Các nguyên tắc của COBIT 5

Nguyên tắc thứ 1: Đáp ứng nhu cầu các bên liên quan (Meeting stakeholder needs)

Doanh nghiệp tạo ra giá trị cho các bên liên quan bằng việc duy trì cân bằng giữa lợi ích, rủi ro và nguồn lực.  COBIT 5 cung cấp các quy trình cần thiết và các điều kiện cần thiết (enabler) nhằm hỗ trợ việc tạo ra các giá trị kinh doanh thông qua việc sử dụng công nghệ thông tin. Mỗi doanh nghiệp khác nhau sẽ có các mục tiêu khác nhau nên một doanh nghiệp có thể tùy biến COBIT 5 để phù hợp với bối cảnh của doanh nghiệp thông qua mục tiêu kinh doanh, biến đổi từ mục tiêu kinh doanh chung thành các mục tiêu chi tiết mà có thể quản lý được, có các đặc tả chi tiết và ánh xạ các mục tiêu đó vào các quy trình, các thực hành của mục tiêu CNTT.

Các tầng mục tiêu (goals cascade) đạt được thông qua bốn bước:

• Bước 1: Định hướng của các bên liên quan ảnh hưởng đến nhu cầu của các bên liên quan.

• Bước 2: Nhu cầu của các bên liên quan tác động vào mục tiêu của doanh nghiệp. Nhu cầu của các bên liên quan có thể thiết lập các mục tiêu tổng quát của doanh nghiệp. Mục tiêu tổng quát của doanh nghiệp có thể được thiết lập bằng cách sử dụng các Balance Scorecard (BSC). COBIT 5 định nghĩa 17 mục tiêu tổng quát trong 4 chiều của BSC (Tài chính, Khách hàng, Nội bộ và Đào tạo và phát triển).

• Bước 3: Mục tiêu của doanh nghiêp (Enterprise Goals) tác động vào mục tiêu liên quan đến CNTT (IT - related Goals). Để đạt được mục tiêu của doanh nghiệp cần có các kết quả của các mục tiêu liên quan đến CNTT. COBIT 5 định nghĩa 17 mục tiêu liên quan đến CNTT

• Bước 4: Mục tiêu liên quan đến CNTT tác động vào muc tiêu của các điều kiện cần thiết (Enabler Goals). Để đạt được mục tiêu liên quan đến CNTT cần có các ứng dụng thành công và sử dụng các điều kiện cần thiết (enablers). Các điều kiện cần thiết bao gồm các quy trình, các cấu trúc tổ chức và thông tin. Mỗi điều kiện cần thiết sẽ hỗ trợ cho các mục tiêu liên quan đến CNTT. Quy trình là một trong những điều kiện cần thiết và COBIT 5 thực hiện việc ánh xạ giữa các mục tiêu liên quan đến CNTT và các quy trình cần thiết 

• Những câu hỏi khảo sát cho việc quản trị và quản lý CNTT: 

Nguyên tắc 2: Bao phủ toàn bộ hoạt động của doanh nghiệp (Covering the enterprise end-to-end). 

COBIT 5 bao phủ toàn bộ các chức năng và quy trình của doanh nghiệp. COBIT 5 không chỉ tập trung vào các chức năng CNTT mà còn xử lý các thông tin và các công nghệ liên quan như là một tài sản của doanh nghiệp. COBIT 5 xem xét toàn bộ các hoạt động quản trị liên quan đến CNTT và các điều kiện quản lý cần thiết trên phạm vi toàn bộ doanh nghiệp ví dụ như xem xét tất cả moi nhân viên, tất cả mọi thứ ở bên trong và ở bên ngoài doanh nghiệp mà có liên quan đển quản trị và quản lý thông tin và các CNTT liên quan của doanh nghiệp.

• Các điều kiện cần thiết về quản trị (Governance Enabler): Các điều kiện cần thiết về quản trị là các nguồn lực tổ chức dành cho việc quản trị (chẳng hạn như khuôn khổ, nguyên tắc, cấu trúc, tổ chức, thực hành...) để định hướng và thực hiện mục tiêu đã đề ra. Các điều kiện cần thiết về quản trị cũng bao gồm các nguồn lực của doanh nghiệp (chẳng hạn như hạ tầng CNTT, ứng dụng, con người, thông tin...). Việc thiếu thốn các nguồn lực hay các điều kiện cần thiết có thể ảnh hưởng đến khả năng tạo ra giá trị của doanh nghiệp.

• Phạm vi của quản trị (Governance Scope): Quản trị có thể được áp dụng cho toàn bộ doanh nghiệp, một thực thể, một tài sản hữu hình hoặc một tài sản vô hình. Quản trị doanh nghiệp có thể định nghĩa theo các quan điểm khác nhau tùy theo cách thức mà quản trị doanh nghiệp được áp dụng. Do đó, quản trị doanh nghiệp cần phải có một phạm vi mà hệ thống quản trị doanh nghiệp được áp dụng. 

• Vai trò, hoạt động và mối liên quan (Roles, Activities, and Relationships): Vai trò, hoạt động và mối liên quan định nghĩa ai sẽ tham gia vào quản trị, họ tham gia như thế nào, họ sẽ làm gì, họ tương tác như thế nào trong phạm vi của hệ thống quản trị. COBIT 5 phân biệt rõ ràng giữa việc quản trị và việc quản lý sẽ giúp phân biệt rõ ràng các giao tiếp và các vai trò của các nhà quản trị và các nhà quản lý trong hệ thống quản trị.

Nguyên tắc 4: Áp dụng duy nhât một khuôn khổ tích hợp (Applying a single integrated framework). 

Có rất nhiều tiêu chuẩn và thực hành khác nhau liên quan đến CNTT, mỗi tiêu chuẩn/thực hành cung cấp các hướng dẫn cho một tập hợp các hoạt động CNTT. COBIT 5 sắp xếp ở mức tổng quát các tiêu chuẩn, các khuôn khổ khác nhau trở thành một khuôn khổ tổng thể để quản trị và quản lý CNTT của doanh nghiệp

Nguyên tắc 5: Tạo một giải pháp tiếp cận toàn diện (Enabling a holistic approach). 

COBIT 5 định nghĩa một tập các điều kiện cần thiết (enabler) để hỗ trợ thực hiện một hệ thống quản trị và quản lý toàn diện CNTT của doanh nghiệp. Các điều kiện cần thiết (enabler) được định nghĩa là tất cả mọi điều kiện mà giúp hoàn thành mục tiêu của doanh nghiệp.

COBIT 5 định nghĩa 7 loại điều kiện cần thiết (enabler) là:

1. Quy tắc, chính sách và khuôn khổ (Principles, policies and frameworks).
2. Quy trình (Processes).
3. Cấu trúc tổ chức (Organization Structures).
4. Văn hóa, Đạo đức và Hành vi (Culture, Ethics, and Behavior).
5. Thông tin (Information).
6. Dịch vụ, hạ tầng và ứng dụng (Services, Infrastructures, and Applications).
7. Con người, Kỹ năng và Năng lực (People, Skills, and Competencies).

Các điều kiện cần thiết (enabler) có một tập hợp các chiều phân tích (dimension) để cung cấp cách thức đơn giản, phổ biến và có cấu trúc cho việc liên kết các điều kiện cần thiết với nhau;đồng thời cho phép quản lý các tương tác phức tạp giữa các điều kiện cần thiết. 

Các điều kiện cần thiết có 4 chiều phân tích (dimension) gồm:

• Các bên liên quan (Stakeholders): Mỗi điều kiện cần thiết đều có các bên liên quan.

• Các mục tiêu (Goals): Mỗi điều kiện cần thiết đều có một sô lượng mục tiêu nhất định và các điều kiện cần thiết cung cấp các giá trị để thực hiện các mục tiêu này. Mục tiêu có thể là kết quả mong đợi của các điều kiện cần thiết hoặc/và các ứng dụng, các hoạt động. Các mục tiêu có thể chia làm các mục nhỏ gồm:

• (i) Chất lượng thực chất (Intrinsic quality) nhằm mục đích gia tăng khả năng làm việc chính xác, đáp ứng mục tiêu của điều kiện cần thiết và cung cấp các kết quả chính xác, đúng mục tiêu và đáng tin cậy.

• (ii) Chất lượng theo bối cảnh (Contextual quality) nhằm mục đích gia tăng khả năng của các điều kiện cần thiết và các kết quả của các điều kiện cần thiết để phù hợp với bối cảnh mà điều kiện cần thiết đang hoạt động. Ví dụ như kết quả phải có liên quan, hoàn thiện, đúng với thời điểm hiện tại, chính xác, thống nhất, có thể hiểu được và dễ dàng sử dụng.

• (iii) Có thể truy cập và an toàn bảo mật nhằm gia tăng khả năng của các điều kiện cần thiết và các kết quả của các điều kiện cần thiết để có thể truy cập dễ dàng và an toàn. 

• Vòng đời (Life Cycle): Mỗi điều kiện cần thiết có một vòng đời từ lúc khởi động đến lúc kết thúc. Vòng đời được áp dụng cho thông tin, cấu trúc, quy trình, chính sách...Các giai đoạn của một vòng đời gồm:
• Lập kế hoạch
• Thiết kế
• Xây dựng/Thu được/Tạo ra/Thực hiện
• Sử dụng/Vận hành
• Đánh giá/Giám sát
• Cập nhật/Vứt bỏ

• Thực hành tốt (Good Practices): Mỗi điều kiện cần thiết đều có những thực hành tốt để hỗ trợ việc hoàn thành mục tiêu của các điều kiện cần thiết. Thực hành tốt cung cấp các ví dụ, các lời khuyên cho việc thực hiện tốt nhất các điều kiện cần thiết như thế nào và các kết quả, các yếu tố đầu vào, các yếu tố đầu ra cần thiết là gì.

Quản lý việc thực hiện các điều kiện cần thiết để đảm bảo có kết quả tốt trong áp dụng và sử dụng các điều kiện cần thiết. Các câu hỏi để giám sát, đánh giá việc thực hiện các điều kiện cần thiết là (i) Các nhu cầu nào của các bên liên quan được quan tâm?, (ii) Các mục tiêu nào của điều kiện cần thiết được hoàn thành?, (iii) Các quy trình nào của điều kiện cần thiết được quản lý?, (iv) Các thực hành tốt nào của điều kiện cần thiết được áp dụng? Để quản lý việc thực hiện các điều kiện cần thiết (enabler performance) có hai tiêu chí để đánh giá là:

• Đầu ra thực tế (actual outcome) của điều kiện cần thiết. Tiêu chí này được đo lường thông qua các mục tiêu đã được thực hiện. Tiêu chi này còn được gọi là chỉ số trễ (lag indicator).
• Chức năng thực tế (actual functioning) của các điều kiện cần thiết. Tiêu chí này còn được gọi là chỉ số sớm (lead indicator).

Nguyên tắc 6: Tách rời quản trị từ quản lý (Separating governance from management)

COBIT 5 phân biệt rõ ràng giữa quản trị và quản lý, đó là hai nhánh khác nhau với các hoạt động khác nhau, cấu trúc tổ chức khác nhau và phục vụ cho mục đích khác nhau. COBIT 5 có quan điểm về sự khác biệt chính giữa quản trị và quản lý là:

• Quản trị (governance): Quản trị đảm bảo rằng các nhu cầu, các điều kiện và các quyền lựa chọn của các bên liên quan được đánh giá để xác định các mục tiêu phải đạt được của doanh nghiệp, đặt ra định hướng cho sự ưu tiên và ra quyết định, giám sát thực hiện và tuân thủ các định hướng và các mục tiêu đã đề ra. Trong phần lớn doanh nghiệp, việc quản trị là trách nhiệm của Ban Giám Đốc dưới sự lãnh đạo của Chủ tịch HĐQT.

• Quản lý (management): Quản lý lập kế hoạch, xây dựng, thực hiện và giám sát các hoạt động theo định hướng được hướng dẫn bởi quản trị để hoàn thành các mục tiêu của doanh nghiệp. Trong phần lớn doanh nghiệp, quản lý là trach nhiệm của các quản lý dưới sự lãnh đạo của CEO.

Mối quan hệ giữa quản trị và quản lý được mô tả chi tiết như sau:

Một doanh nghiệp thường có các quy trình quản trị và các quy trình quản lý khác nhau. COBIT 5 mô tả các quy trình quản trị và các quy trình quản lý như sau:

• Quản trị: Quản trị gồm có 5 quy trình quản trị gồm Đánh giá (Evaluate), Định hướng (Direct) và Giám sát (Monitor). 5 quy trình này được gọi là EDM.

• Quản lý: Quản lý gồm 4 lĩnh vực (domain) gồm Lập kế hoạch (Plan), Xây dựng (Build), Vận hành (Run) và Giám sát (Monitor). 4 lĩnh vực (domain) này được gọi là PBRM. Mỗi lĩnh vực (domain) có những tầm (area) khác nhau gồm:

• Lĩnh vực lập kế hoạch (Plan): có 3 tầm gồm Liên kết (Align), Lập kế hoạch (Plan), Tổ chức (Organization). Gọi tắt là APO.

• Lĩnh vực xây dựng (Build): có 3 tầm gồm Xây dựng (Build), Thu được (Acquire), Thực hiện (Implement). Gọi tắt là BAI.

• Lĩnh vực vận hành (Run): có 3 tầm gồm Bàn giao (Deliver), Dịch vụ (Service), Hỗ trợ (Support). Gọi tắt là DSS.

• Lĩnh vực giám sát (Monitor): có 3 tầm gồm Giám sát (Monitor), Đánh giá (Evaluate), Truy cập (Access). Gọi tắt là MEA.

• Mô hình các quy trình trong quản lý của COBIT 5 là