ITIL與COBIT比較研究

廣東金融學(xué)院 盛巧玲 吳炎太

ITIL與COBIT比較研究

廣東金融學(xué)院 盛巧玲 吳炎太

隨著信息技術(shù)的廣泛應(yīng)用，信息系統(tǒng)已經(jīng)成為企業(yè)經(jīng)營管理不可缺少的平臺，信息技術(shù)在企業(yè)經(jīng)營中發(fā)揮著越來越重要的作用。因此，IT治理理所當然成為公司治理的重要組成部分。ITIL與COBIT作為世界公認的IT治理最佳實踐，成為了事實上的IT治理標準，本文擬對ITIL v3與COBIT4.1進行比較，為企業(yè)IT治理實踐提供參考。

一、ITIL v3生命周期理論分析

ITIL（Information Technology Infrastructure Library）即信息技術(shù)基礎(chǔ)架構(gòu)庫。20世紀80年代，ITIL vl（ITIL第1版）由英國國家計算機和電信局（CCTA，后來并入英國商務(wù)部）開發(fā)推出，初期的ITIL把重心放在系統(tǒng)管理上。2000年英國商務(wù)部（OGC）發(fā)布了ITIL v2（ITIL第2版），ITIL v2將重心放在了流程管理上，為IT服務(wù)管理提供所需要的流程管理實例。2007年5月31日，OGC正式面向全球發(fā)布了ITIL v3（ITIL第3版）。這次修訂是ITIL自問世以來最大規(guī)模的修訂，不僅整合了ITIL vl與ITIL v2的精華，還融入了IT服務(wù)管理領(lǐng)域當前的最佳實踐，增加了生命周期理論以及與其他標準和最佳實踐的接口，并包含了更為豐富的實施資源。

ITILv3的核心架構(gòu)是基于服務(wù)生命周期的，服務(wù)生命周期框架如圖1所示。服務(wù)生命周期包括服務(wù)戰(zhàn)略、服務(wù)設(shè)計、服務(wù)轉(zhuǎn)換、服務(wù)運營和持續(xù)服務(wù)改進五個階段。ITIL v3用生命周期框架將IT服務(wù)管理的各個流程有機地貫穿在一起，形成了一個有機整體。ITIL v3要求企業(yè)以服務(wù)戰(zhàn)略為指導(dǎo)，從服務(wù)設(shè)計開始，通過服務(wù)轉(zhuǎn)換，直至服務(wù)運營，整個過程井然有序，同時伴隨著持續(xù)的服務(wù)改進，用以提高各個環(huán)節(jié)的服務(wù)水平。具體而言：（1）服務(wù)戰(zhàn)略。服務(wù)戰(zhàn)略是整個服務(wù)生命周期管理的軸心，驅(qū)動整個生命周期不停地運轉(zhuǎn)。服務(wù)戰(zhàn)略的目標是指導(dǎo)服務(wù)提供商培養(yǎng)以戰(zhàn)略方式思考和執(zhí)行的能力，以獲得長期的成功運營和發(fā)展。服務(wù)戰(zhàn)略可以指導(dǎo)企業(yè)如何將服務(wù)管理轉(zhuǎn)化為戰(zhàn)略資產(chǎn)，如何理清各種服務(wù)、系統(tǒng)和流程與所支持的業(yè)務(wù)模型、戰(zhàn)略和目標之間的關(guān)系。服務(wù)戰(zhàn)略的流程主要包括制定服務(wù)戰(zhàn)略、財務(wù)管理、投資組合管理和需求管理等。（2）服務(wù)設(shè)計。服務(wù)設(shè)計是服務(wù)生命周期的一個重要階段，并且是業(yè)務(wù)流程變更的一個重要環(huán)節(jié)。服務(wù)設(shè)計的目標在于：設(shè)計新的或變更的服務(wù)導(dǎo)入到生產(chǎn)環(huán)境中；確保設(shè)計的各方面都得到全盤考慮，使服務(wù)設(shè)計能夠滿足當前和未來的業(yè)務(wù)需求。服務(wù)設(shè)計的流程主要包括服務(wù)目錄管理、服務(wù)級別管理、能力管理、可用性管理、IT服務(wù)連續(xù)性管理、信息安全管理和供應(yīng)商管理等。（3）服務(wù)轉(zhuǎn)換。服務(wù)轉(zhuǎn)換的作用是交付業(yè)務(wù)需要的服務(wù)進入服務(wù)運營。服務(wù)轉(zhuǎn)換通過接收服務(wù)設(shè)計階段的服務(wù)設(shè)計包將業(yè)務(wù)需要的服務(wù)交付給運營階段，進行服務(wù)運營與服務(wù)支持。服務(wù)轉(zhuǎn)換最為關(guān)注的是執(zhí)行服務(wù)的每一個方面，必須保證服務(wù)能在可預(yù)見的極端情況下和不正常的情況下運營，并且對失敗和錯誤起到支持作用。服務(wù)轉(zhuǎn)換的流程主要包括規(guī)劃和支持、變更管理、服務(wù)資產(chǎn)和配置管理、發(fā)布和部署管理、服務(wù)檢查和測試、評價、知識管理。（4）服務(wù)運營。服務(wù)運營是指對支持服務(wù)交付的應(yīng)用程序、技術(shù)和框架等進行管理的過程。在生命周期的這個階段，服務(wù)為業(yè)務(wù)實現(xiàn)了價值。服務(wù)運營的主要目的是通過一系列日常活動和流程的協(xié)調(diào)執(zhí)行，為客戶和用戶提供可管理的、達到協(xié)議規(guī)定的服務(wù)級別的服務(wù)。服務(wù)運營的流程主要包括事件管理、事故管理、請求實現(xiàn)、問題管理、訪問管理等。（5）持續(xù)服務(wù)改進。持續(xù)服務(wù)改進關(guān)注于通過對服務(wù)質(zhì)量的評價和改進以及對IT服務(wù)管理生命周期及基本流程的成熟度的評價和改進，從而保持客戶的利益。持續(xù)服務(wù)改進最主要的目的是改進支持業(yè)務(wù)流程的IT服務(wù)，使得IT服務(wù)能夠不斷與業(yè)務(wù)需求的變化相適應(yīng)。服務(wù)改進活動支持了生命周期方法，貫穿了服務(wù)戰(zhàn)略、服務(wù)設(shè)計、服務(wù)轉(zhuǎn)換和服務(wù)運營的始終。從本質(zhì)上說，服務(wù)改進是關(guān)于提高流程的效果、效率和成本效率的方法。持續(xù)服務(wù)改進的流程主要包括七步法改進流程、服務(wù)報告、服務(wù)測評等。

圖1 ITIL服務(wù)生命周期框架

二、COBIT控制思想分析

COBIT（ControlObjectives for Informationand Related Technology）即信息及相關(guān)技術(shù)控制目標，是目前國際上公認的最先進、最權(quán)威的安全與信息技術(shù)管理和控制的標準。COBIT是由美國信息系統(tǒng)審計與控制協(xié)會（ISACA）下屬的IT治理協(xié)會（ITGI）開發(fā)和推廣的，旨在為IT的治理、安全和控制提供一個普遍適用的公認的標準，以輔助管理層進行IT治理。自1996年4月COBIT問世以來，先后經(jīng)歷了1998年、2000年和2005年的修改補充，2007年5月，ITGI發(fā)布了最新版本COBIT4.1。

COBIT將IT流程、IT資源、與業(yè)務(wù)需求相適應(yīng)的IT目標結(jié)合起來，形成一個三維的體系結(jié)構(gòu)（如圖2所示）。COBIT的IT總體控制目標包括：有效性、效率、保密性、完整性、可用性、符合性、可靠性。IT資源主要包括應(yīng)用系統(tǒng)、信息、基礎(chǔ)設(shè)施和人員。IT流程則是在COBIT的IT總體控制目標的指引下，對信息及相關(guān)資源進行規(guī)劃和處理。COBIT包括34個通用的IT流程（見表1），分為四個域。這四個域分別是：策劃與組織、獲取與實施、交付與支持、監(jiān)控與評價，這些域映射到傳統(tǒng)的IT職責(zé)域：規(guī)劃、建設(shè)、運行和監(jiān)控。業(yè)務(wù)導(dǎo)向是COBIT的主要宗旨，COBIT通過IT流程管理IT資源，以交付滿足業(yè)務(wù)和治理要求的信息。

表1 COBIT的34個IT流程

三、ITIL與COBIT的區(qū)別

COBIT與ITIL都是IT治理最佳實踐，COBIT的控制目標與ITIL相當一致，都從業(yè)務(wù)的角度去關(guān)注IT，都以支持業(yè)務(wù)戰(zhàn)略作為IT的目標。但COBIT與ITIL之間存在著明顯的差異。

（1）內(nèi)容側(cè)重點不同。COBIT是一個控制框架，而非具體過程框架，其提出了IT治理的框架模型，明確了IT控制的目標，通俗地說COBIT關(guān)注“企業(yè)應(yīng)當做到什么”。COBIT作為IT治理的框架，提出了IT總體控制目標、各個IT流程的控制目標以及數(shù)百個詳細的控制目標。企業(yè)可以根據(jù)整個框架，實現(xiàn)IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的吻合、優(yōu)化IT資源的目的。ITIL側(cè)重于“企業(yè)應(yīng)當怎么做”。ITIL描述了一套關(guān)聯(lián)的IT管理流程，為企業(yè)提供更為細致的指導(dǎo)和流程上的保障，給出的流程管理方法是被實踐證明有效并被廣泛接受的。ITIL關(guān)注IT服務(wù)管理，是關(guān)于IT服務(wù)管理的一套知識庫。（2）基于不同的生命周期框架。COBIT是基于信息系統(tǒng)開發(fā)生命周期的。COBIT包括34個IT流程，分為四個域，即策劃與組織、獲取與實施、交付與支持、監(jiān)控與評價。這四個域?qū)?yīng)于按照系統(tǒng)開發(fā)過程劃分的生命周期的四個階段。ITIL v3是基于IT服務(wù)生命周期的，服務(wù)生命周期是指服務(wù)從開始到結(jié)束的整個過程，包括服務(wù)戰(zhàn)略、服務(wù)設(shè)計、服務(wù)轉(zhuǎn)換、服務(wù)運營和持續(xù)服務(wù)改進五個階段。ITIL將IT作為服務(wù)交付，在ITIL中，服務(wù)包括了軟件、基礎(chǔ)設(shè)施、幫助臺和資產(chǎn)管理等等。ITIL從服務(wù)戰(zhàn)略出發(fā)，服務(wù)戰(zhàn)略是ITIL v3的核心，其重點是價值的創(chuàng)造；ITIL還關(guān)注服務(wù)設(shè)計，使用服務(wù)設(shè)計包的概念來封裝所有的需求；最后，服務(wù)轉(zhuǎn)換、服務(wù)運營和持續(xù)服務(wù)改進，關(guān)注于將服務(wù)交付到市場的流程，保證運營性能，并對服務(wù)進行持續(xù)的調(diào)整和優(yōu)化。（3）IT流程不同。COBIT包括34個IT流程，涵蓋了系統(tǒng)開發(fā)與維護整個生命周期。COBIT強調(diào)流程管理，為企業(yè)管理IT活動提供了一個參考的流程模型，為每一個IT流程確定了控制目標、關(guān)鍵目標指標（KGI）、關(guān)鍵績效指標（KPI）、關(guān)鍵成功因素（CSF）及能力成熟度模型等。COBIT特別強調(diào)內(nèi)部控制，其流程涵蓋了系統(tǒng)開發(fā)與維護整個生命周期中各個關(guān)鍵控制環(huán)節(jié)，并且明確了各個IT流程與IT總體控制目標之間的關(guān)系（見表1）。ITIL流程涵蓋了IT服務(wù)從開始到結(jié)束的整個過程，包括決策、計劃、設(shè)計、開發(fā)、測試、發(fā)布、運行和改進等活動。ITIL v3依據(jù)生命周期理論將IT服務(wù)管理最佳實踐進行重新組合，從服務(wù)戰(zhàn)略、服務(wù)設(shè)計、服務(wù)轉(zhuǎn)換、服務(wù)運營再到持續(xù)性的服務(wù)改進，使得IT服務(wù)管理脫離了線性、靜態(tài)的過程而發(fā)展為多維的、注重反饋的動態(tài)實踐系統(tǒng)，從而使IT服務(wù)與業(yè)務(wù)發(fā)展緊密結(jié)合在一起，從企業(yè)發(fā)展的層面總體考慮IT服務(wù)管理的實施。ITIL v3借助于“生命周期”將各個流程有機地整合在了一起（見表2）。（4）面向的對象不同。COBIT是用來檢測IT與立法（如薩班斯法案）的符合情況的審計標準，COBIT從戰(zhàn)略、戰(zhàn)術(shù)、運營層面給出了對IT的測評、度量和審計方法，主要面向信息系統(tǒng)審計人員、企業(yè)高級管理人員以及高級IT管理人員（如CIO）等。ITIL關(guān)注方法和實施過程，關(guān)注IT的戰(zhàn)術(shù)和運營層面。因此，與COBIT相比較，視野比較狹窄。ITIL對IT服務(wù)的提供和支持定義了更為詳細和更易理解的過程集，主要面向IT人員和IT服務(wù)管理人員。

表2 ITIL的主要流程

四、ITIL與COBIT的應(yīng)用途徑

COBIT與ITIL都是IT治理最佳實踐，但COBIT與ITIL的側(cè)重點不同，面向的對象也不同，企業(yè)在加強IT管理與控制建設(shè)時，需要根據(jù)企業(yè)的具體情況來進行選擇。如果一個企業(yè)正在使用或打算使用COBIT作為一個審計機制，在實施IT服務(wù)管理流程期間，使用COBIT定義的控制目標作為流程設(shè)計和指標的標桿是非常有益的。因為這樣在實施之前就確保了組織的具體指標選擇將會符合COBIT審計的要求。雖然COBIT與ITIL有許多的不同之處，但COBIT和ITIL有著一致的指導(dǎo)原則，并且各有優(yōu)點。因此，在實踐工作中，常常將COBIT與ITIL結(jié)合起來應(yīng)用。例如：COBIT為每一個流程提供了關(guān)鍵目標指標（KGI）、關(guān)鍵績效指標（KPI）、關(guān)鍵成功因素（CSF），與ITIL流程相結(jié)合可以建立ITIL流程管理的基準。同樣，對信息系統(tǒng)審計人員而言，綜合使用COBIT和ITIL的評估方法則是評價IT流程和IT控制績效的最有效方法之一。基于COBIT與ITIL之間的這種關(guān)系，企業(yè)在進行IT管理與控制建設(shè)時，COBIT與ITIL的綜合應(yīng)用可以采取以下兩種不同的途徑。（1）按照COBIT的要求確定控制目標，按照ITIL進行流程控制。首先在參照COBIT的基礎(chǔ)上，制定全面的IT控制目標，然后針對各個控制目標制定控制措施。對ITIL能夠滿足需求的控制流程，通過直接實施或參照ITIL最佳實踐進行流程的建設(shè)，而在ITIL沒有涉及的領(lǐng)域引入其他管理標準和方法。由于COBIT控制目標體系龐大，對于一般企業(yè)來說，直接實施COBIT控制目標并不現(xiàn)實。因此，這種方法主要適用于管理基礎(chǔ)好、控制要求高的大型企業(yè)，特別是在國外或國內(nèi)上市的企業(yè)。（2）以ITIL為主體，以COBIT作為補充。由于企業(yè)的IT管理與控制主要包括安全管理、變更管理、數(shù)據(jù)管理、操作和問題管理、資產(chǎn)管理等內(nèi)容，因此按照ITIL著手建設(shè)企業(yè)的IT控制體系是一個非常值得推薦的方法。在實施ITIL流程的過程中，企業(yè)可以根據(jù)自身的實際情況，對照COBIT控制目標，在ITIL沒有涉及到的管理領(lǐng)域內(nèi)，按照COBIT的要求進行改進。ITIL提供了一個以持續(xù)改進為特征的實施框架，幫助企業(yè)根據(jù)自身的能力定義其所要求的服務(wù)水平，采用持續(xù)的流程改進戰(zhàn)略逐步實現(xiàn)ITIL流程。因此，這種方法被越來越多的企業(yè)所選擇，特別是中小型企業(yè)。

［本文系國家自然科學(xué)基金項目“上市公司內(nèi)部控制與投資者保護——基于C-SOX實施效果的研究”（70972076）、教育部人文社科規(guī)劃項目“內(nèi)部控制、過度投資與財務(wù)危機——基于中國資本市場的研究”（09YJA790199）、廣州市社會科學(xué)“十一五”規(guī)劃課題“政府在線審計研究——以廣州市為例”（10Y38）階段性研究成果］

［1］朱海林等：《IT服務(wù)：管理、控制與流程》，機械工業(yè)出版社2006年版。

［2］（南非）Peter Brooks著，豐祖軍譯：《IT服務(wù)管理指標》，清華大學(xué)出版社2008年版。

［3］李慶莉：《IBM借ITIL v3發(fā)布契機，推動IT服務(wù)管理本地化》，《中國金融電腦》2007年第8期。

［4］吳炎太、林斌：《基于生命周期的信息系統(tǒng)內(nèi)部控制風(fēng)險管理研究》，《審計研究》2009年第6期。

［5］翰緯信息管理咨詢公司：《ITILv3理論與應(yīng)用》，http://www.sinoserviceone.com/.

［6］OGC（英國商務(wù)部）.ITIL v3［EB/OL］.http://www.itil.org.uk/.

［7］IT Governanece Institute.COBIT4.1［EB/OL］.http://www.isaca.org/.

（作者吳炎太系南京理工大學(xué)博士）

（編輯 余俊娟）