IT 在企業內的價值呈現 — 公司治理與 IT 治理(IT Governance)
IT 一直都是企業內部重要的推手之一,沒有了 IT 在後面支援,許多系統就無法好好支持企業的業務,但 IT 的價值有時候較難以被看見,這次就簡單提一下所謂的 IT 治理的好處吧!
緣由
這一次會想寫一點 IT 治理的東西也是因為同事剛好分享了一篇文章,是iThome 採訪時任國票金資訊部經理羅天一的文章: IT不只是工具 更是策略武器。
文章內提到「IT 的價值有時候並非立即就能顯現,而是必須緊密結合企業短中長期的發展計畫與策略目標,才能逐步兌現」,這也是治理的要點之一,能夠對齊企業目標是讓 IT 呈現價值重要的一個環節,結合之前所學的東西與一點點經驗,來很簡單的分享一下 IT 治理。
資安人員若能瞭解 IT 治理與管理的概念,我相信能夠增加合作的默契,協助 IT 解決風險問題,讓業務發展和風險之間取得平衡,而非 FYI 轉信造成彼此當作敵人看待,最後達到三方合作(還有稽核)才是好的目標。
公司(企業)治理
IT 如果要呈現價值,那勢必要先從了解公司治理的目的,一間公司可以營運有一大部分來自於核心業務活動,公司的核心業務活動是利益相關方、高階管理層與董事會所在意的目標之一。
公司治理的意思:
公司(企業)治理方法也包括公司內部利益相關人士的協調及公司的眾多目標之間的關係。主要利益相關人士包括股東、管理人員和董事。其它利益相關人士包括僱員、供給商、顧客、銀行和其它貸款人、政府政策管理者、環境和整個社區。所以公司治理是一個多面向的主題,很難一概而盡。
公司治理有很多專業領域人士討論,簡單來說內需要在乎內外部利益相關者的需求,確認企業的業務目標,並將目標排序後進行決策,監督整個公司的營運,高階管理層還需要確保目標能夠完成並控制風險,簡單來說這些事為董事會與高階管理層的責任,且希望可以達到一些目標,例如 :
- 明確得知公司未來的戰略規劃
- 管理各個領域風險
- 良好的使用資源
或者我們可以用平衡計分卡(BSC)的方式來看待公司治理:
- 財務:財務目標為何?
- 客戶:客戶需求?
- 內部:以此次主題來說,考慮 IT 治理如何幫助公司治理,達到業務目標?
- 學習:公司和組織要如何進步
GEIT(Governance of Enterprise IT)概念
資訊科技的核心功能是要為企業組織管理風險與創造價值,GEIT 利用人力、財務、實體、知識財產、資訊等關鍵資產來建立 IT 治理框架。GEIT 框架在很大程度上依賴於企業的組織結構和文化。企業獲得一個框架並根據他們的需求對其進行客製化。
GEIT 的目標是利用技術來支持和最佳化企業需求。如果企業需要優化資源、建立有效的溝通和管理企業目標的風險,可以考慮採用 GEIT 框架。
GEIT 幫助高階管理人員解決常見的痛點,例如適用的法律、法規和合規性。此外,GEIT 幫助企業滿足內部和外部利益相關者的需求。IT 治理賦予組織權力,並幫助建立和監控 IT 活動的責任,確保 IT 支持的投資支持企業目標。此外,GEIT 可以發現多年來存在的潛在問題。這些問題可能導致無法識別的風險,例如收入損失和很少為企業創造價值的服務。
具體的 IT 治理?
那企業治理與 IT 之間的關係為何?這就要牽涉到 IT 治理, IT 治理由維基百科說明為:
資訊科技監管主要目的是確保資訊科技相關的投資具企業價值,以及減少資訊科技相關的風險。 這可以透過定下明確的企業管理架構角式和責任來達到目的。資訊科技決定權是資訊科技監管重要的範疇,因此明確規定企業的決定權是資訊科技成功的重要一環。
言簡意賅地說就是幫助公司實現業務目標,可以從底下幾個目標來看看:
- 戰略一致性:實現企業目標、讓 IT 與公司業務目標站在同一陣線,讓 IT戰略幫助企業戰略。
- 價值實現(Benefits Realisation):創造價值,提升現有價值,減少沒有價值的資產
- 風險最佳化(Risk Optimisation):管理 IT與業務風險
- 資源最佳化(Resource Optimisation):確保有足夠的資源完成戰略
- 績效管理(Corporate Performance Management):目標執行的狀況
文章內時任資訊部經理羅天一說 :
IT人不能畫地自限,要想辦法跟上層溝通,並且提高能見度
羅天一說:「如果一個企業的靈魂人物,就是執行長(CEO),那麼,IT人員就不能只是單純地固守在IT領域,還要想辦法跟上層溝通,並且提高能見度」,才能讓高層與其他部門,甚至是外部客戶,真正知道IT的價值。當然,最理想的情況是企業高層本身就對IT有一定的認知與了解。
這就是有關戰略一致性的重要,實現企業目標、讓 IT 與公司業務目標站在同一陣線,讓 IT 戰略幫助企業戰略。
效益實現
效益實現是呈現價值的一個重要目標,有很多主題可以深聊,例如績效管理、組織變更管理、投資管理、計劃管理、組合管理與效益評估, IT 治理人員幫助企業將其使命和目標轉化為 IT 目標,並在企業和 IT 之間建立更緊密的一致性,這邊就簡單提幾個要素,效益實現的目的能夠確保 :
- IT 服務和資產中的最佳價值
- 有效率的情況下完成業務需求
- 減少沒有商業價值的資產
- 透過計劃管理實現所期望的業務價值,考量成本效益與價值的風險
「資訊人員必須更懂得IT與Business之間的關係,而國際票券金融公司的高層,一直以來也有這樣的認知,甚至還會想辦法讓IT人員更加貼近Business端的想法與需求,」羅天一說。
企業風險管理(ERM)
不管在哪個領域,多少都要提到風險管理,比較特別的是在 IT 風險管理中,我們需要更注意「機會」與成本效益,例如在評估出低風險的流程中,或許實際上都會接受該風險,或者置之不理,但我們從 IT 角度出發,應該注意其中低風險流程所帶來的機會,評估後是否有機會降低我們的控制成本,將資源放置到更需要的地方。
下面兩張圖是從業務面考量風險的方向,從高到底做說明,主要有:
- 戰略(Strategic): IT 實現其目標(例如,財務、商業、文化、環境等)的風險。
- 計劃(Program):涉及收購或採購、業務連續性、安全、組織和資金的風險。
- 專案(Project):專案風險可能與人員、成本、技術方面、資源、進度、安全和品質有關。
- 營運(Operational:):營運風險包括所有專案風險與其他風險,包括基礎設施故障、業務連續性和客戶關係。
Summary
IT 是企業不可或缺的單位,有良好的溝通必定能為企業帶來不一樣的面貌與效益,但若 IT 沒辦法與業務單位了解需求,就較難呈現自己價值所在,當然高階管理層必定要重視資訊部門才行。
以國際票券金融公司來說,高層一直對IT相當看重,也深知IT與企業營運策略結合所帶來的整體效益,「尤其在金融界,IT不只是工具而已,更是企業的策略武器」,羅天一說,金融業的每一個產品或服務,背後都需要仰賴IT才能完成,唯有IT應用的成熟度高,對企業、客戶的服務能力才會提高。
資安管理師若對於資訊治理與管理實務有一些了解,體諒資訊部門的心情與痛處,就較為能夠保持良好的合作關係,而非互相把對方當敵人看,若對於 IT 治理與管理有興趣,可以從幾張證照或 IT 框架開始學習:
- ISACA CGEIT 國際企業資訊治理師、COBIT
- ITIL (首推)
- ISO 20000 (剛開始不推薦,如同 ISO 27001一樣 ,ISO 系列都沒有教你正確該具有的觀念與方法,上完課了之後還是沒有基礎概念,建議有其他張底子後再考慮)
關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang
我的 ISACA 認證考試心得與準備方法 :
- Certified Information Systems Auditor ( CISA )
- Certified Information Systems Manager ( CISM )
- Certified in Risk and Information Systems Control (CRISC)
- Certified in the Governance of Enterprise IT (CGEIT)
2022 (心得連結在最後證照簡稱上)
ISACA 證照學習組合包與教材總整理:
Facebook 粉絲專頁
我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。
- 關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang
- 其他聯絡方式 : https://kuronetwork.me/contact/
- 所有文章: https://kuronetwork.me/posts/
- LinkedIn: https://www.linkedin.com/in/kurohuang/
- 我做的資安貼圖 :
若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。
