ITIL与COBIT比较研究

广东金融学院 盛巧玲 吴炎太

ITIL与COBIT比较研究

广东金融学院 盛巧玲 吴炎太

随着信息技术的广泛应用，信息系统已经成为企业经营管理不可缺少的平台，信息技术在企业经营中发挥着越来越重要的作用。因此，IT治理理所当然成为公司治理的重要组成部分。ITIL与COBIT作为世界公认的IT治理最佳实践，成为了事实上的IT治理标准，本文拟对ITIL v3与COBIT4.1进行比较，为企业IT治理实践提供参考。

一、ITIL v3生命周期理论分析

ITIL（Information Technology Infrastructure Library）即信息技术基础架构库。20世纪80年代，ITIL vl（ITIL第1版）由英国国家计算机和电信局（CCTA，后来并入英国商务部）开发推出，初期的ITIL把重心放在系统管理上。2000年英国商务部（OGC）发布了ITIL v2（ITIL第2版），ITIL v2将重心放在了流程管理上，为IT服务管理提供所需要的流程管理实例。2007年5月31日，OGC正式面向全球发布了ITIL v3（ITIL第3版）。这次修订是ITIL自问世以来最大规模的修订，不仅整合了ITIL vl与ITIL v2的精华，还融入了IT服务管理领域当前的最佳实践，增加了生命周期理论以及与其他标准和最佳实践的接口，并包含了更为丰富的实施资源。

ITILv3的核心架构是基于服务生命周期的，服务生命周期框架如图1所示。服务生命周期包括服务战略、服务设计、服务转换、服务运营和持续服务改进五个阶段。ITIL v3用生命周期框架将IT服务管理的各个流程有机地贯穿在一起，形成了一个有机整体。ITIL v3要求企业以服务战略为指导，从服务设计开始，通过服务转换，直至服务运营，整个过程井然有序，同时伴随着持续的服务改进，用以提高各个环节的服务水平。具体而言：（1）服务战略。服务战略是整个服务生命周期管理的轴心，驱动整个生命周期不停地运转。服务战略的目标是指导服务提供商培养以战略方式思考和执行的能力，以获得长期的成功运营和发展。服务战略可以指导企业如何将服务管理转化为战略资产，如何理清各种服务、系统和流程与所支持的业务模型、战略和目标之间的关系。服务战略的流程主要包括制定服务战略、财务管理、投资组合管理和需求管理等。（2）服务设计。服务设计是服务生命周期的一个重要阶段，并且是业务流程变更的一个重要环节。服务设计的目标在于：设计新的或变更的服务导入到生产环境中；确保设计的各方面都得到全盘考虑，使服务设计能够满足当前和未来的业务需求。服务设计的流程主要包括服务目录管理、服务级别管理、能力管理、可用性管理、IT服务连续性管理、信息安全管理和供应商管理等。（3）服务转换。服务转换的作用是交付业务需要的服务进入服务运营。服务转换通过接收服务设计阶段的服务设计包将业务需要的服务交付给运营阶段，进行服务运营与服务支持。服务转换最为关注的是执行服务的每一个方面，必须保证服务能在可预见的极端情况下和不正常的情况下运营，并且对失败和错误起到支持作用。服务转换的流程主要包括规划和支持、变更管理、服务资产和配置管理、发布和部署管理、服务检查和测试、评价、知识管理。（4）服务运营。服务运营是指对支持服务交付的应用程序、技术和框架等进行管理的过程。在生命周期的这个阶段，服务为业务实现了价值。服务运营的主要目的是通过一系列日常活动和流程的协调执行，为客户和用户提供可管理的、达到协议规定的服务级别的服务。服务运营的流程主要包括事件管理、事故管理、请求实现、问题管理、访问管理等。（5）持续服务改进。持续服务改进关注于通过对服务质量的评价和改进以及对IT服务管理生命周期及基本流程的成熟度的评价和改进，从而保持客户的利益。持续服务改进最主要的目的是改进支持业务流程的IT服务，使得IT服务能够不断与业务需求的变化相适应。服务改进活动支持了生命周期方法，贯穿了服务战略、服务设计、服务转换和服务运营的始终。从本质上说，服务改进是关于提高流程的效果、效率和成本效率的方法。持续服务改进的流程主要包括七步法改进流程、服务报告、服务测评等。

图1 ITIL服务生命周期框架

二、COBIT控制思想分析

COBIT（ControlObjectives for Informationand Related Technology）即信息及相关技术控制目标，是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。COBIT是由美国信息系统审计与控制协会（ISACA）下属的IT治理协会（ITGI）开发和推广的，旨在为IT的治理、安全和控制提供一个普遍适用的公认的标准，以辅助管理层进行IT治理。自1996年4月COBIT问世以来，先后经历了1998年、2000年和2005年的修改补充，2007年5月，ITGI发布了最新版本COBIT4.1。

COBIT将IT流程、IT资源、与业务需求相适应的IT目标结合起来，形成一个三维的体系结构（如图2所示）。COBIT的IT总体控制目标包括：有效性、效率、保密性、完整性、可用性、符合性、可靠性。IT资源主要包括应用系统、信息、基础设施和人员。IT流程则是在COBIT的IT总体控制目标的指引下，对信息及相关资源进行规划和处理。COBIT包括34个通用的IT流程（见表1），分为四个域。这四个域分别是：策划与组织、获取与实施、交付与支持、监控与评价，这些域映射到传统的IT职责域：规划、建设、运行和监控。业务导向是COBIT的主要宗旨，COBIT通过IT流程管理IT资源，以交付满足业务和治理要求的信息。

表1 COBIT的34个IT流程

三、ITIL与COBIT的区别

COBIT与ITIL都是IT治理最佳实践，COBIT的控制目标与ITIL相当一致，都从业务的角度去关注IT，都以支持业务战略作为IT的目标。但COBIT与ITIL之间存在着明显的差异。

（1）内容侧重点不同。COBIT是一个控制框架，而非具体过程框架，其提出了IT治理的框架模型，明确了IT控制的目标，通俗地说COBIT关注“企业应当做到什么”。COBIT作为IT治理的框架，提出了IT总体控制目标、各个IT流程的控制目标以及数百个详细的控制目标。企业可以根据整个框架，实现IT战略与业务战略的吻合、优化IT资源的目的。ITIL侧重于“企业应当怎么做”。ITIL描述了一套关联的IT管理流程，为企业提供更为细致的指导和流程上的保障，给出的流程管理方法是被实践证明有效并被广泛接受的。ITIL关注IT服务管理，是关于IT服务管理的一套知识库。（2）基于不同的生命周期框架。COBIT是基于信息系统开发生命周期的。COBIT包括34个IT流程，分为四个域，即策划与组织、获取与实施、交付与支持、监控与评价。这四个域对应于按照系统开发过程划分的生命周期的四个阶段。ITIL v3是基于IT服务生命周期的，服务生命周期是指服务从开始到结束的整个过程，包括服务战略、服务设计、服务转换、服务运营和持续服务改进五个阶段。ITIL将IT作为服务交付，在ITIL中，服务包括了软件、基础设施、帮助台和资产管理等等。ITIL从服务战略出发，服务战略是ITIL v3的核心，其重点是价值的创造；ITIL还关注服务设计，使用服务设计包的概念来封装所有的需求；最后，服务转换、服务运营和持续服务改进，关注于将服务交付到市场的流程，保证运营性能，并对服务进行持续的调整和优化。（3）IT流程不同。COBIT包括34个IT流程，涵盖了系统开发与维护整个生命周期。COBIT强调流程管理，为企业管理IT活动提供了一个参考的流程模型，为每一个IT流程确定了控制目标、关键目标指标（KGI）、关键绩效指标（KPI）、关键成功因素（CSF）及能力成熟度模型等。COBIT特别强调内部控制，其流程涵盖了系统开发与维护整个生命周期中各个关键控制环节，并且明确了各个IT流程与IT总体控制目标之间的关系（见表1）。ITIL流程涵盖了IT服务从开始到结束的整个过程，包括决策、计划、设计、开发、测试、发布、运行和改进等活动。ITIL v3依据生命周期理论将IT服务管理最佳实践进行重新组合，从服务战略、服务设计、服务转换、服务运营再到持续性的服务改进，使得IT服务管理脱离了线性、静态的过程而发展为多维的、注重反馈的动态实践系统，从而使IT服务与业务发展紧密结合在一起，从企业发展的层面总体考虑IT服务管理的实施。ITIL v3借助于“生命周期”将各个流程有机地整合在了一起（见表2）。（4）面向的对象不同。COBIT是用来检测IT与立法（如萨班斯法案）的符合情况的审计标准，COBIT从战略、战术、运营层面给出了对IT的测评、度量和审计方法，主要面向信息系统审计人员、企业高级管理人员以及高级IT管理人员（如CIO）等。ITIL关注方法和实施过程，关注IT的战术和运营层面。因此，与COBIT相比较，视野比较狭窄。ITIL对IT服务的提供和支持定义了更为详细和更易理解的过程集，主要面向IT人员和IT服务管理人员。

表2 ITIL的主要流程

四、ITIL与COBIT的应用途径

COBIT与ITIL都是IT治理最佳实践，但COBIT与ITIL的侧重点不同，面向的对象也不同，企业在加强IT管理与控制建设时，需要根据企业的具体情况来进行选择。如果一个企业正在使用或打算使用COBIT作为一个审计机制，在实施IT服务管理流程期间，使用COBIT定义的控制目标作为流程设计和指标的标杆是非常有益的。因为这样在实施之前就确保了组织的具体指标选择将会符合COBIT审计的要求。虽然COBIT与ITIL有许多的不同之处，但COBIT和ITIL有着一致的指导原则，并且各有优点。因此，在实践工作中，常常将COBIT与ITIL结合起来应用。例如：COBIT为每一个流程提供了关键目标指标（KGI）、关键绩效指标（KPI）、关键成功因素（CSF），与ITIL流程相结合可以建立ITIL流程管理的基准。同样，对信息系统审计人员而言，综合使用COBIT和ITIL的评估方法则是评价IT流程和IT控制绩效的最有效方法之一。基于COBIT与ITIL之间的这种关系，企业在进行IT管理与控制建设时，COBIT与ITIL的综合应用可以采取以下两种不同的途径。（1）按照COBIT的要求确定控制目标，按照ITIL进行流程控制。首先在参照COBIT的基础上，制定全面的IT控制目标，然后针对各个控制目标制定控制措施。对ITIL能够满足需求的控制流程，通过直接实施或参照ITIL最佳实践进行流程的建设，而在ITIL没有涉及的领域引入其他管理标准和方法。由于COBIT控制目标体系庞大，对于一般企业来说，直接实施COBIT控制目标并不现实。因此，这种方法主要适用于管理基础好、控制要求高的大型企业，特别是在国外或国内上市的企业。（2）以ITIL为主体，以COBIT作为补充。由于企业的IT管理与控制主要包括安全管理、变更管理、数据管理、操作和问题管理、资产管理等内容，因此按照ITIL着手建设企业的IT控制体系是一个非常值得推荐的方法。在实施ITIL流程的过程中，企业可以根据自身的实际情况，对照COBIT控制目标，在ITIL没有涉及到的管理领域内，按照COBIT的要求进行改进。ITIL提供了一个以持续改进为特征的实施框架，帮助企业根据自身的能力定义其所要求的服务水平，采用持续的流程改进战略逐步实现ITIL流程。因此，这种方法被越来越多的企业所选择，特别是中小型企业。

［本文系国家自然科学基金项目“上市公司内部控制与投资者保护——基于C-SOX实施效果的研究”（70972076）、教育部人文社科规划项目“内部控制、过度投资与财务危机——基于中国资本市场的研究”（09YJA790199）、广州市社会科学“十一五”规划课题“政府在线审计研究——以广州市为例”（10Y38）阶段性研究成果］

［1］朱海林等：《IT服务：管理、控制与流程》，机械工业出版社2006年版。

［2］（南非）Peter Brooks著，丰祖军译：《IT服务管理指标》，清华大学出版社2008年版。

［3］李庆莉：《IBM借ITIL v3发布契机，推动IT服务管理本地化》，《中国金融电脑》2007年第8期。

［4］吴炎太、林斌：《基于生命周期的信息系统内部控制风险管理研究》，《审计研究》2009年第6期。

［5］翰纬信息管理咨询公司：《ITILv3理论与应用》，http://www.sinoserviceone.com/.

［6］OGC（英国商务部）.ITIL v3［EB/OL］.http://www.itil.org.uk/.

［7］IT Governanece Institute.COBIT4.1［EB/OL］.http://www.isaca.org/.

（作者吴炎太系南京理工大学博士）

（编辑 余俊娟）