整合COBIT、ITIL、ISO/IEC17799和PRINCE2構(gòu)建善治的IT治理機制（下）（by 孫強 李長征）

申請免費試用、咨詢電話：400-8352-114

整合COBIT、ITIL、ISO/IEC17799和PRINCE2  構(gòu)建善治的IT治理機制（下）

孫強  李長征

哪個標準更好？

有趣的是，關(guān)于四個標準之間的對照研究似乎成了許多國際組織熱衷的研究項目，我們認為與其研究這四者之間并不太多的重疊之處，倒不如深入探討這四者之間的互補關(guān)系。

COBIT和ITIL的比較

COBIT基于已有的許多架構(gòu),如SEI的能力成熟度模型（CMM）對軟件企業(yè)成熟度5級的劃分，以及ISO9000等標準，COBIT在總結(jié)這些標準的基礎(chǔ)上重點關(guān)注企業(yè)需要什么，而不是企業(yè)需要如何做，它不包括具體的實施指南和實施步驟，它是一個控制架構(gòu)（Control Framework）而非具體如何做的過程架構(gòu)（Process Framework）。COBIT的“目標聽眾”是信息系統(tǒng)審計師，企業(yè)高級管理人員以及高級IT管理人員，如CIO。

ITIL基于企業(yè)的最佳實務(wù)（Best Practice），OGC收集和分析各種組織解決服務(wù)管理問題方面的信息，找出那些對本部門和對英國政府其它部門有益的做法，最后形成了ITIL。它列出了各個服務(wù)管理流程“最佳”的目標、活動、輸入和輸出以及各個流程之間的關(guān)系，但沒定義范圍廣泛的控制架構(gòu)。它關(guān)注方法和實施過程。由于它關(guān)注IT服務(wù)管理（ITSM），它的視野相對COBIT來說狹窄，但它對IT服務(wù)的提供和支持定義了更為詳細和更易理解的過程集。它的“目標聽眾”是IT人員和服務(wù)管理人員。

盡管兩個標準有著許多的不同之處，但在COBIT和ITIL背后卻有著非常一致的指導(dǎo)原則。信息系統(tǒng)審計師通常綜合使用COBIT和ITIL的自評估方法，去評估企業(yè)IT服務(wù)管理環(huán)境。COBIT為每一個過程提供了關(guān)鍵目標指標（KGIs）、關(guān)鍵績效指標(KPIs)、關(guān)鍵成功要素(CSFs)，這些指標與ITIL過程相結(jié)合，可以建立ITIL過程管理的基準。在實際應(yīng)用中，某些企業(yè)綜合兩個標準提出了更易理解的適用于本企業(yè)環(huán)境的IT治理和運行架構(gòu)。

很多COBIT的過程特別是交付與支持（DS）域的很多過程如DS1、DS3、DS4、DS8、 DS9和DS10與ITIL的過程有著很好的映射關(guān)系，如服務(wù)級別管理、成本管理、可用性管理、事故管理、問題管理、配置管理、發(fā)布管理、容量能力管理。同樣AI6變更管理過程與ITIL中變更管理和其他服務(wù)支持過程如發(fā)布管理形成了較好的對應(yīng)關(guān)系。（對比表1、2）

COBIT和ISO/IEC 17799的比較

ISO/IEC 17799強調(diào)信息安全管理體系的有效性、經(jīng)濟性、全面性、普遍性和開放性，目的是為希望達到一定管理效果的組織提供一種高質(zhì)量、高實用性的參照。其最大特點就是廣泛但不深入，而且僅作參考之用。

與ISO/IEC 17799不同，COBIT完全基于IT，其IT準則反映了企業(yè)的戰(zhàn)略目標，IT資源包括人、系統(tǒng)、數(shù)據(jù)等相關(guān)資源，IT管理則是在IT準則指導(dǎo)下對IT資源進行規(guī)劃處理。COBIT在PO、AI、DS、M四個方面確定了34個處理過程以及318個詳細控制目標。此外對每個過程還有評審工具。如圖5COBIT原理所示。

資料來源：PWC

COBIT和PRINCE2的比較

PRINCE2為包括IT項目在內(nèi)的項目管理提供了通用的管理方法，內(nèi)置了在項目管理實踐中已證明成功的最佳實踐，通過為所有參與者提供的通用語言，便于被廣泛理解和接受。PRINCE鼓勵對項目責(zé)任正式的確認（誰具體負責(zé)什么），強調(diào)項目交付什么（what）、為何交付（why）、交付時間（when）、為誰交付（whom）。PRINCE能給項目帶給：

·可控的組織良好的開端、過程、結(jié)尾
·在決策關(guān)鍵點（Decision Point）時重新審視項目計劃和業(yè)務(wù)狀況
·自動管理和控制對計劃的任何偏離
·股東和高級管理者只是在恰當(dāng)?shù)臅r機介入項目
·在項目組、項目管理層、組織的其他人員間搭建暢通的交流通道

COBIT從戰(zhàn)略、戰(zhàn)術(shù)、技術(shù)等層面給出了如何有效管理IT項目。在PO10中專門給出了項目管理的方法論，詳細定義了13個具體控制目標：項目管理架構(gòu)；用戶方參與項目啟動；項目團隊身份及其職責(zé)；項目定義；項目批準；項目階段批準；項目主要計劃；系統(tǒng)質(zhì)量保證計劃；保證方法計劃；正式的項目風(fēng)險管理；測試計劃；培訓(xùn)計劃；實施后的評審計劃。除給出項目管理具體控制目標外，COBIT還給出了與項目管理相關(guān)的關(guān)鍵成功要素(CSFs)，其定義了最重要的面向項目管理的實施指南，以達到對IT項目過程內(nèi)外部的控制；關(guān)鍵目標指標(KGIs),定義了一些尺度，便于在項目關(guān)鍵點（或里程碑），告訴管理者某個IT項目管理過程是否實現(xiàn)了其業(yè)務(wù)需求；關(guān)鍵績效指標(KPIs)，定義的是IT項目管理過程在促使項目目標達成時履行得有多好的尺度。

從兩者的比較我們可以看出，COBIT重點在于對13個“控制目標”的管理上，PRINCE2典型的在于對8大“流程”的管理上。雖然二者從不同的角度出發(fā)認識IT項目管理，但二者有許多共同之處。COBIT的項目中主要計劃，系統(tǒng)質(zhì)量保證計劃，保證方法計劃，測試計劃，培訓(xùn)計劃，實施后的評審計劃等控制目標映射到PRINCE2的計劃（PL）流程；項目管理架構(gòu)等映射到PRINCE2的指導(dǎo)項目(DP)流程；PRINCE2的開始項目(SU)和啟動項目(IP)流程對應(yīng)著COBIT的用戶方參與項目啟動，項目團隊身份及其職責(zé)，項目定義；項目批準，項目階段批準，正式的項目風(fēng)險管理則較好的被其它幾個PRINCE2流程所包含。當(dāng)然，在COBIT管理指南中我們不能明確看出對PRINCE2中結(jié)束項目(CP)流程相關(guān)的控制目標，但COBIT的其他控制目標以及審計指南等隱含包括了該流程的控制。

PRINCE2從流程的角度對項目管理中各個活動進行管理，比較便于項目管理的具體實施，而COBIT從控制目標的角度闡述項目管理“應(yīng)該怎樣，應(yīng)該達到什么目標”，這樣便于企業(yè)控制和評審項目管理整體過程的執(zhí)行情況。同時COBIT給出了項目管理成熟度模型，便于組織自評估或第三方評估企業(yè)項目管理的成熟度，從而不斷改進項目管理的執(zhí)行過程。如圖6所示。

圖6 項目管理成熟度模型

資料來源：ISACF

當(dāng)然PRINCE2和COBIT的視野并不僅僅限于對具體項目的管理。它們不僅包括項目級的管理，而且涵蓋了在組織范圍對項目的管理，目的在于企業(yè)級的項目管理（Enterprise Project Management, EPM）或者稱為項目治理（Project Governance）。從企業(yè)長期發(fā)展戰(zhàn)略的高度來規(guī)劃項目管理。如圖7所示。

資料來源：ISACF

同時，對于每個過程和控制目標，PRINCE2與COBIT僅僅指明了“該做什么”，至于“如何做”，二者都沒有提供具體實現(xiàn)技術(shù)和工具，用戶可以根據(jù)實際需要使用有益的任何工具，如甘特圖，關(guān)鍵路徑法、項目管理軟件、風(fēng)險管理軟件等。PRINCE2提供的8個過程與COBIT提供的13個控制目標也僅僅作為參考過程和控制目標，企業(yè)在具體實施時，必須依據(jù)項目的規(guī)模和需要對這些過程和控制目標進行適當(dāng)?shù)募舨谩?/FONT>