ISACA COBIT Focus 最近刊出一篇 COBIT-5-Advantages-for-Small-Enterprises (COBIT 5 對中小企業使用上的優點),值得推薦給大家,尤其,台灣百分之八十都是屬於中小型企業,更需要瞭解 COBIT 5不是專為大型企業或機構所設計,它是適合全體所有大、中、小型組織去實行。
對組織來說,要導入COBIT 5是一件困難的任務,尤其是對於資源以及規模相對較小的企業。憑心而論,COBIT 5的架構龐大,許多組織可能認為導入這龐大的架構是不必要的,且對於中小型企業的IT部門也不會有顯著的效益。多數企業也認為導入COBIT 5是耗時且費工。然而,對於這個功能強大的工具來說,前述的評論對於COBIT 5來說是不公平的。
COBIT 5 是非強制性的,因為並沒有任何的認證方案是依據COBIT為框架設計,也沒有針對不同規模的企業制定處罰措施。這個框架的優勢在於它是基於幾十年的最佳實作規範以及企業IT治理與管理(GEIT)的處理原則,使COBIT 5能夠被任何不同規模的組織運用,並確保企業IT部門能維持整體組織利益。
COBIT 5針對有效的企業IT治理與管理(GEIT)提出了五大原則,第一個原則對於剛接觸COBIT的組織應該會特別有興趣,這個準則建立了企業中的IT部門應該滿足利害關係人的需求。大多數企業的IT部門都僅僅是服務單位,並不是企業中主要獲利來源,IT部門應該要被引導為將自身的目標與企業目標相符,將層級較高的企業目標轉換為可管理的、具體的IT目標。
組織可以透過COBIT 5的目標級聯來設置及了解目標設定,其中描述了企業如何透過目標級聯達成組織以及利害關係人的目標。對於規模較小的組織,透過此方法能維持實現利益、最佳化風險與資源最佳化,並可透過IT創造商業價值,滿足利害關係人的需求以及COBIT的其他核心原則,能作為管理各種規模的企業的方針。
企業選擇Top-down(由上而下)的方式導入COBIT 5,首先,應從分析IT部門目前在組織中的定位,而不是框架中所建議的定位開始。因為大部分董事會及相關監管機構都認為IT部門不是主要獲利單位而常被忽略,由於利害關係人的需求必須建立在充分瞭解IT功能之上,組織必須先理解IT可以提供的服務,進而提供IT治理與管理。透過導入COBIT 5,企業能夠塑造IT在企業中的地位,並支援企業透過IT部門創造商業價值。
前述的處理流程能夠被套用到COBIT 5的五個原則,允許中小型企業、或者那些資源有限的組織,能夠有機會利用到COBIT 5的核心功能並充分利用其優勢。當企業瞭解COBIT 5的原則之後,即可更加瞭解COBIT的所帶來的好處。亦能透過最佳實務典範增進現有流程的效率。
導入COBIT作為IT部門相關活動的指引,首先,企業必須瞭解自己的企業目標以及如何透過IT達成其目標。COBIT 5 提供了一套結構化的模式確保導入過程平順且不受阻礙。對於正在導入中的COBIT 5,理應要持續不斷地改善其生命週期。這使得企業能夠充分利用COBIT的優勢,從而發展出成熟、靈活且有效的IT服務。
原文作者:
Luke Milner
Is the senior technical writer at IT Governance, which provides books, tools, training and consultancy for IT governance, risk management and compliance. He has written extensively on topics such as information security, governance of enterprise IT and the implementation of management system standards, and was one of the authors behind the successful IT Governance Control Framework Implementation Toolkit, which is based on COBIT 5.