ออกตัวก่อนว่าผมไม่เคยลงเรียนหลักสูตร COBIT 5 ไม่ว่าจะเป็น Foundation, Implementation หรือ Enabling และก็ไม่เคยสอบใบประกาศนียบัตร COBIT 5 ด้วย ผมอาศัยอ่านเองจากเอกสารที่ ISACA ให้ดาวน์โหลด และผมก็อ่านเฉพาะ COBIT5 Foundation เท่านั้น!!!
ดังนั้น ความคิดเห็นของผม จึงเป็นความคิดเห็นของคนที่รู้เพราะอ่าน ไม่ได้รู้เพราะมีอาจารย์สอน!
เข้าเรื่องกันดีกว่า สำหรับใครที่ไม่รู้จัก COBIT 5 ขอเล่าสั้น ๆ ว่ามันเป็นกระบวนการที่ดี ในการกำกับดูแลองค์กรไอที โดยมีวัตถุประสงค์เพื่อให้เกิดประโยชน์สูงสุด ลดความเสี่ยงให้อยู่ในระดับที่เหมาะสม และ ใช้ประโยชน์จากทรัพยากรที่มีอยู่ให้คุ้มค่าที่สุด
ตอนแรกผมสงสัยว่าทำไมต้องมีกระบวนการที่ดี ไม่เข้าใจ แต่พอได้อ่านเอกสาร COBIT 5 Foundation แล้วถึงเข้าใจกระบวนการนี้ แล้วก็เริ่มตกผลึกทางความคิด จากนั้น ผมก็เริ่มมีความคิดเห็นส่วนตัวเกี่ยวกับกระบวนการนี้!
กระบวนการ COBIT 5 บอกเราหลายอย่าง คือ บอกให้เราดูรอบ ๆ ว่ามีอะไรเป็นสิ่งผลักดัน บอกให้เราส่งต่อสิ่งผลักดันไปยังเป้าหมายขององค์กร และส่งต่อไปเรื่อย ๆ จนถึงกระบวนการ
จุดที่ผมสนใจ ต้องเรียกว่าโคตรสนใจเลยก็คือ COBIT 5 พยายามอธิบายว่า เราต้องแยก กระบวนการกำกับดูแล ออกจาก กระบวนการบริหารจัดการ พร้อมทั้งอธิบายว่า COBIT 5 มีกระบวนการกำกับดูแล 5 กระบวนการ ในขณะที่มีกระบวนการบริหารจัดการ 32 กระบวนการ
คือต้องเข้าใจอย่างนี้ครับ สมัยก่อนในองค์กรไอที จะมีแค่ ผู้บริหาร กับ ผู้ปฏิบัติงาน โดยผู้บริหารก็จะเป็นผู้แจกงานและตามงาน ส่วนผู้ปฏิบัติงานก็เป็นคนไปคิดไปทำ จะคิดทำในฐานะนักวิเคราะห์ระบบงานคอมพิวเตอร์ วิศวกรระบบคอมพิวเตอร์ วิศวกรเครือข่าย โปรแกรมเมอร์ หรือตำแหน่งอะไรที่ใกล้เคียงกันก็สุดแล้วแต่
ทีนี้ภาระงานมันมากขึ้นครับ ผมหมายถึงว่าการจะทำให้องค์กรไอทีมีการกำกับดูแลที่ดี มันมีภาระงานมากขึ้น มากจนผู้ปฏิบัติงานท่าจะไม่ไหวล่ะ ดังนั้น งานมันจะเริ่มล้น มันเริ่มล้นกลับขึ้นไปหาผู้บริหาร แล้วพอผู้บริหารต้องมาช่วยกันคิดช่วยกันทำ ก็กลายเป็นว่าผู้บริหารจะไม่ได้ทำเพียงหน้าที่แจกงานและตามงานล่ะ ต้องเหนื่อยล่ะ!!!
มันก็เลยเกิดภาพว่า ควรจะแบ่งองค์กรไอทีใหม่ ให้มี 3 ระดับ คือ ระดับกำกับดูแล ระดับบริหารจัดการ และ ระดับปฏิบัติงาน แล้วให้ผู้บริหารระดับสูงยกกันขึ้นไปอยู่ระดับกำกับดูแล เพื่อมองภาพรวมและทำให้แน่ใจว่าทุกอย่างโอเค แล้วสร้างผู้บริหารระดับกลาง เพื่อมาทำหน้าที่บริหารจัดการแทน
สำหรับผู้บริหารระดับสูงที่ชอบแจกงานและตามงาน ผมบอกได้เลยว่ากระบวนการ COBIT 5 เป็นอะไรที่น่าจะถูกใจสุด ๆ เลยล่ะ เพราะระดับกำกับดูแล ทำแค่ 5 กระบวนการเอง ในขณะที่ระดับบริหารจัดการ ทำตั้ง 32 กระบวนการแน่ะ
และถ้าสังเกตดี ๆ จะเห็นว่า กระบวนการทั้ง 5 ที่ระดับกำกับดูแลต้องทำนั้น คือ การ “ทำให้แน่ใจ” ในวัตถุประสงค์ ดังนั้น การที่ระดับกำกับดูแลจะถูกทำให้แน่ใจ ก็ด้วยการให้ข้อเท็จจริงจากระดับบริหารจัดการนั่นเอง!!!
ดังนั้น การที่ระดับบริหารจัดการต้องทำตั้ง 32 กระบวนการ ก็ไม่ใช่อะไรมาก ก็แค่ทำเพื่อให้ระดับกำกับดูแลแน่ใจนั่นแหล่ะ!!!
ผมอยากให้นึกภาพแบบนี้เลยนะ คือ ระดับกำกับดูแลเปรียบได้กับผู้พิพากษา ส่วนระดับบริหารจัดการเปรียบได้กับตำรวจและอัยการ ตำรวจและอัยการก็แบ่งหน้าที่กันสืบสวนสอบสวน ทำสำนวนกันไปครับ แล้วส่งเรื่องให้ผู้พิพากษาตัดสิน ถ้าผู้พิพากษาตัดสินถูกก็คือดีไป แต่ถ้าผู้พิพากษาตัดสินผิด ก็เป็นเพราะพยานหลักฐานและสำนวนของตำรวจและอัยการอ่อนเองครับ
แต่องค์กรไอทีอาจจะต่างจากการพิจารณาคดีนิดหน่อยครับ คือถ้าระดับกำกับดูแลตัดสินพลาด องค์กรไอทีก็พังครับผม!!!
