5. ประเด็นคำถาม (Q&A) ของหัวข้อการพัฒนาเทคโนโลยีดิจิทัล (Digital Technology: DT) (หน้า 2)

ผู้เข้าชม: 148

Q16 การจัดจ้างที่ปรึกษาเพื่อจัดทำแผนปฏิบัติการในการจัดทำขอบเขตของงานหรือควบคุม
การดำเนินงานที่เกี่ยวข้องกับด้านการพัฒนาเทคโนโลยีดิจิทัล รัฐวิสาหกิจต้องวิเคราะห์ความคุ้มค่า
ของโครงการในรูปแบบที่เป็นตัวเงินและไม่ใช่ตัวเงินหรือไม่

ตอบ รัฐวิสาหกิจต้องกำหนดแนวทางวิเคราะห์ความคุ้มค่าในประเด็นโครงการประเภทใดและมีมูลค่า
มากน้อยเพียงใด หากเป็นโครงการการเปลี่ยนวัสดุอุปกรณ์ก็ไม่มีความจำเป็นที่ต้องดำเนินการวิเคราะห์
นอกจากนี้ การวิเคราะห์ความคุ้มค่าของโครงการไม่จำเป็นต้องอยู่ในรูปแบบที่ไม่ใช่ตัวเงิน คือสามารถวิเคราะห์ผลความคุ้มค่าของโครงการในรูปแบบอื่นตามแนวทางที่องค์กรกำหนด โดยแนวทางการประเมินจะพิจารณาจากความเหมาะสม ของการกำหนดหลักเกณฑ์ รวมถึงผลการประเมินประสิทธิผล ทั้งนี้
โครงการจ้างที่ปรึกษามาดำเนินการในเรื่องต่างๆ ต้องสามารถประเมินผลลัพธ์จากโครงการดังกล่าว

Q17 หัวข้อ 5 การบริหารความมั่นคงปลอดภัยของสารสนเทศ ตัวชี้วัดที่ 5.3 การตรวจสอบการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศขององค์กร (ISMS) องค์กรได้จัดทำมาตรฐาน ISO 27001
ในสายงานด้านดิจิทัล จึงต้องมีการจัดทำมาตรฐาน ISO 27001 ตามแต่ละสายงานต่างๆ หรือไม่ และการเวียนบันทึกและแบบสอบถาม จะเพียงพอกับรายละเอียดของค่าเกณฑ์วัดระดับที่ 3 “รัฐวิสาหกิจมีการ
ถ่ายทอดกระบวนการ ตรวจสอบการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศขององค์กรแก่ผู้รับผิด
ชอบ พนักงาน… ” หรือไม่

ตอบ 1. การประเมินการตรวจสอบการบริหารจัดการความมั่งคงปลอดภัยฯ (ISMS) จะเป็นการประเมิน
ทั้งองค์กร โดยหน่วยงานที่มีมาตรฐาน ISO 27001 จะต้องถ่ายทอดแนวทางการตรวจสอบการบริหารจัดการ ความมั่งคงปลอดภัยฯ (ISMS) ในหน่วยงานต่างๆ ขององค์กร เพื่อนำแนวทางของมาตรฐาน ISO 27001 ไปประยุกต์ใช้ในการดำเนินงานของหน่วยงาน

  1. รูปแบบการตรวจสอบการบริหารจัดการความมั่งคงปลอดภัยฯ (ISMS) มีการสื่อสารทั้ง 2 ทาง ได้แก่
    1) วิธีการสื่อสารทางตรง เช่น หนังสือเวียน การอบรม แบบสอบถาม เป็นต้น 2) วิธีการสื่อสารทางอ้อม เช่น จดหมายอิเล็กทรอนิกส์ เป็นต้น โดยการประเมินค่าเกณฑ์วัดระดับที่ 3 องค์กรต้องมีการประเมินประสิทธิผลการรับรู้ของผู้มีส่วนได้ส่วนเสียต่อการตรวจสอบการบริหารจัดการความมั่งคงปลอดภัยฯ (ISMS) ยกตัวอย่าง การจัดส่งจดหมายอิเล็กทรอนิกส์ลวง (Phishing Mail) ให้กับบุคลากรขององค์กร เพื่อวิเคราะห์ผลการรับรู้ที่ได้

 

Q18 หัวข้อ 6 การบริหารความต่อเนื่องทางธุรกิจและความพร้อมใช้ของระบบ (Business Continuity) ตัวชี้วัดที่ 6.4 การบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) หากองค์กรมีการจัดทำแผนการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan : BCP) แล้ว จะเป็นการดำเนินงานตามหลักเกณฑ์ดังกล่าวหรือไม่

ตอบ การบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM)
จะประกอบด้วยแผนการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan : BCP) และแผนดำเนินงานที่จะต้องเตรียมไว้ในการกู้ระบบในกรณีที่ระบบล่ม (Disaster Recovery Planning : DRP)

 

Q19 ทรัพย์สินด้านเทคโนโลยีสารสนเทศ (IT Asset) ตามตัวชี้วัดที่ 5.5 การบริหารจัดการความมั่นคงปลอดภัยทรัพย์สินด้านเทคโนโลยีสารสนเทศและข้อมูลสารสนเทศ (IT Asset Data and Information Security Management) และตัวชี้วัดที่ 6.1 การบริหารจัดการทรัพย์สิน
ด้านเทคโนโลยีสารสนเทศ (IT Asset Management) มีความหมายเดียวกันหรือไม่ และมีขั้นตอน
ประเมินผลอย่างไร คือพิจารณาเป็นทรัพย์สินด้านเทคโนโลยีสารสนเทศ (IT Asset) ขององค์กรหรือ
แยกการพิจารณาออกเป็นรายตัวชี้วัด (ทรัพย์สินของระบบ ISMS และทรัพย์สินของระบบ BCM)

ตอบ ทรัพย์สินด้านเทคโนโลยีสารสนเทศ (IT Asset) ของทั้ง 2 ตัวชี้วัดมีความหมายเดียวกัน
โดยองค์กรดำเนินการได้อย่างครบถ้วนทั้งองค์กรแล้ว จะเป็นการดำเนินการได้ทั้ง 2 ตัวชี้วัด

 

Q20 หัวข้อ 2 การนำ Digital Technology มาปรับใช้กับทุกส่วนขององค์กร (Digital Transformation)
ในตัวชี้วัดที่ 2.3 การจัดการด้านคุณภาพ (Quality Management) และตัวชี้วัดที่ 5.3 การตรวจสอบการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศขององค์กร (Information Security
Management System (ISMS) Audit) ที่มีการกำหนดข้อกำหนดระบบบริหารจัดการความมั่นคง
ปลอดภัยสำหรับสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 จึงอยากสอบถามว่า ทั้ง 2 ตัวชี้วัด
จะต้องมีการตรวจสอบเทคโนโลยีสารสนเทศ (IT Audit) ใช่หรือไม่ หรือมีแนวทางการตรวจสอบที่ต่างกัน

ตอบ การจัดทำการตรวจสอบการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศฯ (ISMS Audit)
เป็นส่วนหนึ่งของการตรวจสอบด้านเทคโนโลยีดิจิทัล (Digital Audit) หรือ (Computer Audit)
โดยการตรวจสอบด้านเทคโนโลยีดิจิทัล (Digital Audit) หรือ (Computer Audit) จะวางแผนการ
ตรวจสอบจากฐานความเสี่ยง ซึ่งแนวปฏิบัติที่ดีของการตรวจสอบการบริหารจัดการความมั่งคงปลอดภัย
สารสนเทศฯ (ISMS Audit) จะต้องตรวจสอบเป็นประจำปี

 

Q21 ขอสอบถามเกณฑ์การประเมินด้านการพัฒนาเทคโนโลยีดิจิทัล ดังนี้

  1. การกำกับดูแลด้านการบริหารจัดการเทคโนโลยีดิจิทัล ได้กำหนดให้ควรมีระดับคณะกรรมการ
    ขององค์กรเพื่อกำกับดูแลและรับผิดชอบ จึงจำเป็นต้องมีการตั้งคณะกรรมการเพื่อมากำกับดูแล
    ด้านดังกล่าวหรือไม่
  2. ในเกณฑ์การประเมินทุกหัวข้อ “ ควรมีกระบวนการและแนวปฏิบัติที่ชัดเจน สามารถทำซ้ำได้ ”
    จึงอยากสอบถามว่า กระบวนการแต่ละหัวข้อต้องได้รับการอนุมัติจากผู้บริหารองค์กรหรือไม่

ตอบ 1. โครงสร้างการกำกับดูแลด้านการพัฒนาเทคโนโลยีดิจิทัลที่เหมาะสม จะขึ้นอยู่กับองค์กร ประเด็นที่สำคัญ ของการประเมิน คือ การนำเทคโนโลยีดิจิทัลมาประยุกต์ใช้กับหน่วยงานทุกส่วน
ขององค์กรตามแนวปฏิบัติที่ดี (Best Practices) ที่ระบุไว้ในคู่มือการประเมินผลฯ ในประเด็นควรมี
คณะกรรมการที่มีองค์ประกอบของคณะกรรมการ องค์กร ซึ่งอาจเป็นประธานของคณะกรรมการชุดนี้
รวมถึงประกอบด้วยบุคลากรด้าน IT และ Bussiness อยู่ในองค์ประกอบ เพื่อสามารถขับเคลื่อนการนำ
ดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร อย่างไรก็ตาม จะต้องมีการประเมินประสิทธิผลของกระบวนการ
การกำกับดูแลด้านการพัฒนาเทคโนโลยีดิจิทัล ซึ่งโครงสร้างการกำกับดูแลก็อาจจะสามารถ
ถูกเปลี่ยนแปลงได้ ถ้าผลลัพธ์ของการกำกับดูแลออกมาไม่เป็นไปตามเป้าหมายที่กำหนด

  1. การมีแนวปฏิบัติทีดี (Best Practices) ที่ชัดเจน สามารถพิจารณาจากการจัดทำคู่มือการปฏิบัติ
    ในประเด็นด้านต่างๆ โดยมีการกำหนดอำนาจและหน้าที่ความรับผิดชอบอย่างชัดเจน รวมถึงการ
    อนุมัติ    หรืออนุญาตในระดับต่างๆ ซึ่งต้องมีกลไกการกำกับดูแลติดตามและรายงานผลให้
    คณะกรรมการในระดับกำกับดูแลเพื่อทราบ

 

Q22 การประเมินการรับรู้กระบวนการจัดทำแผนปฏิบัติการดิจิทัล คือ การประเมินความเข้าใจ
ในกระบวนการ จัดทำแผนปฏิบัติการดิจิทัล หรือการประเมินเพียงการรับรู้ถึงกระบวนการจัดทำแผนปฏิบัติ
การดิจิทัลใช่หรือไม่

ตอบ การประเมินการรับรู้กระบวนการจะเป็นทั้ง 2 ด้าน โดยการประเมินด้านการพัฒนาเทคโนโลยีดิจิทัล
ในทุกตัวชี้วัด จะมีการประเมินการสื่อสารกระบวนการต่างๆ เพื่อให้ผู้มีส่วนได้ส่วนเสียในแต่ละกระบวนการ
รับทราบ ทั้งนี้ ผู้มีส่วนได้ส่วนเสียในแต่ละกระบวนการมีความแตกต่าง ส่งผลให้บทบาทหน้าที่ของผู้ส่วนได้ส่วนเสียมีความแตกต่างกันด้วย คือ กลุ่มผู้มีส่วนได้ส่วนเสียที่มีส่วนร่วมในกระบวนการ ก็ต้องมีความเข้าใจในกระบวนการ หรือกลุ่มผู้มีส่วนได้ส่วนเสียที่นำผลลัพธ์ไปปฏิบัติงาน ไม่จำเป็นต้องเข้าใจกระบวนการ แต่ต้องทราบช่วงเวลาใดที่มีผลลัพธ์เกิดขึ้น ดังนั้น หน่วยงานต้องมีการวิเคราะห์ผู้ส่วนได้ส่วนเสียในแต่ละกลุ่มที่เกี่ยวข้องกับกระบวนการและสื่อสารเพื่อสร้างความเข้าใจ ประกอบกับการประเมินผลการสื่อสารผ่านการรับรู้

Q23  แผนปฎิบัติการดิจิทัลระยะ 3 - 5 ปี หากรัฐวิสาหกิจมีการจัดทำแผนปฎิบัติการดิจิทัลระยะ 5 ปี (ปี 2563 - 2567) รัฐวิสาหกิจจะสามารถนำแผนดังกล่าวแต่เป็นแผนปฎิบัติการดิจิทัลระยะ 4 ปี ในปี 2564 (ปี 2564 - 2567) เป็นเอกสารประกอบได้หรือไม่

ตอบ  โดยปกติการทำแผนระยะยาวจะต้องมีการทบทวน (Rolling) ทุกปี ซึ่งเมื่อครบระยะที่กำหนดจึงทำแผนระยะยาวใหม่อีกครั้ง เช่น แผนปฎิบัติการดิจิทัลปี 2563-2567 แต่เมื่อถึงปี 2564 ก็จะยังเป็นแผนปฎิบัติการดิจิทัลปี 2563-2567 อยู่ แต่มีการทบทวนแผนของปี 2564 เพิ่มเติมเข้ามา โดยการทบทวนก็จะต้องนำปัจจัยนำเข้าต่างๆ เข้ามาทบทวนให้ครบถ้วน โดยเฉพาะเกณฑ์การประเมินผลใหม่จะต้องเป็นปัจจัยนำเข้าที่สำคัญมาพิจารณาด้วย

 

Q23  ในการกำกับด้าน Data governance คู่มือ Digital Governance ถ้าคณะอนุกรรมการ
ด้านเทคโนโลยีดิจิทัล เห็นชอบแล้ว ต้องเสนอให้คณะกรรมการรัฐวิสาหกิจ ให้ความเห็นชอบหรือ
รับทราบหรือไม่

ตอบ  หากในการแต่งตั้งคณะอนุกรรมการด้านเทคโนโลยีดิจิทัล ได้กำหนดอำนาจหน้าที่ให้สามารถ
พิจารณาให้ความเห็นชอบใดๆ ได้ เช่น คู่มือ หรือ Data Governance เพื่อให้ความเห็นชอบ
แต่รัฐวิสาหกิจยังต้องรายงานเป็นวาระการประชุมให้คณะกรรมการรัฐวิสาหกิจเพื่อทราบด้วย

 

Q24  หัวข้อที่ 4 การกำกับดูแลข้อมูลและการบริหารจัดการข้อมูลขนาดใหญ่ขององค์กร คู่มือการกำกับ
ดูแลด้านการบริหารจัดการด้านเทคโนโลยีดิจิทัล (Digital Governance) จะต้องมีองค์ประกอบอะไรบ้าง

ตอบ  คู่มือการกำกับดูแลการบริหารจัดการด้านเทคโนโลยีดิจิทัล จะต้องแสดงให้เห็นว่ารัฐวิสาหกิจ
มีกระบวนการกำกับดูแลการบริหารจัดการด้านเทคโนโลยีดิจิทัลและแนวทางปฏิบัติอย่างเป็นระบบ
สามารถทำซ้ำได้ (Repeatable Practice) และเป็นมาตรฐาน (Standardized Practice)
ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร โดยจะต้องมีองค์ประกอบเหมือนกับคู่มือ
ปฏิบัติการอื่น เช่น วัตถุประสงค์ ขอบเขต บทบาทหน้าที่ความรับผิดชอบ โครงสร้างการบริหารจัดการ
หลักเกณฑ์การปฏิบัติงาน วีธีการหรือขั้นตอนการปฏิบัติ แผนภาพกระบวนการ แนวทางการติดตาม
การประเมินผลลัพธ์ และการทบทวนกระบวนการ เป็นต้น และจะต้องมีรายละเอียดสอดคล้อง ครบถ้วนตามที่เกณฑ์ระบุไว้ คือ

  1. การกำกับดูแลด้านการบริหารจัดการทรัพยากรเทคโนโลยีดิจิทัลอย่างเหมาะสม
  2. การกำกับดูแลด้านการดำเนินงานให้มีประสิทธิภาพและมีความโปร่งใส
  3. การกำกับดูแลการบริหารความเสี่ยงด้านเทคโนโลยีดิจิทัล
  4. การกำหนดหลักการการกำกับดูแลด้านการบริหารจัดการเทคโนโลยีดิจิทัล (Digital Governance guiding principle) ที่ครอบคลุมถึง ความรับผิดชอบ (Responsibility) กลยุทธ์ (Strategy) การจัดซื้อจัดหา (Acquisition) ผลการดำเนินงาน (Performance) ความสอดคล้องกัน (Conformance) และพฤติกรรมบุคคล (Human Behavior) รายละเอียดปรากฎตามเอกสารคู่มือการประเมินผลการดำเนินงานรัฐวิสาหกิจตามระบบประเมินผลใหม่ (SE-AM) หน้า 128

 

Q25  การตรวจประเมินด้านเทคโนโลยีดิจิทัล ในปีงบประมาณ 2563 จำเป็นต้องมีกระบวนการ
การจัดทำแผนงานต่างๆ ที่เกิดขึ้นในปีงบประมาณ 2562 ด้วยหรือไม่

ตอบ  โดยปกติการประเมินจะต้องพิจารณาให้ครอบคลุมถึงกระบวนการในปีก่อนหน้านี้ด้วย เพื่อที่จะดู
ถึงการทบทวน/ปรับปรุงกระบวนการ

 

Q26 ในหัวข้อที่ 6 การบริหารความต่อเนื่องทางธุรกิจและความพร้อมใช้ของระบ หัวข้อย่อยที่ 6.4
การบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM)
ระดับที่ 4 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการบริหารจัดการความต่อเนื่องทางธุรกิจ มีลักษณะเป็นอย่างไร

ตอบ ตัวชี้วัดผลลัพธ์ที่สำคัญของกระบวนการ BCM ได้แก่ ระยะเวลาสูงสุดที่จะกู้ข้อมูลได้หลังจากเกิดเหตุการณ์ (Recovery Time Objective : RTO) ระยะเวลาสูงสุดที่ยอมให้ข้อมูลเสียหาย (Recovery Point Objective : RPO) ช่วงเวลาการหยุดชะงักที่ยอมรับได้สูงสุด (Maximum Tolerable Period of Disruption : MTPD) การดำเนินงานหยุดชะงักได้ (Maximum Tolerable Data Loss : MTDL) และความสำเร็จของการทดสอบตามแผน เป็นต้น

 

Q27 ในหัวข้อ 5 การบริหารความมั่นคงปลอดภัยของสารสนเทศ รัฐวิสาหกิจสามารถส่งเอกสารหลักฐาน
ดำเนินงานเฉพาะหัวข้อย่อยที่ 5.1 - 5.3 เท่านั้น โดยไม่ต้องนำส่งรายละเอียดในหัวข้อย่อยที่ 5.4
และ 5.5 ได้หรือไม่

ตอบ ตามเกณฑ์ในเล่มคู่มือหัวข้อย่อยที่ 5.1 จะมีองค์ประกอบของหัวข้อย่อยที่ 5.4 และ 5.5
รวมเข้าไปด้วย ซึ่งเป็นการพิจารณาตามกระบวนการที่เกิดขึ้น แต่อย่างไรก็ตาม หากรัฐวิสาหกิจ
มีการดำเนินการที่แยกออกจากกัน ก็สามารถส่งเอกสารประกอบเพิ่มเติมได้

 

Q28 ในหัวข้อที่ 6.4 การบริหารจัดการความต่อเนื่องทางธุรกิจ (BCM) จะต้องมี 2 แผน คือ
แผนบริหารความต่อเนื่องทางธุรกิจและแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ ซึ่งทั้ง 2 แผนดังกล่าว
จะต้องผ่านการอนุมัติจากคณะกรรมการรัฐวิสาหกิจใช่หรือไม่

ตอบ ตามเกณฑ์ในเล่มคู่มือไม่ได้กำหนดจำนวนแผนไว้ เนื่องจากจะต้องพิจารณาให้ครอบคลุม
การดำเนินงานขององค์กรให้สามารถดำเนินธุรกิจได้อย่างต่อเนื่อง ซึ่งถ้าระบบงานขององค์กรต้องพึ่งพา
ระบบ IT ก็ควรที่จะต้องพิจารณาถึงแผนการกู้ระบบ (Disaster Recovery Plan : DRP) ด้วย
เพื่อให้สามารถทำงานได้อย่างต่อเนื่อง และในส่วนของการอนุมัติแผนนั้น ก็สามารถแต่งตั้ง
คณะอนุกรรมการขึ้นมาเพื่อดูแลเรื่องนี้ได้ รวมถึงสามารถมอบอำนาจให้คณะอนุกรรมการดำเนินการ
พิจารณาให้ความเห็นชอบได้ แต่อย่างไรก็ตาม เมื่อคณะอนุกรรมการดังกล่าวมีการพิจารณาแล้วเสร็จ
จะต้องนำเสนอต่อคณะกรรมการรัฐวิสาหกิจเพื่อทราบด้วย

 

Q29 ในหัวข้อที่ 1 การกำกับดูแลด้านเทคโนโลยีดิจิทัลและแผนปฏิบัติการดิจิทัลขององค์กร
หัวข้อย่อยที่ 1.1 กำหนดกรอบทิศทางการกำกับดูแลด้านบริหารจัดการเทคโนโลยีดิจิทัลนั้น
กรอบการกำกับดูแลด้านการบริหารจัดการเทคโนโลยีดิจิทัล ต้องนำเสนอผู้บริหารสูงสุดระดับใด
ในการพิจารณาเห็นชอบ/อนุมัติ และสามารถมอบหมายให้คณะอนุกรรมการในการทำหน้าที่ดังกล่าวได้หรือไม่

ตอบ เรื่องกรอบการกำกับดูแลด้านการบริหารจัดการเทคโนโลยีนั้น คณะกรรมการรัฐวิสาหกิจสามารถมอบอำนาจให้คณะอนุกรรมการที่แต่งตั้งขึ้นพิจารณาในเรื่องดังกล่าวได้ แต่อย่างไรก็ตาม หากคณะอนุกรรมการมีการพิจารณาแล้วเสร็จ ให้คณะอนุกรรมการนำเสนอผลการพิจารณาดังกล่าวต่อคณะกรรมการรัฐวิสาหกิจด้วย

 

Q30 ในหัวข้อการจัดทำแผนปฏิบัติการดิจิทัล ในกรณีที่รัฐวิสาหกิจได้วิเคราะห์ผู้มีส่วนได้ส่วนเสียต่อกระบวนการจัดทำแผนปฏิบัติการดิจิทัลนี้ คือ ฝ่าย IT, IT Steering และคณะกรรมการรัฐวิสาหกิจ แต่คณะกรรมการของหน่วยงานได้ให้ความเห็นว่าจะต้องเกี่ยวข้องกับคู่ค้าและลูกค้าด้วย ที่จะต้องทราบและรับรู้ด้วย ดังนั้น จึงอยากจะขอทราบว่าเกี่ยวข้องหรือไม่ ต่อกระบวนการจัดทำแผนปฏิบัติการดิจิทัล

ตอบ มีความเกี่ยวข้องกัน เนื่องจากผู้มีส่วนได้ส่วนเสียในแต่ละกระบวนการในด้านการพัฒนาเทคโนโลยีดิจิทัลจะมีอยู่ 2 บทบาท คือ 1. ผู้ที่เกี่ยวข้องกับกระบวนการนั้นๆ โดยตรง คือ ต้องเข้ามาร่วมดำเนินการ ให้ข้อมูล ให้คำปรึกษา และ 2. ผู้ที่นำผลลัพธ์ (Output) ของแต่ละขั้นตอนของกระบวนการไปปฏิบัติหรือรับเพื่อทราบว่าดำเนินการแล้วเสร็จ ดังนั้น การวิเคราะห์ผู้มีส่วนได้ส่วนเสียของแต่ละกระบวนการต้องดำเนินการให้ครบถ้วนทุกกลุ่มผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง เพื่อนำไปออกแบบ/วางแผนการสื่อสารให้ถูกต้องมีประสิทธิภาพต่อไป อย่างไรก็ตาม บางกระบวนการต้องมีผู้มีส่วนได้ส่วนเสียภายนอกมาเกี่ยวข้อง โดยเฉพาะกระบวนการจัดทำแผนปฏิบัติการดิจิทัล และเมื่อแผนแล้วเสร็จจะต้องมีการสือสารให้ผู้มีส่วนได้ส่วนเสียภายนอก ไม่ว่าจะเป็นหน่วยงานกำกับดูแล คู่ค้า หรือ คู่ความร่วมมือ เพื่อให้ทราบทิศทางในการพัฒนาด้านเทคโนโลยีดิจิทัลของรัฐวิสาหกิจ

 

Q31 ด้านการพัฒนาเทคโนโลยีดิจิทัล ในเรื่องการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศนั้น ค่าดัชนีชี้วัดความเสี่ยงด้านเทคโนโลยี (IT Key Risk Indicator : KRI) จำเป็นต้องได้รับความเห็นชอบจากคณะกรรมการ/คณะอนุกรรมการรัฐวิสาหกิจ หรือไม่

ตอบ KRI จะต้องเสนอไปพร้อมกับการกำหนดความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite : RA) และการกำหนดช่วงเบี่ยงเบนของระดับความเสี่ยงที่องค์กรยอมรับได้ (Risk Tolerance : RT) ซึ่งจะต้องได้รับความเห็นชอบจากคณะกรรมการ/คณะอนุกรรมการความเสี่ยง

 

Q32 ในหัวข้อที่ 4 การกำกับดูแลข้อมูลและการบริหารจัดการข้อมูลขนาดใหญ่ขององค์กร หัวข้อย่อยที่ 4.1 การดำเนินการด้านการกำกับดูแลข้อมูลและการบริหารจัดการข้อมูลขนาดใหญ่ขององค์กร ในเรื่องของการวัดความคุ้มทุนในการกำกับดูแลข้อมูลและการบริหารจัดการข้อมูลขนาดใหญ่ มีแนวทางการดำเนินงานอย่างไร และมีตัวอย่างให้เป็นแนวทางในการดำเนินงานหรือไม่ และควรตั้งค่าเป้าหมายตัวชี้วัด ในเชิงตัวเลขอย่างไร

ตอบ 1. การวัดความคุ้มทุน เช่น ระดับคุณภาพข้อมูลเทียบกับต้นทุนการบริหารจัดการข้อมูลที่ลดลง ต้นทุนการกำกับดูแลข้อมูลเทียบกับค่าปรับการละเมิดกฏหมายด้านข้อมูล เป็นต้น

  1. ในการกำหนดค่าเป้าหมายอาจไม่สามารถระบุเป็นตัวเลขที่ชัดเจนได้ เนื่องจากบริบทในแต่ละรัฐวิสาหกิจไม่เหมือนกัน ซึ่งจะต้องมองกลับไปยังกรอบการกำกับดูแลว่ามีแนวทางพิจารณาการลงทุนด้านต่างๆ อย่างไร แล้วจึงนำไปสู่การกำหนดตัวชี้วัดประสิทธิผลด้านความคุ้มทุนของการกำกับดูแลข้อมูล โดยปกติการกำหนดค่าเป้าหมายบางครั้งไม่สามารถกำหนดให้ชัดเจนได้ในครั้งแรก นอกจากจะเริ่มกำหนดตัวชี้วัดและการติดตาม รายงานผล เพื่อนำผลที่ได้มากำหนดค่าเป้าหมายอีกครั้ง และปรับปรุงให้ดีขึ้น

 

Q33 ในเรื่องการสรุปการวิเคราะห์ความสามารถ (Capability) ด้านเทคโนโลยีสารสนเทศหรือเทคโนโลยีดิจิทัลที่สนับสนุนวัตถุประสงค์เชิงยุทธศาสตร์ (Strategic Objectives : SO) ราย SO หรือ ยุทธศาสตร์รายยุทธศาสตร์ จะต้องอธิบายการวิเคราะห์ความสามารถ (Capability) ด้านเทคโนโลยีสารสนเทศ (IT) อย่างไร

ตอบ เป็นการนำระบบเทคโนโลยีสารสนเทศมาสนับสนุนวัตถุประสงค์เชิงยุทธศาสตร์ ซึ่งควรที่จะทำการวิเคราะห์เป็นราย SO หรือ ยุทธศาสตร์รายยุทธศาสตร์ เพื่อให้เห็นว่าปัจจุบันระบบเทคโนโลยีดิจิทัลที่รองรับ SO นั้นๆ มีอะไรบ้าง และต้องการระบบเทคโนโลยีดิจิทัลอะไรเพิ่มเติม เพื่อจะบรรลุเป้าประสงค์หรือเป้าหมายที่กำหนดไว้ โดยควรที่จะเป็นความร่วมมือระหว่างทางธุรกิจ (ฺBusiness) และ IT ซึ่งผลของการวิเคราะห์อาจจะเกิดช่องว่าง (Gap) ในการพัฒนาที่รัฐวิสาหกิจควรที่จะนำไปปรับปรุงสถาปัตยกรรมองค์กร (Enterprise Architecture) และนำเข้าสู่การจัดทำแผนปฏิบัติการดิจิทัลต่อไป นอกจากนี้ กระบวนการดังกล่าวจะเป็น
การตอบในส่วนของแนวทางการกำกับดูแลในหลักการที่ 2 กลยุทธ์ (Strategy) อีกด้วย ซึ่งรูปแบบการดำเนินการโดยทั่วไปนิยมใช้การประชุมเชิงปฏิบัติการ (Workshop) ร่วมกันระห่าง IT และ Business เนื่องจาก IT จะไม่รู้ว่า Business ต้องการอะไร และ Business ก็จะไม่รู้ว่า IT หรือ Technology สามารถทำได้แค่ไหน

 

Q34 ในหัวข้อที่ 2 การนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร หัวข้อย่อยที่ 2.3 การจัดการด้านคุณภาพ ในประเด็นที่เกี่ยวกับรัฐวิสาหกิจนำมาตรฐานตัวไหนมาใช้ก็ให้นำมาวัดผลด้วย ซึ่งระบบจัดการคุณภาพมีลักษณะเป็นแบบนี้ใช่หรือไม่ เช่น มีการประกาศนโยบาย มีการประกาศวัตถุประสงค์ มีคู่มือและระเบียบปฏิบัติงานต่างตามแบบฟอร์มควบคุมเอกสาร เป็นต้น

ตอบ ลักษณะของระบบคุณภาพของแต่ละรัฐวิสาหกิจจะแตกต่างกันไปตามบริบทของรัฐวิสาหกิจนั้นๆ แต่สามารถเอามาตรฐานอ้างอิงจากกระบวนการของ COBIT 2019 ในส่วนของกระบวนการ APO11 Managed Quality มาใช้เป็นแบบอย่างได้ ซึ่งก็จะเริ่มจากองค์กรต้องกำหนดขอบเขตของระบบคุณภาพที่จะนำมาใช้ว่าครอบคลุมแค่ไหนโดยสามารถแบ่งได้เป็น 2 ส่วน คือ 1. ระบบคุณภาพของการบริหารจัดการโครงการด้านเทคโนโลยีดิจิทัล (Project Quality Management) และ 2. ระบบคุณภาพของการปฏิบัติงานประจำวัน (Daily Operation) เมื่อได้ขอบเขตที่ชัดเจนแล้วก็ต้องมากำหนด โครงสร้าง บทบาท หน้าที่ และความรับผิดชอบ สำหรับการจัดการคุณภาพให้ชัดเจน โดยส่วนมากการดำเนินการจัดการคุณภาพจะคำนึงถึงการปฏิบัติตามระเบียบ ข้อบังคับ กฎหมาย และความต้องการของลูกค้าเป็นสำคัญ ซึ่งหลังจากกำหนดขอบเขต บทบาท หน้าที่ และความรับผิดชอบของระบบคุณภาพที่ชัดเจนแล้ว ก็จะต้องเลือก Quality management tools หรือ Quality management techniques ที่จะนำมาใช้ เช่น Quality Control , ISO9001 , ISO27001 , ISO20000 , ISO38500 , ISO22301 , Fishbone หรือ Ishikawa diagram , Quality Audit เป็นต้น โดยส่วนมาก ISO คือ ระบบคุณภาพในเรื่องต่างๆ อยู่แล้ว อย่างไรก็ตาม ไม่จำเป็นต้องเอาทุกเครื่องมือมาใช้ในทันทีหรือนำมาใช้ทุกเครื่องมือ รัฐวิสาหกิจจะต้องมีการวิเคราะห์เพื่อเลือกเครื่องมือที่เหมาะสม เพราะว่าการประเมินเป็นแบบ Maturity Level ต้องการเห็นการทบทวน/ปรับปรุงเพิ่มขึ้นอย่างต่อเนื่อง และในส่วนของเอกสารนโยบายนั้น จะขึ้นอยู่กับบริบทของแต่ละรัฐวิสาหกิจ แต่โดยพื้นฐานของความเป็นระบบจะต้องสามารถทำซ้ำได้และเป็นมาตรฐาน จึงควรมีรูปแบบการบันทึกแนวทางการดำเนินการดังกล่าวไว้ โดยตัวอย่างเกณฑ์วัดผลด้านเรื่องการจัดการคุณภาพ (Quality Management) เช่น จำนวนกระบวนการ/ระบบงาน/บริการที่มีข้อกำหนดด้านคุณภาพที่กำหนด ร้อยละของโครงการที่มีการตรวจสอบว่าคุณภาพของเป้าหมายตอบสนองความต้องการและวัตถุประสงค์ จำนวน Service Level Agreement (SLA) ที่มีเกณฑ์การยอมรับคุณภาพ ความสำเร็จในการดำเนินการ IT Audit ร้อยละของจำนวนข้อสังเกตที่ได้รับการแก้ไข ระยะเวลาของการดำเนินโครงการเทียบกับแผนที่กำหนดไว้ (Project Quality Control) เป็นต้น

 <หน้า 1>