偶遇一位製造型企業的信息中心主任,閒聊間得知該企業爲了上一套ERP系統經歷了三年的選型期,看遍了國內外所有知名軟件的演示,最終選定了一家國外的系統。這種被認爲是企業和系統“聯姻”的過程是目前許多國內企業在信息化建設中都在經歷的事。企業意識到,系統的合適與否直接關係到信息化建設的成敗,更關係到企業所有者的利益是否得到很好的保護。COBIT把信息技術的“獲得和實施”作爲IT過程控制的一個控制域,並在這個域內定義了需要控制的六個主要IT過程。
識別系統解決方案的過程也就是我們通常的系統選型的過程,系統解決方案的識別是企業信息化建設中的一個重要環節。企業信息化建設已經從初期的注重技術的先進性,逐步發展到以企業的實際業務需求作爲驅動,系統對業務的支持和滿足已經是很多企業考慮的首要問題,這是實現企業信息化建設投資高效和低風險的關鍵。那麼在企業“識別和選擇信息系統解決方案”這個過程中,需要考慮哪些因素才能確保系統滿足企業的需求呢?
COBIT在這一過程控制中提出:企業需要在明確業務需求的情況下,客觀而清晰地對多種方案進行識別和分析。在這個過程中,需要考慮的因素有:市場對該系統方案的認可度,獲得和實施該方案的方法論是否合理,系統用戶參與實施還是直接購買系統,系統方案與企業IT戰略的匹配性,企業的信息需求定義,可行性研究(成本、收益、可選方案等),系統的功能性、可操作性、適應性和持續發展性,系統是否符合企業的信息結構,系統是否具備經濟有效的安全控制,系統是否明確了系統供應商的責任。
如果說,識別解決方案或者說系統選型的過程是讓企業知道什麼方案是適合自己的,那麼獲得和維護系統軟件的過程纔是實現系統給企業帶來收益的開始。COBIT對於這個過程的控制是確保這個過程能夠提供支持業務流程的有效應用功能。具體來說就是軟件系統必須能夠和業務流程很好的融合。
在企業變得更爲理性的時候, 知名度高的應用軟件系統並非成爲企業的首選, 關鍵是企業的業務需求是否能夠獲得所選系統的支持,企業的業務流程(經過優化)能否和系統融合,系統在實施過程中的每個階段是否都有明確的成果。COBIT針對這個過程的控制提出了需要考慮的方面包括:功能測試和驗收、應用控制和安全需求、文檔化管理需求、應用軟件生命週期、企業信息結構、系統開發生命週期方法論(SDLC Methodology)、人機界面、系統的二次開發。
針對上面幾點在過程控制方面的考慮,我們仍然回到熟悉的ERP系統來談。通常,測試和驗收是反映系統是否滿足業務要求的基本環節,無論是系統實施夥伴還是客戶,對這塊都非常重視。但是在應用控制和安全方面相對來說關注得少一些。實現業務需求,一層含義是原先手工的活現在系統能自動完成,另一層含義是系統在應用實現過程中同樣要反映出現實中的管理和控制特徵。簡單的說就是,哪些員工可以看哪些信息,決定或決策權限必須明確,並很好的在系統中反映。
在上述控制過程中,我們談論的是對軟件系統的獲得和維護。而組成系統的除了軟件還有硬件。COBIT在對這個過程進行控制的過程中,強調“獲得和維護技術設施”過程必須爲滿足業務需求的業務應用軟件系統提供合適的運行平臺。
COBIT在對“獲得和維護技術設施”過程的控制中,重點要考慮的因素有:硬件設施的標準和未來的應用方向是否符合實際需要;對硬件的評估;安裝、維護和變更的控制;升級、切換和移植的計劃管理;內部和外部技術設施和資源的使用;確認與硬件供應商的關係以及它們的相應責任;變更管理;硬件設施總擁有成本;系統軟件的安全性。COBIT所提出九個方面的考慮覆蓋了硬件設施從採購、安裝調試到日常維護的整個過程。目前,國內的企業在硬件的採購和安裝調試方面往往控制得比較好,但是在系統應用過程中,維護和系統變更等方面沒有規範可控的程序去應對。
企業對信息系統的依賴性使得業務運行的穩定對系統的敏感性越來越強。系統一方面在給企業的業務運作和管理帶來收益的同時,它的複雜性在另一方面也給企業信息系統的管理帶來了很大的壓力。此時,企業應該把信息技術管理部門作爲一個企業的經營和管理中不可缺少的業務部門來看待。從業務部門管理的角度來看,需要有相應的流程來實現業務需求;從信息技術部門管理的角度來看,業務就是爲系統用戶或使用部門提供滿足他們業務需求的信息服務,確保信息應用和技術解決手段能夠得到很好的利用。
COBIT認爲,對於實現信息技術部門業務的流程制定和維護的過程控制,將直接影響到信息技術部門是否能夠最終滿足業務部門對信息技術部門在信息服務方面的要求。在COBIT中,這種控制體現在企業是否有結構化的手段來制定和開發用戶手冊、運作流程、服務要求和培訓材料等。另外還必須考慮其他方面的因素:業務流程設計,程序的需求與技術交付的同等重要性,開發編制程序的及時性,用戶程序和控制,運作管理程序和控制,培訓材料,變更管理。
系統要滿足業務的需求不僅僅是選擇一套在功能上符合業務要求的解決方案,更重要的是實施這個解決方案並使它能夠不斷滿足業務持續發展的需要。對系統安裝和驗收的過程控制是爲了確保這個過程的有效性。在ERP系統的實施過程中,通常我們會經歷測試、上線、並行運行和切換等環節。這些環節過程的有效性直接決定系統是否能夠最終成功投入使用。
COBIT對這個過程的控制,要求企業具備規範和標準的系統安裝、移植、切換和驗收計劃。同時還要考慮:用戶和信息技術運營管理人員的培訓,數據轉換,測試環境是否反映實際環境的特徵,實施完成後的評估和反饋,最終用戶在測試時是否參與,持續的質量改進計劃,業務連續性需求,系統能力和數據吞吐量的衡量,以及達成共識的驗收標準。
信息系統是爲業務部門服務的。但是企業的業務是在不斷變化和發展的,相應的信息系統也必須與業務的發展同步。業務對信息系統需求的變化在信息化程度高、業務依賴性較強的企業非常普遍。
COBIT提出了企業需要有一套針對現有信息系統進行變更的管理體系,它包括對所有提出的系統變更進行分析、實施和跟進的管理。對於這套體系的控制將確保由於變更而可能給企業帶來的風險降低到最低限度。在對這個流程的控制中,需要考慮的因素有:變更的識別,分類、優先確定和緊急處理程序,影響度評估,變更的授權,變更後的發佈管理,軟件的發佈,工具的使用,配置管理,業務流程的重組。
COBIT在“獲得和實施”這個控制域提出了企業從獲取信息技術到實施完成中對六個方面的過程控制。在這裏需要說明的是,“實施”在這裏的概念不僅僅是系統的安裝和調試,而是最終符合業務需求才能認爲是“實施”的完成。從企業需求動態變化的角度來看,“獲得和實施”這個過程是一個循環的過程,因此對於這個過程中COBIT所提出的六個目標控制過程的監督也是循環進行的。