COBIT 2019 Framework Introduction and Methodology Res Eng 1118

Machine Translated by Google
KHUNG
Giới thiệu và
Phương pháp luận
Bản sao cá nhân của: Tiến sĩ David Lanter

KHUNG COBIT® 2019: GIỚI THIỆU & PHƯƠNG PHÁP
Giới thiệu về ISACA
Gần tròn 50 tuổi, ISACA® (isaca.org) là hiệp hội toàn cầu giúp các cá nhân và doanh nghiệp phát huy được tiềm
năng tích cực của công nghệ. Công nghệ tạo nên sức mạnh cho thế giới ngày nay và ISACA trang bị cho các chuyên
gia kiến thức, bằng cấp, trình độ học vấn và cộng đồng để thăng tiến nghề nghiệp và chuyển đổi tổ chức của họ. ISACA
tận dụng chuyên môn của nửa triệu chuyên gia tham gia về thông tin và an ninh mạng, quản trị, đảm bảo, rủi ro và
đổi mới, cũng như công ty con về hiệu suất doanh nghiệp, Viện CMMI®, để giúp thúc đẩy đổi mới thông qua công nghệ.
ISACA có mặt tại hơn 188 quốc gia, bao gồm hơn 217 chi nhánh và văn phòng ở cả Hoa Kỳ và Trung Quốc.
Tuyên bố miễn trừ trách nhiệm
ISACA đã thiết kế và tạo ra Khung COBIT® 2019: Giới thiệu và Phương pháp luận (“Công việc”) chủ yếu như một nguồn
tài nguyên giáo dục dành cho quản trị doanh nghiệp về thông tin và công nghệ (EGIT), các chuyên gia đảm bảo, rủi
ro và bảo mật. ISACA không tuyên bố rằng việc sử dụng bất kỳ Tác phẩm nào sẽ đảm bảo kết quả thành công. Công việc
không được coi là bao gồm tất cả các thông tin, quy trình và thử nghiệm thích hợp hoặc loại trừ các thông tin,
quy trình và thử nghiệm khác được hướng dẫn hợp lý để đạt được kết quả tương tự. Khi xác định tính phù hợp
của bất kỳ thông tin, thủ tục hoặc thử nghiệm cụ thể nào, quản trị doanh nghiệp về thông tin và công nghệ
(EGIT), các chuyên gia đảm bảo, rủi ro và bảo mật nên áp dụng phán đoán chuyên môn của riêng mình đối với các
trường hợp cụ thể do hệ thống hoặc môi trường công nghệ thông tin cụ thể đưa ra.
Copyright ©
2018 ISACA. Đã đăng ký Bản quyền. Để biết hướng dẫn sử dụng, hãy xem www.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400

Schaumburg, IL 60173, USA Điện
thoại: +1.847.660.5505
Fax: +1.847.253.1755
Liên hệ với chúng tôi: https://

support.isaca.org Trang web: www.isaca.org
Tham gia Diễn đàn trực tuyến ISACA: https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews
LinkedIn: http://linkd.in/ISACAOfficial
Facebook: www.facebook.com/ISACAHQ Instagram:
www.instagram.com/isacanews/
Khung COBIT® 2019: Giới thiệu và Phương pháp luận

ISBN 978-1-60420-763-7

TRONG KỶ NIỆM: JOHN LAINHART (1946-2018)
Tưởng nhớ: John Lainhart (1946-2018)
Dành riêng cho John Lainhart, Chủ tịch Hội đồng ISACA 1984-1985. John là người có công trong việc tạo ra
khuôn khổ COBIT® và gần đây nhất là chủ tịch nhóm làm việc cho COBIT® 2019, đỉnh cao là việc tạo ra công
việc này. Trong bốn thập kỷ làm việc cho ISACA, John đã tham gia vào nhiều khía cạnh của hiệp hội cũng như nắm
giữ các chứng chỉ CISA, CRISC, CISM và CGEIT của ISACA. John để lại một di sản cá nhân và nghề nghiệp
đáng chú ý, đồng thời những nỗ lực của anh ấy đã tác động đáng kể đến ISACA.
3
Trang cố ý để trống

SỰ NHÌN NHẬN
Sự nhìn nhận
ISACA mong muốn ghi nhận:
Nhóm làm việc COBIT (2017-2018)

John Lainhart, Chủ tịch, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, Hoa Kỳ
Matt Conboy, Cigna, Hoa Kỳ
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (nghỉ hưu), Canada
Nhóm Phát triển Steven De

Haes, Tiến sĩ, Trường Quản lý Antwerp, Đại học Antwerp, Bỉ Matthias Goorden, PwC, Bỉ
Stefanie Grijp, PwC, Bỉ Bart
Peeters, PwC, Bỉ Geert Poels,
Ph.D., Đại học Ghent, Bỉ
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In
Balance, Bỉ
Chuyên gia đánh giá

Sarah Ahmad Abedin, CISA, CRISC, CGEIT, Grant Thornton LLP, Hoa Kỳ
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Bỉ Elisabeth
Antonssen, Ngân hàng Nordea, Thụy Điển
Krzystof Baczkiewicz, CHAMP, CITAM , CSAM, Transspectit, Ba Lan
Christopher M. Ballister, CRISC, CISM, CGEIT, Grant Thornton, Hoa Kỳ
Gary Bannister, CGEIT, CGMA, FCMA, Austria
Graciela Braga, CGEIT, Kiểm toán viên và Cố vấn,
Argentina Ricardo Bria, CISA, CRISC, CGEIT, COTO CICSA,
Argentina Sushil Chatterji, CGEIT, Edutech Enterprises,
Singapore Peter T. Davis, CISA, CISM, CGEIT, Người đánh giá COBIT 5, CISSP, CMA, CPA, PMI-RMP, PMP,
Peter Davis+Cộng sự, Canada
James Doss, CISM, CGEIT, EMCCA, PMP, SSGB, TOGAF 9, ITvalueQuickStart.com, USA Yalcin
Gerek, CISA, CRISC, CGEIT, ITIL Expert, Prince2, ISO 20000LI, ISO27001LA, TAC AS., Thổ Nhĩ Kỳ James L.
Golden, Golden Consulting Associates, Hoa Kỳ J.
Winston Hayden, CISA, CISM, CRISC, CGEIT, Nam Phi Jimmy Heschl,
CISA, CISM, CGEIT, Red Bull, Áo Jorge Hidalgo, CISA,
CISM, CGEIT, Chile John Jasinski, CISA,
CRISC, CISM, CGEIT, Người đánh giá COBIT 5, CSM, CSPO, IT4IT-F, Chuyên gia ITIL, Lean IT-F,
MOF, SSBB, TOGAF-F, Hoa Kỳ
Joanna Karczewska, CISA, Ba Lan
Glenn Keaveny, CEH, CISSP, Grant Thornton, Hoa Kỳ
Eddy Khoo SK, CGEIT, Kuala Lumpur, Malaysia Joao
Souza Neto, CRISC, CGEIT, Đại học Católica de Brasília, Brazil Tracey
O'Brien, CISA, CISM, CGEIT, IBM Corp (nghỉ hưu), Hoa Kỳ Zachy
Olorunojowon, CISA, CGEIT, PMP, Bộ Y tế BC, Victoria, BC Canada Opeyemi Onifade, CISA,
CISM, CGEIT, BRMP, CISSP, ISO 27001LA, M.IoD, Afenoid Enterprise Limited, Nigeria Andre Pitkowski, CRISC, CGEIT,
CRMA-IIA, OCTAVE, SM, APIT Consultoria de Informatica Ltd., Brazil Dirk Reimers, Entco Deutschland GmbH,
A Micro Focus Company Steve Reznik, CISA, CRISC, ADP, LLC., Hoa
Kỳ Bruno Horta Soares, CISA, CRISC, CGEIT,
PMP, GOVaaS - Cố vấn Quản trị, dưới dạng dịch vụ, Bồ Đào Nha Tiến sĩ Katalin Szenes, Tiến sĩ, CISA,
CISM, CGEIT, CISSP, Khoa Tin học John von Neumann,
Đại học Obuda, Hungary
5
Lời cảm ơn (tiếp theo)
Chuyên gia đánh giá

Peter Tessin, CISA, CRISC, CISM, CGEIT, Discover, Hoa
Kỳ Mark Thomas, CRISC, CGEIT, Escoute,
Hoa Kỳ John Thorp, CMC, ISP, ITCP, The Thorp Network,
Canada Greet Volders, CGEIT, COBIT Người đánh giá, Voquals
NV , Bỉ Markus Walter, CISA, CISM, CISSP, ITIL, PMP, TOGAF, PwC Singapore/Thụy
Sĩ David M. Williams, CISA, CAMS, Westpac, New Zealand
Greg Witte, CISM, G2 Inc., Hoa Kỳ
Hội đồng quản trị ISACA Rob

Clyde, CISM, Clyde Consulting LLC, Hoa Kỳ, Chủ tịch
Brennan Baybeck, CISA, CRISC, CISM, CISSP, Oracle Corporation, Hoa Kỳ, Phó Chủ tịch
Tracey Dedrick, Cựu Giám đốc Rủi ro của Hudson City Bancorp, Hoa Kỳ
Leonard Ong , CISA, CRISC, CISM, CGEIT, COBIT 5 Người triển khai và đánh giá, CFE, CIPM, CIPT, CISSP,
CITBCM, CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc. , Singapore
RV Raghu, CISA, CRISC, Tư vấn đa năng Ấn Độ Pvt. Ltd., Ấn Độ Gabriela
Reynaga, CISA, CRISC, COBIT 5 Foundation, GRCP, Holistics GRC, Mexico Gregory Touhill, CISM,
CISSP, Cyxtera Federal Group, USA Ted Wolff, CISA, Vanguard,
Inc., USA Tichaona Zororo, CISA, CRISC ,
CISM, CGEIT, Người đánh giá COBIT 5, CIA, CRMA, EGIT | Quản trị doanh nghiệp
CNTT, Nam Phi
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, Hoa Kỳ,
Chủ tịch Hội đồng ISACA, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Hy Lạp, Chủ tịch Hội đồng ISACA, 2015-2017 Matt Loeb,
CGEIT, CAE, FASAE, Giám đốc điều hành, ISACA, Hoa Kỳ Robert E Stroud
(1965-2018), CRISC, CGEIT, XebiaLabs, Inc., Hoa Kỳ, Chủ tịch Hội đồng ISACA, 2014-2015
ISACA vô cùng đau buồn trước sự ra đi của Robert E Stroud vào tháng 9 năm 2018.

MỤC LỤC
MỤC LỤC
Danh sách các hình ................................................................................. ................................................................. ................................................................. 9
Chương 1. Giới thiệu ................................................................................. ................................................................. ......................11 1.1
Quản trị doanh nghiệp về công nghệ thông tin .................... ................................................................. ...................11 1.2 Lợi ích của Quản trị Công nghệ và
Thông tin .................... ................................................................. ......11 1.3 COBIT như một Khung quản trị
I&T...................................... ................................................................. ............12
1.3.1 COBIT là gì và không phải là gì? ................................................................. ................................................................. 0,13
1.4 Cấu trúc của ấn phẩm này................................................................. ................................................................. ............14
Chương 2. Đối tượng mục tiêu.................................................................. ................................................................. ............15
2.1 Các bên liên quan về quản trị .................................................... ................................................................. ............15
Chương 3. Nguyên tắc COBIT.................................................................. ................................................................. ............17
3.1 Giới thiệu................................................................................................. ................................................................. ...................................17
3.2 Sáu nguyên tắc đối với hệ thống quản lý.................................................................. ................................................................. ......17 3.3 Ba
nguyên tắc cho khung quản trị........... ................................................................. ............18 3.4 COBIT®
2019........... ................................................................. ................................................................. .....18
Chương 4. Các khái niệm cơ bản: Hệ thống và các thành phần quản trị .............19
4.1 Tổng quan về COBIT ................................................................. ................................................................. .................................19
4.2 Quản trị và Mục tiêu Quản lý...... ................................................................. ....................................20 4.3 Thành phần của Hệ thống quản
trị................................................................................. ................................................................. ......21 4.4 Lĩnh vực trọng
tâm .................................... ................................................................. ................................................................. ....22 4.5 Các yếu
tố thiết kế .................................... ................................................................. ...................................23 4.6 Chuỗi mục
tiêu................................................................................. ................................................................. ...................................28
4.6.1 Mục tiêu của doanh nghiệp ................................................................. ................................................................. ......................29
4.6.2 Mục tiêu liên kết .......... ................................................................. ................................................................. ............30
Chương 5. Mục tiêu quản lý và quản trị COBIT..................33 5.1 Mục
đích............ ................................................................. ................................................................. .................................33
Chương 6. Quản lý hiệu suất trong COBIT.................................................. ............37
6.1 Định nghĩa................................................................................. ................................................................. ...................................................37
6.2 Nguyên tắc quản lý hiệu suất COBIT ................................................. ................................................................. 37 6.3 Tổng quan về quản lý hiệu suất
COBIT.................................................. ................................................................. ..37 6.4 Quản lý hiệu suất của các quy
trình.................................................. ................................................................. ....38 6.4.1 Mức năng lực xử
lý....................... ................................................................. ......................................38 6.4.2 Hoạt động trong quá trình xếp
hạng .... ................................................................. ................................................................. ............39 6.4.3 Mức độ trưởng thành
của lĩnh vực trọng tâm .................... ................................................................. ......................39 6.5 Quản lý hiệu quả hoạt động của các thành phần
hệ thống quản trị khác ....... ................................................................. ......40 6.5.1 Quản lý hiệu quả hoạt động của cơ cấu tổ
chức....................... ...................................40 6.5.2 Quản lý hiệu suất của các mục thông tin.. ................................................................. ....41
6.5.3 Quản lý hiệu quả văn hóa và hành vi....... ................................................................. ............43
Chương 7. Thiết kế hệ thống quản trị phù hợp .................................................... ..45 7.1 Tác động của các yếu tố thiết
kế.................................................. ................................................................. ......................45 7.2 Các giai đoạn và bước trong quá trình thiết
kế............ ................................................................. ...................................................47
Chương 8. Triển khai Quản trị doanh nghiệp bằng CNTT.......................................49 8.1 Mục đích của Hướng dẫn Thực hiện
COBIT.................................................. ................................................................. ............49 8.2 Phương pháp thực hiện
COBIT....................................... ................................................................. ............49


8.2.1 Giai đoạn 1—Các yếu tố thúc đẩy là gì? ................................................................. ................................................................. ......50
8.2.2 Giai đoạn 2—Chúng ta đang ở đâu ?................................. ................................................................. ............50
8.2.3 Giai đoạn 3—Chúng ta muốn ở đâu? ................................................................. ................................................................. 51
8.2.4 Giai đoạn 4—Cần phải làm gì?................................................. ................................................................. ............51
8.2.5 Giai đoạn 5—Chúng ta đến đó bằng cách nào? ................................................................. ................................................................. ....51
8.2.6 Giai đoạn 6—Chúng ta đã đến đích chưa? ................................................................. ................................................................. ...........51
8.2.7 Giai đoạn 7—Làm thế nào để chúng ta duy trì đà phát triển ?............ ................................................................. .....51 8.3 Mối quan hệ giữa Hướng
dẫn thiết kế COBIT® 2019 và Hướng dẫn triển khai COBIT® 2019 ..........52
Chương 9. Bắt đầu với COBIT: Giải quyết vụ việc.................................53
9.1 Tình huống kinh doanh ................................................................. ................................................................. ...................................53
9.2 Tóm tắt điều hành ................................................................. ................................................................. ......................53 9.3 Bối
cảnh............ ................................................................. ................................................................. ......................54 9.4 Những
thách thức trong kinh doanh............. ................................................................. ................................................................. ....55 9.4.1
Phân tích khoảng cách và mục tiêu .................... 55 ................................................................. ...................................55 9.4. 2 Các lựa
chọn thay thế được xem xét.................................................. ................................................................. ......................56 9.5 Giải
pháp đề xuất ........... ................................................................. ................................................................. ...........56 9.5.1 Giai đoạn
1. Lập kế hoạch trước ............................. ................................................................. ...................................56 9.5.2 Giai đoạn 2.
Triển khai chương trình ................................................................................. ................................................................. .......57
9.5.3 Phạm vi chương trình....................... ................................................................. ...................................57 9.5.4 Chương trình
Phương pháp và sự sắp xếp................................................................................. ................................................................. ..57
9.5.5 Sản phẩm của chương trình .................................... ................................................................. ...................58 9.5.6 Rủi ro chương
trình .................... 58 ................................................................. ................................................................. ......................58
9.5.7 Các bên liên quan .................... ................................................................. ................................................................. ............59
9.5.8 Phân tích chi phí-lợi ích................................. ................................................................. ...................................59 9.5.9
Thách thức và yếu tố thành công.. ................................................................. ................................................................. ......60
Chương 10. COBIT và các tiêu chuẩn khác ................................................................. ......................63 10.1 Nguyên tắc hướng
dẫn ............. ................................................................. ................................................................. ......................63 10.2 Danh
sách các tiêu chuẩn tham khảo........... ................................................................. ...................................63
số 8

DANH MỤC HÌNH
DANH MỤC HÌNH
Chương 1. Giới thiệu Hình 1.1—Bối cảnh

quản trị doanh nghiệp về thông tin và công nghệ.................................. .................11
Chương 2. Đối tượng dự kiến Hình 2.1—Các bên liên quan của
COBIT....................................... ................................................................. ...................................15
Chương 3. Nguyên tắc COBIT Hình 3.1—Các nguyên tắc của hệ
thống quản trị................................................. ................................................................. ......................17
Hình 3.2—Các nguyên tắc khung quản trị........... ................................................................. .................................18
Chương 4. Các khái niệm cơ bản: Hệ thống và các thành phần quản trị
Hình 4.1—Tổng quan về COBIT .................................................... ................................................................. ...................................19
Hình 4.2—Mô hình cốt lõi COBIT ........ ................................................................. ................................................................. ..............
Hình 4.3—Các thành phần COBIT của hệ thống quản trị .................... ................................................................. ....22 Hình 4.4—Các yếu
tố thiết kế COBIT .................... ................................................................. ....................................23 Hình 4.5— Yếu tố
thiết kế chiến lược doanh nghiệp.................................................. ................................................................. ............23
Hình 4.6—Yếu tố thiết kế mục tiêu doanh nghiệp........... ................................................................. ....................24 Hình 4.7—Các yếu
tố thiết kế hồ sơ rủi ro (Danh mục rủi ro CNTT) ............ ................................................................. ....................24 Hình 4.8—Hệ số
thiết kế các vấn đề liên quan đến I&T............ ................................................................. ....................................25 Hình 4.9—
Yếu tố thiết kế cảnh quan đe dọa .. ................................................................. ................................................................. ......25
Hình 4.10—Hệ số thiết kế các yêu cầu tuân thủ .................... ................................................................. .......26 Hình 4.11—Vai trò của
yếu tố thiết kế CNTT .................... ................................................................. ....................26 Hình 4.12—Mô hình tìm nguồn cung
ứng cho Yếu tố thiết kế CNTT...... ................................................................. ...................................26 Hình 4.13—Thiết kế phương
pháp triển khai CNTT Nhân tố................................................. ...................................27 Hình 4.14—Thiết kế chiến lược áp dụng công nghệ
Nhân tố................................................. .................................27 Hình 4.15—Yếu tố thiết kế quy mô doanh
nghiệp.... ................................................................. ................................................................. ......27 Hình 4.16—
Tầng mục tiêu COBIT ................................................. ................................................................. ....................28 Hình
4.17—Tầng mục tiêu: Mục tiêu và số liệu của doanh nghiệp..... ................................................................. ....................29 Hình 4.18—Tầng
mục tiêu: Các mục tiêu và số liệu thống nhất ....... ................................................................. ......................30
Chương 5. Mục tiêu quản lý và quản trị COBIT Hình 5.1—Mô hình cốt lõi COBIT: Mục tiêu và mục đích
quản lý và quản lý............ ............33
Chương 6. Quản lý hiệu suất trong COBIT Hình 6.1—Các cấp độ năng
lực ................................................. ................................................................. ....................................38
Hình 6.2—Mức năng lực cho các quy trình ................................................................. ...............................................................
Hình 6.3—Mức độ trưởng thành trong các lĩnh vực trọng tâm........... ................................................................. ......................40
Hình 6.4—Mô hình tham chiếu thông tin: Tiêu chí chất lượng cho thông tin............ .................................................42
Chương 7. Thiết kế một hệ thống quản trị phù hợp Hình 7.1—Tác động của các yếu tố thiết
kế đối với hệ thống quản trị và quản trị............ ......................45 Hình 7.2—Quy trình thiết kế hệ thống quản
trị .................... ................................................................. .................................47
Chương 8. Triển khai quản trị doanh nghiệp CNTT
Hình 8.1—Lộ trình thực hiện COBIT.................................................. ................................................................. ............50
Hình 8.2—Các điểm kết nối giữa Hướng dẫn thiết kế COBIT và Hướng dẫn triển khai COBIT .................... .....52
Chương 9. Bắt đầu với COBIT: Xây dựng tình huống Hình 9.1—Những thách thức và hành động dự kiến
đối với Tập đoàn Acme ...................... ......................................60
9
10

CHƯƠNG 1
GIỚI THIỆU
Chương 1
Giới thiệu
1.1 Quản trị doanh nghiệp về công nghệ thông tin
Trong bối cảnh chuyển đổi kỹ thuật số, thông tin và công nghệ (I&T) đã trở nên quan trọng trong việc hỗ trợ, phát triển
bền vững và tăng trưởng của doanh nghiệp. Trước đây, hội đồng quản trị (hội đồng quản trị) và quản lý cấp cao có thể ủy quyền, bỏ
qua hoặc tránh các quyết định liên quan đến I&T. Trong hầu hết các lĩnh vực và ngành nghề, thái độ như vậy hiện nay là không
nên. Việc tạo ra giá trị cho các bên liên quan (tức là hiện thực hóa lợi ích với chi phí nguồn lực tối ưu trong khi tối ưu hóa rủi
ro) thường được thúc đẩy bởi mức độ số hóa cao trong các mô hình kinh doanh mới, quy trình hiệu quả, đổi mới thành công, v.v.
Các doanh nghiệp số hóa ngày càng phụ thuộc vào I&T để tồn tại và phát triển.
Với vai trò trung tâm của I&T trong quản lý rủi ro doanh nghiệp và tạo ra giá trị, trọng tâm cụ thể về quản trị thông tin và
công nghệ doanh nghiệp (EGIT) đã xuất hiện trong ba thập kỷ qua. EGIT là một phần không thể thiếu trong quản trị doanh nghiệp. Nó
được thực hiện bởi hội đồng giám sát việc xác định và triển khai các quy trình, cấu trúc và cơ chế quan hệ trong tổ chức cho
phép cả doanh nghiệp và nhân viên CNTT thực hiện trách nhiệm của mình trong việc hỗ trợ sự liên kết kinh doanh/CNTT và tạo ra
giá trị kinh doanh từ I&T hỗ trợ. đầu tư kinh doanh (hình 1.1).
Hình 1.1—Bối cảnh quản trị doanh nghiệp về công nghệ thông tin
Doanh nghiệp Kinh doanh/CNTT Giá trị

Quản trị CNTT Căn chỉnh Sự sáng tạo
Nguồn: De Haes, Steven; W. Van Grembergen; Quản trị doanh nghiệp về công nghệ thông tin: Đạt được sự nhất quán và giá trị, có
COBIT 5, tái bản lần thứ 2 , Nhà xuất bản quốc tế Springer, Thụy Sĩ, 2015, https://www.springer.com/us/book/9783319145464
Quản trị doanh nghiệp về thông tin và công nghệ rất phức tạp và nhiều mặt. Không có viên đạn bạc nào (hoặc cách lý tưởng) để thiết
kế, triển khai và duy trì EGIT hiệu quả trong một tổ chức. Do đó, các thành viên hội đồng quản trị và ban quản lý cấp cao thường
cần điều chỉnh các biện pháp và việc thực hiện EGIT cho phù hợp với bối cảnh và nhu cầu cụ thể của riêng họ. Họ cũng phải sẵn sàng
chấp nhận nhiều trách nhiệm hơn đối với I&T và thúc đẩy tư duy và văn hóa khác để mang lại giá trị từ I&T.
1.2 Lợi ích của Quản trị Công nghệ Thông tin
Về cơ bản, EGIT quan tâm đến việc mang lại giá trị từ chuyển đổi kỹ thuật số và giảm thiểu rủi ro kinh doanh do chuyển đổi kỹ
thuật số gây ra. Cụ thể hơn, có thể mong đợi ba kết quả chính sau khi áp dụng thành công EGIT: Hiện thực hóa lợi ích—Điều này
bao gồm việc tạo ra
giá trị cho doanh nghiệp thông qua I&T, duy trì và tăng giá trị thu được từ các khoản đầu tư I&T11 hiện có, đồng thời loại bỏ
các sáng kiến và tài sản CNTT không tạo ra đủ giá trị. Nguyên tắc cơ bản của giá trị I&T là cung cấp các dịch vụ và giải
pháp phù hợp với mục đích, đúng thời hạn.
1
1
Trong suốt văn bản này, CNTT được sử dụng để chỉ bộ phận tổ chức chịu trách nhiệm chính về công nghệ. I&T được sử dụng trong văn bản này đề cập
đến tất cả thông tin doanh nghiệp tạo ra, xử lý và sử dụng để đạt được mục tiêu của mình cũng như công nghệ hỗ trợ điều đó trong toàn doanh nghiệp.
11

và trong phạm vi ngân sách, tạo ra các lợi ích tài chính và phi tài chính dự kiến. Giá trị mà I&T mang lại phải phù hợp
trực tiếp với các giá trị mà doanh nghiệp tập trung vào. Giá trị CNTT cũng cần được đo lường theo cách thể hiện tác động và
đóng góp của các khoản đầu tư hỗ trợ CNTT trong quá trình tạo ra giá trị của doanh nghiệp.
Tối ưu hóa rủi ro—Điều này đòi hỏi phải giải quyết rủi ro kinh doanh liên quan đến việc sử dụng, quyền sở hữu, vận hành,
sự tham gia, ảnh hưởng và áp dụng I&T trong doanh nghiệp. Rủi ro kinh doanh liên quan đến I&T bao gồm các sự kiện liên quan đến
I&T có khả năng ảnh hưởng đến hoạt động kinh doanh. Trong khi việc cung cấp giá trị tập trung vào việc tạo ra giá trị
thì quản lý rủi ro lại tập trung vào việc bảo toàn giá trị. Việc quản lý rủi ro liên quan đến CNTT&T cần được tích hợp trong
phương pháp quản lý rủi ro doanh nghiệp để đảm bảo doanh nghiệp tập trung vào CNTT. Nó cũng cần được đo lường theo cách thể
hiện tác động và đóng góp của việc tối ưu hóa rủi ro kinh doanh liên quan đến I&T trong việc bảo toàn giá trị. Tối
ưu hóa nguồn lực—Điều này đảm bảo có sẵn các khả năng thích hợp để thực hiện kế hoạch chiến lược
và được cung cấp đầy đủ, phù hợp và hiệu quả các nguồn lực. Tối ưu hóa tài nguyên đảm bảo cung cấp cơ sở hạ tầng CNTT tích
hợp, tiết kiệm, công nghệ mới được giới thiệu theo yêu cầu của doanh nghiệp và các hệ thống lỗi thời được cập nhật hoặc thay
thế. Bởi vì nhận thức được tầm quan trọng của con người nên ngoài phần cứng và phần mềm, nó tập trung vào việc đào tạo,
thúc đẩy việc giữ chân và đảm bảo năng lực của nhân sự CNTT chủ chốt. Một nguồn tài nguyên quan trọng là dữ liệu và thông tin,
việc khai thác dữ liệu và thông tin để đạt được giá trị tối ưu là một yếu tố then chốt khác của việc tối ưu hóa tài nguyên.
Sự liên kết chiến lược và đo lường hiệu suất là hết sức quan trọng và được áp dụng tổng thể cho tất cả các hoạt động để đảm bảo
rằng các mục tiêu liên quan đến I&T phù hợp với mục tiêu của doanh nghiệp.
Trong một nghiên cứu điển hình lớn về một công ty hàng không quốc tế, lợi ích của EGIT đã được chứng minh bao gồm: giảm chi
phí liên tục liên quan đến CNTT, tăng năng lực đổi mới hỗ trợ CNTT, tăng sự liên kết giữa đầu tư kỹ thuật số với mục tiêu và
chiến lược kinh doanh, tăng cường niềm tin giữa doanh nghiệp và CNTT, và chuyển sang “tư duy giá trị” xung quanh tài sản kỹ thuật
số. 22
Nghiên cứu đã chỉ ra rằng các doanh nghiệp có cách tiếp cận được thiết kế hoặc áp dụng kém đối với EGIT hoạt động kém hơn trong
việc điều chỉnh các chiến lược và quy trình kinh doanh và I&T. Kết quả là, những doanh nghiệp như vậy ít có khả năng
đạt được chiến lược kinh doanh dự định và nhận ra giá trị kinh doanh mà họ mong đợi từ chuyển đổi kỹ thuật số. 33
Từ đó, rõ ràng là quản trị phải được hiểu và thực hiện vượt xa cách giải thích thường gặp (nghĩa là hẹp) được đề xuất bởi từ
viết tắt quản trị, rủi ro và tuân thủ (GRC). Bản thân từ viết tắt GRC đã ngầm gợi ý rằng việc tuân thủ và rủi ro liên quan đại
diện cho phạm vi quản trị.
1.3 COBIT là Khung quản trị I&T
Trong những năm qua, các khuôn khổ thực hành tốt nhất đã được phát triển và thúc đẩy để hỗ trợ quá trình tìm hiểu,
thiết kế và triển khai EGIT. COBIT® 2019 được xây dựng và tích hợp hơn 25 năm phát triển trong lĩnh vực này, không chỉ kết
hợp những hiểu biết mới từ khoa học mà còn vận dụng những hiểu biết này thành thực tiễn.
Từ nền tảng của mình trong cộng đồng kiểm toán CNTT, COBIT® đã phát triển thành một khuôn khổ quản lý và quản trị I&T rộng hơn và
toàn diện hơn, đồng thời tiếp tục khẳng định mình là một khuôn khổ được chấp nhận chung cho I&T
quản trị.
2
2
De Haes, S.; W. van Grembergen; Quản trị doanh nghiệp về CNTT: Đạt được sự nhất quán và giá trị, có COBIT 5, Nhà xuất bản quốc tế Springer, Thụy Sĩ,
tái bản lần thứ 2. 2015, https://www.springer.com/us/book/9783319145464
3
3 De Haes, Steven; A. Joshi; W. van Grembergen; “Tình trạng và tác động của việc quản trị CNTT doanh nghiệp trong các tổ chức: Những phát hiện chính của một nghiên
cứu quốc tế,” Tạp chí ISACA® , tập. Ngày 4 tháng 1 năm 2015, https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/state-and-impact-of-governance-of-enterprise-
it-in- Organisations.aspx. Xem thêm bài viết của De Haes và van Grembergen.
12

CHƯƠNG 1
GIỚI THIỆU
1.3.1 COBIT là gì và không phải là gì?
Trước khi mô tả khung COBIT cập nhật, điều quan trọng là phải giải thích COBIT là gì và không phải là gì:
COBIT là một khuôn khổ để quản lý và quản lý thông tin và công nghệ doanh nghiệp, hướng tới toàn bộ doanh nghiệp . I&T doanh nghiệp có
nghĩa là tất cả công nghệ và xử lý thông tin mà doanh nghiệp áp dụng để đạt được mục tiêu của mình, bất kể điều này xảy ra ở đâu trong
doanh nghiệp. Nói cách khác, I&T doanh nghiệp không chỉ giới hạn ở bộ phận CNTT của một tổ chức mà chắc chắn bao gồm cả bộ phận đó.
Khung COBIT phân biệt rõ ràng giữa quản trị và quản lý. Hai nguyên tắc này bao gồm các hoạt động khác nhau, yêu cầu các cơ cấu
tổ chức khác nhau và phục vụ các mục đích khác nhau.
Quản trị đảm bảo rằng:
Nhu cầu, điều kiện và lựa chọn của các bên liên quan được đánh giá để xác định các mục tiêu doanh nghiệp được thống nhất và cân
bằng. Định hướng được thiết lập thông qua việc ưu tiên và ra quyết
định. Hiệu suất và sự tuân thủ được giám sát theo định hướng và mục tiêu đã thống nhất.
Ở hầu hết các doanh nghiệp, việc quản trị tổng thể là trách nhiệm của hội đồng quản trị, dưới sự lãnh đạo của chủ tịch. Trách
nhiệm quản trị cụ thể có thể được giao cho các cơ cấu tổ chức đặc biệt ở cấp độ thích hợp, đặc biệt là ở các doanh nghiệp
lớn và phức tạp.
Quản lý lập kế hoạch, xây dựng, điều hành và giám sát các hoạt động, phù hợp với định hướng quản trị đặt ra
cơ thể, nhằm đạt được mục tiêu của doanh nghiệp.
Ở hầu hết các doanh nghiệp, quản lý là trách nhiệm của người quản lý điều hành, dưới sự lãnh đạo của giám đốc điều hành (CEO).
COBIT xác định các thành phần để xây dựng và duy trì hệ thống quản trị: quy trình, cơ cấu tổ chức, chính sách và thủ tục, luồng
thông tin, văn hóa và hành vi, kỹ năng và cơ sở hạ tầng. 55
COBIT xác định các yếu tố thiết kế mà doanh nghiệp cần xem xét để xây dựng một hệ thống quản trị phù hợp nhất.
COBIT giải quyết các vấn đề quản trị bằng cách nhóm các thành phần quản trị có liên quan vào các mục tiêu quản trị và quản lý có thể
được quản lý theo mức năng lực cần thiết.
Một số quan niệm sai lầm về COBIT cần được xóa bỏ:
COBIT không phải là mô tả đầy đủ về toàn bộ môi trường CNTT của doanh nghiệp. COBIT
không phải là một khuôn khổ để tổ chức các quy trình kinh doanh.
COBIT không phải là một khung kỹ thuật (IT-) để quản lý tất cả công nghệ. COBIT
không đưa ra hoặc quy định bất kỳ quyết định nào liên quan đến CNTT. Nó sẽ không quyết định chiến lược CNTT tốt nhất là gì, kiến trúc
tốt nhất là gì, hoặc chi phí CNTT có thể hoặc nên tốn bao nhiêu. Đúng hơn, COBIT xác định tất cả các thành phần mô tả những quyết
định nào nên được đưa ra cũng như cách thức và người thực hiện các quyết định đó.
4
4
Xuyên suốt ấn phẩm này, các tham chiếu đến “khuôn khổ quản trị CNTT” hàm ý toàn bộ mô tả này.
5
5 Các thành phần này được gọi là yếu tố hỗ trợ trong COBIT® 5.
13

1.4 Cấu trúc của ấn phẩm này
Phần còn lại của ấn phẩm này bao gồm các chương sau:
Chương 2 thảo luận về đối tượng mục tiêu của COBIT.
Chương 3 giải thích các nguyên tắc về hệ thống quản trị I&T và các nguyên tắc quản trị tốt
khuôn khổ.
Chương 4 giải thích các khái niệm và thuật ngữ cơ bản của COBIT® 2019, bao gồm mô hình COBIT cốt lõi được cập nhật
với 40 mục tiêu quản trị và quản lý.
Chương 5 trình bày chi tiết về 40 mục tiêu quản lý và điều hành.
Chương 6 giải thích cách hình thành giám sát hiệu suất trong COBIT® 2019 và đặc biệt là Khả năng
Các mức năng lực lấy cảm hứng từ Tích hợp Mô hình Trưởng thành (CMMI®) được giới thiệu.
Chương 7 chứa phần giới thiệu ngắn gọn và tổng quan về quy trình làm việc của COBIT® Hướng dẫn thiết kế 2019.
Chương 8 bao gồm phần giới thiệu ngắn gọn và tổng quan về COBIT® Hướng dẫn thực hiện năm 2019.
Chương 9 chứa một ví dụ chi tiết để minh họa việc áp dụng và triển khai COBIT
trong một doanh nghiệp.
Chương 10 liệt kê các tiêu chuẩn, khuôn khổ và quy định đã được sử dụng trong quá trình phát triển COBIT® 2019.
14

CHƯƠNG 2
ĐỐI TƯỢNG DỰ ĐỊNH
chương 2
Đối tượng dự định
2.1 Các bên liên quan về quản trị
Đối tượng mục tiêu của COBIT là các bên liên quan của EGIT và nói rộng hơn là các bên liên quan của doanh nghiệp.
quản trị. Các bên liên quan này và lợi ích họ có thể đạt được từ COBIT được thể hiện trong Hình 2.1.
Hình 2.1—Các bên liên quan của COBIT

Cổ đông Lợi ích của COBIT
Các bên liên quan nội bộ
Bảng Cung cấp thông tin chi tiết về cách nhận được giá trị từ việc sử dụng I&T và giải thích
trách nhiệm của hội đồng quản trị có liên quan
Quản lý điều hành Cung cấp hướng dẫn về cách tổ chức và giám sát hoạt động của I&T
trên toàn doanh nghiệp
Người quản lý doanh nghiệp Giúp hiểu cách có được các giải pháp I&T mà doanh nghiệp yêu cầu
và cách tốt nhất để khai thác công nghệ mới cho các cơ hội chiến lược mới
Người quản lý CNTT Cung cấp hướng dẫn về cách tốt nhất để xây dựng và cơ cấu bộ phận CNTT,
quản lý hiệu suất của CNTT, điều hành hoạt động CNTT hiệu quả và hiệu quả,
kiểm soát chi phí CNTT, điều chỉnh chiến lược CNTT phù hợp với các ưu tiên kinh doanh, v.v.
Nhà cung cấp bảo đảm Giúp quản lý sự phụ thuộc vào các nhà cung cấp dịch vụ bên ngoài, nhận được
đảm bảo về CNTT và đảm bảo sự tồn tại của một hệ thống có hiệu lực và hiệu quả.
hệ thống kiểm soát nội bộ
Quản lý rủi ro Giúp đảm bảo việc xác định và quản lý tất cả các rủi ro liên quan đến CNTT
Các bên liên quan bên ngoài
Bộ điều chỉnh Giúp đảm bảo doanh nghiệp tuân thủ các quy định hiện hành và
quy định và có hệ thống quản lý phù hợp để quản lý và
duy trì sự tuân thủ
Đối tác kinh doanh Giúp đảm bảo hoạt động của đối tác kinh doanh được an toàn, đáng tin cậy
và tuân thủ các quy tắc và quy định hiện hành
Nhà cung cấp CNTT Giúp đảm bảo rằng hoạt động của nhà cung cấp CNTT được an toàn, đáng tin cậy và
tuân thủ các quy tắc và quy định hiện hành
Cần có mức độ kinh nghiệm nhất định và sự hiểu biết thấu đáo về doanh nghiệp để được hưởng lợi từ COBIT
khuôn khổ. Kinh nghiệm và sự hiểu biết như vậy cho phép người dùng tùy chỉnh hướng dẫn COBIT cốt lõi—có tính chung chung trong
bản chất—thành hướng dẫn phù hợp và tập trung cho doanh nghiệp, có tính đến bối cảnh của doanh nghiệp.
Đối tượng mục tiêu bao gồm những người chịu trách nhiệm trong toàn bộ vòng đời của giải pháp quản trị, từ thiết kế đến
thực hiện đến đảm bảo. Thật vậy, các nhà cung cấp dịch vụ đảm bảo có thể áp dụng logic và quy trình làm việc được phát triển trong ấn phẩm này
để tạo ra một chương trình đảm bảo có căn cứ rõ ràng cho doanh nghiệp.
15
16

CHƯƠNG 3
NGUYÊN TẮC COBIT
Chương 3
Nguyên tắc COBIT
3.1 Giới thiệu
COBIT® 2019 được phát triển dựa trên hai bộ nguyên tắc:
Nguyên tắc mô tả các yêu cầu cốt lõi của hệ thống quản trị thông tin và công nghệ doanh nghiệp Nguyên tắc về khung quản trị
có thể được sử dụng để xây dựng hệ thống quản trị cho doanh nghiệp
3.2 Sáu nguyên tắc cho hệ thống quản trị
Sáu nguyên tắc cho một hệ thống quản trị là (hình 3.1):
1. Mỗi doanh nghiệp cần có một hệ thống quản trị để đáp ứng nhu cầu của các bên liên quan và tạo ra giá trị từ việc sử dụng
NÓ. Giá trị phản ánh sự cân bằng giữa lợi ích, rủi ro và nguồn lực, đồng thời doanh nghiệp cần có một chiến lược và hệ thống
quản trị khả thi để hiện thực hóa giá trị này.
2. Hệ thống quản trị CNTT&T doanh nghiệp được xây dựng từ một số thành phần có thể thuộc nhiều loại khác nhau và phối hợp với nhau
một cách tổng thể.
3. Hệ thống quản trị phải năng động. Điều này có nghĩa là mỗi lần một hoặc nhiều yếu tố thiết kế được
thay đổi (ví dụ: thay đổi về chiến lược hoặc công nghệ), tác động của những thay đổi này lên hệ thống EGIT phải được
xem xét. Một cái nhìn năng động về EGIT sẽ dẫn tới một hệ thống EGIT khả thi và phù hợp với tương lai.
4. Hệ thống quản trị cần phân biệt rõ ràng giữa hoạt động và cơ cấu quản trị và quản lý.
5. Hệ thống quản trị phải được điều chỉnh theo nhu cầu của doanh nghiệp, sử dụng một tập hợp các yếu tố thiết kế làm thông số để
tùy chỉnh và ưu tiên các thành phần của hệ thống quản trị.
6. Hệ thống quản trị phải bao quát doanh nghiệp từ đầu đến cuối, không chỉ tập trung vào chức năng CNTT mà còn tập trung vào
tất cả công nghệ và quy trình xử lý thông tin mà doanh nghiệp áp dụng để đạt được mục tiêu của mình, bất kể vị trí xử lý
ở đâu trong doanh nghiệp. 61
Hình 3.1—Các nguyên tắc của hệ thống quản trị
1. Cung cấp 3. Hệ thống

2. Cách tiếp
giá trị cho các quản trị năng
cận toàn diện
bên liên quan động
4. Quản trị khác 5. Phù hợp với 6. Hệ thống quản
biệt với quản lý nhu cầu của trị từ đầu đến
doanh nghiệp cuối
6
1
Huy, T.; S. De Haes; “Sử dụng Mô hình hệ thống khả thi để nghiên cứu Động lực quản trị CNTT: Bằng chứng từ một nghiên cứu trường hợp duy nhất,” Kỷ
yếu của Hội nghị quốc tế Hawaii lần thứ 51 về Khoa học hệ thống, 2018, https://scholarspace.manoa.hawaii.edu/bitstream/10125/50501 /1/paper0614.pdf
17

3.3 Ba nguyên tắc cho khung quản trị
Ba nguyên tắc cho khung quản trị là (hình 3.2):
1. Khung quản trị phải dựa trên mô hình khái niệm, xác định các thành phần chính và
mối quan hệ giữa các thành phần, để tối đa hóa tính nhất quán và cho phép tự động hóa.
2. Khung quản trị phải cởi mở và linh hoạt. Nó sẽ cho phép bổ sung nội dung mới và khả năng
để giải quyết các vấn đề mới một cách linh hoạt nhất, đồng thời duy trì tính toàn vẹn và nhất quán.
3. Khung quản trị phải phù hợp với các tiêu chuẩn, khuôn khổ và quy định chính có liên quan.
Hình 3.2—Các nguyên tắc khung quản trị
1. Dựa trên
2. Cởi mở và
mô hình khái
linh hoạt
niệm
3. Phù hợp với
các tiêu chuẩn chính
3.4 COBIT® 2019
COBIT® 2019 cải thiện các phiên bản COBIT trước đó trong các lĩnh vực sau:
Tính linh hoạt và cởi mở—Việc xác định và sử dụng các yếu tố thiết kế cho phép COBIT được điều chỉnh để hoạt động tốt hơn
phù hợp với bối cảnh cụ thể của người dùng. Kiến trúc mở COBIT cho phép thêm các lĩnh vực trọng tâm mới (xem phần 4.4) hoặc
sửa đổi các lĩnh vực hiện có mà không ảnh hưởng trực tiếp đến cấu trúc và nội dung của mô hình cốt lõi COBIT.
Tiền tệ và mức độ liên quan— Mô hình COBIT hỗ trợ việc tham chiếu và liên kết với các khái niệm bắt nguồn từ các nguồn khác
nguồn (ví dụ: các tiêu chuẩn CNTT mới nhất và các quy định tuân thủ).
Ứng dụng mang tính quy tắc—Các mô hình như COBIT có thể mang tính mô tả và mang tính quy tắc. Mô hình khái niệm COBIT được xây
dựng và trình bày sao cho việc khởi tạo nó (tức là ứng dụng các thành phần quản trị COBIT được thiết kế riêng) được coi là một
đơn thuốc cho một hệ thống quản trị CNTT được thiết kế riêng.
Quản lý hiệu suất CNTT—Cấu trúc của mô hình quản lý hiệu suất COBIT được tích hợp vào mô hình khái niệm. Các khái niệm về sự trưởng
thành và năng lực được giới thiệu để phù hợp hơn với CMMI.
Hướng dẫn của COBIT sử dụng các thuật ngữ quản trị thông tin và công nghệ doanh nghiệp, quản trị thông tin và công nghệ doanh
nghiệp, quản trị CNTT và quản trị CNTT thay thế cho nhau.
18

CHƯƠNG 4
CÁC KHÁI NIỆM CƠ BẢN: HỆ THỐNG QUẢN TRỊ VÀ CÁC THÀNH PHẦN
Chương 4
Các khái niệm cơ bản: Hệ thống và các thành phần quản trị
4.1 Tổng quan về COBIT
Dòng sản phẩm COBIT® 2019 là sản phẩm mở và được thiết kế để tùy chỉnh. Các ấn phẩm sau đây được
hiện có: 71
Khung COBIT® 2019: Giới thiệu và Phương pháp luận giới thiệu các khái niệm chính của COBIT® 2019.
COBIT® 2019 Khung: Mục tiêu Quản trị và Quản trị mô tả toàn diện 40 nguyên tắc cốt lõi
mục tiêu quản lý và điều hành, các quy trình trong đó và các thành phần liên quan khác. Hướng dẫn này
cũng tham khảo các tiêu chuẩn và khuôn khổ khác.
COBIT® Hướng dẫn thiết kế 2019: Thiết kế giải pháp quản trị công nghệ và thông tin khám phá thiết kế
các yếu tố có thể ảnh hưởng đến quản trị và bao gồm quy trình làm việc để lập kế hoạch hệ thống quản trị phù hợp cho
doanh nghiệp.
COBIT® Hướng dẫn triển khai 2019: Triển khai và tối ưu hóa thông tin và công nghệ
Giải pháp Quản trị thể hiện sự phát triển của Hướng dẫn triển khai COBIT® 5 và phát triển lộ trình cho
cải tiến quản trị liên tục. Nó có thể được sử dụng kết hợp với Hướng dẫn thiết kế COBIT® 2019.
Hình 4.1 cho thấy tổng quan cấp cao về COBIT® 2019 và minh họa các ấn phẩm khác nhau trong bộ này như thế nào
bao quát các khía cạnh khác nhau.
Hình 4.1—Tổng quan về COBIT
• Chiến lược doanh nghiệp

• Mục tiêu của doanh nghiệp
• Quy mô doanh nghiệp

• Vai trò của CNTT
Đầu vào cho COBIT® 2019 COBIT® 2019 • Mô hình tìm nguồn cung ứng cho CNTT
• Yêu cầu tuân thủ

• Vân vân.
COBIT 5 Lõi COBIT

Mô hình tham khảo về quản Yếu tố thiết kế
Tiêu chuẩn, trị và mục tiêu quản lý Doanh nghiệp phù hợp
khung, Quản trị
Quy định EDM01—Đảm bảo
Hệ thống cho
Quản trị EDM04—Đảm bảo EDM05—Đảm bảo
EDM02—Đảm bảo EDM03—Đảm bảo
Nguồn Cổ đông
Cài đặt khung Phân phối lợi ích Tối ưu hóa rủi ro
và bảo trì Tối ưu hóa Hôn ước
Cộng đồng
Thông tin và
Sự đóng góp
Công nghệ
APO01—Được quản lý APO03—Được quản lý
APO02—Được quản lý APO04—Được quản lý APO05—Được quản lý APO06—Được quản lý APO07—Được quản lý
Quản lí IT Doanh nghiệp
Chiến lược Sự đổi mới danh mục đầu tư
Ngân sách và chi phí nguồn nhân lực
Khung Ngành kiến trúc
MEA01—Được quản lý
Hiệu suất và
sự phù hợp
Giám sát
APO09—Được quản lý
APO08—Được quản lý APO10—Được quản lý APO11—Được quản lý APO12—Được quản lý APO13—Được quản lý APO14—Được quản lý
Khu vực tập trung

Dịch vụ
Các mối quan hệ Nhà cung cấp
Chất lượng
Rủi ro
Bảo vệ Dữ liệu
Thỏa thuận
Quản trị ưu tiên

Hệ thống nội bộ
BAI03—Quản lý BAI07—Được quản lý Điều khiển
BAI01—Được quản lý BAI02—Được quản lý BAI04—Được quản lý BAI05—Được quản lý
Các giải pháp
BAI06—Được quản lý Thay đổi CNTT
Chương trình Yêu cầu khả dụng tổ chức
Nhận biết
Sự định nghĩa Nó thay đổi Chấp nhận và
và quản lý
và xây dựng
và năng lực Thay đổi
Chuyển tiếp
BAI08—Được quản lý
Kiến thức
Tài sản
Cấu hình
Dự án
Tuân thủ
• SME mục tiêu
Bên ngoài
Hướng dẫn cụ thể

Yêu cầu
• Bảo vệ
• Rủi ro từ các khu vực trọng điểm
DSS02—Được quản lý DSS05—Được quản lý DSS06—Được quản lý
Năng lực mục tiêu

• DevOps
Yêu cầu dịch vụ Bảo vệ Việc kinh doanh MEA04—Được quản lý
Hoạt động Các vấn đề Liên tục
và Sự cố Dịch vụ Kiểm soát quy trình Đảm bảo
• Vân vân. và hiệu suất

sự quản lý
hướng dẫn
Khung COBIT® 2019:

Giới thiệu và phương pháp
Lõi COBIT
Ấn phẩm
Khung COBIT® 2019: Hướng dẫn triển khai COBIT® 2019:

Hướng dẫn thiết kế COBIT® 2019:
Quản trị và Triển khai và tối ưu hóa một
Thiết kế thông tin và công nghệ
Giải pháp quản trị Thông tin và Công nghệ
Mục tiêu quản lý
Giải pháp quản trị
1
7 Tại thời điểm xuất bản Khung COBIT® 2019: Tiêu đề Giới thiệu và Phương pháp luận này, các tiêu đề bổ sung đã được lên kế hoạch cho COBIT® 2019
dòng sản phẩm nhưng chưa được phát hành.
19

Nội dung được xác định là lĩnh vực trọng tâm trong hình 4.1 sẽ chứa hướng dẫn chi tiết hơn về các chủ đề cụ thể. 82
COBIT® 2019 dựa trên COBIT® 5 và các nguồn có thẩm quyền khác. COBIT được điều chỉnh theo một số tiêu chuẩn và khuôn khổ liên
quan. Danh sách các tiêu chuẩn này được bao gồm trong Chương 10. Việc phân tích các tiêu chuẩn liên quan và sự liên kết của COBIT
với chúng làm cơ sở cho vị trí đã được thiết lập của COBIT là khuôn khổ quản trị I&T bao trùm.
Trong tương lai, COBIT sẽ kêu gọi cộng đồng người dùng của mình đề xuất cập nhật nội dung, được áp dụng dưới dạng đóng góp có
kiểm soát một cách liên tục, nhằm giúp COBIT luôn cập nhật những hiểu biết và diễn biến mới nhất.
Các phần sau đây giải thích các khái niệm và thuật ngữ chính được sử dụng trong COBIT® 2019.
4.2 Mục tiêu quản trị và quản lý
Để thông tin và công nghệ đóng góp vào các mục tiêu của doanh nghiệp, cần phải đạt được một số mục tiêu quản trị và điều hành.
Các khái niệm cơ bản liên quan đến quản trị và mục tiêu quản lý là:
Mục tiêu quản trị hoặc quản lý luôn liên quan đến một quy trình (có tên giống hoặc tương tự) và một loạt các thành phần liên quan
thuộc loại khác để giúp đạt được mục tiêu.
Mục tiêu quản trị liên quan đến quy trình quản trị (được mô tả trên nền xanh đậm trong hình 4.2), trong khi mục tiêu quản lý liên quan
đến quy trình quản lý (được mô tả trên nền xanh nhạt hơn trong hình 4.2).
Hội đồng quản trị và ban điều hành thường chịu trách nhiệm về các quy trình quản trị, trong khi quy trình quản lý là lĩnh vực
của quản lý cấp cao và cấp trung.
Các mục tiêu quản trị và quản lý trong COBIT được nhóm thành năm lĩnh vực. Các miền có tên kèm theo động từ thể hiện mục đích chính và các
lĩnh vực hoạt động của mục tiêu có trong đó:
Các mục tiêu quản trị được nhóm lại trong miền Đánh giá, Chỉ đạo và Giám sát (EDM). Trong lĩnh vực này, cơ quan quản lý đánh giá
các phương án chiến lược, chỉ đạo quản lý cấp cao về các phương án chiến lược đã chọn và giám sát việc đạt được chiến
lược.
Mục tiêu quản lý được nhóm thành bốn lĩnh vực:
Căn chỉnh, lập kế hoạch và tổ chức (APO) đề cập đến tổ chức, chiến lược tổng thể và các hoạt động hỗ trợ cho I&T. Xây dựng, mua
lại và triển khai (BAI) xử lý việc xác định, mua lại và triển khai các giải pháp I&T và
sự tích hợp của họ trong quá trình kinh doanh.
Cung cấp, Dịch vụ và Hỗ trợ (DSS) đề cập đến việc cung cấp hoạt động và hỗ trợ các dịch vụ I&T, bao gồm
bảo vệ.
Giám sát, Đánh giá và Đánh giá (MEA) đề cập đến việc giám sát hiệu suất và sự phù hợp của I&T với các mục tiêu hiệu suất nội bộ, mục
tiêu kiểm soát nội bộ và các yêu cầu bên ngoài.
2 8 Một số hướng dẫn nội dung các lĩnh vực trọng tâm này đã được chuẩn bị; những người khác được lên kế hoạch. Bộ hướng dẫn về lĩnh vực trọng tâm có kết thúc mở và sẽ
tiếp tục phát triển Để biết thông tin mới nhất về các ấn phẩm hiện có và dự kiến cũng như các nội dung khác, vui lòng truy cập www.isaca.org/cobit.
20

CHƯƠNG 4
Hình 4.2—Mô hình lõi COBIT
EDM01—Đảm bảo
EDM04—Đảm bảo EDM05—Đảm bảo
Quản trị EDM02—Đảm bảo EDM03—Đảm bảo
Nguồn Cổ đông
Cài đặt khung Phân phối lợi ích Tối ưu hóa rủi ro
và bảo trì Tối ưu hóa Hôn ước
APO01—Được quản lý APO03—Được quản lý

APO02—Được quản lý APO04—Được quản lý APO05—Được quản lý APO06—Được quản lý APO07—Được quản lý
Quản lí IT Doanh nghiệp nguồn nhân lực
Chiến lược Sự đổi mới danh mục đầu tư Ngân sách và chi phí
Khung Ngành kiến trúc
Hiệu suất và
sự phù hợp
Giám sát
APO09—Được quản lý
APO08—Được quản lý APO10—Được quản lý APO11—Được quản lý APO12—Được quản lý APO13—Được quản lý APO14—Được quản lý
Dịch vụ
Nhà cung cấp Rủi ro Bảo vệ Dữ liệu
Các mối quan hệ Chất lượng
Thỏa thuận
Hệ thống nội bộ
BAI03—Được quản lý BAI07—Được quản lý Điều khiển
Các giải pháp
BAI06—Được quản lý Thay đổi CNTT
Chương trình Yêu cầu Sự sẵn có tổ chức
Nhận biết Nó thay đổi Chấp nhận và
Sự định nghĩa và năng lực
và xây dựng Thay đổi
Chuyển tiếp
Tuân thủ
Kiến thức Tài sản Cấu hình Dự án Bên ngoài
Yêu cầu

Yêu cầu dịch vụ Bảo vệ Việc kinh doanh MEA04—Được quản lý
Hoạt động Các vấn đề Liên tục
và Sự cố Dịch vụ Kiểm soát quy trình Đảm bảo
4.3 Các thành phần của hệ thống quản trị
Để đáp ứng các mục tiêu quản trị và quản trị, mỗi doanh nghiệp cần thiết lập, điều chỉnh và duy trì một cơ chế quản trị
hệ thống được xây dựng từ một số thành phần.
Thành phần là các yếu tố, riêng lẻ và tập thể, góp phần vào hoạt động tốt đẹp của doanh nghiệp.
hệ thống quản lý về I&T.
Các thành phần tương tác với nhau, tạo ra một hệ thống quản trị toàn diện cho I&T.
Các thành phần có thể có nhiều loại khác nhau. Quen thuộc nhất là các quy trình. Tuy nhiên, các thành phần của quản trị
hệ thống còn bao gồm cả cơ cấu tổ chức; chính sách và thủ tục; mục thông tin; văn hóa và hành vi;
Kỹ năng và năng lực; và dịch vụ, cơ sở hạ tầng và ứng dụng (hình 4.3).
Các quy trình mô tả một tập hợp các hoạt động và thực tiễn có tổ chức nhằm đạt được các mục tiêu nhất định và tạo ra một tập hợp các
đầu ra hỗ trợ đạt được các mục tiêu tổng thể liên quan đến CNTT.
Cơ cấu tổ chức là cơ quan ra quyết định quan trọng trong doanh nghiệp.
Các nguyên tắc, chính sách và khuôn khổ biến hành vi mong muốn thành hướng dẫn thực tế cho hoạt động hàng ngày
sự quản lý.
Thông tin có sức lan tỏa khắp mọi tổ chức và bao gồm tất cả thông tin được tạo ra và sử dụng bởi tổ chức
doanh nghiệp. COBIT tập trung vào thông tin cần thiết cho hoạt động hiệu quả của hệ thống quản trị của
doanh nghiệp.
21

Văn hóa, đạo đức và ứng xử của cá nhân và của doanh nghiệp thường bị đánh giá thấp như những yếu tố tạo nên sự thành công
trong hoạt động quản trị và điều hành.
Cần có con người, kỹ năng và năng lực để đưa ra những quyết định đúng đắn, thực hiện hành động khắc phục và hoàn thành thành
công mọi hoạt động.
Dịch vụ, cơ sở hạ tầng và ứng dụng bao gồm cơ sở hạ tầng, công nghệ và ứng dụng cung cấp
doanh nghiệp có hệ thống quản trị xử lý I&T.
Hình 4.3—Các thành phần COBIT của hệ thống quản trị
Quy trình
Dịch vụ,
Cơ sở hạ tầng
tổ chức
và
cấu trúc
Các ứng dụng
Quản trị
Con người, Kỹ Hệ thống
Nguyên tắc,
năng và
Chính sách,
Năng lực Thủ tục
Văn hóa, đạo

đức và Thông tin
Hành vi
Các thành phần của tất cả các loại có thể là chung hoặc có thể là biến thể của các thành phần chung:
Các thành phần chung được mô tả trong mô hình cốt lõi COBIT (xem hình 4.2) và về nguyên tắc áp dụng cho mọi tình huống.
Tuy nhiên, chúng có tính chất chung chung và thường cần tùy chỉnh trước khi triển khai thực tế.
Các biến thể dựa trên các thành phần chung nhưng được điều chỉnh cho mục đích hoặc bối cảnh cụ thể trong một lĩnh vực trọng tâm
(ví dụ: về bảo mật thông tin, DevOps, một quy định cụ thể).
4.4 Lĩnh vực trọng tâm
Lĩnh vực trọng tâm mô tả một chủ đề, lĩnh vực hoặc vấn đề quản trị nhất định có thể được giải quyết bằng tập hợp các mục
tiêu quản trị và quản lý cũng như các thành phần của chúng. Ví dụ về các lĩnh vực trọng tâm bao gồm: doanh nghiệp vừa và nhỏ, an ninh
mạng, chuyển đổi kỹ thuật số, điện toán đám mây, quyền riêng tư và DevOps. 93 Các lĩnh vực trọng tâm có thể bao gồm sự kết hợp của các
thành phần và biến thể quản trị chung.
9
3
DevOps minh họa cho cả biến thể thành phần và lĩnh vực trọng tâm. Tại sao? DevOps là một chủ đề hiện tại trên thị trường và chắc chắn cần có
hướng dẫn cụ thể, khiến nó trở thành lĩnh vực trọng tâm. DevOps bao gồm một số mục tiêu quản lý và quản trị chung của mô hình COBIT cốt lõi, cùng
với một số biến thể của các quy trình và cơ cấu tổ chức liên quan đến phát triển, vận hành và giám sát.
22

CHƯƠNG 4
Số lượng khu vực tập trung hầu như không giới hạn. Đó là điều khiến COBIT có kết thúc mở. Các lĩnh vực trọng tâm mới có thể
được bổ sung theo yêu cầu hoặc khi các chuyên gia và người thực hành về chủ đề đó đóng góp cho mô hình COBIT mở.
4.5 Yếu tố thiết kế
Các yếu tố thiết kế là các yếu tố có thể ảnh hưởng đến việc thiết kế hệ thống quản trị của doanh nghiệp và định vị nó để
thành công trong việc sử dụng I&T.
Những tác động tiềm ẩn mà các yếu tố thiết kế có thể có đối với hệ thống quản trị được nêu trong phần 7.1. Bạn có
thể tìm thêm thông tin và hướng dẫn chi tiết về cách sử dụng các yếu tố thiết kế để thiết kế hệ thống quản trị trong Hướng
dẫn thiết kế COBIT® 2019.
Các yếu tố thiết kế bao gồm bất kỳ sự kết hợp nào sau đây (hình 4.4):
Hình 4.4—Các yếu tố thiết kế COBIT
Doanh nghiệp Doanh nghiệp Liên quan đến I&T Mối đe dọa
Hồ sơ rủi ro
Chiến lược Bàn thắng Vấn đề Phong cảnh
tìm nguồn cung ứng

NÓ Công nghệ
Sự tuân thủ Doanh nghiệp
Vai trò của CNTT Mô hình Thực hiện Nhận con nuôi
Yêu cầu Kích cỡ
CNTT phương pháp Chiến lược
Yếu tố tương lai
1. Chiến lược doanh nghiệp —Doanh nghiệp có thể có các chiến lược khác nhau, có thể được thể hiện dưới dạng một hoặc nhiều
nguyên mẫu được hiển thị trong Hình 4.5. Các tổ chức thường có một chiến lược chính và nhiều nhất là một chiến lược phụ.
Hình 4.5—Chiến lược doanh nghiệp Yếu tố thiết kế Nguyên mẫu
chiến lược Giải thích Doanh nghiệp tập trung vào tăng trưởng (doanh thu). 104 Doanh
Tăng trưởng/Mua lại nghiệp tập trung vào việc cung cấp các sản phẩm và dịch
Đổi mới/Khác biệt vụ khác biệt và/hoặc sáng tạo cho khách hàng của mình. 115
Dẫn đầu về chi phí Doanh nghiệp tập trung vào việc giảm thiểu chi phí ngắn hạn. 126
Dịch vụ khách hàng/Tính ổn định Doanh nghiệp tập trung vào việc cung cấp dịch vụ ổn định và hướng tới khách hàng. 137
10
4
Tương ứng với người tìm kiếm trong kiểu chữ Miles-Snow. Xem “Loại hình người bảo vệ, người thăm dò, người phân tích và lò phản ứng của Miles và Snow,”
Elibrary, https://ebrary.net/3737/management/miles_snows_typology_defender_prospector_analyzer_reactor.
5
11 Xem Reeves, Martin; Claire Love, Philipp Tillmanns, “Chiến lược của bạn cần có chiến lược,” Harvard Business Review, tháng 9 năm 2012,
https://hbr.org/2012/09/your-strategy-needs-a-strategy, đặc biệt về tầm nhìn và định hình.
12
6
Tương ứng với việc dẫn đầu về chi phí; xem Đại học Cambridge, “Chiến lược cạnh tranh chung (các cách cạnh tranh) của Porter,” Chính sách công
nghệ quản lý của Viện Sản xuất (IfM), https://www.ifm.eng.cam.ac.uk/research/dstools/porters-generic -chiến lược cạnh tranh/. Cũng tương ứng với sự xuất
sắc trong hoạt động; gặp Treacy, Michael; Fred Wiersema, “Sự thân mật với khách hàng và các nguyên tắc giá trị khác,” Harvard Business Review, tháng 1/
tháng 2 năm 1993, https://hbr.org/1993/01/customer-intimacy-and-other-value-disciplines Tương ứng với những
13
7
người bảo vệ ở Miles - Kiểu chữ tuyết. Xem phần trích dẫn “Loại hình Người bảo vệ, Người thăm dò, Người phân tích và Người phản ứng của Miles và Snow.”
23
2. Mục tiêu doanh nghiệp hỗ trợ chiến lược doanh nghiệp—Chiến lược doanh nghiệp được hiện thực hóa bằng việc đạt được (một bộ
của) mục tiêu của doanh nghiệp. Các mục tiêu này được xác định trong khuôn khổ COBIT, được cấu trúc theo thẻ điểm cân bằng
(BSC) kích thước và bao gồm các phần tử được hiển thị trong hình 4.6.
Hình 4.6—Yếu tố thiết kế mục tiêu doanh nghiệp

Thẩm quyền giải quyết
Thứ nguyên của Thẻ điểm cân bằng (BSC) Mục tiêu doanh nghiệp
EG01 Tài chính Danh mục sản phẩm và dịch vụ cạnh tranh
EG02 Tài chính Rủi ro kinh doanh được quản lý
EG03 Tài chính Tuân thủ luật pháp và quy định bên ngoài
EG04 Tài chính Chất lượng thông tin tài chính
EG05 Khách hàng Văn hóa phục vụ hướng tới khách hàng
EG06 Khách hàng Tính liên tục và sẵn sàng của dịch vụ kinh doanh
EG07 Khách hàng Chất lượng thông tin quản lý
EG08 Nội bộ Tối ưu hóa chức năng quy trình kinh doanh nội bộ
EG09 Nội bộ Tối ưu hóa chi phí quy trình kinh doanh
EG10 Nội bộ Kỹ năng, động lực và năng suất của nhân viên
EG11 Nội bộ Tuân thủ các chính sách nội bộ
EG12 Sự phát triển Các chương trình chuyển đổi kỹ thuật số được quản lý
EG13 Sự phát triển Đổi mới sản phẩm và kinh doanh
Phần 4.6 bao gồm nhiều thông tin hơn về tầng mục tiêu COBIT, đây là phần trình bày chi tiết về phần này
yếu tố thiết kế.
3. Hồ sơ rủi ro của doanh nghiệp và các vấn đề hiện tại liên quan đến I&T—Hồ sơ rủi ro xác định loại rủi ro liên quan đến I&T mà
doanh nghiệp hiện gặp phải và cho biết lĩnh vực rủi ro nào đang vượt quá rủi ro
thèm ăn. Các loại rủi ro148 được liệt kê trong hình 4.7 đáng được xem xét.
Hình 4.7—Yếu tố thiết kế hồ sơ rủi ro (Danh mục rủi ro CNTT)

Loại rủi ro
1 Ra quyết định đầu tư CNTT, xác định danh mục đầu tư và bảo trì
2 Quản lý vòng đời chương trình và dự án
3 Chi phí CNTT và giám sát
4 Chuyên môn, kỹ năng và hành vi CNTT
5 Kiến trúc doanh nghiệp/CNTT
6 Sự cố cơ sở hạ tầng vận hành CNTT
7 Hành động trái phép
số 8
Các vấn đề về sử dụng/áp dụng phần mềm
9 Sự cố phần cứng
10 Lỗi phần mềm
11 Các cuộc tấn công logic (hack, phần mềm độc hại, v.v.)
12 Sự cố của bên thứ ba/nhà cung cấp

13 Không tuân thủ
14 Vấn đề địa chính trị
15 Hoạt động công nghiệp
16 Hành động của thiên nhiên
17 Đổi mới dựa trên công nghệ

18 Thuộc về môi trường
19 Quản lý dữ liệu và thông tin
số 8
14 Sửa đổi từ ISACA, Hướng dẫn thực hành CNTT về rủi ro, Hoa Kỳ, 2009
24

CHƯƠNG 4
4. Các vấn đề liên quan đến I&T—Một phương pháp liên quan để đánh giá rủi ro I&T cho doanh nghiệp là xem xét những vấn đề
liên quan đến I&T mà doanh nghiệp hiện đang gặp phải, hay nói cách khác, rủi ro nào liên quan đến I&T đã xảy ra. Phổ biến nhất như vậy
các vấn đề159 bao gồm những vấn đề trong hình 4.8.
Hình 4.8—Hệ số thiết kế các vấn đề liên quan đến I&T

Sự miêu tả
MỘT
Sự thất vọng giữa các thực thể CNTT khác nhau trong toàn tổ chức vì nhận thức về mức độ thấp
đóng góp vào giá trị doanh nghiệp
B Sự thất vọng giữa bộ phận kinh doanh (tức là khách hàng CNTT) và bộ phận CNTT vì
sáng kiến thất bại hoặc nhận thức về sự đóng góp thấp vào giá trị doanh nghiệp
C Các sự cố nghiêm trọng liên quan đến CNTT, chẳng hạn như mất dữ liệu, vi phạm bảo mật, lỗi dự án và ứng dụng
lỗi, liên quan đến CNTT
D Các vấn đề về cung cấp dịch vụ của (các) người đăng việc CNTT
E Không đáp ứng các yêu cầu pháp lý hoặc hợp đồng liên quan đến CNTT
F Các phát hiện kiểm toán thường xuyên hoặc các báo cáo đánh giá khác về hiệu suất CNTT kém hoặc chất lượng CNTT được báo cáo hoặc
vấn đề dịch vụ
G Chi tiêu CNTT lừa đảo và ngầm đáng kể, nghĩa là chi tiêu CNTT của các bộ phận người dùng nằm ngoài tầm kiểm soát
của cơ chế quyết định đầu tư CNTT thông thường và ngân sách được phê duyệt
H Sự trùng lặp hoặc chồng chéo giữa các sáng kiến khác nhau hoặc các dạng lãng phí tài nguyên khác
TÔI
Thiếu nguồn lực CNTT, nhân viên không đủ kỹ năng hoặc nhân viên kiệt sức/không hài lòng
J Các thay đổi hoặc dự án do CNTT hỗ trợ thường xuyên không đáp ứng được nhu cầu kinh doanh và được giao muộn hoặc giao muộn
ngân sách
K Sự miễn cưỡng của các thành viên hội đồng quản trị, giám đốc điều hành hoặc quản lý cấp cao trong việc tham gia vào CNTT hoặc thiếu
cam kết tài trợ kinh doanh cho CNTT

L Mô hình vận hành CNTT phức tạp và/hoặc cơ chế quyết định không rõ ràng đối với các quyết định liên quan đến CNTT
M Chi phí CNTT quá cao

N Việc triển khai các sáng kiến hoặc cải tiến mới do CNTT hiện tại bị cản trở hoặc thất bại
kiến trúc và hệ thống
ồ Khoảng cách giữa kiến thức kinh doanh và kiến thức kỹ thuật, dẫn đến người dùng và thông tin doanh nghiệp
và/hoặc chuyên gia công nghệ nói các ngôn ngữ khác nhau
P Các vấn đề thường gặp về chất lượng dữ liệu và tích hợp dữ liệu trên nhiều nguồn khác nhau
Q Mức độ tính toán của người dùng cuối cao, tạo ra (trong số các vấn đề khác) thiếu sự giám sát và chất lượng
kiểm soát các ứng dụng đang được phát triển và đưa vào vận hành
R Các bộ phận kinh doanh thực hiện các giải pháp thông tin của riêng mình với rất ít hoặc không có sự tham gia của
phòng CNTT doanh nghiệp 1610
S Thiếu hiểu biết và/hoặc không tuân thủ các quy định về quyền riêng tư
T Không có khả năng khai thác công nghệ mới hoặc đổi mới bằng cách sử dụng I&T
5. Bối cảnh mối đe dọa— Bối cảnh mối đe dọa mà doanh nghiệp đang vận hành có thể được phân loại như trình bày trong
hình 4.9.
Hình 4.9—Yếu tố thiết kế cảnh quan mối đe dọa

Cảnh quan đe dọa Giải trình
Bình thường Doanh nghiệp đang hoạt động trong tình trạng được coi là mối đe dọa thông thường
cấp độ.
Cao Do tình hình địa chính trị, ngành công nghiệp hoặc đặc điểm cụ thể,
doanh nghiệp đang hoạt động trong môi trường có nhiều rủi ro.
9
15 Xem thêm Phần 3.3.1 Những điểm khó khăn điển hình trong ISACA, Hướng dẫn triển khai COBIT® 2019: Triển khai và tối ưu hóa hệ thống thông tin và
Giải pháp Quản trị Công nghệ, Hoa Kỳ, 2018.
10
16 Vấn đề này liên quan đến máy tính của người dùng cuối, thường xuất phát từ sự không hài lòng với các giải pháp và dịch vụ CNTT.
25

6. Yêu cầu tuân thủ—Các yêu cầu tuân thủ mà doanh nghiệp phải tuân theo có thể được phân loại
theo các danh mục được liệt kê trong hình 4.10.
Hình 4.10—Hệ số thiết kế các yêu cầu tuân thủ
Môi trường pháp lý Yêu cầu Giải trình
tuân thủ thấp Doanh nghiệp phải tuân theo một bộ tuân thủ thường xuyên tối thiểu
yêu cầu thấp hơn mức trung bình.
Yêu cầu tuân thủ thông thường Doanh nghiệp phải tuân theo một bộ yêu cầu tuân thủ thường xuyên mà
là phổ biến ở các ngành công nghiệp khác nhau.
Yêu cầu tuân thủ cao Doanh nghiệp phải tuân thủ cao hơn mức trung bình
yêu cầu, thường liên quan nhất đến lĩnh vực công nghiệp hoặc địa chính trị
điều kiện.
7. Vai trò của CNTT—Vai trò của CNTT đối với doanh nghiệp có thể được phân loại như minh họa trong hình 4.11.
Hình 4.11—Vai trò của yếu tố thiết kế CNTT

Vai trò của IT1711 Giải trình
Ủng hộ CNTT không quan trọng đối với hoạt động và tính liên tục của quy trình kinh doanh
và dịch vụ cũng như sự đổi mới của chúng.
Nhà máy Khi CNTT bị lỗi sẽ có tác động ngay lập tức đến hoạt động và tính liên tục của
của các quá trình kinh doanh và dịch vụ. Tuy nhiên, CNTT không được coi là một
động lực để đổi mới quy trình kinh doanh và dịch vụ.
Quay lại CNTT được coi là động lực để đổi mới quy trình và dịch vụ kinh doanh. Tại
tuy nhiên, tại thời điểm này, không có sự phụ thuộc quan trọng vào CNTT đối với
hoạt động hiện tại và tính liên tục của các quy trình và dịch vụ kinh doanh.
Chiến lược CNTT rất quan trọng cho cả việc vận hành và đổi mới hoạt động kinh doanh của tổ chức
các quy trình và dịch vụ.
8. Mô hình tìm nguồn cung ứng cho CNTT—Mô hình tìm nguồn cung ứng mà doanh nghiệp áp dụng có thể được phân loại như trong Hình 4.12.
Hình 4.12—Mô hình tìm nguồn cung ứng cho yếu tố thiết kế CNTT
Mô hình tìm nguồn cung ứng Giải trình
Gia công phần mềm Doanh nghiệp kêu gọi dịch vụ của bên thứ ba cung cấp CNTT
dịch vụ.
Đám mây Doanh nghiệp tối đa hóa việc sử dụng đám mây để cung cấp dịch vụ CNTT
tới người dùng của nó.
Nguồn gốc Doanh nghiệp cung cấp nhân viên và dịch vụ CNTT của riêng mình.
Hỗn hợp Một mô hình hỗn hợp được áp dụng, kết hợp ba mô hình còn lại theo những cách khác nhau
độ.
11
17 Các vai trò trong bảng này được đảm nhận bởi McFarlan, F. Warren; James L. McKenney; Philip Pyburn; “Quần đảo Thông tin—Kế hoạch một
Course,” Harvard Business Review, tháng 1 năm 1993, https://hbr.org/1983/01/the-information-archipelago-plotting-a-course.
26

CHƯƠNG 4
9. Phương pháp triển khai CNTT—Các phương pháp mà doanh nghiệp áp dụng có thể được phân loại như ghi trong hình 4.13.
Hình 4.13—Hệ số thiết kế các phương pháp triển khai CNTT

Phương pháp triển khai CNTT Giải trình
Nhanh nhẹn Doanh nghiệp sử dụng phương pháp làm việc phát triển Agile cho
phát triển phần mềm.
DevOps Doanh nghiệp sử dụng phương pháp làm việc DevOps để xây dựng phần mềm,
triển khai và vận hành.
Truyền thống Doanh nghiệp sử dụng cách tiếp cận cổ điển hơn để phát triển phần mềm
(thác nước) và tách việc phát triển phần mềm khỏi hoạt động.
Hỗn hợp Doanh nghiệp sử dụng kết hợp triển khai CNTT truyền thống và hiện đại,
thường được gọi là “CNTT lưỡng kim”.
10. Chiến lược áp dụng công nghệ— Chiến lược áp dụng công nghệ có thể được phân loại như liệt kê trong hình 4.14.
Hình 4.14—Yếu tố thiết kế chiến lược áp dụng công nghệ

Chiến lược áp dụng công nghệ Giải trình
Người đi đầu Doanh nghiệp thường áp dụng công nghệ mới càng sớm càng tốt
và cố gắng giành được lợi thế của người đi đầu.
Người theo dõi Doanh nghiệp thường chờ đợi công nghệ mới trở thành
chủ đạo và đã được chứng minh trước khi áp dụng chúng.
Chấp nhận chậm Doanh nghiệp chậm trễ trong việc áp dụng công nghệ mới.
11. Quy mô doanh nghiệp —Hai loại, như minh họa trong hình 4.15, được xác định để thiết kế quy mô doanh nghiệp
hệ thống quản trị. 1812
Hình 4.15—Yếu tố thiết kế quy mô doanh nghiệp

Quy mô doanh nghiệp Giải trình
Doanh nghiệp lớn (Mặc định) Doanh nghiệp có trên 250 nhân viên toàn thời gian (FTE)
Doanh nghiệp vừa và nhỏ Doanh nghiệp có 50 đến 250 FTE
18
12
Các doanh nghiệp siêu nhỏ, tức là các doanh nghiệp có dưới 50 nhân viên, không được xem xét trong ấn phẩm này.
27
4.6 Chuỗi bàn thắng
Nhu cầu của các bên liên quan phải được chuyển đổi thành chiến lược khả thi của doanh nghiệp. Tầng mục tiêu (hình 4.16) hỗ trợ các mục tiêu của
doanh nghiệp, đây là một trong những yếu tố thiết kế chính cho hệ thống quản trị. Nó hỗ trợ ưu tiên các mục tiêu quản lý dựa trên mức độ ưu tiên của
các mục tiêu doanh nghiệp.
Hình 4.16—Tầng mục tiêu COBIT
Cổ đông
Trình điều khiển và
Nhu cầu
Doanh nghiệp
Bàn thắng
Thác tới
Căn chỉnh
Bàn thắng
Thác tới
Quản trị và
Sự quản lý
Thác tới
Mục tiêu
Tầng mục tiêu hỗ trợ thêm cho việc chuyển đổi các mục tiêu của doanh nghiệp thành các ưu tiên cho các mục tiêu liên kết. Tầng mục tiêu đã được
cập nhật kỹ lưỡng trong COBIT® 2019:
Mục tiêu của doanh nghiệp được củng cố, rút gọn, cập nhật và làm rõ.
19
Các mục tiêu liên kết nhấn mạnh sự liên kết của tất cả các nỗ lực CNTT với mục tiêu kinh doanh. để tránh sự 13 Thuật ngữ cập nhật này cũng tìm kiếm
hiểu lầm thường xuyên rằng các mục tiêu này chỉ ra các mục tiêu thuần túy nội bộ của bộ phận CNTT trong doanh nghiệp. Giống như mục tiêu của
doanh nghiệp, các mục tiêu liên kết đã được hợp nhất, giảm bớt, cập nhật và làm rõ khi cần thiết.
19
13
Các mục tiêu liên kết được gọi là mục tiêu liên quan đến CNTT trong COBIT 5.
28

CHƯƠNG 4
4.6.1 Mục tiêu doanh nghiệp
Các bên liên quan cần đạt được mục tiêu của doanh nghiệp. Hình 4.17 thể hiện bộ 13 mục tiêu của doanh nghiệp cùng với một số
của các số liệu mẫu đi kèm.
Hình 4.17—Tầng mục tiêu: Mục tiêu và số liệu của doanh nghiệp
Kích thước BSC tham chiếu Mục tiêu doanh nghiệp Số liệu mẫu
EG01 Tài chính Danh mục đầu tư cạnh tranh Phần trăm sản phẩm và dịch vụ đáp ứng hoặc vượt quá
sản phẩm và dịch vụ mục tiêu về doanh thu và/hoặc thị phần
Phần trăm sản phẩm và dịch vụ đáp ứng hoặc vượt quá
mục tiêu làm hài lòng khách hàng
Phần trăm sản phẩm và dịch vụ có khả năng cạnh tranh
lợi thế
Thời gian tiếp thị sản phẩm và dịch vụ mới
EG02 Tài chính Rủi ro kinh doanh được quản lý Phần trăm các mục tiêu và dịch vụ kinh doanh quan trọng
được bao phủ bởi đánh giá rủi ro
Tỷ lệ các sự cố nghiêm trọng không được xác định trong
đánh giá rủi ro so với tổng số sự cố
Tần suất cập nhật hồ sơ rủi ro phù hợp
EG03 Tài chính Tuân thủ các quy định bên ngoài Chi phí do không tuân thủ quy định, bao gồm cả các khoản thanh toán
pháp luật và các quy định và tiền phạt
Số lượng các vấn đề không tuân thủ quy định gây ra

bình luận công khai hoặc công khai tiêu cực
Số lượng các vấn đề không tuân thủ được cơ quan quản lý ghi nhận hoặc
cơ quan giám sát

Số lượng các vấn đề không tuân thủ quy định liên quan đến
thỏa thuận hợp đồng với các đối tác kinh doanh
EG04 Tài chính Chất lượng tài chính Khảo sát mức độ hài lòng của các bên liên quan chính về
thông tin minh bạch, hiểu biết và chính xác của doanh nghiệp
thông tin tài chính
Chi phí do không tuân thủ các quy định liên quan đến tài chính
quy định
EG05 Khách hàng Dịch vụ hướng tới khách hàng Số lần gián đoạn dịch vụ khách hàng
văn hoá Phần trăm các bên liên quan trong kinh doanh hài lòng rằng khách hàng
cung cấp dịch vụ đáp ứng mức độ đã thỏa thuận
Số lượng khiếu nại của khách hàng

Xu hướng kết quả khảo sát mức độ hài lòng của khách hàng
EG06 Khách hàng Tính liên tục của dịch vụ kinh doanh Số lượng dịch vụ khách hàng hoặc quy trình kinh doanh
và tính sẵn có sự gián đoạn gây ra sự cố nghiêm trọng
Chi phí kinh doanh của sự cố
Số giờ xử lý công việc bị mất do

gián đoạn dịch vụ ngoài kế hoạch
Phần trăm khiếu nại là một chức năng của các mục tiêu về tính sẵn có
của dịch vụ đã cam kết
EG07 Khách hàng Chất lượng quản lý Mức độ hài lòng của hội đồng quản trị và ban điều hành
thông tin với thông tin ra quyết định
Số sự cố do kinh doanh không đúng
quyết định dựa trên thông tin không chính xác
Thời gian cung cấp thông tin hỗ trợ để thực hiện hiệu quả
quyết định kinh doanh
Tính kịp thời của thông tin quản lý
29

Hình 4.17—Tầng mục tiêu: Mục tiêu và số liệu của doanh nghiệp (tiếp theo)
Tham khảo Ví dụ về chỉ số Mục tiêu Doanh nghiệp Thứ nguyên BSC
EG08 Nội bộ Tối ưu hóa nội bộ Mức độ hài lòng của hội đồng quản trị và ban điều hành
quá trình kinh doanh với khả năng xử lý kinh doanh
chức năng Mức độ hài lòng của khách hàng đối với dịch vụ cung cấp
khả năng
Mức độ hài lòng của nhà cung cấp với chuỗi cung ứng
khả năng
EG09 Nội bộ Tối ưu hóa kinh doanh Tỷ lệ chi phí so với mức độ dịch vụ đạt được
chi phí quá trình Mức độ hài lòng của hội đồng quản trị và ban điều hành
với chi phí xử lý kinh doanh
EG10 Nội bộ Kỹ năng, động lực của nhân viên và Năng suất của nhân viên so với tiêu chuẩn
năng suất Mức độ hài lòng của các bên liên quan với chuyên môn của nhân viên và
kỹ năng
Tỷ lệ nhân viên không có đủ kỹ năng so với
năng lực cần thiết cho vai trò của họ

Tỷ lệ nhân viên hài lòng
EG11 Nội bộ Tuân thủ nội quy Số vụ việc liên quan đến việc không tuân thủ chính sách
chính sách Phần trăm các bên liên quan hiểu được chính sách
Phần trăm chính sách được hỗ trợ bởi các tiêu chuẩn hiệu quả và
thực tiễn làm việc
EG12 Sự phát triển Kỹ thuật số được quản lý Số lượng chương trình đúng thời hạn và trong ngân sách
chương trình chuyển đổi Phần trăm các bên liên quan hài lòng với việc thực hiện chương trình
Phần trăm chương trình chuyển đổi doanh nghiệp bị dừng

Phần trăm các chương trình chuyển đổi kinh doanh có hỗ trợ thường xuyên
báo cáo cập nhật trạng thái
EG13 Sự phát triển Sản phẩm và kinh doanh Mức độ nhận thức và hiểu biết về doanh nghiệp
sự đổi mới cơ hội đổi mới
Sự hài lòng của các bên liên quan với mức độ của sản phẩm và
chuyên môn và ý tưởng đổi mới
Số lượng sáng kiến sản phẩm và dịch vụ được phê duyệt
bắt nguồn từ những ý tưởng đổi mới
4.6.2 Mục tiêu liên kết
Các mục tiêu của doanh nghiệp xếp theo các mục tiêu liên kết. Hình 4.18 chứa tập hợp các mục tiêu căn chỉnh và các số liệu ví dụ.
Hình 4.18—Tầng mục tiêu: Các mục tiêu và số liệu thống nhất
Thẩm quyền giải quyết CNTT BSC Mục tiêu căn chỉnh Số liệu
Kích thước
AG01 Tài chính Tuân thủ và hỗ trợ I&T Chi phí do không tuân thủ CNTT, bao gồm các khoản bồi thường và tiền phạt,
về việc tuân thủ kinh doanh với và tác động của việc mất uy tín
luật pháp và quy định bên ngoài Số lượng các vấn đề không tuân thủ liên quan đến CNTT được báo cáo tới
hội đồng quản trị hoặc gây bình luận công khai hoặc gây bối rối
Số lượng các vấn đề không tuân thủ liên quan đến hợp đồng
thỏa thuận với các nhà cung cấp dịch vụ CNTT
AG02 Tài chính Quản lý rủi ro liên quan đến I&T Tần suất cập nhật hồ sơ rủi ro phù hợp
Phần trăm đánh giá rủi ro doanh nghiệp bao gồm rủi ro liên
quan đến I&T
Số lượng sự cố quan trọng liên quan đến I&T chưa được xử lý

được xác định trong đánh giá rủi ro
30

CHƯƠNG 4
Hình 4.18—Tầng mục tiêu: Các mục tiêu và số liệu thống nhất (tiếp theo)
Kích thước
AG03 Tài chính Lợi ích hiện thực hóa từ các Phần trăm các khoản đầu tư hỗ trợ I&T được yêu cầu
khoản đầu tư hỗ trợ I&T và lợi ích trong trường hợp kinh doanh được đáp ứng hoặc vượt quá
danh mục dịch vụ Phần trăm dịch vụ I&T mang lại lợi ích dự kiến (như
nêu trong thỏa thuận cấp độ dịch vụ) được thực hiện
AG04 Tài chính Chất lượng liên quan đến công nghệ Sự hài lòng của các bên liên quan chính về mức độ
thông tin tài chính tính minh bạch, hiểu biết và tính chính xác của tài chính CNTT
thông tin
Phần trăm dịch vụ I&T được xác định và phê duyệt

chi phí hoạt động và lợi ích dự kiến
AG05 Khách hàng Cung cấp dịch vụ I&T theo dây chuyền Phần trăm các bên liên quan trong doanh nghiệp hài lòng rằng dịch vụ CNTT
với yêu cầu kinh doanh giao hàng đáp ứng mức độ dịch vụ đã thỏa thuận
Số lượng gián đoạn kinh doanh do dịch vụ CNTT

sự cố
Tỷ lệ người dùng hài lòng với chất lượng dịch vụ CNTT

vận chuyển
AG06 Khách hàng Nhanh nhẹn chuyển hướng kinh doanh Mức độ hài lòng của các nhà điều hành doanh nghiệp với CNTT
yêu cầu đưa vào vận hành khả năng đáp ứng yêu cầu mới
các giải pháp Thời gian tiếp thị trung bình cho các dịch vụ và dịch vụ liên quan đến I&T mới
các ứng dụng

Thời gian trung bình để biến các mục tiêu chiến lược I&T thành
sáng kiến đã được thống nhất và phê duyệt
Số lượng quy trình kinh doanh quan trọng được hỗ trợ bởi cơ sở hạ
tầng và ứng dụng cập nhật
AG07 Nội bộ Bảo mật thông tin, Số sự cố bảo mật gây tổn thất tài chính,
cơ sở hạ tầng xử lý và sự gián đoạn kinh doanh hoặc sự xấu hổ của công chúng
ứng dụng và quyền riêng tư Số sự cố về tính sẵn có gây tổn thất tài chính,
sự gián đoạn kinh doanh hoặc sự xấu hổ của công chúng
Số sự cố về liêm chính gây tổn thất tài chính,
sự gián đoạn kinh doanh hoặc sự xấu hổ của công chúng
AG08 Nội bộ Kích hoạt và hỗ trợ Thời gian thực hiện các dịch vụ hoặc quy trình kinh doanh
quy trình kinh doanh bằng Số chương trình kinh doanh hỗ trợ I&T bị trì hoãn hoặc
tích hợp các ứng dụng và phát sinh thêm chi phí do tích hợp công nghệ
công nghệ vấn đề
Số lượng thay đổi quy trình kinh doanh cần thực hiện
bị trì hoãn hoặc làm lại vì tích hợp công nghệ
vấn đề
Số lượng ứng dụng hoặc cơ sở hạ tầng quan trọng

hoạt động trong các silo và không được tích hợp
AG09 Nội bộ Cung cấp các chương trình đúng thời gian, Số lượng chương trình/dự án đúng thời hạn và trong ngân sách
về ngân sách và cuộc họp Số lượng chương trình cần làm lại đáng kể do
yêu cầu và chất lượng khiếm khuyết về chất lượng
tiêu chuẩn Phần trăm các bên liên quan hài lòng với chương trình/dự án
chất lượng
AG10 Nội bộ Chất lượng quản lý CNTT Mức độ hài lòng của người sử dụng về chất lượng, tính kịp thời và
thông tin sự sẵn có của thông tin quản lý liên quan đến I&T, thực hiện
tính đến các nguồn lực sẵn có
Tỷ lệ và mức độ của các quyết định kinh doanh sai lầm trong đó
thông tin liên quan đến I&T bị sai hoặc không có sẵn là chìa khóa
nhân tố
Tỷ lệ thông tin đáp ứng tiêu chí chất lượng
31

Hình 4.18—Tầng mục tiêu: Các mục tiêu và số liệu thống nhất (tiếp theo)
Kích thước
AG11 Nội bộ Tuân thủ chính sách nội bộ về CNTT Số sự cố liên quan đến việc không tuân thủ các chính sách liên
quan đến CNTT
Số trường hợp ngoại lệ đối với chính sách nội bộ
Tần suất xem xét và cập nhật chính sách Phần
AG12 Học tập và Đội ngũ nhân viên có năng lực trăm doanh nhân am hiểu về CNTT (tức là những người có
Sự phát triển và năng động, có kiến thức và hiểu biết cần thiết về I&T để hướng dẫn, chỉ đạo, đổi mới
hiểu biết lẫn nhau về công nghệ và và nhìn thấy các cơ hội về I&T cho lĩnh vực chuyên môn của họ)
kinh doanh
Phần trăm nhân viên CNTT hiểu biết về kinh doanh (tức là những người
có kiến thức và hiểu biết cần thiết về các lĩnh vực kinh
doanh liên quan để hướng dẫn, chỉ đạo, đổi mới và nhìn thấy
các cơ hội về CNTT&T cho lĩnh vực kinh doanh)

Số lượng hoặc phần trăm doanh nhân có kinh nghiệm quản lý công nghệ
Mức độ nhận thức và hiểu biết
AG13 Học tập và Kiến thức, chuyên môn và sáng của người điều hành doanh nghiệp về các khả năng đổi mới I&T
Sự phát triển kiến đổi mới kinh doanh
Số lượng sáng kiến được phê duyệt là kết quả của các sáng kiến đổi mới
Ý tưởng CNTT
Số lượng doanh nghiệp đổi mới sáng tạo được công nhận/trao thưởng
32

CHƯƠNG 5
MỤC TIÊU QUẢN LÝ VÀ QUẢN TRỊ COBIT
Chương 5
Mục tiêu quản lý và quản trị COBIT
5.1 Mục đích
Trong phần 4.2, hình 4.2, mô hình cốt lõi của COBIT đã được trình bày, bao gồm 40 cơ chế quản lý và điều hành.
mục tiêu. Hình 5.1 liệt kê tất cả các mục tiêu quản lý và điều hành, mỗi mục tiêu đều có tuyên bố mục đích riêng. Các
Tuyên bố mục đích là sự trình bày chi tiết hơn—mức độ chi tiết tiếp theo—của từng mục tiêu quản lý và điều hành.
Hình 5.1—Mô hình cốt lõi COBIT: Mục tiêu và mục đích quản trị và quản lý
Tên tham chiếu Mục đích
EDM01 Khung quản trị được đảm bảo Cung cấp một cách tiếp cận nhất quán, tích hợp và phù hợp với
thiết lập và bảo trì phương pháp quản trị doanh nghiệp. Các quyết định liên quan đến I&T phải được
được thực hiện phù hợp với chiến lược và mục tiêu của doanh nghiệp và
giá trị mong muốn được thực hiện. Để đạt được mục tiêu đó, hãy đảm bảo rằng các hoạt động liên quan đến I&T
các quy trình được giám sát hiệu quả và minh bạch; Tuân thủ
với các yêu cầu pháp lý, hợp đồng và quy định được xác nhận;
và các yêu cầu về quản trị đối với thành viên hội đồng quản trị được đáp ứng.
EDM02 Đảm bảo cung cấp lợi ích Đảm bảo giá trị tối ưu từ các sáng kiến, dịch vụ và dịch vụ hỗ trợ I&T
tài sản; cung cấp các giải pháp và dịch vụ hiệu quả về mặt chi phí; và một
bức tranh đáng tin cậy và chính xác về chi phí và lợi ích có thể có để
nhu cầu kinh doanh được hỗ trợ một cách hiệu quả và hiệu quả.
EDM03 Đảm bảo tối ưu hóa rủi ro Đảm bảo rằng rủi ro doanh nghiệp liên quan đến I&T không vượt quá mức cho phép
khẩu vị rủi ro và khả năng chấp nhận rủi ro của doanh nghiệp, tác động của rủi ro I&T
giá trị doanh nghiệp được xác định và quản lý, đồng thời tiềm năng
lỗi tuân thủ được giảm thiểu.
EDM04 Đảm bảo tối ưu hóa tài nguyên Đảm bảo đáp ứng nhu cầu nguồn lực của doanh nghiệp trong
cách tối ưu, chi phí I&T được tối ưu hóa và có sự gia tăng
khả năng hiện thực hóa lợi ích và sẵn sàng cho sự thay đổi trong tương lai.
EDM05 Đảm bảo sự tham gia của các bên liên quan Đảm bảo rằng các bên liên quan ủng hộ chiến lược I&T và
lộ trình, thông tin liên lạc tới các bên liên quan có hiệu quả và kịp thời,
và cơ sở cho việc báo cáo được thiết lập để nâng cao hiệu quả hoạt động.
Xác định các lĩnh vực cần cải tiến và xác nhận rằng các vấn đề liên quan đến I&T
mục tiêu và chiến lược phù hợp với chiến lược của doanh nghiệp.
APO01 Quản lý I&T được quản lý Triển khai phương pháp quản lý nhất quán cho doanh nghiệp
khuôn khổ yêu cầu quản trị phải được đáp ứng, bao gồm quản trị
các thành phần như quy trình quản lý; tổ chức
cấu trúc; vai trò và trách nhiệm; hoạt động đáng tin cậy và có thể lặp lại;
mục thông tin; chính sách và thủ tục; Kỹ năng và năng lực;
văn hóa và hành vi; và dịch vụ, cơ sở hạ tầng và ứng dụng.
APO02 Chiến lược được quản lý Hỗ trợ chiến lược chuyển đổi kỹ thuật số của tổ chức và
mang lại giá trị mong muốn thông qua lộ trình tăng dần
những thay đổi. Sử dụng cách tiếp cận I&T toàn diện, đảm bảo rằng mỗi sáng kiến
được kết nối rõ ràng với một chiến lược tổng thể. Cho phép thay đổi trong
tất cả các khía cạnh khác nhau của tổ chức, từ các kênh và
quy trình về dữ liệu, văn hóa, kỹ năng, mô hình hoạt động và các biện pháp khuyến khích.
APO03 Kiến trúc doanh nghiệp được quản lý Đại diện cho các khối xây dựng khác nhau tạo nên doanh nghiệp
và mối quan hệ qua lại của nó, cũng như các nguyên tắc hướng dẫn chúng
thiết kế và phát triển theo thời gian, để cho phép một tiêu chuẩn, đáp ứng
và thực hiện hiệu quả các mục tiêu hoạt động và chiến lược.
APO04 Đổi mới được quản lý Đạt được lợi thế cạnh tranh, đổi mới kinh doanh, cải tiến
trải nghiệm của khách hàng, cải thiện hiệu quả hoạt động và
hiệu quả bằng cách khai thác sự phát triển I&T và các công nghệ mới nổi.
33
Hình 5.1—Mô hình cốt lõi COBIT: Mục tiêu và mục đích quản trị và quản lý (tiếp theo)
Thẩm quyền giải quyết Tên Mục đích
APO05 Danh mục đầu tư được quản lý Tối ưu hóa hiệu suất của danh mục tổng thể các chương trình trong
phản ứng với từng chương trình, hiệu suất sản phẩm và dịch vụ
và thay đổi các ưu tiên và nhu cầu của doanh nghiệp.
APO06 Ngân sách và chi phí được quản lý Thúc đẩy mối quan hệ hợp tác giữa CNTT và các bên liên quan trong doanh nghiệp để
cho phép sử dụng hiệu quả và hiệu quả các nguồn lực liên quan đến I&T và
cung cấp sự minh bạch và trách nhiệm giải trình về chi phí và hoạt động kinh doanh
giá trị của giải pháp và dịch vụ. Tạo điều kiện cho doanh nghiệp thực hiện
các quyết định sáng suốt liên quan đến việc sử dụng các giải pháp I&T và
dịch vụ.
APO07 Nguồn nhân lực được quản lý Tối ưu hóa năng lực nhân sự đáp ứng doanh nghiệp
mục tiêu.
APO08 Mối quan hệ được quản lý Tạo điều kiện cho kiến thức, kỹ năng và hành vi phù hợp để tạo ra
kết quả được cải thiện, tăng cường sự tự tin, sự tin cậy lẫn nhau và
sử dụng hiệu quả các nguồn lực nhằm kích thích mối quan hệ hiệu quả
với các bên liên quan trong kinh doanh.
APO09 Thỏa thuận dịch vụ được quản lý Đảm bảo rằng các sản phẩm, dịch vụ và mức độ dịch vụ I&T đáp ứng được các yêu cầu hiện tại
và nhu cầu của doanh nghiệp trong tương lai.
APO10 Nhà cung cấp được quản lý Tối ưu hóa năng lực I&T sẵn có để hỗ trợ chiến lược I&T và
lộ trình, giảm thiểu rủi ro liên quan đến hoạt động không hiệu quả hoặc
các nhà cung cấp không tuân thủ và đảm bảo giá cả cạnh tranh.
APO11 Chất lượng được quản lý Đảm bảo cung cấp nhất quán các giải pháp và dịch vụ công nghệ cho
đáp ứng yêu cầu chất lượng của doanh nghiệp và đáp ứng
nhu cầu của các bên liên quan.
APO12 Rủi ro được quản lý Tích hợp quản lý rủi ro doanh nghiệp liên quan đến I&T với
quản lý rủi ro doanh nghiệp tổng thể (ERM) và cân bằng chi phí
và lợi ích của việc quản lý rủi ro doanh nghiệp liên quan đến I&T.
APO13 Bảo mật được quản lý Giữ nguyên tác động và diễn biến của các sự cố an toàn thông tin
trong mức độ chấp nhận rủi ro của doanh nghiệp.
APO14 Dữ liệu được quản lý Đảm bảo sử dụng hiệu quả các tài sản dữ liệu quan trọng để đạt được
mục tiêu và mục đích của doanh nghiệp.
BAI01 Chương trình được quản lý Hiện thực hóa giá trị kinh doanh mong muốn và giảm thiểu rủi ro bất ngờ
sự chậm trễ, chi phí và xói mòn giá trị. Để làm được điều đó, hãy cải thiện
thông tin liên lạc và sự tham gia của doanh nghiệp và người dùng cuối,
đảm bảo giá trị và chất lượng của các sản phẩm và hoạt động tiếp theo của chương trình
của các dự án trong các chương trình, và tối đa hóa chương trình
đóng góp vào danh mục đầu tư.
BAI02 Định nghĩa yêu cầu được quản lý Tạo ra các giải pháp tối ưu đáp ứng nhu cầu doanh nghiệp đồng thời
giảm thiểu rủi ro.
BAI03 Nhận dạng giải pháp được quản lý Đảm bảo cung cấp các sản phẩm và dịch vụ kỹ thuật số một cách linh hoạt và có thể mở rộng.
và xây dựng Thiết lập các giải pháp kịp thời và hiệu quả về mặt chi phí (công nghệ, kinh doanh)
quy trình và quy trình công việc) có khả năng hỗ trợ doanh nghiệp
mục tiêu chiến lược và hoạt động.
BAI04 Tính sẵn sàng và năng lực được quản lý Duy trì tính sẵn sàng của dịch vụ, quản lý hiệu quả các nguồn lực
và tối ưu hóa hiệu suất hệ thống thông qua dự đoán
yêu cầu về hiệu suất và năng lực trong tương lai.
BAI05 Thay đổi tổ chức được quản lý Chuẩn bị và cam kết với các bên liên quan về việc thay đổi hoạt động kinh doanh và giảm thiểu
nguy cơ thất bại.
BAI06 Những thay đổi về CNTT được quản lý Cho phép cung cấp sự thay đổi nhanh chóng và đáng tin cậy cho doanh nghiệp.
Giảm thiểu rủi ro tác động tiêu cực đến sự ổn định hoặc tính toàn vẹn của
môi trường đã thay đổi.
BAI07 Chấp nhận thay đổi CNTT được quản lý Triển khai các giải pháp an toàn, đúng cam kết đã thỏa thuận
và chuyển tiếp mong đợi và kết quả.
34

CHƯƠNG 5
MỤC TIÊU QUẢN LÝ VÀ QUẢN TRỊ COBIT
Hình 5.1—Mô hình cốt lõi COBIT: Mục tiêu và mục đích quản trị và quản lý (tiếp theo)
Thẩm quyền giải quyết Tên Mục đích
BAI08 Quản lý kiến thức Cung cấp kiến thức và thông tin quản lý cần thiết để
hỗ trợ toàn thể nhân viên trong việc quản trị và điều hành doanh nghiệp
I&T và cho phép đưa ra quyết định sáng suốt.
BAI09 Tài sản được quản lý Tính đến tất cả tài sản I&T và tối ưu hóa giá trị do tài sản đó mang lại
sử dụng.
BAI10 Cấu hình được quản lý Cung cấp đầy đủ thông tin về tài sản dịch vụ để cho phép
dịch vụ được quản lý một cách hiệu quả. Đánh giá tác động của những thay đổi
và xử lý các sự cố dịch vụ.
BAI11 Dự án được quản lý Hiện thực hóa các kết quả dự án đã xác định và giảm thiểu rủi ro
sự chậm trễ bất ngờ, chi phí và xói mòn giá trị bằng cách cải thiện
truyền thông và sự tham gia của doanh nghiệp và người dùng cuối.
Đảm bảo giá trị và chất lượng của sản phẩm dự án và tối đa hóa
sự đóng góp của họ vào các chương trình và đầu tư đã xác định
danh mục đầu tư.
DSS01 Hoạt động được quản lý Cung cấp kết quả dịch vụ và sản phẩm vận hành I&T theo kế hoạch.
DSS02 Các yêu cầu dịch vụ được quản lý và Đạt được năng suất tăng lên và giảm thiểu sự gián đoạn thông qua
sự cố giải quyết nhanh chóng các truy vấn và sự cố của người dùng. Đánh giá tác động
các thay đổi và giải quyết các sự cố dịch vụ. Giải quyết yêu cầu của người dùng
và khôi phục dịch vụ khi có sự cố.
DSS03 Sự cố được quản lý Tăng tính sẵn sàng, cải thiện mức độ dịch vụ, giảm chi phí, cải thiện
sự thuận tiện và hài lòng của khách hàng bằng cách giảm số lượng
vấn đề vận hành và xác định nguyên nhân gốc rễ như một phần của vấn đề
nghị quyết.
DSS04 Tính liên tục được quản lý Thích ứng nhanh chóng, tiếp tục hoạt động kinh doanh và duy trì
sự sẵn có của các nguồn lực và thông tin ở mức độ có thể chấp nhận được
doanh nghiệp trong trường hợp có sự gián đoạn đáng kể (ví dụ: các mối đe dọa,
cơ hội, nhu cầu).
DSS05 Dịch vụ bảo mật được quản lý Giảm thiểu tác động kinh doanh của hoạt động bảo mật thông tin
lỗ hổng và sự cố.
DSS06 Quy trình kinh doanh được quản lý Duy trì tính toàn vẹn thông tin và bảo mật thông tin
điều khiển tài sản được xử lý trong quá trình kinh doanh tại doanh nghiệp hoặc
hoạt động thuê ngoài.
MEA01 Hiệu suất được quản lý và Cung cấp sự minh bạch về hiệu suất, sự phù hợp và động lực
giám sát sự phù hợp việc đạt được các mục tiêu.
MEA02 Hệ thống kiểm soát nội bộ được quản lý Đạt được sự minh bạch cho các bên liên quan chính về tính đầy đủ của hệ thống
hệ thống kiểm soát nội bộ và do đó mang lại sự tin cậy trong hoạt động,
niềm tin vào việc đạt được các mục tiêu của doanh nghiệp và
hiểu biết đầy đủ về rủi ro tồn dư.
MEA03 Quản lý tuân thủ với bên ngoài Đảm bảo rằng doanh nghiệp tuân thủ tất cả các quy định hiện hành bên ngoài
yêu cầu yêu cầu.
MEA04 Đảm bảo được quản lý Cho phép tổ chức thiết kế và phát triển hiệu quả và
các sáng kiến đảm bảo hiệu quả, cung cấp hướng dẫn về lập kế hoạch,
xác định phạm vi, thực hiện và theo dõi việc xem xét đảm bảo bằng cách sử dụng
lộ trình dựa trên các phương pháp đảm bảo được chấp nhận tốt.
35
36

CHƯƠNG 6
QUẢN LÝ HIỆU SUẤT TRONG COBIT
Chương 6
Quản lý hiệu suất trong COBIT
6.1 Định nghĩa
Quản lý hiệu suất là một phần thiết yếu của hệ thống quản lý và điều hành. “Quản lý hiệu suất” là một thuật ngữ chung cho tất cả
các hoạt động và phương pháp. Nó thể hiện hệ thống quản trị và điều hành cũng như tất cả các thành phần của doanh nghiệp
hoạt động tốt như thế nào cũng như cách chúng có thể được cải thiện để đạt được mức yêu cầu. Nó bao gồm các khái niệm và
phương pháp như mức độ năng lực và mức độ trưởng thành. COBIT sử dụng thuật ngữ quản lý hiệu suất COBIT (CPM) để
mô tả các hoạt động này và khái niệm này là một phần không thể thiếu trong khuôn khổ COBIT.
6.2 Nguyên tắc quản lý hiệu suất COBIT
COBIT® 2019 dựa trên các nguyên tắc sau:
1. CPM phải đơn giản để hiểu và sử dụng.
2. CPM phải nhất quán và hỗ trợ mô hình khái niệm COBIT. Nó phải cho phép quản lý hiệu quả hoạt động của tất cả các loại thành
phần của hệ thống quản trị; phải có khả năng quản lý hiệu suất của các quy trình cũng như hiệu suất của các loại
thành phần khác (ví dụ: cơ cấu tổ chức hoặc thông tin), nếu người dùng muốn làm như vậy.
3. CPM phải cung cấp kết quả đáng tin cậy, có thể lặp lại và phù hợp.
4. CPM phải linh hoạt để có thể hỗ trợ các yêu cầu của các tổ chức khác nhau với các mức độ ưu tiên khác nhau
và nhu cầu.
5. CPM nên hỗ trợ các loại hình đánh giá khác nhau, từ tự đánh giá đến đánh giá hoặc kiểm toán chính thức.
6.3 Tổng quan về quản lý hiệu suất COBIT
Mô hình CPM (hình 6.1) phần lớn phù hợp và mở rộng các khái niệm CMMI® Development V2.0201 :
Các hoạt động của quy trình gắn liền với mức độ năng lực. Điều này được bao gồm trong COBIT® Khung 2019: Hướng dẫn về Mục tiêu
Quản trị và Quản trị. Các loại thành
phần quản lý và điều hành khác (ví dụ: cơ cấu tổ chức, thông tin) cũng có thể có các cấp độ năng lực được xác định cho chúng
trong hướng dẫn trong tương lai. Mức độ trưởng thành
gắn liền với các lĩnh vực trọng tâm (nghĩa là tập hợp các mục tiêu quản trị và quản lý và
các thành phần cơ bản) và sẽ đạt được nếu đạt được tất cả các mức năng lực cần thiết.
1
20 CMMI® Development V2.0, Viện CMMI, Hoa Kỳ, 2018, https: //cmmiinst acad.com/model-viewer/dashboard
37

Hình 6.1—Mức độ năng lực
COBIT 5 PAM
(ISO/IEC 15504 CMMI 2.0 Cập nhật COBIT
ISO/IEC 33000)
Trưởng thành Trưởng thành
Quy trình Khả năng Khả năng Khả năng
Các loại thành phần quản trị Khả năng

và quản lý khác
Nếu doanh nghiệp mong muốn tiếp tục sử dụng mô hình năng lực xử lý COBIT 5 dựa trên Tổ chức Tiêu chuẩn hóa Quốc tế (ISO)/Ủy ban Kỹ thuật Điện
Quốc tế (IEC) 15504 (nay là ISO/IEC 33000, trong đó các cấp độ năng lực có ý nghĩa rất khác nhau), thì tất cả các doanh nghiệp đều
phải đáp ứng yêu cầu này. thông tin để thực hiện điều đó trong Khung COBIT® 2019: Mục tiêu quản lý và quản trị. Không cần xuất bản
ấn phẩm về mô hình đánh giá quy trình (PAM) riêng biệt và chúng cũng sẽ không được cung cấp COBIT® 2019.
Trong COBIT® 2019, kết quả quy trình rõ ràng hoặc mục tiêu quy trình được thay thế bằng chính các quy trình thực hành.
Điều này dẫn đến tình huống sau đây đối với việc đánh giá ISO/IEC33000:
1. Kết quả của quá trình hiện được liên kết với các hoạt động thực hiện quy trình trên cơ sở 1-1 (tức là kết quả của quá trình là sự
hoàn thành thành công của các hoạt động thực hành quy trình). Lưu ý: các hoạt động thực hành quy trình được xây dựng dưới dạng thực
tiễn và kết quả có thể được rút ra từ đó. Ví dụ: APO01.01 Thiết kế hệ thống quản lý cho doanh nghiệp I&T có kết quả quá trình APO01.01:
Một hệ thống quản lý cho doanh nghiệp I&T được thiết kế.
2. Các biện pháp thực hành cơ bản tương đương với các biện pháp thực hành quy trình COBIT® 2019 cho từng mục tiêu quản lý và quản trị.
3. Các sản phẩm công việc tương đương với các Luồng và Mục thông tin thuộc thành phần C trong mỗi mục tiêu
quản lý/quản trị.
Do đó, việc ánh xạ kết quả tới các thực tiễn cơ bản và sản phẩm công việc đều được thực hiện theo định nghĩa trong COBIT® 2019.
6.4 Quản lý hiệu suất của các quy trình
6.4.1 Mức năng lực quá trình
COBIT® 2019 hỗ trợ sơ đồ khả năng xử lý dựa trên CMMI. Quy trình trong mỗi mục tiêu quản trị và điều hành có thể hoạt động ở
nhiều cấp độ năng lực khác nhau, từ 0 đến 5. Cấp độ năng lực là thước đo mức độ triển khai và hoạt động của một quy trình. Hình 6.2 mô tả
mô hình, mức độ năng lực ngày càng tăng và đặc điểm chung của từng mô hình.
38

CHƯƠNG 6
Hình 6.2—Mức năng lực cho các quy trình
Quá trình đạt được mục đích của nó, được xác
5
định rõ ràng, hiệu suất của nó được đo lường
để cải thiện hiệu suất và cải tiến liên tục
được theo đuổi.
4 Quá trình đạt được mục đích của nó, được xác định rõ ràng và hiệu
suất của nó được đo lường (định lượng).
3 Quá trình đạt được mục đích của nó theo cách có tổ chức hơn nhiều bằng cách sử dụng
tài sản của tổ chức. Các quy trình thường được xác định rõ ràng.
2
Quá trình này đạt được mục đích thông qua việc áp dụng một tập hợp các hoạt động cơ bản nhưng đầy đủ có
thể được mô tả là đã được thực hiện.
Quá trình này ít nhiều đạt được mục đích của nó thông qua việc áp dụng một tập hợp các hoạt động chưa hoàn chỉnh có thể được mô
1 tả là ban đầu hoặc trực quan - không được tổ chức chặt chẽ.
• Thiếu bất kỳ năng lực cơ bản nào
0 • Cách tiếp cận chưa đầy đủ để giải quyết mục đích quản trị và quản lý • Có thể đáp ứng
hoặc không đáp ứng được mục đích của bất kỳ hoạt động thực hành quy trình nào
Mô hình cốt lõi COBIT chỉ định các mức năng lực cho tất cả các hoạt động của quy trình, cho phép xác định rõ ràng các quy
trình và hoạt động cần thiết để đạt được các mức năng lực khác nhau. Xem Khung COBIT® 2019: Mục tiêu quản lý và quản trị để
biết thêm chi tiết.
6.4.2 Hoạt động của quá trình xếp hạng
Mức năng lực có thể đạt được ở các mức độ khác nhau, có thể được thể hiện bằng một tập hợp các xếp hạng. Phạm vi xếp
hạng có sẵn tùy thuộc vào bối cảnh thực hiện đánh giá hiệu suất:
Một số phương pháp chính thức dẫn đến chứng nhận độc lập sử dụng bộ xếp hạng nhị phân đạt/không đạt. Các phương pháp ít trang trọng hơn (thường được sử dụng trong bối
cảnh cải thiện hiệu suất) hoạt động tốt hơn với phạm vi xếp hạng lớn hơn,
chẳng hạn như tập hợp sau:
Hoàn toàn— Mức khả năng đạt được trên 85 phần trăm. (Đây vẫn là một lời kêu gọi phán xét, nhưng nó có thể được chứng
minh bằng việc kiểm tra hoặc đánh giá các thành phần của yếu tố hỗ trợ, chẳng hạn như các hoạt động quy trình, mục
tiêu quy trình hoặc các phương pháp hay về cơ cấu tổ chức.)
Phần lớn— Mức năng lực đạt được từ 50% đến 85%. Một phần— Mức năng lực đạt được
từ 15% đến 50%. Không—Mức năng lực đạt được dưới 15%.
6.4.3 Mức độ trưởng thành của lĩnh vực trọng tâm
Đôi khi cần có mức cao hơn để thể hiện hiệu suất mà không có mức độ chi tiết áp dụng cho xếp hạng khả năng xử lý riêng
lẻ. Mức độ trưởng thành có thể được sử dụng cho mục đích đó. COBIT® 2019 xác định mức độ trưởng thành là thước đo hiệu
suất ở cấp lĩnh vực trọng tâm, như trong hình 6.3.
39

Hình 6.3—Mức độ trưởng thành của các lĩnh vực trọng tâm
Tối ưu hóa—Doanh nghiệp tập trung

5 vào việc cải tiến liên tục.
4 Định lượng—Doanh nghiệp được định hướng theo dữ liệu với sự cải
thiện hiệu suất về mặt định lượng.
3 Được xác định—Các tiêu chuẩn toàn doanh nghiệp cung cấp hướng dẫn cho toàn doanh nghiệp.
2
Được quản lý—Việc lập kế hoạch và đo lường hiệu suất được thực hiện, mặc dù
chưa được chuẩn hóa.
1 Ban đầu—Công việc đã hoàn thành nhưng mục tiêu và mục đích đầy đủ của lĩnh vực trọng tâm vẫn chưa đạt được.
0 Chưa hoàn thành—Công việc có thể được hoàn thành hoặc không để đạt được mục đích quản trị và các mục tiêu quản lý trong
lĩnh vực trọng tâm.
Mức độ trưởng thành gắn liền với các lĩnh vực trọng tâm (tức là tập hợp các mục tiêu quản lý và điều hành cũng như
các thành phần cơ bản) và đạt được mức độ trưởng thành nhất định nếu tất cả các quy trình trong lĩnh vực trọng tâm
đạt được mức năng lực cụ thể đó.
6.5 Quản lý hiệu quả hoạt động của các thành phần hệ thống quản trị khác
6.5.1 Quản lý hiệu quả hoạt động của cơ cấu tổ chức
Mặc dù không có phương pháp chính thức hoặc được chấp nhận chung nào để đánh giá cơ cấu tổ chức nhưng chúng có thể
được đánh giá ít chính thức hơn theo các tiêu chí sau. Đối với mỗi tiêu chí, có thể xác định một số tiêu chí phụ,
liên kết với các cấp độ năng lực khác nhau. Các tiêu chí là:
Thực hiện thành công các quy trình thực hành mà cơ cấu tổ chức (hoặc vai trò) có trách nhiệm giải trình hoặc chịu trách
nhiệm (tương ứng là A hoặc R trong biểu đồ chịu trách nhiệm-có trách nhiệm-được tư vấn-được thông tin đầy đủ [RACI])
Áp dụng thành công một số kinh nghiệm tốt cho cơ cấu tổ chức như:
Nguyên tắc hoạt động
- Cơ cấu tổ chức được chính thức thành lập.
- Cơ cấu tổ chức có nhiệm vụ rõ ràng, được lập thành văn bản và được hiểu rõ.
- Nguyên tắc hoạt động được ghi lại.
- Các cuộc họp định kỳ diễn ra theo quy định tại nguyên tắc hoạt động.
- Báo cáo/biên bản cuộc họp có sẵn và có ý nghĩa.
Thành phần
- Cơ cấu tổ chức được chính thức thành lập.
40

CHƯƠNG 6
Phạm vi kiểm soát
- Cơ cấu tổ chức có nhiệm vụ rõ ràng, được lập thành văn bản và được hiểu rõ.
- Nguyên tắc hoạt động được ghi lại.
- Các cuộc họp định kỳ diễn ra theo quy định tại nguyên tắc hoạt động.
- Có sẵn các báo cáo/biên bản cuộc họp và có ý nghĩa.
Mức độ thẩm quyền và quyền quyết định
- Quyền quyết định của cơ cấu tổ chức được xác định và ghi lại.
- Quyền quyết định của cơ cấu tổ chức được tôn trọng và tuân thủ (cũng là vấn đề văn hóa/hành vi).
Phân quyền
- Việc ủy quyền được thực hiện một cách có ý nghĩa.
Thủ tục nâng cấp
- Các thủ tục nâng cấp được xác định và áp dụng.
Áp dụng thành công một số phương pháp quản lý cơ cấu tổ chức (các phương pháp phi chức năng phát sinh từ
quan điểm cơ cấu tổ chức): Xác định mục tiêu hoạt
động của cơ cấu tổ chức. Hiệu suất của cơ cấu tổ chức được lập kế hoạch và
giám sát. Hiệu quả hoạt động của cơ cấu tổ chức được điều chỉnh để
đáp ứng kế hoạch. Các nguồn lực và thông tin cần thiết cho cơ cấu tổ
chức được xác định, cung cấp, phân bổ

và được sử dụng.
Các mối liên hệ giữa cơ cấu tổ chức và các bên liên quan khác được quản lý để đảm bảo cả hiệu quả
giao tiếp và phân công trách nhiệm rõ ràng.
Đánh giá thường xuyên dẫn đến sự cải tiến liên tục cần thiết của cơ cấu tổ chức—trong
thành phần, nhiệm vụ hoặc bất kỳ tham số nào khác.
Đối với các quy trình, mức năng lực thấp yêu cầu phải đáp ứng một tập hợp con các tiêu chí này và mức năng lực cao hơn yêu
cầu phải đáp ứng tất cả các tiêu chí. Tuy nhiên, như đã chỉ ra, không có sơ đồ được chấp nhận chung nào để đánh giá cơ cấu tổ
chức. Tuy nhiên, điều này không ngăn cản doanh nghiệp xác định sơ đồ năng lực của riêng mình cho cơ cấu tổ chức.
6.5.2 Quản lý hiệu suất của các mục thông tin
Thành phần mục thông tin cho hệ thống quản trị I&T ít nhiều tương đương với các sản phẩm công việc quy trình như được mô
tả trong Khung COBIT® 2019: Mục tiêu quản lý và quản trị.
Mặc dù không có phương pháp chính thức hoặc được chấp nhận chung nào để đánh giá các mục thông tin, nhưng chúng có thể được
đánh giá ít chính thức hơn theo mô hình tham chiếu thông tin được trình bày lần đầu trong COBIT® 5: Kích hoạt thông tin. 212
Mô hình này xác định ba tiêu chí chất lượng chính cho thông tin và 15 tiêu chí phụ, như minh họa trong hình 6.4.
2
21 Xem ISACA, COBIT® 5: Thông tin kích hoạt, phần 3.1.2 Mục tiêu, Hoa Kỳ, 2013 , http://www.isaca.org/COBIT/Pages/COBIT-5-Enabling-Information-product-
page.aspx
41

Hình 6.4—Mô hình tham chiếu thông tin: Tiêu chí chất lượng cho thông tin
Mức độ thông tin chính xác và đáng

Sự chính xác tin cậy
Mức độ thông tin không thiên vị, không thành

Tính khách quan
kiến và vô tư
Nội tại
Mức độ thông tin được coi là đúng và đáng

Mức độ mà các giá Độ tin cậy tin cậy
trị dữ liệu phù
hợp với giá trị thực
tế hoặc giá trị thực
Mức độ thông tin được đánh giá cao về
Danh tiếng
mặt nguồn hoặc nội dung của nó
Mức độ thông tin có thể áp dụng và hữu ích

Mức độ liên quan
cho nhiệm vụ hiện tại
Mức độ thông tin không bị thiếu và có

Tính đầy đủ đủ chiều sâu và chiều rộng cho nhiệm
vụ hiện tại
Mức độ thông tin được cập nhật

Tiền tệ
đầy đủ cho nhiệm vụ hiện tại
Mức độ mà khối lượng thông tin

Phù hợp
Số lượng phù hợp với nhiệm vụ hiện tại
Thông tin Ngắn gọn Mức độ thông tin được trình bày
Theo ngữ cảnh
Tiêu chuẩn chất lượng đại diện một cách cô đọng
Mức độ thông tin có

thể áp dụng Nhất quán Mức độ thông tin được trình bày
cho nhiệm vụ của đại diện theo cùng một định dạng
người sử dụng
thông tin và được Mức độ thông tin được trình bày bằng
trình bày một cách Khả năng giải thích ngôn ngữ, ký hiệu và đơn vị thích hợp cũng
dễ hiểu và rõ như các định nghĩa rõ ràng
ràng, thừa nhận
rằng chất lượng Mức độ thông tin được hiểu dễ dàng
thông tin phụ thuộc vào Dễ hiểu
bối cảnh sử dụng
Dễ dàng Mức độ thông tin dễ dàng thao tác và áp

Thao tác dụng cho các nhiệm vụ khác nhau
Mức độ thông tin có sẵn khi được yêu cầu

khả dụng
hoặc có thể truy xuất dễ dàng và nhanh chóng
Bảo vệ/
Sự riêng tư/
Khả năng tiếp cận
Mức độ thông tin có Hạn chế Mức độ truy cập thông tin được hạn chế một
sẵn hoặc có thể thu được Truy cập cách thích hợp đối với các bên được ủy quyền
Một mục thông tin có thể được đánh giá bằng cách xem xét mức độ đạt được các tiêu chí chất lượng liên quan, như được
định nghĩa trong hình 6.4 .
42

CHƯƠNG 6
6.5.3 Quản lý Hiệu quả Văn hóa và Hành vi
Đối với thành phần quản trị văn hóa và hành vi, cần có thể xác định một tập hợp các hành vi mong muốn (và/hoặc không mong
muốn) để quản trị và quản lý CNTT tốt, đồng thời chỉ định các cấp độ năng lực khác nhau cho mỗi hành vi.
Khung COBIT® 2019: Mục tiêu Quản trị và Quản trị xác định các khía cạnh của thành phần văn hóa và hành vi cho hầu hết các mục
tiêu. Từ đó, có thể đánh giá mức độ đáp ứng các điều kiện hoặc hành vi này.
Nội dung lĩnh vực trọng tâm, bao gồm tập hợp chi tiết hơn về các hành vi mong muốn, sẽ được phát triển trong tương lai.
Người dùng nên tham khảo isaca.org/cobit để biết trạng thái mới nhất và hướng dẫn về lĩnh vực trọng tâm hiện có.
43
44

CHƯƠNG 7
THIẾT KẾ HỆ THỐNG QUẢN TRỊ TÙY CHỈNH
Chương 7
Thiết kế hệ thống quản trị phù hợp
7.1 Tác động của các yếu tố thiết kế
Phần này cung cấp cái nhìn tổng quan ở cấp độ cao về tác động tiềm ẩn của các yếu tố thiết kế đối với hệ thống quản trị CNTT&T của
doanh nghiệp. Nó cũng mô tả ở cấp độ cao một quy trình làm việc để thiết kế một hệ thống quản trị phù hợp cho doanh nghiệp.
Bạn có thể tìm thêm thông tin về những chủ đề này trong Hướng dẫn thiết kế COBIT® 2019.
Các yếu tố thiết kế ảnh hưởng theo những cách khác nhau đến việc điều chỉnh hệ thống quản trị của doanh nghiệp. Ấn phẩm
này phân biệt ba loại tác động khác nhau, được minh họa trong hình 7.1.
Hình 7.1—Tác động của các yếu tố thiết kế đến hệ thống quản lý và điều hành
1. Mức độ ưu tiên
của mục
tiêu quản lý
và mức
năng lực
mục tiêu
Thiết kế
Các nhân tố'
Sự va chạm
3. Lĩnh vực 2. Biến thể thành

trọng tâm cụ thể phần
1. Ưu tiên/lựa chọn mục tiêu quản lý— Mô hình cốt lõi COBIT bao gồm 40 yếu tố quản trị và quản lý
mục tiêu, mỗi mục tiêu bao gồm quá trình và một số thành phần liên quan. Về bản chất chúng tương đương nhau; không có thứ
tự ưu tiên tự nhiên giữa chúng. Tuy nhiên, các yếu tố thiết kế có thể ảnh hưởng đến sự tương đương này và làm cho một
số mục tiêu quản trị và quản lý trở nên quan trọng hơn các mục tiêu khác, đôi khi đến mức một số mục tiêu quản trị và quản
lý có thể trở nên không đáng kể. Trong thực tế, tầm quan trọng cao hơn này chuyển thành việc thiết lập mức năng lực mục tiêu
cao hơn cho các mục tiêu quản lý và điều hành quan trọng.
45
Ví dụ: Khi doanh nghiệp xác định (các) mục tiêu doanh nghiệp phù hợp nhất từ danh sách mục tiêu doanh nghiệp và áp dụng tầng mục tiêu,
điều này sẽ dẫn đến việc lựa chọn các mục tiêu quản lý ưu tiên. Ví dụ: khi Danh mục sản phẩm và dịch vụ cạnh tranh của EG01 được
doanh nghiệp xếp hạng rất cao, điều này sẽ khiến mục tiêu quản lý Danh mục được quản lý APO05 trở thành một phần quan trọng trong hệ
thống quản trị của doanh nghiệp này.
Ví dụ: Một doanh nghiệp rất sợ rủi ro sẽ ưu tiên hơn cho các mục tiêu quản lý nhằm quản lý và quản lý rủi ro và an ninh. Mục tiêu
quản trị và quản trị EDM03 Đảm bảo tối ưu hóa rủi ro, APO12 Rủi ro được quản lý, APO13 Bảo mật được quản lý và DSS05 Các dịch
vụ bảo mật được quản lý sẽ trở thành một phần quan trọng trong hệ thống quản trị của doanh nghiệp đó và sẽ có mức năng lực mục tiêu
cao hơn được xác định cho chúng.
Ví dụ: Một doanh nghiệp hoạt động trong bối cảnh có mối đe dọa cao sẽ yêu cầu các quy trình liên quan đến bảo mật có khả năng cao:
Dịch vụ bảo mật được quản lý APO13 và dịch vụ bảo mật được quản lý DSS05.
Ví dụ: Một doanh nghiệp mà vai trò của CNTT là chiến lược và quan trọng đối với sự thành công của doanh nghiệp sẽ đòi hỏi sự tham
gia cao của các vai trò liên quan đến CNTT trong cơ cấu tổ chức, sự hiểu biết thấu đáo về hoạt động kinh doanh của các chuyên gia
CNTT (và ngược lại) và sự tập trung về các quy trình chiến lược như chiến lược được quản lý APO02 và các mối quan hệ
được quản lý APO08.
2. Sự biến đổi của các thành phần—Các thành phần được yêu cầu để đạt được các mục tiêu quản lý và quản trị. Một số yếu tố thiết kế có
thể ảnh hưởng đến tầm quan trọng của một hoặc nhiều thành phần hoặc có thể yêu cầu những thay đổi cụ thể.
Ví dụ: Các doanh nghiệp vừa và nhỏ có thể không cần tập hợp đầy đủ các vai trò và cơ cấu tổ chức như được trình bày trong mô hình
cốt lõi COBIT, nhưng thay vào đó có thể sử dụng một tập hợp rút gọn. Tập hợp các mục tiêu quản lý và quản trị được rút gọn này
cũng như các thành phần đi kèm được xác định trong lĩnh vực trọng tâm là Doanh nghiệp vừa và nhỏ. 221
Ví dụ: Một doanh nghiệp hoạt động trong môi trường được quản lý chặt chẽ sẽ coi trọng các sản phẩm công việc, chính sách
và quy trình được ghi lại bằng văn bản cũng như một số vai trò, ví dụ như chức năng của nhân viên tuân thủ.
Ví dụ: Một doanh nghiệp sử dụng DevOps trong phát triển và vận hành giải pháp sẽ yêu cầu các hoạt động, cơ cấu tổ chức, văn
hóa, v.v. cụ thể, tập trung vào việc xác định và xây dựng các giải pháp được quản lý BAI03 và các hoạt động được quản lý DSS01.
3. Cần có các lĩnh vực trọng tâm cụ thể—Một số yếu tố thiết kế, chẳng hạn như bối cảnh mối đe dọa, rủi ro cụ thể, phương pháp
phát triển mục tiêu và thiết lập cơ sở hạ tầng, sẽ thúc đẩy nhu cầu thay đổi nội dung mô hình COBIT cốt lõi cho phù hợp với bối
cảnh cụ thể.
Ví dụ: Các doanh nghiệp áp dụng phương pháp DevOps sẽ yêu cầu một hệ thống quản trị có biến thể của một số quy trình COBIT
chung, được mô tả trong hướng dẫn lĩnh vực trọng tâm DevOps232 cho COBIT.
Ví dụ: Doanh nghiệp vừa và nhỏ có ít nhân viên hơn, ít nguồn lực CNTT hơn, đường dây báo cáo trực tiếp và ngắn hơn, đồng thời khác
biệt về nhiều mặt so với các doanh nghiệp lớn. Vì lý do đó, hệ thống quản trị I&T của họ sẽ ít phiền hà hơn so với các doanh nghiệp
lớn. Điều này được mô tả trong hướng dẫn lĩnh vực trọng tâm dành cho SME của COBIT. 243
1
22 Tại thời điểm xuất bản Khung COBIT® 2019: Giới thiệu và Phương pháp luận, nội dung lĩnh vực trọng tâm của doanh nghiệp vừa và nhỏ đang được phát
triển và chưa được phát hành.
2
23 Tại thời điểm xuất bản Khung COBIT® 2019: Giới thiệu và Phương pháp, nội dung trọng tâm của DevOps đang được phát triển và chưa
vẫn được thả ra.
3
24 Tại thời điểm xuất bản Khung COBIT® 2019: Giới thiệu và Phương pháp luận, nội dung lĩnh vực trọng tâm của doanh nghiệp vừa và nhỏ đang được phát
triển và chưa được phát hành.
46

CHƯƠNG 7
THIẾT KẾ HỆ THỐNG QUẢN TRỊ TÙY CHỈNH
7.2 Các giai đoạn và bước trong quá trình thiết kế
Hình 7.2 minh họa quy trình đề xuất để thiết kế một hệ thống quản trị phù hợp.
Hình 7.2—Quy trình thiết kế hệ thống quản trị
2. Xác định
1. Hiểu bối 3. Tinh chỉnh
phạm vi 4. Kết luận
cảnh và chiến phạm vi của
ban đầu của thiết kế hệ
lược của hệ thống
hệ thống thống quản trị.
doanh nghiệp. quản trị.
quản trị.
• 1.1 Hiểu chiến lược doanh • 2.1 Xem xét doanh nghiệp • 3.1 Xem xét bối cảnh mối đe dọa. chiến • 4.1 Giải quyết các xung đột vốn có
nghiệp. • Xem xét lược. • 2.2 về mức độ
1.2 Hiểu mục tiêu doanh nghiệp. • doanh nghiệp • 3.2 Xem xét các mục tiêu tuân thủ và áp dụng các yêu ưu tiên. • 4.2 Kết
1.3 cầu. luận việc thiết kế hệ

Hiểu được hồ sơ rủi ro. • 1.4 Mục tiêu COBIT xếp tầng. • 3.3 Xem xét vai trò của CNTT. • 2.3 thống quản trị.
Tìm hiểu Xem xét hồ sơ rủi ro • 3.4 Xem xét nguồn cung ứng của doanh nghiệp.
các vấn đề liên quan đến I&T người mẫu. • 2.4 Xem xét hiện tại • 3.5 Xem
hiện nay. xét các vấn đề liên quan đến CNTT I&T. các phương pháp
thực hiện. • 3.6 Xem xét chiến lược áp dụng CNTT. • 3.7 Xem xét quy
mô doanh nghiệp.
Các giai đoạn và bước khác nhau trong quy trình thiết kế, như được minh họa trong Hình 7.2, sẽ dẫn đến các khuyến nghị
về việc ưu tiên các mục tiêu quản lý và quản trị hoặc các thành phần hệ thống quản trị có liên quan, cho các cấp độ năng lực mục
tiêu hoặc để áp dụng các biến thể cụ thể của một thành phần hệ thống quản trị.
Một số bước hoặc bước phụ này có thể dẫn đến hướng dẫn xung đột, điều này không thể tránh khỏi khi xem xét số lượng lớn hơn các
yếu tố thiết kế, tính chất chung chung của hướng dẫn yếu tố thiết kế và các bảng ánh xạ được sử dụng.
Bạn nên đặt tất cả hướng dẫn thu được trong các bước khác nhau trên khung vẽ thiết kế và — ở giai đoạn cuối của quá trình thiết
kế — giải quyết (ở mức độ có thể) những xung đột giữa các thành phần trên khung vẽ thiết kế và đưa ra kết luận.
Không có công thức kỳ diệu. Thiết kế cuối cùng sẽ là quyết định tùy từng trường hợp, dựa trên tất cả các yếu tố trên khung
thiết kế. Bằng cách làm theo các bước này, doanh nghiệp sẽ nhận ra một hệ thống quản trị phù hợp với nhu cầu của họ.
47

48

CHƯƠNG 8
TRIỂN KHAI QUẢN TRỊ DOANH NGHIỆP VỀ CNTT
Chương 8
Triển khai quản trị doanh nghiệp CNTT
8.1 Hướng dẫn thực hiện COBIT Mục đích
Hướng dẫn triển khai COBIT® 2019 nhấn mạnh quan điểm toàn doanh nghiệp về quản trị I&T. Hướng dẫn này thừa nhận rằng I&T có sức lan tỏa
rộng rãi trong các doanh nghiệp và việc tách biệt hoạt động kinh doanh và hoạt động liên quan đến CNTT là không thể và cũng không phải là thông
lệ tốt. Do đó, việc quản trị và quản lý CNTT&T của doanh nghiệp phải được triển khai như một phần không thể thiếu trong quản trị doanh nghiệp,
bao gồm toàn bộ trách nhiệm của các lĩnh vực chức năng CNTT và kinh doanh từ đầu đến cuối.
Một trong những lý do phổ biến khiến một số hoạt động triển khai hệ thống quản trị thất bại là do chúng không được khởi xướng và sau đó được
quản lý đúng cách như các chương trình để đảm bảo rằng các lợi ích được hiện thực hóa. Các chương trình quản trị cần được ban quản lý
điều hành tài trợ, phải được xác định phạm vi hợp lý và xác định các mục tiêu có thể đạt được. Điều này cho phép doanh nghiệp hấp thụ tốc
độ thay đổi theo kế hoạch. Do đó, quản lý chương trình được coi là một phần không thể thiếu trong vòng đời thực hiện.
Người ta cũng giả định rằng mặc dù cách tiếp cận chương trình và dự án được khuyến nghị để thúc đẩy các sáng kiến cải tiến một cách
hiệu quả, mục tiêu cũng là thiết lập một thông lệ kinh doanh thông thường và cách tiếp cận bền vững để quản lý và quản lý I&T doanh
nghiệp giống như bất kỳ khía cạnh nào khác của quản trị doanh nghiệp. Vì lý do này, cách tiếp cận triển khai dựa trên việc trao quyền cho
các bên liên quan trong doanh nghiệp và CNTT cũng như những người đóng vai trò nắm quyền sở hữu các quyết định và hoạt động quản lý và
quản trị liên quan đến CNTT bằng cách tạo điều kiện và tạo điều kiện cho sự thay đổi. Chương trình triển khai kết thúc khi quá trình
tập trung vào các ưu tiên liên quan đến CNTT và cải tiến quản trị đang tạo ra lợi ích có thể đo lường được và chương trình đã được đưa vào
hoạt động kinh doanh đang diễn ra.
Bạn cũng có thể tìm thêm thông tin về những chủ đề này trong Hướng dẫn triển khai COBIT® 2019.
8.2 Phương pháp thực hiện COBIT
Có bảy giai đoạn bao gồm phương pháp triển khai COBIT:
Trình điều khiển là gì?
Bây giờ chúng ta đang ở đâu?
Chúng ta muốn ở đâu?
Cần phải làm gì?
Chúng ta đến đó bằng cách
nào? Chúng ta đã đến
đó chưa? Làm thế nào để chúng ta duy trì đà phát triển?
Phương pháp thực hiện COBIT được tóm tắt trong hình 8.1.
49

Hình 8.1—Lộ trình thực hiện COBIT
e _ Ng? P 1 Wh t
w
ồ
tôi và
dồ k g
tôi
re
Một
nt
Một
the
tôi
tôi e
bạn
7e
ồ
_
dr
ừm _ _
w Nt ver
Tôi
te
TÔI
th Re tôitôiê v êNeSS
Tôi
S
Tôi
?
Một
Prồg
v
ect rtôi
eff
Một
ESt b
? N Sh
Tôi
2
St tà
h N de r
Tôi
Một
ồ
S
tôi c D
Stf ereh bạn
gs e e
Một Tôi
fe W
h
eN t t
e
Tôi
ồr R cồg Tôi
N tôi
ồ
e PP e
r
e
eed N ze
Tôi
M
ge Sehwe ồ Tôi
tôi _
ồ
b
e n t d và n
một n
te ct tồ
P Một
• Quản lý chương trình
r r
cNd Một tôi
ev
Một
_
ồ e
bạn
tôi e
tôi
wd e Một F bạn
_ w (vòng ngoài)
t ồ
z _
ồ Một er det MỘT
S c
tôi
và
tôi nm
Một
_
ồ
N
Tôi
tôi
e e
Tôi r
b r
6D
S rbạntS
iôT
Một
t Một
S NP t
Tôi
wN
e bạn t
PP
iôt
e
e và
d N MộtS
r Một
ồ
• Thay đổi kích hoạt
E
Một Một _ S
ồ
S
N
Re
Tôi
e
Nồ
t
?
(vòng giữa)
tôi
Tôi
tôi
P
TÔI
P tef
• Vòng đời cải tiến liên tục
tôi
D
e vồr
tôi ttrne
và tôi
sẽ et
et t
e một Một
tôi
một
ồ e S Một
(vòng trong)
Ntn s B d eN
Tôi
P
E re
tMột d
n
p
Tôi
tôi
Prồ ve eNtS
bạn
Tôi tôi
tôi
ồcc
bạn tôi ?
e
ex H 5
eb Một
c eSbạn Cồ
tôitôi
_
bạn
ơi
ồt dồ
tôi
tbạn
e
tN
deNt f
Một
Pe wồ TÔI
rồ
tôi r
we e
Tôi
tôi d
N
Một
P y rS
f
ồ
De
tôi
vâng _
N
Một
Một Tôi
ew wồd
teg
e
er
t
he
re P Prồ gr Wh
3
? N Mộttôi
tôi
Một
4 Wh Một
t NeedS tồ be dồ N
e?
8.2.1 Giai đoạn 1—Các yếu tố thúc đẩy là gì?
Giai đoạn 1 của phương pháp triển khai xác định các động lực thay đổi hiện tại và tạo ra ở các cấp quản lý điều hành
mong muốn thay đổi điều đó sau đó được thể hiện trong bản phác thảo của một trường hợp kinh doanh. Trình điều khiển thay đổi là nội bộ hoặc bên ngoài
sự kiện, điều kiện hoặc vấn đề then chốt đóng vai trò kích thích sự thay đổi. Sự kiện, xu hướng (ngành, thị trường hoặc kỹ thuật),
sự thiếu hụt về hiệu suất, triển khai phần mềm và thậm chí cả mục tiêu của doanh nghiệp đều có thể đóng vai trò là động lực thay đổi.
Rủi ro liên quan đến việc triển khai chương trình được mô tả trong trường hợp kinh doanh và được quản lý xuyên suốt.
vòng đời. Chuẩn bị, duy trì và giám sát một đề án kinh doanh là những nguyên tắc cơ bản và quan trọng đối với
biện minh, hỗ trợ và sau đó đảm bảo kết quả thành công cho bất kỳ sáng kiến nào, bao gồm cả việc cải thiện
hệ thống quản trị. Họ đảm bảo sự tập trung liên tục vào lợi ích của chương trình và việc thực hiện chúng.
8.2.2 Giai đoạn 2—Bây giờ chúng ta đang ở đâu?
Giai đoạn 2 điều chỉnh các mục tiêu liên quan đến I&T với chiến lược và rủi ro của doanh nghiệp, đồng thời ưu tiên doanh nghiệp quan trọng nhất
mục tiêu, các mục tiêu và quy trình liên kết. Hướng dẫn thiết kế COBIT® 2019 cung cấp một số yếu tố thiết kế để trợ giúp
sự lựa chọn.
Dựa trên doanh nghiệp đã chọn và các mục tiêu liên quan đến CNTT cũng như các yếu tố thiết kế khác, doanh nghiệp phải xác định các mục tiêu quan trọng
các mục tiêu quản lý và điều hành cũng như các quy trình cơ bản có đủ khả năng để đảm bảo
những kết quả thành công. Ban quản lý cần biết năng lực hiện tại của mình và những thiếu sót có thể tồn tại ở đâu. Điều này có thể
đạt được bằng cách đánh giá năng lực quá trình về trạng thái hiện tại của các quá trình đã chọn.
50

CHƯƠNG 8
TRIỂN KHAI QUẢN TRỊ DOANH NGHIỆP VỀ CNTT
8.2.3 Giai đoạn 3—Chúng ta muốn ở đâu?
Giai đoạn 3 đặt mục tiêu cải tiến, sau đó là phân tích lỗ hổng để xác định các giải pháp tiềm năng.
Một số giải pháp sẽ mang lại những chiến thắng nhanh chóng và những giải pháp khác sẽ là những nhiệm vụ dài hạn, đầy thách thức hơn. Cần
ưu tiên cho những dự án dễ thực hiện hơn và có khả năng mang lại lợi ích lớn nhất. Các nhiệm vụ dài hạn nên được chia thành các
phần có thể quản lý được.
8.2.4 Giai đoạn 4—Cần phải làm gì?
Giai đoạn 4 mô tả cách lập kế hoạch cho các giải pháp khả thi và thực tế bằng cách xác định các dự án được hỗ trợ bởi các trường hợp
kinh doanh hợp lý và kế hoạch thay đổi để thực hiện. Một đề án kinh doanh được phát triển tốt có thể giúp đảm bảo rằng lợi ích của
dự án được xác định và giám sát liên tục.
8.2.5 Giai đoạn 5—Chúng ta đến đó bằng cách nào?
Giai đoạn 5 cung cấp việc triển khai các giải pháp được đề xuất thông qua thực tiễn hàng ngày cũng như thiết lập các biện pháp và hệ
thống giám sát để đảm bảo đạt được sự liên kết kinh doanh và có thể đo lường được hiệu suất.
Thành công đòi hỏi sự tham gia, nhận thức và giao tiếp, sự hiểu biết và cam kết của ban lãnh đạo cấp cao cũng như quyền sở hữu của chủ
sở hữu doanh nghiệp và quy trình CNTT bị ảnh hưởng.
8.2.6 Giai đoạn 6—Chúng ta đã đến đích chưa?
Giai đoạn 6 tập trung vào việc chuyển đổi bền vững các phương thức quản trị và quản lý được cải tiến sang hoạt động kinh doanh
thông thường. Nó tiếp tục tập trung vào việc giám sát thành tích của các cải tiến bằng cách sử dụng các số liệu hiệu suất và lợi
ích mong đợi.
8.2.7 Giai đoạn 7—Làm thế nào để chúng ta duy trì đà phát triển?
Giai đoạn 7 đánh giá thành công chung của sáng kiến, xác định các yêu cầu quản trị hoặc quản lý tiếp theo và củng cố nhu cầu cải tiến
liên tục. Nó cũng ưu tiên các cơ hội hơn nữa để cải thiện hệ thống quản trị.
Quản lý chương trình và dự án dựa trên các thông lệ tốt và cung cấp các điểm kiểm tra ở từng giai đoạn trong số bảy giai đoạn để
đảm bảo rằng hiệu suất của chương trình đi đúng hướng, trường hợp kinh doanh và rủi ro được cập nhật cũng như việc lập kế hoạch cho
giai đoạn tiếp theo được điều chỉnh cho phù hợp. Người ta cho rằng cách tiếp cận tiêu chuẩn của doanh nghiệp sẽ được tuân theo.
Bạn cũng có thể tìm thấy hướng dẫn thêm về quản lý chương trình và dự án trong mục tiêu quản lý COBIT Các chương trình được quản lý
BAI01 và các dự án được quản lý BAI11. Mặc dù báo cáo không được đề cập rõ ràng trong bất kỳ giai đoạn nào nhưng nó là một sợi
dây liên tục xuyên suốt tất cả các giai đoạn và lần lặp lại.
51

8.3 Mối quan hệ giữa Hướng dẫn thiết kế COBIT®2019 và COBIT® 2019
Hướng dẫn thực hiện
Quy trình làm việc được giải thích trong Hướng dẫn thiết kế COBIT® 2019 có các điểm kết nối sau với COBIT®
Hướng dẫn thực hiện năm 2019. Hướng dẫn thiết kế COBIT® 2019 xây dựng một nhóm nhiệm vụ được xác định trong Hướng dẫn
triển khai COBIT® 2019. Hình 8.2 đưa ra cái nhìn tổng quan ở mức độ cao về các điểm kết nối này. Thông tin chi tiết hơn có
thể được tìm thấy trong Hướng dẫn thiết kế COBIT® 2019.
Hình 8.2—Các điểm kết nối giữa Hướng dẫn thiết kế COBIT và Hướng dẫn triển khai COBIT
Hướng dẫn triển khai COBIT Giai Hướng dẫn thiết kế COBIT
đoạn 1—Các yếu tố thúc đẩy là gì? (Nhiệm vụ [CI] cải tiến liên tục) Bước 1—Hiểu bối cảnh và chiến lược của doanh nghiệp.
Giai đoạn 2—Bây giờ chúng ta đang ở đâu? (Nhiệm vụ CI) Bước 2—Xác định phạm vi ban đầu của hệ thống quản trị.
Bước 3— Tinh chỉnh phạm vi của hệ thống quản trị.

Bước 4—Kết luận việc thiết kế hệ thống quản trị.
Giai đoạn 3 – Chúng ta muốn ở đâu? (Nhiệm vụ CI) Bước 4—Kết luận việc thiết kế hệ thống quản trị.
52

CHƯƠNG 9
BẮT ĐẦU VỚI COBIT: ĐẶT VẤN ĐỀ
Chương 9
Bắt đầu với COBIT: Giải quyết vụ án
9.1 Trường hợp kinh doanh
Thông lệ kinh doanh thông thường đòi hỏi phải chuẩn bị một đề án kinh doanh để phân tích và biện minh cho việc bắt đầu một dự
án lớn và/hoặc đầu tư tài chính. Ví dụ này được cung cấp dưới dạng hướng dẫn chung, không mang tính quy định nhằm khuyến khích
chuẩn bị một trường hợp kinh doanh nhằm biện minh cho việc đầu tư vào chương trình triển khai EGIT. Mỗi doanh nghiệp đều có lý
do riêng để cải thiện EGIT và cách tiếp cận riêng để chuẩn bị các đề án kinh doanh. Điều này có thể bao gồm từ cách tiếp cận chi
tiết với sự nhấn mạnh vào lợi ích được định lượng đến quan điểm ở cấp độ cao hơn và định tính hơn. Các doanh nghiệp nên tuân
theo các phương pháp biện minh đầu tư và trường hợp kinh doanh nội bộ hiện có, nếu chúng tồn tại. Ví dụ này và hướng dẫn
trong ấn phẩm này nhằm giúp tập trung vào các vấn đề cần giải quyết trong một trường hợp kinh doanh.
Kịch bản ví dụ là Acme Corporation, một doanh nghiệp đa quốc gia lớn với sự kết hợp của các đơn vị kinh doanh truyền
thống, lâu đời cũng như các doanh nghiệp dựa trên Internet mới áp dụng những công nghệ mới nhất.
Nhiều đơn vị kinh doanh đã được mua lại và tồn tại ở nhiều quốc gia có môi trường chính trị, văn hóa và kinh tế địa
phương khác nhau. Đội ngũ quản lý điều hành của tập đoàn trung tâm đã chịu ảnh hưởng bởi hướng dẫn quản trị doanh nghiệp
mới nhất, bao gồm cả COBIT mà họ đã sử dụng tập trung một thời gian.
Họ muốn đảm bảo rằng việc mở rộng nhanh chóng và áp dụng CNTT tiên tiến sẽ mang lại giá trị như mong đợi; họ cũng có
ý định quản lý rủi ro mới đáng kể. Do đó, họ đã bắt buộc áp dụng cách tiếp cận EGIT thống nhất trên toàn doanh nghiệp.
Cách tiếp cận này bao gồm sự tham gia của bộ phận kiểm toán và rủi ro cũng như báo cáo nội bộ hàng năm của ban quản
lý đơn vị kinh doanh về tính đầy đủ của các biện pháp kiểm soát ở tất cả các đơn vị.
Mặc dù ví dụ này được lấy từ các tình huống thực tế nhưng nó không phản ánh một doanh nghiệp cụ thể đang tồn tại.
9.2 Tóm tắt điều hành
Trường hợp kinh doanh này phác thảo phạm vi của chương trình EGIT được đề xuất cho Tập đoàn Acme dựa trên COBIT.
Cần có một đề án kinh doanh phù hợp để đảm bảo rằng hội đồng quản trị của Tập đoàn Acme và các đơn vị kinh doanh đồng tình
với sáng kiến và xác định những lợi ích tiềm năng. Acme Corporation sẽ giám sát trường hợp kinh doanh để đảm bảo rằng những
lợi ích mong đợi được hiện thực hóa.
Phạm vi, xét về mặt các thực thể kinh doanh tạo nên Acme Corporation, là bao gồm tất cả. Người ta thừa nhận rằng một số hình
thức ưu tiên sẽ được áp dụng trên tất cả các đơn vị cho phạm vi bảo hiểm ban đầu của chương trình EGIT do hạn chế
tài nguyên chương trình.
Nhiều bên liên quan khác nhau quan tâm đến kết quả của chương trình EGIT, từ ban giám đốc Tập đoàn Acme đến ban lãnh đạo địa
phương tại mỗi đơn vị, cũng như các bên liên quan bên ngoài như cổ đông và cơ quan chính phủ.
Cần phải xem xét một số thách thức cũng như rủi ro đáng kể trong việc triển khai chương trình EGIT trên quy mô toàn cầu cần
thiết. Một trong những khía cạnh thách thức hơn là bản chất kinh doanh của nhiều doanh nghiệp Internet, cũng như mô hình kinh
doanh phi tập trung hoặc liên kết tồn tại trong Tập đoàn Acme.
Chương trình EGIT sẽ đạt được bằng cách tập trung vào khả năng của các quy trình Acme và các thành phần khác của hệ thống quản
trị liên quan đến những thành phần được xác định trong COBIT, phù hợp với từng đơn vị kinh doanh. Các mục tiêu quản lý và quản trị
có liên quan và được ưu tiên sẽ được tập trung tại mỗi đơn vị sẽ được xác định thông qua một
53
tạo điều kiện cho các thành viên của chương trình EGIT tiếp cận hội thảo. Các mục tiêu sẽ bắt đầu với mục tiêu chiến lược và
doanh nghiệp của từng đơn vị, cũng như các kịch bản rủi ro kinh doanh liên quan đến CNTT áp dụng cho đơn vị kinh doanh cụ thể.
Mục tiêu của chương trình EGIT là đảm bảo có sẵn một hệ thống quản trị đầy đủ, bao gồm các cơ cấu quản trị, đồng
thời nâng cao mức độ năng lực và tính đầy đủ của các quy trình CNTT có liên quan. Kỳ vọng là khi khả năng của quy
trình CNTT tăng lên thì hiệu quả và chất lượng của nó cũng tăng theo. Đồng thời, rủi ro đi kèm sẽ giảm đi tương ứng. Bằng cách
này, mỗi đơn vị kinh doanh có thể nhận ra lợi ích kinh doanh thực sự.
Sau khi quy trình đánh giá mức độ năng lực trong mỗi đơn vị kinh doanh đã được thiết lập, dự kiến việc tự đánh giá sẽ tiếp tục
diễn ra trong mỗi đơn vị kinh doanh như thông lệ kinh doanh thông thường.
Chương trình EGIT sẽ được thực hiện theo hai giai đoạn riêng biệt. Giai đoạn đầu tiên là giai đoạn phát triển, trong đó
nhóm sẽ phát triển và thử nghiệm phương pháp tiếp cận cũng như bộ công cụ sẽ được sử dụng trên toàn Tập đoàn Acme. Khi kết
thúc giai đoạn 1, kết quả sẽ được trình bày cho ban quản lý nhóm để phê duyệt lần cuối. Sau khi có được phê duyệt cuối
cùng, dưới dạng một trường hợp kinh doanh được phê duyệt, chương trình EGIT sẽ được triển khai trên toàn thực thể theo
cách thức đã thống nhất (triển khai, giai đoạn 2).
Cần lưu ý rằng chương trình EGIT không có trách nhiệm thực hiện các hành động khắc phục được xác định tại mỗi đơn vị kinh
doanh. Chương trình EGIT sẽ chỉ tổng hợp và báo cáo tiến độ do từng đơn vị cung cấp.
Thử thách cuối cùng mà chương trình EGIT cần phải đáp ứng là báo cáo kết quả một cách bền vững trong tương lai. Khía
cạnh này sẽ mất thời gian và số lượng đáng kể để thảo luận và phát triển. Cuộc thảo luận và phát triển này sẽ dẫn đến việc
nâng cao các cơ chế báo cáo và thẻ điểm hiện có của công ty.
Ngân sách ban đầu cho giai đoạn phát triển của chương trình EGIT đã được chuẩn bị. Ngân sách được chi tiết trong một lịch
trình riêng. Một ngân sách chi tiết cũng sẽ được hoàn thành cho giai đoạn 2 của dự án và trình ban quản lý nhóm phê duyệt.
9.3 Bối cảnh
EGIT là một phần không thể thiếu trong quản trị doanh nghiệp tổng thể và tập trung vào hiệu suất CNTT cũng như quản lý rủi ro
do sự phụ thuộc của doanh nghiệp vào CNTT.
CNTT được tích hợp vào hoạt động của các doanh nghiệp thuộc Tập đoàn Acme. Đối với nhiều người, Internet là cốt lõi trong
hoạt động của họ. Do đó, EGIT tuân theo cấu trúc quản lý của nhóm: một định dạng phi tập trung. Ban quản lý của từng công ty con/
đơn vị kinh doanh có trách nhiệm đảm bảo rằng các quy trình phù hợp được triển khai liên quan đến EGIT.
Hàng năm, ban quản lý của mỗi công ty con quan trọng phải nộp báo cáo chính thức bằng văn bản cho ủy ban quản lý rủi ro thích
hợp, là một bộ phận của hội đồng quản trị. Báo cáo này sẽ trình bày chi tiết mức độ thực hiện chính sách EGIT trong năm tài
chính. Các trường hợp ngoại lệ đáng kể phải được báo cáo tại mỗi cuộc họp theo lịch trình của ủy ban rủi ro thích hợp.
Hội đồng quản trị, với sự hỗ trợ của ủy ban kiểm toán và rủi ro, sẽ đảm bảo rằng hiệu quả hoạt động EGIT của tập đoàn được
đánh giá, giám sát, báo cáo và công bố trong báo cáo EGIT như một phần của báo cáo tổng hợp thường niên của doanh nghiệp.
Tuyên bố sẽ dựa trên các báo cáo thu được từ các nhóm rủi ro, tuân thủ và kiểm toán nội bộ cũng như ban quản lý của
từng công ty con quan trọng. Nó sẽ cung cấp cho cả các bên liên quan bên trong và bên ngoài những thông tin liên quan và
đáng tin cậy về chất lượng hoạt động EGIT của nhóm.
Dịch vụ kiểm toán nội bộ sẽ cung cấp sự đảm bảo cho ban quản lý và ủy ban kiểm toán về tính đầy đủ và hiệu quả của EGIT.
54

CHƯƠNG 9
Rủi ro kinh doanh liên quan đến CNTT sẽ được báo cáo và thảo luận như một phần của quy trình quản lý rủi ro trong sổ đăng ký rủi ro được trình lên
ủy ban rủi ro liên quan.
9.4 Những thách thức kinh doanh
Do tính chất phổ biến của CNTT và tốc độ thay đổi công nghệ, cần có một khuôn khổ đáng tin cậy để kiểm soát đầy đủ môi trường CNTT đầy đủ và tránh
những lỗ hổng kiểm soát có thể khiến doanh nghiệp gặp rủi ro không thể chấp nhận được.
Mục đích không phải là cản trở hoạt động CNTT của các đơn vị vận hành khác nhau. Thay vào đó, đó là cải thiện hồ sơ rủi ro của các đơn vị theo
cách có ý nghĩa kinh doanh và nâng cao chất lượng dịch vụ cũng như hiệu quả, đồng thời đạt được sự tuân thủ rõ ràng không chỉ với
điều lệ EGIT của tập đoàn Acme Corporation mà còn với bất kỳ quy định pháp lý nào khác. và/hoặc các yêu cầu theo hợp đồng.
Một số ví dụ về các điểm khó khăn có thể xảy ra bao gồm: 251
Các nỗ lực đảm bảo CNTT phức tạp do tính chất kinh doanh của nhiều đơn vị kinh doanh Các mô hình vận hành CNTT phức tạp
do các mô hình kinh doanh dựa trên dịch vụ Internet đang được sử dụng Các thực thể phân tán về mặt địa lý
được tạo thành từ các nền văn hóa và ngôn ngữ đa dạng Cơ chế phi tập trung/liên kết và phần lớn
mô hình kiểm soát kinh doanh tự chủ được áp dụng trong tập đoàn Triển khai các mức quản lý CNTT hợp lý, dựa trên nền tảng CNTT có
tính kỹ thuật cao và đôi khi không ổn định

lực lượng lao động
CNTT cân bằng giữa động lực của doanh nghiệp về khả năng đổi mới và sự linh hoạt trong kinh doanh với nhu cầu quản lý rủi ro và có quyền kiểm soát
đầy đủ
Việc thiết lập mức độ rủi ro và khả năng chịu đựng cho từng đơn vị kinh doanh
Nhu cầu tập trung vào việc đáp ứng các yêu cầu tuân thủ quy định (quyền riêng tư) và hợp đồng (Ngành thẻ thanh toán [PCI]) ngày càng tăng
Các phát hiện kiểm toán thường xuyên về việc kiểm soát CNTT kém và các vấn đề được báo cáo liên quan đến chất lượng dịch vụ
CNTT Cung cấp thành công và đúng thời hạn các dịch vụ mới và sáng tạo trong một thị trường cạnh tranh cao
9.4.1 Phân tích khoảng cách và mục tiêu
Hiện tại không có cách tiếp cận hoặc khuôn khổ toàn nhóm cho EGIT hoặc việc sử dụng các tiêu chuẩn và thông lệ tốt về CNTT. Trong số các đơn vị kinh
doanh địa phương, có những mức độ khác nhau trong việc áp dụng các thông lệ tốt liên quan đến EGIT. Kết quả là, theo truyền thống, rất ít người chú
ý đến mức độ năng lực của quy trình CNTT. Dựa trên kinh nghiệm, mức độ nhìn chung là thấp.
Do đó, mục tiêu của chương trình EGIT là nâng cao mức độ năng lực và tính đầy đủ của các quy trình và biện pháp kiểm soát liên quan đến
CNTT phù hợp với từng đơn vị kinh doanh theo cách ưu tiên.
Kết quả phải là rủi ro đáng kể đã được xác định và trình bày rõ ràng, đồng thời ban quản lý có thể giải quyết rủi ro và báo cáo về tình trạng của nó.
Khi mức năng lực của mỗi đơn vị kinh doanh tăng lên, chất lượng và hiệu quả cũng sẽ tăng theo tỷ lệ và hồ sơ rủi ro kinh doanh liên quan đến CNTT
của mỗi đơn vị sẽ giảm.
Cuối cùng, giá trị doanh nghiệp sẽ tăng lên nhờ EGIT hiệu quả. 262
25 Bảng liệt kê này là tập hợp con của bảng liệt kê trong phần 4.5 (Các yếu tố thiết kế) và cũng được thảo luận trong Hướng dẫn triển khai COBIT® 2019.
26
2
Nghiên cứu thực nghiệm tồn tại để hỗ trợ tuyên bố. Ví dụ, xem phần trích dẫn De Haes, Joshi và van Grembergen.
55

9.4.2 Các lựa chọn thay thế được xem xét
Nhiều khuôn khổ CNTT tồn tại, mỗi khuôn khổ nhằm mục đích kiểm soát các khía cạnh cụ thể của CNTT. Khung COBIT được nhiều người coi là khung
kiểm soát và EGIT hàng đầu thế giới. Nó đã được một số công ty con của Acme Corporation thực hiện.
COBIT đã được Acme chọn làm khuôn khổ ưu tiên để triển khai EGIT và do đó, nên được tất cả các công ty con áp dụng.
COBIT không nhất thiết phải được triển khai toàn bộ; chỉ những lĩnh vực liên quan đến công ty con hoặc đơn vị kinh doanh cụ thể mới cần
được triển khai, có tính đến những điều sau:
1. Giai đoạn phát triển của từng đơn vị trong vòng đời hoạt động kinh doanh 2. Mục
tiêu kinh doanh của từng đơn vị 3. Tầm quan trọng
của CNTT đối với đơn vị kinh doanh 4. Rủi ro kinh doanh
liên quan đến CNTT mà mỗi đơn vị phải đối mặt 5. Các yêu cầu pháp
lý và hợp đồng 6 . Bất kỳ lý do thích hợp nào khác
Nếu một công ty con hoặc đơn vị kinh doanh cụ thể đã triển khai một khuôn khổ khác hoặc việc triển khai được lên kế hoạch trong tương
lai thì việc triển khai phải được ánh xạ tới COBIT vì lý do báo cáo, kiểm toán và tính rõ ràng của kiểm soát nội bộ.
9.5 Giải pháp đề xuất
Chương trình EGIT đang được lên kế hoạch thành hai giai đoạn riêng biệt.
9.5.1 Giai đoạn 1. Lập kế hoạch trước
Giai đoạn 1 của chương trình EGIT là giai đoạn phát triển. Trong giai đoạn này của chương trình, các bước sau được thực hiện:
1. Cơ cấu nhóm nòng cốt được hoàn thiện giữa các bên liên quan và những người tham gia dự án.
2. Nhóm nòng cốt hoàn thành khóa đào tạo nền tảng COBIT.
3. Các cuộc hội thảo với nhóm nòng cốt được tiến hành để xác định cách tiếp cận cho nhóm.
4. Một cộng đồng trực tuyến được tạo ra trong Tập đoàn Acme để hoạt động như một kho lưu trữ chia sẻ kiến thức.
5. Tất cả các bên liên quan và nhu cầu của họ đều được xác định.
6. Cơ cấu, vai trò và trách nhiệm hiện tại của ủy ban, các quy tắc ra quyết định và cơ chế báo cáo được làm rõ và sắp xếp lại nếu cần.
7. Một trường hợp kinh doanh cho chương trình EGIT được phát triển và duy trì, làm nền tảng cho sự thành công
việc thực hiện chương trình.
8. Lập kế hoạch truyền thông để hướng dẫn các nguyên tắc, chính sách và lợi ích mong đợi xuyên suốt chương trình.
9. Các công cụ đánh giá và báo cáo để sử dụng trong suốt thời gian thực hiện chương trình và hơn thế nữa đều được phát triển.
10. Phương pháp này được thử nghiệm tại một thực thể địa phương. Hoạt động này nhằm tạo thuận lợi cho công tác hậu cần và tạo điều kiện thuận lợi cho việc sàng lọc
cách tiếp cận và công cụ.
11. Phương pháp cải tiến này được thử nghiệm tại một trong các đơn vị nước ngoài. Điều này nhằm hiểu và lượng hóa những khó khăn của
thực hiện giai đoạn đánh giá chương trình EGIT trong điều kiện kinh doanh khó khăn hơn.
56

CHƯƠNG 9
12. Phương án kinh doanh cuối cùng và phương pháp tiếp cận được trình bày, bao gồm cả kế hoạch triển khai tới giám đốc điều hành của Acme Corporation
quản lý phê duyệt.
9.5.2 Giai đoạn 2. Thực hiện chương trình
Chương trình EGIT được thiết kế để bắt đầu một chương trình liên tục cải tiến liên tục, dựa trên vòng đời lặp đi lặp lại được
tạo điều kiện bằng cách làm theo các bước sau:
1. Xác định các động lực để cải thiện EGIT, từ cả quan điểm của tập đoàn Acme Corporation và quan điểm
cấp đơn vị kinh doanh.
2. Xác định hiện trạng của EGIT.
3. Xác định trạng thái mong muốn của EGIT (cả ngắn hạn và dài hạn).
4. Xác định những gì cần phải thực hiện ở cấp đơn vị kinh doanh để đạt được các mục tiêu kinh doanh địa phương và
từ đó phù hợp với mong đợi của nhóm.
5. Thực hiện các dự án cải tiến đã được xác định và thống nhất ở cấp đơn vị kinh doanh địa phương.
6. Nhận ra và giám sát lợi ích.
7. Duy trì cách làm việc mới bằng cách giữ đà phát triển.
9.5.3 Phạm vi chương trình
Chương trình EGIT sẽ bao gồm: 1.
Tất cả các đơn vị trong nhóm. Tuy nhiên, các thực thể sẽ được ưu tiên tương tác do chương trình có hạn
tài nguyên.
2. Phương pháp sắp xếp thứ tự ưu tiên. Việc này cần được sự đồng ý của ban lãnh đạo Tập đoàn Acme nhưng có thể thực hiện được
trên cơ sở sau:
Một. Quy mô đầu tư
b. Thu nhập/đóng góp cho tập đoàn c. Hồ sơ
rủi ro từ góc độ nhóm
d. Sự kết hợp của các tiêu chí này
3. Danh sách các đơn vị được bảo hiểm trong năm tài chính hiện tại. Điều này cần được hoàn thiện và thống nhất với ban lãnh đạo
Tập đoàn Acme.
9.5.4 Phương pháp luận và điều chỉnh chương trình
Chương trình EGIT sẽ đạt được nhiệm vụ của mình bằng cách sử dụng phương pháp hội thảo tương tác, được tạo điều kiện thuận lợi với tất cả
các đơn vị.
Cách tiếp cận bắt đầu với các mục tiêu kinh doanh và chủ sở hữu mục tiêu, điển hình là Giám đốc điều hành và giám đốc tài chính
(CFO). Cách tiếp cận này phải đảm bảo rằng kết quả của chương trình phù hợp chặt chẽ với kết quả và ưu tiên kinh doanh dự kiến.
Khi đã hoàn thành các mục tiêu kinh doanh, trọng tâm sẽ chuyển sang hoạt động CNTT, thường dưới sự kiểm soát của giám đốc công nghệ
(CTO) hoặc giám đốc thông tin (CIO). Ở cấp độ hoạt động CNTT, các chi tiết khác về rủi ro và mục tiêu kinh doanh liên quan đến CNTT sẽ
được xem xét.
57

Sau đó, các mục tiêu kinh doanh và CNTT, cũng như rủi ro kinh doanh liên quan đến CNTT, được kết hợp trong một công cụ (dựa trên hướng dẫn
COBIT) sẽ cung cấp một tập hợp các lĩnh vực trọng tâm trong quy trình COBIT để đơn vị kinh doanh xem xét. Theo cách này, đơn vị kinh doanh có
thể ưu tiên các nỗ lực khắc phục của mình để giải quyết các lĩnh vực có rủi ro CNTT.
9.5.5 Sản phẩm bàn giao của chương trình
Như đã đề cập trước đó, mục tiêu tổng thể của chương trình EGIT là đưa các thông lệ tốt của EGIT vào hoạt động liên tục của các
thực thể nhóm khác nhau.
Các kết quả cụ thể sẽ được chương trình EGIT đưa ra để cho phép Tập đoàn Acme đánh giá việc cung cấp các kết quả dự kiến. Chúng bao gồm
những điều sau đây:
1. Chương trình EGIT sẽ tạo điều kiện thuận lợi cho việc chia sẻ kiến thức nội bộ thông qua nền tảng mạng nội bộ và tận dụng các kiến thức hiện có.
mối quan hệ với các nhà cung cấp để mang lại lợi ích cho các đơn vị kinh doanh cá nhân.
2. Báo cáo chi tiết về từng hoạt động hỗ trợ với các đơn vị kinh doanh sẽ được tạo từ chương trình EGIT
công cụ đánh giá. Các báo cáo sẽ bao gồm: a. Các
mục tiêu kinh doanh được ưu tiên hiện tại và các mục tiêu CNTT tiếp theo dựa trên COBIT b. Rủi ro liên quan đến
CNTT được đơn vị kinh doanh xác định theo định dạng chuẩn hóa và các lĩnh vực trọng tâm đã được thống nhất cho
được đơn vị kinh doanh chú ý dựa trên các quy trình và thực tiễn COBIT cũng như các thành phần được đề xuất khác 3. Báo cáo tiến
độ tổng thể về phạm vi dự kiến của các đơn vị kinh doanh của Tập đoàn Acme theo chương trình EGIT
sẽ được tạo ra.
4. Báo cáo nhóm hợp nhất sẽ bao gồm: a. Tiến độ từ các
đơn vị kinh doanh tham gia vào các dự án thực hiện đã được thống nhất của họ dựa trên việc giám sát đã được thống nhất
số liệu hiệu suất
b. Quan điểm rủi ro CNTT tổng hợp trên toàn bộ các thực thể của Tập đoàn Acme c.
Yêu cầu cụ thể của (các) ủy ban rủi ro
5. Sẽ lập báo cáo tài chính về ngân sách chương trình so với số tiền chi tiêu thực tế.
6. Sẽ tạo ra việc giám sát và báo cáo lợi ích đối với các mục tiêu và chỉ số giá trị do đơn vị kinh doanh xác định.
9.5.6 Rủi ro chương trình
Sau đây được coi là các loại rủi ro tiềm ẩn đối với sự khởi đầu thành công và thành công liên tục của chương trình EGIT của Acme
Corporation. Rủi ro sẽ được giảm thiểu bằng cách tập trung vào việc hỗ trợ thay đổi và sẽ được theo dõi và giải quyết liên tục thông qua
đánh giá chương trình và đăng ký rủi ro. Những loại rủi ro này là: 1. Cam kết và hỗ trợ của ban quản lý
đối với chương trình, cả ở cấp độ nhóm cũng như đơn vị kinh doanh địa phương
mức độ
2. Chứng minh việc mang lại giá trị thực tế và lợi ích cho từng thực thể địa phương thông qua việc áp dụng chương trình. Các thực thể địa
phương nên muốn áp dụng quy trình vì giá trị mà nó sẽ mang lại, thay vì thực hiện vì chính sách hiện hành.
3. Sự tham gia tích cực của ban quản lý địa phương trong việc thực hiện chương trình 4. Xác định
các bên liên quan chính ở mỗi đơn vị tham gia vào chương trình 5. Hiểu biết sâu sắc về doanh
nghiệp trong cấp quản lý CNTT xếp hạng 6. Tích hợp thành công với
mọi sáng kiến quản trị hoặc tuân thủ tồn tại trong nhóm 7 Cơ cấu ủy ban phù hợp để giám sát chương trình . Ví dụ, tiến
độ tổng thể của chương trình EGIT có thể trở thành một mục trong chương trình nghị sự của ban điều hành CNTT. Các cơ quan tương đương
tại địa phương cũng cần phải được thành lập.
Điều này có thể được nhân rộng về mặt địa lý cũng như ở cấp công ty cổ phần địa phương nếu thích hợp.
58

CHƯƠNG 9
9.5.7 Các bên liên quan
Những người sau đây đã được xác định là các bên liên quan đến kết quả của chương trình EGIT:
1. Ủy ban rủi ro
2. Ban điều hành CNTT
3. Đội ngũ quản trị
4. Nhân viên tuân thủ 5.
Quản lý khu vực 6. Quản lý điều
hành cấp đơn vị địa phương (bao gồm cả quản lý CNTT)
7. Dịch vụ kiểm toán nội bộ
Cấu trúc cuối cùng bao gồm tên riêng của các bên liên quan sẽ được biên soạn và xuất bản sau khi tham khảo ý kiến của ban quản lý nhóm.
Chương trình EGIT cần các bên liên quan được xác định cung cấp những thông tin sau:
1. Hướng dẫn về định hướng chung của chương trình EGIT. Điều này bao gồm các quyết định về quản trị quan trọng-
các chủ đề liên quan được xác định trong biểu đồ RACI nhóm theo hướng dẫn của COBIT. Nó còn bao gồm việc thiết lập các ưu tiên,
thống nhất về nguồn tài trợ và phê duyệt các mục tiêu giá trị.
2. Chấp nhận các sản phẩm bàn giao và giám sát lợi ích mong đợi của chương trình EGIT
9.5.8 Phân tích chi phí-lợi ích
Chương trình cần xác định những lợi ích dự kiến và giám sát để đảm bảo rằng giá trị kinh doanh thực sự đang được tạo ra từ khoản đầu
tư. Ban quản lý địa phương nên thúc đẩy và duy trì chương trình. EGIT hợp lý phải mang lại lợi ích được đặt làm mục tiêu cụ thể
cho từng đơn vị kinh doanh và được giám sát và đo lường trong quá trình thực hiện để đảm bảo rằng chúng được hiện thực hóa. Những lợi ích
bao gồm:
1. Tối đa hóa việc hiện thực hóa các cơ hội kinh doanh thông qua CNTT, đồng thời giảm thiểu rủi ro kinh doanh liên quan đến CNTT đến
mức có thể chấp nhận được, từ đó đảm bảo rằng rủi ro được cân nhắc một cách có trách nhiệm với cơ hội trong tất cả các sáng kiến
kinh doanh 2. Hỗ trợ các mục tiêu kinh doanh bằng các khoản đầu tư chính và lợi nhuận tối ưu trên các sáng kiến đó đầu tư, từ đó sắp xếp
Các sáng kiến và mục tiêu CNTT trực tiếp với chiến lược kinh doanh
3. Tuân thủ pháp luật, quy định và hợp đồng cũng như tuân thủ chính sách và thủ tục nội bộ 4. Cách tiếp cận nhất quán để đo
lường và giám sát tiến độ, hiệu suất và hiệu suất 5. Cải thiện chất lượng cung cấp dịch vụ 6. Giảm chi phí vận
hành CNTT và/hoặc tăng năng suất CNTT bằng cách
hoàn thành nhiều công việc hơn một cách nhất quán trong ít thời gian hơn
thời gian và với ít nguồn lực hơn
Chi phí trung tâm sẽ bao gồm thời gian cần thiết để quản lý chương trình nhóm, nguồn lực tư vấn bên ngoài và các khóa đào tạo ban đầu.
Các chi phí trung tâm này đã được ước tính cho giai đoạn 1. Chi phí hội thảo đánh giá dành cho ban quản lý đơn vị kinh doanh
cá nhân và chủ sở hữu quy trình (người tham dự, địa điểm, người hỗ trợ và các chi phí liên quan khác) sẽ được địa phương tài trợ và cung
cấp ước tính. Các sáng kiến cải tiến dự án cụ thể cho từng đơn vị kinh doanh sẽ được ước tính trong giai đoạn 2 và được xem xét trên
cơ sở từng trường hợp cụ thể và tổng thể. Điều này sẽ cho phép nhóm tối đa hóa hiệu quả và tiêu chuẩn hóa.
59

9.5.9 Những thách thức và yếu tố thành công
Hình 9.1 tóm tắt những thách thức có thể ảnh hưởng đến chương trình EGIT trong thời gian thực hiện chương
trình và các yếu tố thành công quan trọng cần được giải quyết để đảm bảo kết quả thành công.
Hình 9.1—Những thách thức và kế hoạch hành động đối với Tập đoàn Acme Thách thức Không có khả năng đạt
được và duy Yếu tố thành công quan trọng—Các hành động đã lên kế hoạch
trì sự hỗ trợ cho các mục tiêu cải tiến Khoảng Giảm nhẹ thông qua cơ cấu ủy ban trong nhóm (sẽ được thống nhất và thành lập).
cách giao tiếp giữa CNTT và
doanh nghiệp Có sự tham gia của tất cả các bên liên quan.
Chi phí cải tiến lớn hơn lợi ích nhận được Tập trung vào việc xác định lợi ích.
Thiếu sự tin tưởng và mối quan hệ tốt giữa CNTT và doanh Thúc đẩy giao tiếp cởi mở và minh bạch về hiệu quả hoạt động, có liên kết với quản lý
nghiệp hiệu quả hoạt động của doanh nghiệp. Tập trung vào giao
diện kinh doanh và tâm lý dịch vụ. Công bố các kết quả tích cực
và bài học kinh nghiệm để giúp thiết lập và duy trì uy tín. Đảm bảo CIO duy trì uy tín
và khả năng lãnh đạo
trong việc xây dựng niềm tin
và các mối quan hệ.
Chính thức hóa vai trò và trách nhiệm quản trị trong doanh nghiệp để
trách nhiệm giải trình đối với các quyết định
là rõ ràng. Xác định và truyền đạt bằng chứng về các vấn đề thực tế, rủi ro cần tránh và
lợi ích đạt được (về mặt kinh doanh) liên quan đến các cải tiến được đề xuất.
Tập trung vào việc lập kế hoạch
hỗ trợ thay đổi.
Thiếu hiểu biết về môi trường Acme Áp dụng phương pháp đánh giá nhất quán. bởi những người chịu trách nhiệm về chương
trình EGIT Mức độ phức tạp khác nhau (mô hình kỹ
thuật, tổ chức, vận hành) Xử lý các thực thể trên cơ sở từng trường hợp cụ thể. Được hưởng lợi từ những
bài học kinh nghiệm và chia sẻ kiến
Hiểu biết về khuôn khổ, thủ tục và thực tiễn của EGIT Chống thức. Đào tạo và hướng dẫn.
lại sự thay đổi
Đảm bảo rằng việc thực hiện vòng đời cũng bao gồm sự thay đổi
các hoạt động hỗ trợ.
Áp dụng các cải tiến Cho phép trao quyền cục bộ ở cấp thực thể. Thu hút các
Khó khăn trong việc tích hợp EGIT với mô hình nhà cung cấp/bên thứ ba tham gia vào các hoạt động của EGIT.
quản trị của các đối tác outsourcing Đưa các điều kiện và quyền kiểm toán vào hợp đồng. Quản lý kỳ vọng.
Không thực hiện được các cam kết thực hiện EGIT Giữ nó đơn giản, thực tế và
thiết thực. Chia dự án tổng thể thành các dự án
nhỏ có thể thực hiện được, xây dựng
kinh nghiệm và lợi ích.
Cố gắng làm quá nhiều việc cùng một lúc; Giải quyết triệt để CNTT Áp dụng các nguyên tắc quản lý chương trình, dự án. những vấn
đề phức tạp và/hoặc khó khăn Sử dụng các mốc quan trọng. Ưu tiên các nhiệm vụ
80/20 (80% lợi ích với 20% nỗ lực) và cẩn thận trong việc sắp xếp theo đúng thứ tự. Tận dụng
những chiến thắng nhanh chóng. Xây dựng niềm tin/sự tự tin. Có kỹ năng và kinh nghiệm
để giữ cho nó đơn
giản và thực tế. Tái sử dụng những gì có sẵn làm cơ sở.
CNTT ở chế độ chữa cháy và/hoặc không ưu tiên tốt và Áp dụng các kỹ năng lãnh đạo tốt.
không thể tập trung vào EGIT Đạt được cam kết và động lực từ ban lãnh đạo cấp cao để mọi người sẵn sàng tập trung
vào EGIT.
Giải quyết các nguyên nhân gốc rễ trong môi trường hoạt động (can thiệp từ
bên ngoài, ưu tiên quản lý CNTT). Áp dụng kỷ luật
chặt chẽ hơn/quản lý các yêu cầu kinh doanh. Nhận được sự hỗ trợ từ bên ngoài.
60

CHƯƠNG 9
Hình 9.1—Những thách thức và kế hoạch hành động của Tập đoàn Acme (tiếp theo)
Thử thách Yếu tố thành công quan trọng—Các hành động đã lên kế hoạch
Thiếu các kỹ năng và năng lực CNTT cần thiết, chẳng hạn Tập trung vào lập kế hoạch hỗ trợ thay đổi:
như hiểu biết về doanh nghiệp, quy trình, kỹ Phát triển Đào
năng mềm tạo Huấn
luyện Cố
vấn Phản hồi
về quá trình tuyển dụng Đào tạo chéo Sử
dụng cách tiếp cận
Những cải tiến không được áp dụng hoặc áp dụng từng trường hợp cụ thể với các nguyên tắc đã được thống nhất cho tổ chức địa phương.
Nó phải thực tế để thực hiện.
Lợi ích khó thể hiện hoặc chứng minh Xác định các chỉ số hiệu suất.
Mất hứng thú và động lực Xây dựng cam kết ở cấp độ nhóm, bao gồm cả giao tiếp.
61

62

CHƯƠNG 10
COBIT VÀ CÁC TIÊU CHUẨN KHÁC
Chương 10
COBIT và các tiêu chuẩn khác
10.1 Nguyên tắc hướng dẫn
Một trong những nguyên tắc chỉ đạo được áp dụng trong suốt quá trình phát triển COBIT® 2019 là duy trì vị thế
COBIT như một khuôn khổ chung. Điều này có nghĩa là COBIT tiếp tục phù hợp với một số quy định có liên quan
tiêu chuẩn, khuôn khổ và/hoặc quy định.
Trong bối cảnh này, sự nhất quán có nghĩa là COBIT không mâu thuẫn với bất kỳ hướng dẫn nào trong các tiêu chuẩn liên quan. Đồng thời
Tuy nhiên, điều quan trọng cần nhớ là COBIT không sao chép nội dung của các tiêu chuẩn liên quan này. Thay vào đó
thường cung cấp các tuyên bố hoặc tài liệu tham khảo tương đương với hướng dẫn liên quan.
10.2 Danh sách các tiêu chuẩn tham khảo
Các tiêu chuẩn và hướng dẫn được sử dụng trong quá trình phát triển bản cập nhật COBIT® 2019 bao gồm:
Trung tâm bảo mật Internet CIS® , Các biện pháp kiểm soát an ninh quan trọng của CIS để phòng thủ mạng hiệu quả, Phiên bản 6.1,
tháng 8 năm 2016
Các tiêu chuẩn và thông lệ tốt về đám mây:
Dịch vụ web của Amazon (AWS® )
Các cân nhắc về bảo mật cho điện toán đám mây, ISACA
Kiểm soát và đảm bảo trong đám mây: Sử dụng COBIT® 5, ISACA
CMMI ® Nền tảng trưởng thành không gian mạng, 2018
SM người mẫu, 2014

CMMI® Sự trưởng thành trong quản lý dữ liệu (DMM)
CMMI ® Development V2.0, Viện CMMI, Hoa Kỳ, 2018
Khung quản lý rủi ro doanh nghiệp (ERM) của Ủy ban các tổ chức tài trợ (COSO), tháng 6 năm 2017
Ủy ban Tiêu chuẩn Châu Âu (CEN), Khung Năng lực Điện tử (e-CF) - Một chuẩn mực chung của Châu Âu
Khung dành cho Chuyên gia CNTT trong mọi lĩnh vực công nghiệp - Phần 1: Khung, EN 16234-1:2016
HITRUST® Common Security Framework, phiên bản 9, tháng 9 năm 2017
Diễn đàn An ninh Thông tin (ISF), Tiêu chuẩn Thực hành Tốt về An ninh Thông tin 2016
Tiêu chuẩn của Tổ chức Tiêu chuẩn hóa Quốc tế / Ủy ban Kỹ thuật Điện Quốc tế (ISO/IEC)
ISO/IEC 20000-1:2011(E)
ISO/IEC 27001:2013/Cor.2:2015(E)
ISO/IEC 27002:2013/Cor.2:2015(E)
ISO/IEC 27004:2016(E)
ISO/IEC 27005:2011(E)
ISO/IEC 38500:2015(E)
ISO/IEC 38502:2017(E)
Thư viện Cơ sở Hạ tầng Công nghệ Thông tin (ITIL® ) v3, 2011
Viện Kiểm toán nội bộ® (IIA® ), “Các nguyên tắc cơ bản trong hành nghề kiểm toán nội bộ”
Báo cáo King IV về Quản trị Doanh nghiệp™, 2016
63

Tiêu chuẩn của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST):
Khung cải thiện an ninh mạng cơ sở hạ tầng quan trọng V1.1, tháng 4 năm 2018
Ấn bản Đặc biệt 800-37, Bản sửa đổi 2 (Dự thảo), tháng 5 năm 2018
Ấn bản Đặc biệt 800-53, Bản sửa đổi 5 (Dự thảo), tháng 8 năm 2017
“Các lựa chọn để chuyển đổi chức năng CNTT bằng cách sử dụng CNTT hai phương thức,” Giám đốc điều hành hàng quý của MIS (sách trắng)
Hướng dẫn về Nội dung kiến thức Quản lý Dự án: Hướng dẫn PMBOK®, Tái bản lần thứ sáu, 2017
PROSCI® Quy trình quản lý thay đổi 3 giai đoạn
Khung Agile mở rộng cho doanh nghiệp tinh gọn (SAFe® )
Khung kỹ năng cho thời đại thông tin (SFIA® ) V6, 2015
Kiến trúc tham chiếu IT4IT™ của Nhóm mở, phiên bản 2.0
Tiêu chuẩn nhóm mở TOGAF® phiên bản 9.2, 2018
Phân loại TBM, Hội đồng TBM
64

COBIT 2019 Framework Introduction and Methodology Res Eng 1118

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

COBIT 2019 Framework Introduction and Methodology Res Eng 1118

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

Phương pháp luận

Bản sao cá nhân của: Tiến sĩ David Lanter

KHUNG COBIT® 2019: GIỚI THIỆU & PHƯƠNG PHÁP

Giới thiệu về ISACA

Tuyên bố miễn trừ trách nhiệm

1700 E. Golf Road, Suite 400

Liên hệ với chúng tôi: https://

Tham gia Diễn đàn trực tuyến ISACA: https://engage.isaca.org/onlineforums

Khung COBIT® 2019: Giới thiệu và Phương pháp luận

Bản sao cá nhân của: Tiến sĩ David Lanter

TRONG KỶ NIỆM: JOHN LAINHART (1946-2018)

Tưởng nhớ: John Lainhart (1946-2018)

KHUNG COBIT® 2019: GIỚI THIỆU & PHƯƠNG PHÁP

Bản sao cá nhân của: Tiến sĩ David Lanter

Nhóm làm việc COBIT (2017-2018)

Nhóm Phát triển Steven De

Chuyên gia đánh giá

KHUNG COBIT® 2019: GIỚI THIỆU & PHƯƠNG PHÁP

Lời cảm ơn (tiếp theo)

Chuyên gia đánh giá

Hội đồng quản trị ISACA Rob

Bản sao cá nhân của: Tiến sĩ David Lanter

Chương 1. Giới thiệu ................................................................................. ................................................................. ......................11 1.1

I&T...................................... ................................................................. ............12

1.3.1 COBIT là gì và không phải là gì? ................................................................. ................................................................. 0,13

1.4 Cấu trúc của ấn phẩm này................................................................. ................................................................. ............14

Chương 2. Đối tượng mục tiêu.................................................................. ................................................................. ............15

Chương 3. Nguyên tắc COBIT.................................................................. ................................................................. ............17

3.1 Giới thiệu................................................................................................. ................................................................. ...................................17

2019........... ................................................................. ................................................................. .....18

4.1 Tổng quan về COBIT ................................................................. ................................................................. .................................19

trị................................................................................. ................................................................. ......21 4.4 Lĩnh vực trọng

tâm .................................... ................................................................. ................................................................. ....22 4.5 Các yếu

tố thiết kế .................................... ................................................................. ...................................23 4.6 Chuỗi mục

tiêu................................................................................. ................................................................. ...................................28

4.6.1 Mục tiêu của doanh nghiệp ................................................................. ................................................................. ......................29

4.6.2 Mục tiêu liên kết .......... ................................................................. ................................................................. ............30

Chương 5. Mục tiêu quản lý và quản trị COBIT..................33 5.1 Mục

đích............ ................................................................. ................................................................. .................................33

Chương 6. Quản lý hiệu suất trong COBIT.................................................. ............37

6.1 Định nghĩa................................................................................. ................................................................. ...................................................37

trình.................................................. ................................................................. ....38 6.4.1 Mức năng lực xử

hạng .... ................................................................. ................................................................. ............39 6.4.3 Mức độ trưởng thành

kế............ ................................................................. ...................................................47

COBIT.................................................. ................................................................. ............49 8.2 Phương pháp thực hiện

COBIT....................................... ................................................................. ............49

Bản sao cá nhân của: Tiến sĩ David Lanter

KHUNG COBIT® 2019: GIỚI THIỆU & PHƯƠNG PHÁP

8.2.2 Giai đoạn 2—Chúng ta đang ở đâu ?................................. ................................................................. ............50

8.2.3 Giai đoạn 3—Chúng ta muốn ở đâu? ................................................................. ................................................................. 51

8.2.4 Giai đoạn 4—Cần phải làm gì?................................................. ................................................................. ............51

Chương 9. Bắt đầu với COBIT: Giải quyết vụ việc.................................53

9.1 Tình huống kinh doanh ................................................................. ................................................................. ...................................53

cảnh............ ................................................................. ................................................................. ......................54 9.4 Những

thách thức trong kinh doanh............. ................................................................. ................................................................. ....55 9.4.1

pháp đề xuất ........... ................................................................. ................................................................. ...........56 9.5.1 Giai đoạn

1. Lập kế hoạch trước ............................. ................................................................. ...................................56 9.5.2 Giai đoạn 2.

Triển khai chương trình ................................................................................. ................................................................. .......57

9.5.3 Phạm vi chương trình....................... ................................................................. ...................................57 9.5.4 Chương trình

Phương pháp và sự sắp xếp................................................................................. ................................................................. ..57

trình .................... 58 ................................................................. ................................................................. ......................58

9.5.7 Các bên liên quan .................... ................................................................. ................................................................. ............59