文/孔祥林

摘要：在以数据为中心的IT集成架构下，IT系统变得高度自动化和复杂化，因此越来越多的企业开始采用IT指导框架实施IT综合治理。COBIT和 ITIL都是IT治理的框架，但企业在应用二者实践方面可能无所适从，本文从COBIT 4.1和ITIL 3.0的比较分析着手，提出整合COBIT和ITIL形成全面的IT治理框架。

关键字：COBIT、ITIL、IT治理、IT服务管理

COBIT和ITIL认识

COBIT-信息及相关技术的控制目标(Control Objectives for Information and related Technology，COBIT) ，是IT治理的一个开放性标准，由美国IT治理研究院(IT Governance Institute)开发与推广，现已更新为第四版。IT业务流程是COBIT关注的焦点，对每一个IT业务流程，COBIT提出了一系列的控制目标、相应的实现这些控制目标的控制程序，评价这些控制程序是否存在，并被有效执行的一系列审计程序。该标准为IT的治理、安全与控制提供了一个普遍适用的公认标准，以辅助管理层进行IT治理。目前已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

COBIT架构的主要目的是为业界提供关于IT控制的清晰策略和良好典范。该架构的四个域分别是：PO（Planning & Organization）、AI（Acquisition & Implementation）、DS（Delivery & support）和 ME（Monitoring & Evaluate），进一步细分为34个IT处理流程。COBIT模型如图1所示。

图1  COBIT 4.1 模型图

ITIL- IT基础架构库(Information Technology Infrastructure Library, ITIL)由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80年代末制订，现由英国商务部OGC(Office of Government Commerce)负责管理，主要适用于IT服务管理（ITSM）。20世纪90年代后期，ITIL的思想和方法，被美国、澳大利亚、南非等国家广泛引用，并进一步发展。2001年英国标准协会（British Standard Institute，BSI）在国际IT服务管理论坛（itSMF）年会上，正式发布了基于ITIL的英国国家标准BS15000。2002年，BS15000为国际标准化组织（ISO）所接受，作为IT服务管理的国际标准的重要组成部分。目前，ITSM领域正成为全球IT厂商、政府、企业和业界专家广泛参与的新兴领域，对未来的IT走向和企业信息化，将会产生深远的影响。其内容描述的是IT部门应该包含的各个流程以及各个流程之间的相互关系。2007年ITIL已更新至第三版，ITIL V3引入了服务生命周期管理，其核心内容包括服务战略、服务设计、服务转换、服务运营和服务持续性改进。 

ITIL V3服务生命周期架构模型 如图2所示。

图2  ITIL v3 服务生命周期架构模型

COBIT和ITIL比较

一、 流程组织结构比较

COBIT和ITIL作为企业IT治理的指南，都是以流程运作为手段实施有效的IT治理，表1就ITIL和COBIT的实施流程描述了它们的内容结构和组件的比较。

表1  COBIT和ITIL的流程组织结构比较

二、 关注点比较

COBIT和ITIL都高度关注战略整合、价值交付、资源管理、风险管理和绩效管理 。

1、 战略整合

COBIT通过流程实现战略管理，影响战略的流程包括P01制定IT战略规划、P02确定信息体系架构、P06传达管理目标和方向、P07管理IT人力资源、P08质量管理、P09风险评估、P10 项目管理、AI1 确定自动化解决方案、A12 获取和维护应用程序软件、DS1 定义并管理服务水平、ME3 确保外部需求合规性和ME4 提供IT治理。通过计划和组织这些IT主动管理流程，可使企业实施有效的ＩＴ治理机制，并进行有效的运作。此外，面向业务需求的ＩＴ服务可以确保服务开发和服务提供过程的有效检查。

ITIL V3在服务战略整合方面提供了可用的实践指南，特别是理解业务需求，在服务能力方面的潜在需求和确保平衡和资源优先级的服务组合管理ITIL V3 也帮助理解怎样选择服务提供商和制定资源配置的战略。此外，它也描绘了四个关键流程需求管理、战略制定、服务组合管理、IT财务管理。以上内容可以在《服务战略》一书中得到体现。

2、 价值交付

COBIT覆盖价值交付的流程包括P05 IT投资管理、AI1 确定自动化解决方案、AI2 获取和维护应用软件、AI4 保障运营和使用、AI6 变更管理、AI7 安装和授权解决和变更、DS1 制定和管理服务水平、DS2 管理第三方服务、DS4 确保服务的持续性、DS7 教育和培训用户、DS8 服务台和事件管理、DS9 配置管理、DS10 问题管理、DS11 数据管理、ME2 内部控制的监控和评估、ME4 IT治理交付。这些流程通过适当的计划和实现业务价值确保IT驱动业务实现价值，知识的传递可确保基于业务需求的服务的正常使用和提供服务的支持。

ITIL V3 通过两个途径实现价值交付，在服务生命周期的战略、设计和转换阶段可体现面向业务的服务价值。在持续性服务改进阶段体现出持续改进和流程改进的价值，通过IT流程的改进，业务价值可以被ITIL 中每个流程所实现。

3、 资源管理

COBIT覆盖价值交付的流程包括P02 制定信息系统架构、P03 确定技术方向、P04 制定IT流程、组织和关系、P07 IT人力资源管理、AI3 获取和维护技术基础设施、AI5 获取IT资源、DS1 制定和管理服务水平、DS3 管理性能和容量、DS6 确定并分配成本、DS9 配置管理、DS13 运营管理和ME4 IT治理交付。通过计划和管理资源如应用、信息、基础设施和人员，这些流程可确保资源的获取并交付服务。

资源管理在ITIL服务生命周期中从战略到运营的很多地方均有体现。其主要关注IT基础架构资源，帮助确保有关资源在成本有效的服务交付原则下使用，特别是正确维护和更新资产信息和配置库信息。

4、 风险管理

COBIT覆盖价值交付的流程包括P04 制定IT流程、组织和关系、P06 传达管理目标和方向、P09 风险评估和风险管理、DS2 第三方服务管理、DS4 确保服务的持续性、DS5 确保系统安全、DS11 数据管理、DS12 物理环境管理、ME2 内部控制监控和评估、ME3 确保外包需求的合规性和ME4 IT治理交付。这些流程通过业务战略和高层管理理解IT相关的风险，并提供业务影响分析和采用风险评估方法确保风险得到识别和管理。

风险管理在ITIL服务生命周期的各个阶段都有体现，从服务战略到服务运营。ITIL重点关注服务可用性、服务效力和与效率有关的风险。

5、 绩效管理

COBIT覆盖价值交付的流程包括P08 质量管理、DS1 制定并管理服务水平、ME1 IT绩效的监控和评估、ME4 IT治理交付。这些流程确保预先关注战略整合、价值交付、资源管理和风险管理，达到他们预期的成效，并提供适当的纠正测量方法进行管理。

ITIL持续性服务改进包括服务流程绩效的度量和改进活动。有三个关键流程：服务度量、服务报告和服务改进。服务改进的原则是7步改进方法。

通过对COBIT和ITIL流程结构和关注点的比较分析，它们具有共同的三个目标：

 都是为达到业务目标而进行有效的IT治理，包括符合性

 形成清晰的流程及其目标，并提供流程的绩效测量指标

 在流程级别上确保有效的IT治理和控制

三、 应用比较

在企业应用方面，COBIT和ITIL之间是既不能相互替代也不是互相排斥的，它们是高度互补的。表2为COBIT和ITIL的应用比较：

表2  COBIT和ITIL的应用比较

COBIT描绘了你需要做什么，而ITIL则告诉你怎么做。COBIT真正关注的问题是企业是否具备适当的控制力，以确保符合相关的管理规定。它帮助企业确定他们是否正在做他们表示要做的事，以及他们是否可以证明这一点。随着各个企业都在努力达到Sarbanes-Oxley法案及其他管理规定的要求，这项标准变得更加重要了。而对于企业ＩＴ治理流程来说，COBIT也非常重要，因为它提供了一种实施流程控制的途径。在这方面COBIT已经被证明是一种测量和评估企业IT控制能力的优秀工具。

ITIL在服务支付和服务支持这两个流程中很强大，叙述的很详尽。它描述了如何制定各个运营操作流程的架构，但是在安全控制和安全管理流程方面则显得较弱。COBIT注重控制和度量。它也缺乏安全管理的流程，但是在IT组织管理规范上则提供了一个更加全局的IT流程观点，这一点要比ITIL更优。

COBIT也为服务级别协议，能力计划，以及可用性管理和业务连续性管理方面提供了行动指南，关键绩效指标以及控制目标等等。这些模块在ITIL的服务提供流程中也有叙述，因此对ITIL相关流程也是很好的补充。另外，在实施服务管理流程改进时，单从某一方面获取的信息并不够用。最好将这两方面的框架模型进行综合，取各自的长处进行实施，这样可以在更广阔的范围内提高流程实施的质量。

COBIT和ITIL综合应用

在企业应用方面，COBIT和ITIL之间是既不能相互替代也不是互相排斥的，它们是高度互补的。Gartner曾说过，COBIT和ITIL不是互相排斥的，而是可以整合起来形成强有力的IT治理、控制和最佳实践框架，企业可以把ITIL流程置于更广泛的COBIT控制和治理框架内。(June 2002 / TG-16-1849)

综合COBIT和ITIL的互补特性，我们提出图3所示的全面IT治理框架。

图3 IT治理架构图

用户可以根据下面的步骤综合应用COBIT和ITIL，以实施有效的IT治理架构：

1、 确立IT治理目标、愿景和范围

这部分工作包括需求驱动分析、结果驱动分析和成熟度驱动分析。需求驱动分析重点解决“谁关注价值”的问题，包括与IT治理框架相关的企业的业务的需求、优先级、目标和战略。结果驱动分析重点关注“有什么风险”的问题，IT治理框架的实施会解决什么风险，又会导致什么风险。成熟度驱动分析重点解决“需要控制什么”的问题，关注实施什么级别的管理成熟度才是企业标准的IT治理框架。

2、 制定IT治理实现什么和怎么实现的详细计划，并当作一个项目组合进行管理

实施计划包括每个阶段的范围和交付结果。如根据业务战略需要，使用COBIT 划分IT治理区域的优先级，并定义ITIL框架实施的范围，创建项目组合以覆盖每一个适用的实施区域。充分考虑人员、流程和技术形成IT治理的项目计划。这个阶段的交付产物包括IT治理项目组合和实施计划。

3、 综合使用COBIT和ITIL进行流程实施和评审

在流程定义阶段可以使用COBIT进行战略绩效的评价，利用COBIT整合业务到信息技术，并进一步通过流程目标和绩效来实现业务价值，最后可以应用ITIL的流程KPIs验证流程的绩效。在流程实施方面可以使用ITIL制定实际工作的活动和工作流，并使用COBIT验证流程在任何环节都是可控制的。在人员角色方面，可以使用COBIT形成功能角色和工作角色的映射关系，并利用ITIL提供详细的角色职责描述。

总结

尽管两个标准有着许多的不同之处，但在COBIT和ITIL背后却有着非常一致的指导原则。用户通常综合使用COBIT和ITIL的实施方法，去评估企业IT服务管理环境和实施有效的IT治理架构。COBIT为每一个过程提供了关键目标指标（KGIs）、关键绩效指标（KPIs）、关键成功指标（CSFs），这些指标与ITIL过程相结合，可以建立ITIL过程管理的基准。在实际应用中，企业可以综合两个标准提出了更易理解的适用于本企业环境的管理架构。