IT治理：領(lǐng)域內(nèi)全球公認(rèn)的輔助工具大整合（孫強(qiáng) 郝亞斌 李長(zhǎng)征）

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

善治的IT治理架構(gòu)是確保IT資源與公司戰(zhàn)略目標(biāo)保持一致的基礎(chǔ)，同樣也能確保IT服務(wù)滿(mǎn)足組織對(duì)優(yōu)質(zhì)、可信和安全的信息需要。采用標(biāo)準(zhǔn)的IT治理（IT Governance）架構(gòu)可以給企業(yè)帶來(lái)諸多收益。如美國(guó)堪薩斯州把COBIT標(biāo)準(zhǔn)作為虛擬政府策略的一部分，結(jié)果降低了運(yùn)營(yíng)成本，并為它的客戶(hù)和委托人提供了很高質(zhì)量的服務(wù)。Proctor＆Gamble在采用ITIL標(biāo)準(zhǔn)的四年里，節(jié)省超過(guò)5億美金的預(yù)算。同時(shí)Procter＆Gamble內(nèi)部財(cái)務(wù)和IT部門(mén)的調(diào)查顯示，其運(yùn)作費(fèi)用降低6％～8％，而技術(shù)人員的人數(shù)減少15％～20％。ISO/IEC17799是成為國(guó)際標(biāo)準(zhǔn)最快的一個(gè)標(biāo)準(zhǔn)，ISO/IEC17799的前身BS7799是賣(mài)出拷貝最多的管理標(biāo)準(zhǔn)，目前已有二十多個(gè)國(guó)家引用BS7799-2作為國(guó)標(biāo)，各大信息安全公司也都以BS7799為指導(dǎo)向客戶(hù)提供信息安全咨詢(xún)服務(wù)。近年來(lái)Prince2在Prince的基礎(chǔ)上迅速席卷包括IT項(xiàng)目在內(nèi)的項(xiàng)目管理，PRINCE 2 已風(fēng)行歐洲與北美等國(guó)。Sun、Oracle等將PRINCE2作為實(shí)施項(xiàng)目的標(biāo)準(zhǔn)管理方法；香港特別行政區(qū)政府資訊科技署將PRINCE作為政府項(xiàng)目管理的標(biāo)準(zhǔn)指南。

何為IT治理

IT治理是IT、經(jīng)濟(jì)學(xué)及管理學(xué)界中一個(gè)新的概念，用于描述企業(yè)或政府是否采用有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時(shí)平衡信息化過(guò)程中的風(fēng)險(xiǎn)，確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。其主要使命是：保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。具體而言如下：

· IT戰(zhàn)略目標(biāo)必須與企業(yè)戰(zhàn)略目標(biāo)保持一致，IT對(duì)于來(lái)說(shuō)組織非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的重要組成部分，甚至直接影響到戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。

· IT治理包含治理委員會(huì)、治理結(jié)構(gòu)、治理流程和企業(yè)文化等。

· IT治理使風(fēng)險(xiǎn)透明化，從而保護(hù)利益相關(guān)者的權(quán)益。

· IT治理可用來(lái)指導(dǎo)和控制IT投資、機(jī)遇、收益及風(fēng)險(xiǎn)。

· IT治理通過(guò)引導(dǎo)IT戰(zhàn)略，并建立標(biāo)準(zhǔn)的信息基礎(chǔ)架構(gòu)，來(lái)實(shí)現(xiàn)業(yè)務(wù)增長(zhǎng)。

· IT治理對(duì)核心IT資源做出合理的制度安排，這將成為進(jìn)入新的市場(chǎng)、進(jìn)行有效競(jìng)爭(zhēng)、實(shí)現(xiàn)總收入增長(zhǎng)、改善客戶(hù)滿(mǎn)意度及維系客戶(hù)關(guān)系的制度保障。

四種基本的IT治理支持手段

COBIT--信息及相關(guān)技術(shù)的控制目標(biāo)(Control Objectives for Information and related Technology，COBIT) ，是IT治理的一個(gè)開(kāi)放性標(biāo)準(zhǔn)，由美國(guó)IT治理研究院(IT Governance Institute)開(kāi)發(fā)與推廣，現(xiàn)已更新為第三版。IT業(yè)務(wù)流程是COBIT關(guān)注的焦點(diǎn)，對(duì)每一個(gè)IT業(yè)務(wù)流程，COBIT提出了一系列的控制目標(biāo)、相應(yīng)的實(shí)現(xiàn)這些控制目標(biāo)的控制程序，評(píng)價(jià)這些控制程序是否存在，并被有效執(zhí)行的一系列審計(jì)程序。該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個(gè)普遍適用的公認(rèn)標(biāo)準(zhǔn)，以輔助管理層進(jìn)行IT治理。目前已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。COBIT模型如圖1所示。

COBIT架構(gòu)的主要目的是為業(yè)界提供關(guān)于IT控制的清晰策略和良好典范。該架構(gòu)的四個(gè)域分別是：PO（Planning & Organization）、AI（Acquisition & Implementation）、DS（Delivery & support）和 Monitoring。進(jìn)一步細(xì)分為34個(gè)IT處理流程。如表1。

　　圖1 COBIT模型

　　資料來(lái)源：ISACA

　　表1 COBIT域

　　資料來(lái)源：ISACA

　　COBIT產(chǎn)品家族分類(lèi)如圖2所示。

　　圖2 COBIT產(chǎn)品家族

　　資料來(lái)源：ISACA

①管理指導(dǎo)方針（Management Guidelines）其中：成熟度模型（Maturity Models）是用來(lái)決定每一個(gè)控制階段和期望水準(zhǔn)是否符合標(biāo)準(zhǔn)規(guī)范。關(guān)鍵成功要素（Critical Success Factors）是用來(lái)辨認(rèn)在信息化過(guò)程中實(shí)現(xiàn)有效控制所必需的最重要的活動(dòng)。關(guān)鍵目標(biāo)指標(biāo)（Key Goal Indicators）是用來(lái)定義關(guān)鍵目標(biāo)的績(jī)效衡量標(biāo)準(zhǔn)。關(guān)鍵績(jī)效指標(biāo)（Key performance Indicators）用來(lái)測(cè)量IT控制程序是否能達(dá)到目標(biāo)。以上管理方針都是為了確保企業(yè)能成功和有效地整合業(yè)務(wù)流程與信息系統(tǒng)。

②執(zhí)行概要（Executive Summary）提供了讓管理層了解COBIT關(guān)鍵概念和原則的綜合性簡(jiǎn)介，還概述了COBIT四大領(lǐng)域的體系架構(gòu)。

③架構(gòu)（Framework）詳細(xì)描述了的34個(gè)控制目標(biāo)，并指出了企業(yè)對(duì)信息標(biāo)準(zhǔn)的要求和在IT資源上的需求是如何融入控制目標(biāo)中的。

④審計(jì)指導(dǎo)方針（Audit Guidelines）提供了關(guān)于34個(gè)控制目標(biāo)的審計(jì)步驟，以協(xié)助信息系統(tǒng)審計(jì)師檢驗(yàn)IT程序是否符合控制目標(biāo)，并提供管理上的保證和改進(jìn)的建議。

⑤控制目標(biāo)（Control Objectives）為IT控制提供了一個(gè)用來(lái)明晰策略和實(shí)施指導(dǎo)的關(guān)鍵方針，包括控制目標(biāo)的詳細(xì)說(shuō)明。

⑥應(yīng)用工具集（Implementation Tool Set）包括管理意識(shí)（Management Awareness），IT控制診斷（IT Control Diagnostics），應(yīng)用指導(dǎo)（Implementation Guide），常見(jiàn)問(wèn)題及（FAQs）等。這些新工具主要是設(shè)計(jì)讓COBIT的應(yīng)用更容易，讓組織能快速且成功地從教材中掌握如何在工作中應(yīng)用COBIT.

需要指出的是，COBIT可具體應(yīng)用到幾乎所有企業(yè)信息系統(tǒng)中。目前ISACA也提供相關(guān)專(zhuān)業(yè)人士的認(rèn)證服務(wù)，經(jīng)認(rèn)證的專(zhuān)家可在一百多個(gè)國(guó)家執(zhí)行信息系統(tǒng)審計(jì)業(yè)務(wù)。

ITIL-- IT基礎(chǔ)架構(gòu)庫(kù)(Information Technology Infrastructure Library, ITIL)由英國(guó)政府部門(mén)CCTA(Central Computing and Telecommunications Agency)在20世紀(jì)80年代末制訂，現(xiàn)由英國(guó)商務(wù)部OGC(Office of Government Commerce)負(fù)責(zé)管理，主要適用于IT服務(wù)管理（ITSM）。20世紀(jì)90年代后期，ITIL的思想和方法，被美國(guó)、澳大利亞、南非等國(guó)家廣泛引用，并進(jìn)一步發(fā)展。2001年英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（British Standard Institute，BSI）在國(guó)際IT服務(wù)管理論壇（itSMF）年會(huì)上，正式發(fā)布了基于ITIL的英國(guó)國(guó)家標(biāo)準(zhǔn)BS15000。2002年，BS15000為國(guó)際標(biāo)準(zhǔn)化組織（ISO）所接受，作為IT服務(wù)管理的國(guó)際標(biāo)準(zhǔn)的重要組成部分。目前，ITSM領(lǐng)域正成為全球IT廠商、政府、企業(yè)和業(yè)界專(zhuān)家廣泛參與的新興領(lǐng)域，對(duì)未來(lái)的IT走向和企業(yè)信息化，將會(huì)產(chǎn)生深遠(yuǎn)的影響。其內(nèi)容描述的是IT部門(mén)應(yīng)該包含的各個(gè)工作流程以及各個(gè)工作流程之間的相互關(guān)系。ITIL的核心內(nèi)容包括服務(wù)支持和服務(wù)交付，共11個(gè)流程。如表2。其架構(gòu)模型如圖2所示。

表2 ITIL工作流程

　　資料來(lái)源：OGC

ISO/IEC17799--信息安全管理的國(guó)際標(biāo)準(zhǔn)。在信息時(shí)代，信息資產(chǎn)已經(jīng)成為最有價(jià)值的資產(chǎn)，因此需要恰當(dāng)?shù)乇Ｗo(hù)它。具體而言，通過(guò)信息安全管理，可以保護(hù)信息不受廣泛威脅地?fù)p害，確保業(yè)務(wù)的持續(xù)性，將商業(yè)損失降至最小，使投資收益最大并創(chuàng)造新的戰(zhàn)略機(jī)遇。

1995年，英國(guó)貿(mào)工部根據(jù)英國(guó)國(guó)內(nèi)企業(yè)對(duì)信息安全日益高漲的呼聲，組織大企業(yè)的信息安全經(jīng)理們制定了世界上首部信息安全管理體系標(biāo)準(zhǔn)BS7799-1：1995《信息安全管理實(shí)施規(guī)則》，作為企業(yè)和政府組織實(shí)施信息安全管理的指南。1998年，英國(guó)又制定了第一部《信息安全管理體系認(rèn)證標(biāo)準(zhǔn)》BS7799-2：1998《信息安全管理體系規(guī)范》，作為對(duì)一個(gè)組織的全面或和部分信息安全管理體系進(jìn)行評(píng)審認(rèn)證的依據(jù)標(biāo)準(zhǔn)。此后英國(guó)又進(jìn)行了多次修訂并提交給ISO。2000年12月，ISO/IEC正式采納BS7799-1：1999做為國(guó)際標(biāo)準(zhǔn)ISO/IEC17799：2000。

ISO/IEC 17799包含10個(gè)管理要項(xiàng)，分別是：安全方針、安全組織、資產(chǎn)分類(lèi)與控制、人員安全、物理與環(huán)境安全、計(jì)算機(jī)與網(wǎng)絡(luò)管理、系統(tǒng)訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、業(yè)務(wù)持續(xù)管理及合規(guī)性。ISO/IEC 17799模型如圖3所示。

　　圖3 ISO/IEC 17799模型

資料來(lái)源：PWC

需要強(qiáng)調(diào)指出的是，ISO/IEC 17799不是一篇技術(shù)性的信息安全操作手冊(cè)，作為一個(gè)通用的信息安全管理指南，其目的并不是說(shuō)明有關(guān)"怎么做"的細(xì)節(jié)，它所闡述的主題是安全策略和優(yōu)秀的、具有普遍意義的安全操作。該標(biāo)準(zhǔn)特別聲明，它是"制定一個(gè)機(jī)構(gòu)自己的標(biāo)準(zhǔn)的出發(fā)點(diǎn)"，并不是說(shuō)它所包含的所有方針和策略都是放之四海而皆準(zhǔn)的。作為對(duì)各類(lèi)信息安全問(wèn)題的高級(jí)別概述，ISO/IEC 17799有助于人們?cè)诟呒?jí)管理中理解每一類(lèi)信息安全主題的基礎(chǔ)性問(wèn)題。它廣泛涵蓋了幾乎所有的安全議題，主要告訴管理者關(guān)于安全管理的注意事項(xiàng)和安全制度，這些規(guī)定一般單位都可執(zhí)行。因此，需要建立信息安全管理體系的單位可以此為參照，建立自己在這方面的體系，并在別人經(jīng)驗(yàn)的基礎(chǔ)上根據(jù)自身情況進(jìn)行設(shè)計(jì)、取舍，以達(dá)到對(duì)信息進(jìn)行良好管理的目的。

PRINCE2--受控環(huán)境下的項(xiàng)目（Projects IN Controlled Environments），一種對(duì)項(xiàng)目管理的某些特定方面提供支持的方法。

項(xiàng)目管理向來(lái)就是一個(gè)充滿(mǎn)挑戰(zhàn)的管理，管理人員必須在事先確定好的人力、物力、財(cái)力、時(shí)間基礎(chǔ)上產(chǎn)出預(yù)期質(zhì)量的項(xiàng)目結(jié)果。項(xiàng)目管理中的失控一直就是官、產(chǎn)、學(xué)界關(guān)心的熱點(diǎn)問(wèn)題。

早在20世紀(jì)70年代，英國(guó)政府就要求所有政府的信息系統(tǒng)項(xiàng)目必須采用統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行管理。1979年CCTA采納Simpact Systems公司開(kāi)發(fā)的PROMPT項(xiàng)目管理方法作為政府信息系統(tǒng)項(xiàng)目的項(xiàng)目管理方法。在PROMPT項(xiàng)目管理方法的基礎(chǔ)上，20世紀(jì)80年代年英國(guó)政府計(jì)算機(jī)和電信中心（CCTA）（后來(lái)并入英國(guó)政府商務(wù)部（OGC））出資研究開(kāi)發(fā)PRINCE，1989年P(guān)RINCE正式替代PROMPT成為英國(guó)政府IT項(xiàng)目的管理標(biāo)準(zhǔn)。

1993年，OGC又將注意力轉(zhuǎn)移到PRINCE新改版PRINCE2的開(kāi)發(fā)。通過(guò)整合現(xiàn)有用戶(hù)的需求，同時(shí)提升該方法成為面向所有類(lèi)型的項(xiàng)目的、通用的、最佳實(shí)踐的項(xiàng)目管理方法。在OGC的組織下，大量項(xiàng)目管理的專(zhuān)家和學(xué)者組成設(shè)計(jì)和開(kāi)發(fā)團(tuán)隊(duì)，超過(guò)150家公共和私人組織參加評(píng)審委員會(huì)，并為開(kāi)發(fā)工作提供有價(jià)值的反饋意見(jiàn)。開(kāi)發(fā)工作于1996年3月正式結(jié)束。

PRINCE2是基于過(guò)程（Process-Based）的結(jié)構(gòu)化的項(xiàng)目管理方法，適合于所有類(lèi)型項(xiàng)目（不管項(xiàng)目的大小和領(lǐng)域，不再局限于IT項(xiàng)目）的易于剪裁和靈活使用的管理方法。每個(gè)過(guò)程定義關(guān)鍵輸入、需要執(zhí)行的關(guān)鍵活動(dòng)和特殊的輸出目標(biāo)。

該方法描述了一個(gè)項(xiàng)目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個(gè)項(xiàng)目周期執(zhí)行常規(guī)的監(jiān)督流程。依據(jù)項(xiàng)目的大小、復(fù)雜度和組織的能力，該方法描述了項(xiàng)目中應(yīng)涉及到的各種不同的角色及其相應(yīng)的管理職責(zé)。Prince2的項(xiàng)目計(jì)劃是以產(chǎn)品導(dǎo)向的，也就是說(shuō)項(xiàng)目計(jì)劃強(qiáng)調(diào)項(xiàng)目按預(yù)期交付結(jié)果，而不是簡(jiǎn)簡(jiǎn)單單計(jì)劃在何時(shí)該做何事。

一個(gè)PRINCE2項(xiàng)目由業(yè)務(wù)狀況（Business Case）進(jìn)行驅(qū)動(dòng)，業(yè)務(wù)狀況用于描述啟動(dòng)和繼續(xù)一個(gè)PRINCE 項(xiàng)目的信息。它給出了項(xiàng)目的動(dòng)機(jī)，且回答了" 為什么"。它在整個(gè)項(xiàng)目的若干關(guān)鍵點(diǎn)處被更新。業(yè)務(wù)狀況往往和項(xiàng)目進(jìn)度相結(jié)合，來(lái)確保項(xiàng)目目標(biāo)的實(shí)現(xiàn)，盡管這些項(xiàng)目目標(biāo)可能在整個(gè)項(xiàng)目周期中會(huì)有所變化，但仍能很好地被滿(mǎn)足。

PRINCE2提供從項(xiàng)目開(kāi)始到項(xiàng)目結(jié)束覆蓋整個(gè)項(xiàng)目生命周期的基于過(guò)程的結(jié)構(gòu)化的項(xiàng)目管理方法，共包括8個(gè)過(guò)程，每個(gè)過(guò)程描述了項(xiàng)目為何重要（Why）、項(xiàng)目的預(yù)期目標(biāo)何在（What）、項(xiàng)目活動(dòng)由誰(shuí)負(fù)責(zé)（Who）以及這些活動(dòng)何時(shí)被執(zhí)行（When）。如圖4所示。

　　圖4 PRINCE2模型

　　資料來(lái)源：OGC

PRINCE2為管理項(xiàng)目提供了最本質(zhì)的原理，它集中于項(xiàng)目管理的戰(zhàn)略層次，同時(shí)它是一種通用的架構(gòu)。它用8個(gè)過(guò)程（其中6個(gè)過(guò)程為項(xiàng)目管理的流程，指導(dǎo)項(xiàng)目(DP)與計(jì)劃(PL)在項(xiàng)目整個(gè)生命周期中支持其他6個(gè)流程）指明項(xiàng)目管理應(yīng)該做什么，但是沒(méi)有描述如何做？至于如何做？企業(yè)應(yīng)求助于咨詢(xún)公司或其他公司的案例，然后結(jié)合自身的情況。對(duì)于每個(gè)過(guò)程，PRINCE沒(méi)有提供具體實(shí)現(xiàn)技術(shù)和工具，用戶(hù)可根據(jù)實(shí)際需要，使用有益的任何工具，如甘特圖，關(guān)鍵路徑法、項(xiàng)目管理軟件等。PRINCE2提供的8個(gè)過(guò)程也僅僅作為參考過(guò)程，企業(yè)在具體實(shí)施時(shí)，必須依據(jù)項(xiàng)目的規(guī)模和需要對(duì)這些過(guò)程進(jìn)行剪裁。

哪個(gè)標(biāo)準(zhǔn)更好？

有趣的是，關(guān)于四個(gè)標(biāo)準(zhǔn)之間的對(duì)照研究似乎成了許多國(guó)際組織熱衷的研究項(xiàng)目，我們認(rèn)為與其研究這四者之間并不太多的重疊之處，倒不如深入探討這四者之間的互補(bǔ)關(guān)系。

·COBIT和ITIL的比較

COBIT基于已有的許多架構(gòu),如SEI的能力成熟度模型（CMM）對(duì)軟件企業(yè)成熟度5級(jí)的劃分，以及ISO9000等標(biāo)準(zhǔn)，COBIT在總結(jié)這些標(biāo)準(zhǔn)的基礎(chǔ)上重點(diǎn)關(guān)注企業(yè)需要什么，而不是企業(yè)需要如何做，它不包括具體的實(shí)施指南和實(shí)施步驟，它是一個(gè)控制架構(gòu)（Control Framework）而非具體如何做的過(guò)程架構(gòu)（Process Framework）。COBIT的"目標(biāo)聽(tīng)眾"是信息系統(tǒng)審計(jì)師，企業(yè)高級(jí)管理人員以及高級(jí)IT管理人員，如CIO。

ITIL基于企業(yè)的最佳實(shí)務(wù)（Best Practice），OGC收集和分析各種組織解決服務(wù)管理問(wèn)題方面的信息，找出那些對(duì)本部門(mén)和對(duì)英國(guó)政府其它部門(mén)有益的做法，最后形成了ITIL。它列出了各個(gè)服務(wù)管理流程"最佳"的目標(biāo)、活動(dòng)、輸入和輸出以及各個(gè)流程之間的關(guān)系，但沒(méi)定義范圍廣泛的控制架構(gòu)。它關(guān)注方法和實(shí)施過(guò)程。由于它關(guān)注IT服務(wù)管理（ITSM），它的視野相對(duì)COBIT來(lái)說(shuō)狹窄，但它對(duì)IT服務(wù)的提供和支持定義了更為詳細(xì)和更易理解的過(guò)程集。它的"目標(biāo)聽(tīng)眾"是IT人員和服務(wù)管理人員。

盡管兩個(gè)標(biāo)準(zhǔn)有著許多的不同之處，但在COBIT和ITIL背后卻有著非常一致的指導(dǎo)原則。信息系統(tǒng)審計(jì)師通常綜合使用COBIT和ITIL的自評(píng)估方法，去評(píng)估企業(yè)IT服務(wù)管理環(huán)境。COBIT為每一個(gè)過(guò)程提供了關(guān)鍵目標(biāo)指標(biāo)（KGIs）、關(guān)鍵績(jī)效指標(biāo)(KPIs)、關(guān)鍵成功要素(CSFs)，這些指標(biāo)與ITIL過(guò)程相結(jié)合，可以建立ITIL過(guò)程管理的基準(zhǔn)。在實(shí)際應(yīng)用中，某些企業(yè)綜合兩個(gè)標(biāo)準(zhǔn)提出了更易理解的適用于本企業(yè)環(huán)境的IT治理和運(yùn)行架構(gòu)。

很多COBIT的過(guò)程特別是交付與支持（DS）域的很多過(guò)程如DS1、DS3、DS4、DS8、 DS9和DS10與ITIL的過(guò)程有著很好的映射關(guān)系，如服務(wù)級(jí)別管理、成本管理、可用性管理、事故管理、問(wèn)題管理、配置管理、發(fā)布管理、容量能力管理。同樣AI6變更管理過(guò)程與ITIL中變更管理和其他服務(wù)支持過(guò)程如發(fā)布管理形成了較好的對(duì)應(yīng)關(guān)系。（對(duì)比表1、2）

·COBIT和ISO/IEC 17799的比較

ISO/IEC 17799強(qiáng)調(diào)信息安全管理體系的有效性、經(jīng)濟(jì)性、全面性、普遍性和開(kāi)放性，目的是為希望達(dá)到一定管理效果的組織提供一種高質(zhì)量、高實(shí)用性的參照。其最大特點(diǎn)就是廣泛但不深入，而且僅作參考之用。

與ISO/IEC 17799不同，COBIT完全基于IT，其IT準(zhǔn)則反映了企業(yè)的戰(zhàn)略目標(biāo)，IT資源包括人、系統(tǒng)、數(shù)據(jù)等相關(guān)資源，IT管理則是在IT準(zhǔn)則指導(dǎo)下對(duì)IT資源進(jìn)行規(guī)劃處理。COBIT在PO、AI、DS、M四個(gè)方面確定了34個(gè)處理過(guò)程以及318個(gè)詳細(xì)控制目標(biāo)。此外對(duì)每個(gè)過(guò)程還有評(píng)審工具。如圖5COBIT原理所示。

　　圖5 COBIT原理

　　資料來(lái)源：PWC

　　·COBIT和PRINCE2的比較

PRINCE2為包括IT項(xiàng)目在內(nèi)的項(xiàng)目管理提供了通用的管理方法，內(nèi)置了在項(xiàng)目管理實(shí)踐中已證明成功的最佳實(shí)踐，通過(guò)為所有參與者提供的通用語(yǔ)言，便于被廣泛理解和接受。PRINCE鼓勵(lì)對(duì)項(xiàng)目責(zé)任正式的確認(rèn)（誰(shuí)具體負(fù)責(zé)什么），強(qiáng)調(diào)項(xiàng)目交付什么（what）、為何交付（why）、交付時(shí)間（when）、為誰(shuí)交付（whom）。PRINCE能給項(xiàng)目帶給：

#可控的組織良好的開(kāi)端、過(guò)程、結(jié)尾

#在決策關(guān)鍵點(diǎn)（Decision Point）時(shí)重新審視項(xiàng)目計(jì)劃和業(yè)務(wù)狀況

#自動(dòng)管理和控制對(duì)計(jì)劃的任何偏離

#股東和高級(jí)管理者只是在恰當(dāng)?shù)臅r(shí)機(jī)介入項(xiàng)目

#在項(xiàng)目組、項(xiàng)目管理層、組織的其他人員間搭建暢通的交流通道

COBIT從戰(zhàn)略、戰(zhàn)術(shù)、技術(shù)等層面給出了如何有效管理IT項(xiàng)目。在PO10中專(zhuān)門(mén)給出了項(xiàng)目管理的方法論，詳細(xì)定義了13個(gè)具體控制目標(biāo)：項(xiàng)目管理架構(gòu)；用戶(hù)方參與項(xiàng)目啟動(dòng)；項(xiàng)目團(tuán)隊(duì)身份及其職責(zé)；項(xiàng)目定義；項(xiàng)目批準(zhǔn)；項(xiàng)目階段批準(zhǔn)；項(xiàng)目主要計(jì)劃；系統(tǒng)質(zhì)量保證計(jì)劃；保證方法計(jì)劃；正式的項(xiàng)目風(fēng)險(xiǎn)管理；測(cè)試計(jì)劃；培訓(xùn)計(jì)劃；實(shí)施后的評(píng)審計(jì)劃。除給出項(xiàng)目管理具體控制目標(biāo)外，COBIT還給出了與項(xiàng)目管理相關(guān)的關(guān)鍵成功要素(CSFs)，其定義了最重要的面向項(xiàng)目管理的實(shí)施指南，以達(dá)到對(duì)IT項(xiàng)目過(guò)程內(nèi)外部的控制；關(guān)鍵目標(biāo)指標(biāo)(KGIs),定義了一些尺度，便于在項(xiàng)目關(guān)鍵點(diǎn)（或里程碑），告訴管理者某個(gè)IT項(xiàng)目管理過(guò)程是否實(shí)現(xiàn)了其業(yè)務(wù)需求；關(guān)鍵績(jī)效指標(biāo)(KPIs)，定義的是IT項(xiàng)目管理過(guò)程在促使項(xiàng)目目標(biāo)達(dá)成時(shí)履行得有多好的尺度。

從兩者的比較我們可以看出，COBIT重點(diǎn)在于對(duì)13個(gè)"控制目標(biāo)"的管理上，PRINCE2典型的在于對(duì)8大"流程"的管理上。雖然二者從不同的角度出發(fā)認(rèn)識(shí)IT項(xiàng)目管理，但二者有許多共同之處。COBIT的項(xiàng)目中主要計(jì)劃，系統(tǒng)質(zhì)量保證計(jì)劃，保證方法計(jì)劃，測(cè)試計(jì)劃，培訓(xùn)計(jì)劃，實(shí)施后的評(píng)審計(jì)劃等控制目標(biāo)映射到PRINCE2的計(jì)劃（PL）流程；項(xiàng)目管理架構(gòu)等映射到PRINCE2的指導(dǎo)項(xiàng)目(DP)流程；PRINCE2的開(kāi)始項(xiàng)目(SU)和啟動(dòng)項(xiàng)目(IP)流程對(duì)應(yīng)著COBIT的用戶(hù)方參與項(xiàng)目啟動(dòng)，項(xiàng)目團(tuán)隊(duì)身份及其職責(zé)，項(xiàng)目定義；項(xiàng)目批準(zhǔn)，項(xiàng)目階段批準(zhǔn)，正式的項(xiàng)目風(fēng)險(xiǎn)管理則較好的被其它幾個(gè)PRINCE2流程所包含。當(dāng)然，在COBIT管理指南中我們不能明確看出對(duì)PRINCE2中結(jié)束項(xiàng)目(CP)流程相關(guān)的控制目標(biāo)，但COBIT的其他控制目標(biāo)以及審計(jì)指南等隱含包括了該流程的控制。

PRINCE2從流程的角度對(duì)項(xiàng)目管理中各個(gè)活動(dòng)進(jìn)行管理，比較便于項(xiàng)目管理的具體實(shí)施，而COBIT從控制目標(biāo)的角度闡述項(xiàng)目管理"應(yīng)該怎樣，應(yīng)該達(dá)到什么目標(biāo)"，這樣便于企業(yè)控制和評(píng)審項(xiàng)目管理整體過(guò)程的執(zhí)行情況。同時(shí)COBIT給出了項(xiàng)目管理成熟度模型，便于組織自評(píng)估或第三方評(píng)估企業(yè)項(xiàng)目管理的成熟度，從而不斷改進(jìn)項(xiàng)目管理的執(zhí)行過(guò)程。如圖6所示。

圖6 項(xiàng)目管理成熟度模型

　　資料來(lái)源：ISACF

當(dāng)然PRINCE2和COBIT的視野并不僅僅限于對(duì)具體項(xiàng)目的管理。它們不僅包括項(xiàng)目級(jí)的管理，而且涵蓋了在組織范圍對(duì)項(xiàng)目的管理，目的在于企業(yè)級(jí)的項(xiàng)目管理（Enterprise Project Management, EPM）或者稱(chēng)為項(xiàng)目治理（Project Governance）。從企業(yè)長(zhǎng)期發(fā)展戰(zhàn)略的高度來(lái)規(guī)劃項(xiàng)目管理。如圖7所示。

　　資料來(lái)源：ISACF

同時(shí)，對(duì)于每個(gè)過(guò)程和控制目標(biāo)，PRINCE2與COBIT僅僅指明了"該做什么"，至于"如何做"，二者都沒(méi)有提供具體實(shí)現(xiàn)技術(shù)和工具，用戶(hù)可以根據(jù)實(shí)際需要使用有益的任何工具，如甘特圖，關(guān)鍵路徑法、項(xiàng)目管理軟件、風(fēng)險(xiǎn)管理軟件等。PRINCE2提供的8個(gè)過(guò)程與COBIT提供的13個(gè)控制目標(biāo)也僅僅作為參考過(guò)程和控制目標(biāo)，企業(yè)在具體實(shí)施時(shí)，必須依據(jù)項(xiàng)目的規(guī)模和需要對(duì)這些過(guò)程和控制目標(biāo)進(jìn)行適當(dāng)?shù)募舨谩?

·四個(gè)標(biāo)準(zhǔn)間的相互聯(lián)系

為了更有效地實(shí)現(xiàn)股東的價(jià)值，IT需要在既定的時(shí)間內(nèi)支持企業(yè)業(yè)務(wù)的發(fā)展，提高服務(wù)質(zhì)量、有效控制風(fēng)險(xiǎn)、銳減服務(wù)成本以及縮短產(chǎn)品交付周期。如圖8所示：

　　圖8 IT與企業(yè)戰(zhàn)略

　　資料來(lái)源：PWC

為了實(shí)現(xiàn)上述目標(biāo)，需要做到對(duì)IT組織結(jié)構(gòu)和角色、量度、過(guò)程、技術(shù)、控制以及人員等方面進(jìn)行管理。如圖9所示：

　　圖9 IT管理要素模型圖

　　資料來(lái)源：PWC

COBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有優(yōu)勢(shì)，如圖10所示。具體分述如下：

$ COBIT重點(diǎn)在于IT控制和IT度量評(píng)價(jià)

$ ITIL重點(diǎn)在于IT過(guò)程管理，強(qiáng)調(diào)IT支持和IT交付

$ ISO/IEC17799重點(diǎn)在于IT安全控制

$ PRINCE2重點(diǎn)在于項(xiàng)目管理，強(qiáng)調(diào)項(xiàng)目的可控性，明確項(xiàng)目管理中人員、角色的具體職責(zé)，同時(shí)實(shí)現(xiàn)項(xiàng)目管理質(zhì)量的不斷改進(jìn)。

　　圖10 IT管理要素與四個(gè)標(biāo)準(zhǔn)映射圖

　　資料來(lái)源：PWC

總之，四個(gè)標(biāo)準(zhǔn)架構(gòu)發(fā)展過(guò)程盡管并不一致，但本質(zhì)上這四者并不相互排斥，通過(guò)整合COBIT、 ITIL、ISO/IEC17799和PRINCE2，在企業(yè)中實(shí)施善治的IT治理戰(zhàn)略，將對(duì)企業(yè)IT戰(zhàn)略發(fā)展和企業(yè)戰(zhàn)略發(fā)展有莫大的幫助。

剪裁與實(shí)施

今年以來(lái)，官、產(chǎn)、學(xué)及媒體對(duì)信息化建設(shè)進(jìn)程中存在的深層次的問(wèn)題，諸如"IT與業(yè)務(wù)的融合"、"信息系統(tǒng)工程監(jiān)理向何處去"、"信息中心的轉(zhuǎn)制與走向"、"IT治理、公司治理及企業(yè)治理的關(guān)系"、"信息主管、CIO的治理結(jié)構(gòu)"、"信息系統(tǒng)審計(jì)對(duì)IT投資有效的監(jiān)督和控制作用"、"規(guī)范、標(biāo)準(zhǔn)化的IT服務(wù)管理流程的重要性"等，展開(kāi)全方位的、深度的探討，以期重新認(rèn)識(shí)IT的定位、作用和價(jià)值，共同促進(jìn)建設(shè)有效益的、可持續(xù)發(fā)展的信息化。COBIT、 ITIL、ISO/IEC17799和PRINCE2作為全球公認(rèn)的輔助IT治理的工具，或許給我們探索以上難題提供了一條新道路。

在組織中具體應(yīng)用這些標(biāo)準(zhǔn)時(shí)，我們的建議是：

1、 要專(zhuān)注于解決組織信息化過(guò)程中最大的問(wèn)題。因?yàn)閷?duì)于任何一個(gè)組織而言，采用整套標(biāo)準(zhǔn)都是不可行的，相反地，應(yīng)該從最大的問(wèn)題著手；

2、 通過(guò)對(duì)模型的剪裁找出最適合本企業(yè)環(huán)境的實(shí)施方案；

3、 先完成培訓(xùn)再進(jìn)行組織變革，并在單一領(lǐng)域內(nèi)(如培訓(xùn)經(jīng)驗(yàn))取得一定成績(jī)后，再轉(zhuǎn)向其它有問(wèn)題的領(lǐng)域。

4、 在開(kāi)始項(xiàng)目之前，評(píng)估一下目前的環(huán)境，這樣就有利于評(píng)測(cè)出進(jìn)展的效果。

此外，組織在具體實(shí)施的過(guò)程中，其他組織成功實(shí)施的案例、培訓(xùn)機(jī)構(gòu)和第三方咨詢(xún)機(jī)構(gòu)都可以提供很好的幫助。

總結(jié)

COBIT、 ITIL、ISO/IEC17799和PRINCE2都是IT治理領(lǐng)域全球公認(rèn)的輔助工具。采納何種標(biāo)準(zhǔn)的關(guān)鍵在于：發(fā)掘你的真正需求，對(duì)標(biāo)準(zhǔn)進(jìn)行剪裁制定最適合的實(shí)施方案，然后持續(xù)改善。這將給組織帶來(lái)諸多益處，這其中就包括當(dāng)前業(yè)界普遍關(guān)心的提高IT投資回報(bào)率難題。