圖1 項目治理結構模型
圖2 IT治理目標的整合
圖3 4種模型有機融合
IT治理模型包括CoBIT、ITIL、ISO/IEC 17799和PRINCE2。在具體的IT治理工作中,如何合理地應用這些模型,它們之間存在哪些差異?
自提出IT治理以來,全世界各國組織和專家都投入了很大的精力來研究IT治理架構,并提出了很多行之有效的模型。其中較為成熟的模型有美國IT治理研究院的CoBIT、英國政府的IT服務管理標準模型ITIL、國際信息安全管理標準模型ISO/IEC17799、IT項目管理的標準模型PRINCE2等。在具體的IT治理工作中,如何合理地應用這些模型,它們之間存在哪些差異?
CoBIT VS. ITIL
CoBIT基于己有的許多架構,如SEI(Software Engineering Institute)的能力成熟度模型、CMM對軟件企業成熟度5級的劃分,以及IS09000等標準,CoBIT在總結這些標準的基礎上重點關注企業需要什么,而不是企業需要如何做。它不包括具體的實施指南和實施步驟,它是一個控制架構(Control Framework),而非具體過程架構(Process Framework)。CoBIT從戰略、戰術、運營層面給出了對IT的評測、量度和審計方法,它的目標聽眾是信息系統審計人員、企業高級管理人員以及高級IT管理人員,如CIO。
ITIL基于企業的最佳實務(Best Practice),英國政府收集和分析各種組織解決服務管理問題方面的信息,找出那些對本部門和對其它部門有益的做法,最后形成了ITIL。它列出了各個服務管理流程最佳的目標、活動、輸入和輸出以及各個流程之間的關系,但沒定義范圍廣泛的控制架構。它關注方法和實施過程。由于它關注IT服務管理(ITSM),它的視野相對CoBIT來說狹窄,主要關注IT的戰術和運營層面。它的目標聽眾是IT人員和服務管理人員。
盡管兩個標準有著許多的不同之處,但CoBIT和ITIL卻有著非常一致的指導原則。信息系統審計人員通常綜合使用CoBIT和ITIL的自評估方法,去評估企業IT服務管理環境。CoBIT為每一個過程提供了關鍵目標指示(KGIs)、關鍵績效指標(KPIs)、關鍵成功要素(CSFs),與ITIL過程相結合可以建立ITIL過程管理的基準。
CoBIT VS. ISO/IEC17799
ISO/IEC17799強調信息安全管理體系的有效性、經濟性、全面性、普遍性和開放性,目的是為希望達到一定管理效果的組織提供一種高質量、高實用性的參照。其最大特點就是廣泛但不深入,而且僅作參考之用。
與ISO/IEC17799不同,CoBIT完全基于IT,其IT準則反映了企業的戰略目標,IT資源包括人、系統、數據等相關資源,IT管理則是在IT準則指導下對IT資源進行規劃處理。
CoBIT VS. PRINCE2
PRINCE2為包括IT項目在內的項目管理提供了通用的管理方法,內置了在項目管理實踐中已證明成功的最佳實踐(best practice),為所有參與者提供通用語言,便于被廣泛理解和接受。PRINCE能帶給項目:
1.可控組織良好的開端、過程、結尾;
2.在決策關鍵點(decision point)時重新審視項目計劃和業務狀況;
3.自動管理和控制對計劃的任何偏離;
4.股東和高級管理者只是在恰當的時機介入項目;
5.在項目組、項目管理層、組織的其他人員間搭建暢通的交流通道。
CoBIT從戰略、戰術、技術等層面給出了如何有效管理IT項目,詳細定義了13個具體控制目標:項目管理架構、用戶方參與項目啟動、項目團隊身份及其職責、項目定義、項目批準、項目階段批準、項目主要計劃、系統質量保證計劃、保證方法計劃、正式的項目風險管理、測試計劃、培訓計劃、實施后的評審計劃。除給出項目管理具體控制目標外,CoBIT還給出了與項目管理相關的關鍵成功要素(Critical Success Factors),定義了最重要的面向項目管理的實施指南,以達到對IT項目過程內外部的控制。關鍵目標指標(Key Goal Indicators),定義了一些尺度,便于在項目關鍵點(或里程碑),告訴管理者某個IT項目管理過程是否實現了其業務需求;關鍵性能指標(Key Performance Indicators),定義的是IT項目管理過程在促使項目目標達成時履行的尺度。
從兩者的比較我們可以看出,CoBIT重點在于對13個控制目標的管理上,PRINCE2在于對流程的管理上。
PRINCE2從流程的角度對項目管理中各個活動進行管理,比較便于項目管理的具體實施,而CoBIT從控制目標的角度闡述項目管理“應該怎樣,應該達到什么目標”,這樣便于企業控制和評審項目管理整體過程的執行情況。同時,CoBIT給出了項目管理成熟度模型,便于組織自評估或第三方評估企業項目管理的成熟度,從而不斷改進項目管理的執行過程。
當然PRINCE2和CoBIT的視野并不僅僅限于對具體項目的管理。它們不僅包括項目級的管理,而且涵蓋了在組織范圍對項目的管理,目的在于企業級的項目管理(Enterprise Project Management,EPM)或者稱為項目治理(Project Governance)。從企業長期發展戰略的高度來規劃項目管理。
同時,對于每個過程和控制目標,PRINCE與CoBIT僅僅指明了“該做什么”,至于“如何做”,兩者都沒有提供具體實現技術和工具,你可以根據實際需要使用任何對你有幫助的工具,如甘特圖、關鍵路徑、project軟件、風險控制軟件等。
整合實施戰略
為了實現IT治理戰略的目標,我們需要做到對IT組織結構和角色、量度、過程、技術、控制以及人員等方面進行管理。
CoBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有優勢,具體體現為:
1.CoBIT重點在于IT控制和IT度量;
2.ITIL重點在于IT過程管理,強調IT支持和IT交付;
3.ISO/IEC17799重點在于IT安全控制;
4.PRICE2重點在于項目管理,強調項目的可控性,明確項目管理中人員、角色的具體職責,同時實現項目管理質量的不斷改進。
在組織中具體應用IT治理架構模型時,應該注意:
1.要專注于解決組織信息化過程中最大的問題。
因為對于任何一個組織而言,采用整套標準都是不可行的,相反地,應該從最大的問題著手;
2.通過對模型的剪裁找出最適合本企業環境的實施方案;
3.先完成培訓再進行組織變革,并在單一領域內(如培訓經驗)取得一定成績后,再轉向其它有問題的領域;
4.在開始項目之前,評估一下目前的環境,這樣有利于評測出進展的效果。
此外,組織在具體實施的過程中,其他組織成功實施的案例、培訓機構和第三方咨詢機構都可以提供很好的幫助。
京公網安備 11010802036102號