四種IT治理方法（轉載）

IT治理模型包括CoBIT、ITIL、ISO/IEC 17799和PRINCE2。在具體的IT治理工作中，如何合理地應用這些模型，它們之間存在哪些差異？ 　　自提出IT治理以來，全世界各國組織和專家都投入了很大的精力來研究IT治理架構，並提出了很多行之有效的模型。其中較為成熟的模型有美國IT治理研究院的CoBIT、英國政府的IT服務管理標準模型ITIL、國際資訊保安管理標準模型ISO/IEC17799、IT專案管理的標準模型PRINCE2等。在具體的IT治理工作中，如何合理地應用這些模型，它們之間存在哪些差異？ 圖1 專案治理結構模型 圖2 IT治理目標的整合 圖3 4種模型有機融合 　　CoBIT VS. ITIL 　　CoBIT基於己有的許多架構，如SEI(Software Engineering Institute)的能力成熟度模型、CMM對軟體企業成熟度5級的劃分，以及IS09000等標準，CoBIT在總結這些標準的基礎上重點關注企業需要什麼，而不是企業需要如何做。它不包括具體的實施指南和實施步驟，它是一個控制架構(Control Framework)，而非具體過程架構(Process Framework)。CoBIT從戰略、戰術、運營層面給出了對IT的評測、量度和審計方法，它的目標聽眾是資訊系統審計人員、企業高階管理人員以及高階IT管理人員，如CIO。 　　ITIL基於企業的最佳實務(Best Practice)，英國政府收集和分析各種組織解決服務管理問題方面的資訊，找出那些對本部門和對其它部門有益的做法，最後形成了ITIL。它列出了各個服務管理流程最佳的目標、活動、輸入和輸出以及各個流程之間的關係，但沒定義範圍廣泛的控制架構。它關注方法和實施過程。由於它關注IT服務管理(ITSM)，它的視野相對CoBIT來說狹窄，主要關注IT的戰術和運營層面。它的目標聽眾是IT人員和服務管理人員。 　　儘管兩個標準有著許多的不同之處，但CoBIT和ITIL卻有著非常一致的指導原則。資訊系統審計人員通常綜合使用CoBIT和ITIL的自評估方法，去評估企業IT服務管理環境。CoBIT為每一個過程提供了關鍵目標指示(KGIs)、關鍵績效指標(KPIs)、關鍵成功要素(CSFs)，與ITIL過程相結合可以建立ITIL過程管理的基準。 　　CoBIT VS. ISO/IEC17799 　　ISO/IEC17799強調資訊保安管理體系的有效性、經濟性、全面性、普遍性和開放性，目的是為希望達到一定管理效果的組織提供一種高質量、高實用性的參照。其最大特點就是廣泛但不深入，而且僅作參考之用。 　　與ISO/IEC17799不同，CoBIT完全基於IT，其IT準則反映了企業的戰略目標，IT資源包括人、系統、資料等相關資源，IT管理則是在IT準則指導下對IT資源進行規劃處理。 　　CoBIT VS. PRINCE2 　　PRINCE2為包括IT專案在內的專案管理提供了通用的管理方法，內建了在專案管理實踐中已證明成功的最佳實踐(best practice)，為所有參與者提供通用語言，便於被廣泛理解和接受。PRINCE能帶給專案： 　　1.可控組織良好的開端、過程、結尾； 　　2.在決策關鍵點(decision point)時重新審視專案計劃和業務狀況； 　　3.自動管理和控制對計劃的任何偏離； 　　4.股東和高階管理者只是在恰當的時機介入專案； 　　5.在專案組、專案管理層、組織的其他人員間搭建暢通的交流通道。 　　CoBIT從戰略、戰術、技術等層面給出瞭如何有效管理IT專案,詳細定義了13個具體控制目標：專案管理架構、使用者方參與專案啟動、專案團隊身份及其職責、專案定義、專案批准、專案階段批准、專案主要計劃、系統質量保證計劃、保證方法計劃、正式的專案風險管理、測試計劃、培訓計劃、實施後的評審計劃。除給出專案管理具體控制目標外，CoBIT還給出了與專案管理相關的關鍵成功要素(Critical Success Factors)，定義了最重要的面向專案管理的實施指南，以達到對IT專案過程內外部的控制。關鍵目標指標(Key Goal Indicators)，定義了一些尺度，便於在專案關鍵點(或里程碑)，告訴管理者某個IT專案管理過程是否實現了其業務需求；關鍵效能指標(Key Performance Indicators)，定義的是IT專案管理過程在促使專案目標達成時履行的尺度。 　　從兩者的比較我們可以看出，CoBIT重點在於對13個控制目標的管理上，PRINCE2在於對流程的管理上。 　　PRINCE2從流程的角度對專案管理中各個活動進行管理，比較便於專案管理的具體實施，而CoBIT從控制目標的角度闡述專案管理“應該怎樣，應該達到什麼目標”，這樣便於企業控制和評審專案管理整體過程的執行情況。同時,CoBIT給出了專案管理成熟度模型，便於組織自評估或第三方評估企業專案管理的成熟度，從而不斷改進專案管理的執行過程。 　　當然PRINCE2和CoBIT的視野並不僅僅限於對具體專案的管理。它們不僅包括專案級的管理，而且涵蓋了在組織範圍對專案的管理，目的在於企業級的專案管理(Enterprise Project Management，EPM)或者稱為專案治理(Project Governance)。從企業長期發展戰略的高度來規劃專案管理。 　　同時，對於每個過程和控制目標，PRINCE與CoBIT僅僅指明瞭“該做什麼”，至於“如何做”，兩者都沒有提供具體實現技術和工具，你可以根據實際需要使用任何對你有幫助的工具，如甘特圖、關鍵路徑、project軟體、風險控制軟體等。 　　整合實施戰略　　為了實現IT治理戰略的目標，我們需要做到對IT組織結構和角色、量度、過程、技術、控制以及人員等方面進行管理。 　　CoBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有優勢，具體體現為： 　　1.CoBIT重點在於IT控制和IT度量； 　　2.ITIL重點在於IT過程管理，強調IT支援和IT交付； 　　3.ISO/IEC17799重點在於IT安全控制； 　　4.PRICE2重點在於專案管理，強調專案的可控性，明確專案管理中人員、角色的具體職責，同時實現專案管理質量的不斷改進。 　　在組織中具體應用IT治理架構模型時，應該注意： 　　1.要專注於解決組織資訊化過程中最大的問題。因為對於任何一個組織而言，採用整套標準都是不可行的，相反地，應該從最大的問題著手； 　　2.透過對模型的剪裁找出最適合本企業環境的實施方案； 　　3.先完成培訓再進行組織變革，並在單一領域內(如培訓經驗)取得一定成績後，再轉向其它有問題的領域； 　　4.在開始專案之前，評估一下目前的環境，這樣有利於評測出進展的效果。 　　此外，組織在具體實施的過程中，其他組織成功實施的案例、培訓機構和第三方諮詢機構都可以提供很好的幫助。[@more@]