NGHIÊN cứu ĐÁNH GIÁ QUẢN TRỊ CÔNG NGHỆ THÔNG TIN TRONG TRƯỜNG đại học
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (15.45 MB, 156 trang )
ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
TRẦN ĐỨC HY
NGHIÊN CỨU ĐÁNH GIÁ QUẢN TRỊ CÔNG NGHỆ
THÔNG TIN TRONG TRƯỜNG ĐẠI HỌC
LUẬN VĂN THẠC SĨ
Ngành: Công Nghệ Thông Tin
Mã ngành: 60.48.02.01
Người hướng dẫn khoa học: PGS. TS. Đỗ Phúc
TP. HỒ CHÍ MINH – 2017
LỜI CẢM ƠN
Tôi xin chân thành cảm ơn Khoa Sau Đại học, Bộ môn Khoa học và Kỹ thuật
thông tin, Trường Đại học Công nghệ thông tin TPHCM đã chấp nhận và tạo điều
kiện cho tôi thực hiện đề tài khóa luận này.
Tôi xin chân thành cảm ơn PGS. TS. Đỗ Phúc, Trường Đại học Công nghệ
Thông tin TPHCM đã tận tình hướng dẫn, giúp đỡ, định hướng cho tôi trong suốt
thời gian thực hiện đề tài này. Tôi cũng xin chân thành cảm ơn các Quý Thầy Cô đã
tận tình giảng dạy, trang bị, bổ sung thêm nhiều kiến thức quý báu cho tôi trong
suốt gần hai năm học vừa qua.
Tôi cũng xin thể hiện lòng biết ơn sâu sắc đến Cha mẹ, các thành viên gia đình
và bạn bè đồng nghiệp đã luôn bên cạnh ủng hộ, giúp đỡ về mọi mặt, động viên tinh
thần cho tôi trong suốt thời gian học tập và nghiên cứu khoa học vừa qua.
Mặc dù tôi đã cố gắng hoàn thành khóa luận trong phạm vi khả năng bản thân
và thời gian cho phép tuy nhiên không tránh khỏi những thiếu sót tồn tại. Tôi kính
mong nhận được sự thông cảm và tận tình nhận xét chỉ bảo của Quý Thầy Cô.
Học viên
TRẦN ĐỨC HY
1/2017
i
LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu của tôi và được sự hướng dẫn
khoa học của PGS. TS. Đỗ Phúc, Trường Đại học Công nghệ Thông tin TPHCM.
Các nội dung nghiên cứu và kết quả trong đề tài này là trung thực. Các số liệu, hình
ảnh, bảng biểu phục vụ cho phân tích, đánh giá được thu thập từ các nguồn khác
nhau có ghi rõ trong phần tài liệu tham khảo. Ngoài ra, trong luận văn còn sử dụng
một số nhận xét, đánh giá từ tác giả của các công trình liên quan đều có trích dẫn và
chú thích nguồn gốc.
Nếu phát hiện có bất kỳ sự gian lận nào tôi xin hoàn toàn chịu trách nhiệm về
nội dung luận văn của mình.
Học viên
TRẦN ĐỨC HY
1/2017
ii
MỤC LỤC
Trang
LỜI CẢM ƠN ..............................................................................................................i
LỜI CAM ĐOAN ...................................................................................................... ii
MỤC LỤC ................................................................................................................. iii
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ................................................vi
DANH MỤC CÁC BẢNG....................................................................................... vii
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ................................................................. viii
CHƯƠNG 1: TỔNG QUAN .......................................................................................1
1.1. TÊN ĐỀ TÀI ........................................................................................................................... 1
1.2. LOẠI ĐỀ TÀI ......................................................................................................................... 1
1.3. GIỚI THIỆU ........................................................................................................................... 1
1.4. MỤC ĐÍCH NGHIÊN CỨU ................................................................................................... 2
1.4.1. Tính cấp thiết ....................................................................................................................... 2
1.4.2. Ý nghĩa khoa học và thực tiễn.............................................................................................. 2
1.5. ĐỐI TƯỢNG NGHIÊN CỨU ................................................................................................ 3
1.6. CÁC PHƯƠNG PHÁP NGHIÊN CỨU ................................................................................. 3
1.7. NỘI DUNG VÀ PHẠM VI NGHIÊN CỨU........................................................................... 3
1.7.1. Những nội dung nghiên cứu ................................................................................................. 3
1.7.2. Phạm vi nghiên cứu.............................................................................................................. 3
1.8. HIỆN TRẠNG CÁC KỸ THUẬT ĐÁNH GIÁ QUẢN TRỊ CNTT ...................................... 4
1.8.1. Thư viện cơ sở hạ tầng CNTT ITIL ..................................................................................... 4
1.8.2. ISO/IEC 27001 (ISO 27001)................................................................................................ 4
1.8.3. ISO/IEC 38500:2008............................................................................................................ 5
1.8.4. Khuôn mẫu COBIT .............................................................................................................. 6
1.8.5. Tình hình nghiên cứu và ứng dụng liên quan với COBIT ................................................... 7
1.9. NỘI DUNG ĐỀ TÀI ............................................................................................................. 17
CHƯƠNG 2: MÔ HÌNH COBIT ĐÁNH GIÁ QUẢN TRỊ CNTT TRONG
DOANH NGHIỆP .....................................................................................................18
2.1. QUẢN TRỊ CNTT ................................................................................................................ 18
2.1.1. Quản trị CNTT và Quản lý CNNT ..................................................................................... 18
2.1.2. Mục tiêu quản trị CNTT..................................................................................................... 19
2.1.3. Mục tiêu và phạm vi quản trị CNTT .................................................................................. 20
2.1.4. Trách nhiệm các bên liên quan........................................................................................... 21
iii
2.2. KHUÔN MẪU COBIT 4.1 ................................................................................................... 22
2.3. CÁC MIỀN QUY TRÌNH CNTT TRONG COBIT (DOMAIN) .......................................... 26
2.3.1. Miền quy trình PO - Hoạch định và tổ chức (PO - Plan and Organize)............................ 26
2.3.2. Miền quy trình AI - Tiếp thu và thực hiện (AI - Acquire and Implement) ......................... 27
2.3.3. Miền quy trình DS - Cung cấp và hỗ trợ (DS – Deliver and Support) ............................... 28
2.3.4. Miền quy trình ME - Giám sát và Đánh giá (ME - Monitor and Evaluate) ....................... 29
2.4. NỘI DUNG QUY TRÌNH CNTT TRONG COBIT ............................................................. 30
2.4.1. Mô tả quy trình................................................................................................................... 30
2.4.2. Mục tiêu kiểm soát ............................................................................................................. 31
2.4.3. Hướng dẫn quản lý ............................................................................................................. 31
2.4.4. Mô hình trưởng thành ........................................................................................................ 34
CHƯƠNG 3: GIẢI PHÁP ĐÁNH GIÁ QUẢN TRỊ CNTT TRONG TRƯỜNG ĐẠI
HỌC ..........................................................................................................................37
3.1. TIẾN TRÌNH LỰA CHỌN QUY TRÌNH CNTT ĐỂ ĐÁNH GIÁ QUẢN TRỊ CNTT
TRONG TRƯỜNG ĐẠI HỌC .................................................................................................... 37
3.2. MÔ HÌNH ĐÁNH GIÁ SỰ TRƯỞNG THÀNH QUẢN TRỊ CNTT DÙNG CÔNG CỤ
ITOMAT ...................................................................................................................................... 41
3.3. TIẾN TRÌNH ĐÁNH GIÁ QUẢN TRỊ CNTT TRONG TRƯỜNG ĐẠI HỌC .................. 49
3.3.1. Hiệu chỉnh các quy trình COBIT phù hợp với trường Đại học .......................................... 51
3.3.2. Tạo mô hình tham chiếu trưởng thành quản trị CNTT ...................................................... 51
3.3.3. Nghiên cứu thực nghiệm .................................................................................................... 53
3.4.4. Phân tích khảo sát .............................................................................................................. 55
3.4. BẢNG THỨ HẠNG TRƯỞNG THÀNH QUẢN TRỊ CNTT ............................................. 55
3.5. TÍNH TOÁN MỨC TRƯỞNG THÀNH QUẢN TRỊ CNTT............................................... 58
3.5.1. Mức trưởng thành của một quy trình ................................................................................. 58
3.5.2. Mức trưởng thành của một miền quy trình ........................................................................ 58
3.5.3. Mức trưởng thành quản trị CNTT của toàn bộ tổ chức ...................................................... 59
CHƯƠNG 4: THỰC HIỆN CASE STUDY ............................................................. 60
4.1. CHUẨN BỊ KHẢO SÁT ...................................................................................................... 60
4.2. THIẾT KẾ BẢNG CÂU HỎI PHỎNG VẤN....................................................................... 63
4.3. THIẾT KẾ BẢNG CÂU HỎI KHẢO SÁT .......................................................................... 65
4.4. BÁO CÁO THỰC NGHIỆM ................................................................................................ 72
4.5. PHÂN TÍCH KẾT QUẢ ....................................................................................................... 76
4.5.1. Mức trưởng thành ITGM (IT Governance Maturity) của tổ chức CNTT nhà trường........ 76
4.5.2 Mức trưởng thành miền quy trình COBIT (Domain Maturity) của tổ chức CNTT nhà
trường ........................................................................................................................................... 77
iv
4.5.3. Các chỉ số trưởng thành MI (Maturity Indicator) của tổ chức CNTT nhà trường ............. 78
4.5.4. Mức trưởng thành các quy trình CNTT (Process Maturity) của tổ chức CNTT nhà trường
...................................................................................................................................................... 79
CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN..........................................80
5.1. Kết quả thực hiện và kiến nghị ............................................................................................. 80
5.2. Hướng phát triển ................................................................................................................... 82
TÀI LIỆU THAM KHẢO.........................................................................................84
PHỤ LỤC ..................................................................................................................87
v
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
AI
:
Acquire and Implement
COBIT
:
Control Objectives for Information and Related Technology
CNTT
:
Công nghệ thông tin
DS
:
Deliver and Support
HTTT
:
Hệ thống thông tin
ITIL
:
Information Technology Infrastructure Library
ISACA
:
Information Systems Audit and Control Association
ITOMAT
:
The IT Organization Modeling Assessment Tool
ME
:
Monitor and Evaluate
PO
:
Plan and Organize
RACI
:
Responsible, Accountable, Consulted, Informed
vi
DANH MỤC CÁC BẢNG
Trang
Bảng 2.1. Các quy trình CNTT của miền quy trình PO ............................................27
Bảng 2.2. Các quy trình CNTT của miền quy trình AI .............................................27
Bảng 2.3. Các quy trình CNTT của miền quy trình DS ............................................29
Bảng 2.4. Các quy trình CNTT của miền quy trình ME ...........................................29
Bảng 2.5. Quy trình đầu vào và đầu ra cho quy trình PO1 .......................................32
Bảng 2.6. Thang điểm thứ hạng trưởng thành chung COBIT ..................................36
Bảng 3.1. Sơ đồ thiết lập các mục tiêu CNTT từ COBIT 4.1 ...................................39
Bảng 3.2. Sơ đồ liên kết mục tiêu CNTT với các quy trình CNTT từ COBIT 4.1 ...40
Bảng 3.3. Bảng mức trưởng thành cho các hoạt động CNTT của ITOMAT [10] ....43
Bảng 3.4. So sánh giữa các vai trò trong ITOMAT và COBIT [10] ........................45
Bảng 3.5. Hệ số tương quan Pearson giữa sự trưởng thành quản trị CNTT và hiệu
suất quản trị CNTT của các quy trình [11] ...............................................................48
Bảng 3.6. Bảng thứ hạng trưởng thành dùng để đánh giá các chỉ số trưởng thành MI
[10] ............................................................................................................................56
Bảng 4.1. BẢNG MỨC TRƯỞNG THÀNH CHO CÁC HOẠT ĐỘNG CNTT .....66
Bảng 4.2. BẢNG KHẢO SÁT MỨC TRƯỞNG THÀNH QUẢN TRỊ CNTT .......68
Bảng 4.3. Thống kê tổng hợp được xử lý từ file BangCobit.xls, kết quả được lưu lại
trong file TonghopPhantichCobit.xls ........................................................................75
Bảng 4.4.
Điểm số trưởng thành các MI (Maturity Indicator), PM (Process
Maturity) của các quy trình CNTT tính toán được từ file BangCobit.xls, kết quả
được lưu lại trong file TonghopPhantichCobit.xls....................................................76
Bảng 4.5. Kết quả điểm số trưởng thành các miền quy trình COBIT ......................78
Bảng 4.6. Kết quả thống kê các chỉ số trưởng thành MI ..........................................78
vii
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ
Trang
Hình 1.1. Các nguyên lý cơ bản của COBIT ..............................................................7
Hình 1.2. Các bước hoạch định chiến lược HTTT [1] ................................................8
Hình 1.3. Tiến trình đo lường hiệu suất quản lý HTTT [2] ......................................11
Hình 1.4. Tiến trình đo lường hiệu suất quản lý HTTT trường đại học [5] ..............13
Hình 2.1. Phân cấp quản trị CNTT với các dạng quản trị khác ................................18
Hình 2.2. Quản trị CNTT và Quản lý CNTT ............................................................19
Hình 2.3. Mục tiêu quản trị CNTT............................................................................20
Hình 2.4. Mục tiêu và phạm vi quản trị CNTT .........................................................21
Hình 2.5. Tổng quan mô hình COBIT 4.1 ................................................................23
Hình 2.6. Ba đối tượng chính của COBIT ................................................................25
Hình 2.7. Sơ đồ RACI cho quy trình PO1 ................................................................33
Hình 2.8. Các mục tiêu và số liệu định lượng mục tiêu của quy trình PO1 .............34
Hình 2.9. Biểu diễn sự trưởng thành theo COBIT ....................................................35
Hình 3.1. Các bước xác định phạm vi đánh giá [3] ..................................................39
Hình 3.2. Mô hình trưởng thành quản trị CNTT được ITOMAT đề xuất [10] ........46
Hình 3.3. Dự đoán hiệu suất quản trị CNTT được thực hiện bằng mạng Bayes [11]
...................................................................................................................................47
Hình 3.4 Tiến trình đánh giá quản trị CNTT trong trường đại học ..........................50
Hình 3.5. Mô hình tham chiếu tổng quát của một quy trình quản trị CNTT ............52
theo đề xuất của ITOMAT [10] ................................................................................52
Hình 4.1. Giao diện chính của ứng dụng “Đánh giá Quản trị CNTT” .....................73
Hình 4.2. Giao diện kết xuất các mức trưởng thành của các quy trình CNTT COBIT
được vẽ bằng biểu đồ Radar ......................................................................................75
Hình 4.3. Mức trưởng thành tổ chức CNTT được khảo sát tại trường đại học Bình
Dương ........................................................................................................................77
Hình 4.4. Đồ thị biểu diễn mức trưởng thành các quy trình CNTT ..........................79
viii
Chương 1: Tổng quan
CHƯƠNG 1: TỔNG QUAN
1.1. TÊN ĐỀ TÀI
Nghiên cứu đánh giá Quản trị CNTT trong trường Đại học.
1.2. LOẠI ĐỀ TÀI
Nghiên cứu, mô hình và khảo sát đánh giá dữ liệu thu thập.
1.3. GIỚI THIỆU
Quản trị CNTT là một vấn đề quan trọng trong hoạt động kinh doanh của
doanh nghiệp. Quản trị CNTT hiệu quả sẽ cung cấp cơ chế cho phép người quản lý
tổ chức doanh nghiệp có kế hoạch phát triển kinh doanh kết hợp với kế hoạch
CNTT, phân bổ trách nhiệm, và đưa ra các cải tiến hoặc đầu tư cho CNTT tốt hơn.
Trong luận văn này, nghiên cứu và đưa ra mô hình đánh giá sự trưởng thành
quản trị CNTT trong trường đại học. Mô hình cũng giúp cho việc giám sát hoạt
động CNTT tốt hơn, nâng cao kỹ thuật quản lý các quy trình và các cấu trúc CNTT
trong tổ chức nhà trường. Sử dụng phương pháp đánh giá sự trưởng thành quản trị
CNTT cũng giúp so sánh và lựa chọn hợp lý giữa các hướng đầu tư cho CNTT
trong tương lai. Ngoài ra, một phương pháp đánh giá quản trị CNTT tốt có thể cung
cấp các kết quả có ích về những vấn đề tổ chức đang gặp phải và thực hiện các cải
tiến quản trị cho tổ chức CNTT trong trường đại học hoặc trong môi trường doanh
nghiệp.
Hiện nay, có nhiều phương pháp hỗ trợ quản trị CNTT. Một số khuôn mẫu
quản trị CNTT dựa trên một số câu hỏi được sử dụng để phân công trách nhiệm cho
việc ra quyết định CNTT ở cấp quản lý, nhưng không đưa ra các hướng dẫn thêm về
phương pháp các tổ chức CNTT nên thực hiện như thế nào. Các tiêu chuẩn ISO /
IEC 20000 và ITIL (IT Infrastructure Library) có thể hỗ trợ cho các quy trình liên
quan đến việc phân phối và hỗ trợ. ITIL chi tiết các công việc thiết lập và duy trì
các thỏa thuận cấp độ dịch vụ và các thỏa thuận cấp độ hoạt động. Tuy nhiên, ITIL
lại không có sự hỗ trợ cho mối quan tâm đến hoạch định chiến lược CNTT cho tổ
chức. Được sử dụng nhiều hiện nay là khuôn mẫu quản trị CNTT COBIT (Control
Objectives for Information and Related Technology) sẽ được trình bày chi tiết trong
chương 2.
1
Chương 1: Tổng quan
Luận văn sẽ trình bày các vấn đề yêu cầu đặt ra để thực hiện đánh giá sự
trưởng thành quản trị CNTT. Việc dùng COBIT để mô hình tổ chức CNTT và đánh
giá mức độ trưởng thành CNTT của tổ chức sẽ có các ưu điểm và nhược điểm đối
với từng tổ chức cụ thể. Từ đó đề xuất mô hình cụ thể dựa trên COBIT để áp dụng
vào đánh giá mức trưởng thành quản trị CNTT trong trường đại học.
Trong ngữ cảnh đề tài này, luận văn sẽ giải quyết vấn đề sau:
-
Tìm hiểu các khuôn mẫu quản trị CNTT, cách xây dựng mục tiêu quản trị CNTT
trong một tổ chức, cách thức đo lường thành quả quản trị CNTT.
-
Đề xuất mô hình đánh giá mức trưởng thành CNTT của trường đại học dựa trên
khuôn mẫu COBIT.
1.4. MỤC ĐÍCH NGHIÊN CỨU
1.4.1. Tính cấp thiết
Việc đưa ra một mô hình xác định khả năng quản trị CNTT phù hợp với
trường đại học sẽ giúp đánh giá một cách tổng thể năng lực quản trị CNTT, giúp
nhà trường hiểu rõ hiện trạng, mong muốn, mức độ chênh lệch trưởng thành cần
phải khắc phục.
Kết quả thực nghiệm đánh giá mô hình khảo sát được thực hiện tại trường Đại
học Bình Dương. Các kết quả này nếu đầy đủ, chính xác sẽ giúp nhà trường các
thông tin để cải thiện nâng cao hiệu quả vận hành hệ thống thông tin hiện có, đồng
thời có những quyết định đầu tư về cơ sở hạ tầng CNTT đúng đắn hơn.
1.4.2. Ý nghĩa khoa học và thực tiễn
-
Nghiên cứu quản trị CNTT, gắn kết mục tiêu của tổ chức với các mục tiêu
CNTT.
-
Nghiên cứu và đưa ra các mô hình đánh giá mức độ trưởng thành quản trị CNTT
trong tổ chức.
-
Thực hiện Case Study: ứng dụng mô hình để đánh giá mức trưởng thành quản trị
CNTT trong trường đại học. Thiết kế mô hình, câu hỏi khảo sát, thu thập dữ
liệu, tính toán mức độ trưởng thành, phân tích kết quả và đưa ra các khuyến cáo
cho nhà trường.
2
Chương 1: Tổng quan
1.5. ĐỐI TƯỢNG NGHIÊN CỨU
Nghiên cứu kỹ thuật đánh giá mức trưởng thành quản trị CNTT tại trường
Đại học Bình Dương bằng khuôn mẫu COBIT (Control Objectives for Information
and Related Technology).
1.6. CÁC PHƯƠNG PHÁP NGHIÊN CỨU
-
Khảo sát cách thức đánh giá: Thực hiện khảo sát các công trình nghiên cứu
liên quan đến quản trị CNTT, xác định mục tiêu kinh doanh, mục tiêu CNTT của
tổ chức, thiết lập quy trình CNTT, đề xuất mô hình đánh giá mức trưởng thành
quản trị CNTT trong trường đại học theo khuôn mẫu COBIT.
-
Phương pháp phỏng vấn: Thiết kế bảng câu hỏi và tiến hành khảo sát để đánh
giá mức trưởng thành CNTT trong tổ chức trường đại học.
-
Phương pháp thực nghiệm: Thu thập dữ liệu đánh giá ở trường đại học Bình
Dương, tiến hành phỏng vấn, quan sát vận hành của tổ chức CNTT, tính toán
mức trưởng thành của các quy trình CNTT và của toàn bộ tổ chức.
-
Phương pháp đánh giá và kiểm tra: Đánh giá kết quả thực nghiệm với nội
dung khảo sát ban đầu, vẽ biểu đồ trưởng thành, đưa ra kết luận, hướng cải tiến
cho các hệ thống CNTT trong nhà trường tốt lên.
1.7. NỘI DUNG VÀ PHẠM VI NGHIÊN CỨU
1.7.1. Những nội dung nghiên cứu
-
Nghiên cứu về quản trị CNTT.
-
Nghiên cứu các mô hình đánh giá quản trị CNTT trong tổ chức.
-
Nghiên cứu đánh giá mức trưởng thành tổ chức CNTT trong trường đại học.
-
Thực hiện Case Study tại trường đại học Bình Dương.
1.7.2. Phạm vi nghiên cứu
Đánh giá mức trưởng thành quản trị CNTT trường đại học Bình Dương:
-
Đưa ra mức trưởng thành của tổ chức CNTT hiện tại đạt được.
-
Đánh giá lại hiệu quả đầu tư CNTT, mức độ ứng dụng CNTT phục vụ các mục
tiêu của tổ chức.
-
Đánh giá hiện trạng, hiệu quả của hệ thống CNTT.
-
Đưa ra các giải pháp cải tiến hệ thống CNTT đáp ứng nhu cầu nhà trường.
3
Chương 1: Tổng quan
1.8. HIỆN TRẠNG CÁC KỸ THUẬT ĐÁNH GIÁ QUẢN TRỊ CNTT
1.8.1. Thư viện cơ sở hạ tầng CNTT ITIL
Khuôn mẫu ITIL (Information technology infrastructure library) được đề
xuất bởi Phòng Thương mại Chính phủ Anh (the Office of Government Commerce)
và Diễn đàn Quản lý Dịch vụ CNTT (the IT Service Management Forum). ITIL là
một khuôn mẫu CNTT cung cấp hướng dẫn các bước để đạt được thành công trong
việc quản lý hoạt động các dịch vụ CNTT. ITIL bao gồm tập hợp 8 hướng dẫn về:
phân phối dịch vụ, hỗ trợ dịch vụ, lập kế hoạch để thực hiện quản lý dịch vụ, quản
lý cơ sở hạ tầng CNTT, quản lý tài sản phần mềm, vấn đề kinh doanh, quản lý an
ninh và quản lý ứng dụng (Service Delivery, Service Support, Planning to
Implement Service Management, ICT Infrastructure Management, Software Asset
Management, Business Perspective, Security Management and Application
Management) [3].
ITIL là framework về quản trị và kiểm soát CNTT nhìn theo góc độ quản trị
dịch vụ. Đây là một tập hợp các khung quản lý mức chất lượng dịch vụ CNTT. Nó
không đề cập rộng như một số framework quản trị CNTT khác mà tập trung về lĩnh
vực quản lý dịch vụ CNTT. ITIL được thiết kế dưới góc nhìn của các nhà lãnh đạo
CNTT. Đồng thời nó được xây dựng dựa trên những đúc kết kinh nghiệm từ những
nhà quản lý CNTT nên tính thực tiễn cao. Một số lợi ích chính mà ITIL mang lại
cho tổ chức, doanh nghiệp như sau:
- Hỗ trợ lãnh đạo doanh nghiệp và lãnh đạo CNTT tổ chức, xây dựng mô hình,
quy trình quản lý dịch vụ CNTT chuyên nghiệp, hiệu quả.
- ITIL hướng đến đối tượng là những người thụ hưởng dịch vụ CNTT, nhờ
đón nó đưa ra các mục tiêu rõ ràng nhằm nâng cao chất lượng dịch vụ CNTT
để phục vụ tốt hơn cho khách hàng.
- ITIL được thiết kế hướng dịch vụ, bao gồm việc xây dựng các chức năng, mô
hình, vai trò, quy trình quản lý dịch vụ CNTT.
- ITIL chỉ ra các thức xây dựng các quy trình quản lý, những hoạt động, chức
năng và phương pháp được sử dụng trong mỗi quy trình và vận hành dịch vụ.
- Giúp đo lường mức độ thành công của quy trình, tổ chức vận hành dịch vụ
bảo mật CNTT, cách thức truyền thông quy trình dịch vụ để đạt hiệu quả cao
nhất.
1.8.2. ISO/IEC 27001 (ISO 27001)
4
Chương 1: Tổng quan
ISO 27001 bao gồm hướng dẫn các tiêu chuẩn thực hành cho các tổ chức
CNTT thực hiện và duy trì chương trình bảo mật thông tin. ISO 27001 được công
bố bởi chính phủ Anh theo tiêu chuẩn BS 7799 (British Standard 7799) [3]. ISO
27001 tập trung vào quản lý an ninh thông tin và đưa ra các giải pháp quản lý rủi ro
an ninh thông tin như sau:
-
Thiết lập, định nghĩa các chính sách quản lý an ninh thông tin trên các hệ
thống, dịch vụ CNTT.
-
Hoạch định chiến lược quản lý an ninh thông tin và kiểm soát rủi ro.
-
Xây dựng các kế hoạch quản lý an ninh thông tin, kế hoạch đảm bảo liên tục
các dịch vụ CNTT
-
Quản lý các tài sản, nguồn lực an ninh thông tin và định giá trị các tài sản
liên quan thông tin.
-
Các quy trình quản lý các hoạt động kiểm toán và kiểm soát tuân thủ chính
sách, quy tắc tổ chức.
-
Thực hiện thu thập, phân tích, đánh giá rủi ro và tự động tính toán các mức
độ cảnh báo rủi ro.
1.8.3. ISO/IEC 38500:2008
Khuôn mẫu quản trị CNTT thích ứng chuẩn AS8015-2005. Khuôn mẫu này
có thể áp dụng cho các loại tổ chức bất kỳ từ công ty cho đến các cơ quan chính
phủ. Khuôn mẫu có thể hỗ trợ bất kỳ các cấp quản lý để hiểu và thực hiện dễ dàng
bất kỳ yêu cầu, quy định, tuân thủ đạo đức và pháp luật trong việc sử dụng các tài
nguyên CNTT có trong tổ chức [3].
ISO / IEC 38500: 2008 được áp dụng cho việc quản trị các quy trình quản lý
liên quan đến các dịch vụ thông tin và truyền thông được sử dụng bởi một tổ chức.
Các quy trình này có thể được kiểm soát bởi các chuyên gia CNTT trong tổ chức
hoặc các nhà cung cấp dịch vụ bên ngoài. Nhờ vào tiêu chuẩn ISO / IEC 38500:
2008, tổ chức doanh nghiệp có thể đảm bảo trách nhiệm giải trình được xác định rõ
ràng cho tất cả các rủi ro và hoạt động CNTT. Nó bao gồm việc chỉ định vai trò và
giám sát các trách nhiệm bảo mật, chiến lược và hành vi bảo mật CNTT nhằm tạo
ra các biện pháp và cơ chế thích hợp để báo cáo và ứng phó với việc sử dụng CNTT
hiện tại và theo kế hoạch.
5
Chương 1: Tổng quan
Tuy nhiên có một số yêu cầu cụ thể đối với người quản lý CNTT không thể
áp dụng theo tiêu chuẩn đưa ra, cụ thể không thể áp đặt lên người quản lý của công
ty nếu CNTT được thuê ngoài. Trong các trường hợp như vậy, yêu cầu sẽ được đảm
bảo trong hợp đồng với nhà cung cấp dịch vụ CNTT. Đồng thời ISO 38500 không
phải tương hợp với tất cả doanh nghiệp. Nó không thay thế cho COBIT, ITIL, hoặc
các tiêu chuẩn hoặc khuôn mẫu khác, nhưng lại có thể bổ sung cho các khuôn mẫu
này bằng cách cung cấp trọng tâm sử dụng nhu cầu về CNTT.
1.8.4. Khuôn mẫu COBIT
Các mục tiêu kiểm soát về thông tin và công nghệ liên quan COBIT (Control
Objectives for Information and related Technology) được phát triển bởi Viện quản
trị CNTT ITGT (the IT Governance Institute), Quỹ hỗ trợ Kiểm toán và Kiểm soát
các hệ thống thông tin ISACF (the Information Systems Audit and Control
Foundation), và Ủy ban COBIT (COBIT Steering Committee) [18].
COBIT là khuôn mẫu kiểm soát, liên quan đối với mục tiêu kiểm soát và
thực hành kiểm soát. Nó cung cấp các hướng dẫn trách nhiệm đối với kiểm soát và
các hướng dẫn liên quan đến kỹ thuật đánh giá mục tiêu kiểm soát, thiết kế, phát
triển và thực hiện kiểm soát. Ngoài ra khuôn mẫu còn cung cấp công cụ để giám sát
và đánh giá kiểm soát.
Khuôn mẫu COBIT có sự kết hợp và kế thừa từ các mô hình kiểm soát khác
như COSO, CoCo, Cabbury, King, Sys Trust (Principles and Criteria for Systems
reliablity), ITIL (IT Infrastructure Libary), ITCG (Information Technology Control
Guidelines). Khuôn mẫu COBIT là một tập hợp các mục tiêu kiểm soát CNTT và
các thực hành kiểm soát CNTT được chấp nhận rộng rãi có tính quốc tế [17].
Các mục tiêu kiểm soát và thực hành của COBIT tập trung vấn đề đảm bảo
Hệ thống thông tin tạo thông tin đạt tiêu chuẩn chất lượng. Ở cấp cao hơn, COBIT
tập trung vào vấn đề tầm quan trọng của thông tin với việc thành công lâu dài của
doanh nghiệp. COBIT có thể ứng dụng rộng rãi, từ một bộ phận hoặc phòng ban sử
dụng CNTT cho đến ứng dụng cho toàn bộ doanh nghiệp. COBIT có thể xem là một
trong các công cụ tin cậy trong việc quản trị CNTT, cụ thể nó có thể dùng làm
hướng dẫn quản trị CNTT, hỗ trợ quản lý CNTT, và cung cấp tiêu chuẩn tốt cho
6
Chương 1: Tổng quan
việc xây dựng, đánh giá CNTT trong doanh nghiệp, cũng như lập kế hoạch kiểm
toán, giám sát các quy trình CNTT.
Hình 1.1. Các nguyên lý cơ bản của COBIT
(Nguồn: ISACA.org)
COBIT tập trung vào 5 vấn đề được các nhà quản lý quan tâm trong quản trị
CNTT của một tổ chức doanh nghiệp là: sự phù hợp chiến lược kinh doanh, chuyển
giao giá trị, quản lý rủi ro, quản lý nguồn lực và đo lường thành quả [16]. Nội dung
của COBIT vẫn được tiếp tục nghiên cứu và hoàn thiện để cung cấp những mục tiêu
và thực hành tốt nhất. Người sử dụng có thể sử dụng COBIT kết hợp với các chuẩn
có tính chất đặc thù, chi tiết hơn như [3]:
-
ITIL: mạnh về quản lý dịch vụ thông tin
-
CMM: hỗ trợ các giải pháp CNTT
-
ISO 17799: mạnh về an toàn thông tin
-
PMBOK/PRINCE2: hỗ trợ quản trị dự án
Có một thách thức đặt ra khi sử dụng COBIT là mô hình này không đề nghị
bất kỳ phương pháp luận đặc biệt nào để đo lường mức trưởng thành của những quy
trình CNTT. Có nhiều cách tiếp cận có thể thực hiện việc đo lường này. Tuy nhiên,
để sử dụng mô hình trưởng thành theo COBIT như là một công cụ quản lý hiệu quả,
các tổ chức phải phát triển một phương pháp luận hiệu quả để đo lường mức trưởng
thành những quy trình CNTT của họ [11].
1.8.5. Tình hình nghiên cứu và ứng dụng liên quan với COBIT
Trong [1], bài báo trình bày kết quả nghiên cứu về xây dựng kế hoạch chiến
lược HTTT cho trường đại học. Các giai đoạn xây dựng chiến lược HTTT được
thực hiện dựa trên khuôn mẫu Ward & Peppard và sử dụng hướng dẫn quản lý
7
Chương 1: Tổng quan
CNTT của COBIT 4.1. Xây dựng kế hoạch chiến lược HTTT trong nghiên cứu này
bao gồm một số thành phần như sau: danh mục đầu tư ứng dụng dựa trên ma trận
McFarlan, kiến trúc HTTT, và đề nghị các giai đoạn hành động CNTT/HTTT. Các
tác giả bài báo đề xuất các bước chính để hoạch định chiến lược HTTT trong nghiên
cứu là: chuẩn bị, đánh giá quản trị CNTT với một số kết quả kiến nghị, và xây dựng
kế hoạch chiến lược HTTT. Thứ tự của các bước được trình bày trong Hình 1.2.
Hình 1.2. Các bước hoạch định chiến lược HTTT [1]
Việc chuẩn bị và đánh giá quản trị CNTT được thực hiện bằng cách sử dụng
công cụ đánh giá trong COBIT 4.1. Các hoạt động chính của nghiên cứu này là:
thực hiện phân tích các dữ liệu và các bằng chứng thu thập được từ giai đoạn khảo
sát và xây dựng kế hoạch chiến lược HTTT. Trong giai đoạn phân tích, sẽ sử dụng
công cụ CSF (Critical Success Factor) và Phân tích chuỗi hoạt động (Activities
Chain Analysis). Khi xây dựng chiến lược HTTT các tác giả sử dụng khuôn mẫu
Ward & Peppard và để mô tả các đề xuất danh mục đầu tư ứng dụng sẽ sử dụng ma
trận Mc Farlan. Khuôn mẫu COBIT liên quan đến các miền quy trình CNTT được
sử dụng như một công cụ để hướng dẫn việc xây dựng lộ trình quản lý
HTTT/CNTT và các khuyến nghị.
Cũng trong [1], các tác giả đề xuất khuôn mẫu hoạch định chiến lược
HTTT/CNTT (IS/IT Strategic Plan Framework) bao gồm hai bước. Bước đầu tiên,
xác định và phân tích được thực hiện đối với môi trường bên trong và bên ngoài bao
gồm cả tổ chức và các thành phần HTTT/CNTT, cụ thể thực hiện như sau:
8
Chương 1: Tổng quan
-
Xác định và phân tích môi trường kinh doanh nội bộ bao gồm các khía cạnh
khác nhau như: chiến lược kinh doanh, mục tiêu dài hạn và ngắn hạn của tổ
chức, các quy trình nghiệp vụ nội bộ và quy trình dịch vụ, văn hóa tổ chức, vai
trò và chính sách.
-
Các khía cạnh môi trường kinh doanh bên ngoài như: khả năng cạnh tranh của tổ
chức, tình hình thị trường, đối thủ cạnh tranh, tình huống kinh doanh, các khía
cạnh kinh tế xã hội, các khía cạnh chính trị.
-
Một số khía cạnh HTTT/CNTT nội bộ như: tình trạng hiện tại của HTTT/CNTT,
đóng góp HTTT/CNTT cho tổ chức, hỗ trợ nguồn lực, cơ sở hạ tầng công nghệ,
phần mềm và dữ liệu, và danh mục đầu tư ứng dụng hiện tại.
-
Xác định và phân tích HTTT/CNTT bên ngoài được thực hiện như là: sự phát
triển của công nghệ thông tin, cơ hội và thách thức trong việc sử dụng công nghệ
mới đối với tổ chức, điều kiện của các bên thứ ba liên quan đến CNTT như nhà
cung cấp, đối thủ cạnh tranh, và thị trường.
Bước thứ hai là quá trình xây dựng kế hoạch chiến lược HTTT/CNTT. Bước
này cung cấp ba kết quả chính như sau:
-
Hệ thống thông tin chiến lược kinh doanh, trong đó bao gồm: nhu cầu hỗ trợ
HTTT/CNTT cho các đơn vị phòng ban của tổ chức hoặc bộ phận để hỗ trợ họ
trong việc đạt được mục tiêu dài hạn và ngắn hạn, kiến trúc ứng dụng và mối
tương quan của chúng, và làm thế nào các kiến trúc ứng dụng được lên kế
hoạch.
-
Chiến lược công nghệ thông tin, bao gồm các chiến lược và chính sách trong
việc duy trì cơ sở hạ tầng công nghệ thông tin và nguồn nhân lực hỗ trợ các công
nghệ đó.
-
Chiến lược Quản lý HTTT/CNTT bao gồm quản lý các yếu tố HTTT/CNTT
thực hiện bởi tổ chức để đảm bảo tất cả các quy trình và kết quả đạt được là phù
hợp với tất cả các chính sách và các thông số xác định trước.
Trong [2], bài báo trình bày một Case Study đo lường hiệu suất HTTT
trường đại học Respati Yogyakarta, Indonesia. Các phương pháp được sử dụng
trong nghiên cứu này là:
9
Chương 1: Tổng quan
1. Nghiên cứu tài liệu nguồn về khung mẫu COBIT, phương thức kiểm toán, và hệ
thống thông tin học tập.
2. Thu thập dữ liệu từ các tài liệu nội bộ liên quan đến tổ chức như tầm nhìn, sứ
mạng, mục tiêu, kiến trúc CNTT, cơ cấu tổ chức, xây dựng kế hoạch tổng thể,
bao gồm các chính sách quản lý CNTT.
3. Nhận dạng chung các quy trình học tập được thực hiện tại đại học.
4. Thực hiện phân tích các điểm yếu, điểm mạnh, cơ hội và thách thức của tổ chức
(SWOT Analysis).
5. Quan sát trực tiếp các hoạt động học tập để lột tả các điểm huyệt của vấn đề tồn
tại của tổ chức.
6. Thực hiện phân tích hệ thống thông tin học tập, tham khảo đến khuôn mẫu
COBIT sử dụng bảng câu hỏi.
7. Thực hiện các cuộc phỏng vấn với các bên liên quan như giám đốc giáo vụ, chủ
tịch của chương trình nghiên cứu, nhân viên CNTT và nhân viên hành chính và
giảng viên.
8. Thực hiện phân tích dữ liệu.
Trong nghiên cứu [2], tác giả sử dụng COBIT phiên bản 4.1 để mô tả mô
hình trưởng thành và kỹ thuật định lượng, thực hiện quá trình đo lường hiệu suất
trên miền quy trình CNTT PO - Hoạch định và Tổ chức (Planning Organization).
Quá trình đo lường được dự kiến để quản lý tài nguyên CNTT và các mục tiêu
chiến lược và mục tiêu ngắn hạn như tính hiệu quả, tính hữu hiệu, bảo mật, tính
toàn vẹn, tính sẵn sàn, tuân thủ và độ tin cậy của hệ thống thông tin quản lý học tập.
Quá trình đo lường được thể hiện trong Hình 1.3.
10
Chương 1: Tổng quan
Hình 1.3. Tiến trình đo lường hiệu suất quản lý HTTT [2]
Để liên kết các mục tiêu tổ chức và các yêu cầu kinh doanh, tiến trình này có
thể thực hiện bằng cách xác định các chỉ số liên quan đến miền quy trình PO, chẳng
hạn như: Thiết lập hiệu suất của mỗi quy trình trong PO, gán KGI, gán KPI, gán
CSF, và mô hình trưởng thành. Thực hiện tiến trình đo lường hiệu suất cho miền
quy trình PO, cần sử dụng các chỉ số KGI (Key Goal Indicators) và KPI (Key
Performance Indicators). Cả hai chỉ số này đều liên quan đến các CSF (Critical
Success Factors) vì CSF làm gia tăng các yếu tố cần thiết quản lý trong tổ chức và
nếu không thực hiện thì nó sẽ cản trở bước phát triển của tổ chức.
Trong [3] các tác giả trình bày một số khuôn mẫu có thể dùng để quản trị
CNTT như COBIT, ITIL, ISO 27001, ISO/IEC 38500/2008. ITIL (Information
technology infrastructure library) cung cấp hướng dẫn quản lý hoạt động của các
dịch vụ CNTT như chuyển giao dịch vụ, hỗ trợ dịch vụ, lên kế hoạch và triển khai
dịch vụ, quản lý cơ sở hạ tầng CNTT và truyền thông, quản lý tài sản phần mềm,
quản lý an ninh, quản lý ứng dụng. ISO 27001 là công cụ hướng dẫn tổ chức triển
khai và bảo trì chương trình an ninh thông tin. ISO/IEC 38500/2008 hỗ trợ các thành
phần trong tổ chức hiểu và thực hiện các quy định, đạo đức và các yêu cầu phức tạp
liên quan luật pháp trong việc sử dụng các tài nguyên CNTT trong một tổ chức. Với
COBIT, các tác giả trình bày công cụ đánh giá mức độ năng lực các quy trình
CNTT được cung cấp bởi tổ chức ISACA (isaca.org). Phương pháp thực hiện bao
gồm phỏng vấn, kiểm tra quy trình, kiểm tra tài liệu, kiểm tra các ghi nhận hỗ trợ
11
Chương 1: Tổng quan
dịch vụ. Các tài liệu khảo sát được sử dụng để làm dữ kiện đánh giá tổ chức bao
gồm tài liệu hướng dẫn hoạt động chuẩn, tài liệu phát triển hệ thống kỹ thuật, tài
liệu trang bị mua sắm dịch vụ.
Bài báo [3] cũng trình bày các bước phân tích để giới hạn phạm vi đánh giá
trong trường đại học. Đầu tiên xác định các khía cạnh liên quan đến nhà trường dựa
trên thẻ điểm cân bằng BSC (Balance Score Card), từ đó chỉ ra các mục tiêu chiến
lược của tổ chức, các mục tiêu CNTT liên quan, nhờ đó xác định các quy trình
CNTT sẽ được dùng để đánh giá mức độ trưởng thành. Tiếp đó trong [3] trình bày
các bước phân tích để giới hạn phạm vi đánh giá các quy trình trong số 34 quy trình
được đề xuất bởi COBIT. Tuy nhiên việc tính toán mức trưởng thành chưa có tính
trọng số ảnh hưởng của các quy trình CNTT lên tổ chức.
Trong [5] đã trình bày quá trình kiểm toán CNTT được thực hiện để kiểm tra
mức độ sẵn sàng của tổ chức CNTT tại một trường đại học ở Indonesia. Việc định
lượng mức độ trưởng thành trong việc trang bị ứng dụng CNTT tại trường đại học
sử dụng khuôn mẫu COBIT 4.1. Các quy trình CNTT có liên quan đến quá trình
trang bị các ứng dụng sẽ được xác định bằng cách kết hợp chuẩn ITIL v3
(Information technology infrastructure library) với các quy trình CNTT của khuôn
mẫu COBIT 4.1. Kết hợp hai khuôn mẫu COBIT và ITIL cung cấp một cách thức
hiệu quả trong việc tìm hiểu các nhu cầu và các ưu tiên của quản trị CNTT. COBIT
thực hiện vai trò của mình trong quá trình đo lường hiệu suất thông qua việc định
lượng sự trưởng thành quy trình CNTT. ITIL mô tả các yếu tố thành công quan
trọng trong việc thực hiện các dịch vụ nâng cao sự hài lòng của người sử dụng. ITIL
hỗ trợ thực tế tốt nhất cho quản lý CNTT và nó tập trung hơn vào phương pháp và
xác định luồng quy trình phải được thực hiện.
Các giai đoạn quá trình kiểm toán CNTT bao gồm việc lựa chọn quy trình
CNTT dựa vào COBIT 4.1, thu thập dữ liệu bằng các cuộc phỏng vấn, quan sát và
các bảng câu hỏi, xử lý kết quả trả lời từ bảng câu hỏi, phân tích dữ liệu để đưa ra
mức trưởng thành hiện tại và mức trưởng thành kỳ vọng, cải tiến chiến lược dựa
trên COBIT 4.1 và các thực tiễn tốt nhất của ITIL V3 kết hợp với COBIT 4.1. Cụ
thể các tác giả đưa ra các giai đoạn kiểm toán như sau:
12
Chương 1: Tổng quan
Hình 1.4. Tiến trình đo lường hiệu suất quản lý HTTT trường đại học [5]
Trong [6] đã đề xuất thiết kế mô hình trưởng thành toàn diện dựa trên các
chuẩn ISO/IEC 20000 và ISO/IEC 38500, khuôn mẫu ITIL (Information technology
infrastructure library) và COBIT để đánh giá tập trung vào thuê bao dịch vụ CNTT
trong tổ chức. Mô hình được công nhận thực tiễn trong lĩnh vực giáo dục đại học
bằng cách sử dụng bảng câu hỏi và các bảng số liệu trong số các công cụ đo lường
khác nhau. Với việc xác định và định nghĩa một số khái niệm chính và công cụ đánh
giá, mô hình cho phép đánh giá tổ chức CNTT một cách có hệ thống và có cấu trúc.
13
Chương 1: Tổng quan
Các mô hình, các tiêu chuẩn và các hướng dẫn được đề xuất trong mô hình thích
hợp với các trường đại học và phù hợp với việc tập trung đánh giá trưởng thành các
dịch vụ CNTT được thuê ngoài trong tổ chức. Mặc dù công cụ đánh giá có nhiều trả
lời định tính, nó cũng có những trả lời định lượng, ví dụ như mức độ tuân thủ với
các đặc tính nhất định để xác định mô hình trưởng thành; mức độ ảnh hưởng của
các KPI (Key Performance Indicator) và KGI (Key Goal Indicator) trong các hình
thức phạt đối với hành vi vi phạm các thỏa thuận.
Mô hình trưởng thành trong [6] gồm hai thành phần: mức độ trưởng thành và
các khái niệm. Mức trưởng thành vả các đặc trưng cho mỗi mức được xác định bởi
một số các khái niệm chung có trong các khuôn mẫu và các chuẩn ở trên. Các đặc
trưng này sẽ được dùng như những chỉ số cho việc định lượng, xác định mức độ
trưởng thành của tổ chức CNTT. Mô hình trưởng thành định nghĩa 5 mức độ
trưởng thành: bắt đầu hoặc chưa được dự tính; lặp lại hoặc trực quan; được xác
định; có quản lý và đo lường; và tối ưu hóa.
Trong [6] cũng đưa ra tiến trình định lượng để đạt đến mô hình trưởng thành
có các bước như sau:
-
Tính toán độ đo ban đầu sau khi hình thành bảng câu hỏi
-
Thiết lập các mục tiêu điểm chuẩn trưởng thành
-
Xác định các khoảng trống giữa điểm số hiện tại và các mục tiêu
-
Đề xuất các hành động và chính sách được thực hiện trong kế hoạch cải tiến mô
hình trưởng thành
-
Khi các hành động khắc phục đã được triển khai, thực hiện lại việc tính toán độ
đo mới.
Trong [7] đã trình bày tầm quan trọng của quản trị CNTT ảnh hưởng đến khả
năng của tổ chức thực hiện những mục tiêu doanh nghiệp, hỗ trợ tối đa việc giảm
thiểu rủi ro và gia tăng tối đa các giá trị nội tại của tổ chức, thúc đẩy CNTT nhằm
hài lòng những yêu cầu của tổ chức và khách hàng trong dài hạn. Các tác giả nêu
bật COBIT là một khuôn mẫu có cấu trúc quản trị CNTT tốt để có thể hướng dẫn
các tổ chức trong việc thúc đẩy mở rộng CNTT ở những lĩnh vực quan trọng quyết
định kinh doanh.
14
Chương 1: Tổng quan
Những vấn đề chính được trình bày trong [7] là: Quản trị CNTT trong
trường Đại học, các nguyên lý và tổng quan của khuôn mẫu COBIT, các tiêu chí
liên quan về thông tin của COBIT, các tài nguyên CNTT, các mục tiêu kiểm soát,
các đối tượng liên quan chịu trách nhiệm đến các quy trình hoạt động CNTT.
COBIT được chỉ ra như là liên kết giữa quản trị CNTT và chiến lược kinh doanh.
Nó là cầu nối để lấp khoảng cách giữa quản lý kinh doanh ở môi trường đặc thù là
giáo dục đại học và quản lý CNTT.
Trong [7] tập trung vào khuôn mẫu COBIT và tầm quan trọng của việc áp
dụng nó trong học viện, trường Đại học và các tổ chức. COBIT đưa ra những thực
hành hữu hiệu, tổ chức các quy trình hoạt động trong một cấu trúc có tổ chức và
linh hoạt. Những thực hành này hỗ trợ việc tối ưu hóa các khoản đầu tư CNTT
được phép, đảm bảo chuyển giao các dịch vụ CNTT, thúc đẩy cải thiện các quy
trình CNTT nhằm đảm bảo sự hài lòng cho các đòi hỏi của giáo dục đại học và
khách hàng trong tương lai. Một số các case study được các tác giả chọn và phân
tích việc áp dụng COBIT trong các cơ sở giáo dục Đại học như: Australian Higher
Education Institutions, Curtin University of Technology, Viana do Castelo
Polytechnic Institute.
Trong [8], Shengnan Zhang, là luận văn thạc sĩ thực hiện tại Leiden Institute
of Advanced Computer Science (LIACS) The Netherlands. Nghiên cứu chỉ ra một
số vấn đề thực tiễn của COBIT gặp phải, ví dụ như các khái niệm và cấu trúc phức
tạp, thiếu hướng dẫn cách thức áp dụng mô hình vào thực tế. Nghiên cứu phân tích
và phân loại các vấn đề được cấu trúc theo mục tiêu kiểm soát COBIT. Nghiên cứu
cũng đề xuất một mô hình COBIT-BSC (Balance Score Card) để biểu diễn một
cách đơn giản cấu trúc các mục tiêu kiểm soát CNTT trong COBIT. Việc này giúp
cho các tổ chức doanh nghiệp hiểu rõ các vấn đề thực tiễn và các giá trị của COBIT
nhằm đem lại lợi ích tốt hơn trong quản trị CNTT.
Mô hình tác giả đề xuất trong [8] minh họa cách nhìn đơn giản về các mục
tiêu kiểm soát của COBIT dựa trên các khía cạnh BSC. Do các mô tả cấu trúc
COBIT là khá phức tạp, nên nhờ mô hình đề xuất này, các nhà quản lý của tổ chức
dễ dàng nắm bắt được COBIT dựa vào mối liên hệ với ISO 27001 và ITIL là hai
chuẩn thường được sử dụng trong các tổ chức doanh nghiệp. Nhờ đó, có thể xác
15
Chương 1: Tổng quan
định các mục tiêu kinh doanh liên kết với các mục tiêu CNTT, tiếp đó là các quy
trình CNTT COBIT nào có liên quan đến tổ chức, từ đó có thể tính điểm chuẩn
trưởng thành cho toàn hệ thống dễ dàng vàchính xác.
Trong [10], là luận văn thạc sĩ của Felipe Castillo, thực hiện đánh giá tổ
chức CNTT tại công ty “AB Storstockholms Lokaltrafik” (SL) Thụy Điển từ khía
cạnh quản trị CNTT. Mục đích của việc đánh giá là để xác định những lĩnh vực có
vấn đề tại SL và đề xuất các biện pháp để cải thiện. Khuôn mẫu được tác giả đưa ra
dựa trên COBIT là một công cụ để phân tích và ước lượng mức trưởng thành quản
trị CNTT tại SL bao gồm các bước sau:
-
Tinh chỉnh các quy trình của COBIT sao cho phù hợp với SL
-
Tạo mô hình tham chiếu trưởng thành quản trị CNTT
-
Nghiên cứu thực nghiệm
-
Tạo mô hình thể hiện
-
Phân tích khuôn mẫu
Mô hình tham chiếu mức trưởng thành quản trị CNTT (IT Gorvernance
Maturity Reference Model) [10] là một mô hình quản trị CNTT tối ưu được xác
định trước để biểu diễn cho một tổ chức quản trị CNTT lý tưởng. Mô hình tham
chiếu trong nghiên cứu đề nghị dựa trên ITOMAT (IT Organization Model
Assessment Tool). ITOMAT được đề xuất bởi tác giả Marten Simonsson, là một
phần trong luận văn tiến sĩ của ông được làm tại The Royal Institute Technology,
Sweden [11]. ITOMAT là một phương pháp đánh giá sự trưởng thành quản trị
CNTT dựa trên COBIT. Nó cho phép tích hợp các số liệu duy nhất để có thể đánh
giá điểm số trưởng thành toàn diện ở cả hai cấp độ quy trình và cấp độ doanh
nghiệp [10].
Cũng trong [10], đề xuất tính toán mức trưởng thành cho toàn bộ tổ chức
CNTT có tính đến trọng số của mỗi quy trình CNTT. Trọng số của mỗi quy trình
được lấy từ hệ số tương quan Pearson có được từ ITOMAT. Hệ số tương quan này
có được từ khảo sát 35 case study trên 35 tổ chức doanh nghiệp có quy mô lớn khác
nhau. Các kết quả phân tích sẽ được biểu diễn ở 4 mức như sau:
-
Sự trưởng thành xét ở cấp độ doanh nghiệp
-
Sự trưởng thành xét ở cấp độ domain
16
