超越ITIL（AMT研究院 郭建荣）

1.      前言

1.1.困扰问题

随着IT技术在企业中的应用越广，企业业务流程的正常运作就越离不开IT部门的支持。IT在给企业业务带来效益的同时，也带来了成本和风险的困扰，尤其是在某些特殊行业，例如电信、金融等行业。如何使已有的信息化资源发挥更大效能，如何使IT与企业业务紧密整合，如何规范企业IT服务管理，已成为决定企业能否在激烈的竞争中领先的重要课题。

在企业内部，一方面管理层对IT部门提出了可度量IT投资回报的要求，而业务部门则对IT服务质量和可用性提出了更高的要求。如何才能兼顾两者的不同需求，如何才能达到质量与成本的平衡？

另外，2002 年美国颁布的Sarbanes-Oxley法案（Sarbanes-Oxley Act, 简称SOX法案）要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。而该法案中，以第404节条款的影响最大，第404节条款规定两个必备的内容：一是公司管理层要对公司内控和财务会计报表的制定和编制的有效性、真实性负责，二是必须聘请外部审计师对公司内控和财务报表进行独立审计并出具审计结果。SOX法案对IT服务的成本和质量提出了非常直接的挑战。

1.2.解决之道

ITIL是用来提升IT服务质量，降低IT服务成本，协调IT服务部门内部运作，改善IT部门与业务部门的沟通，帮助企业对信息化系统的规划、研发、实施和运营进行有效管理的方法。ITIL结合企业的环境、组织结构、IT资源和管理流程的特点，从流程、人员和技术三方面来规划企业的IT结构。它强调将企业的运营目标、企业需求与IT服务的提供相协调一致。

COBIT以ITIL为基础，将IT流程、IT资源及信息与企业的策略与目标联系起来，为企业管理的成功提供了集成的IT管理，通过保证有关企业处理流程的高效的改进措施，以更快、更好、更安全地响应企业需求。

将ITIL的流程和COBIT的控制目标有机地结合可以应对SOX法案带来的挑战，帮助企业改进IT流程，实现业务对IT的需求。

2.COBIT介绍

2.1.COBIT简述

COBIT（Control Objectives For Information and Related Technology，信息及相关技术的控制目标），是一个被广泛接受的IT控制框架(IT Control Framework)。由美国IT治理研究院（IT Governance Institute）开发与推广，目前已成为国际上公认的最先进、最权威的信息技术管理和控制的标准。该标准为IT的管理、安全与控制提供了一个一般适用的公认标准，以辅助公司决策层进行IT治理。该标准体系已在世界100多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

2.2.COBIT体系结构

COBIT将IT流程、IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构，如图1。其中，IT信息标准集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源；IT流程则是在IT信息标准的指导下，对信息及相关资源进行规划与处理，从规划与组织（Planning and Organisation）、获取与实施（Acquisition and Implementation）、提供与支持（Delivery and Support）、监控（Monitoring）等四个方面确定了34个信息技术处理流程，每个处理流程还包括更加详细的控制目标和审计方针对IT处理流程进行评估。

图1   COBIT三维体系结构

这个模型为企业管理的成功提供了集成的IT管理，通过保证有关企业处理流程的高效的改进措施，以更快、更好、更安全地响应企业需求。

3.ITIL介绍

3.1.ITIL故事

ITIL全称IT基础设施最佳实践库（IT Infrastructure Library）。ITIL相关的书籍由英国政府商务部（Office of Government Commerce）在1989年出版。该套书籍出版后，内容得到多次扩展和重新组织结构，提供了更全面的IT服务的最佳实践指导，更好地满足客户需求。出版的书中描述了创建相关规范所需考虑的事项、计划和措施。基于ITIL的IT服务管理，继承了以下特点：

• 描述已经得到证明的IT服务计划和运营的实践框架，基于经验，而非纯理论研究

• 对于公共和个人组织公平地给予指导，独立于组织使用的软件和硬件

• 属于公共的方法论，使用时无需任何费用

• 具有全球的用户网络

虽然英国、荷兰、加拿大和美国是采用ITIL最积极的地区，但ITIL在世界上其它地方的使用也在迅速增长。由于实现整个ITIL规范需要很长的时间，所以最初常常看到使用的只是部分实践。在ITIL实现中这些现象都不罕见——任何成功的实践实现都要求付出时间和管理。另外，ITIL是一个覆盖了IT环境运行维护中很多其它方面（如系统管理、网络管理和安全性）的库。这一服务管理规范提供了一个框架，IT和终端用户可以根据自己的能力定义自己所要求的不同服务性能水平。客户们通常采用一种持续的流程改进战略逐步实现这些流程。

ITIL与COBIT类似，它并不是把相同的一套流程直接实施于企业，而是根据每个企业的详细需求量身定做，以实现企业IT部门的战略目标和流程。

3.2.ITIL流程

ITIL的核心流程和模块，主要包括：

• IT服务支持（IT Service Support） ：

             服务台（Service Desk）

             突发事件管理（Incident Management）

             问题管理（Problem Management）

             变更管理（Change Management）

             配置管理（Configuration Management）

             发布管理（Release Management）

• IT服务提供（IT Service Delivery）：

             服务级别管理（Service Level Management）

             IT服务财务管理（Financial Management for IT Services）

             IT服务连续性管理（IT Service Continuity Management）

             能力管理（Capacity Management）

             可用性管理（Availability Management）

3.3.实施ITIL获得收益

实施ITIL后企业可以获得的利益主要包括:

• 减少重复工作和冗余工作，有效利用人力资源

• 提高IT员工的专业素质，提高员工的服务能力和工作效率

• 规范IT部门的服务水平，规范工作流程，降低由人事变动导致的风险

• 提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务

• 有效控制IT部门的开支，降低IT运营成本，减少运营风险

• 从总体上提高企业IT投资的回报，给企业带来巨大的经济价值，提升企业的综合竞 争力

4.SOX介绍

2002 年，美国国会通过了Sarbanes-Oxley 法案（Sarbanes-Oxley Act, 简称SOX 法案），该法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。SOX要求企业针对产生财务交易的所有作业流程，都做到能见度/透明度、控制、通讯、风险管理和诈欺防治，且这些流程必须详加记录到可追查交易源头的地步。

SOX法案不仅适用美国的所有在市场上进行公开交易的公司，还适用于在美国证券交易所登记的非美国公司。也就是说，凡在美国上市的公司都要受此法案约束。

对于那些已开始SOX合规（SOX Compliance）的公司来说，IT很显然地在内部控制方面扮演一个至关重要的角色。IT专家，尤其是处于经理级职位上的专家，需要非常精通内部控制理论和实践来迎合SOX法案的需求。CIO们（Chief Information Officer，首席信息执行官）需要接受以下挑战：

• 提高与内部控制相关的知识；

• 理解公司的总体SOX合规计划；

• 制定一项有关IT控制的合规计划；

• 把该IT控制计划与公司总体SOX合规计划集成在一起。

围绕SOX法案的讨论大多集中在第302节和第404节。

5.ITIL、COBIT与SOX

ITIL对应COBIT模型中的部分模块，它为支持企业业务流程定义了IT控制目标。

ITIL服务支持与服务提供的11个关键流程和COBIT的34个主要流程之间的关系如图2所示。

在此框架图中，绿色模块表示COBIT的需求与ITIL完全吻合，黄色模块表示COBIT的需求与ITIL部分吻合，红色模块表示ITIL目前不支持COBIT的需求。总体来说，ITIL覆盖了COBIT中40-50%的控制目标。

图2   ITIL与COBIT

为了迎合SOX的需要，外部审计师毫无疑问将把COBIT作为IT审计的工具。一位提供ITIL咨询的咨询师Troy DuMoulin说，“既然审计师使用COBIT，企业就有必要学习该模型。该模型确定了关键绩效考核指标（KPIs, Key Performance Indicators）和主要成功要素（CSFs, Critical Success Factors），企业在文档化和重组流程的时候能够通过这些指标确定需要考虑的事项。”

除了ITIL和COBIT之外，还存在其他不同的IT框架，例如BS7799。但是其中大部分，包括COBIT，仍是以ITIL为核心。特别是ITIL服务支持与服务提供的流程涉及了11个主要的控制目标。

因此，ITIL的流程和COBIT的控制目标有机地结合可以极大地加快SOX合规的进程。

6. 总结

本文首先由IT为企业带来的成本和风险上的困扰以及SOX法案实施带来的影响，引出“将ITIL的流程和COBIT的控制目标有机地结合可以应对SOX法案带来的挑战。”

正文中，首先介绍了信息及相关技术的控制目标——COBIT的有关内容，描绘出COBIT三维体系结构。接下来，介绍了IT基础设施最佳实践库——ITIL的主要流程和模块，并列举出成功实施ITIL可以为企业带来的利益，使读者更加直观地了解ITIL的重要作用。本文最后介绍了ITIL与COBIT之间的关系，认为将ITIL的流程和COBIT的控制目标有机地结合可以极大地加快SOX合规的进程，实现IT价值。