• Bookmark

关于因地制宜调整 COBIT 5 实施的建议

作者 Rohit Banerjee,CRISC,CGEIT,COBIT 5 实施,CSX 基础,ISO/IEC 27001 高级审计师,ISO/IEC 38500 企业 IT 治理高级经理,ISO 21500 高级项目经理,ISO 9001 高级审计师和高级执行员,ITIL V3 2011 基础,MSP 从业者,PRINCE2,PMP,六西格玛黑带

COBIT Focus | 2018 年 6 月 25 日 English

Rohit Banerjee 在组织中实施 COBIT 5 是一项艰巨而意义重大的任务。它体现了组织的成熟度以及实现改进的决心和投入程度。但在实际实施过程中,组织通常会遇到很多令人却步的挑战。COBIT 5 框架、《COBIT 5 实施指南》和其他多项参考资料为实施奠定了坚实的基础,而 COBIT 5 培训师和实施专家讲述的实战经历则可以发挥更直接的指导作用。

下面提供了培训师提出的一些建议,引导计划启动和实施 COBIT 5 的组织朝着正确的方向前进。


依托企业环境营造适宜推行变更的氛围

不同类型的组织可能有一些共同的特点,但每个组织都有独特的企业环境、独特的利益相关方及其价值创造期望、独特的业务制度和组织文化,以及独特的发展历史和未来展望。

最关键的步骤之一是识别和运用这种独特的企业环境,以了解各种内外部驱动因素及其对组织和利益相关方的影响。这些驱动因素可能与影响利益相关方需求的新兴技术、进化或环境因素有关,应将这些因素对应到企业环境,以营造适合推行变更的环境。


识别与企业环境有关的痛点或触发事件

无论组织是否承认,每个组织都有自己的痛点。组织不仅处在不断变化的环境中,还面临了诸多商业环境因素,这些因素可能会影响利益相关方或业务所有者的决策。

识别和了解组织在其独特的环境下已知存在问题的方面和改进机会,甚至是潜在的新兴威胁或董事会级别的重大决策,都有助于组织建立变革愿望,并确保变革的理由与利益相关方有关。


使用目标级联使业务战略和 IT 战略保持一致

任何组织都会面临的一项挑战是如何使业务目标与 IT 目标和运营保持一致。它们之间如果长期、频繁错位,通常会给组织带来很多痛点。此外,这种错位会催生消极的看法,认为 IT 无法创造价值或赢得业务所有者的信任。

COBIT 5 建议使用平衡计分卡 (BSC),将 17 个最常见的企业目标与 17 个最常见的 IT 相关目标直接关联,在治理、管理到最终运营的全部层级实现级联。因此,目标级联是直接解决错位问题的最有效的机制之一。


评估流程的现状,帮助排定 IT 举措的优先级

定义组织流程并在一定时期内衡量其成熟度和改进的过程,是不可或缺的重要活动。这些活动帮助组织定义起点作为关键流程的参考点,然后指定目标状态为基准,即这些流程应具备足够的能力来支持组织要取得的业务成果。

借助目标级联,组织可根据对业务的关键程度来选择特定的 IT 流程并优先实施。如实记录现有的能力状态并识别当前存在的缺陷,有助于证明为实现当前和未来 IT 举措的理想能力状态而实施的业务案例的合理性。


创建业务案例,以确保获得高级管理层的承诺

业务案例以业务所有者和关键业务决策者容易理解的方式证明了投资 IT 举措的合理性。业务案例会跟踪 IT 投资的完整经济生命周期,因此为决策者提供了更可靠的问责和可见性,进而有助于他们在每个战略里程碑获取方向和见解。

COBIT 5 实施的业务案例有助于持续获得高级管理层的承诺,并有助于选定的 IT 举措获取所需的资源。它还能确保让合适的利益相关方参与进来,并在 IT 投资的完整经济生命周期中明确地阐明、沟通和跟踪 IT 举措的预期业务效益。


发起实施计划,以启动 IT 项目

可根据获得批准的业务案例制定一份定义明确的计划章程,以启动构成计划的 IT 项目。之后,可集中组织资源开发切实可行的 IT 解决方案,定位具体与选定流程和 IT 能力的预定义目标状态之间存在的差距。

完善且合理的 COBIT 5 业务案例有助于确保所有选定的 IT 项目从一开始就能得到高级管理层的持续支持,并且能够持续监控预期的业务效益。此外,IT 项目输出与业务目标保持一致有助于获得受影响的业务所有者和 IT 流程所有者的支持。


监控绩效指标,以持续实施改进举措

任何企业范围的举措都决不可能一蹴而就。为确保持续创造价值,采用持续的方法推动组织上下努力追求改进和成熟度目标,这一点至关重要。组织需要识别、定义和监控关键绩效指标 (KPI),而且必须在适当的阶段采取有效的预防和纠正干预措施。

通过定期识别速赢机会并监控企业目标、IT 相关目标、动力目标和流程目标,组织可以轻松地与利益相关方沟通初步成果。改进后的能力和成熟度可轻松转换到日常实践和运营中,从而确保企业的持续参与和支持。

这些建议是按时间顺序列出的,可以根据企业环境和组织的成熟度进行相应的调整。实施 COBIT 5 时,最重要的一点是根据组织环境进行调整和定制(如图 1 所示)。虽然这看似是一个漫长的过程,但这样做可确保在适当的阶段向有关的利益相关方展示取得的效益。关键在于选择最重要和最相关的几个流程作为起点,然后逐渐地完善其他支持流程。这是一场马拉松,而不是短跑冲刺。


图 1 — 根据企业和业务环境调整 COBIT 5


Rohit Banerjee,CRISC,CGEIT,COBIT 5 实施,CSX 基础,ISO/IEC 27001 高级审计师,ISO/IEC 38500 企业 IT 治理高级经理,ISO 21500 高级项目经理,ISO 9001 高级审计师和高级执行员,ITIL v3 2011 基础,MSP 从业者,PRINCE2,PMP,六西格玛黑带

Rohit Banerjee 是企业 IT 治理、风险管理和合规培训师;顾问;审计师/评估员;以及国际技术和管理相关论坛及会议的新兴思想领袖和演讲者。他目前担任 MAGE IT Training and Consulting Private Limited 的首席顾问。Banerjee 曾任阿曼苏丹国人力部 IT 治理和 IT 项目管理办公室的顾问。他曾在 ISACA 马斯喀特(阿曼)分会担任主管,负责企业 IT 治理认证(Certified in the Governance of Enterprise IT,CGEIT)/风险及信息系统监控认证(Certified in Risk and Information Systems Control,CRISC);此外,还是 ISACA 国际志愿者以及国际项目管理协会和阿曼项目管理学会志愿者。Banerjee 在国际期刊和杂志上发表了多篇技术研究论文和文章。他是阿曼苏丹国目前唯一一位获得 APMG 认证的 COBIT 5 独立培训师,也是中东和非洲地区为数不多的几位独立培训师之一。您可通过 Rohit@mageit.in 与他联系。