค้าและผู้มีส่วนได้ส่วนเสียอื่น ที่เกี่ยวข้องอย่างครบถ้วน

คำถาม

  1. ต้องมีการถ่ายทอดกระบวนการกำกับดูแลด้าน DT ให้ครบถ้วนทุกกลุ่มหรือไม่
  2. การประเมินการรับรู้ทำได้อย่างไร และต้องมีการแสดงหลักฐานการประเมินการรับรู้อย่างไรได้บ้าง

ตอบ

  1. ใช่ โดยที่แต่ละกระบวนการจะมี ผู้รับผิดชอบ พนักงาน ผู้ส่งมอบคู่ค้าที่สำคัญ ลูกค้า และ 
    ผู้มีส่วนได้ส่วนเสียอื่นที่เกี่ยวข้อง ดังนั้นผู้รับผิดชอบกระบวนการต้องทำการวิเคราะห์ ผู้มีส่วนได้
    ส่วนเสียทั้งหมดของกระบวนการให้ครบถ้วน
  2. การประเมินการรับรู้ทำได้หลากหลายวิธี เช่น การสำรวจการรับรู้โดยตรงจากแบบสอบถาม 
    หรือวิธีอื่นๆ กำหนดเป็นกฎ ระเบียบ ข้อบังคับ การสุ่มตรวจประเมินการรับรู้ เป็นต้น หลักฐานแสดง 
    การประเมินการรับรู้ ดูจากผลการสำรวจการรับรู้ การละเมิด กฎ ระเบียบ ข้อบังคับ และอื่นๆ

Q2 การประเมินคะแนน หมวด DT ระดับคะแนนที่ได้รับการประเมินจะสามารถได้ในระดับถัดไปต้องผ่านรวมทุกข้อใช่หรือไม่ (ทั้งข้อใหญ่และข้อย่อย ของ DT)

ตอบ

การประเมินของ DT แบ่งเป็น 2 ส่วนอย่างชัดเจน ในส่วนของการประเมินส่วนกระบวนการ ซึ่งจะเป็นหัวข้อแรกของทุกข้อ (กระบวนการ) โดยประเมินแบบ Maturity Level คือไม่ครบถ้วนสมบูรณ์ในแต่ละระดับขั้นจะไม่สามารถเลื่อนระดับได้ ส่วนหัวข้อย่อยจะเป็นการประเมินส่วนผลลัพธ์ที่สำคัญที่แต่ละกระบวนการควรจะมีโดยจะพิจารณาเชิงคุณภาพ และความสมบูรณ์แต่ละผลลัพธ์ ซึ่งจะไปเป็นส่วนหนึ่งขององค์ประกอบ  ในระดับ 2 ของการประเมินแบบกระบวนการ ดังนั้นในการประเมินส่วนกระบวนการจะได้คะแนนระดับ 3 ได้ ก็ต้องมีคะแนนการประเมินส่วนผลลัพธ์ที่ครบถ้วน

Q3 หัวข้อ2 ประเด็นย่อย 2.2 การบริหารโครงการและการดำเนินงานด้านเทคโนโลยีดิจิทัลอย่างมีประสิทธิภาพ โดยครอบคลุมถึงการบริหารจัดการการระบุและการจัดสร้างกระบวนแก้ปัญหาแบบเบ็ดเสร็จการจัดสร้างกระบวนแก้ปัญหาแบบเบ็ดเสร็จ คืออะไร

ตอบ

การบริหารจัดการการระบุและการจัดสร้างกระบวนแก้ปัญหาแบบเบ็ดเสร็จเป็นหนึ่งในกระบวนการของ COBIT 5 BAI 03 บริหารจัดการการระบุและจัดสร้างกระบวนการแห้ปัญหาแบบเบ็ดเสร็จ (BAI03 Manage Solutions Identification and Build)

คำอธิบายกระบวนการ

จัดสร้างและดูแลกระบวนการแก้ปัญหาแบบเบ็ดเสร็จที่ระบุไว้ให้เป็นไปตามข้อกำหนดความต้องการขององค์กร โดยครอบคลุมการออกแบบ การพัฒนา การจัดซื้อ/จัดหา การเป็นพันธมิตรกับผู้ขาย หรือผู้ให้บริการ การบริหารองค์ประกอบของระบบ การเตรียมการเพื่อทดสอบ การทดสอบ การบริหารจัดการ
ความต้องการ ตลอดจนการดูแลกระบวนการทางธุรกิจ ระบบงาน สารสนเทศ/ข้อมูล โครงสร้างพื้นฐาน
และบริการ

สรุป

จะต้องมีการระบุแนวทางในการดำเนินงานต่างๆไว้อย่างชัดเจน เพื่อให้เป็นไปตามข้อกำหนดความต้องการขององค์กร ตั้งแต่เรื่อง การออกแบบ การพัฒนา การจัดซื้อ/จัดหา การเป็นพันธมิตรกับผู้ขายหรือผู้ให้บริการ การบริหารองค์ประกอบของระบบ การเตรียมการเพื่อทดสอบ การทดสอบ การบริหารจัดการความต้องการ ตลอดจนการดูแลกระบวนการทางธุรกิจ ระบบงาน สารสนเทศ/ข้อมูลโครงสร้างพื้นฐานและบริการ เพื่อให้ผู้ปฏิบัติสามารถดำเนินการได้อย่างถูกต้องและครบถ้วนทุกขั้นตอน

ตัวอย่างเช่น

คู่มือการออกแบบระบบงาน ก็จะต้องมีการระบุขั้นตอนการดำเนินงานไว้อย่างชัดเจน ตั้งแต่เก็บรวบรวมความต้องการให้ครบถ้วน ประชุมหารือกับเจ้าของระบบ....... ฯลฯ รวมถึงถ้าเจอปัญหาจะพิจารณาแก้ไขอย่างไร ใครมีอำนาจในการตัดสินใจ อย่างนี้เป็นต้น ทุกอย่างต้องระบุให้ชัดเจนทุกขั้นตอนทั้งรายละเอียดกิจกรรม ผู้รับผิดชอบ ระยะเวลา

Q4 การบูรณาการเชื่อมโยงข้อมูลและการดำเนินงานร่วมกันระหว่างหน่วยงาน หากรัฐวิสาหกิจมีหน่วยงานที่เกี่ยวข้องจำนวนน้อย หรือมีผู้มีส่วนได้ส่วนเสียน้อยราย จะพิจารณาอย่างไร

ตอบ

การประเมินผลในส่วนของการบูรณาการเชื่อมโยงข้อมูลและการดำเนินงานร่วมกันระหว่างหน่วยงาน
จะพิจารณาจาก บริบทของแต่ละองค์กร การวิเคราะห์ผู้มีส่วนได้ส่วนเสียที่ครบถ้วนตาม Work System หรือ Value chine หรือ Business Model ของแต่ละองค์กร 


Q5
 การประเมินกระบวนการแบบ Process Maturity Level คืออะไร

ตอบ การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) จะพิจารณาจากการจัดการกระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถทำซ้ำได้ (Repeatable Practice)และเป็นมาตรฐาน (Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กรโดยมีการวัด วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนามาปรับปรุง และพัฒนากระบวนการอย่างต่อเนื่อง


Q6
 การประเมินด้านการพัฒนาเทคโนโลยีดิจิทัลมีกระบวนการอะไร

ตอบ การประเมินด้านการพัฒนาเทคโนโลยีดิจิทัลควรครอบคลุมกระบวนการ ได้แก่

  1. กระบวนการกำกับดูแลด้านการบริหารจัดการเทคโนโลยีดิจิทัล (Digital Governance)
  2. กระบวนการจัดทำแผนปฏิบัติการดิจิทัลและแผนปฏิบัติการประจำปี (Digital Roadmap and Action Plan) กระบวนการสถาปัตยกรรมองค์กร(Enterprise Architecture)
  1. กระบวนการการจัดการด้านคุณภาพ (Quality Management)
  2. กระบวนการการบูรณาการเชื่อมโยงข้อมูลและการดำเนินงานร่วมกันระหว่างหน่วยงาน (Government Integration)
  1. กระบวนการกำกับดูแลข้อมูล (Data Governance)
  2. กระบวนการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศ (Information Security Management)
  1. การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Risk Management)
  1. กระบวนการตรวจสอบการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศขององค์กร (ISMS Audit)
  1. กระบวนการบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ (IT Asset Management)
  2. กระบวนการบริหารจัดการคอนฟิกูเรชั่น (Configuration Management)
  3. กระบวนการบริหารจัดการเหตุการณ์ผิดปกติ การร้องขอการบริการ และปัญหาด้านเทคโนโลยีสารสนเทศ (IT Incident, Service Requests and Problem Management)
  1. กระบวนการบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management )
  2. กระบวนการดาเนินการด้านการบริหารจัดการการใช้ทรัพยากรอย่างเหมาะสม (Resource Optimization Management Implementation)
  3. กระบวนการบริหารจัดการการเลือกใช้เทคโนโลยีที่เป็นมิตรต่อสิ่งแวดล้อม (Green IT Management)


Q7 
หลักการกำกับดูแลด้านการบริหารจัดการเทคโนโลยีดิจิทัล (Digital Governance guiding principle) คืออะไร

ตอบ

การกำกับดูแล (Governance)

การกำกับดูแล ทำให้มั่นใจได้ว่าความต้องการ เงื่อนไข และทางเลือกของผู้มีส่วนได้เสียได้รับการประเมินเพื่อกำหนดวัตถุประสงค์ที่องค์กรต้องการให้บรรลุซึ่งมีความสมดุลและเห็นชอบร่วมกัน การกำหนดทิศทาง ผ่านการจัดลำดับความสำคัญและการตัดสินใจ และการเฝ้าติดตามผลการดาเนินงานและ
การปฏิบัติตามเทียบกับทิศทางและวัตถุประสงค์ที่ได้ตกลงร่วมกันในองค์กรส่วนใหญ่ คณะกรรมการ
บริหารเป็นผู้รับผิดชอบในการกำกับดูแล โดยมีประธานบริษัทเป็นผู้นำ

การบริหารจัดการ (Management)

ผู้บริหารวางแผน สร้าง ดำเนินงาน และเฝ้าติดตามกิจกรรมต่างๆ ให้สอดคล้องกับทิศทางที่กำหนด  
โดยหน่วยงานกำกับดูแล (Governance Body) เพื่อให้บรรลุวัตถุประสงค์ขององค์กรในองค์กรส่วนใหญ่ ผู้บริหารระดับสูงเป็นผู้รับผิดชอบในการบริหารจัดการ โดยมีประธานเจ้าหน้าที่บริหารเป็นผู้นา

ที่มา : กรอบการดาเนินงานทางธุรกิจสาหรับการกากับดูแลและการบริหารจัดการไอทีระดับองค์กร, COBIT5 ISACA Model for Corporate Governance of Information Technology

โดยรูปแบบ Corporate Governance of Information Technology มีหลักการจำนวน 6 ด้าน ดังนี้

1) หลักการที่ 1 ความรับผิดชอบ (Responsibility)

ธุรกิจ (ลูกค้า) และฝ่ายเทคโนโลยีสารสนเทศ (IT) (ผู้ให้บริการ) ควรร่วมมือกันแบบเป็นพันธมิตรที่มี
การสื่อสารกันอย่างมีประสิทธิผลบนพื้นฐานของความสัมพันธ์ที่ดีและมีความเชื่อใจกัน และแสดงถึง
ความชัดเจนในหน้าที่ความรับผิดชอบและความรับผิดชอบในผลงานตามหน้าที่ (accountability) สำหรับในองค์กรขนาดใหญ่ คณะกรรมการด้านเทคโนโลยีสารสนเทศ (IT Executive Committee) หรือคณะกรรมการกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (IT Strategy Committee) ปฏิบัติหน้าที่
ในนามของคณะกรรมการบริหารและมีประธานที่แต่งตั้งจากสมาชิกของคณะกรรมการบริหารถือเป็นกลไก
ที่มีประสิทธิผลมากสาหรับการประเมิน สั่งการ และเฝ้าติดตามการดำเนินงานด้านเทคโนโลยี (IT) 
ในองค์กร และสำหรับการแนะนำคณะกรรมการในประเด็นด้านเทคโนโลยีสารสนเทศที่สำคัญ รวมถึงกรรมการสำหรับองค์กรขนาดเล็กและขนาดกลางที่มีสายบังคับบัญชาที่ไม่ซับซ้อนและมีเส้นทางการสื่อสารที่สั้นซี่งจำเป็นต้องใช้วิธีปฏิบัติที่เข้าถึงโดยตรง (Direct Approach) มากกว่าในการดูแลกิจกรรมทางด้านเทคโนโลยีสารสนเทศ และไม่ว่าจะเป็นกรณีใดก็ตาม หน่วยงานที่มีหน้าที่กำกับดูแล
จะต้องสั่งการให้มีโครงสร้างองค์กร บทบาทหน้าที่และความรับผิดชอบที่เหมาะสมสำหรับการกำกับดูแล เพื่อให้มีความชัดเจนถึงความเป็นเจ้าของและความรับผิดชอบ   ในผลงานอย่างชัดเจนสำหรับการตัดสินใจและภารกิจที่สำคัญ รวมถึงความสัมพันธ์กับผู้ให้บริการหลักด้านเทคโนโลยีสารสนเทศจากภายนอก

2) หลักการที่ 2 กลยุทธ์ (Strategy)

การวางแผนกลยุทธ์ทางเทคโนโลยีสารสนเทศ (IT) มีความซับซ้อนและความสำคัญ
ที่ต้องมีความร่วมมือกันอย่างใกล้ชิดระหว่างหน่วยงานด้านธุรกิจ  ในองค์กรและไอที จึงจำเป็นต้องให้ลำดับความสำคัญสำหรับแผนที่มีโอกาสที่จะบรรลุผลประโยชน์ตามความคาดหวังและสำหรับการจัดสรรทรัพยากรอย่างมีประสิทธิผล เป้าหมายในภาพรวมต้องแปลงมาเป็นแผนยุทธวิธีที่สามารถทาให้บรรลุผลได้ เพื่อลดโอกาสเกิดความล้มเหลวหรือเหตุการณ์ที่ไม่คาดคิด โดยมีเป้าหมายคือการส่งมอบคุณค่า
เพื่อสนับสนุนวัตถุประสงค์ของกลยุทธ์ร่วมกันกับการพิจารณาถึงความเสี่ยงที่เกี่ยวข้องกับการยอมรับ
ความเสี่ยงของคณะกรรมการบริหาร แม้ว่าจะเป็นเรื่องสำคัญที่จะต้องถ่ายทอดแผนในลักษณะจากบน
ไปสู่ล่าง แต่แผนก็ต้องยืดหยุ่นและสามารถปรับให้รองรับความต้องการทางธุรกิจและโอกาสทางด้าน
เทคโนโลยีสารสนเทศ (IT) ที่มีการเปลี่ยนแปลงอย่างรวดเร็วด้วย นอกจากนี้ การมีหรือขาดความสามารถด้านเทคโนโลยีสารสนเทศ (IT) สามารถส่งเสริมหรือขัดขวางกลยุทธ์ทางธุรกิจได้ ดังนั้น 
การวางแผนกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (IT) ควรรวมถึงการวางแผนความสามารถด้านเทคโนโลยีสารสนเทศ (IT) ที่โปร่งใสและเหมาะสม โดยรวมถึงการประเมินความสามารถของโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ (IT) และทรัพยากรบุคคลในปัจจุบัน เพื่อรองรับความต้องการของธุรกิจในอนาคต และพิจารณาถึงการพัฒนาเทคโนโลยีในอนาคตที่อาจช่วยให้เกิดความได้เปรียบในการแข่งขันและ/หรือต้นทุนที่เกิดประโยชน์สูงสุด ทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT) รวมถึง
ความสัมพันธ์กับผู้ขายผลิตภัณฑ์และผู้ให้บริการต่างๆภายนอก ซึ่งบางรายอาจมีบทบาทสำคัญในการสนับสนุน การดำเนินงานของธุรกิจ ดังนั้น การกำกับดูแลกลยุทธ์ในการจัดซื้อจัดหา จึงมีนัยสำคัญมาก
ในกิจกรรมการวางแผนกลยุทธ์ที่ต้องการทิศทางและการควบคุมดูแลจากผู้บริหารระดับสูง

3) หลักการที่ 3 การจัดซื้อจัดหา (Acquisition)

กระบวนการแก้ไขปัญหาแบบเบ็ดเสร็จด้านเทคโนโลยีสารสนเทศ (IT) มีไว้เพื่อสนับสนุนกระบวนการด้านธุรกิจ ดังนั้น จึงต้องระมัดระวังที่จะไม่นำกระบวนการแก้ไขปัญหาแบบเบ็ดเสร็จด้านเทคโนโลยีสารสนเทศ (IT) ไปพิจารณาแยกอีกต่างหาก หรือมองเป็นเพียงแค่โครงการหรือบริการด้านเทคโนโลยีเท่านั้น ในทางกลับกัน การเลือกสถาปัตยกรรมของเทคโนโลยีที่ไม่เหมาะสม ความล้มเหลวที่จะทาให้โครงสร้างพื้นฐานด้านเทคนิคทันสมัยและเหมาะสมหรือการขาดบุคลากรที่มีทักษะ ล้วนสามารถส่งผลให้โครงการล้มเหลวและขาดความสามารถที่จะดำเนินกิจกรรมทางธุรกิจได้อย่างยั่งยืน หรือลดคุณค่าที่มีต่อธุรกิจ การจัดซื้อจัดหาทรัพยากรด้านไอทีจึง ควรพิจารณาเสมือนเป็นส่วนหนึ่งของการเปลี่ยนแปลงทางธุรกิจ โดยมีปัจจัยด้านเทคโนโลยีสารสนเทศ (IT) เป็นปัจจัยสนับสนุน เทคโนโลยีที่จัดซื้อมาจะต้องสนับสนุนและสามารถทำงานร่วมกับกระบวนการทางธุรกิจและโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ (IT) ที่องค์กรมีอยู่แล้วและที่วางแผนการนำไปใช้งานก็ไม่ใช้เป็นเพียงแค่ประเด็นด้านเทคโนโลยีเท่านั้น แต่จะต้องรวมไปกับการเปลี่ยนแปลงองค์กร การปรับปรุงกระบวนการทางธุรกิจ  
การฝึกอบรม และการเอื้อให้เกิดการเปลี่ยนแปลงด้วย ดังนั้น โครงการด้านเทคโนโลยีสารสนเทศ (IT) ควรเป็นส่วนหนึ่งของชุดโครงการ (Programs) เพื่อการเปลี่ยนแปลงในระดับองค์กร ซึ่งรวมเอาโครงการต่างๆ ที่มีการดำเนินกิจกรรมครบถ้วนในทุกด้านตามที่ต้องการเพื่อช่วยให้มั่นใจว่าจะได้รับผล
สาเร็จ

4) หลักการที่ 4 ผลการดำเนินงาน (Performance)

การวัดผลการดำเนินงานที่มีประสิทธิผลขึ้นอยู่กับมุมมองหลัก 2 ด้านคือ คำจำกัดความที่ชัดเจนของคำว่า “ผลการดำเนินงานเป้าหมาย” และ “การจัดทำมาตรวัดที่มีประสิทธิผลสำหรับการเฝ้าติดตามการบรรลุเป้าหมาย” จึงจำเป็นต้องมีกระบวนการในการวัดผลการดำเนินงานเพื่อให้มั่นใจว่า ผลการดำเนินงานนั้นได้รับการเฝ้าติดตามอย่างสม่ำเสมอและเชื่อถือได้ การกำกับดูแลจะมีประสิทธิผลก็ต่อเมื่อวัตถุประสงค์กำหนดมาจากบนลงล่างซึ่งสอดคล้องกับเป้าหมายทางธุรกิจในภาพรวมที่ได้รับอนุมัติ และมาตรวัดจัดทำขึ้นจากล่างขึ้นบน ซึ่งสอดคล้องไปในทางที่เอื้อให้บรรลุเป้าหมายในทุกระดับ โดยมีผู้บริหารของแต่ละระดับชั้นเฝ้าติดตามปัจจัยสาคัญ สู่ความสาเร็จในการกำกับดูแล 2 ปัจจัยคือ การที่ผู้มีส่วนได้เสียอนุมัติเป้าหมาย และการที่บุคลากรในระดับกรรมการและผู้จัดการยอมรับความรับผิดชอบในผลงาน (Accountability) ในการบรรลุเป้าหมายด้านเทคโนโลยีสารสนเทศ (IT) เป็นหัวข้อที่มีความซับซ้อนและมีรายละเอียด
เชิงเทคนิค ดังนั้น จึงเป็นสิ่งที่สาคัญที่จะต้องมีความโปร่งใสโดยการสื่อถึงเป้าหมาย มาตรวัด 
และการรายงานผลการดาเนินงานในภาษาที่เข้าใจได้ง่ายสาหรับผู้มีส่วนได้เสีย เพื่อให้มีการดำเนินการอย่างเหมาะสม

5) หลักการที่ 5 ความสอดคล้องกัน (Conformance)

ตลาดโลกในวันนี้มีอินเตอร์เน็ตและเทคโนโลยีที่ก้าวหน้าเป็นปัจจัยเอื้อ องค์กรจำเป็นต้องปฏิบัติตามข้อกาหนดด้านกฏหมายและกฎระเบียบข้อบังคับที่มีจำนวนเพิ่มมากขึ้น จากข่าวอื้อฉาวและความล้มเหลวด้านการเงินของบริษัทต่างๆ เมื่อไม่กี่ปีที่ผ่านมา ทำให้คณะกรรมการเกิดความตระหนักอย่างมากในเรื่องของกฏหมายและกฎระเบียบข้อบังคับที่ออกมาบังคับใช้ ซึ่งเข้มข้นขึ้นและผลกระทบที่มีผู้มีส่วนได้เสียต้องการความเชื่อมั่นเพิ่มขึ้นว่า ในการดำเนินงานจริงองค์กรได้ปฏิบัติตามกฏหมายและกฎระเบียบข้อบังคับ และดำเนินการตามแนวปฏิบัติที่ดี   ด้านการกำกับดูแลองค์กรแล้ว นอกจากนี้ จากการที่เทคโนโลยีสารสนเทศ (IT) ได้เอื้อให้เกิดกระบวนการทางธุรกิจระหว่างองค์กรอย่างไร้รอยต่อ จึงมีความจำเป็นที่จะต้องมั่นใจได้ว่า สัญญาต่างๆ ครอบคลุมถึงข้อกำหนดที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT) ในเนื้อหาอาทิเช่น การรักษาความเป็นส่วนบุคคล การรักษาความลับ การรักษาสินทรัพย์ทางปัญญา และการรักษาความมั่นคงปลอดภัย เป็นต้น กรรมการจำเป็นต้องมั่นใจได้ว่า การปฏิบัติ ตามข้อกำหนดจากองค์กรภายนอกถือเป็นส่วนหนึ่งของการวางแผนกลยุทธ์มากกว่าที่จะให้เกิดความเสียหายขึ้นแล้วพิจารณาภายหลัง กรรมการยังจำเป็นต้องกำหนดแนวทางจากผู้บริหารระดับสูง พร้อมทั้งกำหนดเป็นนโยบายและขั้นตอนการปฏิบัติงานให้ผู้บริหารและพนักงานปฏิบัติตาม เพื่อให้มั่นใจว่าได้บรรลุเป้าหมายขององค์กร  ลดความเสี่ยง และมีการปฏิบัติตาม (กฎหมาย/กฎระเบียบข้อบังคับ) ผู้บริหารระดับสูงจะต้องทำให้เกิดความสมดุลระหว่างประสิทธิภาพในการดำเนินงานและการปฏิบัติตาม (กฎหมาย/กฎระเบียบข้อบังคับ) เพื่อให้มั่นใจว่าเป้าหมายของประสิทธิภาพในการดำเนินงานไม่ขัดแย้งกับการปฏิบัติตาม (กฎหมาย/กฎระเบียบข้อบังคับ) และในทางตรงกันข้าม การปฏิบัติตาม (กฎหมาย/กฎระเบียบข้อบังคับ) ก็ต้องมีความเหมาะสม ไม่เข้มงวดมากจนเกินไปกับการดำเนินธุรกิจ

6) หลักการที่ 6 พฤติกรรมบุคคล (Human Behavior)

การนำการเปลี่ยนแปลงใดๆ ที่มีเทคโนโลยีสารสนเทศเป็นปัจจัยเอื้อไปใช้งาน ซึ่งรวมถึงการกำกับดูแลด้านเทคโนโลยีสารสนเทศด้วยต้องมีการเปลี่ยนแปลงอย่างเป็นนัยสาคัญต่อวัฒนธรรมและพฤติกรรมภายในองค์กร เช่นเดียวกับลูกค้าและพันธมิตรทางธุรกิจ ซึ่งอาจสร้างความวิตกและความไม่เข้าใจให้เกิดขึ้นท่ามกลางกลุ่มพนักงาน ดังนั้น การนำไปใช้จึงจำเป็นต้องได้รับการจัดการอย่างระมัดระวังเพื่อให้บุคลากรยังคงมีทัศนคติที่ดีในการทำงาน และกรรมการจะต้องสื่อสารเป้าหมายอย่างชัดเจนและแสดง
ให้เห็นว่าเป็นผู้สนับสนุนการเปลี่ยนแปลงที่นำเสนอนั้น การฝึกอบรมและการเพิ่มทักษะของบุคลากรเป็นกุญแจสาคัญสำหรับการปลี่ยนแปลง โดยเฉพาะการเปลี่ยนเแปลงด้านเทคโนโลยที่มักเกิดขึ้นอย่างรวดเร็ว เทคโนโลยีสารสนเทศจึงมีผลกระทบต่อบุคลากรทุกระดับในองค์กรไม่ว่าจะเป็นผู้มีส่วนได้เสีย 
ผู้จัดการ และผู้ใช้งานหรือผู้เชี่ยวชาญที่ให้บริการที่เกี่ยวข้องกับไอทีและกระบวนการแก้ปัญหาแบบเบ็ดเสร็จให้กับองค์กร และกระบวนการแก้ปัญหาแบบเบ็ดเสร็จแก่ธุรกิจ นอกจากส่งผลกระทบภายในองค์กรแล้วเทคโนโลยีสารสนเทศ (IT) ยังส่งผลกระทบต่อลูกค้าและพันธมิตรทางธุรกิจ ทั้งยังเอื้อให้เกิดการบริการตนเองและการทำธุรกรรมอัตโนมัติระหว่างองค์กรทั้งภายในประเทศและข้ามประเทศ แม้ว่ากระบวนการทางธุรกิจที่มีเทคโนโลยีสารสนเทศ (IT) เป็นปัจจัยเอื้อจะนำมาให้เกิดประโยชน์และโอกาสใหม่ แต่ก็มาพร้อมกับความเสี่ยงต่างๆที่เพิ่มขึ้นด้วย ทั้งนี้ ประเด็นปัญหา ได้แก่ ข้อมูลส่วนบุคคลและการทุจริตเป็นเรื่องที่บุคคลมีความวิตกกังวลเพิ่มมากขึ้น และความเสี่ยงนี้พร้อมทั้งความเสี่ยงอื่นๆ ต้องได้รับการจัดการเพื่อให้ผู้ใช้เกิดความเชื่อมั่นในระบบเทคโนโลยีสารสนเทศ (IT) ที่ใช้อยู่ นอกจากนี้ ระบบสารสนเทศยังส่งผลกระทบต่อแนวปฏิบัติในการทำงานอย่างมากโดยการแปลงขั้นตอนการปฏิบัติงาน
ที่ดำเนินการด้วยคนให้เป็นการทำงานโดยอัตโนมัติ

ที่มา : กรอบการดาเนินงานทางธุรกิจสาหรับการกากับดูแลและการบริหารจัดการเทคโนโลยีสารสนเทศระดับองค์กรและ COBIT5 : ISACA


Q8 
สถาปัตยกรรมองค์กร (Enterprise Architecture) คืออะไร

 ตอบ สถาปัตยกรรมองค์กร (Enterprise Architecture) คือ กระบวนในการนำเอาเทคโนโลยีสารสนเทศ (Information Technology: IT) มาสนับสนุนการดำเนินงานธุรกิจ (Business) 
ให้เกิดประสิทธิภาพและประสิทธิผลสูงสุดต่อองค์กร แม้ว่าสถาปัตยกรรมองค์กรจะเน้นในเรื่องความสอดคล้องกันของการดำเนินงานด้านธุรกิจและเทคโนโลยีสารสนเทศ อย่างไรก็ตามด้านความมั่นคงปลอดภัยก็ถือเป็นอีกหนึ่งองค์ประกอบที่ขาดไม่ได้ ซึ่งจะช่วยให้ทั้งการดาเนินงานธุรกิจและการบริหารจัดการเทคโนโลยีสารสนเทศเป็นไปด้วยความถูกต้อง ครบถ้วน โปร่งใส และตรวจสอบได้ เป็นเวลาเกือบ 30 ปีที่ผ่านมาที่นักวิจัยและนักปฏิบัติเริ่มมีการศึกษาถึงการพัฒนาสถาปัตยกรรมองค์กร จากอดีตจนถึงปัจจุบันกรอบแนวความคิดและหลักการในการพัฒนาสถาปัตยกรรมองค์กรถูกนำเสนอขึ้นมามากมาย 
โดย The Zachman Framework for Enterprise Architecture ถือเป็นกรอบของสถาปัตยกรรมองค์กรแรกที่ถูกนำเสนอ ในปี พ.ศ. 2530 และเป็นกรอบแนวคิดที่ถูกนำมาประยุกต์ใช้เป็นจานวนมาก นอกจากนี้ยังมีกรอบแนวคิดอื่นที่ได้ถูกนำมาปรับใช้เช่น The Open Group Architecture Framework (TOGAF) และ Federal
 Enterprise Architecture (FEA)

ตัวอย่างสถาปัตยกรรมองค์กร (Enterprise Architecture)

ที่มา : สถาปัตยกรรมองค์กรของสำนักงานรัฐบาลอิเล็กทรอนิกส์ (องค์การมหาชน) E-Governmant Agency (EGA)


Q9
 กระบวนการถ่ายทอดการวิเคราะห์สถาปัตยกรรมองค์กร (Enterprise Architecture: EA) 
ให้กับคู่ค้า ลูกค้า และผู้มีส่วนได้ส่วนเสียอื่น ขอสอบถามว่า จะมีการถ่ายทอดอย่างไรและประเมินการรับรู้
ได้อย่างไร โดยการประเมินแบบสอบถามออนไลน์เป็นการประเมินการรับรู้ให้กับคู่ค้า ลูกค้า และผู้มีส่วน
ได้ส่วนเสียอื่น ได้หรือไม่

ตอบ ทุกกระบวนการในการประเมินหัวข้อการพัฒนาเทคโนโลยีดิจิทัล (Digital Technology : DT) จะต้องมีการวิเคราะห์ผู้มีส่วนได้ส่วนเสียที่เกี่ยวกับกระบวนการนั้นๆ ซึ่งจะมีจำนวนผู้มีส่วนได้ส่วนเสีย
ที่แตกต่างกัน โดยในส่วนของการถ่ายทอดแนวทางการวิเคราะห์สถาปัตยกรรมองค์กร (Enterprise Architecture: EA) ไปยังผู้มีส่วนได้ส่วนเสียขึ้นอยู่กับวิธีการหรือแนวทางของรัฐวิสาหกิจ เนื่องจาก
การถ่ายทอดไปแต่ละกลุ่มผู้มีส่วนได้ส่วนเสียมีรูปแบบที่หลากหลาย แต่ประเด็นที่สำคัญคือต้องสามารถ
วัดผลการรับรู้แนวทางดังกล่าวที่ได้ถ่ายทอดไปด้วย


Q10
 ถ้าหากไม่มีคณะกรรมการด้าน IT เป็นการเฉพาะ มีเพียงคณะกรรมการด้าน IT ที่เป็นหัวหน้าหน่วยงานในสังกัด

ทั้งนี้ ควรจะเชิญบุคคลใดเป็นจากคณะกรรมการทีมีความรู้เทคโนโลยีมาเป็นประธานของคณะกรรมการ IT หรือไม่ เพื่อให้เกิดการกำกับดูแลงานด้าน IT

ตอบ ขึ้นอยู่กับการพิจารณาขององค์กร โดยแนวทาง Best Practices ขององค์กรขนาดใหญ่ โครงสร้างการกำกับด้านดิจิทัล ควรมีคณะกรรมการรัฐวิสาหกิจมาเป็นองค์ประกอบของคณะกรรมการดิจิทัล เพื่อขับเคลื่อนการนำดิจิทัล มาปรับใช้กับทุกส่วนขององค์กร โดยองค์กรขนาดเล็กอาจไม่จำเป็น แต่อย่างไรก็ตามโดยลักษณะของรัฐวิสาหกิจ การจะขับเคลื่อนประเด็นใดให้มีประสิทธิภาพ ส่วนมากก็ควรจะได้รับการสนับสนุนจากคณะกรรมการรัฐวิสาหกิจ ทั้งนี้ เกณฑ์การประเมินจะไม่จำกัดรูปแบบโครงสร้างการกำกับดูแล แต่จะดูผลลัพธ์ที่มีประสิทธิภาพของการกำกับดูแล มากกว่า


Q11
 สอบถามเรื่องการกำกับครับ หากรัฐวิสาหกิจมีการปรับปรุงคำสั่งอำนาจหน้าที่ของคณะ IT Steering โดยไม่ได้ระบุอำนาจหน้าที่และความถี่ให้รายงานคณะกรรมการรัฐวิสาหกิจเพื่อทราบ แต่ให้รายงานผู้อำนวยการแทนที่มีฐานะเป็นกรรมการรัฐวิสาหกิจและเป็นเลขานุการคณะกรรมการรัฐวิสาหกิจด้วย เพื่อนำเข้าที่ประชุมให้รับทราบได้หรือไม่

ตอบ ประเด็นกระบวนการกำกับดูแลฯ เกณฑ์การประเมินไม่ได้กำหนดรูปแบบโครงสร้างและกระบวนการ ขึ้นอยู่กับแต่ละรัฐวิสาหกิจนั้นๆ กำหนด โดยต้องมีแนวทางที่กำหนดไว้อย่างชัดเจนในทุกประเด็น และที่สำคัญต้องสามารถ บอกได้ว่า สิ่งที่ดำเนินการตามแนวทางนั้นมีประสิทธิภาพ เช่น กำหนด KPI วัดประสิทธิผลของกระบวนการ เป็นต้น


Q12
 การกำหนดกรอบทิศทางการกำกับดูแลด้านการบริหารจัดการ Digital Governance จำเป็นต้องมีการจัดทำนโยบายหรือไม่

ตอบ โดยปกติการกำกับดูแลจะต้องมีนโยบายกำกับดูแลฯ ที่ครอบคลุมการพัฒนาเทคโนโลยีดิจิทัล
ทั้งองค์กร เพื่อนำไปเป็นกำหนดแนวทางในการปฏิบัติในแต่ละด้าน ซึ่งหลักการกำกับที่สำคัญมี 3 ประเด็น คือ การบริหารจัดการทรัพยากรอย่างเหมาะสม การดำเนินงานที่มีประสิทธิภาพและโปร่งใส 
และการบริหารจัดการความเสี่ยงด้านการพัฒนาเทคโนโลยีดิจิทัล


Q13
 ขอสอบถามตัวชี้วัดที่ 6.4 การบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) ที่ค่าเกณฑ์วัดระดับที่ 3 “รัฐวิสาหกิจมีการถ่ายทอดกระบวนการบริหารจัดการความต่อเนื่องทางธุรกิจแก่ผู้รับผิดชอบ พนักงาน ผู้ส่งมอบ คู่ค้าที่สำคัญ ลูกค้า และผู้มีส่วนได้ส่วนเสียอื่นที่เกี่ยวข้องอย่างครบถ้วน มีการประเมินการรับรู้ ของผู้รับผิดชอบ พนักงาน ผู้ส่งมอบ คู่ค้าที่สำคัญ ลูกค้า และผู้มีส่วนได้ส่วนเสียอื่นที่เกี่ยวข้องอย่างครบถ้วน” นั้น ต้องเป็นการประเมินการรับรู้ของบุคคลใด และประเมินระดับไหน

ตอบ หลักการพื้นฐานของการประเมินด้านการพัฒนาเทคโนโลยีดิจิทัล (Digital Technology) ในทุกกระบวนการจะต้องมีการวิเคราะห์ผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับกระบวนการให้ครบถ้วน เพื่อถ่ายทอดแนวทาง และผลผลิตของกระบวนการให้ผู้มีส่วนได้ส่วนเสียให้มีการรับรู้ รวมถึงการประเมินผลการรับรู้ของผู้ส่วนได้ส่วนเสียที่เกี่ยวข้อง โดยจำนวนผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องขึ้นอยู่กับการวิเคราะห์แต่ละกระบวนการ


Q14
 การประเมินตัวชี้วัดที่ 6.4 การบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) ของด้านการพัฒนาเทคโนโลยีดิจิทัล (Digital Technology) เป็นการบริหารจัดการความต่อเนื่องทางธุรกิจ ในด้านเทคโนโลยีดิจิทัลหรือการบริหารจัดการทุกด้านขององค์กร รวมถึงการบริหารจัดการพนักงานในสถานการณ์ การแพร่ระบาดเชื้อไวรัสโคโรน่า 2019 ด้วยหรือไม่

ตอบ แนวทางการประเมินตัวชี้วัดดังกล่าวเป็นการประเมินการบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) ในการบริหารจัดการทุกด้านขององค์กร ซึ่งจะพิจารณาจากแผนการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan :BCP) และแผนดำเนินงานที่จะต้องเตรียมไว้ในการกู้ระบบ 
ในกรณีที่ระบบล่ม (System Down) (Disaster Recovery Planning :DRP) โดยสถานการณ์
การแพร่ระบาดเชื้อไวรัสโคโรน่า 2019 ควรกำหนดเป็นปัจจัยหนึ่งในการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis) ทั้งนี้ การประเมินผลในตัวชี้วัดจะพิจารณาการบริหารจัดการองค์กรภายใต้สถานการณ์ดังกล่าวด้วย.


Q15
 เกณฑ์การประเมินผลด้านการพัฒนาเทคโนโลยีดิจิทัล (Digital Technology) ตัวชี้วัดที่ 6.4 การบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) 
ที่ครอบคลุมระบบงานที่สำคัญ อย่างครบถ้วน (ทั้ง 8 เกณฑ์) ซึ่ง 8 เกณฑ์ คืออะไร

ตอบ เกณฑ์การประเมินผล Enablers ทั้ง 8 ด้าน

 

<หน้า 2>