COBIT 5 原则四:启用一种整体的方法


COBIT 5 促成因素

促成因素是单独或共同影响某物是否起作用的因素,在本例中是企业 IT 的治理和管理。 促成因素由各级目标驱动,即 IT 相关的高级目标定义了不同促成因素应该达到的要求。

COBIT 5 框架描述了七类促成因素(图表 12) :

  • 原则、政策和框架是把所期望的行为转变为日常管理的实践指导的工具。
  • 流程描述了一系列有组织的为达到特定目标和产生一系列的输出以支持实现整体 IT 相关目标的实践和活动。
  • 组织结构是在一个企业的关键的决策实体。
  • 文化、伦理道德和行为,个人和企业的文化、伦理道德和行为是在治理和管理活动中通常被低估的取得成功的因素。
  • 信息是在任何组织中是很普遍的,它包括企业产生和运用的所有信息。信息是保证组织运行和有效治理所必需的,但是在操作层面上,信息通常是
    企业自身的主要产品。
  • 服务、基础设施和应用程序包括为企业提供信息技术服务和处理的基础设施和应用程序。
  • 人才、技能和竞争力与人有关, 并且是做出正确决策和实施正确行动和成功完成所有活动所必需的。

COBIT 5 企业促成因素 图表12 - COBIT 5 企业促成因素
之前定义的一些促成因素同样是需要管理和治理的企业资源。这适用于:

  • 信息,需要当做一种资源来处理。一些信息,比如管理报告和业务情报信息是企业治理和管理的重要促成因素。
  • 服务,基础设施和应用程序。
  • 人才,技能和竞争力。

通过相互关联的促成因素系统地治理和管理

图表 12 也传达出这种应该被企业治理采纳的理念,包括 IT 治理、 IT 治理是实现企业的主要目标。 任何企业必须一直考虑一系列相互关联的促成因素。 也就是说,每种促成因素:

  • 要想完全有效, 需要其他促成因素的输入,比如, 流程需要信息,组织结构需要技能和行为。
  • 为其他促成因素提供输出,比如, 流程传递信息, 技能和行为状况使流程生效。

所以当解决企业 IT 管理和治理中的问题时,只有当考虑这种系统性的治理与管理的本质时,好的决策才会被采纳。这意味着为了应对任何利益相关者的需要,必须分析所有相互关联的促成因素的相关性, 如果需要做相应处理。这种思维模式必须由企业的顶层驱动, 如下面的例子所示。

例3——企业 IT 的治理和管理

假设提供给所有用户的 IT 服务需要服务能力(基础设施,应用程序),为实现些功能,需要有适当技能组合和行为的员工,也需要执行很多由适当的组织机构支持的服务交付程序,以展示服务成功地交付是如何需要所有的促成因素的。

例4——企业 IT 的治理和管理

信息安全的需要要求建立大量的政策和工作规程并付诸实施。这些工作原则反过来需要实施很多安全相关的实践环节。然而,如果企业或者员工的文化或道德标准不适合,信息安全流程和程序将不会有效。

COBIT 5 促成因素的维度

所有的促成因素具有共同的维度组合,这一共同维度的组合(图表 13):

  • 提供了一种通用的、单一的、结构化的方法来处理促成因素
  • 允许一个实体来管理其复杂的相互作用
  • 促成促成因素的成功结果

COBIT 5 通用促成因素 图表13 - COBIT 5 通用促成因素 

促成因素维度

促成因素的 4 个通用维度是:

  • 利益相关者:每个促成因素都有利益相关者(发挥积极的作用和/或对促成因素感兴趣的各方)。例如,流程有执行流程中的活动和/或对流程结果感兴趣的不同各方;组织结构有利益相关者,每一个都有他/她各自的角色或兴趣,这是结构的一部分;利益相关者对企业可以是内部的或者外部的,他们都有自己的利益和需求,这些利益与需求有时可能是冲突的,利益相关者需求转换成企业目标,进而转化为企业的 IT 相关的目标。利益相关者列表在图表7 中显示。
  • 目标:每一个企业都有若干目标,并且促成因素通过实现目标提供价值,目标可以根据定义:

— 促成因素期望输出结果

— 促成因素自身的应用与运作

促成因素目标是 COBIT 5 目标级联中的最后一步,目标可以进一步分为不同的类别:

—内在质量:促成因素准确,客观地工作,并提供准确、 客观、 有信誉的结果的程度

—环境质量: 促成因素及其结果,在考虑他们运营环境的情况下,适合目的的程度,举例来说,结果应该是相关的,完整的,最新的,适当的,一致的,易于理解和易于使用的。

—访问和安全: 促成因素及其结果可访问和安全的程度。 诸如:

(1)当需要和如果需要时, 促成因素是可得的。

(2)输出是安全的, 即访问仅限于那些有权并需要它的人。

  • 生命周期:每一个促成因素都有生命周期, 从成立以来, 经过运营/有用的生命,直到被处理掉。这适用于信息、结构、流程、政策等等。生命周期的阶段包括:

—规划(包括概念的发展和概念的选择)

—设计

—建立/收购/创建/实施

—应用/运作

—评估/监控

—更新/弃置

  • 好的实践:对每一个促成因素,可以定义好的实践。 好的实践支持促成因素目标的实现,好的实践提供关于如何最佳实施促成因素和需要什么工作产品或输入输出的示例和建议。 COBIT 5 提供一些由其自身提供的促成因素的好的实践的例子(例如流程)。 对其它的促成因素,可以应用来自其它标准或框架等的指南。

促成因素性能管理

企业期望从应用促成因素中得到积极的结果,为了管理这些促成因素的性能,以下问题需要定期监控并从而随后解决(基于衡量指标):

  • 利益相关者额需求处理了吗?
  • 促成因素目标实现了吗?
  • 管理促成因素生命周期了吗?
  • 好的实践应用了吗?

前两个问题对应促成因素的实际输出, 用于衡量目标的实现程度的度量指标可称为“滞后指标” 。

后两个问题对应促成因素自身的实际作用,这个指标可以称为“领先指标”。

实践中促成因素的例子

例 5 说明了促成因素,它们的相互联系和维度, 以及如何应用它们以获得实际效益。

例5——促成因素

组织已为 IT 相关的流程任命流程经理,负责在企业 IT 良好治理和管理的环境下,定义和运行有效和高效的 IT 相关的流程。

起初,流程经理将侧重于流程的促成因素,并考虑促成因素的范围:

  • 利益相关者:流程中的利益相关者包括所有流程参与者,即负责、有义务、咨询和被告知的各方为或在流程活动中。为此, RACI 表格如在 COBIT 5 中描述:促成流程可以得到应用。
  • 目标:对每一个流程,需要定义足够的目标和相关的衡量指标。例如,对于一个流程管理关系(COBIT 5:启用流程中的流程 AP008),可以发现一组流程的目标和指标如:

—目标:业务战略、规划和要求得到很好地理解、记录和批准。

指标:与企业业务要求/优先级相一致的方案的百分比

—目标: 企业与 IT 部门之间良好的关系。

指标:用户评价和 IT 人员的满意度调查

  • 生命周期:每个流程都有生命周期,即它需要被创建,执行和监测,并在需要时调整,最终,流程不复存在。在本例中,流程经理首先需要设计和定义过程,他们可以使用 COBIT 5:启用过程的一些元素来设计流程,即明确责任和将流程分解为实践和活动,并定义过程的工作产品(输入和输出)的若。在稍后阶段,需要将流程设计得更强大和更有效率,并且为这一目的,流程经理可以提高流程的性能水平。由 ISO/IEC 15504 启发的 COBIT 5 过程能力模型和流程性能属性可以用于这个目的。
  • 好的实践:充足详细介绍了 COBIT 5:启用流程好的实践,如先前提到的,在那儿可以得到启示和获得示例流程,并全方位覆盖良好的企业 IT 治理和管理所需的活动。

除了流程促成因素的指导,流程经理可以决定看一些其他促成因素,诸如:

—RACI 表格,它描述角色与责任,其它促成因素深入这一维度诸如:

(1)在技能与竞争力促成因素中,可以定义每个角色需要的技能与竞争力,并且定义适当的目标(如技术和行为技能水平)与相关指标。

(2)RACI 表格也包括一些组织结构,在组织结构促成因素中,这些结构可以进一步阐述,其中可以提供更详细的结构描述,定义预期成果和相关指标(如决策),并且可以定义好的实践(如控制范围,结构的操作原则,授权级别)

—原则和政策将使流程正式化并描述流程为什么存在,对谁可用以及流程怎么应用,这是原则和政策促成因素的重点领域。


最近更新于 2022-05-14 孜孜不倦2022-05-01 发布, 已阅 337 次。