設計企業的IT治理體系

階段一:理解企業的背景與策略

在此一階段，企業需要檢視自身的整體背景脈絡，策略與所處的商業環境並清楚地了解此階段以下四個部分重疊、相互依存且通常互補的領域。

• 企業策略
• 企業目標與衍伸出的對齊目標
• 資訊與技術的風險概況
• 現行的資訊與技術相關議題

步驟一:理解企業的策略

企業必須決定目前的策略是屬於上圖的哪一個策略原型。當為企業策略原型做出明確抉擇時，將企業策略轉化為治理和管理目標重要性的相對評分的機制最為有效。

通常最好確定一個主要原型並僅選擇一個次要原型。當企業選擇適合的策略原型時，也等於確定了在COBIT 40個治理與管理目標的優先等級的不同順序。例如一般企業(也是大多數雲端業者)要使用雲端的理由(策略):

主要策略: 成本優勢
次要策略: 客戶服務/穩定性

步驟二:理解企業的目標

企業戰略是通過（一組）企業目標的實現來實現的。 COBIT 定義了一組 13 個通用企業目標(如上圖)； 每個企業都可以根據所選的企業策略優先考慮其企業目標。

為了將企業目標轉化為治理和管理目標重要性的相對等級，在選擇企業目標時應做出明確的選擇。 企業不可能把所有的目標同時做到，建議只確定幾個主要企業目標和有限數量的次要企業目標。

步驟三:理解風險概況

了解哪些風險情境可能影響企業，以及如何評估其影響和實現的可能性。為實現這一理解，應執行高階風險分析，包括：

• 相關風險情境的識別(可以基於上圖中定義的風險情境類別清單）
• 考量到目前風險緩解控制(Risk mitigation control)的現行狀態，評估情境實現的影響和可能性
• 基於上述描述的風險總體評分

為了最有效地為治理設計目的決定適當的風險概況，企業應該在評估資訊與技術(以下簡稱I&T)風險時做出明確的區分。因為對每一個企業而言，上述的風險類別清單的重要性一定是不一樣的。

步驟四:理解現行資訊與技術相關的議題

與 IT 風險密切相關的是與 I&T 相關的問題(也稱為痛點)，企業正在遭受這些問題。 (這些可以被認為是已經具體化的風險。)IT 問題可以通過風險管理、稽核、高階管理人員或外部利害關係人來識別或報告。議題清單如上圖所示。

小結

在階段 1 完成時，企業將對自身策略有清晰一致的看法，企業目標、IT 相關風險和當前的 I&T 議題。 在下一階段中，此資訊將轉化為優先治理/管理目標，用於契合企業治理系統的初始範圍界定。

階段二: 決定治理體系的初始範圍

為確定治理體系的初始範圍，第 2 階段綜合了第 1 階段收集的資訊。

1. 企業策略
2. 企業目標
3. 企業的風險概況
4. 企業的I&T 相關議題

以上這些資訊被轉化為一組優先治理組件，以產生初始且契合每個企業自己的治理體系。

第 2 階段提出了一些相關的設計因素和相關的描述性資訊，它們的選擇將推動治理和管理目標的優先等級。 此評估有兩個基本選項：定性和定量。

定性方法針對每個設計因素的數值考慮最相關的治理和管理目標，例如重要性從高、中、低。 在初始設計和設計細緻化步驟之後，將對治理和管理目標優先等級做出定性決策。

量化的方法涉及為每個設計因素建立的數字對照表。 對照表量化了與每個設計因素相關的描述性數值，以表明它們與治理和管理目標的相關性。

• COBIT 2019 中的對照表的數值是從 0 — 4。 4表示治理或管理目標與特定設計因素值的最大相關性； 0表示不相關。
• 將設計因素值轉化為治理和管理目標重要性涉及矩陣計算，從而得出每個治理和管理目標的數字。
• 根據主要的實際方法，可以進一步運作這些數字以用呈現給相關的利害關係人（例如，標準化為某些固定比例）。
• 在第 2 步驟和第 3 步驟結束時，需要合併其中幾個計算的結果。 同樣，合併沒有客觀上必要的、固定的方法； 然而，通常最好使用(加權)求和來完成。

步驟一:考量企業策略(設計因素1)

對於每個企業策略原型，下圖列出了最重要的治理和管理目標、重要的治理組成部分和相關的聚焦區域指南。 當企業策略被定義為混合戰略時，重要的治理和管理目標將反映要素的組合。

例如，我們在階段一選擇了"成本優勢"(因為想使用雲端省錢)。哪麼就會出現如上表所呈現的重要的治理與管理目標。

步驟二:考量企業目標與應用COBIT目標串聯(設計因素2)

我們在第一階段有提到13個通用的企業目標。每個企業都應根據自身的策略對這些目標進行優先排序。

將企業目標轉化為可實際運作的治理和管理目標：

1. 從通用的企業目標開始，選擇前三到五個最重要的企業目標； 太多的優先目標會產生意義不大的目標串聯結果(因為它們通常會互相衝突)。
2. 在企業目標和對齊目標之間的對照表(下圖)中找到優先的企業目標。 使用對照表來確定最重要的對齊目標。
3. 在對齊目標與治理和管理目標之間的對照表(下圖)找到優先對齊目標。 使用對照來確定最重要的治理和管理目標。

取自ISACA官網

步驟三:考量企業的風險概況(設計因素3)

在第一階段(理解風險概況)中，企業進行了高階風險分析以確定超出企業風險承受能力的風險類別。 在這裡，風險分析的結果被轉化為治理和管理目標。 風險管理中最常見的風險應對措施是風險緩解，這需要實施許多控制措施、需要實現的治理和管理目標。下表(圖三與圖四)包含 COBIT 2019 中的 19 個 IT 風險類別與治理和管理目標之間的對照表，呈現了每個治理和管理目標可以被視為每個風險情境的控制的程度。

下面的對照表使用前面描述的相同技術和評分方法將企業的風險概況與治理和管理目標及其優先等級關聯起來。

圖三:來源ISACA文件

圖四:來源ISACA文件

步驟四:考量企業的現行I&T相關議題(設計因素4)

在階段一中(理解現行 I&T 相關議題)，企業對其遇到的 I&T 相關問題進行了初步診斷。 在這裡，此診斷的結果被轉化為治理和管理目標的優先等級。

下圖(圖五與圖六)包含 I&T 議題與 COBIT 2019 治理和管理目標之間的對照表。 如下圖所示，每個 I&T 相關議題都與一個或多個可能影響 I&T 相關問題的治理或管理目標相關聯。

圖五:來源ISACA文件

圖六:來源ISACA文件

小結

在第 2階段完成時，所有元素都可用於定義切合企業自己的治理系統的初始範圍：

• 優先治理和管理目標說明哪些治理和管理目標應該是重點。
• 關於特定治理組件的指南也可能包含在初始設計中。

企業可以選擇對當前的初始設計進行細緻化，解決各種輸入之間的差異； 或者，企業可以等到設計作業流程的第 4 階段，將不同的輸入與第 3 階段中確定的細緻化範圍相結合。

階段三:精煉治理體系的範圍

階段三使用設計因素第5–11個，確定對治理體系初始範圍的改進。 在本文中，並非所有設計因素都適用於每個企業。 不適用的可以忽略。

在這一步中，治理體系設計者將：

1. 查閱設計因素5(威脅態勢)到 11(企業規模) 的每個設計因素 。
2. 確定每個設計因素是否適用。
3. 對於適用的設計因素，確定哪些潛在價值 — — 或哪些潛在價值的組合 — — 最適用於企業。 適用設計因素數值的參考描述以及下圖7到12中的對應表，以確定那些改進與那些數值相關的治理體系。

圖7:來源ISACA文件

圖8:來源ISACA文件

圖9:來源ISACA文件

圖10:來源ISACA文件

圖11:來源ISACA文件

圖12:來源ISACA文件

威脅態勢的考量(設計因素5)

考量此設計因素時，應執行以下步驟：

• 根據下圖中定義的項目，確定哪種組合最適合企業的現行狀況。
• 考量列出的治理和管理目標、組件和聚焦區域指南，並在設計圖上包含相關資訊，以便在階段 4 中解決和得出結論。

合規需求的考量(設計因素6)

考量此設計因素時，應執行以下步驟：

• 根據下圖中定義的項目，確定哪種組合最適合企業的現行狀況。
• 考量列出的治理和管理目標、組件和聚焦區域指南，並在設計圖上包含相關資訊，以便在階段 4 中解決和得出結論。

IT角色的考量(設計因素7)

考量此設計因素時，應執行以下步驟：

• 根據下圖中定義的項目，確定哪種組合最適合企業的現行狀況。
• 考量列出的治理和管理目標、組件和聚焦區域指南，並在設計圖上包含相關資訊，以便在階段 4 中解決和得出結論。

IT採購模式的考量(設計因素8)

考量此設計因素時，應執行以下步驟：

• 根據下圖中定義的項目，確定哪種組合最適合企業的現行狀況。
• 考量列出的治理和管理目標、組件和聚焦區域指南，並在設計圖上包含相關資訊，以便在階段 4 中解決和得出結論。

IT實施方式的考量(設計因素9)

考量此設計因素時，應執行以下步驟：

• 根據下圖中定義的項目，確定哪種組合最適合企業的現行狀況。
• 考量列出的治理和管理目標、組件和聚焦區域指南，並在設計圖上包含相關資訊，以便在階段 4 中解決和得出結論。

技術採用策略的考量(設計因素10)

考量此設計因素時，應執行以下步驟：

• 根據下圖中定義的項目，確定哪種組合最適合企業的現行狀況。
• 考量列出的治理和管理目標、組件和聚焦區域指南，並在設計圖上包含相關資訊，以便在階段 4 中解決和得出結論。

企業規模的考量(設計因素11)

考量此設計因素時，應執行以下步驟：

• 根據下圖中定義的項目，確定哪種組合最適合企業的現行狀況。
• 考量列出的治理和管理目標、組件和聚焦區域指南，並在設計圖上包含相關資訊，以便在階段 4 中解決和得出結論。

小結

在第 3 階段完成時，企業將確定初始治理體系的一系列潛在改進，並將它們全部放在設計圖上，以便在設計工作流程的第 4 階段中進行整合。

以下改進通常與第2階段的結果類似：對治理和管理目標、治理體系的重要組成部分以及特定聚焦領域指南進行排序。

階段四:化解衝突，完成治理體系設計

最後一個階段匯集了前面階段的所有輸入因素以完成治理體系設計，如下圖所示。 由此產生的治理體系必須反映對所有輸入因素的仔細考量，哪就是 — 這些因素有時可能會互相衝突。

取自ISACA官網

解決既有的各種優先等級衝突

在得出任何結論之前，我們需要考慮之前階段的以下產出：

• 根據企業策略、企業目標、風險概況和 I&T 相關問題，在第2階段中取得的治理系統的初始設計。 這個初始設計可能反映了一些不同的優先管理目標集。
• 通過分析剩餘的設計因素和不同的優先等級集，在階段3 中將範圍再細緻化。

解決策略

本文中描述的工作流程可以應用於不同的情況，需要不同的策略才能得出結論。 簡而言之，企業需要在其實施治理計劃的目標背景下應用設計因素後分析數據和結果。

範例:
如果企業有一個重要的、持續的計劃(例如，對數位轉型計劃等的重大投資)或想要專注於一個非常具體的主題或問題（例如，利用雲端運算產生成本優勢，採用 SRE/DevOps 方法），企業無需詳細應用前述工作流程中的所有步驟，而是可以專注於特定的領域。

• 如果是重要的開發投資，企業可以考慮其企業策略（設計因素
  1) 作為一種成本優勢策略，因此決定只致力於針對該設計因素強調的治理和管理目標。
• 在成本優勢的要求下，企業可以專注於與IT採購模式（設計因素 8）相對應的治理和管理目標。 這些目標是 APO09(受管理的服務協定)，APO10(受管理的供應商)，MEA01(受管理的效能與一致性監控)。

在定義治理體系的設計時，企業應檢視其治理和管理目標，並分析其當前的績效水準（即流程的能力水平）。 然後，企業在定義目標治理體系的路線圖時應考慮這些評估的結果，首先尋找能快速取得成果（即那些需要付出有限努力但產生高收益的舉措）。

解決方式

沒有一體適用的指南來解決競爭或衝突的優先等級，能在所有企業環境中都有效。 但是，一些解決此問題的建議是：

• 在治理系統設計的討論中要能包括所有主要利害關係人：董事會和C-Level、業務主管、IT 職能管理以及風險和保證管理。
• 考量COBIT 指南和對照表的通用性，它們無法考慮每個企業的所有特殊性。 企業可以而且應該準備偏離某些已確定的優先等級，如果認為有正當的偏離的理由的話。
• 同樣地，要注意企業的特定情境可能需要偏離嚴格定量優先等級的治理和管理目標，這些目標是由通用的、預先編程的計算（例如數學矩陣計算的結果）所產生的。

總結

設計階段的結論必須導致企業 I&T 治理系統的一種設計。 該設計將包括:

1.優先治理和管理目標，其中：

• 高優先級目標的數量保持在一個合理的水準
• 定義目標能力水平(或非流程的等效績效要求)，對最關鍵的目標具有較高的目標能力水平，對不太關鍵的目標具有較低的目標能力水平

2.流程的各種目標能力等級（或其他組件的等效績效目標）。 在定義這些目標時，不建議以最高分為目標，因為：

• 對於某些流程或其他組件，等級5的能力是不可能的或未定義的
• 在所有目標都是高能力水準上運行治理體系很少具有成本效益或合理性。
• 許多企業會發現幾乎不可能在任何合理的時間範圍內實施達成如此高能力水準治理體系的路線圖。

3.由於特定問題或情況需要特別注意的治理組件（例如，如果隱私是企業最關心的問題，則隱私政策和程序可能需要特別注意）

治理設計工作流程最後一步的結果是設計良好的治理體系。 然而，治理體系本質上是動態的。 策略可能會改變，重要的投資計劃會啟動，威脅態勢會發生變化，技術會演進等。這意味著應該定期檢視治理體系，並在必要時對體系進行更改。