IT治理相關(guān)模型比較

1、自提出IT治理以來，全世界各國(guó)組織和專家投入了很大的精力來研究IT治理架構(gòu)模型，并提出了很多行之有效的模型。這些模型，由于其提出的時(shí)間不同，所應(yīng)用的重點(diǎn)也各有差異，對(duì)IT治理而言，它是一個(gè)系統(tǒng)工程，各種模型都在其中占有一席之地。其中較為成熟的模型是美國(guó)IT治理研究院的Cobit，英國(guó)政府的IT服務(wù)管理的標(biāo)準(zhǔn)模型ITIL，國(guó)際信息安全管理標(biāo)準(zhǔn)模型ISO/IEC 17799，IT項(xiàng)目管理的標(biāo)準(zhǔn)模型PRINCE2等。在具體的IT治理工作中，如何合理的應(yīng)用這些模型，它們之間存在哪些差異？1.        Cobit與ITIL的比較

2、COBIT基于己有的許多架構(gòu)，如SEI（Software Engineering Institute）的能力成熟度模型CMM對(duì)軟件企業(yè)成熟度5級(jí)的劃分，以及IS09000等標(biāo)準(zhǔn)，COBIT在總結(jié)這些標(biāo)準(zhǔn)的基礎(chǔ)上重點(diǎn)關(guān)注企業(yè)需要什么，而不是企業(yè)需要如何做，它不包括具體的實(shí)施指南和具體實(shí)施步驟，它是一個(gè)控制架構(gòu)（Control Framework）而非具體過程架構(gòu)（ProcessFramework）。COBIT從戰(zhàn)略、戰(zhàn)術(shù)、運(yùn)營(yíng)層面給出了對(duì)IT的評(píng)測(cè)、量度和審計(jì)方法，它的“目標(biāo)聽眾”是信息系統(tǒng)審計(jì)人員，企業(yè)高級(jí)管理人員以及高級(jí)IT管理人員，如CIO。ITIL基于企業(yè)的最佳實(shí)務(wù)（Best Pract

3、ice），英國(guó)政府收集和分析各種組織解決服務(wù)管理問題方面的信息，找出那些對(duì)本部門和對(duì)英國(guó)政府其它部門有益的做法，最后形成了ITIL。它列出了各個(gè)服務(wù)管理流程“最佳”的目標(biāo)、活動(dòng)、輸入和輸出以及各個(gè)流程之間的關(guān)系，但沒定義范圍廣泛的控制架構(gòu)。它關(guān)注方法和實(shí)施過程。由于它關(guān)注IT服務(wù)管理（ITSM），它的視野相對(duì)COBIT來說狹窄，它主要關(guān)注IT的戰(zhàn)術(shù)和運(yùn)營(yíng)層面。但它對(duì)IT服務(wù)的提供和支持定義了更為詳細(xì)和更易理解的過程集。它的“目標(biāo)聽眾”是IT人員和服務(wù)管理人員。圖1 COBIT與ITIL的對(duì)比分析盡管兩個(gè)標(biāo)準(zhǔn)有著許多的不同之處，但在COBIT和ITIL背后卻有著非常一致的指導(dǎo)原則。信息系統(tǒng)審計(jì)人

4、員通常綜合使用COBIT和ITIL的自評(píng)估方法，去評(píng)估企業(yè)IT服務(wù)管理環(huán)境。COBIT為每一個(gè)過程提供了關(guān)鍵目標(biāo)指示（KGIs）、關(guān)鍵績(jī)效指標(biāo)（KPIs）、關(guān)鍵成功要素（CSFs），與ITIL過程相結(jié)合可以建立ITIL過程管理的基準(zhǔn)。在實(shí)際應(yīng)用中，某些企業(yè)綜合兩個(gè)標(biāo)準(zhǔn)提出了更易理解的適用于本企業(yè)環(huán)境的IT治理和運(yùn)行架構(gòu)。2.        Cobit與ISO/IEC17799的比較ISO/IEC 17799強(qiáng)調(diào)信息安全管理體系的有效性、經(jīng)濟(jì)性、全面性、普遍性和開放性，目的是為希望達(dá)到一定管理效果的組織提供一種高質(zhì)量、高實(shí)用性

5、的參照。其最大特點(diǎn)就是廣泛但不深入，而且僅作參考之用。與ISO/IEC 17799不同，COBIT完全基于IT，其IT準(zhǔn)則反映了企業(yè)的戰(zhàn)略目標(biāo)，IT資源包括人、系統(tǒng)、數(shù)據(jù)等相關(guān)資源，IT管理則是在IT準(zhǔn)則指導(dǎo)下對(duì)IT資源進(jìn)行規(guī)劃處理。COBIT在PO、 AI、 DS、 M四個(gè)方面確定了34個(gè)處理過程以及318個(gè)詳細(xì)控制目標(biāo)。此外對(duì)每個(gè)過程還有評(píng)審工具。3.        Cobit和Prince2的比較Prince2為包括IT項(xiàng)目在內(nèi)的項(xiàng)目管理提供了通用的管理方法，內(nèi)置了在項(xiàng)目管理實(shí)踐中已證明成功的最佳實(shí)踐（best pra

6、ctice），通過為所有參與者提供的通用語一言，便于被廣泛理解和接受。PRINCE鼓勵(lì)對(duì)項(xiàng)目責(zé)任正式的確認(rèn)（誰具體負(fù)責(zé)什么），強(qiáng)調(diào)項(xiàng)目交付什么（what）、為何交付（why）、交付時(shí)間（when）、為誰交付（whom）。PRINCE能帶給項(xiàng)目：1.         可控的組織良好的開端、過程、結(jié)尾；2.         在決策關(guān)鍵點(diǎn)（decision point）時(shí)重新審視項(xiàng)目計(jì)劃和業(yè)務(wù)狀況；3.   &#

7、160;     自動(dòng)管理和控制對(duì)計(jì)劃的任何偏離；4.         股東和高級(jí)管理者只是在恰當(dāng)?shù)臅r(shí)機(jī)介入項(xiàng)目；5.         在項(xiàng)目組、項(xiàng)目管理層、組織的其他人員間搭建暢通的交流通道；COBIT從戰(zhàn)略、戰(zhàn)術(shù)、技術(shù)等層面給出了如何有效管理IT項(xiàng)目。在PO10中專門給出了項(xiàng)目管理的方法論，詳細(xì)定義了13個(gè)具體控制目標(biāo)：項(xiàng)目管理架構(gòu)；用戶方參與項(xiàng)目啟動(dòng)；項(xiàng)目團(tuán)隊(duì)身份及其職責(zé)；項(xiàng)目定義：項(xiàng)目批準(zhǔn)

8、：項(xiàng)目階段批準(zhǔn)；項(xiàng)目主要計(jì)劃；系統(tǒng)質(zhì)量保證計(jì)劃；保證方法計(jì)劃；正式的項(xiàng)目風(fēng)險(xiǎn)管理；測(cè)試計(jì)劃；培訓(xùn)計(jì)劃；實(shí)施后的評(píng)審計(jì)劃。除給出項(xiàng)目管理具體控制目標(biāo)外，COBIT還給出了與項(xiàng)目管理相關(guān)的關(guān)鍵成功要素（Critical Success Factors），其定義了最重要的面向項(xiàng)目管理的實(shí)施指南，以達(dá)到對(duì)IT項(xiàng)目過程內(nèi)外部的控制；關(guān)鍵目標(biāo)指標(biāo)（Key Goal工ndicators），定義了一些尺度，便于在項(xiàng)目關(guān)鍵點(diǎn)（或里程碑），告訴管理者某個(gè)IT項(xiàng)目管理過程是否實(shí)現(xiàn)了其業(yè)務(wù)需求：關(guān)鍵性能指標(biāo)（Key Performance Indicators），定義的是IT項(xiàng)目管理過程在促使項(xiàng)目目標(biāo)達(dá)成時(shí)履行得有多

9、好的尺度。從兩者的比較我們可以看出，COBIT重點(diǎn)在于對(duì)13個(gè)“控制目標(biāo)”的管理上，PRINCE2典型的在于對(duì)8大“流程”的管理上。雖然二者從不同的角度出發(fā)認(rèn)識(shí)IT項(xiàng)目管理，但二者有許多共同之處。COBIT的項(xiàng)目中主要計(jì)劃，系統(tǒng)質(zhì)量保證計(jì)劃，保證方法計(jì)劃，測(cè)試計(jì)劃，培訓(xùn)計(jì)劃，實(shí)施后的評(píng)審計(jì)劃等控制目標(biāo)映射到PRINCE2的計(jì)劃（PL）流程；項(xiàng)目管理架構(gòu)等映射到PRINCE2的指導(dǎo)項(xiàng)目Directing a Project （DP）流程；PRINCE2的開始項(xiàng)目Starting up a Project（SU）和啟動(dòng)項(xiàng)目Initiating a Project（IP）流程對(duì)應(yīng)著COBIT的用戶方

10、參與項(xiàng)目啟動(dòng)，項(xiàng)目團(tuán)隊(duì)身份及其職責(zé)，項(xiàng)目定義；項(xiàng)目批準(zhǔn)，項(xiàng)目階段批準(zhǔn)，正式的項(xiàng)目風(fēng)險(xiǎn)管理則較好的被其它幾個(gè)PR工NCE2流程所包含。當(dāng)然，在COBIT管理指南中我們不能明確看出對(duì)PRINCE2中結(jié)束項(xiàng)目Closing a Project （CP）流程相關(guān)的控制目標(biāo)，但COBIT的其他控制目標(biāo)以及審計(jì)指南等隱含包括了該流程的控制。PRINCE2從流程的角度對(duì)項(xiàng)目管理中各個(gè)活動(dòng)進(jìn)行管理，比較便于項(xiàng)目管理的具體實(shí)施，而COBIT從控制目標(biāo)的角度闡述項(xiàng)目管理“應(yīng)該怎樣，應(yīng)該達(dá)到什么目標(biāo)”，這樣便于企業(yè)控制和評(píng)審項(xiàng)目管理整體過程的執(zhí)行情況。同時(shí)COBIT給出了項(xiàng)目管理成熟度模型，便于組織自評(píng)估或第三方評(píng)

11、估企業(yè)項(xiàng)目管理的成熟度，從而不斷改進(jìn)項(xiàng)目管理的執(zhí)行過程。當(dāng)然PRINCE2和COBIT的視野并不僅僅限于對(duì)具體項(xiàng)目的管理。它們不僅包括項(xiàng)目級(jí)的管理，而且涵蓋了在組織范圍對(duì)項(xiàng)目的管理，目的在于企業(yè)級(jí)的項(xiàng)目管理（Enterprise Project Management，EPM）或者稱為項(xiàng)目治理（Project Governance）。從企業(yè)長(zhǎng)期發(fā)展戰(zhàn)略的高度來規(guī)劃項(xiàng)目管理。圖2項(xiàng)目治理結(jié)構(gòu)模型同時(shí)，對(duì)于每個(gè)過程和控制目標(biāo)，PRINCE與COBIT僅僅指明了“該做什么”，至于“如何做”，二者都沒有提供具體實(shí)現(xiàn)技術(shù)和工具，你可以根據(jù)實(shí)際需要使用任何對(duì)你有幫助的任何工具，如甘特圖，關(guān)鍵路徑、proje

12、ct軟件、風(fēng)險(xiǎn)控制軟件等。PRINCE2提供的8個(gè)過程與COBIT提供的13個(gè)控制目標(biāo)也僅僅作為參考過程和控制目標(biāo)，企業(yè)在具體實(shí)施時(shí)，必須依據(jù)項(xiàng)目的規(guī)模和需要對(duì)這些過程和控制目標(biāo)進(jìn)行適當(dāng)?shù)募舨谩?.        整合Cobit, ITIL, ISO/IEC 17799, Prince2實(shí)施合理的IT治理戰(zhàn)略為了實(shí)現(xiàn)IT治理戰(zhàn)略的目標(biāo)，我們需要做到對(duì)IT組織結(jié)構(gòu)和角色、量度、過程、技術(shù)、控制以及人員等方面進(jìn)行管理。圖3 IT治理目標(biāo)的整合COBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有優(yōu)

13、勢(shì)，具體體現(xiàn)為：1.         COBIT重點(diǎn)在于IT控制和IT度量；2.         ITIL重點(diǎn)在于IT過程管理，強(qiáng)調(diào)IT支持和IT交付；3.         ISO/IEC17799重點(diǎn)在于IT安全控制；4.         PRICE2重點(diǎn)在于項(xiàng)目管理，強(qiáng)調(diào)項(xiàng)目的可控性，明確項(xiàng)目管理中人員、角色的具體職責(zé)，同時(shí)實(shí)現(xiàn)項(xiàng)目管理質(zhì)量的不斷改進(jìn)。圖4 4種標(biāo)準(zhǔn)有機(jī)融合在組織中具體應(yīng)用IT治理架構(gòu)模型時(shí)，應(yīng)該注意：1.         要專注于解決組織信息化過程中最大的問題。因?yàn)閷?duì)于任何一個(gè)組織而言，采用整套標(biāo)準(zhǔn)都是不可行的，相反地，應(yīng)該從最大的問題著手；2.         通過對(duì)模型的剪裁找出最適合本企業(yè)環(huán)境的實(shí)施方案；3.