ISACA Journal
Volume 2, 2,015 

Translated Articles 

以系統管理觀點闡述 COBIT 5 流程 COBIT 5 Processes from A Systems Management Perspective 

作者:Myles Suer, Chane Cullens, Don Brancato 

COBIT 5 建立了治理層級,在獲得利害關係人的需求、驅動企業、IT 和促成目標皆有良好的成效。COBIT 5鼓勵平衡記分卡和目標級聯的使用,以幫助IT領導者顯示,IT是為了企業的完善而管理此艘船隻。這包含了給企業和IT目標的衡量建議。

COBIT 與規劃、設計、建設、營運、監督和更新的生命週期流程有關。COBIT下有13個調整、規劃與組織(APO)的流程,10個建立、獲得與建置(BAI)的流程,6個交付、服務與支持(DSS)的流程,以及3個監督、評價與評估(MEA)的流程,而這些流程之間有什麼關聯呢?IT的主要目標是交付商業服務,這和定義各個流程同樣重要,了解這些相互關聯的流程如何優化IT在正確時間以正確價格提供正確服務的能力也很重要。例如:處理服務請求及突發事件,和處理變革、變革的過度與接受是密切相關的。很差的變革處理會顯著地影響服務請求和事件流程的品質。1

以系統的角度思考提供了這些議題一個答案:

以系統的角度思考,我們必須自覺地認識到,我們所做的每一件事已經影響了我們所做的一切,也會影響我們將要做的一切。以 系統的角度思考意味著我們將眼光從單獨或分離的要素、結構、功能和事件,轉移到流程之間的相互關係...。這就是判斷和發現的流程,它最終將會給我們一份實用指南,以針對系統的問題找出系統解決方案。身為領導者,我們並非在處理今天的問題,而是在處理需要更具有全面性或系統解決方案的複雜、混亂問題。2

前述段描繪了現今的IT情況, IT 經理不會處理單獨的問題,他們處理的是許多複雜、混亂的問題。 IT領導者需要了解到,定義解決方案流程的品質決定了建立要求的品質。在設置時發現的議題、在品質檢測時發現的漏洞,以及在提供服務時發生事故的數量,前述的問題都是相關的。

每個階段的品質是由人、流程和技術(圖1)匯 合決定的,而這是為什麼很難解決前述議題的最 主要因素。基於這個原因,以系統觀點審視 COBIT 互有關連的流程及提供數據給成功的流程 層面,是一種有價值的審視方法。另外,IT 管理 是系統的系統,或者可以說是流程的系統。

COBIT 的所有構成要素可以被視為一個單一的系統或互相有關連的價值流程。3

以企業價值鏈審視

以企業的價值鏈來審視IT,其前提要求每一個IT 必須被合成為一組具有附加價值的核心功能。 圖2 為IT 價值鏈。

IT 增加價值的主要活動可以概括為三類:

  1. 商務自動化的功能
  2. 管理那些已投入生產的功能
  3. 服務終端使用者所提出的請求,以及贊同業務能力的相關問題,派遣人力以解決客戶的問題和實例化業務能力─服務及應用。

惠普公司已辨認出涵蓋了COBIT 5 流程參考模型的四個價值流程(圖3),而更重要的是,這些相互之間有關且與組織有關的價值流程是如何打造一個端到端的IT 管理系統。

關鍵要素是一個概念模型養育邏輯模型、邏輯模型養育實質服務模型的想法。一旦策略需求進入規劃的投資組合,概念服務模型就必須針對這些可以被建造、設置的需求進行開發。這包含起草一 份反映企業需求/期望的建議解決方案,及鋪設預期的保固服務。接著,就是描述服務組成要素的邏輯服務模型,再來是以現有能力待開發的相關模型。而這之後接著的應該要是實際服務模型。提早開始建構服務模型,即可以使性能、技術和知識的重複使用次數提升。最後,當成本和風險降低時,敏捷性即會增加。

連接投資組合的策略

投資組合的策略(圖4)解釋IT投資組合如何與企業的商業策略配對。 IT領導者必須了解他們不是身在IT業務中,而是身在公司的業務中,例如:銀行業、保險業、製造業。投資組合策略的價值流程與以下有關:管理的投資組合之品質、因為投資組合而正在進行的改革、已被確認的新解決方案之品質、 在方案及計畫範圍內的例證之管理,以及服務、改革所花費支出的有效性和效率。

投資組合的策略包含 COBIT5 的流程/活動 APO02(策略)、APO03(企業架構)、APO04 (創新)和APO05(投資組合)。 在價值流程中,企業架構驅動目前的投資組合,並提出增加部分至其中。增加的部分被蒐集為創新的建議/代表需求的合約,然後合併成需求管理。接著以發展項目(待實現)被新增至提議的投資組合。 此時雖然沒有明確召集,但目標即是從此處的提議蒐集而成─為一個單獨處理蒐集、調解及實現優勢的流程。企業架構師的角色包含應用規範和管理,而使用 COBIT 能讓企業架構師衡量未來期望的狀態與目前進行過程之間的差異,以達到期望的目標。

在這個綜合的形式中,COBIT 5 辨認的關鍵要素被視為一個系統,包含:

  • 企業依其需求決定措施的優先順序後,定義其策略計劃和路線圖
  • 選擇符合企業策略的機會和解決方案
  • 確保既定的預算透明以監督履行和變革的進行
  • 辨認機會、風險和IT的限制以增加業務
  • 收集數據以賦予有效率地辨認、分析、報導
  • IT 相關風險的能力

與策略的投資組合直接相關的關鍵 COBIT 流程為:

  • APO02 管理策略
  • APO03 管理企業架構
  • APO04 管理創新
  • APO08 管理投資組合
  • APO12 管理風險
  • APO13 管理安全

建置的需求

建置需求的價值流程(圖5)中描述了IT如何管理好發展和交付─策略需求的交付。此價值鏈與以下有關:需求流程的品質、方案和計畫的可預測性、端到端的交付品質、改變的流程,以及對服務協議績效的使用和衡量。 而在此處,服務設計人員隨著客戶和應用的成熟、時間的經過,逐步進行創建/協商服務水平協議(SLAs)/營運級別協議(OLAs)的發展。

建置需求的價值流程包含了COBIT 5 中的流程 BAI01 ( 計畫與專案)、BAI02 ( 需求)、 APO09(服務協議)、APO11( 品質)、BAI07 (變革的接受與過渡),和BAI06(變革)。

而在此處,當專案開始實施的同時,需求即會被蒐集。IT基礎設施庫之品質水準的部分假設是建立在服務性合約的計畫裡稱之為服務設計階段。當這個階段完成後,相關的建置事物即會被創建,變革的接受與過度也會開始;而這導致了變革的產生(例如:一張票券)。

同樣地,在這個綜合的形式中,COBIT 5 辨認的關鍵要素被視為一個系統,包含:

  • 整合品質管理和解決方案開發和服務交付
  • 收集和分析風險數據
  • 開發和維護項目計劃
  • 定義和維護業務和技術要求
  • 設計,構建和測試解決方案組件
  • 記錄,跟踪,執行和報告變動

關鍵的 COBIT 過程直接連結到部署之需求,為:

  • APO11 管理品質
  • APO12 管理風險
  • APO13 管理保全
  • BAI01 管理計劃及項目
  • BAI02 管理需求及定義
  • BAI03 解決方案之識別和建立管理
  • BAI04 管理可行性及容量
  • BAI06 管理變更
  • BAI07 管理變更之接受

請求履行

要求對符合價值流(圖6)側重於IT以及如何管理其總體要求和履行活動。這顯然是作業需求。要求對符合價值流的目的是“通過快速解決用戶之查詢來提高用戶的工作效率,並最大限度地減少中斷。”4 作為一個過程,它涉及多個IT領域,包括但不限於:

  • 服務要求
  • 變更管理
  • 資產管理
  • 配置管理
  • 供應商管理(包括雲端供應商管理)

請求履行是建立在服務請求和變更流程之上,但增加功能以完成端至端的過程。正如在圖 6中,請求履行是以訂閱管理、計費/扣費和使用管理之形式來建立目錄的概念和金融消費的概念。這是 IT組織需要作出之選擇 ; 目前最好的做法是使其被包括在內。在這個階段,應該設想服務租賃的概念,以及允許發展其配套措施和彈性:因為要求服務,故當業務 /任務功能改變時,其會被淘 汰或被完全放棄(即業務敏捷性)。IT 必須確保效率保持高利用率的系統。

COBIT 5 中還有一些被加入但不明確的項目。包括目錄管理,訂閱管理和使用管理。這些支持了資產管理/ 軟件合規性方面之權利,以及要求、預算和實際使用之影響。在這個整合形式中,關鍵要素已經被 COBIT 5 所確定,但在這裡它被視為一個系統,並包括:

  • 監控供應商績效和法規遵循
  • 組織,識別,分類和運用知識
  • 管理資產之生命週期的資料
  • 管理用戶身份和邏輯性存取

關鍵 COBIT 流程和請求履行直接連結,如下:

  • APO10管理供應商
  • APO12管理風險
  • APO13管理保全
  • BAI06管理變更
  • BAI08管理知識
  • BAI09管理資產
  • DSS05管理保全服務

檢測以改正

在檢測以改正的價值流(圖7)涉及IT組織防止服務及支援設施故障和退化的良好程度,以及當不可避免事件發生時,如東西壞了,管理該問題或事件的良好程度。簡單地說,這個價值鏈的目的是,為COBIT5表明,提高用戶的工作效率,並最大限度地減少中斷。在檢測以改正的價值流涉及很多IT活動類別,其中包括:

  • 能力
  • 可用性
  • 運營
  • 事故
  • 知識
  • 問題
  • 質量(CSI)
  • 保全

目標是清楚地優化流程。它被看作是系統中之一部份,旨在確保服務約定執行,以及例行地和整體上解決問題,而不是觀看每個區域的離散過程。這個過程中考慮資產管理和配置管理作為一個單一的過程。在這個整合的形式,COBIT 5 確定之關鍵要素被視為一個系統,包括:

  • 建檔,追蹤,執行和變更報告
  • 監視內部和外部的IT服務
  • 識別,調查,解決和結束事件,事件和問題
  • 監測與保全相關的問題
  • 監測,收集和分析性能和一致性之資料

直接與檢測以改正連結之關鍵COBIT流程為:

  • APO12管理風險
  • APO13管理保全
  • BAI06管理變更
  • DSS01管理作業
  • DSS02管理服務請求和事件
  • DSS03管理問題
  • DSS05管理保全服務
  • MEA01監控,評價和評估性能及一致性

總體觀點

先前描述的流動已經被拼湊成一個流動表示處理中的所有聯繫,以及如何處理彼此接觸(圖8)。

結論

每一個IT方法都有獨特的觀點以幫助IT更敏捷及高效率以滿足業務需求。以IT價值鏈的觀點來看,其著重在整個服務生命週期中的資料關聯,佐以COBIT治理和管理的觀點。這篇文章描述了COBIT 5 的系統方法,使用COBIT 5 作為首要制度。有意識的識別給予了到概念,一切都在IT管理所做的影響而影響到一切在IT管理。其目標是提供對在IT管理面臨的挑戰以及一切該如何接觸並相互影響之重要性的認識。顯然,IT 管理系統的人員、流程和技術要素不能孤立看待。投資組合策略的價值流,部署之要求,要求履行和檢測以改正之調整,用以支持業務支援能力之卓越價值鏈。該系統必須改進再改進任何一個部分。

Endnotes

1 Based on a private case study of a major US financial institution. Multiple additional sources.
2 Haines, Stephen G.; Strategic and Systems Thinking, 2007
3 Michael Porter pioneered the value chain strategy several years ago as a mechanism to evaluate business competitive advantage. According to Porter, a value chain is the interlinking activities that a firm performs to deliver a valuable product or service to the marketplace.
4 ISACA, COBIT 5, USA, 2012, www.isaca.org/cobit

作者:Myles Suer is a senior manager for IT performance management at HP. Suer has 20 years of experience leading new product initiatives at startups and large companies. He is also adjunct faculty at the John Sperling School of Business at the University of Phoenix.

Chane Cullens is a director of strategy in HP’s software group. Cullens has been involved with IT management software and practices for 15 years. He was inducted into the Oregon State University’s Academy of Distinguished Engineers.

Don Brancato is the chief enterprise architect with HP Software for its federal business. Brancato has more than 20 years of experience and expertise as an enterprise architect, software engineer, quality assurance engineer and software manager/director.

譯者: 諶家蘭,國立政治大學會計學系特聘教授,電腦稽核協會專業發展委員會委員/編譯出版委員會委員陳鵬仁,國立政治大學會計學研究所洪湘綺,國立政治大學會計學研究所.


Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 2, 2014 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2014,Volume 2中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2014 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2014 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal 係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journal 收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50元美金固定費用,每頁收取0.25 美金。欲複印文章者則需支付CCC上述費用,並說明 ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.