COBIT 5 原则一:满足利益相关者需求


企业存在的目的是为利益相关者创造价值,因此,任何企业,无论是商业化的或非非商业化的,都将创造价值作为治理目标。创造价值意味着利用最优的资源成本实现效益,同时优化风险(见图表 3)。效益有多种形式,比如,商业企业的财务或者政府部门的公共服务。

治理目标:创造价值 图表3 - 治理目标:创造价值 

企业拥有许多利益相关者,并且“价值创造”对他们来说意义并不相同,有时会相冲突。治理是在所有利益相关者的不同价值利益间协商与做决定。因此,在做效益、风险、资源评估决策时,治理系统应该考虑所有利益相关者。对于每个决策,以下问题可以也应该问及:为谁创造效益?谁承担风险?需要什么资源?

COBIT 5 目标级联

每个企业在不同的环境中运作,这个环境由外部因素(市场、产业、政治等)和内部因素(文化、组织、风险偏好等)决定,因此,企业需要一种定制的治理和管理系统。

必须将利益相关者的需求转化成企业可执行的战略。

COBIT 5 目标级联是一种将利益相关者需求转化成特定的、可执行的、客户化的企业目标的机制,这一转化允许在企业的每一层级和每个领域设定特定目标,以支持总体目标和利益相关者要求,从而有效地支持企业需求和 IT 解决方案和服务之间的一致性。

COBIT 5 目标级联如图表 4 所示。

第一步:利益相关者驱动因素影响利益相关者的需求

利益相关者的需求受许多因素影响,例如,战略的变化、不断变化的业务和监管环境以及新技术。

第二步:利益相关者需求与企业目标的各级联系

 利益相关者需求能够与一系列通用的企业目标联系,这些企业目标应用平衡记分卡(BSC)维度制定,并且它们代表了通常使用的、企业可能为自己定义的目标列表。尽管这个列表并不详尽,但是大多数的企业特定的目标可以容易的映射到一个或多个通用企业目标,附录 D 展示了利益相关者需求和企业目标的表格。 

 图表4  COBIT 5 目标级联概述COBIT 5 定义了 17 个通用的目标,如图表 5 所示,包括以下信息:

  • 企业目标适合的 BSC 维度
  • 企业目标
  • 与三个主要治理目标——效益实现、风险优化、资源优化的关系(“P”代表主要关系,“S”代表次要关系, 即稍弱一点的关系)
BSC 维度企业目标与治理目标的关系
收益实现风险优化资源优化
财务1.业务投资的利益相关者的价值P
S
2.竞争产品和服务的组合PPS
3.管理业务的风险(资产维护)
PS
4.遵守外部法律和法规
P
5.财务透明PSS
客户6.面向客户的服务文化P
S
7.业务服务连续性和可用性
P
8.对业务环境变化的快速响应P
S
9.基于信息的战略决策PPP
10.服务交付成本的优化P
P
内部因素11.业务流程功能优化P
P
12. 业务流程成本优化P
P
13.管理业务的变化方案PPS
14.业务和员工生产力P
P
15.遵守内部政策
P
学习和成长16. 业务熟练和积极进取的人SPP
17.产品和业务创新文化P

图表5 -  COBIT 5 企业目标

第三步:企业目标与 IT 相关目标的各级联系

企业目标的实现需要许多 IT 相关的结果,它们被 IT 相关目标和信息与相关技术的标准所呈现, IT 相关目标沿着 IT 平衡记分卡(IT BSC)的维度构建。 COBIT 5 定义了 17 种 IT 相关的目标,列在图表 6 中。

IT BSC 维度
信息及其相关技术目标
财务
1. IT 调整和业务战略
2. IT 遵守和支持企业遵守外部法律和法规的业务
3.  执行管理对 IT 相关决策的承诺
4.  管理与 IT 相关的业务风险
5.  从 IT 技术的投资和服务组合实现收益
6.  IT 成本,收益和风险的透明
客户
7.  符合业务需求的 IT 服务的交付
8.  应用程序,信息和技术解决方案的充分利用
内部因素
9.  IT 灵活性
10.  信息、处理基础设施和应用程序的安全性
11.  IT 资产、资源和能力的优化
12.  通过将应用程序和技术集成到业务流程中,启用和支持业务流程
13.  方案的执行提供的好处,按时间,按预算,并满足要求和质量标准
14.  用于决策的可靠和有用的信息的可用性
15.  IT 遵守内部政策
学习和成长
16.  能干和积极进取的业务和 IT 人员
17.  业务创新的知识、专业知识和举措

图表6 - IT 相关目标

IT 相关目标与企业相关目标的映射表包含在附录 B 中,它显示了每个企业目标如何由多个 IT 相关目标支持。

第四步:IT 相关目标与促成因素目标的各级联系

实现 IT 相关目标需要成功应用和使用一些促成因素,促成因素的概念在第五章中详细解释,促成因素包括流程、组织结构和信息,对于每个促成因素,定义一系列特定相关目标以支持 IT 相关目标。

流程是促成因素之一,附录 C 包含 IT 相关目标与 COBIT 5 相关流程的映射关系,而 COBIT 5 相关流程包含相关流程目标。

运用 COBIT 5 的目标级联

COBIT 5 目标级联的好处:

目标级联是重要的,因为它允许对实施、提升和保障基于企业目标和相关风险的企业 IT 治理的优先权进行定义,实际上,目标级联:

  • 在各种责任级别下定义相关的有形的目标。
  • 基于企业目标过滤 COBIT 5 知识库来提取相关指南,以纳入特定的实施、提升或保障项目。
  • 明确识别与沟通促成因素如何对实现企业目标很重要(有时是运作层面的)。

仔细使用 COBIT 5 目标级联

目标级联(在企业目标和 IT 相关目标以及 IT 相关目标与 COBIT 5 包括流程在内的促成因素之间的映射表),不包含通用的真理,用户不能企图以一种完全机械的方式运用它,应该作为指导方针应用。这有各种各样的原因,包括:

  • 每个企业在它的目标方面有不同的优先级,而且这些优先级可能随时间而变化;
  • 映射表不能区分企业的规模和/或行业,总体上,它们代表不同等级的目标是怎样联系的一种共性;
  • 映射中的指标使用重要性或相关性的两种等级,意味着关联等级是离散的,然而,实际中, 映射中各种各样的关联的程度是接近连续的。

实际应用 COBIT 5 目标级联

从之前的说明,显然,企业使用目标级联时迈出的第一步应该总是在考虑其自身特殊情况下自定义映射。换句话说,每个企业应该建立它们自己的目标级联,将它与 COBIT 比较并对其细化。

例如,企业可能希望:

  • 为每个企业目标将其战略优先级转换成特定的“权重”或重要性
  • 在考虑其特定的环境与行业等情况下, 验证目标级联映射关系

例1——目标级联

企业已经为自己定义了许多战略目标,其中提高顾客满意度是最重要的,从那里,企业想知道在与 IT 相关的所有东西中哪里需要改善。

企业认为使顾客满意是一个关键的优先级,等同于提高以下企业目标的优先级(来自图表 5):

  • 6. 以客户为中心的服务文化;
  • 7. 业务服务的连续性与可用性;
  • 8. 对不断变化的市场环境的快速响应;

企业现在在目标级联中采取下一步措施:分析哪些 IT 相关目标对应到这些企业目标。在附录 B 中列出了一个建议的介于它们之间的映射关系。

从那里,以下 IT 相关目标建议作为最重要目标(所有关系为‘P’的)。

  • 01. IT 与业务战略的一致性;
  • 04. 受控的 IT 相关业务风险;
  • 07. 与业务要求一致的 IT 服务交付;
  • 09. IT 敏捷性;
  • 10. 信息、流程基础设施与应用的安全性;
  • 14. 用于决策制定的、可靠有用的信息的可用性;
  • 17. 知识,专业技术和业务创新的积极性;

企业验证这个列表,并决定保留前 4 个目标作为优先考虑的目标。

在级联的下一步中,应用促成因素概念(见第 5 章),这些 IT 相关目标推动许多包括流程因素在内的促成因素目标。附录 C 中推荐了一种 IT 相关目标与COBIT 5 流程的映射关系,这个表格允许识别最相关的支持 IT 相关目标的 IT 相关流程,但是,仅仅有流程是不够的。其它的促成因素,例如文化、行为和伦理道德、组织结构或者技能和专业知识是同等重要的,并且需要一系列清晰的目标。

当这些工作完成时,企业就拥有一套针对所有促成因素的、容许它到达阐明的战略目标的、一贯的目标和一套相关的衡量性能的标准。

例2——利益相关者需求:可持续性

进行利益相关者需求分析之后,企业决定将可持续性作为战略优先。因为,可持续性不仅包括环境方面,而且包括所有有助于企业长期成功的所用东西。

基于利益相关者需求的分析结果,企业决定将重点放在以下 5 个目标,并增加了一些目标的进一步说明:

1. 业务投资的利益相关者价值,尤其对利益相关者团体;

4. 遵守外部法律和法规,注重环境方面的法律和外包安排中劳动规章涉及的法律;

8. 对不断变化的市场环境的快速响应;

16. 熟练的和积极的员工,意识到企业的成功取决于它的员工;

17. 产品和业务创新文化,注重长期创新;

基于以上优先顺序,目标级联可以如文章中所说的那样应用。

关于 IT 方面的治理与管理问题

考虑到对 IT 的高度依赖,在任何企业,利益相关者需求的满足将会引起许多关于企业 IT 治理和管理方面的问题(图表 7)。

内部利益相关者
内部利益相关者的问题
  • 董事会
  • 首席执行官(CEO)
  • 首席财务官(CFO)
  • 首席信息官(CIO)
  • 首席风险官(CRO)
  • 业务主管
  • 业务流程负责人
  • 业务经理
  • 风险经理
  • 安全经理
  • 服务经理
  • 人力资源(HR)经理
  • 内部审计员
  • 保密人员
  • IT用户
  • IT经理
  • 我如何从使用 IT 中获得价值? 终端用户对 IT 服务质量感到满意吗?
  • 我如何管理 IT 的性能?
  • 我如何最好地利用新技术发现新的战略机会?
  • 我如何建立和构造最佳 IT 部门?
  • 我对外部供应商的依赖度有多少? IT 外包协议管理得如何?我如何从外部供应商得到保障?
  • 对信息的要求(控制) 是什么?
  • 我处理所有 IT 相关的风险了吗?
  • 我是在高效有弹性地运营 IT 吗?
  • 我如何控制 IT 的成本?我如何以最切实有效的方式使用 IT 资源?最切实有效地采购选择是什么?
  • 我有足够的 IT 人员吗?我如何发展和保持他们的技能?我如何管理他们的绩效?
  • 我如何获得 IT 保障?
  • 我正在处理的信息得到很好的保护了吗?
  • 我如何通过更灵活的 IT 环境提供业务敏捷性?
  • IT 项目未能提供所承诺的结果吗? —如果是,为什么? IT 阻碍了业务战略的执行吗?
  • IT 对维持企业有多重要?如果 IT 不可用我怎么办?
  • 基于 IT 的至关重要的具体业务流程是什么?业务流程的要求是什么?
  • 运营预算的平均超支一直以来是多少? IT 项目超过预算的频率和额度多少?
  • IT 工作在多大程度上是救火而不是促使业务改善?
  • 是否有足够的满足企业战略目标的 IT 资源和基础设施可用?
  • 做出重大的 IT 决策需要多长时间?
  • 全部 IT 工作和投资是透明的吗?
  • IT 是在遵守法规和服务级别支持企业吗?我怎么知道我是否符合所有适用的法规?
外部利益相关者
外部利益相关者的问题
  • 业务合作伙伴
  • 供应商
  • 利益相关者
  • 监管机构/政府
  • 外部用户
  • 客户
  • 标准化组织
  • 外聘审计师
  • 顾问
  • 我如何才能知道我的合伙伙伴的运营是安全可靠的?
  • 我如何才能知道企业是遵守适用的规则和条例的?
  • 我如何才能知道企业一直保持有效的内部控制制度?
  • 业务合作伙伴控制它们之间的信息链了吗?

图表 7 - 关于 IT 治理和管理的问题

如何找到这些问题的答案?

图表 7 中所提到的所有问题都与企业目标相关, 都可作为各级目标的输入,并且基于各级目标它们可被有效地解决。


最近更新于 2022-05-14 孜孜不倦2022-04-30 发布, 已阅 519 次。