使用COBIT對雲端進行治理與管理
數位轉型,資訊和技術已成為現代企業的支援、可持續性和成長的關鍵。 以前,董事會和高階管理層對於I&T(Information & technology)是授權給中階管理層或是忽視甚至不想做出與 I&T 相關的決策。 然而,在現代企業中,這種態度現在是不明智的。 利害關係人的價值創造(即,以最佳資源成本實現效益,同時優化風險)通常是由新業務模型的高度數位化、高效流程、成功創新等因素驅動的。數位化企業必須依賴雲端運算來生存和發展 。
而雲端運算即為數位化企業的基石,因為企業數位化的第一步就需要使用雲端運算(不管公有雲或私有雲)。另外雲端運算也可以以最佳資源成本實現效益,同時降低大部分企業運營上的風險。最重要的是,由於數位化之後,所有的業務流程幾乎都需要大幅修改。也因為流程的變動,企業的創新也由此產生。
現今,資訊與技術(包含雲端運算)在企業風險管理和價值創造中居於的核心地位,過去幾十年來出現了對資訊與技術的企業治理 (EGIT — Enterprise Governance of Information and Technology) 的特別關注。 EGIT是企業治理的一個組成部分。 它由董事會行使,負責監督組織中流程、結構和關係機制的定義和實施,使業務和 IT 人員能夠履行其職責,支援業務與IT協調,並通過利用IT支援的業務所創造的業務價值(如下圖)。
EGIT是複雜且多面向的。沒有一套標準的方法來設計、實行與維護一個EGIT是可以適用於所有的企業。既然沒有一刀切的EGIT可以套用在所有的企業。哪麼,企業的董事會與高階管理層就必須根據自身的文化、條件來客製適用於自身企業的EGIT的相關措施與實行。他們還必須願意為 資訊與技術承擔更多的責任,並推動一種不同的思維方式和文化來實現資訊與技術的價值。
例如有一個案例,一家製造業決定他們不想發展他們的 IT,而是想專注於他們的業務。 因此,他們決定將盡量將 IT 服務轉移到標準的公有雲服務,而不是構建一個大型資料中心並僱用新的 IT 員工來維運它。 此規則已成為該家製造業的 EGIT 的一部分 — 通過雲端獲取所有外部IT服務(這是 EGIT)。 因此,每當業務人員和 IT 人員(即指導委員會)必須決定 IT 投資時,他們必須遵循此 EGIT 規則並選擇基於雲端的解決方案而不是內部部署(這就是業務/IT 對齊)。 如果所有決策都遵循此
- EGIT — 它導致
- IT 與業務保持一致,這意味著公司
- 獲得其價值,他們可以專注於他們的業務而不必發展 自身的IT。
資訊與技術治理的效益
本質上,EGIT 關注的是數位轉型帶來的價值交付以及數位轉型帶來的業務風險的緩解。 更具體地說,成功採用 EGIT 後可以預期會有三個主要成果:
- 效益的實現 —
這包括透過資訊與技術為企業創造價值,維持和增加從現有資訊與技術投資中獲得的價值,以及去除沒有創造足夠價值的 IT 舉措和資產。 資訊與技術價值的基本原則是按時的提供合適用途(fit-for-purpose)的服務和解決方案,繼而產生"預期的財務性和非財務性效益"。資訊與技術提供的價值應該直接與企業關注的價值保持一致。 企業的IT價值的衡量方式還應顯示運用在雲端運算的投資在企業價值創造過程中的影響和貢獻。 - 風險優化 —
這需要解決與企業內資訊與技術的使用、所有權、運營、參與、影響和採用相關的業務風險。 資訊與技術相關業務風險包括可能影響業務的資訊與技術相關事件。 "價值交付著重於價值的創造,而風險管理則著重於價值的保存"。 資訊與技術相關風險的管理應整合在企業風險管理方法中,以確保企業將重點放在 IT 上。 還應以顯示優化資訊與技術相關業務風險對保存價值的影響和貢獻的方式上進行衡量。 - 資源優化 —
這確保具備執行策略性計劃的適當能力,並提供充足、適當和有效的資源。 資源優化可確保提供經過整合的、具經濟性的 IT 基礎設施,根據業務需要引入新技術,並更新或更換過時的系統。 因為它認知到人的重要性,除了軟硬體之外,它還專注於提供訓練、提升留下關鍵 IT 人才的能力。 重要的資源是資料和資訊,利用資料和資訊獲得最佳價值是資源優化的另一個關鍵要素。
策略調整和績效衡量至關重要,並全面應用於企業所有的業務活動,以確保與資訊與技術相關的目標與企業目標保持一致。
在一家國際航空公司的大型案例研究中,EGIT 的效益包括了:
- 降低與 IT 相關的連續性成本
- 提高有著IT支援的創新能力
- 強化"數位投資與業務目標和策略"之間的一致性
- 強化業務與 IT 之間的信任,以及朝向圍繞數位資產的“價值心態”。
研究表明,EGIT 設計或採用方法不當的企業在調整業務和 I&T 策略和流程方面表現較差。 因此,此類企業不太可能實現其預期的策略並實現他們期望從數位轉型中獲得的業務價值。
以雲端運算為例,有需多的企業一開始使用雲端的理由是為"成本節省"。在估算地端機房與雲端的TCO之後決遷移到雲端之中。然而,由於使用心態仍處於地端機房,整個雲端運算的治理設計與採用完全偏離雲端運算的核心理念。最終導致整體TCO比在原始的地端機房還高,最後不得不承認雲端運用失敗從雲端搬遷回地端機房。
從這裡我們知道,治理必須得到理解和實行,遠遠超出治理、風險和合規 (GRC)所建議的經常遇到的(即狹義的)解釋。 GRC縮寫本身暗喻著合規性和相關風險呈現了治理的範圍。
COBIT 作為雲端運算治理框架
COBIT一開始是從IT基礎上開始的,到現在COBIT 已經發展成為一個更廣泛和更全面的資訊與技術治理和管理框架。
COBIT是甚麼?與不是甚麼?
在我們解釋甚麼是COBIT框架,我們需要先解釋COBIT是甚麼與不是甚麼:
COBIT 是一個針對整個企業的企業資訊和技術的治理和管理框架。 企業資訊與技術是指企業為實現其目的而採用的所有相關的資訊與技術,無論這發生在企業的何處。 換句話說,企業的資訊與技術並不局限於一個組織的IT部門,當然也包括企業的整體。
COBIT 框架明確區分了治理(Governance)和管理(Management)。 這兩個主題包含不同的活動,需要不同的組織結構並服務於不同的目的。
治理(Governance)確保:
- 評估利害關係人的需求、狀況和選項,以確定平衡的、商定好的企業目標
- 方向是通過確定優先等級和決策來設定的
- 根據商定好的方向和目標監控"績效和合規性"
在大多數企業中,整體治理是董事會主席領導下的董事會的責任。 特定的治理責任可以在適當的職級委託給特殊的組織結構,特別是在更大、更複雜的企業中。
管理(Management) →” 計劃(plans)、構建(build)、運作(runs)和監控活動(monitors activities)”,與治理單位(也就是董事會)設定的方向保持一致,以實現企業目標。
在大多數企業中,管理是執行管理層的職責,通常是在 CEO 的領導下。
COBIT 定義了構建和維持治理體系的組件:流程、組織結構、
政策和程序、資訊流、文化和行為、技能和基礎設施。並定義了企業在構建最適合的治理系統時應考慮的設計因素。COBIT 透過將相關的治理組件分組到達可以管理所需能力等級的"治理和管理目標"來解決治理問題。
- COBIT 並不是對企業整個 IT 環境的完整描述。也就是不涉及特定的IT術語與技術。
- COBIT 不是建立與管理企業的業務流程的框架。
- COBIT 不是管理所有IT的技術框架。
- COBIT 不制定或規定任何與 IT 相關的決策。 它不會決定什麼是最好的 IT 策略,什麼是最好的架構,或者 IT 可以或應該花費多少。 相反,COBIT 定義了所有組件,這些組件描述了應該做出哪些決策,以及應該如何做出決策以及由誰做出決策。
企業使用雲端運算中的利害關係人
廣義來說企業使用雲端運算,企業中的所有部門與人員都會是利害關係人。 這些利害關係人以及他們可以從雲端運算的治理與管理中獲得的效益會如下表所示。
接下來我們將會使用COBIT框架來”治理與管理”雲端運算。
要從 COBIT 框架中獲益,需要一定程度的經驗和對企業的透徹理解。 這種經驗和理解允許企客製”核心COBIT 指南” (本質上是通用的) — — 為自身的企業量身客製和聚焦的指南,同時考慮到企業的整體背景脈絡。
目標利害關係人包括在治理解決方案的整個生命週期(從設計到執行再到保證)中負責的人員。 實際上,企業可以應用COBIT中發展的邏輯和工作流程來為企業建立經過充分證實過的保險(保證)方案。
