三種IT治理模型大比較

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

IT治理模型包括CoBIT、ITIL、ISO/IEC 17799和PRINCE2。在具體的IT治理工作中，如何合理地應(yīng)用這些模型，它們之間存在哪些差異？

自提出IT治理以來(lái)，全世界各國(guó)組織和專(zhuān)家都投入了很大的精力來(lái)研究IT治理架構(gòu)，并提出了很多行之有效的模型。其中較為成熟的模型有美國(guó)IT治理研究院的CoBIT、英國(guó)政府的IT服務(wù)管理標(biāo)準(zhǔn)模型ITIL、國(guó)際信息安全管理標(biāo)準(zhǔn)模型ISO/IEC17799、IT項(xiàng)目管理的標(biāo)準(zhǔn)模型PRINCE2等。在具體的IT治理工作中，如何合理地應(yīng)用這些模型，它們之間存在哪些差異？

CoBIT VS. ITIL

CoBIT基于己有的許多架構(gòu)，如SEI(Software Engineering Institute)的能力成熟度模型、CMM對(duì)軟件企業(yè)成熟度5級(jí)的劃分，以及IS09000等標(biāo)準(zhǔn)，CoBIT在總結(jié)這些標(biāo)準(zhǔn)的基礎(chǔ)上重點(diǎn)關(guān)注企業(yè)需要什么，而不是企業(yè)需要如何做。它不包括具體的實(shí)施指南和實(shí)施步驟，它是一個(gè)控制架構(gòu)(Control Framework)，而非具體過(guò)程架構(gòu)(Process Framework)。CoBIT從戰(zhàn)略、戰(zhàn)術(shù)、運(yùn)營(yíng)層面給出了對(duì)IT的評(píng)測(cè)、量度和審計(jì)方法，它的目標(biāo)聽(tīng)眾是信息系統(tǒng)審計(jì)人員、企業(yè)高級(jí)管理人員以及高級(jí)IT管理人員，如CIO。

ITIL基于企業(yè)的最佳實(shí)務(wù)(Best Practice)，英國(guó)政府收集和分析各種組織解決服務(wù)管理問(wèn)題方面的信息，找出那些對(duì)本部門(mén)和對(duì)其它部門(mén)有益的做法，最后形成了ITIL。它列出了各個(gè)服務(wù)管理流程最佳的目標(biāo)、活動(dòng)、輸入和輸出以及各個(gè)流程之間的關(guān)系，但沒(méi)定義范圍廣泛的控制架構(gòu)。它關(guān)注方法和實(shí)施過(guò)程。由于它關(guān)注IT服務(wù)管理(ITSM)，它的視野相對(duì)CoBIT來(lái)說(shuō)狹窄，主要關(guān)注IT的戰(zhàn)術(shù)和運(yùn)營(yíng)層面。它的目標(biāo)聽(tīng)眾是IT人員和服務(wù)管理人員。

盡管兩個(gè)標(biāo)準(zhǔn)有著許多的不同之處，但CoBIT和ITIL卻有著非常一致的指導(dǎo)原則。信息系統(tǒng)審計(jì)人員通常綜合使用CoBIT和ITIL的自評(píng)估方法，去評(píng)估企業(yè)IT服務(wù)管理環(huán)境。CoBIT為每一個(gè)過(guò)程提供了關(guān)鍵目標(biāo)指示(KGIs)、關(guān)鍵績(jī)效指標(biāo)(KPIs)、關(guān)鍵成功要素(CSFs)，與ITIL過(guò)程相結(jié)合可以建立ITIL過(guò)程管理的基準(zhǔn)。

CoBIT VS. ISO/IEC17799

ISO/IEC17799強(qiáng)調(diào)信息安全管理體系的有效性、經(jīng)濟(jì)性、全面性、普遍性和開(kāi)放性，目的是為希望達(dá)到一定管理效果的組織提供一種高質(zhì)量、高實(shí)用性的參照。其最大特點(diǎn)就是廣泛但不深入，而且僅作參考之用。

與ISO/IEC17799不同，CoBIT完全基于IT，其IT準(zhǔn)則反映了企業(yè)的戰(zhàn)略目標(biāo)，IT資源包括人、系統(tǒng)、數(shù)據(jù)等相關(guān)資源，IT管理則是在IT準(zhǔn)則指導(dǎo)下對(duì)IT資源進(jìn)行規(guī)劃處理。

CoBIT VS. PRINCE2

PRINCE2為包括IT項(xiàng)目在內(nèi)的項(xiàng)目管理提供了通用的管理方法，內(nèi)置了在項(xiàng)目管理實(shí)踐中已證明成功的最佳實(shí)踐(best practice)，為所有參與者提供通用語(yǔ)言，便于被廣泛理解和接受。PRINCE能帶給項(xiàng)目：

　　1.可控組織良好的開(kāi)端、過(guò)程、結(jié)尾；

　　2.在決策關(guān)鍵點(diǎn)(decision point)時(shí)重新審視項(xiàng)目計(jì)劃和業(yè)務(wù)狀況；

　　3.自動(dòng)管理和控制對(duì)計(jì)劃的任何偏離；

　　4.股東和高級(jí)管理者只是在恰當(dāng)?shù)臅r(shí)機(jī)介入項(xiàng)目；

　　5.在項(xiàng)目組、項(xiàng)目管理層、組織的其他人員間搭建暢通的交流通道。

CoBIT從戰(zhàn)略、戰(zhàn)術(shù)、技術(shù)等層面給出了如何有效管理IT項(xiàng)目,詳細(xì)定義了13個(gè)具體控制目標(biāo)：項(xiàng)目管理架構(gòu)、用戶方參與項(xiàng)目啟動(dòng)、項(xiàng)目團(tuán)隊(duì)身份及其職責(zé)、項(xiàng)目定義、項(xiàng)目批準(zhǔn)、項(xiàng)目階段批準(zhǔn)、項(xiàng)目主要計(jì)劃、系統(tǒng)質(zhì)量保證計(jì)劃、保證方法計(jì)劃、正式的項(xiàng)目風(fēng)險(xiǎn)管理、測(cè)試計(jì)劃、培訓(xùn)計(jì)劃、實(shí)施后的評(píng)審計(jì)劃。除給出項(xiàng)目管理具體控制目標(biāo)外，CoBIT還給出了與項(xiàng)目管理相關(guān)的關(guān)鍵成功要素(Critical Success Factors)，定義了最重要的面向項(xiàng)目管理的實(shí)施指南，以達(dá)到對(duì)IT項(xiàng)目過(guò)程內(nèi)外部的控制。關(guān)鍵目標(biāo)指標(biāo)(Key Goal Indicators)，定義了一些尺度，便于在項(xiàng)目關(guān)鍵點(diǎn)(或里程碑)，告訴管理者某個(gè)IT項(xiàng)目管理過(guò)程是否實(shí)現(xiàn)了其業(yè)務(wù)需求；關(guān)鍵性能指標(biāo)(Key Performance Indicators)，定義的是IT項(xiàng)目管理過(guò)程在促使項(xiàng)目目標(biāo)達(dá)成時(shí)履行的尺度。

從兩者的比較我們可以看出，CoBIT重點(diǎn)在于對(duì)13個(gè)控制目標(biāo)的管理上，PRINCE2在于對(duì)流程的管理上。

PRINCE2從流程的角度對(duì)項(xiàng)目管理中各個(gè)活動(dòng)進(jìn)行管理，比較便于項(xiàng)目管理的具體實(shí)施，而CoBIT從控制目標(biāo)的角度闡述項(xiàng)目管理“應(yīng)該怎樣，應(yīng)該達(dá)到什么目標(biāo)”，這樣便于企業(yè)控制和評(píng)審項(xiàng)目管理整體過(guò)程的執(zhí)行情況。同時(shí),CoBIT給出了項(xiàng)目管理成熟度模型，便于組織自評(píng)估或第三方評(píng)估企業(yè)項(xiàng)目管理的成熟度，從而不斷改進(jìn)項(xiàng)目管理的執(zhí)行過(guò)程。

當(dāng)然PRINCE2和CoBIT的視野并不僅僅限于對(duì)具體項(xiàng)目的管理。它們不僅包括項(xiàng)目級(jí)的管理，而且涵蓋了在組織范圍對(duì)項(xiàng)目的管理，目的在于企業(yè)級(jí)的項(xiàng)目管理(Enterprise Project Management，EPM)或者稱(chēng)為項(xiàng)目治理(Project Governance)。從企業(yè)長(zhǎng)期發(fā)展戰(zhàn)略的高度來(lái)規(guī)劃項(xiàng)目管理。

同時(shí)，對(duì)于每個(gè)過(guò)程和控制目標(biāo)，PRINCE與CoBIT僅僅指明了“該做什么”，至于“如何做”，兩者都沒(méi)有提供具體實(shí)現(xiàn)技術(shù)和工具，你可以根據(jù)實(shí)際需要使用任何對(duì)你有幫助的工具，如甘特圖、關(guān)鍵路徑、project軟件、風(fēng)險(xiǎn)控制軟件等。

整合實(shí)施戰(zhàn)略

為了實(shí)現(xiàn)IT治理戰(zhàn)略的目標(biāo)，我們需要做到對(duì)IT組織結(jié)構(gòu)和角色、量度、過(guò)程、技術(shù)、控制以及人員等方面進(jìn)行管理。

　　CoBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有優(yōu)勢(shì)，具體體現(xiàn)為：

　　1.CoBIT重點(diǎn)在于IT控制和IT度量；

　　2.ITIL重點(diǎn)在于IT過(guò)程管理，強(qiáng)調(diào)IT支持和IT交付；

　　3.ISO/IEC17799重點(diǎn)在于IT安全控制；

　　4.PRICE2重點(diǎn)在于項(xiàng)目管理，強(qiáng)調(diào)項(xiàng)目的可控性，明確項(xiàng)目管理中人員、角色的具體職責(zé)，同時(shí)實(shí)現(xiàn)項(xiàng)目管理質(zhì)量的不斷改進(jìn)。

在組織中具體應(yīng)用IT治理架構(gòu)模型時(shí)，應(yīng)該注意：

　　1.要專(zhuān)注于解決組織信息化過(guò)程中最大的問(wèn)題。因?yàn)閷?duì)于任何一個(gè)組織而言，采用整套標(biāo)準(zhǔn)都是不可行的，相反地，應(yīng)該從最大的問(wèn)題著手；

　　2.通過(guò)對(duì)模型的剪裁找出最適合本企業(yè)環(huán)境的實(shí)施方案；

　　3.先完成培訓(xùn)再進(jìn)行組織變革，并在單一領(lǐng)域內(nèi)(如培訓(xùn)經(jīng)驗(yàn))取得一定成績(jī)后，再轉(zhuǎn)向其它有問(wèn)題的領(lǐng)域；

　　4.在開(kāi)始項(xiàng)目之前，評(píng)估一下目前的環(huán)境，這樣有利于評(píng)測(cè)出進(jìn)展的效果。

此外，組織在具體實(shí)施的過(guò)程中，其他組織成功實(shí)施的案例、培訓(xùn)機(jī)構(gòu)和第三方咨詢機(jī)構(gòu)都可以提供很好的幫助。

來(lái)源：中國(guó)計(jì)算機(jī)報(bào)