自提出IT治理以来,全世界各国组织和专家投入了很大的精力来研究IT治理架构模型,并提出了很多行之有效的模型。这些模型,由于其提出的时间不同,所应用的重点也各有差异,对IT治理而言,它是一个系统工程,各种模型都在其中占有一席之地。其中较为成熟的模型是美国IT治理研究院的Cobit,英国政府的IT服务管理的标准模型ITIL,国际信息安全管理标准模型ISO/IEC 17799,IT项目管理的标准模型PRINCE2等。在具体的IT治理工作中,如何合理的应用这些模型,它们之间存在哪些差异?
COBIT基于己有的许多架构,如SEI(Software Engineering Institute)的能力成熟度模型CMM对软件企业成熟度5级的划分,以及IS09000等标准,COBIT在总结这些标准的基础上重点关注企业需要什么,而不是企业需要如何做,它不包括具体的实施指南和具体实施步骤,它是一个控制架构(Control Framework)而非具体过程架构(ProcessFramework)。COBIT从战略、战术、运营层面给出了对IT的评测、量度和审计方法,它的“目标听众”是信息系统审计人员,企业高级管理人员以及高级IT管理人员,如CIO。
ITIL基于企业的最佳实务(Best Practice),英国政府收集和分析各种组织解决服务管理问题方面的信息,找出那些对本部门和对英国政府其它部门有益的做法,最后形成了ITIL。它列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,但没定义范围广泛的控制架构。它关注方法和实施过程。由于它关注IT服务管理(ITSM),它的视野相对COBIT来说狭窄,它主要关注IT的战术和运营层面。但它对IT服务的提供和支持定义了更为详细和更易理解的过程集。它的“目标听众”是IT人员和服务管理人员。
图1 COBIT与ITIL的对比分析
尽管两个标准有着许多的不同之处,但在COBIT和ITIL背后却有着非常一致的指导原则。信息系统审计人员通常综合使用COBIT和ITIL的自评估方法,去评估企业IT服务管理环境。COBIT为每一个过程提供了关键目标指示(KGIs)、关键绩效指标(KPIs)、关键成功要素(CSFs),与ITIL过程相结合可以建立ITIL过程管理的基准。在实际应用中,某些企业综合两个标准提出了更易理解的适用于本企业环境的IT治理和运行架构。
ISO/IEC 17799强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照。其最大特点就是广泛但不深入,而且仅作参考之用。
与ISO/IEC 17799不同,COBIT完全基于IT,其IT准则反映了企业的战略目标,IT资源包括人、系统、数据等相关资源,IT管理则是在IT准则指导下对IT资源进行规划处理。COBIT在PO、 AI、 DS、 M四个方面确定了34个处理过程以及318个详细控制目标。此外对每个过程还有评审工具。
Prince2为包括IT项目在内的项目管理提供了通用的管理方法,内置了在项目管理实践中已证明成功的最佳实践(best practice),通过为所有参与者提供的通用语一言,便于被广泛理解和接受。PRINCE鼓励对项目责任正式的确认(谁具体负责什么),强调项目交付什么(what)、为何交付(why)、交付时间(when)、为谁交付(whom)。PRINCE能带给项目:
1. 可控的组织良好的开端、过程、结尾;
2. 在决策关键点(decision point)时重新审视项目计划和业务状况;
3. 自动管理和控制对计划的任何偏离;
4. 股东和高级管理者只是在恰当的时机介入项目;
5. 在项目组、项目管理层、组织的其他人员间搭建畅通的交流通道;
COBIT从战略、战术、技术等层面给出了如何有效管理IT项目。在PO10中专门给出了项目管理的方法论,详细定义了13个具体控制目标:项目管理架构;用户方参与项目启动;项目团队身份及其职责;项目定义:项目批准:项目阶段批准;项目主要计划;系统质量保证计划;保证方法计划;正式的项目风险管理;测试计划;培训计划;实施后的评审计划。除给出项目管理具体控制目标外,COBIT还给出了与项目管理相关的关键成功要素(Critical Success Factors),其定义了最重要的面向项目管理的实施指南,以达到对IT项目过程内外部的控制;关键目标指标(Key Goal工ndicators),定义了一些尺度,便于在项目关键点(或里程碑),告诉管理者某个IT项目管理过程是否实现了其业务需求:关键性能指标(Key Performance Indicators),定义的是IT项目管理过程在促使项目目标达成时履行得有多好的尺度。
从两者的比较我们可以看出,COBIT重点在于对13个“控制目标”的管理上,PRINCE2典型的在于对8大“流程”的管理上。虽然二者从不同的角度出发认识IT项目管理,但二者有许多共同之处。COBIT的项目中主要计划,系统质量保证计划,保证方法计划,测试计划,培训计划,实施后的评审计划等控制目标映射到PRINCE2的计划(PL)流程;项目管理架构等映射到PRINCE2的指导项目Directing a Project (DP)流程;PRINCE2的开始项目Starting up a Project(SU)和启动项目Initiating a Project(IP)流程对应着COBIT的用户方参与项目启动,项目团队身份及其职责,项目定义;项目批准,项目阶段批准,正式的项目风险管理则较好的被其它几个PR工NCE2流程所包含。当然,在COBIT管理指南中我们不能明确看出对PRINCE2中结束项目Closing a Project (CP)流程相关的控制目标,但COBIT的其他控制目标以及审计指南等隐含包括了该流程的控制。
PRINCE2从流程的角度对项目管理中各个活动进行管理,比较便于项目管理的具体实施,而COBIT从控制目标的角度阐述项目管理“应该怎样,应该达到什么目标”,这样便于企业控制和评审项目管理整体过程的执行情况。同时COBIT给出了项目管理成熟度模型,便于组织自评估或第三方评估企业项目管理的成熟度,从而不断改进项目管理的执行过程。
当然PRINCE2和COBIT的视野并不仅仅限于对具体项目的管理。它们不仅包括项目级的管理,而且涵盖了在组织范围对项目的管理,目的在于企业级的项目管理(Enterprise Project Management,EPM)或者称为项目治理(Project Governance)。从企业长期发展战略的高度来规划项目管理。
图2项目治理结构模型
同时,对于每个过程和控制目标,PRINCE与COBIT仅仅指明了“该做什么”,至于“如何做”,二者都没有提供具体实现技术和工具,你可以根据实际需要使用任何对你有帮助的任何工具,如甘特图,关键路径、project软件、风险控制软件等。PRINCE2提供的8个过程与COBIT提供的13个控制目标也仅仅作为参考过程和控制目标,企业在具体实施时,必须依据项目的规模和需要对这些过程和控制目标进行适当的剪裁。
4. 整合Cobit, ITIL, ISO/IEC 17799, Prince2实施合理的IT治理战略
为了实现IT治理战略的目标,我们需要做到对IT组织结构和角色、量度、过程、技术、控制以及人员等方面进行管理。
图3 IT治理目标的整合
COBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有优势,具体体现为:
1. COBIT重点在于IT控制和IT度量;
2. ITIL重点在于IT过程管理,强调IT支持和IT交付;
3. ISO/IEC17799重点在于IT安全控制;
4. PRICE2重点在于项目管理,强调项目的可控性,明确项目管理中人员、角色的具体职责,同时实现项目管理质量的不断改进。
图4 4种标准有机融合
在组织中具体应用IT治理架构模型时,应该注意:
1. 要专注于解决组织信息化过程中最大的问题。因为对于任何一个组织而言,采用整套标准都是不可行的,相反地,应该从最大的问题着手;
2. 通过对模型的剪裁找出最适合本企业环境的实施方案;
3. 先完成培训再进行组织变革,并在单一领域内(如培训经验)取得一定成绩后,再转向其它有问题的领域;
4. 在开始项目之前,评估一下目前的环境,这样就有利于评测出进展的效果;
此外,组织在具体实施的过程中,其他组织成功实施的案例、培训机构和第三方咨询机构都可以提供很好的帮助。
2007-09-06 12:02