對於一個在IT應用方面成熟的企業,任何在IT方面投資,之前都會有一個詳細的規劃和論證過程。同時,信息組織結構和職能的優化也是伴隨着IT投入而展開的。在COBIT中,IT規劃和組織是一個控制域。在這個域中,COBIT列出了11個需要控制的流程(Processes),分別如下:
在COBIT中,要求通過戰略規劃,爲企業提供長期並符合企業發展目標的IT規劃,並且定期將這目標轉換成可以操作的短期實施計劃。在IT規劃和組織中首先提出需要控制的流程是:對企業IT戰略規劃制定的控制。該控制確保企業在制定計劃時考慮到這些因素:企業的業務戰略,明確定義了IT是如何支撐業務目標實現的,目前的技術解決方案和架構的情況、技術發展趨勢,可行性研究與對比、現有系統的評估,企業在風險控制、市場反應和質量方面所處的地位等等。
“信息孤島”是目前許多企業所面臨的一個問題。造成“信息孤島”的原因是多方面的,有管理方面的原因,但更重要的是企業在IT規劃和組織過程中沒有對企業的信息架構(archITecture)有個明確的定義。在COBIT的“IT戰略規劃和組織”中,對“定義信息結構”這個流程有個明確的控制目標。控制的對象是建立和維護業務信息模型,確保企業獲得合適信息系統的整個流程是否合理。具體控制評估的內容包括:數據字典、數據語法規則、數據使用權限和安全定義、反映業務特徵的信息模型以及企業信息架構的標準。
IT在企業中的作用是服務於業務自身的需要,那麼企業在決定信息技術方向時必須有一個能夠很好制定和管理技術選擇的流程,而這個流程就是要確保技術能夠很好地實現企業對產品、服務和交付能力的期望。對於這樣的流程,COBIT提出需要考慮的控制細節。它包括:現有技術架構的能力,通過可靠的資源對技術發展進行跟蹤,實行概念論證,明確技術實現的風險和機遇、技術獲取計劃、技術切換策略,明確與技術供應商的關係,獨立的技術再評估和軟硬件價格性能的變更等管理。
信息技術在企業中的成功應用已經越來越不是技術本身所能決定的事了,而是需要企業具備完善的IT決策服務組織體系去實現IT在企業中的價值。COBIT對於“定義IT組織與內部關係”的流程控制提出了11個控制目標和方向, 它們是:董事會對IT所擔負的職責,管理層對IT的監督和指導,IT與業務的匹配,在企業關鍵戰略決策中IT的融入,組織的靈活性,角色與職責的清晰,平衡監督和放權的關係,工作描述,安全、質量和內部控制等的組織定位,責權分離等。
企業每年在IT方面的預算和支出都在增長。對於IT投資決策和資金使用管理的流程控制是確保企業信息化建設有效開展的關鍵。對於這個決策和管理的控制,COBIT提出了建立滾動的投資和運營預算並要求必須獲得業務部門的批准。在這個過程中,需要考慮的控制內容包括:籌資方式的選擇、清晰的預算所有權、實際支出的控制、成本的合理性、收益的合理性和收益實現的追溯、技術和應用軟件的生命週期、與企業業務戰略的匹配程度、影響力分析和資產的管理。
企業中,管理層在IT方面的目標(aims)和方向需要通過合適的渠道和流程由上至下傳達,同時要確保用戶的意識和對這些目標的正確理解。COBIT對於該控制目標,提出了企業需要有清晰的IT目標描述,技術應用方向應該與企業的業務目標緊密相連,具備行爲規範,質量承諾,安全與內部控制政策,安全與內部控制規範、持續的共同計劃以及檢驗法律法規的遵守性。這些對“溝通IT管理層目標”的控制要素,將確保企業的IT管理目標和方向爲企業員工理解。在企業的erp實施過程中,對於軟件演示是整個系統實施的一個關鍵環節。這類演示也是確保溝通的一個有效方式,如果缺乏這一環節,實施系統的目標就不能爲系統用戶所認識。
信息系統的效益是靠人用出來的。企業IT的應用技能直接關係到系統是否能夠實現業務目標和要求。企業需要有一個合理、公平和透明的人員管理規範,從招聘、使用、待遇、培訓、評估、晉升到解僱。COBIT對於“管理人力資源”這個控制目標提出了具體的注意點,它包括:招聘和提升,培訓和資格要求,意識的建立,跨部門培訓和崗位輪換,聘用、使用和解僱的程序,目標和績效評估,對技術和市場變化的反應,內部和外部資源的平衡,關鍵職位的梯隊培養。
由於企業和社會對信息技術的依賴程度越來越強,政府制定了不同的法律和法規來規範和約束信息技術的使用,降低由於信息技術對社會生活和商業活動的順利展開所帶來的不利影響。許多法規都與企業信息技術的應用有或多或少的聯繫。企業必須確保能夠遵守(compliance)這些法律法規。COBIT提出需要通過識別和分析外部的這些規定對企業本身IT應用的影響,並採取適當的措施來遵守它們。COBIT提出了幾點需要考慮的控制點:法律、法規及合同,跟蹤法律法規的發展變化,定期監督執行情況,隱私的保護和知識產權。
企業的業務和管理的實現需要IT的幫助,幫助意味着依賴,依賴意味着風險。信息系統在企業中的應用,需要有一套管理體系去應對系統使用過程中的風險。COBIT針對“評估風險”這一控制目標,提出在這個風險管理體系中,需要有IT風險的識別、影響力分析,涉及到多個部門並且需要採取最經濟和有效的措施來規避風險。同時考慮:風險管理的所有權和責任權,不同類型IT的風險(技術、安全、持續性、規範性等),所定義和發佈的風險容忍限度,根本原因的分析,風險的定性和定量衡量,風險評估方法論,風險行動計劃,及時的再評估。
COBIT針對這個流程的控制提出企業對項目的安排需要與企業的業務運營計劃相符合,並採用合適的項目管理手段來確保項目按計劃完成。在控制過程中,需要考慮的內容包括:業務部門對項目的支持,程序管理,項目管理能力,用戶參與,任務分解、里程碑定義和階段審覈,責任分配,對里程碑和階段成果交付的跟蹤,成本和預算,內部和外部資源的平衡,項目風險的評估,開發到運營的轉換。
對於系統和信息組織爲各個業務部門提供的服務,這裏也存在着客戶和服務供應商這樣的關係。COBIT提出這類服務質量管理同樣需要計劃、實施和維護等質量管理標準的存在。重點考慮下面幾點因素:質量文化的建立,質量計劃,質量保證責任制,質量控制規範,系統開發生命週期方法論,程序和系統測試及文檔,質量保證審覈和報告,培訓和最終用戶及質量保證人員的參與,質量保證知識體系的建立,行業標杆的對比。