隨著互聯(lián)網(wǎng)與各行各業(yè)尤其是大型的和機(jī)構(gòu)之間的聯(lián)系越來越緊密，IT治理已經(jīng)成為這些企業(yè)和機(jī)構(gòu)信息化建設(shè)過程中不可或缺的環(huán)節(jié)。中培偉業(yè)《IT治理與審計最佳實(shí)踐（CISA）認(rèn)證》培訓(xùn)專家張老師指出，IT治理模型包括CoBIT、ITIL、ISO/IEC 17799和PRINCE2。在具體的IT治理工作中，如何合理地應(yīng)用這些模型，它們之間存在哪些差異?

自提出IT治理以來，全世界各國組織和專家都投入了很大的精力來研究IT治理架構(gòu)，并提出了很多行之有效的模型。其中較為成熟的模型有美國IT治理研究院的CoBIT、英國政府的IT服務(wù)管理標(biāo)準(zhǔn)模型ITIL、國際信息安全管理標(biāo)準(zhǔn)模型ISO/IEC17799、IT項(xiàng)目管理的標(biāo)準(zhǔn)模型PRINCE2等。在具體的IT治理工作中，如何合理地應(yīng)用這些模型，它們之間存在哪些差異?

CoBIT VS. ITIL

CoBIT基于己有的許多架構(gòu)，如SEI(Software Engineering Institute)的能力成熟度模型、CMM對軟件企業(yè)成熟度5級的劃分，以及IS09000等標(biāo)準(zhǔn)，CoBIT在總結(jié)這些標(biāo)準(zhǔn)的基礎(chǔ)上重點(diǎn)關(guān)注企業(yè)需要什么，而不是企業(yè)需要如何做。它不包括具體的實(shí)施指南和實(shí)施步驟，它是一個控制架構(gòu)(Control Framework)，而非具體過程架構(gòu)(Process Framework)。CoBIT從戰(zhàn)略、戰(zhàn)術(shù)、運(yùn)營層面給出了對IT的評測、量度和審計方法，它的目標(biāo)聽眾是信息系統(tǒng)審計人員、企業(yè)高級管理人員以及高級IT管理人員，如CIO。

ITIL基于企業(yè)的最佳實(shí)務(wù)(Best Practice)，英國政府收集和分析各種組織解決服務(wù)管理問題方面的信息，找出那些對本部門和對其它部門有益的做法，最后形成了ITIL。它列出了各個服務(wù)管理流程最佳的目標(biāo)、活動、輸入和輸出以及各個流程之間的關(guān)系，但沒定義范圍廣泛的控制架構(gòu)。它關(guān)注方法和實(shí)施過程。由于它關(guān)注IT服務(wù)管理(ITSM)，它的視野相對CoBIT來說狹窄，主要關(guān)注IT的戰(zhàn)術(shù)和運(yùn)營層面。它的目標(biāo)聽眾是IT人員和服務(wù)管理人員。

盡管兩個標(biāo)準(zhǔn)有著許多的不同之處，但CoBIT和ITIL卻有著非常一致的指導(dǎo)原則。信息系統(tǒng)審計人員通常綜合使用CoBIT和ITIL的自評估方法，去評估企業(yè)IT服務(wù)管理環(huán)境。CoBIT為每一個過程提供了關(guān)鍵目標(biāo)指示(KGIs)、關(guān)鍵績效指標(biāo)(KPIs)、關(guān)鍵成功要素(CSFs)，與ITIL過程相結(jié)合可以建立ITIL過程管理的基準(zhǔn)。

CoBIT VS. ISO/IEC17799

ISO/IEC17799強(qiáng)調(diào)信息安全管理體系的有效性、經(jīng)濟(jì)性、全面性、普遍性和開放性，目的是為希望達(dá)到一定管理效果的組織提供一種高質(zhì)量、高實(shí)用性的參照。其最大特點(diǎn)就是廣泛但不深入，而且僅作參考之用。

ISO/IEC17799不同，CoBIT完全基于IT，其IT準(zhǔn)則反映了企業(yè)的戰(zhàn)略目標(biāo)，IT資源包括人、系統(tǒng)、數(shù)據(jù)等相關(guān)資源，IT管理則是在IT準(zhǔn)則指導(dǎo)下對IT資源進(jìn)行規(guī)劃處理。

CoBIT VS. PRINCE2

PRINCE2為包括IT項(xiàng)目在內(nèi)的項(xiàng)目管理提供了通用的管理方法，內(nèi)置了在項(xiàng)目管理實(shí)踐中已證明成功的最佳實(shí)踐(best practice)，為所有參與者提供通用語言，便于被廣泛理解和接受。PRINCE能帶給項(xiàng)目：

1. 可控組織良好的開端、過程、結(jié)尾;

2. 在決策關(guān)鍵點(diǎn)(decision point)時重新審視項(xiàng)目計劃和業(yè)務(wù)狀況;

3. 自動管理和控制對計劃的任何偏離;

4. 股東和高級管理者只是在恰當(dāng)?shù)臅r機(jī)介入項(xiàng)目;

5. 在項(xiàng)目組、項(xiàng)目管理層、組織的其他人員間搭建暢通的交流通道。

CoBIT從戰(zhàn)略、戰(zhàn)術(shù)、技術(shù)等層面給出了如何有效管理IT項(xiàng)目,詳細(xì)定義了13個具體控制目標(biāo)：項(xiàng)目管理架構(gòu)、用戶方參與項(xiàng)目啟動、項(xiàng)目團(tuán)隊(duì)身份及其職責(zé)、項(xiàng)目定義、項(xiàng)目批準(zhǔn)、項(xiàng)目階段批準(zhǔn)、項(xiàng)目主要計劃、系統(tǒng)質(zhì)量保證計劃、保證方法計劃、正式的項(xiàng)目風(fēng)險管理、測試計劃、培訓(xùn)計劃、實(shí)施后的評審計劃。除給出項(xiàng)目管理具體控制目標(biāo)外，CoBIT還給出了與項(xiàng)目管理相關(guān)的關(guān)鍵成功要素(Critical Success Factors)，定義了最重要的面向項(xiàng)目管理的實(shí)施指南，以達(dá)到對IT項(xiàng)目過程內(nèi)外部的控制。關(guān)鍵目標(biāo)指標(biāo)(Key Goal Indicators)，定義了一些尺度，便于在項(xiàng)目關(guān)鍵點(diǎn)(或里程碑)，告訴管理者某個IT項(xiàng)目管理過程是否實(shí)現(xiàn)了其業(yè)務(wù)需求;關(guān)鍵性能指標(biāo)(Key Performance Indicators)，定義的是IT項(xiàng)目管理過程在促使項(xiàng)目目標(biāo)達(dá)成時履行的尺度。

從兩者的比較我們可以看出，CoBIT重點(diǎn)在于對13個控制目標(biāo)的管理上，PRINCE2在于對流程的管理上。

PRINCE2從流程的角度對項(xiàng)目管理中各個活動進(jìn)行管理，比較便于項(xiàng)目管理的具體實(shí)施，而CoBIT從控制目標(biāo)的角度闡述項(xiàng)目管理“應(yīng)該怎樣，應(yīng)該達(dá)到什么目標(biāo)”，這樣便于企業(yè)控制和評審項(xiàng)目管理整體過程的執(zhí)行情況。同時,CoBIT給出了項(xiàng)目管理成熟度模型，便于組織自評估或第三方評估企業(yè)項(xiàng)目管理的成熟度，從而不斷改進(jìn)項(xiàng)目管理的執(zhí)行過程。

當(dāng)然PRINCE2和CoBIT的視野并不僅僅限于對具體項(xiàng)目的管理。它們不僅包括項(xiàng)目級的管理，而且涵蓋了在組織范圍對項(xiàng)目的管理，目的在于企業(yè)級的項(xiàng)目管理(Enterprise Project Management，EPM)或者稱為項(xiàng)目治理(Project Governance)。從企業(yè)長期發(fā)展戰(zhàn)略的高度來規(guī)劃項(xiàng)目管理。

同時，對于每個過程和控制目標(biāo)，PRINCE與CoBIT僅僅指明了“該做什么”至于“如何做”兩者都沒有提供具體實(shí)現(xiàn)技術(shù)和工具，你可以根據(jù)實(shí)際需要使用任何對你有幫助的工具，如甘特圖、關(guān)鍵路徑、project軟件、風(fēng)險控制軟件等。

整合實(shí)施戰(zhàn)略

為了實(shí)現(xiàn)IT治理戰(zhàn)略的目標(biāo)，我們需要做到對IT組織結(jié)構(gòu)和角色、量度、過程、技術(shù)、控制以及人員等方面進(jìn)行管理。

CoBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有優(yōu)勢，具體體現(xiàn)為：

1. CoBIT重點(diǎn)在于IT控制和IT度量;

2. ITIL重點(diǎn)在于IT過程管理，強(qiáng)調(diào)IT支持和IT交付;

3. ISO/IEC17799重點(diǎn)在于IT安全控制;

4. PRICE2重點(diǎn)在于項(xiàng)目管理，強(qiáng)調(diào)項(xiàng)目的可控性，明確項(xiàng)目管理中人員、角色的具體職責(zé)，同時實(shí)現(xiàn)項(xiàng)目管理質(zhì)量的不斷改進(jìn)。

在組織中具體應(yīng)用IT治理架構(gòu)模型時，應(yīng)該注意：

1. 要專注于解決組織信息化過程中最大的問題。因?yàn)閷τ谌魏我粋€組織而言，采用整套標(biāo)準(zhǔn)都是不可行的，相反地，應(yīng)該從最大的問題著手;

2. 通過對模型的剪裁找出最適合本企業(yè)環(huán)境的實(shí)施方案;

3. 先完成培訓(xùn)再進(jìn)行組織變革，并在單一領(lǐng)域內(nèi)(如培訓(xùn)經(jīng)驗(yàn))取得一定成績后，再轉(zhuǎn)向其它有問題的領(lǐng)域;

4. 在開始項(xiàng)目之前，評估一下目前的環(huán)境，這樣有利于評測出進(jìn)展的效果。

此外，組織在具體實(shí)施的過程中，其他組織成功實(shí)施的案例、培訓(xùn)機(jī)構(gòu)和第三方咨詢機(jī)構(gòu)都可以提供很好的幫助。