制定適用於自己組織的雲端治理體系

本文簡要概述了設計因素(Design factors)對企業在雲端治理體系的潛在影響。 它還在較高層次上描述了為企業設計客製治理體系的工作流程(workflow)。

設計因素以不同的方式影響企業制定雲端治理系統。 本文區分了三種不同類型的影響，如下圖所示。

取自ISACA官網

管理目標優先等級/選擇

COBIT核心模型包含40個可以對雲端運算的治理和管理目標，每個目標都由流程和一些相關的組成部分組成。 它們本質上是等價的； 它們之間沒有原始的優先次序。 然而，設計因素會影響這種等價性，並使某些治理和管理目標比其他目標更重要，有時甚至會導致某些治理和管理目標變得可以忽略不計。 在實踐中，這種更高的重要性轉化成重要的"治理和管理目標設定"更高的目標能力水準。

範例1:
當企業從企業目標清單中識別出最相關的企業目標並應用目標串聯時，這將導致優先管理目標的選擇。 例如，當 EG01(在雲端上開發具有競爭力的產品和服務組合)被企業評為非常高時，這將使管理目標 APO05(受管理雲端服務的組合)成為該企業治理體系的重要組成部分。

範例2:
一個非常不喜歡風險的企業將更優先考慮治理和管理"風險和安全"的管理目標。 治理和管理目標 EDM03(確保企業使用雲端進行風險優化)、APO12(受管理的雲端風險)、APO13(受管理的雲端安全)和 DSS05(受管理的雲端安全服務)將成為該企業治理系統的重要組成部分，並將為其定義更高的目標能力級別。

範例3:
IT 的角色具有戰略性且對業務成功至關重要的企業將需要 IT 相關角色在組織結構中的高度參與，IT 專業人員對業務的透徹理解，以及對戰略的關注 APO02 (受管理的策略)和 APO08 (受管理的關係)等流程。

組件變體

需要組件來實現治理和管理目標。 一些設計因素會影響一個或多個組件的重要性，或者可能需要特定的變化。

範例1:
中小型企業可能不需要 COBIT 核心模型中列出的全套的角色和組織結構來治理與管理雲端，而是可以使用精簡版的。 這組精簡的治理和管理目標以及包含的組件在中小型企業重點領域中定義。

範例2:
在解決方案開發和運營中使用雲端運算的企業將需要特定的活動、組織結構、文化等，重點是 BAI03(受管理的解決方案識別和構建)以及 DSS01(受管理的營運)。

需要特定的聚焦區域

一些設計因素，如威脅態勢、特定風險、目標開發方法和基礎設施設置，將推動對核心 COBIT 模型內容進行變化以適應特定環境的需求。

範例1:
採用 DevOps 方法的企業將需要一個治理體系，該體系具有多個通用 COBIT 流程的變體，如 COBIT 的 DevOps focus area guidance中所述。

範例2:
中小型企業的員工較少，IT 資源較少，組織架構較扁平，在很多方面都與大型企業不同。 因此，與大型企業相比，他們的雲端治理體系必須沒那麼繁瑣。

設計流程的階段與步驟

下圖說明了設計一個客製治理體系的建議流程。

如上圖所示，設計過程中的不同階段和步驟將針對治理和管理目標或相關治理體系組件的優先等級、目標能力等級或採用治理體系組件的特定變體提出建議。

其中一些步驟或子步驟可能會導致一個有衝突的指導，這在考量大量設計因素、設計因素指南的總體通用性和所使用的對映表時是不可避免的。

建議將在不同步驟中獲得的所有指導放在設計畫布上，並在設計過程的最後階段（在可能的程度上）解決設計畫布上元素之間的衝突並得出結論。 這裡沒有神奇的公式。 最終設計將根據設計畫布上的所有元素逐案決定。 通過遵循這些步驟，企業將實現適合自己需求的治理體系。

實施企業的雲端治理

雲端運算現在在企業中無處不在，將業務和 雲端相關活動分開是不可能的，也不是好的做法。 因此，企業的雲端治理和管理應作為企業治理的一個組成部分來實施，涵蓋完整的端到端業務和 雲端職能職責領域。

一些治理系統實施失敗的常見原因之一是它們沒有運作，然後作為計劃進行適當管理，以確保實現效益。 治理計劃需要由高階管理層來支持，適當界定範圍並確定可實現的目標。 這使企業能夠按計劃進行變革的步調。 因此，方案管理(Program Management)被視為”實施企業雲端治理”生命週期的一個組成部分。

雖然建議採用計劃和專案方法來有效推動改進計劃，但目標也是建立一般的業務實踐和可持續的方法來治理和管理企業資訊與技術，就像企業治理的任何其他方面一樣。 出於這個原因，實施方法基於授權"業務和雲端利害關係人"還有相關參與者通過促進和實現變革來獲得與雲端 相關的治理/管理決策/活動的所有權。 當專注於與 雲端相關的優先事項和治理改進的流程產生了可衡量的效益，並且該計劃已嵌入正在進行的業務活動中時，實施計劃就結束了。

對雲端採用COBIT實施方法

COBIT 實施方法分為七個階段：

1. 驅動因素是什麼？
2. 我們現在在哪裡？
3. 我們要去哪裡？
4. 需要做什麼？
5. 我們要怎麼去到那裡？
6. 我們到了嗎？
7. 我們如何保持動能？

下圖總結了 COBIT 實施方法。

取自ISACA官網

階段1: 驅動因素是什麼?
實施方法的第 1 階段確認當前的變革驅動因素，並在高階管理層建立變革的願望，然後將其呈現在商業論證的大綱中。 變革驅動因素可能是內部或外部事件、關鍵議題，可作為變革的刺激因素。 事件、趨勢(產業、市場或技術)、績效不足、軟體實施甚至企業目標都可以作為變革驅動因素。例如，企業想要使用雲端達到"具成本優勢與營運效率化"。

與方案本身實施相關的風險在商業論證中進行描述，並在整個生命週期中進行管理。 準備、維護和監控商業論證是證明、支持和確保任何舉措(包括改進治理體系)取得成功結果的基礎和重要議題。 他們確保持續關注計劃的效益及其實現。

階段2: 我們現在在哪裡?
第 2 階段使雲端運算相關目標與企業策略和風險保持一致，並優先考慮最重要的企業目標、一致性目標和流程。

基於選定的企業和雲端相關目標以及其他設計因素，企業必須確定關鍵的治理和管理目標以及具有足夠能力確保成功成果的基礎流程。 C-Level們需要了解其當前的能力以及可能存在的缺陷。 這可以通過對所選擇流程的當前狀態進行流程能力評估來實現。

階段3:我們要去哪裡?
第 3 階段設定改進目標，然後進行差距分析以確定潛在的解決方案。 有些解決方案會立竿見影，而另一些解決方案則更具挑戰性，這些具挑戰性的解決方案是一項長期任務。 應優先考慮更容易實現並可能帶來最大效益的專案。 長期任務應該分解成可管理的部分。

階段4: 需要做甚麼?
第 4 階段描述如何通過定義由合理的商業論證和實施變革計劃支持的專案來規劃可行和實用的解決方案。 一個完善的商業論證可以幫助確保專案的效益得到識別和持續監控。

階段5:我們要怎麼去到那裡
第五階段提供透過日常實務來實現所提出的解決方案，並建立措施和監控系統，以確保業務協調達成並且可以進行績效評估。這一類的成功需要C-Level們的參與、認知和溝通，理解和承諾，以及受影響的業務和 雲端流程負責人。

階段6:我們到了嗎?
第六階段的重點是將已改進的治理和管理實踐可持續地轉變為正常的業務運營。它進一步著重於使用績效指標和預期效益來監控改進的實現。

階段7:我們如何保持動能?
第 7 階段檢視計劃的總體成功，確定進一步的治理或管理要求，並強調持續改進的需要。 它還優先考慮進一步改善治理體系的機會。

方案和專案管理以良好實踐為基礎，並在七個階段中的每個階段都提供檢查點，以確保計劃的績效步入正軌，更新業務案例和風險，並適當調整下一階段的計劃。

在 COBIT 管理目標 BAI01(Managed programs) 和 BAI11(Managed projects) 中也可以找到關於方案集和專案管理的進一步指南。 儘管在任何階段都沒有明確提及報告，但它是貫穿所有階段和迭代的不斷探索。