雲端運算的績效管理

我們之前在雲端運算的企業治理與雲端運算的治理與管理講到了如何使用COBIT框架來對雲端運算進行治理與管理。既然有治理與管理作業，哪麼想當然爾就需要對治理與管理進行"績效管理(Performance Management)"。

績效管理是治理和管理系統的重要組成部分。 “績效管理”是所有活動和方法的總稱。 它呈現了

1. 治理和管理體系以及企業所有組成部分的運作情況
2. 如何改進它們以達到所需的水準

它包括概念和方法，例如能力等級(Capability Levels)和成熟度等級。我們會使用CPM (COBIT Performance Management)來描述這些活動，該概念是 COBIT 框架的其中一部分。

CPM原則

COBIT是基於以下原則:

1. CPM應該易於理解和使用
2. CPM 應該與 COBIT 概念模型一致並支持它。 它應該能夠管理
   治理體系所有類型組件的績效； 如果企業想要的話，CPM必須能夠管理流程以及其他類型組件(例如，組織結構或資訊)的績效
3. CPM 應提供可靠、可重複和相關的結果
4. CPM 必須是靈活的，這樣它才能支持具有不同優先等級的不同組織的需求
5. CPM 應支持不同類型的評估，從自我評估到正式評估或稽核。

CPM概觀

CPM 模型(如下圖)在很大程度上符合並延伸了 CMMI Development V2.020 概念：

• 流程活動與能力等級相關聯。 這包含在 COBIT 2019 Framework: Governance and Management Objective 。
• 其他治理和管理組件類型（例如，組織結構、資訊）也可能在未來的指南中為它們定義了能力等級。
• 成熟度等級與聚焦區域（即治理和管理目標以及底層組件的集合）相關聯，並且如果所有必需的能力等級都達到，則成熟度等級將能實現。

取自ISACA官網

如果企業希望繼續使用基於 ISO/IEC 15504（現為 ISO/IEC 33000，其中能力等級具有非常不同的含義）的 COBIT 5 流程能力模型，他們在 COBIT 2019 Framework: Governance and Management Objective中要有這樣做所需的所有資訊。 不需要單獨的PAM(Process assessment model) 文件，也不會隨 COBIT 2019 提供。

在 COBIT 2019 中，明確的流程成果(Process outcome)或流程目標(Process goals)被流程實踐(Process practices)本身取代。 這導致 ISO/IEC33000 評估出現以下情況：

1. 流程成果現在以一對一的方式與流程實踐相關聯（即，流程成果是流程實踐的成功完成）。 注意：流程實踐被表述為實踐，成果可以從那裡導出。
   例如：APO01.01 Design the management system for Enterprise I&T會有一個設計完成的APO1.01: A management system for enterprise I&T成果 。
2. 基本實踐等同於每個治理和管理目標的 COBIT 2019 流程實踐。
3. 工作產品等同於每個治理/管理目標中組件 C 下的資訊流和項目。

因此，根據 COBIT 2019 中的定義，成果會對映到基本實踐和工作產品。

管理流程績效

流程能力等級

COBIT 2019 支援基於 CMMI 的流程能力方案。 每個治理和管理目標中的流程可以在各種能力等級上運行，範圍從 0 到 5。能力等級衡量流程的實施和執行情況。 下圖描述了模型、不斷增加的能力等級和每個等級的一般特徵。

取自ISACA官網

COBIT Core Model將能力等級分配給所有流程活動，從而能夠清晰定義流程和實現不同能力等級所需的活動。上圖中流程能力圖 —

• 等級1代表流程沒有被組織得很好
• 等級2代表流程被執行過而已
• 等級3代表流程已有明確定義
• 等級4代表除了有明確定義之外，還能夠量化的衡量
• 等級5除了包含等級3與4的特徵之外，最重要的是能持續優化

以雲端的衍生性作業(DevOps/SRE/DevSecOps)來說，企業必須評估這些作業流程達到哪種程度。重要的是這些產出有沒有與總體IT目標對齊。

流程活動的評分

企業可以在不同程度上實現能力等級，這可以用評分來呈現。 可用評分的範圍取決於進行績效評估的環境：

獨立認證的一些正式方法會使用二元方式(通過或未通過)評分。

非正正式的方法（通常用於能持續有績效改進背景脈絡）在更大範圍的評分下效果更好，例如：

• Fully— — 能力等級達到 85% 以上。（這仍然是一個判斷要求，但可以通過檢查或評估促成因素的組件來證實，例如流程活動、流程目標或組織結構良好實踐 )
• Largely — — 能力等級達到 50% 到 85% 之間。
• Partially— 能力等級達到 15% 到 50% 之間。
• Not— 能力等級達到的水平低於 15%。

聚焦區域的成熟度等級

有時需要更高等級來呈現績效，而沒有適用於單一細緻度的流程能力評分。故， 成熟度等級(Maturity Level)可用於此。 COBIT 2019 為聚焦區域等級定義一個成熟度等級的績效衡量標準，如下圖所示。

成熟度等級與聚焦區域相關（即治理和管理目標的集合以及
底層組件），如果聚焦區域中包含的所有流程都達到了特定的能力等級，則達到了一定的成熟度等級。

與流程能力等級一樣，聚焦區域(也就是企業要聚焦在雲端運算)的成熟度等級為:

• 等級0代表作業也許沒有被完成
• 等級1(初始階段)代表作業完成，但雲端的全部目標和意圖尚未實現
• 等級2(受控階段)代表已有規劃和績效衡量，但尚未採用標準化方式
• 等級3(已定義階段)代表整體企業標準為整個企業提供指導
• 等級4(量化階段)代表企業是由資料驅動能夠量化績效強化
• 等級5能持續優化

管理其他治理體系組件的績效

組織結構的績效管理

儘管沒有普遍認可或正式的方法來評估組織結構，但可以根據以下標準對它們進行非正式的評估。 對於每個標準，可以定義多個子標準，並與各種能力等級連結。 標準是：

• 成功執行組織結構(或角色)對其負有責任或義務的流程實踐（分別在RACI[責任(responsible)-義務(accountable)-諮詢(consulted)-知情(informed)] 圖表中為 A 或 R）
• 在組織結構方面成功應用了一些良好做法，例如：
  1.)運作原則
  -組織架構是正式設立的
  -組織結構有明確的、有文件記錄的和易於理解的授權
  -運作原則已記錄在案
  -定期會議按照運作原則中的規定舉行
  -會議報告/會議記錄可用且有意義
  2.)組成
  -組織架構是正式設立的
  3.)控制範圍
  -組織結構有明確的、有文件記錄的和易於理解的授權
  -運作原則已記錄在案
  -定期會議按照運作原則中的規定舉行
  -會議報告/會議記錄可用且有意義
  4.)權限等級和決策權
  - 定義並記錄組織結構的決策權
  - 組織結構的決策權得到尊重和遵守（也是文化/行為議題）
  5.)授權
  - 以有意義的方式實施權力下放
  6.)升級程序
  - 定義並應用升級程序
• 一些組織結構管理實踐的成功應用（從組織結構的角度產生的非功能性實踐）：
  — 確定組織結構的績效目標
  — 計劃和監控組織結構的績效
  — 調整組織結構的績效以符合計劃
  — 識別、提供、分配和使用組織結構所需的資源和資訊
  — 管理組織結構和其他利害關係人之間的窗口，以確保有效的溝通和明確的責任分配
  — 定期評估會導致組織結構所需的持續改進 — — 在其組成、職責或任何其他參數方面

至於流程，低度能力等級需要滿足以上這些部分的標準，而較高的能力等級需要滿足所有標準。 但是，正如我們之前所說的，沒有一套適用於所有企業評估組織結構的一刀切方案。 但是，這並不妨礙企業為組織架構定義自己的能力方案。

關於組織結構

組織結構也是我們之前所說的COBIT框架中的其中一個組件。而組織結構治理組件建議流程實踐的責任與義務等級。 這些組織結構圖表包括來自業務和 IT 的個人角色和組織結構。以下是COBIT 2019包含的角色/組織:

• 董事會(Board)
  對企業資源的"治理和整體控制負責"的最高級管理人員和(或)非執行人
• 執行委員會(Executive Committee)
  由董事會任命的一群高接管理人員(就是C-Level的人)，以確保董事會參與並及時了解重大決策(執行委員會負責管理 I&T 支持的投資組合、I&T 服務和 I&T 資產；確保交付價值；以及管理風險。委員會通常由一名董事會成員擔任主席。)
• 執行長(Chief Executive Officer)
  負責企業全面管理的最高階主管
• 財務長(Chief Financial Officer)
  負責財務管理的各個方面，包括財務風險和控制以及可靠和準確的帳目
• 營運長(Chief Operating Officer)
  負責企業運營的最高階主管
• 風險長(Chief Risk Officer)
  負責整個企業風險管理的所有方面(可以另設 I&T 風險長職能來監督 I&T 相關風險。)
• 資訊長(Chief Information Officer) — 不是Career Is Over喔..
  負責將 IT 和業務策略對齊，並負責 I&T 服務和解決方案的規劃、資源配置和管理交付
• 技術長(Chief Technology Officer)
  負責 I&T 的技術層面，包括管理和監督與 I&T 服務、解決方案和基礎設施相關的決策（這個角色也通常也由 CIO 兼任）
• 數位長(Chief Digital Officer)
  將企業或業務部門的數位化願景付諸實踐(該角色可能由 CIO 或執行委員會的其他成員擔任。)
• I&T治理委員會(Governance Board)
  負責指導 I&T 相關事務和決策的利害關係人和專家小組，包括管理 I&T 投資、交付價值和監控風險
• 架構委員會(Architecture Board)
  負責指導企業架構相關事務和決策以及製定架構策略和標準的利害關係人和專家小組。至於甚麼是企業架構，有興趣的讀者可以參考本部落的TOGAF系列文章。
• 企業風險委員會(Enterprise Risk Committee)
  負責支援企業風險管理 (ERM) 活動和決策所需的企業等級協作和共識的高階管理小組(可以成立 I&T 風險委員會以更詳細地考量關於 I&T 風險並向企業風險委員會提出建議。)
• 資安長(Chief Information Security Officer)
  負責整個企業安全管理各個方面的最高階主管
• 業務流程負責人(Business process owner)
  負責執行流程和(或)實現流程目標、推動流程改進和批准流程變更
• 投資組合經理(Portfolio Manager)
  個人負責指導組合管理，確保選擇正確的方案和專案，管理和監控方案和專案以獲得最佳價值，並具效能與效率地實現長期戰略目標
• 指導(計劃/專案)委員會
  負責指導計劃和專案的利害關係人和專家小組，包括管理和監控計劃、分配資源、交付效益和價值以及管理計劃和專案風險
• 計畫經理(Program Manager)
  負責指導特定計劃的人員，包括闡明和跟進計劃的目的和目標以及管理風險和對業務的影響
• 專案經理(Project Manager)
  負責指導特定專案的人員，包括協調和委派整個專案團隊的時間、預算、資源和任務
• 專案管理辦公室(Project Management Office)
  負責支援計劃和專案經理以及收集、評估和報告有關計劃和子專案執行資訊的職能
• 資料管理職能(Data Management Function)
  負責在整個資料生命週期中支援企業資料資產並管理資料策略、基礎設施和存儲庫的職能
• 人資長
  負責企業人力資源規劃和政策的最高階主管
• 關係經理(Relationship Manager)
  監督和管理業務與 I&T 職能之間的內部窗口與溝通
• 首席架構師(Head Architect)
  負責企業架構流程的高階人員
• 首席開發師(Head Development)
  負責 I&T 相關解決方案開發流程的高階人員
• IT維運主管(Head IT Operations)
  負責 I&T 相關記錄並支援 I&T 相關行政事務的高階人員
• 服務經理(Service Manager)
  為特定客戶或客戶群管理新產品和現有產品和服務的開發、實行、評估和持續維護
• 資安經理(Information Security Manager)
  管理、設計、監督和(或)評估企業資訊安全
• 營運持續經理(Business Continuity manager)
  管理、設計、監督和(或)評估企業業務連續性能力，以確保企業的關鍵功能在中斷事件發生後繼續運行
• 隱私官(Privacy Officer)
  負責監控隱私法規的風險和業務影響以及指導和協調確保遵守隱私指令的政策和活動的實施(在某些企業中，該職位可能被稱為資料保護官。)
• 法律顧問(Legal Counsel)
  負責指導法律和監管事務的職能
• 合規(Compliance)
  負責所有外部合規指導的職能
• 稽核(Audit)
  負責提供內部稽核的職能

上述的組織架構與職能中詳細描述了每一個角色和組織結構中。這些組織結構所包含的不同等級的參與可以分為責任(Responsible)和義務(Accountable)等級。

• 責任(R)角色在進行實踐和創造預期結果方面承擔主要的運營責任。 誰在完成任務？ 誰推動任務？
• 義務(A)角色承擔整體問責。 作為一項原則，問責制(Accointability)是不能推的。也就是，誰負責任務的成功和完成？

每個領域都描述了在該領域中具有責任與(或)義務的組織結構。 其中包括對每個角色和組織結構的詳細描述。 其他沒有責任或義務的組織結構已被省略，以提高圖表的可讀性。

從業者可以通過為角色和組織結構加入兩個等級的參與來完成圖表。 由於諮詢(Consulted)和知情(Informed)角色的歸屬取決於組織環境和優先等級，因此它們未包含在本文中。

• 諮詢(C)角色為實踐提供輸入。 誰在提供意見？
• 知情(I)角色被告知實踐的成就和(或)可交付成果。 誰在接收訊息？

企業應根據企業的背景、優先等級和通用術語來檢視RACI的等級並更新角色和圖表中的組織結構。

資訊項(Information Items)的績效管理

資訊與技術治理系統的資訊項組件( information item component)大概等同於流程作業產品(process work product)。雖然沒有普遍或正式的方法來評估資訊項，但可以根據資訊參考模式對它們進行非正式的評估。該模型定義了三個資訊質量標準和 15 個子標準，如下圖所示。

取自ISACA COBIT 2019文件

標準1 — 固有的

資料價值與實際價值或真實價值的符合程度，如準確性、客觀性、可信度、聲譽。

標準2 — 情境的

資訊在多大程度上適用於資訊使用者的作業，並以易於理解和清晰的方式呈現，資訊質量是取決於運用在哪一個環境。如，相關性、完整性、通用性、適當資訊量、呈現簡潔、呈現具一致性、可解釋性、可理解性、易於操作。

標準3— 安全/隱私/可存取的

資訊可用或可獲得的程度。如，可用度、限制性存取。

文化與行為的績效管理

對於文化和行為治理組件，應該可以為 IT 的良好治理和管理定義一組應有(和/或 不應該有)的行為，並為每個行為分配不同等級的能力。

COBIT 2019 Framework: Governance and Management Objectives為大多數目標定義了文化和行為組成部分的各個面向。 從這個文件中，可以評估滿足這些條件或行為的程度。