Testimonials FAQ Photo Gallery Contact Us Mail to Friend
Home Director Training Seminars & events News Join IOD IOD Members Projects Publications IOD Shop About IOD
แนวปฏิบัติที่ดีสำหรับคณะกรรมการในการกำกับดูแลด้านเทคโนโลยีสารสนเทศ

ในปัจจุบัน เทคโนโลยีสารสนเทศ (Information Technology) และข้อมูล (Data) ได้เข้ามามีบทบาทสำคัญในการช่วยให้กิจการมีศักยภาพในการตอบสนองต่อความเปลี่ยนแปลงของสภาพแวดล้อมการดำเนินธุรกิจได้ดียิ่งขึ้น การนำเทคโนโลยีสารสนเทศมาใช้จึงกลายเป็นเรื่องสำคัญที่คณะกรรมการนำมาหารือกันมากขึ้น

อย่างไรก็ตาม เทคโนโลยีสารสนเทศและข้อมูลไม่ได้นำมาเพียงแค่โอกาสเท่านั้น แต่ยังนำมาซึ่งความเสี่ยงตลอดจนกฎหมายและระเบียบข้อบังคับใหม่ๆ ด้วย ดังนั้น การมีความเข้าใจในหลักการ แนวปฏิบัติ และบทบาทหน้าที่ของคณะกรรมการและผู้เกี่ยวข้องในการกำกับดูแลด้านเทคโนโลยีสารสนเทศ (IT and Data Governance) จึงย่อมช่วยให้คณะกรรมการมีแนวทางกำกับดูแลให้การบริหารจัดการในเรื่องดังกล่าวเป็นไปอย่างมีประสิทธิภาพ

เพื่อช่วยให้คณะกรรมการมีแนวทางในการจัดทำกรอบนโยบายการกำกับดูแลด้านเทคโนโลยีสารสนเทศ  แนวปฏิบัติที่ดีฉบับนี้จึงถูกพัฒนาขึ้น โดยแบ่งเนื้อหาออกเป็น 2 ส่วน ได้แก่ 1. หลักการสำคัญ (Key Principles) และ 2. แนวปฏิบัติ (Guidelines)

หลักการสำคัญ (Key Principles) ของแนวปฏิบัติที่ดีฉบับนี้ ประกอบด้วย

1.     คณะกรรมการพึงมีความรู้ ความเข้าใจ และตระหนักถึงความสำคัญของเทคโนโลยีสารสนเทศ (Information Technology) และข้อมูล (Data) ต่อการสร้างมูลค่าและความสำเร็จของกิจการ และส่งเสริมให้ฝ่ายจัดการนำมาใช้พัฒนาการดำเนินงาน พัฒนานวัตกรรม และเพิ่มโอกาสทางธุรกิจเพื่อสนับสนุนกลยุทธ์และเป้าหมายของกิจการ ตลอดจนสร้างการเติบโตที่ยั่งยืน

2.   คณะกรรมการควรจัดทำกรอบการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศที่สอดคล้องกับกลยุทธ์และเป้าหมายของกิจการ โดยกรอบนโยบายควรครอบคลุมถึงการใช้เทคโนโลยีสารสนเทศและข้อมูลเพื่อสร้างมูลค่า การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ การรักษาความมั่นคงปลอดภัยของระบบและข้อมูล และการจัดสรรและบริหารจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ

3.     คณะกรรมการควรทบทวนองค์ประกอบของคณะกรรมการ ให้มีความเหมาะสมกับการทำหน้าที่กำหนดทิศทางและกำกับดูแลด้านเทคโนโลยีสารสนเทศ

4.     คณะกรรมการควรกำหนดผู้รับผิดชอบ (Accountable Person) และผู้ทำหน้าที่ (Responsible Person) ในการดำเนินงานด้านเทคโนโลยีสารสนเทศ ตลอดจนดูแลให้โครงสร้างองค์กรมีความเหมาะสมกับวัตถุประสงค์การใช้เทคโนโลยีสารสนเทศของกิจการ รวมถึงสอดคล้องกับหลักการแบ่งแยกหน้าที่ความรับผิดชอบ 3 ระดับ (Three Lines of Defense)

5.     คณะกรรมการควรดูแลให้มีกระบวนการการมีส่วนร่วม การสื่อสาร และการรายงานข้อมูลที่เอื้อให้ผู้มีส่วนเกี่ยวข้องได้มีส่วนร่วม และได้รับข้อมูลที่สำคัญและจำเป็นอย่างถูกต้อง ครบถ้วน ทันท่วงที ตลอดจนสอดคล้องกับความต้องการ

6.     คณะกรรมการควรกำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (IT Strategy) ที่สนับสนุนและสอดคล้องกับกลยุทธ์ของกิจการ โดยพิจารณาจากบทบาทและระดับความสำคัญของเทคโนโลยีสารสนเทศต่อกิจการ ตลอดจนปัจจัยแวดล้อมภายนอกและภายใน

7.   คณะกรรมการควรดูแลให้ข้อมูลสามารถสนับสนุนการสร้างมูลค่าและกลยุทธ์ของกิจการอย่างมีประสิทธิภาพ ควบคู่ไปกับการคำนึงถึงผู้มีส่วนได้ส่วนเสีย โดยจัดให้มีกระบวนการควบคุมและบริหารจัดการตลอดวงจรชีวิตของข้อมูล (Data Life Cycle) เพื่อรักษาคุณภาพ (Data Quality) ความมั่นคงปลอดภัย (Data Security) และความเป็นส่วนบุคคล (Data Privacy) ของข้อมูล

8.   คณะกรรมการควรดูแลให้การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศเป็นส่วนหนึ่งของการบริหารจัดการความเสี่ยงองค์กร (Enterprise Risk Management) และมีความสอดคล้องกัน รวมถึงกำหนดและดูแลระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ให้อยู่ในระดับที่เหมาะสม ไม่เกินระดับของกิจการ

9.   คณะกรรมการควรจัดให้มีแผนการรักษาความมั่นคงปลอดภัยของระบบและข้อมูลจากภัยคุกคามทางไซเบอร์ (Cybersecurity) ที่สอดคล้องกับความเสี่ยงด้านเทคโนโลยีสารสนเทศของกิจการ เพื่อให้กิจการสามารถป้องกันและรับมือกับภัยคุกคามได้อย่างเหมาะสม

10. คณะกรรมการควรดูแลให้การจัดสรรและบริหารจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศสอดคล้องกับกลยุทธ์และความต้องการของกิจการ เพื่อให้มีทรัพยากรเพียงพอและเหมาะสมกับการดำเนินงานทั้งในปัจจุบันและอนาคต

11. คณะกรรมการควรผลักดันให้เกิดวัฒนธรรมองค์กรที่มีความตระหนักถึงความสำคัญของเทคโนโลยีสารสนเทศและข้อมูล การบริหารจัดการความเสี่ยง และการรักษาความมั่นคงปลอดภัยของระบบและข้อมูลต่อความสำเสร็จและการบรรลุเป้าหมายของกิจการ อันจะเอื้อให้การดำเนินงานด้านเทคโนโลยีสารสนเทศประสบความสำเร็จ  

12.  คณะกรรมการควรติดตามดูแลการดำเนินงาน และประเมินผลการดำเนินงานด้านเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ

13.  คณะกรรมการควรจัดให้มีการตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit) เพื่อดูแลให้การกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศมีประสิทธิภาพ เป็นไปตามกฎหมาย ระเบียบข้อบังคับ และมาตรฐานอุตสาหกรรม

14.  คณะกรรมการควรทบทวนนโยบายการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศเป็นประจำ เพื่อดูแลให้สอดคล้องกับกลยุทธ์ของกิจการ ให้กรอบการดำเนินงานมีประสิทธิภาพ และสามารถสร้างมูลค่าให้แก่กิจการได้ตามเป้าหมาย

ทั้งนี้ สาระสำคัญในส่วนของแนวปฏิบัติ (Guidelines) สามารถดาวน์โหลดได้ที่ลิงค์ด้านล่าง

 

 

 


Best Practices Previous Next
 
ข้อกำหนดและเงื่อนไข | นโยบายความเป็นส่วนตัว | ผังเว็บไซต์ | Share to
Copyright © 2010 Thai Institute Of Directors. Site by Redlab
Our
Sponsors
SCBx BBL IVL Kbank BCP CPF GPSC IRPC PTT PTTEP PTTGC PTTOR SCG Singha TISCO TOP
Our
Partners
CAC SET SEC OECD CBNC CG Thailand