隨著互聯網與各行各業尤其是大型的和機構之間的聯系越來越緊密，IT治理已經成為這些企業和機構信息化建設過程中不可或缺的環節。中培偉業《IT治理與審計最佳實踐（CISA）認證》培訓專家張老師指出，IT治理模型包括CoBIT、ITIL、ISO/IEC 17799和PRINCE2。在具體的IT治理工作中，如何合理地應用這些模型，它們之間存在哪些差異?

自提出IT治理以來，全世界各國組織和專家都投入了很大的精力來研究IT治理架構，并提出了很多行之有效的模型。其中較為成熟的模型有美國IT治理研究院的CoBIT、英國政府的IT服務管理標準模型ITIL、國際信息安全管理標準模型ISO/IEC17799、IT項目管理的標準模型PRINCE2等。在具體的IT治理工作中，如何合理地應用這些模型，它們之間存在哪些差異?

CoBIT VS. ITIL

CoBIT基于己有的許多架構，如SEI(Software Engineering Institute)的能力成熟度模型、CMM對軟件企業成熟度5級的劃分，以及IS09000等標準，CoBIT在總結這些標準的基礎上重點關注企業需要什么，而不是企業需要如何做。它不包括具體的實施指南和實施步驟，它是一個控制架構(Control Framework)，而非具體過程架構(Process Framework)。CoBIT從戰略、戰術、運營層面給出了對IT的評測、量度和審計方法，它的目標聽眾是信息系統審計人員、企業高級管理人員以及高級IT管理人員，如CIO。

ITIL基于企業的最佳實務(Best Practice)，英國政府收集和分析各種組織解決服務管理問題方面的信息，找出那些對本部門和對其它部門有益的做法，最后形成了ITIL。它列出了各個服務管理流程最佳的目標、活動、輸入和輸出以及各個流程之間的關系，但沒定義范圍廣泛的控制架構。它關注方法和實施過程。由于它關注IT服務管理(ITSM)，它的視野相對CoBIT來說狹窄，主要關注IT的戰術和運營層面。它的目標聽眾是IT人員和服務管理人員。

盡管兩個標準有著許多的不同之處，但CoBIT和ITIL卻有著非常一致的指導原則。信息系統審計人員通常綜合使用CoBIT和ITIL的自評估方法，去評估企業IT服務管理環境。CoBIT為每一個過程提供了關鍵目標指示(KGIs)、關鍵績效指標(KPIs)、關鍵成功要素(CSFs)，與ITIL過程相結合可以建立ITIL過程管理的基準。

CoBIT VS. ISO/IEC17799

ISO/IEC17799強調信息安全管理體系的有效性、經濟性、全面性、普遍性和開放性，目的是為希望達到一定管理效果的組織提供一種高質量、高實用性的參照。其最大特點就是廣泛但不深入，而且僅作參考之用。

ISO/IEC17799不同，CoBIT完全基于IT，其IT準則反映了企業的戰略目標，IT資源包括人、系統、數據等相關資源，IT管理則是在IT準則指導下對IT資源進行規劃處理。

CoBIT VS. PRINCE2

PRINCE2為包括IT項目在內的項目管理提供了通用的管理方法，內置了在項目管理實踐中已證明成功的最佳實踐(best practice)，為所有參與者提供通用語言，便于被廣泛理解和接受。PRINCE能帶給項目：

1. 可控組織良好的開端、過程、結尾;

2. 在決策關鍵點(decision point)時重新審視項目計劃和業務狀況;

3. 自動管理和控制對計劃的任何偏離;

4. 股東和高級管理者只是在恰當的時機介入項目;

5. 在項目組、項目管理層、組織的其他人員間搭建暢通的交流通道。

CoBIT從戰略、戰術、技術等層面給出了如何有效管理IT項目,詳細定義了13個具體控制目標：項目管理架構、用戶方參與項目啟動、項目團隊身份及其職責、項目定義、項目批準、項目階段批準、項目主要計劃、系統質量保證計劃、保證方法計劃、正式的項目風險管理、測試計劃、培訓計劃、實施后的評審計劃。除給出項目管理具體控制目標外，CoBIT還給出了與項目管理相關的關鍵成功要素(Critical Success Factors)，定義了最重要的面向項目管理的實施指南，以達到對IT項目過程內外部的控制。關鍵目標指標(Key Goal Indicators)，定義了一些尺度，便于在項目關鍵點(或里程碑)，告訴管理者某個IT項目管理過程是否實現了其業務需求;關鍵性能指標(Key Performance Indicators)，定義的是IT項目管理過程在促使項目目標達成時履行的尺度。

從兩者的比較我們可以看出，CoBIT重點在于對13個控制目標的管理上，PRINCE2在于對流程的管理上。

PRINCE2從流程的角度對項目管理中各個活動進行管理，比較便于項目管理的具體實施，而CoBIT從控制目標的角度闡述項目管理“應該怎樣，應該達到什么目標”，這樣便于企業控制和評審項目管理整體過程的執行情況。同時,CoBIT給出了項目管理成熟度模型，便于組織自評估或第三方評估企業項目管理的成熟度，從而不斷改進項目管理的執行過程。

當然PRINCE2和CoBIT的視野并不僅僅限于對具體項目的管理。它們不僅包括項目級的管理，而且涵蓋了在組織范圍對項目的管理，目的在于企業級的項目管理(Enterprise Project Management，EPM)或者稱為項目治理(Project Governance)。從企業長期發展戰略的高度來規劃項目管理。

同時，對于每個過程和控制目標，PRINCE與CoBIT僅僅指明了“該做什么”至于“如何做”兩者都沒有提供具體實現技術和工具，你可以根據實際需要使用任何對你有幫助的工具，如甘特圖、關鍵路徑、project軟件、風險控制軟件等。

整合實施戰略

為了實現IT治理戰略的目標，我們需要做到對IT組織結構和角色、量度、過程、技術、控制以及人員等方面進行管理。

CoBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有優勢，具體體現為：

1. CoBIT重點在于IT控制和IT度量;

2. ITIL重點在于IT過程管理，強調IT支持和IT交付;

3. ISO/IEC17799重點在于IT安全控制;

4. PRICE2重點在于項目管理，強調項目的可控性，明確項目管理中人員、角色的具體職責，同時實現項目管理質量的不斷改進。

在組織中具體應用IT治理架構模型時，應該注意：

1. 要專注于解決組織信息化過程中最大的問題。因為對于任何一個組織而言，采用整套標準都是不可行的，相反地，應該從最大的問題著手;

2. 通過對模型的剪裁找出最適合本企業環境的實施方案;

3. 先完成培訓再進行組織變革，并在單一領域內(如培訓經驗)取得一定成績后，再轉向其它有問題的領域;

4. 在開始項目之前，評估一下目前的環境，這樣有利于評測出進展的效果。

此外，組織在具體實施的過程中，其他組織成功實施的案例、培訓機構和第三方咨詢機構都可以提供很好的幫助。