COBIT 5 实施指南


引言

只有当有效地采纳和调整 COBIT,以适应每个企业的独特环境时, 才能从利用 COBIT 中实现最佳价值。每种实施方法也将需要解决包括管理文化和行为的变化在内的具体挑战。

ISACA 在基于生命周期持续改善的论文《COBIT 5 实施》中提供了实用的和广泛的实施指南, 它不是一种指令性的方法, 也不是一个完整的解决方案,而是避免经常遇到的陷阱,利用良好做法,并协助创造成功结果的指南。该指南还受到包含各种不断强化的资源的实施工具套件支持。它的内容包括:

  • 自我评估。测量和诊断的工具
  • 针对各种听众的介绍
  • 相关文章和进一步解释

本章的目的是在一个较高层次介绍实施和持续改进的生命周期, 突出强调来自 COBIT 5 实施的若干重要课题,诸如:

  • 为 IT 治理和管理的实施和改进制作业务案例
  • 认识典型的难点和触发事件
  • 为实施创造适当的环境
  • 利用 COBIT 来识别差距, 并指导促成因素如政策、流程、 原则、组织结构以及角色和责任的发展。

考虑企业环境

企业的 IT 治理和管理不会发生在真空中,每个企业的需要来设计自己的实施计划或路线图,设计需要根据企业特定的内部或外部环境,如企业的:

  • 伦理道德和文化
  • 实施的法律、 法规和政策
  • 使命、 愿景和价值观
  • 治理政策和实践
  • 业务规划和战略意图
  • 运营模式和成熟水平
  • 管理方式
  • 风险偏好
  • 能力和可用资源
  • 产业实践

同样重要的是充分利用和构建现有的企业治理的促成因素。

对每一个企业来说,企业 IT 治理与管理的最佳方法是不同的,并且需要理解并考虑环境因素,以在实施企业 IT 促成因素的治理与管理的过程中有效地采纳和调整 COBIT。 COBIT 通常支持其它框架、好的实践和标准,并且这些也需要调整以满足特定的要求。

成功实施的关键成功因素包括:

  • 高层管理者提供开始行动的指示与授权, 以及看得见的持续的承诺与支持
  • 支持治理与管理流程的所有各方理解业务和 IT 目标
  • 确保对必要变革的有效的交流与促进
  • 调整 COBIT 和其它辅助的好的实践和标准以适应特定企业环境
  • 重视快速取胜和优先实现最易实施的最有效益的提升

创造合适的环境

利用 COBIT 的实施举措得到适当的治理和充分的管理是重要的, 主要的 IT 相关的举措往往失败,因为各种利益相关者不适当的指导、支持和监督, 利用 COBIT 的 IT 促成因素的治理或管理的实施也没有什么不同。 来自关键利益相关者的支持和指导是重要的,以使改进得以采用和保持。在薄弱的企业环境(诸如不清晰的整体业务运营模式或缺乏企业级的治理促成因素)下,这种支持和参与甚至更重要。

采用 COBIT 的促成因素应该提供一个解决实际业务需求和问题的,而不是作为自己的终端的解决方案。基于当前难点和驱动因素的需求应该被管理人员作为需要处理的领域来识别与接受。基于 COBIT 的高层次的健康检查,诊断或能力评估是提升意识、促成一致意见、产生行动承诺的完美工具。必须从一开始就询问相关利益相关者的承诺和偏好。为实现这些, 实施的目标和利益的需要在业务术语中明确表达,在业务案例概要明确总结。

一旦已取得承诺,需要为支持该方案提供足够的资源,定义和委任关键的项目角色与责任,需要注意持续保持来自所有受影响的利益相关者的承诺。

应当建立和保持适当的用于监督和指导的结构和流程,这些结构和流程也应该确保与整个企业的治理和风险管理方法持续一致。

关键利益相关者例如董事会和高管应该提供可见的支持和承诺,以设定的“顶层的基调”,并确保各级对方案的承诺。

识别难点与触发事件

有许多因素可能预示需要改善企业 IT 的治理和管理。

通过把难点和触发事件作为实施计划的启动点,企业 IT 改善的治理和管理的业务案例可以与实际的、 正在经历的日常问题相联系, 这将提高买入并且在企业范围内创造紧迫感,而这正是揭开实施序幕所需要的。另外,在企业中最容易看见或最易识别的领域中,可以识别快速取胜,并且可以显示价值增加。这为进一步转变提供了平台,并可以协助获得广泛的高级管理层的承诺和更加普遍的变化的支持。

一些典型的难点例子,新的或修订过的, IT 促成因素的治理或管理可以成为一个解决方案(或解决方案的一部分),如 COBIT 5 实施中确认的那样,是:

  • 失败的方案、提高 IT 成本和低的业务价值感觉造成的业务挫折
  • 与 IT 风险, 如数据丢失或项目失败, 相关的重大事故
  • 外包服务交付问题, 例如一致未能达到商定的服务水平
  • 未能达到监管和合同要求
  • IT 限制企业的创新能力与业务敏捷性
  • 差的 IT 性能的日常审计结果或者已报告的 IT 服务质量问题
  • 藏匿和欺诈 IT 花费
  • 成倍或者方案重复或者资源浪费, 例如过早终止项目
  • 不充分的 IT 资源,技术不足的员工或员工倦怠/不满
  • IT 促使的变化没有满足业务需求和交付推迟或者超过预算
  • 董事会成员, 高管以及高级经理不愿参与 IT 或者缺少信守诺言的令人满意的 IT 发起人
  • 复杂的 IT 操作模型

除了这些难点之外,企业内部或外部环境中的其它因素可以暗示或触发对 IT 治理和管理的关注,第 3 章《COBIT 5 实施》出版物中的例子是:

  • 兼并,收购或剥离
  • 市场、经济与竞争地位的变化
  • 业务操作模型与采购安排的变化
  • 新的监管或合规性要求
  • 重大的技术改变或模式改变
  • 企业范围的治理重点或项目
  • 新的 CEO、 CFO、 CIO 等
  • 外部审计或咨询评估
  • 新的业务战略或优先事项

启动变革

成功实施取决于以适当的方式实施适当的变化(适当的治理或管理促成因素)。在许多企业中,第一方面得到了很好的重视(IT 的核心治理与管理),但是对管理人力资源、 行为和文化方面的变化以及激励利益相关者入股变化的重视不够。

不应该假定参与或者受新的或修订的促成因素影响的各种利益相关者将愿意接受和采纳变化,对变化的无知和/或抵制需要通过一个结构化的和主动的方法解决。同样,在整个方案的各个阶段, 实施方案的最佳认识应通过一种“沟通什么,以何种方式沟通,由谁沟通”的沟通计划来实现。

通过获得利益相关者的承诺(投资为赢得民心,领导人的时间,并与员工沟通和回应) , 或者如仍需要, 通过加强合规性(投资流程中的管理,监督和执行)可以实现持续改善。换句话说,需要克服人、行为和文化的障碍,以使有妥善采纳变化的共同利益,渗透采取改变的意愿,并确保采取变化的能力。

一种生命周期方法

实施生命周期提供了一种为企业使用 COBIT 解决在实施过程中通常遇到的复杂性和挑战的方法。 生命周期的三个相互关联的组成部分是:

  1. 核心持续改善的生命周期: 这不是一个一次性的项目
  2. 启用的变化:应对行为和文化方面
  3. 方案的管理

如前面所讨论的,需要创造适当的环境,以确保成功实施或改进计划。生命周期及它的七个阶段如图表 17 所示。

实施生命周期的七个阶段图表 17 - 实施生命周期的七个阶段

第一阶段,开始认识到并同意实施或改进计划的必要性。它确定了目前的难点和触发点,并在执行管理层造成改变的欲望。

第二阶段,重点是通过使用 COBIT 框架中企业目标与 IT 相关的目标以及与相关的 IT 流程之间的映射关系,确定实施或改进计划的范围, 并考虑风险情况也可以怎样突出所关注的关键工序。高层次的诊断也可对高优先级领域的范围确定和理解有用。 接着, 进行当前状态的评估,并通过程能力评估识别问题或不足之处。大型倡议的结构应作为生命周期的多重迭代,任何执行超过六个月的倡议,有失去动力,焦点和从利益相关者的买入的风险。

第三阶段,设置改进的目标, 在 COBIT 框架的指导下, 通过更详细的分析找出差距和潜在的解决方案。有些解决方案可能是迅速见效,但其他方案可能是更具挑战性的、更长期的活动。应优先考虑更容易实现和那些可能产生最大的效益的举措。

第四阶段, 通过合理的业务案例支持的项目,规划确定切实可行的解决方案。还制定一个实施的改革计划。一个发展完善的业务案例有助于确保项目的效益确定和监控。

第五阶段,提出的解决方案在日常实践中实施。 可以定义衡量标准和建立监控, 使用 COBIT 的性能和指标, 以保证维持和实现业务的一致性, 性能可以被衡量。成功需要高层管理人员的参与和声明的承诺以及受影响的企业和 IT 利益相关者的所有权。

第六阶段,侧重于新的或改进的促成因素的可持续运营和对预期效益实现的监测。

第七阶段, 评估该方案的整体成功情况, 确定企业 IT 治理或管理的进一步需求,持续改进的需求得以加强。

随着时间的推移, 当为企业 IT 的治理和管理建立一种可持续的方法时, 应遵循反复的生命周期。

入门: 制作业务案例

为确保利用 COBIT 的实施方案的成功,企业内部应该广泛认识到和沟通采取行动的需要。 这可以采取 “闹钟”(如前所述,正在经历具体的难点) 的形式, 或要追求的改善机会的表达, 重要的是将要实现的利益。 需要灌输适当水平的紧迫感,并且关键利益相关者应该意识到不采取行动的风险和承担项目的收益。

倡议应有一个提案人, 涉及所有主要利益相关者, 并以业务案例为基础。最初, 从战略的角度——自上而下——从清楚地了解预期的业务成果,发展到关键任务和里程碑,以及关键的角色和职责的详细描述, 这可能是在一个较高的水平。业务案例是管理层可用的、 指导业务价值创造的宝贵的工具。 最起码, 业务案例应包括以下内容:

  • 确定业务利益目标, 与业务战略及相关受益业主(业务中保证负责业务的人) 的一致性。这可以基于难点和触发事件。
  • 创造预想的价值需要的业务变化。这可基于健康检查和能力差距分析, 并应明确说明什么在范围内,什么在范围之外。
  • 企业 IT 的治理和管理变化(基于对所需项目的估计)需要的投资。
  • 持续的 IT 和业务成本。
  • 以改变后的方式运营的预期收益。
  • 在过去的经济学中所固有的风险,包括任何限制或依赖性(基于挑战和成功因素)。
  • 与倡议相关的角色,责任和义务。
  • 在这个经济生命周期中,如何监控投资和价值创造,以及要使用的评价指标(基于目标和指标)。

业务案例不是一次性的静态文件,而是一个动态的业务工具,必须不断更新以反映未来的当前视图,以便可以保持方案的可行性。

量化实施和改善方案的效益是困难的,并且应该只关注现实的、 可行的效益。在多家企业进行的研究可以提供对已经取得的收益的有用信息。

例6——IT 治理的统计资料

ITGI 委托 PWC 做了一项关于 IT 治理的市场研究,有来自 21 个国家的 800多名 IT 和业务受访者参与。 38%的受访者列举降低 IT 成本作为 IT 治理实践的结果, 28.1%认为提高企业竞争力, 27.1%表示提高 IT 投资回报。此外,反映出一些无形的收益,如 IT 相关风险管理的改善(42.2%的受访者),业务与 IT 之间的沟通和关系的改善(39.6%受访者),业务目标中 IT 交付的改善(37.3%受访者)。

ISACA 协会还承担了探索和验证 COBIT 的商业价值的研究,研究产生的数据集提供了许多分析机会,澄清了 IT 企业治理与业务绩效之间的关系。

另一项在全世界各地 250 家企业中开展的研究发现,具有优越的 IT 治理的企业比具有相同的目标的治理不善的企业高出至少 20%的利润率。它说明 IT 业务价值直接来源于有效的 IT 治理。

最后,在航空业的另一项研究得出的结论是企业 IT 治理的实施和持续保证恢复了业务和 IT 之间的信任,导致投资和战略目标的一致性增加。同时,研究报告了更多实实在在的利益,在本案例中,包括降低每个业务生产单元的 IT 连续性成本,并为创新腾出资金。在财务部门的其它跨案例研究证明拥有更好的 IT治理方法的企业明显获得更高的业务/IT 一致性成熟度得分。


最近更新于 2022-05-14 孜孜不倦2022-05-01 发布, 已阅 304 次。