監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

整合COBIT、ITIL、ISO/IEC17799和PRINCE2構(gòu)建善治的IT治理機(jī)制(下)(by 孫強(qiáng) 李長征)

申請免費(fèi)試用、咨詢電話:400-8352-114

AMTeam.org

整合COBIT、ITIL、ISO/IEC17799和PRINCE2  構(gòu)建善治的IT治理機(jī)制(下)

孫強(qiáng)  李長征

哪個(gè)標(biāo)準(zhǔn)更好?

有趣的是,關(guān)于四個(gè)標(biāo)準(zhǔn)之間的對照研究似乎成了許多國際組織熱衷的研究項(xiàng)目,我們認(rèn)為與其研究這四者之間并不太多的重疊之處,倒不如深入探討這四者之間的互補(bǔ)關(guān)系。

COBIT和ITIL的比較

COBIT基于已有的許多架構(gòu),如SEI的能力成熟度模型(CMM)對軟件企業(yè)成熟度5級的劃分,以及ISO9000等標(biāo)準(zhǔn),COBIT在總結(jié)這些標(biāo)準(zhǔn)的基礎(chǔ)上重點(diǎn)關(guān)注企業(yè)需要什么,而不是企業(yè)需要如何做,它不包括具體的實(shí)施指南和實(shí)施步驟,它是一個(gè)控制架構(gòu)(Control Framework)而非具體如何做的過程架構(gòu)(Process Framework)。COBIT的“目標(biāo)聽眾”是信息系統(tǒng)審計(jì)師,企業(yè)高級管理人員以及高級IT管理人員,如CIO。

ITIL基于企業(yè)的最佳實(shí)務(wù)(Best Practice),OGC收集和分析各種組織解決服務(wù)管理問題方面的信息,找出那些對本部門和對英國政府其它部門有益的做法,最后形成了ITIL。它列出了各個(gè)服務(wù)管理流程“最佳”的目標(biāo)、活動、輸入和輸出以及各個(gè)流程之間的關(guān)系,但沒定義范圍廣泛的控制架構(gòu)。它關(guān)注方法和實(shí)施過程。由于它關(guān)注IT服務(wù)管理(ITSM),它的視野相對COBIT來說狹窄,但它對IT服務(wù)的提供和支持定義了更為詳細(xì)和更易理解的過程集。它的“目標(biāo)聽眾”是IT人員和服務(wù)管理人員。

盡管兩個(gè)標(biāo)準(zhǔn)有著許多的不同之處,但在COBIT和ITIL背后卻有著非常一致的指導(dǎo)原則。信息系統(tǒng)審計(jì)師通常綜合使用COBIT和ITIL的自評估方法,去評估企業(yè)IT服務(wù)管理環(huán)境。COBIT為每一個(gè)過程提供了關(guān)鍵目標(biāo)指標(biāo)(KGIs)、關(guān)鍵績效指標(biāo)(KPIs)、關(guān)鍵成功要素(CSFs),這些指標(biāo)與ITIL過程相結(jié)合,可以建立ITIL過程管理的基準(zhǔn)。在實(shí)際應(yīng)用中,某些企業(yè)綜合兩個(gè)標(biāo)準(zhǔn)提出了更易理解的適用于本企業(yè)環(huán)境的IT治理和運(yùn)行架構(gòu)。

很多COBIT的過程特別是交付與支持(DS)域的很多過程如DS1、DS3、DS4、DS8、 DS9和DS10與ITIL的過程有著很好的映射關(guān)系,如服務(wù)級別管理、成本管理、可用性管理、事故管理、問題管理、配置管理、發(fā)布管理、容量能力管理。同樣AI6變更管理過程與ITIL中變更管理和其他服務(wù)支持過程如發(fā)布管理形成了較好的對應(yīng)關(guān)系。(對比表1、2)

COBIT和ISO/IEC 17799的比較

ISO/IEC 17799強(qiáng)調(diào)信息安全管理體系的有效性、經(jīng)濟(jì)性、全面性、普遍性和開放性,目的是為希望達(dá)到一定管理效果的組織提供一種高質(zhì)量、高實(shí)用性的參照。其最大特點(diǎn)就是廣泛但不深入,而且僅作參考之用。

與ISO/IEC 17799不同,COBIT完全基于IT,其IT準(zhǔn)則反映了企業(yè)的戰(zhàn)略目標(biāo),IT資源包括人、系統(tǒng)、數(shù)據(jù)等相關(guān)資源,IT管理則是在IT準(zhǔn)則指導(dǎo)下對IT資源進(jìn)行規(guī)劃處理。COBIT在PO、AI、DS、M四個(gè)方面確定了34個(gè)處理過程以及318個(gè)詳細(xì)控制目標(biāo)。此外對每個(gè)過程還有評審工具。如圖5COBIT原理所示。

資料來源:PWC

COBIT和PRINCE2的比較

PRINCE2為包括IT項(xiàng)目在內(nèi)的項(xiàng)目管理提供了通用的管理方法,內(nèi)置了在項(xiàng)目管理實(shí)踐中已證明成功的最佳實(shí)踐,通過為所有參與者提供的通用語言,便于被廣泛理解和接受。PRINCE鼓勵(lì)對項(xiàng)目責(zé)任正式的確認(rèn)(誰具體負(fù)責(zé)什么),強(qiáng)調(diào)項(xiàng)目交付什么(what)、為何交付(why)、交付時(shí)間(when)、為誰交付(whom)。PRINCE能給項(xiàng)目帶給:

·可控的組織良好的開端、過程、結(jié)尾
·在決策關(guān)鍵點(diǎn)(Decision Point)時(shí)重新審視項(xiàng)目計(jì)劃和業(yè)務(wù)狀況
·自動管理和控制對計(jì)劃的任何偏離
·股東和高級管理者只是在恰當(dāng)?shù)臅r(shí)機(jī)介入項(xiàng)目
·在項(xiàng)目組、項(xiàng)目管理層、組織的其他人員間搭建暢通的交流通道

COBIT從戰(zhàn)略、戰(zhàn)術(shù)、技術(shù)等層面給出了如何有效管理IT項(xiàng)目。在PO10中專門給出了項(xiàng)目管理的方法論,詳細(xì)定義了13個(gè)具體控制目標(biāo):項(xiàng)目管理架構(gòu);用戶方參與項(xiàng)目啟動;項(xiàng)目團(tuán)隊(duì)身份及其職責(zé);項(xiàng)目定義;項(xiàng)目批準(zhǔn);項(xiàng)目階段批準(zhǔn);項(xiàng)目主要計(jì)劃;系統(tǒng)質(zhì)量保證計(jì)劃;保證方法計(jì)劃;正式的項(xiàng)目風(fēng)險(xiǎn)管理;測試計(jì)劃;培訓(xùn)計(jì)劃;實(shí)施后的評審計(jì)劃。除給出項(xiàng)目管理具體控制目標(biāo)外,COBIT還給出了與項(xiàng)目管理相關(guān)的關(guān)鍵成功要素(CSFs),其定義了最重要的面向項(xiàng)目管理的實(shí)施指南,以達(dá)到對IT項(xiàng)目過程內(nèi)外部的控制;關(guān)鍵目標(biāo)指標(biāo)(KGIs),定義了一些尺度,便于在項(xiàng)目關(guān)鍵點(diǎn)(或里程碑),告訴管理者某個(gè)IT項(xiàng)目管理過程是否實(shí)現(xiàn)了其業(yè)務(wù)需求;關(guān)鍵績效指標(biāo)(KPIs),定義的是IT項(xiàng)目管理過程在促使項(xiàng)目目標(biāo)達(dá)成時(shí)履行得有多好的尺度。

從兩者的比較我們可以看出,COBIT重點(diǎn)在于對13個(gè)“控制目標(biāo)”的管理上,PRINCE2典型的在于對8大“流程”的管理上。雖然二者從不同的角度出發(fā)認(rèn)識IT項(xiàng)目管理,但二者有許多共同之處。COBIT的項(xiàng)目中主要計(jì)劃,系統(tǒng)質(zhì)量保證計(jì)劃,保證方法計(jì)劃,測試計(jì)劃,培訓(xùn)計(jì)劃,實(shí)施后的評審計(jì)劃等控制目標(biāo)映射到PRINCE2的計(jì)劃(PL)流程;項(xiàng)目管理架構(gòu)等映射到PRINCE2的指導(dǎo)項(xiàng)目(DP)流程;PRINCE2的開始項(xiàng)目(SU)和啟動項(xiàng)目(IP)流程對應(yīng)著COBIT的用戶方參與項(xiàng)目啟動,項(xiàng)目團(tuán)隊(duì)身份及其職責(zé),項(xiàng)目定義;項(xiàng)目批準(zhǔn),項(xiàng)目階段批準(zhǔn),正式的項(xiàng)目風(fēng)險(xiǎn)管理則較好的被其它幾個(gè)PRINCE2流程所包含。當(dāng)然,在COBIT管理指南中我們不能明確看出對PRINCE2中結(jié)束項(xiàng)目(CP)流程相關(guān)的控制目標(biāo),但COBIT的其他控制目標(biāo)以及審計(jì)指南等隱含包括了該流程的控制。

PRINCE2從流程的角度對項(xiàng)目管理中各個(gè)活動進(jìn)行管理,比較便于項(xiàng)目管理的具體實(shí)施,而COBIT從控制目標(biāo)的角度闡述項(xiàng)目管理“應(yīng)該怎樣,應(yīng)該達(dá)到什么目標(biāo)”,這樣便于企業(yè)控制和評審項(xiàng)目管理整體過程的執(zhí)行情況。同時(shí)COBIT給出了項(xiàng)目管理成熟度模型,便于組織自評估或第三方評估企業(yè)項(xiàng)目管理的成熟度,從而不斷改進(jìn)項(xiàng)目管理的執(zhí)行過程。如圖6所示。

圖6 項(xiàng)目管理成熟度模型

資料來源:ISACF

當(dāng)然PRINCE2和COBIT的視野并不僅僅限于對具體項(xiàng)目的管理。它們不僅包括項(xiàng)目級的管理,而且涵蓋了在組織范圍對項(xiàng)目的管理,目的在于企業(yè)級的項(xiàng)目管理(Enterprise Project Management, EPM)或者稱為項(xiàng)目治理(Project Governance)。從企業(yè)長期發(fā)展戰(zhàn)略的高度來規(guī)劃項(xiàng)目管理。如圖7所示。

資料來源:ISACF

同時(shí),對于每個(gè)過程和控制目標(biāo),PRINCE2與COBIT僅僅指明了“該做什么”,至于“如何做”,二者都沒有提供具體實(shí)現(xiàn)技術(shù)和工具,用戶可以根據(jù)實(shí)際需要使用有益的任何工具,如甘特圖,關(guān)鍵路徑法、項(xiàng)目管理軟件、風(fēng)險(xiǎn)管理軟件等。PRINCE2提供的8個(gè)過程與COBIT提供的13個(gè)控制目標(biāo)也僅僅作為參考過程和控制目標(biāo),企業(yè)在具體實(shí)施時(shí),必須依據(jù)項(xiàng)目的規(guī)模和需要對這些過程和控制目標(biāo)進(jìn)行適當(dāng)?shù)募舨谩?/FONT>

四個(gè)標(biāo)準(zhǔn)間的相互聯(lián)系

為了更有效地實(shí)現(xiàn)股東的價(jià)值,IT需要在既定的時(shí)間內(nèi)支持企業(yè)業(yè)務(wù)的發(fā)展,提高服務(wù)質(zhì)量、有效控制風(fēng)險(xiǎn)、銳減服務(wù)成本以及縮短產(chǎn)品交付周期。如圖8所示:

資料來源:PWC

為了實(shí)現(xiàn)上述目標(biāo),需要做到對IT組織結(jié)構(gòu)和角色、量度、過程、技術(shù)、控制以及人員等方面進(jìn)行管理。如圖9所示:

資料來源:PWC

COBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有優(yōu)勢,如圖10所示。具體分述如下:

·COBIT重點(diǎn)在于IT控制和IT度量評價(jià)
·ITIL重點(diǎn)在于IT過程管理,強(qiáng)調(diào)IT支持和IT交付
·ISO/IEC17799重點(diǎn)在于IT安全控制
·PRINCE2重點(diǎn)在于項(xiàng)目管理,強(qiáng)調(diào)項(xiàng)目的可控性,明確項(xiàng)目管理中人員、角色的具體職責(zé),同時(shí)實(shí)現(xiàn)項(xiàng)目管理質(zhì)量的不斷改進(jìn)。

資料來源:PWC

總之,四個(gè)標(biāo)準(zhǔn)架構(gòu)發(fā)展過程盡管并不一致,但本質(zhì)上這四者并不相互排斥,通過整合COBIT、 ITIL、ISO/IEC17799和PRINCE2,在企業(yè)中實(shí)施善治的IT治理戰(zhàn)略,將對企業(yè)IT戰(zhàn)略發(fā)展和企業(yè)戰(zhàn)略發(fā)展有莫大的幫助。

剪裁與實(shí)施

今年以來,官、產(chǎn)、學(xué)及媒體對信息化建設(shè)進(jìn)程中存在的深層次的問題,諸如“IT與業(yè)務(wù)的融合”、“信息系統(tǒng)工程監(jiān)理向何處去”、“信息中心的轉(zhuǎn)制與走向”、“IT治理、公司治理及企業(yè)治理的關(guān)系”、“信息主管、CIO的治理結(jié)構(gòu)”、“信息系統(tǒng)審計(jì)對IT投資有效的監(jiān)督和控制作用”、“規(guī)范、標(biāo)準(zhǔn)化的IT服務(wù)管理流程的重要性”等,展開全方位的、深度的探討,以期重新認(rèn)識IT的定位、作用和價(jià)值,共同促進(jìn)建設(shè)有效益的、可持續(xù)發(fā)展的信息化。COBIT、 ITIL、ISO/IEC17799和PRINCE2作為全球公認(rèn)的輔助IT治理的工具,或許給我們探索以上難題提供了一條新道路。

在組織中具體應(yīng)用這些標(biāo)準(zhǔn)時(shí),我們的建議是:
1、 要專注于解決組織信息化過程中最大的問題。因?yàn)閷τ谌魏我粋€(gè)組織而言,采用整套標(biāo)準(zhǔn)都是不可行的,相反地,應(yīng)該從最大的問題著手;
2、 通過對模型的剪裁找出最適合本企業(yè)環(huán)境的實(shí)施方案;
3、 先完成培訓(xùn)再進(jìn)行組織變革,并在單一領(lǐng)域內(nèi)(如培訓(xùn)經(jīng)驗(yàn))取得一定成績后,再轉(zhuǎn)向其它有問題的領(lǐng)域。
4、 在開始項(xiàng)目之前,評估一下目前的環(huán)境,這樣就有利于評測出進(jìn)展的效果。

此外,組織在具體實(shí)施的過程中,其他組織成功實(shí)施的案例、培訓(xùn)機(jī)構(gòu)和第三方咨詢機(jī)構(gòu)都可以提供很好的幫助。

總結(jié)

COBIT、 ITIL、ISO/IEC17799和PRINCE2都是IT治理領(lǐng)域全球公認(rèn)的輔助工具。采納何種標(biāo)準(zhǔn)的關(guān)鍵在于:發(fā)掘你的真正需求,對標(biāo)準(zhǔn)進(jìn)行剪裁制定最適合的實(shí)施方案,然后持續(xù)改善。這將給組織帶來諸多益處,這其中就包括當(dāng)前業(yè)界普遍關(guān)心的提高IT投資回報(bào)率難題。

本文由作者向AMT提供
作者聯(lián)系方式:sun6869@tom.com

發(fā)布:2007-03-25 10:10    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
長沙OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢