整合COBIT、ITIL、ISO/IEC17799和PRINCE2构建善治的IT治理机制（下）（by 孙强 李长征）

申请免费试用、咨询电话：400-8352-114

整合COBIT、ITIL、ISO/IEC17799和PRINCE2  构建善治的IT治理机制（下）

孙强  李长征

哪个标准更好？

有趣的是，关于四个标准之间的对照研究似乎成了许多国际组织热衷的研究项目，我们认为与其研究这四者之间并不太多的重叠之处，倒不如深入探讨这四者之间的互补关系。

COBIT和ITIL的比较

COBIT基于已有的许多架构,如SEI的能力成熟度模型（CMM）对软件企业成熟度5级的划分，以及ISO9000等标准，COBIT在总结这些标准的基础上重点关注企业需要什么，而不是企业需要如何做，它不包括具体的实施指南和实施步骤，它是一个控制架构（Control Framework）而非具体如何做的过程架构（Process Framework）。COBIT的“目标听众”是信息系统审计师，企业高级管理人员以及高级IT管理人员，如CIO。

ITIL基于企业的最佳实务（Best Practice），OGC收集和分析各种组织解决服务管理问题方面的信息，找出那些对本部门和对英国政府其它部门有益的做法，最后形成了ITIL。它列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系，但没定义范围广泛的控制架构。它关注方法和实施过程。由于它关注IT服务管理（ITSM），它的视野相对COBIT来说狭窄，但它对IT服务的提供和支持定义了更为详细和更易理解的过程集。它的“目标听众”是IT人员和服务管理人员。

尽管两个标准有着许多的不同之处，但在COBIT和ITIL背后却有着非常一致的指导原则。信息系统审计师通常综合使用COBIT和ITIL的自评估方法，去评估企业IT服务管理环境。COBIT为每一个过程提供了关键目标指标（KGIs）、关键绩效指标(KPIs)、关键成功要素(CSFs)，这些指标与ITIL过程相结合，可以建立ITIL过程管理的基准。在实际应用中，某些企业综合两个标准提出了更易理解的适用于本企业环境的IT治理和运行架构。

很多COBIT的过程特别是交付与支持（DS）域的很多过程如DS1、DS3、DS4、DS8、 DS9和DS10与ITIL的过程有着很好的映射关系，如服务级别管理、成本管理、可用性管理、事故管理、问题管理、配置管理、发布管理、容量能力管理。同样AI6变更管理过程与ITIL中变更管理和其他服务支持过程如发布管理形成了较好的对应关系。（对比表1、2）

COBIT和ISO/IEC 17799的比较

ISO/IEC 17799强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性，目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照。其最大特点就是广泛但不深入，而且仅作参考之用。

与ISO/IEC 17799不同，COBIT完全基于IT，其IT准则反映了企业的战略目标，IT资源包括人、系统、数据等相关资源，IT管理则是在IT准则指导下对IT资源进行规划处理。COBIT在PO、AI、DS、M四个方面确定了34个处理过程以及318个详细控制目标。此外对每个过程还有评审工具。如图5COBIT原理所示。

资料来源：PWC

COBIT和PRINCE2的比较

PRINCE2为包括IT项目在内的项目管理提供了通用的管理方法，内置了在项目管理实践中已证明成功的最佳实践，通过为所有参与者提供的通用语言，便于被广泛理解和接受。PRINCE鼓励对项目责任正式的确认（谁具体负责什么），强调项目交付什么（what）、为何交付（why）、交付时间（when）、为谁交付（whom）。PRINCE能给项目带给：

·可控的组织良好的开端、过程、结尾
·在决策关键点（Decision Point）时重新审视项目计划和业务状况
·自动管理和控制对计划的任何偏离
·股东和高级管理者只是在恰当的时机介入项目
·在项目组、项目管理层、组织的其他人员间搭建畅通的交流通道

COBIT从战略、战术、技术等层面给出了如何有效管理IT项目。在PO10中专门给出了项目管理的方法论，详细定义了13个具体控制目标：项目管理架构；用户方参与项目启动；项目团队身份及其职责；项目定义；项目批准；项目阶段批准；项目主要计划；系统质量保证计划；保证方法计划；正式的项目风险管理；测试计划；培训计划；实施后的评审计划。除给出项目管理具体控制目标外，COBIT还给出了与项目管理相关的关键成功要素(CSFs)，其定义了最重要的面向项目管理的实施指南，以达到对IT项目过程内外部的控制；关键目标指标(KGIs),定义了一些尺度，便于在项目关键点（或里程碑），告诉管理者某个IT项目管理过程是否实现了其业务需求；关键绩效指标(KPIs)，定义的是IT项目管理过程在促使项目目标达成时履行得有多好的尺度。

从两者的比较我们可以看出，COBIT重点在于对13个“控制目标”的管理上，PRINCE2典型的在于对8大“流程”的管理上。虽然二者从不同的角度出发认识IT项目管理，但二者有许多共同之处。COBIT的项目中主要计划，系统质量保证计划，保证方法计划，测试计划，培训计划，实施后的评审计划等控制目标映射到PRINCE2的计划（PL）流程；项目管理架构等映射到PRINCE2的指导项目(DP)流程；PRINCE2的开始项目(SU)和启动项目(IP)流程对应着COBIT的用户方参与项目启动，项目团队身份及其职责，项目定义；项目批准，项目阶段批准，正式的项目风险管理则较好的被其它几个PRINCE2流程所包含。当然，在COBIT管理指南中我们不能明确看出对PRINCE2中结束项目(CP)流程相关的控制目标，但COBIT的其他控制目标以及审计指南等隐含包括了该流程的控制。

PRINCE2从流程的角度对项目管理中各个活动进行管理，比较便于项目管理的具体实施，而COBIT从控制目标的角度阐述项目管理“应该怎样，应该达到什么目标”，这样便于企业控制和评审项目管理整体过程的执行情况。同时COBIT给出了项目管理成熟度模型，便于组织自评估或第三方评估企业项目管理的成熟度，从而不断改进项目管理的执行过程。如图6所示。

图6 项目管理成熟度模型

资料来源：ISACF

当然PRINCE2和COBIT的视野并不仅仅限于对具体项目的管理。它们不仅包括项目级的管理，而且涵盖了在组织范围对项目的管理，目的在于企业级的项目管理（Enterprise Project Management, EPM）或者称为项目治理（Project Governance）。从企业长期发展战略的高度来规划项目管理。如图7所示。

资料来源：ISACF

同时，对于每个过程和控制目标，PRINCE2与COBIT仅仅指明了“该做什么”，至于“如何做”，二者都没有提供具体实现技术和工具，用户可以根据实际需要使用有益的任何工具，如甘特图，关键路径法、项目管理软件、风险管理软件等。PRINCE2提供的8个过程与COBIT提供的13个控制目标也仅仅作为参考过程和控制目标，企业在具体实施时，必须依据项目的规模和需要对这些过程和控制目标进行适当的剪裁。

四个标准间的相互联系

为了更有效地实现股东的价值，IT需要在既定的时间内支持企业业务的发展，提高服务质量、有效控制风险、锐减服务成本以及缩短产品交付周期。如图8所示：

资料来源：PWC

为了实现上述目标，需要做到对IT组织结构和角色、量度、过程、技术、控制以及人员等方面进行管理。如图9所示：

资料来源：PWC

COBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有优势，如图10所示。具体分述如下：

·COBIT重点在于IT控制和IT度量评价
·ITIL重点在于IT过程管理，强调IT支持和IT交付
·ISO/IEC17799重点在于IT安全控制
·PRINCE2重点在于项目管理，强调项目的可控性，明确项目管理中人员、角色的具体职责，同时实现项目管理质量的不断改进。

资料来源：PWC

总之，四个标准架构发展过程尽管并不一致，但本质上这四者并不相互排斥，通过整合COBIT、 ITIL、ISO/IEC17799和PRINCE2，在企业中实施善治的IT治理战略，将对企业IT战略发展和企业战略发展有莫大的帮助。

剪裁与实施

今年以来，官、产、学及媒体对信息化建设进程中存在的深层次的问题，诸如“IT与业务的融合”、“信息系统工程监理向何处去”、“信息中心的转制与走向”、“IT治理、公司治理及企业治理的关系”、“信息主管、CIO的治理结构”、“信息系统审计对IT投资有效的监督和控制作用”、“规范、标准化的IT服务管理流程的重要性”等，展开全方位的、深度的探讨，以期重新认识IT的定位、作用和价值，共同促进建设有效益的、可持续发展的信息化。COBIT、 ITIL、ISO/IEC17799和PRINCE2作为全球公认的辅助IT治理的工具，或许给我们探索以上难题提供了一条新道路。

在组织中具体应用这些标准时，我们的建议是：
1、 要专注于解决组织信息化过程中最大的问题。因为对于任何一个组织而言，采用整套标准都是不可行的，相反地，应该从最大的问题着手；
2、 通过对模型的剪裁找出最适合本企业环境的实施方案；
3、 先完成培训再进行组织变革，并在单一领域内(如培训经验)取得一定成绩后，再转向其它有问题的领域。
4、 在开始项目之前，评估一下目前的环境，这样就有利于评测出进展的效果。

此外，组织在具体实施的过程中，其他组织成功实施的案例、培训机构和第三方咨询机构都可以提供很好的帮助。

总结

COBIT、 ITIL、ISO/IEC17799和PRINCE2都是IT治理领域全球公认的辅助工具。采纳何种标准的关键在于：发掘你的真正需求，对标准进行剪裁制定最适合的实施方案，然后持续改善。这将给组织带来诸多益处，这其中就包括当前业界普遍关心的提高IT投资回报率难题。

本文由作者向AMT提供
作者联系方式：sun6869@tom.com