IT規劃和組織的控制

2014-09-25 16:54:59 大云網　點擊量：評論 (0)

對于一個在IT應用力一面成熟的企業，任何在IT方面投資，之前都會有一個詳細的規劃和論證過程。同時，信息一組織結構和職能的優化也是伴隨著IT投人而展開的。在COBIT中，IT規劃和組織是一個控制域。在這個域中，C

對于一個在IT應用力一面成熟的企業，任何在IT方面投資，之前都會有一個詳細的規劃和論證過程。同時，信息一組織結構和職能的優化也是伴隨著IT投人而展開的。在COBIT中，IT規劃和組織是一個控制域。在這個域中，COBIT列出11個需要控制的流程( Proccsscs )，分別如下:

定義IT戰略規劃

在COBIT中，要求通過戰略規劃，為企業提供長期并符合企業發展目標的IT規劃，并且定期將這目標轉換成可以操作的短期實施計劃。在IT規劃和組織中首光提出需要找篩J的流程是:對企業IT戰略規劃制定的控制。該控制確保企業在制定計劃時考慮到這些因素:企業的業務戰略，明確定義了IT是如何支撐業務目標實現的，目前的技術解決方案和架構的情況、技術發展趨勢，可行性研究與對比、現有系統的評估，企業在風險控制、市場反應和質量方面所處的地位等等。

定義信息結構

“信息孤島”是目前許多企業所面臨的一個問題。造成“信息孤島”的原因是多方面的，有管理方面的原因，但更重要的是企業在rr規劃和組織過程中沒有對企業的信息架(Architecture)有個明確的定義。在COBIT的“IT戰略規劃和組織”中，對“定義信息結構”這個流程有個明確的控制目標。控制的對象是建立和維護業務信息模型，確保企業獲得合適信息系統的整個流程是否合理。具體控制評估的內容包括:數據字典、數據語法規則、數據使用權限和安全定義、反映業務特征的信息模型以及企業信息架構的標準。

確定技術方向

IT在企業中的作用是服務于業務自身的需要，那么企業在決定信息技術方向時必須有一個能夠很好制定和管理技術選擇的流程，而這個流程就是要確保技術能夠很好地實現企業對產品、服務和交付能力的期望。對于這樣的流程，COBIT提出需要考慮的控制細節。它包括:現有技術架構的能力，通過可靠的資源對技術發展進行跟蹤，實行概念論證，明確技術實現的風險和機遇、技術獲取計劃、技術切換策略，明確與技術供應商的關系，獨立的技術再評估和軟硬件價格性能的變更等管理。

定義IT組織和內部關系

信息，技術在企業中的成功應用已經越來越不是技術本身所能決定的事了，而是需要企業具備完善的IT決策服務組織體系去實現IT在企業中的價值。COBIT對于“定義IT組織與內部關系”的流程控制提出了11個控制目標和方向，它們是:策事會對IT所擔負的職責，管理層對IT的監督和指導，IT與業務的匹配，在企業關鍵戰略決策中IT的融人，組織的靈活性，角色與職責的清晰，平衡監督和放權的關系，工作描述，安全、質量和內部控制等的組織定位，責權分離等。

IT投資管理

企業每年在IT方面的預算和支出都在增長。對于IT投資決策和資金使用管理的流程控制是確保企業信息化建設有效開展的關鍵。對于這個決策和管理的控制，COBIT提出了建立滾動的投資和運營預算并要求必須獲得業務部門的批準。在這個過程中，需要考慮的控制內容包括:籌資方式的選擇、清晰的預算所有權、實際支出的控制、成本的合理性、收益的合理性和收益實現的追溯、技術和應用軟件的生命周期、與企業業務戰略的匹配程度、影響力分析和資產的管理。

溝通IT管理層目標

企業中，管理層在IT方面的目標(Aims)和方向需要通過合適的渠道和流程由上至下傳達，同時要確保用戶的意識和對這些目標的正確理解。COBIT對于該控制目標，提出了企業需要有清晰的IT目標描述，技術應用方向應該與企業的業務目標緊密相連，具備行為規范，質量承諾，安全與內部控制政策，安全與內部控制規范、持續的共同計劃以及檢驗法律法規的遵守性。這些對“溝通IT管理層目標”的控制要素，將確保企業的IT管理目標和方向為企業員工理解。在企業的ERP實施過程中，對于軟件演示是整個系統實施的一個關鍵環節。這類演示也是確保溝通的一個有效方式，如果缺乏這一環一節，實施系統的目標就不能為系統用戶所認識。

管理人力資源

信息系統的效益是靠人用出來的。企業IT的應用技能能直接關系到系統是否能夠實現業務目標和要求。企業需要有一個合理、公平和透明的人員管理規范，從招聘、使用、待遇、培訓、評估、晉升到解雇。COBIT對于“管理人力資源”這個控制目標提出了具體的注意點，他包括：招聘和晉升，培訓和資格要求，意識的建立，跨部門培訓和崗位輪換，聘用、使用和解雇的程序，目標和績效評估，對技術和市場變化的反應，內部和外部資源的平衡，關鍵職位的梯隊培養。

遵守外部環境

由于企業和社會對信息技術的依賴程度越來越強，政府制定了不同的法律和法規來規范和約束信息技術的使用，降低由于信息技術對社會生活和商業活動的順利展開所帶來的不利影響。許多法規都與企業信息技術的應用有或多或少的聯系。企業必須確保能夠遵守( Compliance)這些法律法規。COBIT提出需要通過識別和分析外部的這些規定對企業本身IT應用的影響，并采取適當的措施來遵守它們。COBIT提出了幾點需要考慮的控制點:法律、法規及合同，跟蹤法律法規的發展變化，定期監督執行情況，隱私的保護和知識產權。

評估風險

企業的業務和管理的實現需要IT的幫助，幫助意味著依賴，依賴意味著風險。信息系統在企業中的應用，需要有一套管理體系去應對系統使用過程中的風險。COBIT針對“風險評估”這個控制目標，提出在這個風險管理體系中，需要有IT風險的識別、影響力分析，涉及到多個部門并且需要采取最經濟和有效的措施規避風險。同事考慮：風險管理的所有權和責任權，不同類型IT的風險（技術、安全、持續性、規范性等），所有定義和發布的風險容忍限度，根本原因的分析，風險的定性和定量衡量，風險評估方法論，風險行動計劃，及時的再評估。

管理項目

COBIT針對這個流程的安排立足于企業對項目的安排需要以及和業務的運營計劃相符合，并采用合適的項目管理手段來確保項目按計劃完成。在控制過程中，需要考慮的內容包括：業務部分對項目的支持，程序管理，項目管理能力，用戶參與，任務分解、對里程碑定義和階段審核，責任分配，對里程碑和階段成果交付的跟蹤成本和預算，內部和外部資源的平衡，項目風險的評估，開發到運營的轉換。

管理質量

對于系統和信息組織為各個業務部門提供的服務，這里也存在著客戶和服務供應商這樣的關系。COBIT提出這類服務質量管理同樣需要汁劃、實施和維護等質量管理標準的存在。重點考慮下面幾點因素:質量文化的建立，質量量計劃，質量保證責任制，質量控制規范，系統開發生命周期方法論，程序和系統測試及文檔，質量保證審核和報告，培訓和最終用戶及質量保證人員的參與，質量保證知識體系的建立，行業標桿的對比。