Đề tài Phương pháp quản trị và đánh giá hệ thống thông tin cobit

ĐẠI HỌC THĂNG LONG BỘ MÔN TIN HỌC CHUYÊN ĐỀ TỐT NGHIỆP HỆ THỐNG THÔNG TIN Đề tài : PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HỆ THỐNG THÔNG TIN COBIT SINH VIÊN : DƯƠNG TÂN VIỆT – A08661. TRẦN DUY DƯƠNG – A08959. GIÁO VIÊN HƯỚNG DẪN : THS.NGUYỄN TUẤN KHANG. HÀ NỘI 8/ 2009 BẢNG KÝ HIỆU VIẾT TẮT Ký hiệu Giải nghĩa tiếng anh Giải nghĩa tiếng việt AI Acquire and Implement Xây dựng và thực hiện AIS Accounting Information System Hệ thống thông tin kế toán CNTT Công nghệ thông tin CMM Capability Maturity Model Mẫu đánh giá khả năng CRM Customer Relationship Management Quản lý quan hệ khách hàng CSDL Cơ sở dữ liệu COBIT Control objected for information and related technology Quản trị, đánh giá hệ thống thông tin và giải pháp công nghệ. DS Deliver and Support Triển khai và hỗ trợ ERP Enterprise Resource Planning Hoạch định tài nguyên doanh nghiệp HTTT Hệ thống thông tin ITIL Information Technology Infrastructure Library Thư viện cơ sở hạ tầng về công nghệ thông tin. ME Monitor and Evalute Kiểm soát và đánh giá PO Plan and Organise Hoạch định và tổ chức TMĐT Thương mại điện tử Mục lục hình ảnh Hình 2.1 Mô hình Governance. 25 Hình 2.2 Cấp độ CNTT 29 Hình 2.3 Sơ đồ tiếp cận chiến lược CNTT 31 Hình 2.4 ITIL trong hoạt động của doanh nghiệp. 37 Hình 2.5 Thành phần của ITIL 38 Hình 2.6 Quy trình hoạt động của ITIL. 39 Hình 2.7 Sơ đồ phân tích hiện trạng và mục tiêu. 40 Hình 2.8 Cấp độ tổ chức và cấp độ quy trình trong ITIL. 44 Hình 2.9 Khối lập phương COBIT. 45 Hinh 3.1 Các phiên bản COBIT 45 Hinh 3.2 Thành phần COBIT 45 Hinh 3.3 Sơ đồ yêu cầu. 45 Hinh 3.4 Mối quan hệ qua lại giữa các thành phần COBIT. 45 Hinh 3.5 Quy trình làm việc 45 Hinh 3.6 Cách xây dựng quy trình. 45 Hình 4.1 Biểu đồ đánh giá hiện trạng về trình ứng dụng trong HTTT của InforWay 45 Hình 4.2 Quy trình hoạt động chính 45 Hình 4.3 Chức năng quản trị. 45 Hình 4.4 Quy trình hoạch định 45 Hình 4.5 Biểu đồ đánh giá HTTT CRM chuẩn theo hãng SAP 45 Hình 4.6 Đánh giá tình hình thông tin có thể thay đổi trước và sau khi triển khai hệ thống. 45 MỤC LỤC CHƯƠNG I: GIỚI THIỆU VỀ HỆ THỐNG THÔNG TIN 4 1. KHÁI NIỆM HỆ THỐNG THÔNG TIN QUẢN LÝ 4 1.1. Khái niệm hệ thống thông tin (information system) 4 1.2. Khái niệm hệ thống thông tin quản lý 7 2. CÁC THÀNH PHẦN CỦA HỆ THỐNG THÔNG TIN QUẢN LÝ 9 2.1. Hoạt động của một hệ thống thông tin quản lý 9 2.2. Các loại tài nguyên trong hệ thống thông tin 10 3. VAI TRÒ CỦA HỆ THỐNG THÔNG TIN TRONG DOANH NGHIỆP 12 3.1. Những loại hình hệ thống thông tin doanh nghiệp cần quan tâm 13 3.2. HTTT Kế toán (Accounting Information System - AIS) 16 3.3 Hệ thống quản lý quan hệ khách hàng (CRM) 19 3.4 Hệ thống hoạch định tài nguyên doanh nghiệp (ERP) 21 CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY 25 1. GIẢI PHÁP NÀO CHO NHỮNG CHIẾN LƯỢC PHÁT TRIỂN CNTT HIỆN NAY? 26 1.1 Chiến lược CNTT của quốc gia 26 1.2 Chiến lược ứng dụng công nghệ thông tin của doanh nghiệp 27 1.3 Phương pháp nào có ưu thế trong tiếp cận và lập chiến lược CNTT? 29 2. TỔNG QUAN NHỮNG PHƯƠNG PHÁP QUẢN TRỊ, ĐÁNH GIÁ CNTT HIỆN NAY VÀ ƯU THẾ CỦA COBIT 32 2.1 Phương pháp quản trị và đánh giá ITIL 36 2.2 Phương pháp quản trị và đánh giá CMMi 42 2.3 Phương pháp quản trị và đánh giá ISO 17799 45 2.4 Phương pháp quản trị và đánh giá COBIT 45 2.5 So sánh chung về các phương pháp quản trị và đánh giá trên 45 CHƯƠNG III: GIỚI THIỆU PHƯƠNG PHÁP QUẢN TRỊ HTTT COBIT 45 1. TỔNG QUAN VỀ COBIT 45 1.1. Giới thiệu 45 1.2. Lịch sử phát triển 45 1.3. Các phiên bản: 45 1. 4. Nhiệm vụ COBIT 45 1.5. Tư tuờng COBIT 45 1.6. Lợi ích của doanh nghiệp khi áp dụng COBIT 45 2. CẤU TRÚC COBIT 45 2.1 Thành phần COBIT 45 2.2. Phạm vi, Quy trình, Mục tiêu kiểm soát 45 3. QUY TRÌNH LÀM VIỆC CỦA COBIT 45 3.1. Cách thức xây dựng quy trình 45 3.2. Ví dụ về xây dựng quy trình 45 CHƯƠNG IV: TRIỂN KHAI ỨNG DỤNG COBIT 45 1. GIỚI THIỆU ĐỐI TƯỢNG TRIỂN KHAI ỨNG DỤNG PHƯƠNG PHÁP COBIT 45 1.1. Giới thiệu về công ty thực hiện ứng dụng phương pháp COBIT 45 1.2. Những khó khăn hiện tại trong hoạt động kinh doanh của công ty InforWay 45 1.3. Xác định phạm vi và đánh giá hiện trạng 45 1.4. Những chiến lược phát triển CNTT của công ty 45 2. QUẢN TRỊ VÀ ĐÁNH GIÁ QUY TRÌNH TRIỂN KHAI XÂY DỰNG CHIẾN LƯỢC CNTT 45 2.1. Nhận định quy trình hoạt động và hướng triển khai xây dựng CNTT trong doanh nghiệp 45 2.2. Hoạch định và tổ chức dự án xây dựng chiến lược CNTT 45 2.3. Tiến trình và ra quyết định 45 2.4. Hỗ trợ và triển khai dịch vụ ứng dụng CNTT 45 2.5. Kiểm soát và đánh giá 45 3. NGHIÊN CỨU RỦI RO, NHỮNG CHÚ Ý VÀ BÀI HỌC 45 TỔNG KẾT 45 GIỚI THIỆU CHUNG Trong bối cảnh nền kinh tế tri thức hiện tại và tương lai, việc xây dựng một hệ thống thông tin hỗ trợ và tạo lợi thế cạch tranh cho các tổ chức doanh nghiệp là một nhu cầu tất yếu. Tuy nhiên, một hệ thống thông tin thế nào là tốt? Hệ thống thông tin có thể phù hợp với tổ chức này nhưng có phù hợp với tổ chức khác không? Và hệ thống thông tin dùng trong doanh nghiệp đang “chuẩn” ở mức nào? Cần tiến tới mục tiêu nào để tạo lợi thế cạnh tranh so với các tổ chức, doanh nghiệp khác?... Để trả lời được các nhà quản lý phải trang bị một phương pháp quản trị và đánh giá hệ thống thông tin doanh nghiệp của mình. Một phương pháp tốt sẽ quản trị và đánh giá hệ thống thông tin của doanh nghiệp tốt, xác định được vị trí hiện tại và mục tiêu cần tiến đến của doanh nghiệp sẽ được đảm bảo thành công hơn… Trải qua những kinh nghiệm trong nhiều năm và đã tổng hợp thành những phương pháp quản trị hữu ích, đến nay thế giới có một số phương pháp quản trị phổ biến như: ITIL, COBIT, ISO17799/ ISO27001, CMMi, COSO, PMBOX… Đề tài này tìm hiểu về COBIT, là một trong những phương pháp đó, tuy còn khá xa lạ với Việt Nam nhưng phương pháp này có nhiều tính ưu việt, nhất là tính ứng dụng rộng, phù hợp với nhiều tổ chức, kinh doanh. Và phương pháp COBIT hiện đang là phương pháp hàng đầu trong sự lựa chọn của đa số tổ chức, doanh nghiệp trên thế giới. Khái quát nội dung đề tài Ngoài phần mở đầu và kết luận thì nội dung chuyên đề này gồm 4 phần: Phần I: Giới thiệu về hệ thống thông tin quản lý: Phần đầu tiên này mang đến người đọc những khái niệm về HTTT, giới thiệu chung về thành phần của HTTT. Bên cạnh đó sẽ đưa ra vai trò của CNTT đối với HTTT .Và thông qua những HTTT hữu ích (HTTT có sự tham gia của CNTT) đang được triển khai trong những tổ chức doanh nghiệp hiện nay (ví dụ: HTTT kế toán, HTTT CRM, HTTT ERP…) để nêu bật lên vị trí quan trọng mang tính chiến lược của một HTTT áp dụng CNTT vào quản lý và hoạt động. Tuy nhiên con đường để tiến tới thành công của một HTTT hữu ích không phải dễ dàng, đã có nhiều bài học kinh nghiệm, những khó khăn được đưa ra. Điều này dẫn đến sự cấp thiết có một phương pháp hướng dẫn xây dựng những HTTT tốt, phù hợp với doanh nghiệp. Kết thúc phần này, chúng ta sẽ đặt ra một hỏi: Cần phương pháp nào để triển khai xây dựng HTTT thành công? Phần II: Vị thế của COBIT giữa những phương pháp quản trị và đánh giá hiện nay: Mở đầu phần này bằng 2 bài toán về xây dựng HTTT của quốc gia và doanh nghiệp ở nước ta để nhận định rằng phương pháp COBIT giải quyết được 2 bài toán đó. Bước khởi đầu là bước khó khăn nhất, và ở đây tiếp cận chính là bước đầu tiên để xây dựng HTTT thành công, phương pháp COBIT có quy trình trong bước tiếp cận bởi vậy COBIT sẽ là phương pháp có những bước tiến vững chắc ngay từ ban đầu. Có thể nào việc chọn COBIT là chủ quan? Bằng cách giới thiệu các phương pháp hàng đầu hiện nay trên thế giới như ITIL, CMMI, ISO… và kết thúc bằng sự so sánh giữa các phương pháp đó với COBIT một lần nữa khẳng định vị trí hàng đầu của phương pháp quản trị và đánh giá COBIT, ưu thế của COBIT cũng là vượt trội. Thiết thực nhất là COBIT đảm bảo giải quyết được 2 bài toán về quốc gia và doanh nghiệp, đồng thời trả lời cho câu hỏi ở phần 1, “phương pháp COBIT là phương pháp để triển khai và xây dựng HTTT thành công !”. Kết thúc phần 2 thúc đẩy chúng ta đến công việc nghiên cứu phương pháp quản trị và đánh giá COBIT. Phần III: Giới thiệu phương pháp quản trị và đánh giá COBIT: Tập trung đi sâu vào tìm hiểu phương pháp quản trị và đánh giá COBIT. COBIT xuất phát từ đâu? Gồm thành phần nào và quy trình hoạt động của COBIT diễn ra như thế nào? Đây là phần nghiên cứu về phương pháp COBIT và tìm hiểu cách ứng dụng phương pháp COBIT. Phần 2 và 3 đã nêu lên ưu thế và chức năng, thành phần của phương pháp COBIT nhưng quan trọng là nó được dùng thế nào vào thực tiễn? Câu trả lời sẽ đến ở phần 4. Phần IV: Triển khai ứng dụng phương pháp quản trị và đánh giá COBIT: Triển khai COBIT với việc xây dựng chiến lược phát triển CNTT ở công ty InforWay. Mang đến những bài học, chú ý khi triển khai xây dựng hệ thống thông tin và áp dụng cách quản trị, đánh giá của COBIT vào quá trình xây dựng để đảm bảo sự thành công của chiến lược CNTT trong doanh nghiệp đó. Phần này trả lời cho câu hỏi “Dùng COBIT thế nào?”. Bên cạnh đó là những khó khăn, thử thách mà phương pháp COBIT cũng như một số phương pháp khác gặp phải. Nêu lên khó khăn để chú ý và khắc phục là cách đảm bảo thành công khi xây dựng chiến lược phát triển CNTT trong doanh nghiệp, tổ chức. Kết luận: Tổng kết lại những ý chính và nêu ý nghĩa của tiểu luận về phương pháp quản trị, đánh giá COBIT. CHƯƠNG I: GIỚI THIỆU VỀ HỆ THỐNG THÔNG TIN 1. KHÁI NIỆM HỆ THỐNG THÔNG TIN QUẢN LÝ 1.1. Khái niệm hệ thống thông tin (information system) Là một hệ thống mà mục tiêu, nhiệm vụ của nó là cung cấp thông tin phục vụ cho hoạt động của con người trong một tổ chức nào đó. Ta có thể hiểu hệ thống thông tin là hệ thống mà mối liên hệ giữa các thành phần của nó cũng như mối liên hệ giữa nó với các hệ thống khác là sự trao đổi thông tin. Chúng ta phải dựa vào hệ thống thông tin để trao đổi và duy trì hoạt động. Hệ thống thông tin thường là sự trao đổi thông tin của hệ thống các công việc: Thu thập thông tin: là nhập những thông tin đầu vào, cần thiết để hệ thống hoạt động.Ví dụ như nhập tồn kho, nhập chi phí sản xuất, chi phí tiêu thụ và nhập doanh thu giúp hệ thống kế toán tính được lợi nhuận của doanh nghiệp… Truyền thông tin: là sự trao đổi thông tin từ nơi nhập thông tin đến nơi xử lý thông tin và từ nơi xử lý thông tin đến nơi hiển thị ra kết quả hoặc lưu trữ chúng. Thường là những thiết bị truyền thông như đường điện thoai, đường internet… để truyền đạt thông tin đến nơi cần thiết nhanh nhất trong hệ thống thông tin. Lưu trữ: là chứa những thông tin dưới dạng dữ liệu, cất dữ những thông tin đó để phục vụ cho những hoạt động xử lý thông tin khác. Có thể là kho lưu trữ hồ sơ, có thể là các thiết bị như ổ cứng, usb … là tất cả những gì dùng ðể cất dữ thông tin. Phục hồi: là giai đoạn lấy những lại những thông tin cũ và dùng lại làm yêu tố đầu vào cho hoạt động của hệ thống thông tin. Xử lý: là hoạt động tính toán, phân tích, đánh giá … các thông tin đầu vào để đạt được kết quả nào đó. Ví dụ tính doanh thu, nghiên cứu thị trường… Hiển thị: là việc đưa ra kết quả của hệ thống thông tin. Có thể ở dạng báo cáo, tổng kết, biểu đồ, những kết quả phân tích được … Một số ví dụ về hệ thống thông tin đơn giản: Kho dữ liệu Thiết bị đầu cuối Bộ vi xử lý của máy tính Hình 1.1 Máy tính là một hệ thống thông tin. Máy vi tính chính là một hệ thống thông tin, nhiệm vụ của máy vi tính là xử lý thông tin và cung cấp thông tin phục vụ hoạt động của con người. Máy vi tính thông thường luôn gồm 3 thành phần: thiết bị đầu cuối, bộ vi xử lý và kho lưu trữ dữ liệu. Các thành phần này luôn liên hệ và có sự trao đổi thông tin như sau: thiết bị đầu vào (input) đưa thông tin vào máy tính, bộ xử lý thực hiện tính toán, phân tích, sắp xếp… dữ liệu được xử lý đưa vào bộ lưu trữ, khi cần lại tải dữ liệu từ bộ lưu trữ ra xử lý, cuối cùng dữ liệu được hiển thị ra người dùng ở thiết bị ra (output). Rộng hơn là một ví dụ về hệ thống thông tin có sử dụng máy tính, như hình ảnh sau đây: Hệ thống máy tính Hoạt động báo cáo kết quả Hoạt động thu thập tin File lưu trữ Hình 1.2 Hệ thống thông tin có sử dụng máy tính. Các hệ thống thông tin trong các tổ chức kinh tế xã hội như hệ thống quản lý nhân sự, hệ thống kế toán, hệ thống quản lý lịch công tác là các ví dụ điển hình về hệ thống thông tin có sự tham gia của máy tính. Một công ty sản xuất muốn đưa ra sản phẩm mới hệ thống thông tin sẽ hoạt động như sau: Thu thập thông tin mong muốn của khách hàng, đưa dữ liệu vào máy tính để tính toán và phân tích xem xu thế về sản phẩm nào được mong muốn nhất, máy tính lưu ra file các kết quả phân tích được, lập báo cáo giúp nhà quản lý đưa ra chiến lược sản xuất sản phẩm mới. Trong hệ thống thông tin này, máy tính chỉ đóng vai trò là một thành phần trong cả hệ thống và cùng với bộ phận thu thập tin, bộ phận sản xuất, bộ phận lãnh đạo… tạo thành hệ thống thông tin sản xuất sản phẩm mới. Trong 2 ví dụ trên máy tính đóng vai trò như một hệ thống thông tin hay một thành phần quan trọng nhưng trước khi có máy tính thì không có hệ thống thông tin hay sao? Trước khi có máy tính con người đã có tổ chức, có nền kinh tế và có các cơ sở kinh doanh sản xuất... Và bất kỳ một tổ chức hay cơ sở kinh doanh nào cũng có hệ thống thông tin khi đó không hề có sự hiện diện của máy tính hay bất cứ thứ gì liên quan đến công nghệ thông tin. Chúng ta cần phân biệt khái niệm về hệ thống thông tin và công nghệ thông tin. Phân biệt 2 khái niệm Hệ thống thông tin (HTTT) và Công nghệ thông tin (CNTT): HTTT: mô tả các thành phần, tài nguyên cần thiết để cung cấp một chức năng nghiệp vụ hay thông tin cụ thể trong một tổ chức doanh nghiệp. CNTT: đề cập tới việc sử dụng các thiết bị phần cứng, phần mềm, mạng, thiết bị lưu trữ dữ liệu cần thiết để duy trì hoạt động một HTTT. HTTT ngày nay thường được ngầm hiểu là có sử dụng tới máy tính (CNTT). Các chuyên gia nghiệp vụ phải sử dụng rất nhiều loại HTTT có sử dụng máy tính và CNTT. Đơn giản là do máy tính và công nghệ thông tin ngày nay đã quá phổ biến và được dùng ở bất cứ tổ chức hay doanh nghiệp nào, hơn nữa CNTT ngày càng hỗ trợ, gắn liền với từng thành phần của mỗi hệ thống thông tin. Do vậy, thuật ngữ HTTT và CNTT đôi khi được sử dụng hoán đổi cho nhau, với nghĩa tương tự nhau. 1.2. Khái niệm hệ thống thông tin quản lý Nói đến hệ thống thông tin quản lý nghĩa là nói đến tầm quan trọng và vai trò của hệ thống thông tin trong tổ chức và doanh nghiệp. Phần lớn hệ thống thông tin thường được xây dựng nhằm phục vụ cho một hoặc vài chức năng nào đó, hoặc chỉ đơn giản là giúp con người giải thoát khỏi một số công việc quản lý thông thường như tính toán, thống kê. Khi xuất hiện nhu cầu cung cấp các thông tin tốt hơn và đầy đủ hơn, cũng là lúc cần đến những phương thức xử lý thông tin một cách tổng thể - hệ thống thông tin quản lý. Ví dụ về hệ thống thông tin quản lý: Hệ thống quản lý nhân sự trong một cơ quan. Hệ thống quản lý sinh viên trong một trường đại học. Hệ thống kế toán trong một siêu thị. Hệ thống trợ giúp công tác điều hành bay. Hoặc hệ thống quản lý bàn hàng của một công ty. Nhiệm vụ hệ thống thông tin quản lý là cung cấp các thông tin cần thiết phục vụ cho việc quản lý điều hành một tổ chức hoặc doanh nghiệp. Thành phần chiếm vị trí quan trọng trong hệ thống thông tin quản lý là một cơ sở dữ liệu hợp nhất chứa các thông tin phản ánh cấu trúc nội tại của hệ thống và các thông tin về các hoạt động diển ra trong hệ thống. Với hạt nhân là cơ sở dữ liệu hợp nhất, hệ thống thông tin quản lý có thể hỗ trợ cho nhiều lĩnh vực chức năng khác nhau và có thể cung cấp cho các nhà quản lý công cụ và khả năng dễ dàng truy cập thông tin, hệ thống thông tin quản lý có các chức năng như: Thu nhập, phân tích và lưu trữ các thông tin một cách hệ thống, những thông tin có ích được cấu trúc hoá để có thể lưu trữ và khai thác trên các phương tiện tin học. Thay đổi, sửa chữa, tiến hành tính toán trên các nhóm chỉ tiêu, tạo ra các thông tin mới. Phân phối và cung cấp thông tin. Chất lượng của hệ thống thông tin quản lý được đánh giá thông qua tính nhanh chóng trong đáp ứng các yêu cầu thông tin, tính mềm dẻo của hệ thống và tính toàn vẹn, đầy đủ của hệ thống. Hầu hết các hệ thống thông tin đều có vai trò trong công tác quản lý và luôn được nâng cao chất lượng để phục vụ công tác quản lý, bởi vậy nhắc đến một hệ thống thông tin thì ta luôn hiểu là một hệ thống thông tin quản lý của tổ chức hoặc doanh nghiệp nào đó. 2. CÁC THÀNH PHẦN CỦA HỆ THỐNG THÔNG TIN QUẢN LÝ Hình 1.3 Các thành phần của hệ thống thông tin. Hình ảnh thể hiện luồng hoạt động chung của một HTTT bất kỳ gồm nhập dữ liệu, xử lý dữ liệu được thực thi điều khiển và lưu trữ, cuối cùng dữ liệu chuyển thành thông tin hiển thi ra ngoài. Để hoạt động thì HTTT phải đủ các thành phần: Tài nguyên nhân lực, tài nguyên phần mềm, tài nguyên phần cứng (thiết bị máy móc), tài nguyên mạng, tài nguyên dữ liệu (thông tin thu thập). 2.1. Hoạt động của một hệ thống thông tin quản lý Hoạt động của hệ thống thông tin luôn bao gồm các bước: nhận nguồn dữ liệu đầu vào (input) bằng các thiết bị quét mã vạch, nhận dạng đầu vào… Tiếp theo sẽ xử lý dữ liệu như tính toán giá trị hàng hóa, tính lương, giao dịch kế toán… Dữ liệu được xử lý có thể hiển thị kết quả ra ngoài (output) và cũng có thể lưu trữ lại trong hệ thống. Thường sẽ lưu trữ về thông tin khách hàng đã mua sản phẩm, nhân viên đã bán sản phẩm, sản phẩm được tiêu thụ nhiều. Nhà quản lý đọc thông tin kết quả đó ở thiết bị ra dưới dạng báo cáo, sau đó xem xét và ra quyết định chiến lược kinh doanh. Bên cạnh quá trình truyền thông tin trong hệ thống thì việc kiểm soát và bảo vệ những nguồn thông tin ấy là vô cùng quan trọng có ý nghĩa sống còn hoặc quyết định lợi thế cạnh tranh của doanh nghiệp. Bởi vậy phải luôn kiểm soát nguồn dữ liệu, tạo ra các tín hiệu cảnh báo có chủ ý về sự kiện nào đó để kiểm soát tình hình hoạt động. Với mỗi hoạt động trong hệ thống đều có sự hiện diện của CNTT, sử dụng CNTT càng hiện đại dữ liệu càng truyền nhanh, xử lý hiệu quả, chính xác, lưu trữ đa dạng… và quan trọng nhất là an ninh cũng đảm bảo hơn. Hiện nay, với mỗi hoạt động đều có phần cứng và phần mềm hỗ trợ, tuy nhiên xu hướng tạo ra một chỉnh thể thống nhất đã và đang được phát triển, hình thành nên những hệ thống thông tin tích hợp quản lý toàn bộ hoạt động của hệ thống thông tin. 2.2. Các loại tài nguyên trong hệ thống thông tin Là những tài nguyên trong hình 1.3, chúng là dữ liệu, là thông tin, là những yếu tố chính mà HTTT cần xử lý. Quản lý HTTT doanh nghiệp chính là quản lý những tài nguyên này. Tài nguyên nhân lực: Đề cập đến vấn đề con người, con người là một yếu tố quan trọng của hệ thống thông tin. Con người có kĩ thuật, có khả năng để điều khiển mọi hoạt động của HTTT và con người cũng chính là chủ thể là mục tiêu mà HTTT phục vụ. Các chuyên gia HTTT, những người điều khiển hệ thống như chuyên gia phân tích viên hệ thống, chuyên gia phát truyển, quản trị hệ thống… Người dùng cuối là tất cả những người sử dụng HTTT trong  doanh nghiệp , từ các nhà lãnh đạo, các cấp quản lý, cho đến các nhân viên thừa hành và tác nghiệp. Tài nguyên phần mềm: Là những ứng dụng, những chương trình góp phần điều khiển và xử lý thông tin trong toàn bộ hệ thống. Nhận sự điều khiển của con người và thực hiện xử lý thông tin theo lộ trình đã được thiết lập sẵn. Các chương trình: Hệ điều hành, các chương trình ứng dụng, các chương trình nghiệp vụ như tính lương, quản lý khách hàng… (dùng để điều khiển máy tính xử lý thông tin). Các quy trình thủ tục: cho nhập liệu, để sửa lỗi, kiểm tra… (dùng để điều chỉnh hoạt động của con người). Tài nguyên phần cứng: Là máy móc, là thiết bị hiện hữu, trực tiếp thao tác, vận hành trong hệ thống. Máy móc: máy tính, màn hình, các ổ đĩa, máy in, máy quét… (tức là các thiết bị dùng trong xử lý). Môi trường (hay media): đĩa mềm, đĩa cứng, đĩa CD, bìa nhớ, giấy, v.v (tức là các phương tiện dùng để lưu trữ). Tài nguyên mạng: Mang yếu tố của hoạt động truyền thông trong hệ thống, giúp truyền thông tin dữ liệu trong hệ thống và giữa hệ thống với bên ngoài. Môi trường truyền thông, quản lý và truy cập mạng, các dịch vụ mạng. Tài nguyên dữ liệu (Data resources): Dữ liệu là những thông tin được đưa vào hệ thống, chúng được xử lý, phân tích và lưu trữ trong hệ thống thông tin. Dữ liệu là nhân tố chính để hệ thống thông tin hoạt động, là yêu tố đầu vào cho hệ thống, là cái mà hệ thống cần phải thao tác, lưu trữ… và bảo vệ mật thiết (an ninh thông tin). Mô tả dữ liệu: các bản ghi của khách hàng, các hồ sơ nhân viên, thông tin sản phẩm, CSDL. Cơ sở tri thức: những kiến thức, những thông tin kinh doanh, hoạt động thị trường… Việc xây dựng một HTTT với các thành phần như trên đòi hỏi phải có một cái nhìn hệ thống không chỉ về mặt công nghệ, mà còn về tổ chức  doanh nghiệp của bạn, và một tầm nhìn xa về các biện pháp đưa hệ thống CNTT vào tổ chức đó phục vụ cho công việc  kinh doanh của  doanh nghiệp. Đó là một cách nhìn, một cách tiếp cận hết sức cơ bản, xem xét các sự vật trong các mối tương quan của chúng khi hoạt động nhằm đạt đến mục tiêu đã định, gọi là tiếp cận hệ thống, hay quan điểm hệ thống. 3. VAI TRÒ CỦA HỆ THỐNG THÔNG TIN TRONG DOANH NGHIỆP Hệ thống thông tin đem lại nhiều lợi ích cho doanh nghiệp và tùy vào vị trí, khả năng ứng dụng của hệ thống mà nó có những vai trò quan trọng khác nhau. Dưới đây là một số vai trò phổ biến của hệ thống thông tin đối với doanh nghiệp: Hỗ trợ các quy trình và hoạt động nghiệp vụ. Các HTTT sử dụng máy tính để hỗ trợ nhân viên ghi nhận các hóa đơn bán hàng, quản lý kho, trả lương, nhập hàng… Nghiệp vụ kế toán cần sự chính xác và có quy trình vào ra rõ ràng của các thông tin bởi vậy rất cần sự hỗ trợ của hệ thống thông tin. Hỗ trợ nhân viên và các nhà quản lý trong công việc ra quyết định dựa trên hiện trạng của doanh nghiệp. HTTT hỗ trợ người quản lý và các chuyên gia nghiệp vụ trong việc đưa ra những quyết định hợp lý với xu hướng phát truyển. Bởi sau khi tổng hợp dữ liệu tình hình nghiên cứu, phát triển HTTT thường có nhiệm vụ tạo báo cáo để hỗ trợ việc đưa ra quyết định… Quyết định xem nên duy trì mặt hàng nào, loại bỏ mặt hàng nào ít tiềm năng, đầu tư thêm những gì …HTTT tổng hợp ý kiến khách hàng, tổng hợp đánh giá chất lượng sản phẩm và báo cáo tất cả bởi vậy giúp so sánh và loại sản phẩm kém hơn. Hỗ trợ đưa ra các chiến lược phát truyển và nâng cao năng lực cạnh tranh.Xây dựng một chiến lược nhằm dành lấy lợi thế so với đối thủ, sử dụng những ứng dụng thông tin chiến lược. Ví dụ như cài đặt các kiosk điện tử để bày bán hàng tự động tại nhiều địa điểm khác nhau, xây dựng các website quảng bá và bán hàng trên mạng theo mô hình thương mại điện tử… Một hệ thống thông tin là cần thiết và không thể thiếu trong bất cứ tổ chức hay doanh nghiệp nào bởi vậy vai trò của nó là không thể phủ nhận. Và có một hệ thống tốt đồng nghĩa với việc hệ thống đó sẽ thực hiện vai trò của nó tốt hơn. 3.1. Những loại hình hệ thống thông tin doanh nghiệp cần quan tâm Doanh nghiệp có thể áp dụng các HTTT khác nhau tùy thuộc mục đích ứng dụng, quy mô hoạt động, và các điều kiện khác. Nhìn chung khi ứng dụng CNTT, cụ thể là các HTTT,  doanh nghiệp đều nhằm đến các mục tiêu từ thấp đến cao sau đây: hỗ trợ cho các hoạt động tác nghiệp, hỗ trợ cho việc ra các quyết định quản lý, và hỗ trợ việc xây dựng các chiến lược nhằm đạt lợi thế cạnh tranh. Các HTTT được xây dựng là nhằm đáp ứng các nhu cầu kinh doanh nói trên trong sự phát triển của chúng, đồng thời cũng phản ánh sự tiến hóa rất nhanh của bản thân CNTT. Kết quả là có một danh sách rất rộng các HTTT dùng cho  doanh nghiệp. Có nhiều cách để phân loại các HTTT đó. Hình 4 dưới đây là một sơ đồ phân loại dựa trên việc chúng cung cấp cho  doanh nghiệp loại hỗ trợ nào. Các HTTT Các hệ thống hỗ trợ quản lý Các hệ thống hỗ trợ hoạt động Hệ thống xử lý giao dịch (Xử lý giao dịch kinh doanh). Hệ thống điều khiển tiến trình (đk các quá trình công nghiệp). Hệ thống cộng tác xí nghiệp (Hỗ trợ giao tiếp, cộng tác). Hệ thống thông tin điều hành (thông tin cho lãnh đạo cấp cao). Hệ thống hỗ trợ quyết định (Hỗ trợ quyết định tương tác). Hệ thống thông tin quản lý (các báo cáo theo mẫu). Hình 1.4 Phân loại HTTT theo dạng thức hỗ trợ. Các hệ thống hỗ trợ hoạt động: Hay các HTTT tác nghiệp, xử lý các dữ liệu dùng cho các hoạt động  kinh doanh và sinh ra trong các hoạt động đó. Các hệ thống này sinh ra nhiều sản phẩm thông tin dùng bên trong và bên ngoài  doanh nghiệp. Tuy nhiên chúng không chú trọng vào việc tạo ra các sản phẩm thông tin mang đặc thù quản lý (muốn có các thông tin dạng đó phải tiến hành xử lý tiếp  trong các HTTT quản lý). Các hệ thống hỗ trợ hoạt động này thường đảm nhận các vai trò như là xử lý một cách hiệu quả các giao dịch kinh doanh; điều khiển các tiến trình công nghiệp (thí dụ quá trình chế tạo sản phẩm); hỗ trợ việc giao tiếp và cộng tác trong toàn xí nghiệp; cập nhật các CSDL cấp Công ty (vi dụ: Marketing, kế toán (AIS), tài chính (FIS))… Các hệ thống hỗ trợ quản lý: trợ giúp các nhà quản lý trong việc ra quyết định. Chúng cung cấp các thông tin và các hỗ trợ để ra quyết định về quản lý, là các nhiệm vụ phức tạp do các nhà quản trị và các nhà  kinh doanh chuyên nghiệp thực hiện.  Về mặt ý niệm, thường chia ra các loại hệ thống chính sau đây, nhằm hỗ trợ các chức trách ra quyết định khác nhau: Các HTTT quản lý - cung cấp thông tin dưới dạng các báo cáo theo mẫu định sẵn, và trình bày chúng cho các nhà quản lý và các chuyên gia khác của  doanh nghiệp. Các hệ thống hỗ trợ quyết định - cung cấp trực tiếp các hỗ trợ về mặt tính toán cho các nhà quản lý trong quá trình ra quyết định (không theo mẫu định sẵn, và làm việc theo kiểu tương tác, không phải theo định kỳ).  Các HTTT điều hành - cung cấp các thông tin có tính quyết định từ các nguồn khác nhau, trong nội bộ cũng như từ bên ngoài, dưới các hình thức dễ dàng sử dụng cho các cấp quản lý và điều hành. Ví dụ:Phần mềm quản lý điều hành và sản xuất (MAS),phần mềm quản lý nhân sự (HRM)… Ngoài các HTTT trên, còn có thể kể đến một số loại khác sau đây: Các hệ chuyên gia:  Đây là các hệ thống cung cấp các tư vấn có tính chuyên gia và hoạt động như một chuyên gia tư vấn cho người dùng cuối. Thí dụ: các hệ tư vấn tín dụng, giám sát tiến trình, các hệ thống chẩn đoán và bảo trì. Các hệ quản trị tri thức: Đây là các HTTT dựa trên tri thức, hỗ trợ cho việc tạo, tổ chức và phổ biến các kiến thức của  doanh nghiệp cho nhân viên và các nhà quản lý trong toàn công ty. Thí dụ: truy nhập qua mạng intranet đến các kinh nghiệm và thủ thuật  kinh doanh tối ưu, các chiến lược bán hàng, đến hệ thống chuyên trách giải quyết các vấn đề của khách hàng. Các hệ thống chức năng  doanh nghiệp (hoặc các hệ thống tác nghiệp): Hỗ trợ nhiều ứng dụng sản xuất và quản lý trong các lĩnh vực chức năng chủ chốt của công ty. Thí dụ: các HTTT hỗ trợ kế toán, tài chính, tiếp thị, quản lý hoạt động, quản trị nguồn nhân lực. Các HTTT chiến lược: HTTT loại này có thể là một HTTT hỗ trợ hoạt động hoặc hỗ trợ quản lý, nhưng với mục tiêu cụ thể hơn là giúp cho công ty đạt được các sản phẩm, dịch vụ và năng lực tạo lợi thế cạnh tranh có tính chiến lược. Thí dụ: buôn bán cổ phiếu trực tuyến, các hệ thống web phục vụ thương mại điện tử (TMĐT), hoặc theo dõi việc chuyển hàng (đối với các hãng vận chuyển). Các HTTT tích hợp, liên chức năng: Đây là các HTTT tích hợp trong chúng nhiều nguồn thông tin và nhiều chức năng tổng hợp nhằm chia sẻ các tài nguyên thông tin cho tất cả các đơn vị trong tổ chức. Còn gọi là các hệ thống “xí nghiệp” trợ giúp việc xử lý thông tin cấp toàn  doanh nghiệp . Điển hình là các hệ thống: hoạch định nguồn lực xí nghiệp (viết tắt trong tiếng Anh là ERP), quản trị quan hệ với khách hàng (CRM), quản lý chuối cung ứng (SCM), và một số hệ khác. Phần tiếp sẽ giới thiệu về một số mô hình HTTT điển hình và có ứng dụng CNTT đang phổ biến hiện nay. HTTT đó đem lại lợi ích gì? Những khó khăn nào gặp phải khi tiến hành xây dựng HTTT đó? 3.2. HTTT Kế toán (Accounting Information System - AIS) Giới thiệu hệ thống kế toán: Là một trong những hệ thống hỗ trợ ghi nhận và báo cáo các giao dịch nghiệp vụ và các sự kiện kinh tế khác của doanh nghiệp. Các thành phần cơ bản của AIS gồm: Kế toán phải thu (AR): lưu trữ dữ liệu các giao dịch của khách hàng về mua hàng và trả tiền. Kế toán phải trả (AP): lưu trữ dữ liệu các giao dịch của nhà cung cấp đã mua hàng và trả tiền. Lương: quản lý thông tin chấm công của nhân viên cũng như các thông tin về công việc khác liên quan tới quy trình tính lương của doanh nghiệp. Sổ cái (G/L): tổng hợp dữ liệu từ AR, AP, lương và các HTTT kế toán khác. Xử lý đơn hàng: ghi nhận, xử lý các đơn hàng của khách hàng; và đưa ra các báo cáo cần thiết để hỗ trợ quá trình phân tích bán hàng và kiểm soát kho. Kiểm soát kho: Xử lý dữ liệu phản ánh sự thay đổi của các thành phần trong kho (thành phẩm, nguyên vật liệu). Hỗ trợ cung cấp các dịch vụ chất lượng cao, giảm thiểu chi phí đầu tư trong quản lý kho và chi phí vận chuyển hàng giữa các kho. Bất cứ một doanh nghiệp nào dù lớn hay nhỏ cũng đều có hệ thống thông tin kế toán. Vì vậy có rất nhiều phần mềm (CNTT) hỗ trợ và phát truyển HTTT kế toán của doanh nghiệp thực hiện đầy đủ các nghiệp vụ kế toán, giúp công việc kế toán được giải quyết nhanh chóng và chính xác. Khó khăn ngay trong khâu lựa chọn: Chính bởi tính cần thiết và phổ dụng của hệ thống kế toán mà trên thị trường tràn lan các hệ thống kế toán với quy mô khác nhau, cách hoạt động khác nhau và giá cả khác nhau… Cần phải đánh giá và có sự tư vấn, tìm hiểu để doanh nghiệp lựa chọn được hệ thống phù hợp, đem lại hiệu quả cao. Một số hình ảnh phần mềm kế toán: Nguồn: Minh họa đăng nhập Minh họa nhập vật tư. Minh họa quản lý thông tin tài sản. 3.3 Hệ thống quản lý quan hệ khách hàng (CRM) Giới thiệu hệ thống quản lý quan hệ khách hàng: Khách hàng ngày càng trở nên quan trọng với sự sống còn của doanh nghiệp, một doanh nghiệp giỏi phải có nhiều dịch vụ phục vụ khách hàng và được khách hàng đánh giá tốt. Doanh nghiệp nhìn nhận mối quan hệ với khách hàng là một tài sản quan trọng nhất của công ty. Chiến lược của doanh nghiệp là làm sao có thể duy trì và gia tăng lợi nhuận từ các mối quan hệ khách hàng. Qua đó không thể phủ nhận tầm quan trọng của quan hệ khách hàng, nhiều doanh nghiệp xác định hành động cần thiết là triển khai CNTT vào HTTT nhằm thực hiện chiến lược hướng tới khách hàng và tạo lợi thế cạch tranh trong quan hệ với khách hàng trước các đối thủ. Hệ thống cần quan tâm đó chính là Customer Relationship Managemet – CRM . Cách hiểu đúng nhất đối với CRM là: Đó là toàn bộ các quy trình thu thập, tổng hợp và phân tích thông tin về khách hàng, hàng bán, hiệu quả của các công tác tiệp thị, khả nǎng thích nghi của công ty đối với các xu hướng của thị trường nhằm mục đích nâng cao hiệu quả hoạt động kinh doanh, mang lại lợi nhuận cao nhất cho công ty. CRM hỗ trợ doanh nghiệp thông qua các chức năng như: Cung cấp cho khách hàng các dịnh vụ tốt hơn. Như là dịch vụ lôi kéo, quấn hút khách hàng sử dụng sản phẩm và có cả dịch vụ hỗ trợ khách hàng thường xuyên. Điều này sẽ giúp chinh phục khách hàng tốt hơn. Nâng cao hiệu quả của trung tâm hỗ trợ khách hàng. Trung tâm hỗ trợ khách hàng là bộ phận quan trong nhất trong giao tiếp với khách hàng. Mọi ý kiến tốt xấu cũng như sự tác động đến lòng tin của khách hàng đều ở bộ phận này. Bởi vậy nâng cao hiệu quả trung tâm hỗ trợ khách hàng chính là tạo sự tin cậy của doanh nghiệp trong tâm trí khách hàng. Trợ giúp nhân viên bán hàng thực hiện đơn hàng một cách nhanh nhất. Bán hàng cần thiết là nhanh chóng, chính xác. Sự thuận tiện, nhanh chóng chính là yếu tố mà khách hàng luôn luôn mong đợi khi mua sản phẩm hay sử dụng một dịch vụ nào đó. Đơn giản hoá tiến trình tiếp thị và bán hàng. Đơn giản hóa là việc mang tính tích kiệm chi phí mà đem lại hiệu quả cao, nhất là khi tiếp thị và bán hàng hiện nay quá phức tạp gây nhiều phản cảm ở khách hàng. Tạo cho doanh nghiệp một phong cách tiếp thị, bán hàng chuyên nghiệp là chức năng tốt của hệ thống CRM. Phát hiện các khách hàng mới. Nhờ vào những thông tin phân tích thị trường, đánh giá khách hàng tiềm năng, hệ thống CRM sẽ chỉ ra những khách hàng cần phải thu hút và được quan tâm đúng mức. Tǎng doanh thu từ khách hàng. Khi hệ thống đạt hiệu quả cao, khách hàng sẽ tin tưởng và yêu thích các dịch vụ của doanh nghiệp vì vậy mà họ sẽ mua nhiều hơn, khách hàng tăng lên và vì vậy doanh thu tăng. Những thách thức khi xây dựng một dự án CRM? Theo thống kê, hơn 50% các dự án CRM không mang lại kết quả như mong muốn. Những kỳ vọng quá mức hay những áp dụng không phù hợp với hệ thống của tổ chức và doanh nghiệp gây ra sự cố này. Hơn nữa CRM là hệ thống mang tính hỗ trợ thiết lập dịch vụ giúp nâng cao quan hệ với khách hàng nếu không có sự tích cực của yêu tố con người thì hệ thống cũng không thể đem lại hiệu quả gì cả. Trong các hệ thống quản lý, CRM thuộc nhóm có ít sự hài lòng của người dùng nhất. Người dùng không hài lòng điều này không thể đổi tại hoàn toàn do hệ thống không tốt nhìn một khía cạch khác là không có sự chuẩn bị và huấn luyện sử dụng hệ thống tốt trước khi vận hành hệ thống. Xây dựng hệ thống không chỉ đơn thuần là xây dựng cơ sở vật chất mà còn xây dựng cả con người và CRM là một hệ thống thể hiện rõ nhiệm vụ này. 72% cho rằng việc triển khai CRM tốn quá nhiều thời gian. Xây dựng một hệ thống dịch vụ thống nhất và hoàn chỉnh tất nhiên là tốn thời gian hơn nữa việc nhận xét này cho thấy sự đánh giá tầm quan trọng của hệ thống CRM còn thấp. Bởi vậy để xây dựng được hệ thống trước tiên phải đào tạo và truyền đạt hiểu biết về hệ thống đến người sử dụng, chỉ ra được vai trò của hệ thống này. Từ những thách thức trên ta thấy rõ một số nguyên nhân gây thất bại trong dự án: Thiếu sự hiểu biết và chuẩn bị cho sự thay đổi về quy trình nghiệp vụ sau khi CRM được triển khai. Không có sự liên quan của các chuyên viên nghiệp vụ và nhận viên tron quá trình triển khai, gây ra khó khăn và sự phản ứng của người dùng. Người dùng không sẵn sàng cho một mô hình và quy trình mới (theo CRM). Mọi hoạt động của doanh nghiệp đều nhằm tác động vào khách hàng nhằm tạo hành động mua hàng, phục vụ tốt khách hàng thì mới bán được nhiều hơn, lợi nhuận cao hơn. Vì vậy không thể phủ nhận vai trò quan trọng của hệ thống CRM. CRM là quan trọng, CRM là cần thiết nhưng xây dựng hệ thống CRM lại không dễ chút nào. Để khác phục các doanh nghiệp cần có chuyên viên tư vấn giải pháp và tư vấn về nghiệp vụ tránh việc tự xây dựng CRM mà ko có hiểu biết và không có ý thức tự thay đổi cách thức làm việc. Nguồn tin: theo CIO.com. 3.4 Hệ thống hoạch định tài nguyên doanh nghiệp (ERP) Giới thiệu hệ thống ERP: ERP là viết tắt của cụm từ Enterprise Resource Planning, nghĩa là hoạch định tài nguyên doanh nghiệp. Hình 1.5 Hệ thống tài nguyên doanh nghiệp và ERP ERP là một hệ thống phần mềm đóng vai trò như là xương sống xuyên suốt các phòng ban (quy trình hoạt động) của doanh nghiệp. Tích hợp và tự động hóa các quy trình nghiệp vụ bên trong doanh nghiệp và các HTTT trong các bộ phận sản xuất, phân phối sản phẩm, tài chính, kế toán và quản lý nhân sự. ERP giúp cho doanh nghiệp đạt được mức độ hiệu quả, mạnh mẽ và khả năng đáp ứng nhanh với nhu cầu của khách hàng. Doanh nghiệp còn có được cái nhìn đầy đủ theo thời gian thực về mọi quy trình nghiệp vụ chính trong tổ chức. Bộ ERP đầy đủ thường tích hợp đầy đủ một số module sau: Kế toán, quản lý nhân sự, bán hàng, sản xuất, phân phối… Những lợi ích của ERP đem lại cho doanh nghiệp: ERP là hệ thống tích hợp và tự động hóa phần lớn các chu trình hoạt động trong doanh nghiệp. Như hình 1.5 là hệ thống tích hợp gồm hệ thống quản lý nguồn tài chính, quản lý nguồn cung cấp, quản lý nguồn nhân lực, quản lý quan hệ khách hàng và lập kế hoạch sản xuất. Với sự tích hợp đầy đủ các quy trình của doanh nghiệp, ERP thực sự đem lại một hệ thống hoàn thiện và thống nhất, đây chính là lợi ích đầu tiên và cũng quan trọng nhất HTTT ERP đem lại. HTTT ERP chia sẻ dữ liệu và hoạt động trong toàn doanh nghiệp. Giữa các quy trình đều được thống nhất và liên kết theo hệ thống ERP vì vậy việc chia sẻ dữ liệu và hoạt động kết nối là rất dễ dàng và nhanh chóng. Và HTTT ERP thực hiện xử lý và truy xuất thông tin theo thời gian thực. Yếu tố thời gian, nhanh chóng sẽ quyết định nguồn lợi, tạo tác phong chuyên nghiệp, ERP đảm bảo mọi xử lý và truy xuất theo thời gian thực, đáp ứng mọi yêu cầu ngay lập tức. ông Etienne Laude, giám đốc điều hành của Đồng Tâm, là một doanh nghiệp đã xây dựng HTTT ERP đánh giá: Dự án đã đạt kết quả tốt, đóng góp quan trọng cho sự phát triển công ty. Giải pháp hỗ trợ tất cả nhân viên và ban quản lý thông tin đánh giá kết quả hoạt động nhanh, chính xác hơn. Đây chính là lợi ích thiết thực của HTTT ERP đem lại. Cũng để tạo ra những lợi ích mang tính chiến lược cho doanh nghiệp như vậy mà HTTT ERP có các tiện ích như: chuẩn hóa quy trình và thông tin giữa các bộ phận giúp cải thiện quy trình, tăng hiệu quả trao đổi thông tin, kết nối thông tin nhanh giữa các bộ phận DN. Tích hợp thông tin tài chính, kế toán đảm bảo tạo ra một thông tin duy nhất vì tất cả đều dùng chung một hệ thống. Tích hợp thông tin khách hàng đảm bảo thông tin khách hàng khi mua sản phẩm hay sử dụng dịch vụ được chuẩn xác và thực hiện được nhanh chóng. Giảm thiểu tồn kho: sản xuất trơn tru, khả năng đánh giá đơn hàng cao hơn, tăng độ chính xác thực hiện kế hoạch vì vậy sẽ giảm thiểu tồn kho nguyên vật liệu hay hàng hóa. Một số vấn đề triển khai ERP: Người dùng không thích phải thay đổi, tuy nhiên ERP lại yêu cầu họ thay đổi cách thức họ làm việc. Nếu doanh nghiệp sử dụng hệ thống ERP nhưng lại không thay đổi cách thức hoạt động của nhân sự thì sẽ không thu được giá trị gì từ ERP. Như vậy, để đảm bảo quá trình triển khai ERP được thành công, doanh nghiệp cần quan tâm một số vấn đề sau: Sự thay đổi trong quy trình làm việc nếu triển khai ERP, lập kế hoạch phát triển giải pháp, đào tạo nhân sự, tích hợp và kiểm thử, tùy biến, chuyển đổi dữ liệu, hiện tượng trì trệ sau khi triển khai ERP, đánh giá hiệu quả đầu tư. Khó khăn và công việc xây dựng HTTT không dễ dàng cần có quyết tâm cao, Ông giám đốc công ty Đồng Tâm đã nói về quyết tâm của công ty mình: “Chúng tôi đã có lúc dừng sản xuất để tập trung cho hệ thống ERP. Điều này thể hiện quyết tâm ứng dụng công nghệ tiên tiến vào quản lý sản xuất của ban lãnh đạo công ty.” Cũng như hệ thống kế toán và hệ thống CRM ở trên, hệ thống thông tin ERP cũng nhằm hỗ trợ doanh nghiệp hoạt động và kinh doanh tốt hơn. Ngoài ra, ERP có bộ tích hợp đầy đủ gồm kế toán, quản lý nhân sự, bán hàng, sản xuất và phân phối sản phẩm… điều này có nghĩa là: doanh nghiệp xây dựng giải pháp hệ thống thông tin ERP là xây dựng một quy trình đồng nhất giữa các hoạt động chính của doanh nghiệp. Hệ thống ERP liên kết và tạo sự tương tác chặt chẽ giữa các hoạt động nghiệp như kế toán, quản lý nhân sự, quản lý sản xuất và phân phối sản phẩm… Hệ thống thông tin ERP đã khắc phục một số rủi ro khi thực hiện từng hệ thống nghiệp vụ riêng lẻ tuy nhiên cũng gặp phải những khó khăn mới như vốn đầu tư lớn hơn, thay đổi trong quy trình làm việc và khi xây dựng cũng có rất nhiều điều phát sinh và zíc zắc trong bước triển khai. Vậy một chuyên viên tư vấn phải có kiểm soát và đánh giá quá trình xây dựng hệ thống ERP tránh việc triển khai lòng vòng không đồng nhất… CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY Một hệ thống thông tin tốt, phù hợp với tổ chức, doanh nghiệp của mình là điều cần thiết. Nhưng với những khó khăn tồn tại như đã phân tích trong một vài hệ thống thông tin cho thấy chúng ta cần một phương pháp quản trị và đánh giá hệ thống thông tin đó. Đề tài này tập trung nghiên cứu phương pháp quản trị và đánh giá COBIT, và trước tiên chúng ta cùng đánh giá vị trí và ưu thế của phương pháp này trong ngôi nhà quản trị (Governance). Phương pháp COBIT có tốt không? Phương pháp COBIT có hữu dụng không? CMM/RUP ITIL IT Strategy CMM/PMI Các hoạt động CNTT Quản lý chất lượng (Quanlity System) An toàn an ninh (secunity) Hoạch định chiến lược CNTT Quản trị dự án (project management) Phát triển ứng dụng (CSDL) Quản trị dịch vụ (service Management) COSO COBIT Iso/Six Sigma ISO 17799 Hình 2.1 Mô hình Governance. 1. GIẢI PHÁP NÀO CHO NHỮNG CHIẾN LƯỢC PHÁT TRIỂN CNTT HIỆN NAY? Một phương pháp quản trị tốt là một phương pháp đưa ra được những giải pháp để hoàn thành được những chiến lược phát triển CNTT của tổ chức, doanh nghiệp. Phương pháp COBIT là phương pháp tốt khi nó giải quyết được những chiến lược CNTT thực tế hiện nay. 1.1 Chiến lược CNTT của quốc gia Theo thông tin từ trang: Bốn mục tiêu ứng dụng công nghệ thông tin quốc gia đến 2015 là: “Thứ nhất là, bảo đảm hạ tầng kỹ thuật phục vụ ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước trên quy mô quốc gia. Kết nối được vào mạng truyền dẫn tốc độ cao, an toàn, bảo mật của Đảng và Nhà nước. Được cung cấp dịch vụ chứng thực chữ ký số và xác thực quốc gia; bảo đảm hạ tầng kết nối các hệ thống thông tin có quy mô quốc gia của các cơ quan nhà nước theo mô hình thống nhất. Thứ hai, xây dựng các hệ thống thông tin nền tảng quy mô quốc gia nhằm tạo môi trường làm việc điện tử giữa các cơ quan nhà nước. Trong đó, 70% các văn bản, tài liệu chính thức trao đổi giữa các cơ quan nhà nước được trao đổi hoàn toàn dưới dạng điện tử; bảo đảm 100% các cuộc họp của Chính phủ, Thủ tướng Chính phủ với các bộ, các tổ chức chính trị - xã hội cấp Trung ương, UBND tỉnh, thành phố trực thuộc Trung ương có thể được thực hiện trên môi trường mạng. Thứ ba, xây dựng, hoàn thiện các hệ thống thông tin chuyên ngành quy mô quốc gia thiết yếu, phục vụ cung cấp dịch vụ cho người dân và doanh nghiệp. Trong đó, 80% người dân và doanh nghiệp nộp hồ sơ khai thuế qua mạng; 90% Cục hải quan các tỉnh, thành phố triển khai thủ tục hải quan điện tử; 30% các đấu thầu mua sắm hàng hóa, xây lắp và dịch vụ tư vấn cho các cơ quan nhà nước được thực hiện qua mạng; 100% hộ chiếu được cấp cho công dân Việt Nam phục vụ công tác xuất, nhập cảnh là hộ chiếu điện tử… Cuối cùng là bảo đảm ứng dụng công nghệ thông tin của cơ quan nhà nước các cấp được hiệu quả, đồng bộ và thống nhất theo định hướng chung của quốc gia, với mục tiêu: tỷ lệ trung bình cán bộ, công chức được cung cấp hộp thư điện tử và thường xuyên sử dụng trong công việc là 90%; tỷ lệ trung bình cơ quan nhà nước các cấp sử dụng phần mềm ứng dụng quản lý văn bản và điều hành trên môi trường mạng là 90%; tỷ lệ trung bình máy tính trên cán bộ, công chức tại các cơ quan nhà nước là 90%. Ngoài ra, cũng sẽ đẩy mạnh triển khai cung cấp các dịch vụ công trực tuyến mức độ 3 hoặc 4 cho người dân và doanh nghiệp.” Phương pháp quản trị, đánh giá phù hợp: Trong hình 2.1 đưa ra 6 hoạt động CNTT và 4 chiến lược của nhà nước ta cũng không nằm ngoài mô hình này. Các phương pháp như ITIL, ISO, IT Strategy là những phương pháp có thể giải quyết bài toán chiến lược tuy nhiên ITIL thì quá tập trung vào quy trình dịch vụ, ISO chỉ tập trung phần an ninh thông tin, IT strategy cũng mạnh trong hoạch định; vì thế không đáp ứng được toàn bộ 4 chiến lược đề ra. Cobit là phương pháp bao quát và có khả năng giải quyết phù hợp nhất. Xây dựng chiến lược theo phương pháp Cobit là tạo ra một hệ thống thông tin thống nhất , đồng bộ về cơ sở hạ tầng, ứng dụng và các dịch vụ hoạt động của tổ chức nhà nước mà luôn đảm bảo được an ninh quốc gia. Những chiến lược này mang tính quản trị lâu dài, có tính hoạch định cao và Cobit là một phương pháp như thế. 1.2 Chiến lược ứng dụng công nghệ thông tin của doanh nghiệp Trang tin có đưa: “Công ty TRG International giới thiệu 3 giải pháp giúp cho các doanh nghiệp giảm chi phí và nâng hiệu quả kinh doanh gồm: Tổ chức hợp lý hệ thống thông tin gồm các hoạt động: Tiến trình dịch vụ; Quản lý ngân sách; Kiểm tra giám sát. Giải pháp tổ chức hợp lý tiến trình dịch vụ mua hàng hỗ trợ quản lý hoạt động mua hàng của doanh nghiệp, xử lý hoàn toàn trên web và tự động hóa toàn bộ quy tŕnh mua hàng như lập yêu cầu cung ứng, duyệt, đặt hàng, nhận hàng và xử lý hóa đơn, kiểm tra ngân sách và cam kết mua hàng trong thời gian thực và tích hợp với hệ thống dữ liệu. Giải pháp quản lý ngân sách là một công cụ cho phép thiết lập quy trình lập ngân sách theo đúng yêu cầu của doanh nghiệp và kiểm soát chặt chẽ quá trình thực hiện. Giải pháp kiểm tra giám sát là phân hệ bổ sung giúp người quản lý yên tâm rằng mọi hoạt động trong hệ thống hệ thông tin đều tuân thủ những quy chế đã được định sẵn.” Để thực hiện một hệ thống thông tin tốt để đạt được lợi ích mong muốn của doanh nghiệp chúng ta cần thực hiện những giải pháp như ở trên. Một hệ thống thông tin thống nhất và đảm bảo các hoạt động dịch vụ, cơ sở hạ tầng hiện đại, đồng bộ, đảm bảo an toàn thông tin… bên cạch đó người quản trị cần có cái nhìn chiến lược tất cả đều cần thiết để đạt được lợi ích kinh doanh và có sự bền vững lâu dài. Xét về quy trình dịch vụ trong kinh doanh thì phương pháp ITIL rất mạnh có khả năng ứng dụng cao. Tuy vậy phải nhìn nhận lâu dài và bền vững hơn cho hoạt động chiến lược CNTT của doanh nghiệp. Một dịch vụ tốt thì hệ thống thông tin tốt có thể đáp ứng được, nhưng để có cái nhìn chiến lược lâu dài chúng ta cần phương pháp Cobit. Đồng bộ về cơ sở hạ tầng, dịch vụ và hướng dẫn quản trị, đánh giá là ưu điểm của Cobit. Phương pháp Cobit là phương pháp bền vững mà vẫn đem lại lợi ích thiết thực cho doanh nghiệp. Dù là doanh nghiệp hay tổ chức nào cũng cần có một chiến lược phát triển hệ thống thông tin nhằm nâng cao khả năng quản lý và rút ngắn thủ tục đem lại hiệu quả cao cho công việc. Phương pháp quản trị và đánh giá Cobit đã thể hiện rõ sự hữu dụng của mình trên 2 linh vực chính là tổ chức và kinh doanh. 1.3 Phương pháp nào có ưu thế trong tiếp cận và lập chiến lược CNTT? Có một chiến lược thì phải tiếp cận và xây dựng chiến lược ấy. Sử dụng phương pháp quản trị, đánh giá là cần thiết vậy cần thiết thế nào? Nó có ý nghĩa gì ở giai đoạn tiếp cận chiến lược này? Một số cấp độ ứng dụng CNTT: Hình 2.2 Cấp độ CNTT Trong 5 cấp độ này thì tổ chức, doanh nghiệp của bạn đang đứng ở cấp độ nào? Mức độ tổ chức và doanh nghiệp bạn muốn tiến đến? Là điều quan trọng nhất trong việc tiếp cận mục tiêu và hoạch định chiến lược. Giả sử bạn bị lạc giữa sa mạc Sahara bạn sẽ cần những gì để thoát ra khỏi đó? Trả lời: Một cái bản đồ để tìm ra vị trí nào mình cần đến; Một cái kế hoạch để biết mình có khả năng đi đến đó không và đi như thế nào cho an toàn, đúng đường, đúng thời gian; Một ai đó chỉ dẫn cho bạn nếu tự đi bạn rất có thể lại lạc đường. Minh họa hình ảnh lạc giữa sa mạc. Ngay cả khi đã có những thứ đó thì quan trọng nhất vẫn là : Bạn phải biết mình đang đứng ở đâu: Nghĩa là xác định hiện trạng của mình, vị trí mình đứng, lương thực, nước đang có. Và bạn định đi đến đâu: Nghĩa là xác định mục tiêu cho mình, xác định nơi đến gần nhất để thoát khỏi xa mạc, xác định những mục tiêu từng bước trên đoạn đường mà đảm bảo mình đủ khả năng để thực hiện mục tiêu đó. Vậy, việc thực hiện chiến lược phát triển CNTT không chỉ là có mô hình và hiểu biết mô hình. Mà cần một phương pháp luận để xây dựng kế hoạch phát triển CNTT. Và kế hoạch đó cần chỉ rõ xem tổ chức hay doanh nghiệp đó đang ở đâu (hiện trạng doanh nghiệp), cần phải tới đâu (mục tiêu doanh nghiệp), đi như thế nào để đạt được mục đích . Sơ đồ phương pháp tiếp cận lập chiến lược CNTT: Làm sao để biết chúng ta đi đúng hướng Chúng ta muốn đi đâu? Chúng ta đến đó bằng cách nào? Chúng ta muốn gì? Chúng ta đang ở đâu? Kiểm soát và đánh giá (metrisc) Lộ trình (kế hoạch hành động) Đặt ra các mục tiêu cụ thể Tiêu chí đánh giá Tầm nhìn và mục tiêu Kiểm soát và đánh giá so với kế hoạch COBIT Guidelines Lập chiến lược: tái cơ cấu và nâng cao quy trình nghiệp vụ, quản lý thay đổi và đào tạo. ITIL/ COBIT/ ISO 17799 Đánh giá hiện trạng COBIT/ ISO 17799 Hình 2.3 Sơ đồ tiếp cận chiến lược CNTT Liên kết chặt chẽ giữa chiến lược của doanh nghiệp với chiến lược phát triển CNTT là một mô hình tất yếu. Tuy nhiên cần phải có phương pháp luận hợp lý để đánh giá và xây dựng chiến lược CNTT hiệu quả. Trong sơ đồ phương pháp tiếp cận trên đã chỉ ra mỗi bước đi của doanh nghiệp đều phải xác định vị trí và mục tiêu. Phương pháp quản trị và đánh giá đề ra tiêu chí nhằm xác định vị trí hiện trạng, xác định mục tiêu cần hướng tới và xác định sự đúng đắn trong lộ trình phát triển chiến lược của tổ chức hay doanh nghiệp góp phần rất quan trọng. Phương pháp ấy sẽ đảm bảo sự thành công của chiến lược đặt ra. Những phương pháp phổ biến hiện nay trên thế giới : ITTL, COBIT, CMMs, COSO, ISO 17799… Hình 2.3 đã thể hiện sự sát sao, hỗ trợ đầy đủ của phương pháp quản trị, đánh giá COBIT. Sự thành bại của việc xây dựng chính là phải tiếp cận chiến lược đúng. COBIT có đánh giá, COBIT có lộ trình, COBIT có kiểm soát vì vậy áp dụng phương pháp COBIT sẽ thành công. Cobit giúp bạn biết mình đang ở đâu (ở mức độ nào), biết mục tiêu mà bạn cần hướng tới và quan trọng là nó còn đóng vai trò là người hướng dẫn tin cậy để bạn triển khai vững chắc trên con đường tiến tới mục tiêu mới. Phương pháp Cobit là phương pháp tốt trong việc tiếp cận chiến lược CNTT. 2. TỔNG QUAN NHỮNG PHƯƠNG PHÁP QUẢN TRỊ, ĐÁNH GIÁ CNTT HIỆN NAY VÀ ƯU THẾ CỦA COBIT Hiện nay ở nước ta gần như chưa có giải pháp kiểm soát và đánh giá nào, chính vì vậy thường hay có sự nhận xét chung chung về một hệ thống nào đó đang vận hành “khá” hay “cũng tốt”. Khá thế nào, cũng tốt thế nào; nếu khá, tốt rồi thì cần phát triển không? Chính sự đánh giá chung chung và đại khái dẫn đến sự khó khăn trong phát triển chiến lược CNTT trong doanh nghiệp, tạo sự rủi ro lớn trong quá trình thực hiện. Và thất bại là điều dễ hiểu. Nước ta cần phương pháp quản trị và đánh giá cho những chiến lược CNTT. Phương pháp COBIT có phải là sự lựa chọn tốt nhất giữa những phương pháp quản trị và đánh giá hiện nay? Dùng Cobit nghĩa là rủi ro giảm và chúng ta sẽ thành công, xây dựng được những chiến lược CNTT mong muốn? Những thất bại của dự án CNTT: Tại sao 62% dự án CNTT thất bại? Một khảo sát do Dynamic Markets thực hiện với 800 nhà quản lý CNTT đã cho thấy 62% các dự án IT không đáp ứng kế hoạch. Khảo sát do Dynamic Markets thực hiện và được trang web chuyên dành cho các nhà quản lý công nghệ thông tin (IT) CIO.com đưa tin. Khảo sát còn công bố các con số khác: 49% bị ảnh hưởng bởi ngân sách vượt quá mức; 47% có chi phí duy trì cao hơn dự đoán và; 41% thất bại trong việc chuyển tải giá trị kinh doanh như kỳ vọng và cái thu về được từ khoản đầu tư. Song CIO.com lưu ý rằng những con số đã không cải thiện thích đáng trong một thập kỷ qua và trong một số trường hợp, chúng còn tệ hơn? Một vấn đề khác là sự mất liên lạc giữa bộ phận IT và các chủ doanh nghiệp, người tài trợ cho các dự án IT. Hai bên thường có các ý tưởng rất khác nhau như điều mà họ muốn. Đứng ở phương diện doanh nghiệp, họ thường ham mê những thứ giới thiệu hơn công nghệ. Điều này đôi khi tốt nhưng thường là tồi tệ. Một khách hàng đã phải trì hoãn triển khai một dự án một năm bởi dự án ba tháng với một sản phẩm thích đáng cần phải mất đến hơn 15 tháng. Phần mềm thích hợp mà IT đang cố triển khai trông khá được khi chạy giới thiệu nhưng là một đống việc vặt khi triển khai. Còn trong nhiều trường hợp khác, phòng IT với sự hiểu biết về công nghệ lại không thèm để ý đến các yêu cầu của doanh nghiệp. Có khách hàng nỗ lực triển khai sản phẩm mà thiếu thiết bị thích ứng... và chủ doanh nghiệp cuối cùng từ chối dự án. Không rõ là giải pháp nào dành cho sự rời rạc này giữa IT và doanh nghiệp nhưng chắc chắn, đó là nguyên nhân gây ra nhiều dự án IT thất bại hơn bất cứ lý do gì. (Theo ICTnews) Còn nguyên nhân ở Việt Nam? Năm nguyên nhân thường làm các dự án ứng dụng CNTT thất bại do nước ngoài tổng kết cũng khá đúng ở Việt Nam. Luật sư Wayne Bennett ở Boston nói: “Rất khó tính toán thiệt hại do các dự án CNTT không thành công gây ra bởi phạm vi ảnh hưởng của chúng rất sâu rộng. Chúng thường động chạm đến nhiều thành phần của tổ chức đến mức khó có thể đánh giá được sự lan toả của chúng”. Từ nhận định trên, các nhà lãnh đạo, quản lý Việt Nam cần suy nghĩ xem: Các dự án ứng dụng CNTT dự định triển khai có tác động thật sự hay đụng chạm dữ dội trong tổ chức của mình không? Dường như doanh nghiệp Việt Nam chúng ta lại thường đi theo hướng ngược lại. Chúng ta ít có dự án loại này, phổ biến chỉ là các dự án ứng dụng CNTT mà sự thành bại của chúng chẳng tác động gì đến tổ chức hiện hữu. Đó là nguyên nhân hàng đầu dẫn đến nhiều dự án ứng dụng CNTT ở Việt Nam, gọi là “thành công” hay “thất bại” đều được cả. Nhưng thực sự đó là thất bại. (nguồn: ). Giải pháp cho tình hình trên: Ở Mỹ có đạo luật SOX (Sarbanes- Oxley ) yêu cầu doanh nghiệp phải tuân thủ một loạt các luật lệ, quy định và các tiêu chuẩn. Đạo luật này chú trọng vào các cơ chế kiểm soát nội bộ trong việc tạo ra các báo cáo tài chính và yêu cầu các doanh nghiệp phải đánh giá độ hiệu quả của mình trong tác vụ kiểm soát nội bộ. Ủy ban chứng khoán Mỹ yêu cầu các doanh nghiệp phải sử dụng một phương pháp kiểm soát nội bộ đã được công nhận. Phần lớn sử dụng COSO (Committee of the Sponsoring Organizations of the Treadway Commission), ngoài ra ITIL, COBIT, CMMs… cũng được công nhận trên thế giới. Mô hình IT Governance: Là mô hình quản trị CNTT gồm ra các hoạt động chính và phương pháp quản trị ảnh hưởng đến hoạt động đó. Quản trị dịch vụ Phát triển ứng dụng Quản trị dự án Hoạch định chiến lược An toàn an ninh Quản lý chất lượng Các hoạt động CNTT CMM/PMI IS Strategy ISO 17799 Iso/Six Sigma sox ITIL CMM/RUP COSO COBIT Nhắc lại hình 2.1 mô hình đưa ra 6 hoạt động CNTT, tương ứng với từng giai đoạn là những giải pháp phù hợp với từng giai đoạn và hoạt động CNTT đó. Ví dụ như hoạt động quản trị dịch vụ thì giải pháp ITIL hỗ trợ chuẩn và chính xác nhất hoặc việc an toàn an ninh thì giải pháp quản trị bằng ISO 17799 lại là hợp lý nhất… Ngoài ra, phương pháp quản trị đánh giá COBIT lại được coi như là mái nhà bao trùm mọi hoạt động CNTT. Mong muốn tìm hiểu phương pháp Cobit và áp dụng Cobit vào các hoạt động CNTT ở nước ta vì vậy sau đây chúng ta phân tích và đánh giá một số phương pháp quản trị và đánh giá trên thế giới hiện nay để hiểu rõ hơn ưu điểm nổi trội của Cobit. Ở trên ta thấy Cobit thể hiện ưu thế trong việc giải quyết các bài toán chiến lược của nhà nước và doanh nghiệp ở nước ta; có thực Cobit có nhiều ưu điểm hơn các phương pháp khác? Cobit phải chăng có vị trí hàng đầu trong sự lựa chọn giữa những phương pháp rất tốt trên thế giới như ITIL, ISO, CMM… 2.1 Phương pháp quản trị và đánh giá ITIL The Information Technology Infrastructure Library (ITIL) là một tập hợp các khái niệm và các chính sách để điều hành công nghệ thông tin. ITIL mô tả chi tiết về một số điểm quan trọng CNTT với bảng kiểm mục toàn diện, chức năng và các thủ tục mà bất kỳ tổ chức, kinh doanh đều có thể thích ứng với nhu cầu của nó. ITIL được xuất bản ra một loạt các cuốn sách, mỗi cuốn trong đó bao gồm một chủ đề quản lý CNTT. 2.1.1 Lịch sử ITIL Được phát triển bởi văn phòng thương mại chính phủ Anh, 1980. Sau khi công bố ban đầu vào năm 1989, số lượng sách đã tăng trưởng nhanh chóng trong vòng ITIL v1 đến hơn 30 khối. Năm 2000/2001, để làm cho ITIL dễ tiếp cận hơn (và giá cả phải chăng), ITIL v2 củng cố các ấn phẩm thành 8 bộ hợp lý nhóm hướng dẫn quy trình liên quan để phù hợp với những khía cạnh khác nhau của CNTT quản lý, các ứng dụng, và dịch vụ. Trong tháng 5 năm 2007, tổ chức này đã ban hành phiên bản thứ 3 của ITIL (còn gọi là dự án Refresh ITIL) gồm 26 quy trình và chức năng, bây giờ được nhóm thành có 5 tập, bố trí xung quanh các khái niệm về cấu trúc vòng đời dịch vụ. 2.1.2 Tư tưởng của ITIL Mô hình ITIL cho phép đảm bảo sự liên kết chặt chẽ giữa mục tiêu kinh doanh (nghiệp vụ) với vai trò hỗ trợ của CNTT. CNTT có vai trò như là bộ phận cung cấp các dịch vụ cần thiết để thực hiện các mục tiêu kinh doanh. ITIL chia thành 2 cấp độ quản lý dịch vụ CNTT: Service Support: Bao gồm các hoạt động thường nhật nhằm hỗ trợ người dùng. Service Delivery: Tập trung vào chất lượng của các dịch vụ cho khách hàng. 2.1.3 ITIL quản lý dịch vụ K I N H D O A N H C Ô N G N G H Ệ Thực hiện kế hoạch quản lý dịch vụ ICT Quản lý cơ sở hạ tầng Quản lý dịch vụ Toàn cảnh các doanh nghiệp Dịch vụ hỗ trợ Quản lý an ninh Dịch vụ giao bán Quản lý các ứng dụng Hình 2.4 ITIL trong hoạt động của doanh nghiệp. Doanh nghiệp ứng dụng công nghệ để thúc đẩy kinh doanh và quản lý dịch vụ là hoạt động trung tâm mang tính kết nối giữa công nghệ và kinh doanh. Dịch vụ tốt phải có công nghệ tốt hỗ trợ và dịch vụ ấy thực hiện tốt các kế hoạch, chiến lược kinh doanh. ITIL quản lý dịch vụ, nghĩa là phương pháp ITIL đem lại một trái tim khỏe mạnh cho doanh nghiệp. Mô hình ITIL framework gồm 2 phần chính: Dịch vụ hỗ trợ – Có 5 quy trình cung cấp sự hỗ trợ hoạt động hàng ngày của dịch vụ CNTT. 5 quy trình đó là: quản lý thay đổi, quản lý giải pháp hỗ trợ, quản lý sự cố-rủi ro, quản lý cấu hình dịch vụ, quản lý vấn đề phát sinh. 5 quy trình này tương tác lẫn nhau Dịch vụ triển khai – Có 5 quá trình tập trung vào kế hoạch dài hạn và cải thiện các dịch vụ CNTT. Các quy trình gồm: Quản lý tầng dịch vụ, quản lý tài chính, quản lý kho, quản lý hoạt động liên tục, quản lý các chức năng… 2 thành phần này được liên kết bởi dịch vụ tiếp nhận (Service Desk). Dịch vụ Hỗ trợ Dịch vụ triển khai Quản tầng dịch vụ Quản lý thay đổi Quản chức năng Quản lý tài chính Quản lý vấn đề Quản lý giải pháp Quản lý hđ liên tục Quản lý kho Quản lý sự cố Quản lý cấu hình Dịch vụ tiếp nhận Hình 2.5 Thành phần của ITIL Dịch vụ tiếp nhận: Là điểm kết nối giữa dịch vụ hỗ trợ và dịch vụ giao bán. Tư vấn và hướng dẫn khách hàng; phục hồi và luân chuyển các hoạt động giữa các dịch vụ. là dịch vụ ngồi bàn nhận và chuyển yêu cầu của khách hàng vì vậy tiếng anh là service desk. Quy trình của ITIL như sau: Gồm 2 quy trình chính: hỗ trợ và triển khai dịch vụ. Hình 2.6 Quy trình hoạt động của ITIL. Ví dụ về ITIL cung cấp dịch vụ (service support): Khách hàng: Tôi bị hỏng xe !!! Dịch vụ tiếp nhận (Service desk): Khách hàng phải gọi ai? Trợ giúp thông thường tiếp nhận yêu cầu của khách hàng và gửi yên cầu đến hoạt động xử lý sự cố. Quản lý vấn đề (Incident management): Sửa ngay, cần thay thế một thiết bị mới. Đưa ra những vấn đề cần giải quyết Quản lý sự cố (Problem management): Tại sao sự cố xảy ra, nguyên nhân? Xác định rõ nguyên nhân, có sự chuẩn bị, tiên liệu trước các sự cố. Quản lý thay đổi (Change management): Kế hoạch, chúng ta đang làm gì? Thiết lập các kế hoạch trước đề phòng sự thay đổi, rủi ro có thể xảy ra. Configuration management: Kho phụ tùng, có dùng đúng thiết bị cần thay thế không? Quản lý sự phục vụ và khắc phục phải đúng kĩ thuật. Release management: Thông tin về sự thay đổi, Cho tôi biết anh đã làm gì với hệ thống của tôi. Tìm hiểu nguyên nhân và đưa ra giải pháp. Ví dụ về ITIL dịch vụ triển khai (service delivery): Quản lý tài chính (Financial management): Giá cả thế nào? Giá sản phẩm, dịch vụ, các vẫn đề liên quan đến tài chính. Quản lý thực thi, vận hành (Availability management): Chạy được chứ, chạy được bao lâu? Đảm bảo quá trình vận hành tốt. Quản lý tầng dịch vụ (Service level management): Bảo hành và hỗ trợ. Quản lý theo từng tầng dịch vụ đảm bảo cung cấp đầy đủ tiện ích cho khách hàng, giúp khách hàng tìm đúng dịch vụ cần thiết. Quản lý hoạt động liên tục (Continuity management): “plan B” – kế hoạch khắc phục sự cố. Quản lý hoạt động đảm bảo có kế hoạch dự phòng để các hoạt động luôn diễn ra liên tục. Quản lý kho, khả năng chứa (Capacity management): Tiêu chuẩn là 8 chỗ. Đảm bảo khả năng lưu trữ để phục vụ tốt các mặt hàng, dịch vụ cần thiết khi có yêu cầu của khách hàng. Đánh giá hiện trạng và xác định mục tiêu hướng tới: Hình 2.7 Sơ đồ phân tích hiện trạng và mục tiêu. Biểu đồ định hướng hiện trạng và mục tiêu được thể hiện qua 4 cấp độ (0-3) về 10 quy trình đã nêu ở trên. Màu đỏ thể hiện hiện trạng xác định điểm hiện tại của doanh nghiệp. Doanh nghiệp qua biểu đồ sẽ biết mình đang đứng ở đâu trong những quy trình dịch vụ và qua đó xác định được hướng cần phải nâng cấp. Màu xanh thể hiện mục tiêu cần hướng tới trong các quy trình đề ra. Thể hiện những mục tiêu mà nhà quản lý doanh nghiệp mong muốn, giúp xác định khoảng cách và con đường cần tiến hành để đạt mục tiêu. Màu vàng thể hiện bước ban đầu thực hiện mục tiêu. Xác định con đường đi cho doanh nghiệp. Dựa trên những tính chất đánh giá ITIL xác định cấp độ hiện tại của doanh nghiệp và vẽ lên sơ đồ là đường màu đỏ kết nối các điểm đánh giá của doanh nghiệp. Và mục tiêu của doanh nghiệp muốn phát triển dịch vụ đạt được những yếu tố nào thì phản ánh lên sơ đồ là đường màu xanh. Cuối cùng xác định những bước đầu tiên cần triển khai nâng cấp theo đường màu vàng. Sơ đồ vừa trực quan vừa giúp xác định hiện trạng và mục tiêu thể hiện đầy đủ các tính chất đánh giả của phương pháp ITIL. Sau khi đánh giá ITIL sẽ thực hiện theo các quy trình của phương pháp này. Với phương pháp ITIL doanh nghiệp ứng dụng sẽ phát triển hơn trong quản lý dịch vụ, càng đạt mức đánh giá cao của ITIL thì dịch vụ càng tốt càng đem lại nhiều lợi ích cho khách hàng, được khách hàng tin tưởng lựa chọn. Đặc tính của các cấp độ trưởng thành: 3 cấp độ trưởng thành chính là phản ứng lại (Reactive) mang tính bị động khi có sự cố mới giải quyết; tiên phong thực hiện (Proactive) chuẩn bị trước, sẵn sàng khi xảy ra sự cố và đoán trước (Predictive) quản lý mọi sự cố có thể xảy ra và đảm bảo khắc phục ngay tức thời. Khi đạt những yếu tố của cấp độ nào nghĩa là doanh nghiệp của bạn đang đứng ở đó. Sử dụng phương pháp ITIL doanh nghiệp của bạn sẽ nhanh chóng trưởng thành lên cấp độ mới. 2.1.4 Những ưu, nhược điểm của phương pháp ITIL Ưu điểm của ITIL chính là việc quản trị và đánh giá rất tốt các quy trình dịch vụ. Với những tiêu chí đánh giá sát sao và chính xác thì phương pháp ITIL thực sự là phương pháp tối ưu nhất khi quản trị và đánh giá những quy trình dịch vụ của doanh nghiệp. Hơn thế nữa, việc triển khai quy trình dịch vụ ITIL cũng rất chi tiết và cụ thể luôn hỗ trợ trong quá trình triển khai. Ngược lại, nhược điểm của ITIL chính là do quá mạnh về một hoạt động cụ thể là quản lý quy trình dịch vụ mà ITIL gần như không có lợi ích gì trong các hoạt động khác của doanh nghiệp hay tổ chức. Và cũng vì hỗ trợ sát sao quy trình triển khai nên ITIL rất cứng nhắc, đòi hỏi sự tuân thủ cao. Khi thực hiện buộc phải đáp ứng đầy đủ điều kiện quy trình nên khá tốn kém về mặt chi phí. ITIL cũng đòi hỏi nhiều hơn về mặt nhân lực để quản lý quy trình dịch vụ. ITIL cần người thực hiện có sự hiểu biết cả về giải pháp lẫn nghiệp vụ để triển khai hiệu quả bên cạch đó việc các nhân viên phải chấp nhận cách làm việc mới cũng là khó khăn rất lớn. Xét về những rủi ro thống kê ở trên thì lại thấy rằng ITIL thiếu sự quản lý những rủi ro. Đây là một nhược điểm và cũng cho thấy ITIL chưa đáp ứng tốt nhất cho sự thiếu hụt phương pháp quản trị và đánh giá hiện nay ở nước ta. 2.2 Phương pháp quản trị và đánh giá CMMi 2.2.1 Lịch sử bắt nguồn phương pháp CMMi CMMI bắt nguồn từ đâu? CMMI là phiên bản kế tiếp của CMM. Cả CMM và CMMI đều được Viện kỹ nghệ phần mềm Mỹ SEI tại trường Đại học Carnegie Mellon ở Pittsburgh, PA phát triển. CMM đã có mặt từ cuối những năm 80 và một thập kỷ sau nó bị CMMI thay thế. Năm 2000 CMMI phiên bản 1.02 được đưa ra thị trường . Phiên bản mới nhất hiện nay CMMI 1.2 được trình làng vào tháng 8 năm 2006.. 2.2.2 Tư tưởng của CMM/CMMi CMM là một phương pháp cải tiến quy trình cung cấp cho các tổ chức với các yếu tố thiết yếu của quá trình mà cuối cùng có hiệu quả cải thiện hiệu suất của họ. CMMi có thể được sử dụng để cải tiến quy trình hướng dẫn qua một dự án, một bộ phận, hoặc một tổ chức toàn bộ. Nó giúp tích hợp các chức năng riêng biệt theo truyền thống tổ chức, cải tiến quy trình thiết lập mục tiêu và ưu tiên, hướng dẫn quy trình chất lượng, và cung cấp một điểm tham khảo cho quá trình thẩm định hiện hành. Những lợi ích mà bạn có thể mong đợi từ việc sử dụng CMMi bao gồm: Tổ chức các hoạt động của bạn một cách rõ ràng là liên kết với mục tiêu kinh doanh của bạn. Tầm nhìn của bạn đối với các hoạt động chiến lược của công ty tăng lên vì vậy sản phẩm cung cấp ra sẽ đạt được yêu cầu khách hàng hơn. Bạn học hỏi từ các khu vực mới của thực hành tốt nhất (ví dụ, đo lường, rủi ro). Ai được cấp chứng chỉ CMMi ? Đó là SEI - Viện Công Nghệ Phần Mềm và cũng là nơi khai sinh ra CMM đặt tại Canergy Mellon University , USA. Và CMM được khai sinh với tiêu chí : "The right software is delivered defect free, on time and on cost, every time". Có thể tạm hiểu là phần mềm chuẩn phải triển khai dễ dàng và luôn ổn định theo thời gian lẫn cả chi phí ứng dụng phần mềm đó vào thực tiễn. 2.2.3 Cấu trúc của CMM Hình 2.8 Cấp độ tổ chức và cấp độ quy trình trong ITIL. CMMi bao gồm 5 cấp độ và 18 KPAs (tiêu chí và quy trình) 5 cấp độ của CMMi như sau: 1: Sơ khai, 2: Khả năng phục hồi, 3: Tự khẳng định, 4: Tự quản lý, 5: Tối ưu. Cấp 1: thì không có KPAs nào cả, cấp độ này thường dành cho những sản phẩm có tính ứng dụng ở mức đơn vị, chỉ xử lý một công việc nhỏ, cụ thể vì vậy không tiêu chí, quy trình nào để đánh giá. Cấp 2 : có 6 KPAs, cấp độ này có 6 yếu tố cần phải đạt được và chủ yếu là kiểm tra khả năng xử lý quy trình, khả năng tự phục hồi… Cấp 3: có 7 KPAs, gần như chỉ khác biệt nhỏ về tiêu chí so với cấp độ 2 nhưng sự khác biệt ấy thể hiện ở khả năng tự định nghĩa, tự giới thiệu, hướng dẫn của sản phẩm. Cấp 4: có 2 KPAs, có 2 quy trình đánh giá khả năng mang tính tự động, tự quản lý và xử lý hoạt động giảm bớt thao tác của người sử dụng. Cấp 5: có 3 KPAs, đây là cấp độ xem là tối ưu nhất vừa đạt mọi tiêu chí chất lượng vừa có tính tự động hóa. 18 KPAs của CMMi được đều có 5 thuộc tính (chức năng) chung trong đó có các qui định về khóa chính là những hướng dẫn về các thủ tục, qui tắc, và hoạt động của từng KPA. Khung nhìn cho quá trình phần mềm SEI của Capability Maturity Model: Khung tài liệu được dự định để hướng dẫn những người muốn đánh giá một tổ chức / dự án thống nhất với các CMM. Đối với mỗi cấp độ trưởng thành có năm loại danh sách kiểm tra: Thể loại Mô tả Chính sách Mô tả các nội dung chính sách và mục tiêu KPA khuyến cáo của CMM. Tiêu chuẩn Mô tả nội dung khuyến cáo của các sản phẩm làm việc chọn mô tả trong CMM. Quy trình Mô tả nội dung thông tin về quy trình khuyến cáo của CMM. Các bảng kiểm mục quá trình tinh chế được thêm vào bảng kiểm mục cho: vai trò mục tiêu chí đầu vào các hoạt động đầu ra lối ra các tiêu chí đánh giá và kiểm toán sản phẩm công việc quản lý và kiểm soát đo tài liệu thủ tục đào tạo các dụng cụ Thủ tục Mô tả nội dung đề nghị các thủ tục tài liệu mô tả trong CMM. Mức độ tổng quan Cung cấp tổng quan của một mức trưởng thành toàn bộ. Cấp bảng kiểm mục tổng quan được tinh chế thêm vào bảng kiểm mục cho: Tiêu chí KPA (Key Process Areas) mục tiêu KPA chính sách tiêu chuẩn quá trình mô tả thủ tục đào tạo các dụng cụ đánh giá và kiểm toán sản phẩm công việc quản lý và kiểm soát đo Ta đi vào một ví dụ: Cấp độ 2 có 6 KPA là: Quản lý yêu cầu, đảm bảo mọi yêu cầu đều được quản lý rõ ràng. Lập dự án phần mềm, có kế hoạch sử dụng các phần mềm. Hoạch định dự án phần mềm, tính toán chi phí và tiến hành cài đặt sử dụng. Quản lý chức năng chính của phần mềm. Đảm bảo chất lượng phần mềm. Quản lý cấu hình phần mềm. Khi ta áp dụng cấp độ 2, KPA 2 (Thiết lập dự án phần mềm), ta sẽ có những yêu cầu như sau: Mục tiêu: các hoạt động và những đề xuất của một dự án phần mềm phải được lên kế hoạch và viết tài liệu đầy đủ. Đề xuất/ Xem xét: dự án phải tuân thủ theo các qui tắc của tổ chức khi hoạch định. Khả năng: Việc thực hiện lập kế hoạch cho dự án phần mềm phải là bước thực hiện từ rất sớm khi dự án đưọc bắt đầu. Đo lường: Sự đo lường luôn được thực thi và sử dụng chúng ta luôn có thể xác định và kiểm soát được tình trạng các hoạt động trong tiến trình thực hiện dự án. Kiểm chứng: Các hoạt động khi lập kế hoạch dự án phải được sự reviewed của cấp quản lý dự án. 2.2.4 Ưu nhược điểm của phương pháp CMM  Cũng như ITIL, ưu điểm của CMM là trong lĩnh vực hoạt động về quy trình cụ thể là quy trình, dự án phần mềm. CMM là phương pháp tối ưu cho các công ty kinh doanh và triển khai phần mềm CNTT. CMM là mô hình, đồng thời cung cấp các hướng dẫn và kinh nghiệm thực tế dùng để phát triển, cải tiến và đánh giá năng lực quy trình. CMM không phải là một tiêu chuẩn cứng nhắc, tùy thuộc vào từng tổ chức kinh doanh mà cách thực hiện khác nhau. Hạn chế phạm vi ứng dụng nhỏ, không áp dụng được cho mọi ngành nghề. Nếu doanh nghiệp tự đánh giá thì còn mang tính chủ quan thiếu độ tin cậy. Mức độ an toàn an ninh còn kém… Cũng như phương pháp ITIL, CMM/CMMi mạnh trong lĩnh vực cụ thể không giải quyết được những bài toán tổng quan hơn. Vấn đề rủi ro từ con người vẫn chưa được quản lý đúng mức, con người là nhân tố quan trọng cho việc xây dựng một hệ thống thành công. Và vì vậy CMM cũng chưa phải là phương pháp tốt nhất cho việc giải quyết các bài toán mang tầm quốc gia hay định hướng lâu dài cho doanh nghiệp, cũng chưa giải quyết được những rủi ro mang tính tổng thể như đã nêu ở trên. 2.3 Phương pháp quản trị và đánh giá ISO 17799 2.3.1 Giới thiệu về ISO 17799 ISO (Tổ chức tiêu chuẩn quốc tế) và IEC (Hội đồng kỹ thuật quốc tế) là tổ chức thiết lập các hệ thống tiêu chuẩn trên toàn cầu. Các quốc gia là các thành viên của ISO và IEC tham gia vào sự phát triển chung của các chuẩn quốc tế thông qua các ủy ban được thiết lập bởi các tổ chức tương ứng nhằm giải quyết các lĩnh vực cụ thể về kỹ thuật. ISO và IEC phối hợp trong các lĩnh vực liên quan đến lợi ích của nhau. Các tổ chức quốc tế khác trong mối quan hệ với ISO, IEC, thuộc chính phủ cũng như phi chính phủ. Các chuẩn quốc tế được dự thảo nhằm phù hợp với các quy tắc đã đưa ra trong ISO/IEC. Trong lĩnh vực công nghệ thông tin, ISO và IEC đã thiết lập một hội đồng kỹ thuật chung ISO/IEC JTC 1. Bản dự thảo chuẩn quốc tế ISO/IEC đã được chấp nhận bởi hội đồng kỹ thuật chung được đưa đến các quốc gia để bầu cử. Sự xuất bản như một chuẩn quốc tế yêu cầu sự chấp thuận chung của ít nhất là 75% các quốc gia. ISO và IEC sẽ không được nắm giữ các trách nhiệm cho việc phát triển và các quyền sáng chế. Chuẩn quốc tế ISO/IEC 17799 được chuẩn bị bởi Viện tiêu chuẩn Anh (cụ thể là BS 7799) và được chấp nhận dưới một "thủ tục lối mòn" (fast-track procedure) bởi Hội đồng kỹ thuật chung ISO/IEC JTC 1, Công nghệ thông tin, song song với sự phê chuẩn từ các quốc gia trong các tổ chức ISO và IEC. 2.3.2 Tư tưởng của ISO là sự duy trì Tư tưởng của ISO thể hiện qua những đặc tính yêu cầu thông tin, khi đạt được những yêu cầu đó nghĩa là đảm bảo được sự hoạt động liên tục và duy trì mức độ điều khiển sử dụng và an toàn thông tin. Tính mật: đảm bảo thông tin chỉ được truy cập bởi những truy cập cho phép. Quản lý thông tin một cách chặt chẽ, phân quyền và kiểm soát việc truy suất thông tin. Không để mất mát thông tin. Tính toàn vẹn: bảo vệ tính chính xác, đầy đủ của thông tin cũng như các phương pháp xử lý. Đảm bảo thông tin khi cần là có, hoạt động mới tiến hành liên tục được. Sẵn sàng: đảm bảo những người dùng hợp pháp mới được truy cập các thông tin và tài sản liên quan khi có yêu cầu. Mọi hoạt động đều được duy trì, sẵn sàng hoạt động bất cứ khi nào. An toàn thông tin đạt được bằng cách triển khai tập hợp các nguyên tắc quản lý phù hợp, đó có thể là các chính sách, các nguyên tắc, các thủ tục, các cơ cấu tổ chức và các chức năng phần mềm. Các nguyên tắc quản lý này cần được thiết lập nhằm đưa ra được đầy đủ các đối tượng của tổ chức cần được bảo vệ. 2.3.3 Định giá các rủi ro về an toàn Các yêu cầu về an toàn thông tin được xác định bằng phương pháp định giá các rủi ro về an toàn. Vấn đề chi phí trên các sự kiểm soát cần được cân nhắc kỹ lưỡng đối với sự thiệt hại trong kinh doanh do sự mất đi tính an toàn. Các kỹ thuật định giá rủi ro có thể được áp dụng trong tổ chức, hoặc chỉ một bộ phận của tổ chức, như các hệ thống thông tin cá nhân, các thành phần hệ thống xác định hoặc các dịch vụ, … mang tính chất khả thi, thực tế và hữu ích. Đánh giá rủi ro là một vấn đề có tính chất hệ thống của: Kết quả của việc đánh giá sẽ hướng dẫn và xác định các hành động quản lý tương ứng và mức độ ưu tiên cho vấn đề quản lý các rủi ro an toàn thông tin, và cho việc triển khai các quy tắc đã lựa chọn để bảo vệ các rủi ro này. Quá trình đánh giá các rủi ro và lựa chọn các quy tắc cần được thực hiện nhiều lần nhằm bao quát được toàn bộ các bộ phận khác nhau của tổ chức hoặc các hệ thống thông tin cá nhân. Chọn lựa quy tắc: Khi đã xác định được các yêu cầu về an toàn, cần bắt đầu bằng việc chọn lựa và triển khai các quy tắc nhằm giảm thiểu rủi ro tới mức có thể chấp nhận được. Có thể chọn lựa các quy tắc từ tài liệu này hoặc từ các tập quy tắc khác, hoặc có thể thiết kế các quy tắc mới sao cho phù hợp với yêu cầu đặt ra. Có nhiều cách để quản lý rủi ro và tài liệu này cung cấp cách tiếp cận chung qua các ví dụ. Tuy nhiên, điều cần thiết là phải nhận biết một số quy tắc không thể áp dụng cho mọi môi trường và hệ thống thông tin, và cũng có thể không thể áp dụng cho mọi tổ chức. Xuất phát điểm của an toàn thông tin: Nhiều quy tắc có thể xem là nguyên lý cung cấp xuất phát điểm tốt cho việc triển khai an toàn thông tin. Các quy tắc này hoặc là dựa trên các yêu cầu về luật pháp hoặc là được xem là nguyên tắc chung nhất cho vấn đề an toàn thông tin. Xuất phát từ quan điểm luật pháp, các quy tắc được coi là thiết yếu đối với một tổ chức. Các nhân tố quyết định sự thành công: Kinh nghiệm cho thấy rằng, các nhân tố dưới đây thường quyết định sự thành công trong việc triển khai vấn đề an toàn thông tin trong một tổ chức: Chính sách an toàn, các mục tiêu và hành động phản ánh mục đích của doanh nghiệp. Cách tiếp cận nhằm triển khai sự an toàn là phù hợp với văn hóa của tổ chức. Các sự hỗ trợ tâm huyết từ các nhà quản lý. Sự hiểu biết tốt về các yêu cầu an toàn thông tin, đánh giá rủi ro và quản lý rủi ro. Phổ biến vấn đề an toàn cho tất cả các nhà quản lý cũng như các nhân viên. Đưa ra các hướng dẫn về chính sách an toàn thông tin và các chuẩn cho mọi nhân viên cũng như các nhà thầu. Có sự đào tạo và giáo dục thích hợp. Sử dụng các hệ thống đánh giá sự thực hiện trong vấn đề quản lý an toàn thông tin phải có tính ổn định, tính toàn diện và đưa ra các đề xuất nhằm cải thiện tốt hơn. Phát triển các nguyên tắc chỉ đạo: Nguyên lý này có thể được xem như xuất phát điểm cho sự phát triển các đường lối/nguyên tắc chỉ đạo cho tổ chức. Không phải mọi nguyên tắc quản lý và chỉ đạo trong tập hợp các nguyên tắc này đều có thể áp dụng được. Hơn nữa, các sự quản lý không có trong tài liệu này cũng có thể hoàn toàn cần đến. Khi đó, điều này rất hữu ích làm các tham chiếu, tạo ra thuận lợi trong việc kiểm tra của các soạn giả và các doanh nghiệp. 2.3.4 Ưu nhược điểm của phương pháp ISO 17799 ISO 9001 là một tiêu chuẩn quốc tế về quản lý, các điều khoản gọi là “yêu cầu” quy định những điểm cần phải làm (what to do), nhưng không chỉ ra việc đó nên làm như thế nào (how to do). Những tiêu chuẩn của ISO có độ tin cậy cao áp dụng cho nhiều quy trình, ISO có sự đánh giá ở mức cao bao trùm hầu hết các phương pháp đánh giá khác, khả năng ứng dụng vì vậy rộng. Đạt được tiêu chuẩn ISO nghĩa là được cả thế giới công nhận. ISO có ưu điểm mạnh trong kiểm soát an toàn an ninh thông tin. Nhược điểm ISO là không đưa ra hướng dẫn hay kinh nghiệm cụ thể, vì vậy cũng không gần gũi với bất cứ hoạt động cụ thể nào của doanh nghiệp, tổ chức. Những tiêu chí cũng có phần cứng nhắc. 2.4 Phương pháp quản trị và đánh giá COBIT 2.4.1 Lịch sử hình thành phương pháp COBIT Ban đầu được phát hành vào năm 1996 bởi các hệ thống thông tin kiểm toán và Kiểm soát Quỹ (ISACF). Nhà xuất bản chính hiện nay là Viện Quản CNTT - hình thành bởi các hệ thống thông tin kiểm toán và kiểm soát của Hiệp hội (ISACA) vào năm 1998. COBIT được hình thành thông qua nghiên cứu các nguồn như các tiêu chuẩn kỹ thuật từ ISO, mã số của tiến hành do Hội đồng Châu Âu và ISACA, tiêu chuẩn chuyên nghiệp để kiểm soát nội bộ và kiểm toán do COSO, AICPA, GAO, v.v. Các nguồn tin trên đều được sử dụng để xây dựng COBIT tới "được cả hai thực dụng và đáp ứng nhu cầu kinh doanh trong khi được độc lập với nền tảng kỹ thuật CNTT được thông qua trong một tổ chức.". 2.4.2 Tư tưởng của phương pháp COBIT Để cung cấp một khuôn khổ để những khoảng trống cầu nối giữa các rủi ro kinh doanh, nhu cầu kiểm soát và các vấn đề kỹ thuật để tăng tối đa lợi ích, tạo những cơ hội và đạt được lợi thế cạnh tranh. Chiến lược kinh doanh thành công khi có hệ thống CNTT được xây dựng thành công và COBIT kiểm soát các vấn đề kĩ thuật để đảm bảo sự thành công đó. Xác định rõ chức năng của CNTT là cung cấp thông tin cho DN để thực hiện các chiến lược kinh doanh của mình. Luôn xác định rõ mục đích và nhiệm vụ của CNTT giúp CNTT áp dụng đạt hiệu quả tối ưu, tránh lãng phí không cần thiết. Xây dựng các quy trình cũng như vai trò và trách nhiệm trong việc tạo ra thông tin trên (IT proces). Bằng những hướng dẫn và những kinh nghiệm COBIT giúp xây dựng các quy trình trong việc phát triển hệ thống thông tin. Phân nhóm các quy trình thành các phạm vi cụ thể (Domain) và đưa ra các mục tiêu kiểm soát (control objective). Bằng cách phân nhóm và đưa ra mục tiêu cụ thể này COBIT giúp người triển khai luôn hiểu rõ công đoạn mình phải làm và không đi chệch hướng hay lan man sang các phạm vi khác. Xem xét các vấn để về độ tin cậy, chất lượng và mức độ an toàn an ninh cho các thành phần HTTT. COBIT chú trọng việc kiểm soát vì vậy luôn phải đảm bảo chất lượng và mức độ an ninh của dự án. 2.4.3 Cấu trúc, thành phần của phương pháp COBIT Hình 2.9 Khối lập phương COBIT. Yêu cầu doanh nghiệp (Business Requirements): Là những yêu cầu về tính chất của thông tin và dùng để đánh giá. Mọi quy trình CNTT và tài nguyên CNTT đều phải dựa trên những tính chất này. 7 tính chất gồm: Tính hợp lý, tính hiệu quả, tính bảo mật, tính toàn vẹn, tính sẵn sàng, tính tuân thủ, tính tin cậy. Tương ứng như sau: Tính hợp lý (effectiveness): thể hiện mức độ phù hợp của thông tin đối với hoạt động nghiệp vụ, xét cả vấn đề thời gian, độ chính xác và thống nhất. Tính hiệu quả (efficency): thể hiện mức độ sử dụng tài nguyên CNTT một cách tối ưu. Tính bảo mật (confidentiality): thể hiện mức độ bí mật và tin cậy của thông tin, không bị tiết lộ. Tính toàn vẹn (integrity): thể hiện mức độ chính xác và hoàn thiện của thông tin cũng như tính hợp lệ (pháp lý) của nó với nghiệp vụ đặt ra. Tính sẵn sàng (availability): thể hiện mức độ sẵn sàng của thông tin khi có yêu cầu từ các hoạt động nghiệp vụ. Tính tuân thủ (compliance): thể hiện mức độ tuân thủ theo đúng luật lệ, quy định và các thỏa thuật ràng buộc. Tính tin cậy (reliability): thể hiện mức độ chính xác của thông tin. Tài nguyên công nghệ (IT Resources): Là những tài nguyên CNTT gồm: applications, information, infrastructure, people. Đây là 4 tài nguyên chính đối với hệ thống thông tin của doanh nghiệp, tổ chức và chúng được mổ tả cụ thể như sau: Những chương trình ứng dụng (application) : những chương trình ở đây hiểu là tập hợp các hướng dẫn sử dụng và thiết lập thủ tục quy trình. Thông tin (information): là tập hợp những dữ liệu vào ra về tình hình hoạt động của doanh nghiệp, tổ chức. Và cả những tiện ích hỗ trợ khai thác và tìm kiếm thông tin… Cơ sở hạ tầng (infrastructure): tập hợp những công cụ và vật chất CNTT như phần cứng, hệ thống chức năng, hệ thống quản lý cơ sở dữ liệu, mạng và đa ứng dụng khác … Tài nguyên con người (people): tập hợp những kỹ năng, khả năng nhận thức và năng suất công việc của công nhân viên để lên kế hoạch, tổ chức, đào tạo, phân bổ vị trí, hỗ trợ và giám sát các hệ thống thông tin, dịch vụ của doanh nghiệp, tổ chức. Quy trình công nghệ (IT Processes): Quy trình CNTT của COBIT được chia ra làm 3 phần là domains, processes, activities. Domains là những thành phần chính về hoạt động của COBIT sau đó được chia nhỏ thành những processes là những quy trình, những quy trình lại được chia nhỏ hơn thành những activities là những hoạt động cụ thể cần phải làm. Vừa định hướng được mục tiêu lại vừa định hướng được công việc phải làm đó chính là ưu điểm và mang ý nghĩa quan trọng của phương pháp COBIT. Hiện nay COBIT gồm 4 Phần chính (domains), 34 quy trình (processes) và 214 đối tượng điều khiển (control objectives). 4 domains chính là: Lập hoạch định và tổ chức cơ cấu: Phần chứa những quy trình mang tính quản trị và đánh giá về hoạch định chiến lược, tổ chức cơ cấu nội bộ để tiến hành xây dựng HTTT. Tiến trình và ra quyết định: Phần quản trị về các quy trình, quyết định về yếu tố cơ sở hạ tầng, thiết bị và tiếp nhận công nghệ… Hỗ trợ và triển khai: Phần quản trị cách thức hỗ trợ hoạt động xây dựng HTTT. Kiểm soát và đánh giá: Phần cuối chủ trọng kiểm soát đánh giá về mức độ hiệu quả của HTTT và mức độ an ninh thông tin. Khi xác định công việc cần thực hiện của tổ chức hay doanh nghiệp mình thì việc triển khai hệ thống thông tin sẽ dựa vào domain phù hợp, bên cạch đó phải kết hợp qua lại một số quy trình hỗ trợ của các domain khác nhằm xác định đối tượng cụ thể và thực hiện đối tượng đó. COBIT đi từ tổng quát đến cụ thể có sự hướng dẫn rõ ràng bên cạch đó lại có sự kiểm soát và đánh giá chặt chẽ dựa trên những kinh nghiệm lâu năm. Những thành phần này của COBIT còn phát triển theo triều hướng tối ưu nhất và cũng rất mềm dẻo tùy vào từng doanh nghiệp hay tổ chức ứng dụng COBIT. Ví dụ về xây dựng một quy trinh như sau: Quy trình CNTT cần xây dựng là AI6 quản lý thay đổi. Thỏa mãn yêu cầu nghiệp vụ: quan trọng là phải phán đoán những thay đổi có thể xảy ra và giảm thiểu khả năng xảy ra sự thay đổi lớn, giảm lỗi hoặc sự sửa đổi trái phép. Chủ động thực hiện sự thay đổi một cách hợp lý tránh gây sự cố bất ngờ cần có tình huống dự phòng khi sự thay đổi xảy ra. Được thực hiện bởi: Hệ thống quản lý thay đổi cho phép phân tích, thực hiện thực hiện và theo dõi toàn bộ sự thay đổi đối với tài nguyên CNTT, thay đổi tài nguyên nhân lực… chúng tương tác thế nào, ảnh hưởng lẫn nhau ra sao đều cần quản lý và chuẩn bị cho sự thay đổi đó. Các vấn đề cần quan tâm: nhận dạng sự thay đổi, phân loại sự thay đổi, ưu tiên và xây dựng các thủ tục quản lý thay đổi. Đánh giá mức độ ảnh hướng của thay đổi đến tổ chức và doanh nghiệp và giảm thiểu nó ngay. Phân công trách nhiệm thực hiện thay đổi tạo sự chủ động và quản lý chặt chẽ sự thay đổi. Quản lý cấu hình, cấu hình mắc sai phạm có thể xảy ra sự thay đổi lớn. Sự thay đổi ảnh hướng lớn thì nên có sự thiết kế lại quy trình hợp lý hơn hoặc tạo dự án phòng bị cho sự thay đổi… Ở trên đã hướng dẫn những bước tổng quan nhất mà ta cần chú trọng khi xây dựng quy trình CNTT tuy nhiên quá trình xây dựng không hề đơn giản. COBIT là phương pháp hướng dẫn rất cụ thể với 34 quy trình thì có đến 214 đối tượng cần phân tích và điều khiển. Bên cạch đó COBIT luôn yêu cầu chặt chẽ về kiểm soát và đánh giá nên từng bước xây dựng đều yêu cầu sự kiểm tra đánh giá theo tiêu chuẩn của COBIT. Có những quy trình còn yếu kém phương pháp COBIT còn dễ dàng ánh xạ đến các phương pháp khác nhằm đạt được lợi ích cao nhất. 2.4.5 Ưu nhược điểm của phương pháp COBIT Ưu điểm của COBIT là phạm vi hoạt động trong mọi lĩnh vực ngành nghề rộng hơn và bao quát hơn các phương pháp khác. COBIT có chỉ ra các hoạt động và hướng dẫn chi tiết cụ thể cho quá trình xây dựng hoạt động mong muốn. Khả năng đánh giá, kiểm soát rất tốt. Có nhiều bài học kinh nghiệm, quản lý được rủi ro và sự thay đổi. Khả năng mềm dèo thích ứng với từng doanh nghiệp, tổ chức cao. Tránh lãng phí vì vậy giảm thiểu chi phí. Luông được phát triển thay đổi phù hợp xu thế mới. Nhược điểm đòi hỏi kiến thức vững, sự hiểu biết, kinh nghiệm nhiều. Chi phí xây dựng cũng không nhỏ. Không cụ thể về việc xây dựng quy trình bằng phương pháp ITIL. Chuẩn mực đánh giá đối tượng CNTT không cụ thể và uy tín như CMM . Về lĩnhvực an toàn an ninh thông tin thì không bằng ISO. COBIT tuy bao trùm và có đầy đủ công cụ để thực hiện triển khai xây dựng HTTT tuy nhiên khi xét về một đối tượng cụ thể thì còn nhiều yếu kém hơn các phương pháp khác. Để khắc phục COBIT ánh xạ thực hiện kết hợp các chức năng cần thiết của phương pháp khác. COBIT có sự quản lý rủi ro rõ ràng mỗi khi kiểm soát, đánh giá thì phải có công đoạn quản lý rủi ro. Không chỉ quản lý rủi ro từ quy trình xây dựng hoạt động cụ thể còn quản lý đến các nhân tố gây ảnh hưởng đặc biệt là nhân tố con người, COBIT luôn chú trọng để hệ thống thông tin thực sự đi vào hoạt động, đạt hiệu quả tốt nhất. 2.5 So sánh chung về các phương pháp quản trị và đánh giá trên Tiêu chuẩn so sánh Phương pháp COBIT Phương pháp ITIL Phương pháp CMM Phương pháp ISO 17799 Phạm vi ứng dụng Ứng dụng trên mọi lĩnh vực ngành nghề. Tổ chức và doanh nghiệp. Lợi thế trong việc thực hiện quy trình dịch vụ cho các doanh nghiệp. Doanh nghiệp về phát triển phần mềm, CNTT ứng dụng. Ứng dụng rộng rãi trên nhiều lĩnh vực. Khả năng quản trị và đánh giá -Đảm bảo đầy đủ chức năng quản trị HTTT quản lý. -Phát triển và kiểm soát chặt các hoạt động CNTT. -Quản trị tốt quy trình dịch vụ. -Kiểm soát các yếu tố liên quan đến quy trình dịch vụ. -Quản trị chất lượng sản phẩm CNTT. -Kiểm soát các yếu tố chất lượng. -Không quản trị cụ thể. -Kiểm soát tiêu chí chất lượng, an ninh mọi sản phẩm Tính mềm dẻo Quá trình ứng dụng luôn thay đổi theo hoàn cảnh cụ thể. Tương đối cứng nhắc, yêu cầu thực hiện đầy đủ và chính xác. Cứng nhắc vì ít có sự thay đổi Rất cứng nhắc yêu cần phải đạt tiêu chí đưa ra. Khả năng mở rộng Luôn phát triển theo quản trị hiện đại. Ánh xạ phương pháp. Là hệ thống mở, có thể bổ sung và mở rộng thêm. Ít có sự thay đổi. Nâng cấp mức độ đánh giá. Một số nhận định thêm: COBIT và ISO 17799 sử dụng để kiểm tra, xác định tình trạng hiện tại. Xác định các điểm yếu trong quy trình và điều khiển hoạt động. ITIL sử dụng để cải thiện các quy trình CNTT và kiểm soát, còn sử dụng ISO 17799 để cải thiện các quy trình và điều khiển an ninh thông tin . ITIL sử dụng để xác định công nghệ, mặc dù không hoàn chỉnh. COBIT sử dụng để xác định các số liệu. ITIL truy vấn trên cơ cấu có thể. Một lần nữa ta khẳng định tầm bao quát của phương pháp COBIT, thể hiện nhiều tính ưu việt hơn các phương pháp khác. Từ những sự so sánh trên, ta nhận thấy rằng cần ứng dụng phương pháp COBIT vào quản trị và đánh giá nhằm khắc phục tình trạng như đã đưa ở trên về tình hình triển khai CNTT xây dựng HTTT ở nước ta. Được phát triển trong nhiều năm đã tích lũy nhiều bài học kinh nghiệm, phát huy từ nền móng vững chắc là phương pháp COSO, COBIT là phương pháp đáng tin cậy. Không cứng nhắc như các phương pháp khác, do có phạm vi bao trùm các hoạt động CNTT nên tùy vào hoạt động ta có thể lựa chọn quy trình đánh giá, quản trị phù hợp. Giúp tích kiệm nhân lực, giảm thiểu chi phí so với việc dùng nhiều phương pháp và lại mang tính thống nhất cao. COBIT ánh xạ dễ dàng liên kết với các phương pháp khác đem lại hiệu quả cao hơn trong quản trị và đánh giá hoạt động CNTT. COBIT mang tính định hướng phát triển lâu dài. COBIT là phương pháp mới nhưng có sự phát triển lâu năm, nền móng là COSO. Việc tìm hiểu và áp dụng COBIT vào sự phát triển CNTT ở nước ta là cần thiết. Bây giờ, chúng ta cùng đi sâu tìm hiểu và thực hiện triển khai phương pháp COBIT trong đề tài rất đáng quan tâm này. CHƯƠNG III: GIỚI THIỆU PHƯƠNG PHÁP QUẢN TRỊ HTTT COBIT 1. TỔNG QUAN VỀ COBIT 1.1. Giới thiệu COBIT- Control OBjectives for Information and related Technology. Tạm dịch là : quản trị chiến lược cho công nghệ thông tin. Cobit là tập hợp các bài học kinh nghiệm cho các vấn đề xây dựng một cơ chế quản trị CNTT(IT Governance). Một sản phẩm của 15 năm nghiên cứu và hợp tác giữa các doanh nghiệp CNTT toàn cầu và các chuyên gia kinh doanh. Một công cụ cho việc tuân thủ Sarbanes-Oxley và nhiều tiêu chuẩn toàn cầu khác. Phương pháp quản trị HTTT COBIT hướng dẫn cách quản trị thông tin với những công cụ hỗ trợ giám đốc dự án khắc phục khoảng cách giữa chiến lược dự án, khó khăn về kĩ thuật và rủi ro trong kinh doanh. COBIT tăng cường khả năng định hướng chiến lược rành mạch và nâng cao tiêu chuẩn quản trị công nghệ thông tin cho doanh nghiệp. Và vì vậy COBIT là một phương pháp giúp doanh nghiệp của bạn thành công trong chiến lược kinh doanh, HTTT của doanh nghiệp bạn khi áp dụng COBIT sẽ hoàn chỉnh theo tiêu chuẩn quốc tế. 1.2. Lịch sử phát triển Như đã tổng quan quan ở chương 2, ban đầu được phát hành vào năm 1996 bởi các hệ thống thông tin kiểm toán và Kiểm soát Quỹ (ISACF). Nhà xuất bản chính hiện nay là Viện Quản CNTT - hình thành bởi các hệ thống thông tin kiểm toán và kiểm soát của Hiệp hội (ISACA) vào năm 1998. COBIT được hình thành thông qua nghiên cứu các nguồn như các tiêu chuẩn kỹ thuật từ ISO, mã số của tiến hành do Hội đồng Châu Âu và ISACA, tiêu chuẩn chuyên nghiệp để kiểm soát nội bộ và kiểm toán do COSO, AICPA, GAO, v.v. Các nguồn tin trên đều được sử dụng để xây dựng COBIT tới "được cả hai thực dụng và đáp ứng nhu cầu kinh doanh trong khi được độc lập với nền tảng kỹ thuật CNTT được thông qua trong một tổ chức.". COBIT được tạo ra nhằm trợ giúp giám đốc thông tin, hay những nhà quản lý thông tin doanh nghiệp. COBIT đem lại sự chuyên nghiệp trong quản lý và kiểm soát thông tin. 1.3. Các phiên bản: Hinh 3.1 Các phiên bản COBIT Phiên bản đầu tiên của COBIT chỉ là dạng ghi nhận (Audit) phát hành năm 1996. Ngay sau 2 năm, 1998 COBIT cải tiến sang phiên bản 2 man tính kiểm soát thông tin. Đến năm 2000 COBIT xây dựng phiên bản 3 đã thể hiện sự quản lý thông tin nâng tầm COBIT và đưa COBIT vào ứng dụng rộng rãi hơn. Và từ năm 2005 đến nay phiên bản 4 và 4.1 đã mang hẳn tầm cơ chế quản trị, bao quát tất cả các chức năng của phương pháp này trong những phiên bản trước và trở thành phương pháp có cơ chế quản trị mạnh và rộng lớn nhất. 1. 4. Nhiệm vụ COBIT Phương pháp COBIT để hướng dẫn nghiên cứu, hỗ trợ phát triển, công khai và đẩy mạnh một thẩm quyền quốc tế công nhận CNTT. Mang đến doanh nghiệp một HTTT có áp dụng CNTT theo chuẩn quốc tế. COBIT quản trị kiểm soát, theo dõi theo khuôn khổ để thích ứng các doanh nghiệp và sử dụng bởi các nhà quản lý kinh doanh, chuyên gia IT và các chuyên gia bảo đảm đánh giá CNTT. COBIT hỗ trợ quản trị CNTT bằng cách cung cấp một khuôn khổ để đảm bảo rằng: CNTT là liên kết với doanh nghiệp, CNTT cho phép kinh doanh và tối đa hóa lợi ích, tài nguyên CNTT được sử dụng có trách nhiệm, rủi ro CNTT được quản lý một cách thích hợp. 1.5. Tư tuờng COBIT Để cung cấp một khuôn khổ để những khoảng trống cầu nối giữa các rủi ro kinh doanh, nhu cầu kiểm soát và các vấn đề kỹ thuật để tăng tối đa lợi ích, tạo những cơ hội và đạt được lợi thế cạnh tranh. Chiến lược kinh doanh thành công khi có hệ thống CNTT được xây dựng thành công và COBIT kiểm soát các vấn đề kĩ thuật để đảm bảo sự thành công đó. Xác định rõ chức năng của CNTT là cung cấp thông tin cho DN để thực hiện các chiến lược kinh doanh của mình. Luôn xác định rõ mục đích và nhiệm vụ của CNTT giúp CNTT áp dụng đạt hiệu quả tối ưu, tránh lãng phí không cần thiết. Xây dựng các quy trình cũng như vai trò và trách nhiệm trong việc tạo ra thông tin trên(IT proces). Bằng những hướng dẫn và những kinh nghiệm COBIT giúp xây dựng các quy trình trong việc phát triển hệ thống thông tin. Phân nhóm các quy trình thành các phạm vi cụ thể (Domain) và đưa ra các mục tiêu kiểm soát (control objective). Bằng cách phân nhóm và đưa ra mục tiêu cụ thể này COBIT giúp người triển khai luôn hiểu rõ công đoạn mình phải làm và không đi chệch hướng hay lan man sang các phạm vi khác. Xem xét các vấn để về độ tin cậy, chất lượng và mức độ an toàn an ninh cho các thành phần HTTT thì COBIT chú trọng việc kiểm soát, vì vậy luôn đảm bảo chất lượng và mức độ an ninh của dự án. 1.6. Lợi ích của doanh nghiệp khi áp dụng COBIT Có một sự khác biệt rõ ràng giữa các doanh nghiệp mà quản lý CNTT của họ tốt và những người không, hoặc có thể không. thực hiện Cobit là một dấu hiệu của một doanh nghiệp hoạt động tốt, vì nó là một chứng minh và quốc tế công nhận bộ công cụ và kỹ thuật. COBIT được sử dụng trong nhiều công ty cung cấp một khuôn khổ cho quản trị và thực hiện kiểm soát nội bộ. COBIT bao gồm kinh doanh và quá trình CNTT kiểm soát và cần thiết để đạt được mục tiêu của công ty. COBIT được viết ở cấp độ quản lý và định hứớng của yêu cầu nghiệp vụ. COBIT là liên kết với các CNTT thực hành và các tiêu chuẩn nhưng được hoàn chỉnh hơn so với những phương pháp khác. COBIT nói chung được chấp nhận như là kiểm soát nội bộ CNTT. Giúp gia tăng đáng kể chấp nhận và giảm bớt thời gian để thực hiện chương trình quản trị CNTT. Cung cấp một hướng dẫn để đánh giá chính thức / nhận xét. Giúp kết quả kiểm tra việc sử dụng như là một cơ hội để lên kế hoạch cải tiến. Là một yếu tố mạnh mẽ trong việc đạt được các mục tiêu chính cho quản trị CNTT. Cung cấp một nguồn đáng tin cậy cho các quyết định về quản lý điều khiển. Là lý tưởng cho quản lý kinh doanh để giao tiếp yêu cầu và quan tâm. Được công nhận như là một tài liệu tham khảo nguồn đáng tin cậy mà đảm bảo nhận dạng của tất cả các khu vực rủi ro chính thức. Cải thiện quan hệ với truyền thông và quản lý CNTT. Để cải thiện phương pháp kiểm toán / chương trình. Để hỗ trợ công tác kiểm toán với các nguyên tắc kiểm toán chi tiết. Để cung cấp hướng dẫn cho quản trị CNTT. Như là một điểm chuẩn có giá trị cho IS / IT kiểm soát. Để cải thiện IS / IT điều khiển. Để chuẩn hóa phương pháp kiểm toán / chương trình.. 2. CẤU TRÚC COBIT 2.1 Thành phần COBIT Hinh 3.2 Thành phần COBIT Nền tảng COBIT đuợc xây dựng với ba thành phần cơ bản: IT Resource: Nguồn tài nguyên CNTT. Business Requirements: Yêu cầu nghiệp vụ. IT Processes: Quy trình CNTT. Các thành phần cơ bản này sẽ đảm bảo sự hoạt động bền vững của doanh nghiệp. Nguồn tài nguyên CNTT được kiểm soát trên 4 nguồn chính là: nguồn nhân lực, nguồn cơ sở hạ tầng, nguồn thông tin, nguồn phần mềm ứng dụng; là 4 phần cơ bản nhất của HTTT. COBIT dựa vào các nguồn tài nguyên này để xây dựng chính là đảm bảo cho nền móng xây dựng triển khai CNTT trong doanh nghiệp. Bên cạch đó, COBIT dựa vào mục tiêu kinh doanh của doanh nghiệp, tổ chức đó để phát triển CNTT đúng khả năng, đem hiệu quả tối ưu đạt được mục tiêu đề ra, điều nay còn giúp giảm chi phí đến mức tối thiểu. COBIT được xây dựng gồm 4 quy trình chính là hoạch định, tổ chức; xây dựng và thực hiện; hỗ trợ và triển khai; kiểm soát và theo dõi. 4 quy trình là 4 bước không thể thiếu khi xây dựng bất cứ hệ thống CNTT nào, COBIT dựa trên 4 quy trình này thể hiện sự gắn kết chặt chẽ của phương pháp quản trị COBIT với HTTT. 2.1.1. Tài nguyên CNTT Ứng dụng : có thể hiểu là tổng của các thủ tục hướng dẫn sử dụng và lập trình. Dù là doanh nghiệp nào hay tổ chức nào cũng phải có những thủ tục hay những chương trình ứng dụng để hỗ trợ hoạt động. Thông tin: Dữ liệu, chuẩn hóa, bảo mật. Nguồn thông tin là những giá trị đầu vào cho mỗi hoạt động, thường chuyển thành dạng dữ liệu trong hệ thống thông tin. Thông tin luôn đòi hỏi sự chính xác và nhanh chóng. Quản trị tốt thông tin thì mới tạo ưu thế kinh doanh của doanh nghiệp hay tổ chức đó. Cơ sở hạ tầng: là công nghệ và thiết bị (tức là, phần cứng, hệ điều hành, hệ thống quản lý cơ sở dữ liệu, mạng,đa phương tiện. Với chiến lược phát triển CNTT người ta thường thấy nhất là phải đầu tư cơ sở hạ tầng nâng cấp các công cụ, hệ thống CNTT. Con người: Nhân viên kỹ năng, nâng cao nhận thức và năng suất để lên kế hoạch, tổ chức, tiếp thu, phân phối, hỗ trợ, giám sát và đánh giá các hệ thống thông tin và dịch vụ. 2.1.2. Yêu cầu nghiệp vụ: Hinh 3.3 Sơ đồ yêu cầu. Effectiveness –Hợp lý:Thể hiện mức độ phù hợp của thông tin đối với hoạt động nghiệp vụ, xét cả vấn đề thời gian, độ chính xác và thông nhất. Efficiency –Tính hiệu quả: Thể hiện mức độ sử dụng tài nguyên CNTT một cách tối đa. Confidentiality –Bí mật:Thể hiện mức độ bí mật & tin cậy của thông tin, không bị tiết lộ. Integrity -Toàn vẹn:Thể hiện mức dộ chính xác và đầy đủ của thông tin cũng như tính hợp lệ(pháp lý) của nó với nghiệp vụ đặt ra. Availability –Tính sẵn sàng: Thể hiện mức độ sẵn sàng của thông tin khi có yêu cầu từ các hoạt dộng nghiệp vụ. Compliance -Tuân thủ:Thể hiện mức độ tuân thủ theo đúng luật lệ, quy định và các thỏa thuận ràng buộc. Reliability of information -Độ tin cậy của thông tin: liên quan đến các hệ thống quản lý việc cung cấp những thông tin thích hợp cho nó để sử dụng trong hê thống và mức độ chính xác của thông tin. 2.2. Phạm vi, Quy trình, Mục tiêu kiểm soát COBIT được chia ra thành 4 miền phạm vi chính: Plan & Organize: Hoạch định và tổ chức. Acquire & Implement: Tiến trình và ra quyết định. Deliver & Support: Triển khai và hỗ trợ. Monitor & Evalute: Kiểm soát và theo dõi Hinh 3.4 Mối quan hệ qua lại giữa các thành phần COBIT. 2.2.1. Hoạch Định và tổ chức Mô tả: Đây là bước đầu tiên cho mọi hoạt động của doanh nghiệp nó quyết định lớn đến sự thành bại của doanh nghiệp sau này. Vì vậy nó có vai trò rất quan trọng. Lĩnh vực này bao gồm các chiến lược và chiến thuật, và quan tâm việc xác định các cách thức CNTT tốt nhất có thể đóng góp vào việc đạt được các mục tiêu kinh doanh. Hơn nữa, việc thực hiện của tầm nhìn chiến lược cần phải được quy hoạch, truyền đạt và quản lý cho các quan điểm khác nhau. Việc thực hiện tầm nhìn chiến lược này yêu cầu DN phải lên kế hoạch, trao đổi và quản lý rõ ràng từ nhiều phương diện khác nhau. Về mặt tổ chức, không chỉ bao gồm tổ chức vê cơ cấu HTTT mà còn cả tổ chức về mặt CSHT kỹ thuật. Các chủ đề: Chiến lược và chiến thuật, tầm nhìn quy hoạch, tổ chức và cơ sở hạ tầng. Câu hỏi được đặt ra là: CNTT và chiến lược kinh doanh liên kết nào phù hợp? Doanh nghiệp đạt được sử dụng tối ưu các nguồn tài nguyên của nó chưa? Liệu mọi người trong tổ chức CNTT hiểu được mục tiêu? Những rủi ro CNTT và được quản lý rủi ro đó thế nào? Chất lượng của hệ thống CNTT thích hợp cho nhu cầu kinh doanh không? Trả lời cho những câu hỏi đó là con đường đi sâu tìm hiểu những quy trình sau Các quy trình: PO1 Xác định kế hoạch và chiến lược CNTT. Đảm bảo các yếu tố ban đầu của kế hoạch được đáp ứng, kế hoạch rõ ràng cụ thể… PO2 Xác định kiến trúc thông tin. Xác định rõ mô hình kiến trúc CNTT cần xây dựng từ thiết bị nhập, xử lý, lưu trữ và hiển thị đều phải đồng bộ. PO3 Xác định đường lối CNTT. Xác đinh CNTT là phục vụ quy trình sản xuất của doanh nghiệp vì vậy đường lối xây dựng CNTT phải phù hợp. PO4 Xác định các quy trình CNTT, Tổ chức và quan hệ các bộ phân CNTT phải hợp lý, chuẩn xác. PO5 Quản lý đầu tư CNTT. Quản lý ngân sách, quản lý chức năng đáp ứng yêu cầu chiến lược của CNTT PO6 Truyền đạt mục tiêu quản lý và định hướng. Luôn xác định rõ mục tiêu để đi đúng đường đã đề ra trong xây dựng HTTT. PO7 Quản lý Nguồn nhân lực. Có kế hoạch đào tạo, kiểm tra nguồn nhân lực, đảm bảo nhân lực cho HTTT. PO8 Quản lý chất lượng. Đảm bảo sự phù hợp và hiệu quả của CNTT được đem vào áp dụng. PO9 Quản lý rủi ro. Thiết lập kế hoạch dự phòng, tiên liệu rủi ro và đề xuất giải quyết .PO10 Quản lý dự án. Kiểm soát toàn bộ dự án, luôn kết hợp kế hoạch và tiến trình, đảm bảo dự án tiến hành đúng hướng đi. PO1 Xác định một kế hoạch chiến lược CNTT: Lập kế hoạch đầu tư chiến luợc xác định mục tiêu đầu tư. Xác định kế hoạch và chiến lược CNTT. Đảm bảo các yếu tố ban đầu của kế hoạch được đáp ứng, kế hoạch rõ ràng cụ thể… PO2 Xác định các thông tin Kiến trúc: Chức năng hệ thống thông tin tạo ra và thường xuyên cập nhật thông tin một mô hình kinh doanh và xác định các hệ thống thích hợp để tối ưu hoá việc sử dụng thông tin này. Điều này bao gồm việc phát triển một công ty dữ liệu với các quy tắc dữ liệu của tổ chức cú pháp, lược đồ phân loại dữ liệu và an ninhcác cấp. Quá trình này được cải thiện chất lượng của các quyết định quản lý thực hiện bằng cách đảm bảo rằng thông tin đáng tin cậy và an toàn được cung cấp, và nó cho phép. Bảo mật dữ liệu để tăng cường hiệu quả và kiểm soát việc chia sẻ thông tin giữa các ứng dụng và thực thể. PO3 Xác định hướng công nghệ: Các chức năng thông tin về dịch vụ xác định hướng công nghệ để