本文节选自《信息化绩效评价:框架、实施与案例分析》,孙强、郝晓玲
4.6在COBIT的IT过程中,最高层包含哪四个域?
在COBIT最高层,过程被自然归组成域。过程的自然组合被作为组织结构的职责域,并与应用于IT处理过程的管理周期或生命周期相一致,每个域都有各自明确的控制目标及其所涵盖的功能范围。包括以下四个域:
1.规划与组织域
描述:
这个域包括战略和战术两个层面,重点关注如何识别满足业务目标的IT系统。同时,战略目标的实现应规划,并从不同的层面沟通和管理。最后,良好的组织架构和技术基础架构是必不可少的。
主题:
l 战略和战术
l 远景规划
l 组织及其基础架构
问题:
l IT战略与业务战略相一致吗?
l 组织的资源是否被最优使用?
l 组织中的每个人理解IT目标吗?
l IT风险是否已被识别并有效管理?
l IT系统的质量满足业务的需求吗?
该域的控制目标如下(PO是plan and organize的缩写):
l PO 1 制定IT战略规划
l PO 2 确定信息体系架构
l PO 3 确定技术方向
l PO 4 定义IT组织与相互关系
l PO 5 管理IT投资
l PO 6 管理目标与方向的协调
l PO 7 人力资源管理
l PO 8 确保符合外部要求
l PO 9 风险评估
l PO 10 项目管理
l PO 11 质量管理
2.建设与实施域
描述:
理解IT战略后,应识别、开发或获取、实施IT解决方案,同时,密切与业务流程的融合。另外,这个域还包括已有系统的变更与维护,以确保系统生命周期的持续改进。
主题:
l IT 解决方案
l 变更与维护
问题:
l 新项目是否能满足业务的需求?
l 新的项目是否可以按时交付且在成本之内?
l 当实施完毕时,新系统是否能正常工作?
l 变更是否会影响正常的业务操作?
该域的控制目标如下(AI是acquire and implement的缩写):
l AI 1 确定解决方案
l AI 2 获取并维护应用软件
l AI 3 获取并维护技术基础设施
l AI 4 程序开发与维护
l AI 5 系统安装与验收
l AI 6 变更管理
3.运行与支持域
描述:
这个域重点关注服务(从传统的运营到培训)的价值交付,为了保证价值交付,必要的IT服务支持流程是不可或缺的。另外,这个域还包括应用系统的实际数据处理流程及系统的安全性。
主题:
l 服务的交付
l 建立服务支持流程
l 应用系统的处理过程
问题:
l 交付的IT服务是否与业务优先顺序相一致?
l IT成本是否被优化??
l 职员是否能够安全有效地使用IT系统?
l 系统是否安全、完整、可用?
该域的控制目标如下(DS是deliver and support的缩写):
l DS 1定义并管理服务水平
l DS 2管理第三方服务
l DS 3绩效管理与容量管理
l DS 4确保持续性服务
l DS 5确保系统安全
l DS 6确认与分配成本
l DS 7教育并培训客户
l DS 8为客户提供帮助和建议
l DS 9配置管理
l DS 10问题管理与紧急事件管理
l DS 11数据管理
l DS 12设施管理
l DS 13运营管理
4.监控与评价域
描述:
为了保证系统的质量并满足控制需求,所有的流程应被定期评估。这个域避免了控制流程的管理疏忽,并包括独立的内外部审计。
主题:
l 周期性评估,确保成果交付
l 控制系统的管理疏忽
l 绩效评估机制
问题:
l IT的绩效如何被度量及如何尽早发现潜在问题?
l 是否需要独立的保证以确保关键区域按既定目标运作?
该域的控制目标如下(ME是monitor and evaluate的缩写):
l ME1 流程监控
l ME2 评价内部控制的适当性
l ME3 获得独立保证
l ME4 提供独立性审计
欢迎您与作者探讨您的观点和看法,联系电话:010-51657848
电子邮件:GOV#ITGov.org.cn(请将#替换为@) 。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved