定義IT戰(zhàn)略規(guī)劃

    在COBIT中，要求通過戰(zhàn)略規(guī)劃，為企業(yè)提供長期并符合企業(yè)發(fā)展目標的IT規(guī)劃，并且定期將這目標轉換成可以操作的短期實施計劃。在IT規(guī)劃和組織中首光提出需要找篩J的流程是:對企業(yè)IT戰(zhàn)略規(guī)劃制定的控制。該控制確保企業(yè)在制定計劃時考慮到這些因素:企業(yè)的業(yè)務戰(zhàn)略，明確定義了IT是如何支撐業(yè)務目標實現(xiàn)的，目前的技術解決方案和架構的情況、技術發(fā)展趨勢，可行性研究與對比、現(xiàn)有系統(tǒng)的評估，企業(yè)在風險控制、市場反應和質量方面所處的地位等等。

    定義信息結構

    “信息孤島”是目前許多企業(yè)所面臨的一個問題。造成“信息孤島”的原因是多方面的，有管理方面的原因，但更重要的是企業(yè)在rr規(guī)劃和組織過程中沒有對企業(yè)的信息架(Architecture)有個明確的定義。在COBIT的“IT戰(zhàn)略規(guī)劃和組織”中，對“定義信息結構”這個流程有個明確的控制目標。控制的對象是建立和維護業(yè)務信息模型，確保企業(yè)獲得合適信息系統(tǒng)的整個流程是否合理。具體控制評估的內容包括:數(shù)據(jù)字典、數(shù)據(jù)語法規(guī)則、數(shù)據(jù)使用權限和安全定義、反映業(yè)務特征的信息模型以及企業(yè)信息架構的標準。

    確定技術方向

    IT在企業(yè)中的作用是服務于業(yè)務自身的需要，那么企業(yè)在決定信息技術方向時必須有一個能夠很好制定和管理技術選擇的流程，而這個流程就是要確保技術能夠很好地實現(xiàn)企業(yè)對產品、服務和交付能力的期望。對于這樣的流程，COBIT提出需要考慮的控制細節(jié)。它包括:現(xiàn)有技術架構的能力，通過可靠的資源對技術發(fā)展進行跟蹤，實行概念論證，明確技術實現(xiàn)的風險和機遇、技術獲取計劃、技術切換策略，明確與技術供應商的關系，獨立的技術再評估和軟硬件價格性能的變更等管理。

    定義IT組織和內部關系

    信息，技術在企業(yè)中的成功應用已經越來越不是技術本身所能決定的事了，而是需要企業(yè)具備完善的IT決策服務組織體系去實現(xiàn)IT在企業(yè)中的價值。COBIT對于“定義IT組織與內部關系”的流程控制提出了11個控制目標和方向，它們是:策事會對IT所擔負的職責，管理層對IT的監(jiān)督和指導，IT與業(yè)務的匹配，在企業(yè)關鍵戰(zhàn)略決策中IT的融人，組織的靈活性，角色與職責的清晰，平衡監(jiān)督和放權的關系，工作描述，安全、質量和內部控制等的組織定位，責權分離等。

    IT投資管理

    企業(yè)每年在IT方面的預算和支出都在增長。對于IT投資決策和資金使用管理的流程控制是確保企業(yè)信息化建設有效開展的關鍵。對于這個決策和管理的控制，COBIT提出了建立滾動的投資和運營預算并要求必須獲得業(yè)務部門的批準。在這個過程中，需要考慮的控制內容包括:籌資方式的選擇、清晰的預算所有權、實際支出的控制、成本的合理性、收益的合理性和收益實現(xiàn)的追溯、技術和應用軟件的生命周期、與企業(yè)業(yè)務戰(zhàn)略的匹配程度、影響力分析和資產的管理。

    溝通IT管理層目標

    企業(yè)中，管理層在IT方面的目標(Aims)和方向需要通過合適的渠道和流程由上至下傳達，同時要確保用戶的意識和對這些目標的正確理解。COBIT對于該控制目標，提出了企業(yè)需要有清晰的IT目標描述，技術應用方向應該與企業(yè)的業(yè)務目標緊密相連，具備行為規(guī)范，質量承諾，安全與內部控制政策，安全與內部控制規(guī)范、持續(xù)的共同計劃以及檢驗法律法規(guī)的遵守性。這些對“溝通IT管理層目標”的控制要素，將確保企業(yè)的IT管理目標和方向為企業(yè)員工理解。在企業(yè)的ERP實施過程中，對于軟件演示是整個系統(tǒng)實施的一個關鍵環(huán)節(jié)。這類演示也是確保溝通的一個有效方式，如果缺乏這一環(huán)一節(jié)，實施系統(tǒng) 的目標就不能為系統(tǒng)用戶所認識。

    管理人力資源

    信息系統(tǒng)的效益是靠人用出來的。企業(yè)IT的應用技能能直接關系到系統(tǒng)是否能夠實現(xiàn)業(yè)務目標和要求。企業(yè)需要有一個合理、公平和透明的人員管理規(guī)范，從招聘、使用、待遇、培訓、評估、晉升到解雇。COBIT對于“管理人力資源”這個控制目標提出了具體的注意點，他包括：招聘和晉升，培訓和資格要求，意識的建立，跨部門培訓和崗位輪換，聘用、使用和解雇的程序，目標和績效評估，對技術和市場變化的反應，內部和外部資源的平衡，關鍵職位的梯隊培養(yǎng)。

    遵守外部環(huán)境

    由于企業(yè)和社會對信息技術的依賴程度越來越強，政府制定了不同的法律和法規(guī)來規(guī)范和約束信息技術的使用，降低由于信息技術對社會生活和商業(yè)活動的順利展開所帶來的不利影響。許多法規(guī)都與企業(yè)信息技術的應用有或多或少的聯(lián)系。企業(yè)必須確保能夠遵守( Compliance)這些法律法規(guī)。COBIT提出需要通過識別和分析外部的這些規(guī)定對企業(yè)本身IT應用的影響，并采取適當?shù)拇胧﹣碜袷厮鼈儭OBIT提出了幾點需要考慮的控制點:法律、法規(guī)及合同，跟蹤法律法規(guī)的發(fā)展變化，定期監(jiān)督執(zhí)行情況，隱私的保護和知識產權。

    評估風險

    企業(yè)的業(yè)務和管理的實現(xiàn)需要IT的幫助，幫助意味著依賴，依賴意味著風險。信息系統(tǒng)在企業(yè)中的應用，需要有一套管理體系去應對系統(tǒng)使用過程中的風險。COBIT針對“風險評估”這個控制目標，提出在這個風險管理體系中，需要有IT風險的識別、影響力分析，涉及到多個部門并且需要采取最經濟和有效的措施規(guī)避風險。同事考慮：風險管理的所有權和責任權，不同類型IT的風險（技術、安全、持續(xù)性、規(guī)范性等），所有定義和發(fā)布的風險容忍限度，根本原因的分析，風險的定性和定量衡量，風險評估方法論，風險行動計劃，及時的再評估。

    管理項目

    COBIT針對這個流程的安排立足于企業(yè)對項目的安排需要以及和業(yè)務的運營計劃相符合，并采用合適的項目管理手段來確保項目按計劃完成。在控制過程中，需要考慮的內容包括：業(yè)務部分對項目的支持，程序管理，項目管理能力，用戶參與，任務分解、對里程碑定義和階段審核，責任分配，對里程碑和階段成果交付的跟蹤成本和預算，內部和外部資源的平衡，項目風險的評估，開發(fā)到運營的轉換。

    管理質量

        對于系統(tǒng)和信息組織為各個業(yè)務部門提供的服務，這里也存在著客戶和服務供應商這樣的關系。COBIT提出這類服務質量管理同樣需要汁劃、實施和維護等質量管理標準的存在。重點考慮下面幾點因素:質量文化的建立，質量量計劃，質量保證責任制，質量控制規(guī)范，系統(tǒng)開發(fā)生命周期方法論，程序和系統(tǒng)測試及文檔，質量保證審核和報告，培訓和最終用戶及質量保證人員的參與，質量保證知識體系的建立，行業(yè)標桿的對比。