Determining Assets in IT Risk Assessment.

Original posted on 28 May 2010 13:41 by sripattra  

 

Today IT Risk is not only concerned with IT equipment but involves the  whole business operation. The IT system administrator should explore the whole organization to determine what the real IT Asset of the organization is.

The continuity of business operation should be considered for risk assessment and the IT administrator should analyze which systems require recovery within 15 minutes, 4 hours or 2 weeks for low impact systems.

The payroll system in a medical research institute is not an important part of the
business risk but it is a very critical system for a HR professional outsource company.

In a 200 seat restaurant the computer system which automatically sends the order from the waiter at the table to the kitchen can wait a few days for recovery, because the waiter can send the order manually. But in a food court that uses a cash card system, if the system breaks during the daily operation recovery must be within one hour because the cash card must be refunded to the customer.

Therefore, the first step of IT Risk assessment is identifying the IT asset to be able to appropriately manage the risk.
-------------------------------------------------------------------------------
Reference:
George Westerman & Richard Hunter , “IT Risk” , Harvard  business school press, 2007.
TIS 22300 , TIS 18000, www. tisi. go. th
--------------------------------------------------------------------------------
Thank you Aj. John for review and advise

ใช้กะปิ (KPI) อะไร ๆ ก็วัดได้หมด จริงดิ?

 

 นั่งเตรียมส่วนผสม ทำกะปิไปได้ครึ่งนึงแล้ว (KRA - Key Result Area) รู้แล้วว่าเป้าหมายของงานคืออะไร มาถึงตอนสำคัญ คือจะวัดด้วยอะไร จึงจะรู้ว่าได้ผลดีจริงอย่างที่โม้ไว้

ถ้าเป็นเรื่องที่เกี่ยวกับเงิน ๆ ทอง ๆ อย่างที่พวก ฝ่ายขายเค้าต้องทำยอดขายกัน อันนั้นง่ายมากแค่เอายอดขาย target มาใส่ scale ไล่ระดับกันไปก็จบ ส่วนของพวกเราชาว IT ถ้าไม่ได้อยู่ในส่วนที่สร้างรายได้ ก็มักจะถูกวัดด้วยการให้ลดค่าใช้จ่าย ก็ไม่ยากอีก เอาค่าใช้จ่ายที่ลดได้มาวัดก็น่าจะได้เช่นกัน เช่น โดนให้ตั้งเป้าลดค่าใช้จ่าย อย่างใดอย่างหนึ่ง โดยเมื่อพิจารณาแล้วไม่กระทบกับคุณภาพในการให้บริการ เช่น ลดค่าโทรศัพท์ ลดค่าถ่ายเอกสาร ให้ใช้้การส่ง e-mail หรือ ยกเิลิกการพิมพ์รายงานการประชุม ใช้ดูทางจอภาพแทนแบบนี้ง่ายมาก สิ้นรอบ ก็มาสรุปค่าใช้จ่ายเทียบกับปีก่อนว่าลดไปเท่าไหร่ก็เป็นอันเสร็จสิ้น


การลดค่าใช้จ่ายด้วยโครงการ IT  ในการทำโครงการ มักมีความคาดหวังอยู่แล้วว่าจะช่วยให้เกิดการประหยัดบางอย่างได้ เช่น  การนำระบบ RFID มาใช้ในการจัดการคลังสินค้า จะช่วยลดการใช้พนักงานในการตรวจนับจำนวนสินค้า คิดเป็นค่าจ้างรายชั่วโมงได้เท่ากับ xxx ก็ให้นำค่านี้มาใส่ที่ระดับ 3-Target หากทำได้มากกว่า ก็จะเป็นระดับที่มากขึ้นเป็นต้น

ข้อควรระวัง  แม้ว่าเราจะทำโครงการด้าน IT ที่ถือเป็นเครื่องมืออำนวยความสะดวกให้กับฝ่ายขายแต่ห้ามนำเป้าหมายของฝ่ายขายมาเป็นของเราเด็ดขาด เช่น การนำระบบ CRM มาใช้เพื่อช่วยให้ฝ่ายขายบันทึกติดตามการขายได้ดีขึ้น แต่ไม่ได้หมายความว่าเป้าหมายของเรา ( IT ) จะเป็นการวัดด้วยยอดขายที่เพิ่มขึ้นของฝ่ายขาย เพราะ เป้าหมายของระบบคือประสิทธิภาพในการใช้ข้อมูล ส่วนยอดขายนั้น อยู่นอกเหนือการควบคุมของระบบ

ดังนั้นส่วนที่จะทำการวัดในโครงการลักษณะแบบนี้ คือการวัดผลเชิงประสิทธิภาพ ซึ่ง ยังต้อง Measuable อยู่ เช่น เมื่อเราบอกว่าระบบจะช่วยให้ sales ตรวจสอบประวัติลูกค้าได้ละเอียดยิบย้อนหลังไปตั้งแต่เริ่มรู้จักกันได้อย่างง่ายดาย หมายถึง ระบบสามารถออกรายงานประวัติการติดต่อกับลูกค้าได้ครบถ้วน ทุกครั้งที่มีการเรียกดูรายงาน เราไม่สามารถวัด "ทุกครั้ง" ที่มีการเรียกดูรายงาน ได้ แต่ในทางตรงข้าม หากระบบไม่สามารถดูได้อย่างครบถ้วน และมีการแจ้งปัญหา ก็จะสามารถนับได้ ดังนั้น ตัววัดจึงน่าจะเป็น "จำนวนครั้งที่รายงานผิดพลาด ไม่ครบถ้วน หรือ เรียกดูไม่ได้" ซึ่งแน่นอนว่าค่าที่เป็นไปได้ ที่ดีที่สุดคือ 0 = ระดับ 5-ยอดเยี่ยม  และ จำนวนครั้งที่เพิ่มขึ้น หมายถึงประสิทธิภาพของระบบ ที่ลดลงนั่นเอง

ทำกะปิ (KPI) ให้ S.M.A.R.T กันเถอะ

หลายคนคงเคยผ่านหูผ่านตา หลักการตั้งเป้าหมาย ให้ S.M.A.R.T กันมาบ้างแล้ว และจะว่าไป KPI ก็เป็นการตั้งเป้าหมายอย่างหนึ่งการนำหลักการเดียวกันมาใช้น่าจะเป็นแนวทางในการทำ KPI ก็น่าจะได้เช่นกัน

S.M.A.R.T นั้นเป็นหลักในการตรวจสอบการตั้ง Objective ซึ่งหาก search ดูจะพบอยู่เพียบเลยค่ะ แม้จะใช้คำต่างกันบ้าง แต่ก็มีความหมายคล้าย ๆ กันนะคะ ถนัดใช้คำไหนก็เลือกจำตามสะดวกเลยค่ะ
ขอยกตัวอย่างจาก KPI ในครั้งที่แล้ว ที่เราจะวัดการให้บริการอย่างต่อเนื่องของระบบ ด้วยเวลา downtime สะสมภายใน 1 ปี
เมื่อนำ SMARTER มาตรวจสอบว่า KPI นี้ใช้ได้หรือไม่

S - Specific - การระบุให้ชัดเจน เข้าใจได้ตรงกันเป็นสิ่งเดียว ไม่คลุมเครือ

กรณีนี้ระบุชัดเจนว่าเป็นการนับ Downtime ของระบบใด ในกรณีใด หากเป็นกรณีสุดวิสัยเช่นกระแสไฟฟ้าขัดข้องจะไม่นับช่วงเวลาดังกล่าวหรือไม่ (หากระบบไฟฟ้าไม่อยู่ในความดูแลของ Admin แต่ถ้ามีแผนสำรองไฟก็น่าจะนับรวมด้วย)

M - Measurable - สามารถวัดได้ ซึ่งให้ดีที่สุดคือออกมาเป็นตัวเลขได้ ในกรณีนี้สามารถนับเป็นตัวเลข (เวลาสะสม) ได้

A - Agreed - ความเห็นชอบจากผู้เกี่ยวข้อง คือการยอมรับเป้าหมายจากทุกฝ่าย ทั้งผู้ตั้งและผู้นำไปปฎิบัติ รวมทั้งผู้ที่ได้รับผลกระทบ หรือผู้มีส่วนได้ส่วนเสีย ทั้งตัว admin เอง ผู้ใช้งานระบบ และผู้บังคับบัญชา เห็นด้วยกับระดับคะแนนหรือไม่ ในการจัดทำ KPI จึงต้องมีการนำเสนอ ให้หน่วยงานอื่น ๆ ในองค์กรได้ทราบและลงความเห็นชอบเพื่อนำไปสู่การอนุมัติด้วย

R - Realistic - สามารถทำได้จริง โดยพิจารณาทั้งจาก ความเป็นไปได้ , ช่วงเวลา และ ทรัพยากร ที่จะจัดสรรให้ ซึ่งหากพบว่าปีที่ผ่านมามีค่าแตกต่างกันมาก เช่น Downtime สะสมเกินกว่า 2 สัปดาห์ การตั้งระดับคะแนนเป้าหมายที่ downtime ไม่เกิน 3 วันอาจเป็นไปไม่ได้

T - Time framed - มีการระบุกรอบของเวลาชัดเจน ในที่นี้ระบุว่าการนับเวลา downtime เป็นการนับเวลาสะสมภายใน 1 ปี

อีก 2 ข้อซึ่งแนะนำให้ตรวจสอบ เวลาตั้ง KPI คือ Evidence สามารถตรวจสอบผลลัพธ์ ได้ เช่นการมีบันทึก หรือรายงาน และ Review  คือมีการตรวจสอบสม่ำเสมอ รวมแล้วก็จะเป็น SMARTER (พอเรียงเป็นคำก็ช่วยให้จำง่ายขึ้น)

Evidence - ในการหยุดให้บริการแต่ละครั้งนั้นมีการบันทึกช่วงเวลาที่ใช้ในการกู้คืนระบบหรือไม่ ซึ่งในการทำงานอาจจะมีระบบ Helpdesk ที่ใช้บันทึกช่วงเวลาตั้งแต่ server down ไปจนถึงช่วงที่สามารถกลับมาใช้งานได้ แต่หากไม่มีการบันทึกมาก่อน อาจจะต้องเริ่มบันทึก เพื่อใช้เป็นหลักฐานในการประเมิน

Review - ในช่วงเวลา 1 ปี จัดให้มีการรายงานช่วงเวลา Downtime สะสมทุกๆ เดือน เพื่อให้ทราบสถานะ เช่นหากพบว่าแค่เดือน มกราคมเดือนเดียว ก็มี downtime สะสมกว่า 1 วันแล้ว ช่วงเวลาที่เหลืออีก 11 เดือน จะทำอย่างไรให้ ระบบสามารถใช้งานได้อย่างต่อเนื่อง ซึ่งน่าจะดีกว่า การรายงานครั้งเดียวเมื่อจะทำการประเมิน

แค่นี้การตั้งค่า KPI ก็ดูจะไม่ยากแล้วล่ะ คราวหน้าลองมาเจาะลึกตัว M - Measurable กันอีกนิด (หลาย ๆ คนคงเคยเจอว่ามีบางอย่างที่ไม่สามารถวัดเป็นตัวเลขได้ไปใช่ไม๊ )