IT规划和组织的控制
2014-08-08陆培炜
陆培炜
造成“信息孤岛”的原因是多方面的,有管理方面的原因,但更重要的是企业在IT规划和组织过程中没有对企业的信息架构有个明确的定义。
对于一个在IT应用方面成熟的企业,任何在IT方面投资,之前都会有一个详细的规划和论证过程。同时,信息组织结构和职能的优化也是伴随着IT投入而展开的。在国际信息系统审计与控制协会提出的“信息系统和技术控制目标”(COBIT)中,IT规划和组织是一个控制域。在这个域中,COBIT列出了11个需要控制的流程(Processes),分别如下:
定义IT战略规划
在COBIT中,要求通过战略规划,为企业提供长期并符合企业发展目标的IT规划,并且定期将这目标转换成可以操作的短期实施计划。在IT规划和组织中首先提出需要控制的流程是:对企业IT战略规划制定的控制。该控制确保企业在制定计划时考虑到这些因素:企业的业务战略,明确定义了IT是如何支撑业务目标实现的,目前的技术解决方案和架构的情况、技术发展趋势,可行性研究与对比、现有系统的评估,企业在风险控制、市场反应和质量方面所处的地位等。
定义信息结构
“信息孤岛”是目前许多企业所面临的一个问题。造成“信息孤岛”的原因是多方面的,有管理方面的原因,但更重要的是企业在IT规划和组织过程中没有对企业的信息架构有个明确的定义。在COBIT的“IT战略规划和组织”中,对 “定义信息结构”这个流程有个明确的控制目标。控制的对象是建立和维护业务信息模型,确保企业获得合适信息系统的整个流程是否合理。具体控制评估的内容包括:数据字典、数据语法规则、数据使用权限和安全定义、反映业务特征的信息模型以及企业信息架构的标准。
确定技术方向
IT在企业中的作用是服务于业务自身的需要,那么企业在决定信息技术方向时必须有一个能够很好制定和管理技术选择的流程,而这个流程就是要确保技术能够很好地实现企业对产品、服务和交付能力的期望。
对于这样的流程,COBIT提出需要考虑的控制细节。它包括:现有技术架构的能力,通过可靠资源对技术发展进行跟踪,实行概念论证,明确技术实现的风险和机遇、技术获取计划、技术切换策略,明确与技术供应商的关系,独立的技术再评估和软硬件价格性能的变更等管理。
定义IT组织与内部关系
信息技术在企业中的成功应用已经不是技术本身所能决定的事了,而是需要企业具备完善的IT决策服务组织体系去实现IT在企业中的价值。COBIT对于“定义IT组织与内部关系”的流程控制提出了11个控制目标和方向, 它们是:董事会对IT所担负的职责,管理层对IT的监督和指导,IT与业务的匹配,在企业关键战略决策中IT的融入,组织的灵活性,角色与职责的清晰,平衡监督和放权的关系,工作描述,安全、质量和内部控制等的组织定位,责权分离等。
IT投资管理
企业每年在IT方面的预算和支出都在增长。对于IT投资决策和资金使用管理的流程控制是确保企业信息化建设有效开展的关键。对于这个决策和管理的控制,COBIT提出了建立滚动的投资和运营预算并要求必须获得业务部门的批准。在这个过程中,需要考虑的控制内容包括:筹资方式的选择、清晰的预算所有权、实际支出的控制、成本的合理性、收益的合理性和收益实现的追溯、技术和应用软件的生命周期、与企业业务战略的匹配程度、影响力分析和资产的管理。
沟通IT管理层目标
企业中,管理层在IT方面的目标(aims)和方向需要通过合适的渠道和流程由上至下传达,同时要确保用户的意识和对这些目标的正确理解。COBIT对于该控制目标,提出了企业需要有清晰的IT目标描述,技术应用方向应该与企业的业务目标紧密相连,具备行为规范,质量承诺,安全与内部控制政策,安全与内部控制规范、持续的共同计划以及检验法律法规的遵守性。这些对“沟通IT管理层目标”的控制要素,将确保企业的IT管理目标和方向为企业员工理解。在企业的ERP实施过程中,对于软件演示是整个系统实施的一个关键环节。如果缺乏这一环节,实施系统的目标就不能为系统用户所认识。
管理人力资源
信息系统的效益是靠人用出来的。企业IT的应用技能直接关系到系统是否能够实现业务目标和要求。企业需要有一个合理、公平和透明的人员管理规范,从招聘、使用、待遇、培训、评估、晋升到解雇。COBIT对于“管理人力资源”这个控制目标提出了具体的注意点,它包括:招聘和提升,培训和资格要求,意识的建立,跨部门培训和岗位轮换,聘用、使用和解雇的程序,目标和绩效评估,对技术和市场变化的反应,内部和外部资源的平衡,关键职位的梯队培养。
遵守外部环境
由于企业和社会对信息技术的依赖程度越来越强,政府制定了不同的法律和法规来规范和约束信息技术的使用,降低由于信息技术对社会生活和商业活动的顺利展开所带来的不利影响。许多法规都与企业信息技术的应用有或多或少的联系。企业必须确保能够遵守这些法律法规。cobit提出需要通过识别和分析外部的这些规定对企业本身IT应用的影响,并采取适当的措施来遵守它们。
COBIT提出了几点需要考虑的控制点:法律、法规及合同,跟踪法律法规的发展变化,定期监督执行情况,隐私的保护和知识产权。
评估风险
企业的业务和管理的实现需要IT的帮助,帮助意味着依赖,依赖意味着风险。信息系统在企业中的应用,需要有一套管理体系去应对系统使用过程中的风险。COBIT针对“评估风险”这一控制目标,提出在这个风险管理体系中,需要有IT风险的识别、影响力分析,涉及到多个部门并且需要采取最经济和有效的措施来规避风险。同时考虑:风险管理的所有权和责任权,不同类型IT的风险(技术、安全、持续性、规范性等),所定义和发布的风险容忍限度,根本原因的分析,风险的定性和定量衡量,风险评估方法论,风险行动计划,及时的再评估。 管理项目
COBIT针对这个流程的控制提出企业对项目的安排需要与企业的业务运营计划相符合,并采用合适的项目管理手段来确保项目按计划完成。
在控制过程中,需要考虑的内容包括:业务部门对项目的支持,程序管理,项目管理能力,用户参与,任务分解、里程碑定义和阶段审核,责任分配,对里程碑和阶段成果交付的跟踪,成本和预算,内部和外部资源的平衡,项目风险的评估,开发到运营的转换。
管理质量
对于系统和信息组织为各个业务部门提供的服务,这里也存在着客户和服务供应商这样的关系。COBIT 提出这类服务质量管理同样需要计划、实施和维护等质量管理标准的存在。重点考虑下面几点因素:质量文化的建立,质量计划,质量保证责任制,质量控制规范,系统开发生命周期方法论,程序和系统测试及文档,质量保证审核和报告,培训和最终用户及质量保证人员的参与,质量保证知识体系的建立,行业标杆的对比。