2. TỔNG QUAN NHỮNG PHƯƠNG PHÁP QUẢN TRỊ, ĐÁNHGIÁ CNTT HIỆN NAY VÀ ƯU
2.4Phương pháp quản trị và đánhgiá COBIT
2.4.1 Lịch sử hình thành phương pháp COBIT
Ban đầu được phát hành vào năm 1996 bởi các hệ thống thông tin kiểm toán và Kiểm soát Quỹ (ISACF). Nhà xuất bản chính hiện nay là Viện Quản CNTT -
CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY
hình thành bởi các hệ thống thông tin kiểm toán và kiểm soát của Hiệp hội (ISACA) vào năm 1998.
COBIT được hình thành thông qua nghiên cứu các nguồn như các tiêu chuẩn kỹ thuật từ ISO, mã số của tiến hành do Hội đồng Châu Âu và ISACA, tiêu chuẩn chuyên nghiệp để kiểm soát nội bộ và kiểm toán do COSO, AICPA, GAO, v.v. Các nguồn tin trên đều được sử dụng để xây dựng COBIT tới "được cả hai thực dụng và đáp ứng nhu cầu kinh doanh trong khi được độc lập với nền tảng kỹ thuật CNTT được thông qua trong một tổ chức.".
2.4.2 Tư tưởng của phương pháp COBIT
Để cung cấp một khuôn khổ để những khoảng trống cầu nối giữa các rủi ro kinh doanh, nhu cầu kiểm soát và các vấn đề kỹ thuật để tăng tối đa lợi ích, tạo những cơ hội và đạt được lợi thế cạnh tranh. Chiến lược kinh doanh thành công khi có hệ thống CNTT được xây dựng thành công và COBIT kiểm soát các vấn đề kĩ thuật để đảm bảo sự thành công đó.
Xác định rõ chức năng của CNTT là cung cấp thông tin cho DN để thực hiện các chiến lược kinh doanh của mình. Luôn xác định rõ mục đích và nhiệm vụ của CNTT giúp CNTT áp dụng đạt hiệu quả tối ưu, tránh lãng phí không cần thiết.
Xây dựng các quy trình cũng như vai trò và trách nhiệm trong việc tạo ra thông tin trên (IT proces). Bằng những hướng dẫn và những kinh nghiệm COBIT giúp xây dựng các quy trình trong việc phát triển hệ thống thông tin.
Phân nhóm các quy trình thành các phạm vi cụ thể (Domain) và đưa ra các mục tiêu kiểm soát (control objective). Bằng cách phân nhóm và đưa ra mục tiêu cụ thể này COBIT giúp người triển khai luôn hiểu rõ công đoạn mình phải làm và không đi chệch hướng hay lan man sang các phạm vi khác.
CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY
Xem xét các vấn để về độ tin cậy, chất lượng và mức độ an toàn an ninh cho các thành phần HTTT. COBIT chú trọng việc kiểm soát vì vậy luôn phải đảm bảo chất lượng và mức độ an ninh của dự án.
2.4.3 Cấu trúc, thành phần của phương pháp COBIT
Hình 2.9 Khối lập phương COBIT.
Yêu cầu doanh nghiệp (Business Requirements):
Là những yêu cầu về tính chất của thông tin và dùng để đánh giá. Mọi quy trình CNTT và tài nguyên CNTT đều phải dựa trên những tính chất này. 7 tính chất gồm: Tính hợp lý, tính hiệu quả, tính bảo mật, tính toàn vẹn, tính sẵn sàng, tính tuân thủ, tính tin cậy. Tương ứng như sau:
• Tính hợp lý (effectiveness): thể hiện mức độ phù hợp của thông tin đối với hoạt động nghiệp vụ, xét cả vấn đề thời gian, độ chính xác và thống nhất.
CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY
• Tính hiệu quả (efficency): thể hiện mức độ sử dụng tài nguyên CNTT một cách tối ưu.
• Tính bảo mật (confidentiality): thể hiện mức độ bí mật và tin cậy của thông tin, không bị tiết lộ.
• Tính toàn vẹn (integrity): thể hiện mức độ chính xác và hoàn thiện của thông tin cũng như tính hợp lệ (pháp lý) của nó với nghiệp vụ đặt ra.
• Tính sẵn sàng (availability): thể hiện mức độ sẵn sàng của thông tin khi có yêu cầu từ các hoạt động nghiệp vụ.
• Tính tuân thủ (compliance): thể hiện mức độ tuân thủ theo đúng luật lệ, quy định và các thỏa thuật ràng buộc.
• Tính tin cậy (reliability): thể hiện mức độ chính xác của thông tin.
Tài nguyên công nghệ (IT Resources):
Là những tài nguyên CNTT gồm: applications, information, infrastructure, people. Đây là 4 tài nguyên chính đối với hệ thống thông tin của doanh nghiệp, tổ chức và chúng được mổ tả cụ thể như sau:
• Những chương trình ứng dụng (application) : những chương trình ở đây hiểu là tập hợp các hướng dẫn sử dụng và thiết lập thủ tục quy trình.
• Thông tin (information): là tập hợp những dữ liệu vào ra về tình hình hoạt động của doanh nghiệp, tổ chức. Và cả những tiện ích hỗ trợ khai thác và tìm kiếm thông tin…
• Cơ sở hạ tầng (infrastructure): tập hợp những công cụ và vật chất CNTT như phần cứng, hệ thống chức năng, hệ thống quản lý cơ sở dữ liệu, mạng và đa ứng dụng khác …
• Tài nguyên con người (people): tập hợp những kỹ năng, khả năng nhận thức và năng suất công việc của công nhân viên để lên kế hoạch, tổ chức, đào tạo, phân bổ vị trí, hỗ trợ và giám sát các hệ thống thông tin, dịch vụ của doanh nghiệp, tổ chức.
CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY (adsbygoogle = window.adsbygoogle || []).push({});
Quy trình công nghệ (IT Processes):
Quy trình CNTT của COBIT được chia ra làm 3 phần là domains, processes, activities. Domains là những thành phần chính về hoạt động của COBIT sau đó được chia nhỏ thành những processes là những quy trình, những quy trình lại được chia nhỏ hơn thành những activities là những hoạt động cụ thể cần phải làm. Vừa định hướng được mục tiêu lại vừa định hướng được công việc phải làm đó chính là ưu điểm và mang ý nghĩa quan trọng của phương pháp COBIT.
Hiện nay COBIT gồm 4 Phần chính (domains), 34 quy trình (processes) và 214 đối tượng điều khiển (control objectives). 4 domains chính là:
• Lập hoạch định và tổ chức cơ cấu: Phần chứa những quy trình mang tính
quản trị và đánh giá về hoạch định chiến lược, tổ chức cơ cấu nội bộ để tiến hành xây dựng HTTT.
• Tiến trình và ra quyết định: Phần quản trị về các quy trình, quyết định về
yếu tố cơ sở hạ tầng, thiết bị và tiếp nhận công nghệ…
• Hỗ trợ và triển khai: Phần quản trị cách thức hỗ trợ hoạt động xây dựng
HTTT.
• Kiểm soát và đánh giá: Phần cuối chủ trọng kiểm soát đánh giá về mức độ
hiệu quả của HTTT và mức độ an ninh thông tin.
Khi xác định công việc cần thực hiện của tổ chức hay doanh nghiệp mình thì việc triển khai hệ thống thông tin sẽ dựa vào domain phù hợp, bên cạch đó phải kết hợp qua lại một số quy trình hỗ trợ của các domain khác nhằm xác định đối tượng cụ thể và thực hiện đối tượng đó. COBIT đi từ tổng quát đến cụ thể có sự hướng dẫn rõ ràng bên cạch đó lại có sự kiểm soát và đánh giá chặt chẽ dựa trên những kinh nghiệm lâu năm. Những thành phần này của COBIT còn phát triển theo triều hướng tối ưu nhất và cũng rất mềm dẻo tùy vào từng doanh nghiệp hay tổ chức ứng dụng COBIT.
CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY
Ví dụ về xây dựng một quy trinh như sau:
• Quy trình CNTT cần xây dựng là AI6 quản lý thay đổi.
• Thỏa mãn yêu cầu nghiệp vụ: quan trọng là phải phán đoán những thay đổi có thể xảy ra và giảm thiểu khả năng xảy ra sự thay đổi lớn, giảm lỗi hoặc sự sửa đổi trái phép. Chủ động thực hiện sự thay đổi một cách hợp lý tránh gây sự cố bất ngờ cần có tình huống dự phòng khi sự thay đổi xảy ra.
• Được thực hiện bởi: Hệ thống quản lý thay đổi cho phép phân tích, thực hiện thực hiện và theo dõi toàn bộ sự thay đổi đối với tài nguyên CNTT, thay đổi tài nguyên nhân lực… chúng tương tác thế nào, ảnh hưởng lẫn nhau ra sao đều cần quản lý và chuẩn bị cho sự thay đổi đó.
• Các vấn đề cần quan tâm: nhận dạng sự thay đổi, phân loại sự thay đổi, ưu tiên và xây dựng các thủ tục quản lý thay đổi. Đánh giá mức độ ảnh hướng của thay đổi đến tổ chức và doanh nghiệp và giảm thiểu nó ngay. Phân công trách nhiệm thực hiện thay đổi tạo sự chủ động và quản lý chặt chẽ sự thay đổi. Quản lý cấu hình, cấu hình mắc sai phạm có thể xảy ra sự thay đổi lớn. Sự thay đổi ảnh hướng lớn thì nên có sự thiết kế lại quy trình hợp lý hơn hoặc tạo dự án phòng bị cho sự thay đổi…
Ở trên đã hướng dẫn những bước tổng quan nhất mà ta cần chú trọng khi xây dựng quy trình CNTT tuy nhiên quá trình xây dựng không hề đơn giản. COBIT là phương pháp hướng dẫn rất cụ thể với 34 quy trình thì có đến 214 đối tượng cần phân tích và điều khiển. Bên cạch đó COBIT luôn yêu cầu chặt chẽ về kiểm soát và đánh giá nên từng bước xây dựng đều yêu cầu sự kiểm tra đánh giá theo tiêu chuẩn của COBIT. Có những quy trình còn yếu kém phương pháp COBIT còn dễ dàng ánh xạ đến các phương pháp khác nhằm đạt được lợi ích cao nhất.
2.4.5 Ưu nhược điểm của phương pháp COBIT
Ưu điểm của COBIT là phạm vi hoạt động trong mọi lĩnh vực ngành nghề rộng hơn và bao quát hơn các phương pháp khác. COBIT có chỉ ra các hoạt động và
CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY
hướng dẫn chi tiết cụ thể cho quá trình xây dựng hoạt động mong muốn. Khả năng đánh giá, kiểm soát rất tốt. Có nhiều bài học kinh nghiệm, quản lý được rủi ro và sự thay đổi. Khả năng mềm dèo thích ứng với từng doanh nghiệp, tổ chức cao. Tránh lãng phí vì vậy giảm thiểu chi phí. Luông được phát triển thay đổi phù hợp xu thế mới.
Nhược điểm đòi hỏi kiến thức vững, sự hiểu biết, kinh nghiệm nhiều. Chi phí xây dựng cũng không nhỏ. Không cụ thể về việc xây dựng quy trình bằng phương pháp ITIL. Chuẩn mực đánh giá đối tượng CNTT không cụ thể và uy tín như CMM . Về lĩnhvực an toàn an ninh thông tin thì không bằng ISO. COBIT tuy bao trùm và có đầy đủ công cụ để thực hiện triển khai xây dựng HTTT tuy nhiên khi xét về một đối tượng cụ thể thì còn nhiều yếu kém hơn các phương pháp khác. Để khắc phục COBIT ánh xạ thực hiện kết hợp các chức năng cần thiết của phương pháp khác.
COBIT có sự quản lý rủi ro rõ ràng mỗi khi kiểm soát, đánh giá thì phải có công đoạn quản lý rủi ro. Không chỉ quản lý rủi ro từ quy trình xây dựng hoạt động cụ thể còn quản lý đến các nhân tố gây ảnh hưởng đặc biệt là nhân tố con người, COBIT luôn chú trọng để hệ thống thông tin thực sự đi vào hoạt động, đạt hiệu quả tốt nhất.