本文出自转载等请务必保留此出处
偶遇一位制造型企业的信息中心主任,闲聊间得知该企业为了上一套ERP系统经历了三年的选型期,看遍了国内外所有知名软件的演示,最终选定了一家国外的系统。这种被认为是企业和系统“联姻”的过程是目前许多国内企业在信息化建设中都在经历的事。企业意识到,系统的合适与否直接关系到信息化建设的成败,更关系到企业所有者的利益是否得到很好的保护。COBIT把信息技术的“获得和实施”作为IT过程控制的一个控制域,并在这个域内定义了需要控制的六个主要IT过程。
识别系统解决方案
识别系统解决方案的过程也就是我们通常的系统选型的过程,系统解决方案的识别是企业信息化建设中的一个重要环节。企业信息化建设已经从初期的注重技术的先进性,逐步发展到以企业的实际业务需求作为驱动,系统对业务的支持和满足已经是很多企业考虑的首要问题,这是实现企业信息化建设投资高效和低风险的关键。那么在企业“识别和选择信息系统解决方案”这个过程中,需要考虑哪些因素才能确保系统满足企业的需求呢?
COBIT在这一过程控制中提出:企业需要在明确业务需求的情况下,客观而清晰地对多种方案进行识别和分析。在这个过程中,需要考虑的因素有:市场对该系统方案的认可度,获得和实施该方案的方法论是否合理,系统用户参与实施还是直接购买系统,系统方案与企业IT战略的匹配性,企业的信息需求定义,可行性研究(成本、收益、可选方案等),系统的功能性、可操作性、适应性和持续发展性,系统是否符合企业的信息结构,系统是否具备经济有效的安全控制,系统是否明确了系统供应商的责任。
获得和维护应用软件
如果说,识别解决方案或者说系统选型的过程是让企业知道什么方案是适合自己的,那么获得和维护系统软件的过程才是实现系统给企业带来收益的开始。COBIT对于这个过程的控制是确保这个过程能够提供支持业务流程的有效应用功能。具体来说就是软件系统必须能够和业务流程很好的融合。
在企业变得更为理性的时候,知名度高的应用软件系统并非成为企业的首选,关键是企业的业务需求是否能够获得所选系统的支持,企业的业务流程(经过优化)能否和系统融合,系统在实施过程中的每个阶段是否都有明确的成果。COBIT针对这个过程的控制提出了需要考虑的方面包括:功能测试和验收、应用控制和安全需求、文档化管理需求、应用软件生命周期、企业信息结构、系统开发生命周期方法论(SDLCMethodology)、人机界面、系统的二次开发。
针对上面几点在过程控制方面的考虑,我们仍然回到熟悉的ERP系统来谈。通常,测试和验收是反映系统是否满足业务要求的基本环节,无论是系统实施伙伴还是客户,对这块都非常重视。但是在应用控制和安全方面相对来说关注得少一些。实现业务需求,一层含义是原先手工的活现在系统能自动完成,另一层含义是系统在应用实现过程中同样要反映出现实中的管理和控制特征。简单的说就是,哪些员工可以看哪些信息,决定或决策权限必须明确,并很好的在系统中反映。
获得和维护技术设施
在上述控制过程中,我们谈论的是对软件系统的获得和维护。而组成系统的除了软件还有硬件。COBIT在对这个过程进行控制的过程中,强调“获得和维护技术设施”过程必须为满足业务需求的业务应用软件系统提供合适的运行平台。
COBIT在对“获得和维护技术设施”过程的控制中,重点要考虑的因素有:硬件设施的标准和未来的应用方向是否符合实际需要;对硬件的评估;安装、维护和变更的控制;升级、切换和移植的计划管理;内部和外部技术设施和资源的使用;确认与硬件供应商的关系以及它们的相应责任;变更管理;硬件设施总拥有成本;系统软件的安全性。COBIT所提出九个方面的考虑覆盖了硬件设施从采购、安装调试到日常维护的整个过程。目前,国内的企业在硬件的采购和安装调试方面往往控制得比较好,但是在系统应用过程中,维护和系统变更等方面没有规范可控的程序去应对。
开发和维护技术系统的使用流程
企业对信息系统的依赖性使得业务运行的稳定对系统的敏感性越来越强。系统一方面在给企业的业务运作和管理带来收益的同时,它的复杂性在另一方面也给企业信息系统的管理带来了很大的压力。此时,企业应该把信息技术管理部门作为一个企业的经营和管理中不可缺少的业务部门来看待。从业务部门管理的角度来看,需要有相应的流程来实现业务需求;从信息技术部门管理的角度来看,业务就是为系统用户或使用部门提供满足他们业务需求的信息服务,确保信息应用和技术解决手段能够得到很好的利用。
COBIT认为,对于实现信息技术部门业务的流程制定和维护的过程控制,将直接影响到信息技术部门是否能够最终满足业务部门对信息技术部门在信息服务方面的要求。在COBIT中,这种控制体现在企业是否有结构化的手段来制定和开发用户手册、运作流程、服务要求和培训材料等。另外还必须考虑其他方面的因素:业务流程设计,程序的需求与技术交付的同等重要性,开发编制程序的及时性,用户程序和控制,运作管理程序和控制,培训材料,变更管理。
安装和验收系统
系统要满足业务的需求不仅仅是选择一套在功能上符合业务要求的解决方案,更重要的是实施这个解决方案并使它能够不断满足业务持续发展的需要。对系统安装和验收的过程控制是为了确保这个过程的有效性。在ERP系统的实施过程中,通常我们会经历测试、上线、并行运行和切换等环节。这些环节过程的有效性直接决定系统是否能够最终成功投入使用。
COBIT对这个过程的控制,要求企业具备规范和标准的系统安装、移植、切换和验收计划。同时还要考虑:用户和信息技术运营管理人员的培训,数据转换,测试环境是否反映实际环境的特征,实施完成后的评估和反馈,最终用户在测试时是否参与,持续的质量改进计划,业务连续性需求,系统能力和数据吞吐量的衡量,以及达成共识的验收标准。
管理系统的变更
信息系统是为业务部门服务的。但是企业的业务是在不断变化和发展的,相应的信息系统也必须与业务的发展同步。业务对信息系统需求的变化在信息化程度高、业务依赖性较强的企业非常普遍。
COBIT提出了企业需要有一套针对现有信息系统进行变更的管理体系,它包括对所有提出的系统变更进行分析、实施和跟进的管理。对于这套体系的控制将确保由于变更而可能给企业带来的风险降低到最低限度。在对这个流程的控制中,需要考虑的因素有:变更的识别,分类、优先确定和紧急处理程序,影响度评估,变更的授权,变更后的发布管理,软件的发布,工具的使用,配置管理,业务流程的重组。
COBIT在“获得和实施”这个控制域提出了企业从获取信息技术到实施完成中对六个方面的过程控制。在这里需要说明的是,“实施”在这里的概念不仅仅是系统的安装和调试,而是最终符合业务需求才能认为是“实施”的完成。从企业需求动态变化的角度来看,“获得和实施”这个过程是一个循环的过程,因此对于这个过程中COBIT所提出的六个目标控制过程的监督也是循环进行的。
|