CIO如何用好最新 ITIL 4 与 COBIT 2019
COBIT和ITIL都是CIO等信息化中高级管理者必学的框架,两者一起使用,可以为有效管理信息化提供全面落地的指导。最新版的ITIL 4 和 COBIT 2019 都是在2019年上半年前后脚刚刚出来,反应了全球信息化管理发展的大趋势,值得每个CIO学习参考,可以少走很多弯路。
新的ITIL 4和COBIT 2019 更新都侧重于将最佳实践与新潮流的DevOps、Agile和Lean的世界贯通起来。
做正确的事情(Do right Things) 和正确的做事(Do things right) 之间可能存在冲突。如果说COBIT是抗生素,那么ITIL是阿司匹林。两者都很重要,都有明确但互补的目标。在IT环境中,做正确的事情可以概括为IT团队决定专注于实现业务目标的内容,有助于为业务创造最大附加值,同时降低风险并优化资源,这是企业IT治理(EGIT)。确定正确的事后,IT团队将专注于正确的做事,也就是说转化为IT团队将如何执行此任务,整体组织IT服务(特别是IT部门的工作),并提供持续运营完善的机会。这正是IT服务管理(ITSM)。
一. 视角:IT治理还是IT管理
关于IT治理这一术语存在一定程度的混淆。一些IT专业人员错误地认为IT治理与遵守规则和法规以及一般的官僚任务有关,会阻碍正常运作。这种IT治理观点是不公平的,也是不准确的。
事实上,IT治理与IT管理一起工作。IT治理确保IT活动和流程与总体目标保持一致。IT管理是IT团队用于实现这些目标的方法。IT治理旨在实现IT绩效与IT合规之间的平衡。IT性能可确保IT在成本、功能等方面不断提供价值并满足消费者的期望。IT一致性确保遵守所有规则和法规,并且所有风险都得到适当管理。
IT绩效(Performance)和IT一致性(Conformance)可能会相互冲突。举个例子,过度关注IT合规下,IT安全部门执行严格的密码策略,如要求所有密码必须长度为32个多种类型的字符,并且需要每天更改。这为用户带来使用上的困难。而另一方面,强调IT性能将要求执行宽松的密码策略,如密码永不过期,只需要四个字符,并且仅包含数字,这会危及IT安全性。IT治理将创建系统来评估可用的各种选项,然后选择合适的选项。因此,IT治理是IT绩效和IT合规之间的平衡。
COBIT 的视角是自上而下的,将治理与管理分离,是高层管理人员应该了解他们应该如何接近企业IT的一套实践。
ITIL的视角是平视的,谈的是服务管理,是确定如何组织IT员工工作实践及流程的路线图。
图1 COBIT 与ITIL 视角不同
二. ITIL® 4和COBIT®2019:一题两解
IT相比20年前更复杂,并且还在不断发展演进。最初,IT对业务流程带来的巨大效率提升是许多领域中IT使用日益增加的关键驱动因素。技术数量和质量的提高导致IT在更复杂和关键的业务流程中的使用。短短几年间,业界面临着越来越复杂的IT,这已经在行业细分、业务领域和流程中普遍存在。
由于机器数量暴增以及技术之间的相互依赖性,造成了这种复杂性。此外,过多的利益相关者同时处理IT设计、创建、交付和消费的各个方面。IT利益相关者一直在尽力管理这种复杂性,于是ITIL正和此意。业务利益相关者还尝试利用IT来满足业务目标,于是COBIT 治理和控制框架应用而生。
多年来,ITIL的侧重点一直在稳步的演进。目前,ITIL 4旨在以服务的形式为客户提供价值。关键目标是了解良好服务交付所涉及的参数和需求,从服务提供商的角度来看客户或业务。
COBIT的重点也在不断演化。COBIT 2019主要目标是确保提供利益相关者价值,从业务角度来看服务交付引擎。
从本质上讲,COBIT 2019和ITIL 4是实现相同目标的两种不同方法,这两个框架互为补充。
上海信息化培训中心SITC是全球首批ITIL 4官方授权培训机构,也是全球首批COBIT 2019官方授权培训机构。
三. ITIL 4
ITIL 4 充分认识到有各种不同的管理和实施IT的方法。因此,它没有像ITIL之前版本一样强调明确的流程和体系结构,因为这可能会对特定的服务交付环境起反作用。相反,ITIL 4建立在各类组织中存在的大量现有IT服务管理实践知识的基础之上。同时,它使组织能够灵活地使用它们何时以及如何需要它。
ITIL 4提倡任何服务交付和价值创造工作都应将服务管理的四个维度视为:
- 组织和人
- 信息和技术
- 伙伴和供应商
- 价值流和流程。
ITIL服务价值体系包括:
- 指导原则:可以在任何情况下指导组织的建议,无论其目标、战略、工作类型或管理结构如何变化。
- 治理:组织指导和控制的手段。
- 服务价值链:组织执行的一组互连活动,用于向其消费者提供有价值的产品或服务,并促进价值实现。
- 实践:为执行工作或实现目标而设计的一组组织资源。
- 持续改进:在各个层面进行的经常性组织活动,以确保组织的绩效不断满足利益相关者的期望。
[图片上传失败...(image-9a7fb5-1565683205816)]图4.1服务价值体系
图3 服务价值体系
- 计划
- 改进
- 对接
- 设计和过渡
- 获得/构建
- 提供和支持。
四. COBIT 2019
对于任何想在IT服务创建和交付之上进行治理建设的人来说,COBIT一直是最受欢迎的选择。COBIT还通过IT投资建立了创造。类似的还有诸如ISO 38500,OECD ®原则以及Cadbury报告,但都不如COBIT那样受欢迎,它们也没有像COBIT那样开发出大型知识库。
COBIT 2019刚刚发布,促进了更简单、更直观的实施。这将加强COBIT作为创新和业务转型的重要推动力的持续作用。
COBIT 2019将六条治理体系原则规定为:
- 提供利益相关者价值
- 整体方法
- 动态治理体系
- 治理与管理分离
- 根据企业需求量身定制
- 端到端治理体系。
COBIT 2019产品架构由主要组件组成。
对于促进实现企业目标的信息和技术,应实现若干治理和管理目标。COBIT 2019把40个治理和管理目标分为五个领域:
- EDM:评估、指导和监控
- APO:协同、计划和组织
- BAI:建立、获取和实施
- DSS:提供、服务和支持
- MEA:监控、评估和评价。
为了满足治理目标,每个企业都需要建立和维持一个由以下七种组件构建的系统:
- 流程
- 组织结构
- 原则,政策和框架
- 信息
- 文化,道德和行为
- 人员,技能和能力
- 服务,基础设施和应用程序。
焦点区域描述了一系列治理主题、域或问题,可以通过一组治理目标及其组件来解决。例如:
- 中小企业
- 信息安全
- 风险
- DevOps的。
组织需要调整以下设计因素以满足其要求:
- 企业战略
- 企业目标
- 风险状况
- 信息和技术相关的问题
- 威胁景观
- 合规要求
- IT的作用
- IT的采购模型
- IT实施方法
- 技术采用策略
- 企业规模。
五、ITIL 4 与COBIT 2019: 框架结构的相似性
5.1 COBIT 2019 和 ITIL 4 服务价值体系SVS中的治理
ITIL 4 服务价值体系(ITIL SVS)有助于服务提供商组织中各种组件如何聚集在一起创造价值。ITIL SVS的一个重要组成部分是治理。COBIT中讨论的治理原则类似于ITIL 4中讨论的一些概念。评估、指导和监督是ITIL 4和COBIT 2019 都接受的治理基础组成部分。
5.2指导原则
[图片上传失败...(image-93a99b-1565683205817)]图6.1指导原则
图5.2 指导原则
应在组织的所有领域考虑ITIL 4的7项指导原则。ITIL 4中的一些指导原则与COBIT 2019中描述的治理系统原则密切相关,例如:
注重价值:ITIL 4指导原则之一是“注重价值”,而COBIT 2019第一条治理原则是“提供利益相关者价值”,两者相一致。这两项原则表述略有差异,但意思其实都侧重于为相关利益攸关方创造价值
整体思考和工作:“整体思考工作”的ITIL 4指导原则与COBIT 2019“端到端治理系统治理”原则兼容。这两个原则都指出,不能通过孤立地工作来提供价值,而只能通过关注企业为实现其目标而实施的所有组件来创造价值。
迭代反馈进展:ITIL 4 迭代反馈进展指导原则与COBIT 2019中的“动态治理系统”的治理原则有一些相似之处。这两个原则都承认,管理框架将在其生命周期内进行修订,以应对不断变化的商业环境。
上海信息化培训中心SITC是全球首批ITIL 4官方授权培训机构,也是全球首批COBIT 2019官方授权培训机构。
六、治理系统组件和服务管理维度的协同作用
ITIL 4强调通过独立实施流程或技术无法创造价值的原则,而必须从整体上价值创造,全面包括服务管理的四个维度。这些维度补充了COBIT 2019治理系统的组件。有趣的是,COBIT确实将合作伙伴/供应商确定为治理系统的组成部分之一。
[图片上传失败...(image-9df247-1565683205817)]图7.1治理系统和服务管理之间的相互作用
图7.1治理系统和服务管理之间的相互作用
图6 治理系统和服务管理之间的相互作用
组织和人员:这一维度与COBIT 2019组织结构,人员技能和能力密切相关。
信息和技术:这一维度与信息,服务基础设施和应用程序的COBIT 2019组件密切相关。
价值流和流程:这个维度与流程,原则政策和程序的COBIT 2019组成部分密切相关。
上海信息化培训中心SITC是全球首批ITIL 4官方授权培训机构,也是全球首批COBIT 2019官方授权培训机构。
七、ITIL服务价值链与COBIT目标级联之间的协同作用
为了创造价值,ITIL服务价值链的六项活动利用其他组织组成部分。这些活动是非线性的,没有明确的序列或明确的起点和终点。每个价值创造实例的价值创造历程都会有所不同。在COBIT 2019治理和管理目标中可以观察到类似的概念。
服务价值链的本地化和定制是ITIL 4中强调的一个关键点。在开始创造价值的服务价值链之前,必须确定需要满足的要求。这将决定活动的顺序。
上海信息化培训中心SITC是全球首批ITIL 4官方授权培训机构,也是全球首批COBIT 2019官方授权培训机构。
类似的过程通过目标级联方法确保COBIT应用的本地化和定制。在着手实施治理控制和流程之前,组织必须了解企业目标和优先级。在COBIT 2019中确定了13个这样的企业目标。一旦被选中,它就可以映射到对齐目标。这些对齐目标; 然后在40个治理目标中选择,确定需要处理哪些治理目标以改进组织内的治理系统。
两个框架之间的相似性可以在很高的层次上观察到。两个框架都考虑业务目标,并将重点放在价值创造上作为起点。然而,他们试图达到不同的目的。
八、ITIL服务价值链活动与COBIT域之间的协同作用
ITIL 4 服务价值链活动将使用不同的ITIL实践组合来创造价值。这与COBIT中五个领域的治理和管理目标非常相似。
COBIT 2019 调整,计划和组织以及ITIL服务价值链计划活动:这两个框架相互补充,因为分组的流程/实践侧重于组织内的所有计划活动,例如项目,服务,企业架构等等。
COBIT构建,获取和实施(BAI)和ITIL服务价值链设计/转换构建/获取活动:COBIT域BAI在需求定义,可用性,容量等领域补充ITIL SVC设计/转换活动。
COBIT域BAI还补充了ITIL SVC在托管IT资产,配置,解决方案验收等领域的构建/获取活动。
COBIT提供服务支持(DSS)和ITIL服务价值链交付和支持活动:这两个可能是COBIT和ITIL 4中最具互补性的活动。两者都集中在服务请求,问题,事件等领域。
上海信息化培训中心SITC是全球首批ITIL 4官方授权培训机构,也是全球首批COBIT 2019官方授权培训机构。
九、ITIL实践和治理管理目标的协同作用
ITIL 4和COBIT 2019 是具有相似目标但通过不同视角实现目标的框架。过程的一对一映射既不可能也不可取。但是,有一些相似之处可以用来相互补充。
COBIT 2019采用开放式方法阐明其影响范围,非常开明的引导用户使用其他适当的框架、标准和流程。在治理和管理目标的描述中,每个目标都指向“相关指导”和“详细参考”。因此,从业者更容易将COBIT的治理方向与ITIL中的活动相结合,以创建全面的解决方案。尽管如此,由于COBIT 2019 与ITIL 4 各自几乎同时发布,所以在当前版本的COBIT 2019中,每个目标还只是映射到ITIL v3 流程。
下表是COBIT 2019治理和管理目标如何映射到ITIL 4实践的高级概述。应该指出的是,这是一个非常高阶(粗略)的图表,显示了相似之处,不应被视为两个框架内所有内容/活动的精确交叉参考。其目的是展示组织中ITIL实践的实施将如何支持治理实施工作。
[图片上传失败...(image-1be564-1565683205817)]表10.1 COBIT 2019目标与ITIL 4实践的比较
表10.1 COBIT 2019目标与ITIL 4实践的比较
表9 COBIT 2019目标与ITIL 4实践的比较
十、ITIL 4 和 COBIT 2019:和而不同
COBIT 2019在创建和管理治理系统时专注于整个企业。另一方面,ITIL 4专注于服务提供商和服务消费者之间最小的价值创造机会。因此,COBIT 2019关注系统,而ITIL 4涉及系统内的每个过程,无论其大小如何。
ITIL 4通过对IT服务管理采用主动和模块化方法不断发展。
因此,任何组织都可以使用ITIL 4来管理和改进所有级别和任何规模的IT服务。
COBIT 2019在IT治理方面的覆盖面同样全面。但是,与ITIL 4不同,将COBIT 2019缩小以用于较小的组织是很困难的。然而,ITIL 4和COBIT 2019是为不同目的而创建的,因此期望它们适用于相同的情况是不现实的。
十一 结论:COBIT 2019 和(或)ITIL 4
组织需要全面了解IT服务,并在强大的治理框架的帮助下对其进行管理。此外,该框架需要得到组织高层的大力支持才能实现其目标。
“我曾经在一个使用多个框架的大型政府组织中开展了一个有趣的项目。服务交付用ITIL,应用程序开发用CMMI,项目管理用PRINCE2,企业架构用TOGAF等等。每个部门都对自己感到满意,然而,高级管理层发现难以为实现战略决策创建企业范围的绩效图。于是,我们使用COBIT作为集成框架,来关联和映射其他框架并投影企业级绩效仪表板,而不会干扰其他已经在用的框架,结果大获成功。“
[图片上传失败...(image-5c539d-1565683205817)]文本框:“我曾经在一个使用多个框架的大型政府组织中开展了一个有趣的项目。用于服务交付的ITIL,用于应用程序开发的CMMI,用于项目管理的PMBoK,用于企业架构的TOGAF等等。每个部门都对自己感到满意然而,高级管理层发现难以为实现战略决策创建企业范围的绩效图。我们成功地使用COBIT作为集成框架来关联和映射其他框架并投影企业级绩效仪表板而不会干扰其他框架已经在使用了。”
文本框:“我曾经在一个使用多个框架的大型政府组织中开展了一个有趣的项目。用于服务交付的ITIL,用于应用程序开发的CMMI,用于项目管理的PMBoK,用于企业架构的TOGAF等等。每个部门都对自己感到满意然而,高级管理层发现难以为实现战略决策创建企业范围的绩效图。我们成功地使用COBIT作为集成框架来关联和映射其他框架并投影企业级绩效仪表板而不会干扰其他框架已经在使用了。”
很明显,COBIT 2019可以在任何复杂的IT环境中与ITIL 4协调工作。特别是,在该IT环境中存在ITIL 4实践将极大地支持COBIT治理系统的实施
在很多方面,COBIT提供“什么 what”,而ITIL显示“如何 how”。虽然COBIT 2019侧重于企业IT的治理,但ITIL 4侧重于企业中IT的管理和执行以实现价值创造。企业应该使用COBIT 2019来确定IT服务价值等式的“什么”部分,并且应该依靠ITIL 4来寻找“如何”、“何时”、“何处”问题的答案。
两个框架都可以在特定环境中应用以协同工作,在特定环境中存在一个将有利于另一个的实施。
当组织从ITIL入手时,可以将IT有效地整合到核心业务流程中。IT为组织提供类似于人力资源或采购的支持角色,但主要区别在于IT通常始终存在于整个公司运营周期中,而HR和采购仅在特定情况下或需求出现时发挥特定作用。因此,在整个运营周期中包含IT是有意义的,因为它可以有效地支持IT并为业务增加价值。
ITIL 提供了有关如何执行多个COBIT流程的详细建议。
COBIT的原则1(满足利益相关者需求)包括目标级联机制,通过支持服务管理来提高ITIL效率(当两者都存在时):优先考虑服务管理改进机会,确定其关键活动,并作为改进提案的理由的手段将这些与具体的组织目标联系起来。
ITIL和COBIT中有些进程相互匹配。例如,COBIT中的BAI06管理变更流程与服务过渡章节下的ITIL变更管理流程相匹配。另一方面,ITIL中的风险缓解由风险管理主题解决,但没有特定的流程可用 – 而在COBIT中,我们找到了管理风险的流程APO12。
在比较COBIT和ITIL时,您会注意到很多重叠。这两个框架都试图将IT置于更大的公司内,作为面向服务的自治实体。这使得IT部门可以指导他们自己的策略和实践,并在考虑业务指令的情况下构建自己的路线图,而不是强迫部门屈服于公司其他部门的突发奇想。
ITIL 4 和COBIT 2019 虽然存在一些重叠,两者都为公司适应其独特情况的最佳实践提供指导。基于以上分析比较,如果您正在考虑使用什么–COBIT 2019 与 ITIL 4或ITIL 4 和 COBIT 2019 – 这一切都非常简单:您的ITSM实施项目的第一阶段可能应该是ITIL。当你彻底了解自己的方式时,你可以开始全局思考,思考COBIT。
COBIT需要一个自上而下的实施,从利益相关者开始,从他们的角度定义业务目标。实施需要利益相关者、C级高管和管理人员之间的协调,以确保可用的流程或产品符合利益相关者的需求。
IT团队可以在部门内实施ITIL,几乎可以不受来自C级管理人员或董事会的干扰。将IT理解为基于服务的部门,这可能需要改变那些不习惯为公司/客户/客户而不是项目本身工作的人的态度。
行动起来!从两个框架中的原则和实践开始实施。
上海信息化培训中心是全球首批ITIL 4官方授权培训机构,也是全球首批COBIT 2019官方授权培训机构。
十二. 一个简单的联合落地例子
我们已经概述了ITIL和COBIT 之间的区别,让我们看一下它们在现实生活中的用法。
让我们想象一家公司,比如ABC Logistics Group,一家国际物流企业。这是一家拥有10,000名员工的大型公司,在全球20个地点设有办事处。他们曾经是该领域的领导者之一,但现在,由于众多问题,他们正面临着严重的危机。
COBIT如何帮助
以下是该公司面临的一些问题及其COBIT提供的解决方案:
| 一般问题 | COBIT的援助 |
|---|---|
| 1. IT组织效率低下,不符合业务目标,似乎过时了。IT团队总是过多地专注于错误的事情。例如,为驾驶员计算最快路线的软件通常会提出不适当的变体,这会导致交付延迟。IT部门更喜欢做网络管理,而不是注意交付延迟。此外,IT团队并不太关注IT风险管理。他们没有针对紧急情况的具体计划,例如数据中心断电或IT服务中断。 | 1. 业务主管能够确定IT需求的优先级 并制定相应计划的能力。使用COBIT 的Goals Cascade,公司可以将其利益相关者的需求转化为可行的战略。通过这种方式,最高管理层可以精确定位他们想要关注的IT流程。这种明确的业务与IT关系策略可以在两者之间建立一种理解。因此,IT团队知道他们的业务希望他们修复路由软件并更多地关注特定的IT流程(尤其是风险管理)。 |
| 2. 公司经常未能通过潜在合作伙伴的审核。为了与任何物流公司开展成功的合作,公司的客户需要确保这个特定的合作伙伴能够履行其义务并按时交付货物。为了确定这一点,服务用户公司经常审核他们的潜在合作伙伴。由于极长的停机时间和企业IT的整体不可靠性,ABC Logistics 出现失败的审核次数超过审核次数。 | 2. 明确的基准系统。最初,COBIT作为审计框架启动。现在,它仍然提出了一个非常方便的企业IT评估系统。使用它 ABC Logistics可以执行内部审计,并在时机成熟时为潜在合作伙伴做好外部审计准备,成功通过并赢得新客户。 |
| 3. 长期合作伙伴倾向于停止使用公司的服务,而更愿意与竞争对手合作。频繁的延迟,无法监控交付的到达时间以及总体不可靠性导致失去忠诚的客户。 | 3. 稳定性和新软件。由于建立了明确的目标级联,公司的IT现在确保他们的交付系统稳定运行,并且延迟数量充分减少。此外,高层管理人员决定并安排开发新的网络和移动应用程序,以便公司的合作伙伴实时监控交付情况。 |
ITIL如何帮助
以下是ITIL如何解决ABC Logistics中IT团队面临并导致的问题:
| 具体的IT问题 | ITIL的帮助 |
|---|---|
| 1. IT团队经常超载。如果发生某些技术问题(例如,网络连接不稳定),ABC Logistics的员工会一直等待,直到IT专家看到它。而他们等待时,他们无法敲定运单,司机无法出发,延误堆积。停机成本是巨大的。 | 1. 特定的ITIL实践流程,用于组织和规范IT部门的工作。ITIL的运营详细描述了IT部门如何根据各种ITIL流程有效地组织其工作。使用这种组织模型,IT专家很少会过载,从而大大降低了停机成本。 |
| 2. 监控IT员工的绩效是不可能的。IT人员使用的系统只显示了团队上个月的工作量。但是没有关于团队成员个人表现的信息。 | 2. 问责制度。ITIL提供广泛的KPI系统,ABC Logistics可以根据这些系统评估整个IT部门或特定IT员工的效率。此外,使用ITIL预先假定使用ITSM平台,该平台存储了谁做了什么的数据。 |
| 3. 类似的故障不断发生。IT团队修复了很多故障,但其中一些故障只是一次又一次地发生。在现有的超载中,不可能找出为什么会出现这些问题以及它们有多深。 | 3. 厘清ITIL 问题管理。为了更有效地解决IT问题,ITIL提供了一个区分事态、事件、问题、变更和请求的系统。如果类似的事件发生在第三次,例如,第三次,它可以被视为一个问题,其根本原因被分析和消除。这样的系统允许更详细地处理问题,加速其解决并防止它们再次发生。 |
| 4. 公司IT基础设施的变化是混乱的。由于公司的IT没有变更数据库,因此IT基础架构和软件的新元素总是困扰用户甚至IT团队本身。 | 4. ITIL 变更管理****和CMDB。ITIL为企业IT的变更制定了详细的程序。首先,授权变更。其次,人们了解特定的变化。如果更改不成功,则会制定预先批准的退出计划。 |
| 5. 不明确的IT支出。IT部门总是抱怨其高层管理人员的严格财务控制。高层管理人员永远不会确定他们的IT部门是否在预算范围内并明智地使用它。 | 5. **ITIL 财务管理。如果应用得当,财务管理可以阐明IT支出和遵守IT预算,以及规范财务规划和节省资金。 |
