【IT运营管理】结合COBIT 5和ITIL的经验教训

Chinese, Simplified

在一家金融技术(fintech)机构任职,提供了与COBIT 5合作的全新第一手经验。尽管在涉及COBIT 5的治理、风险和合规(GRC)项目方面有超过7年的经验,但这一参与不仅是从业者在COBIT 5下启动项目的第一次机会,而且是探索如何将其与其他框架结合起来,提供全面的、业务驱动的技术治理解决方案。信息技术基础设施库(ITIL)和COBIT5将用于这项工作。本质上,ITIL是一个框架,旨在标准化企业内IT服务的选择、规划、交付和维护。目标是提高效率和实现可预测的服务提供。

这一特定的金融技术风险管理项目有三个主要目标:

  1. 确定组织内的所有技术职能。
  2. 将所有功能映射到ITILv3流程并开发相应的正式策略。
  3. 从COBIT5的过程实践和活动中为每个功能绘制控制目标。

以下是在结合ITIL和COBIT5的最佳实践过程中获得的4个重要经验教训。

COBIT 5还是ITIL?都是!

由于这两个框架是由不同的组织设计的,并且服务于不同的目的,人们可能会认为它们并不重叠。然而,这是一个错误的假设。在金融科技参与过程中,研究和学习表明,这两个框架相辅相成。由于COBIT有助于确定它应该做什么,ITIL规定了如何在IT权限内最大限度地利用资源。尽管框架不同,但它们确实有多个接触点(例如,从COBIT 5域构建、获取和实现[BAI],process BAI06 Manage Changes近似等于ITIL Change Management;process BAI10 Manage Configuration近似等于ITIL Configuration Management)。

通过遵循COBIT 5使能器提供的实现指导,很容易理解cobit5如何通过将it优先级与支持整个企业目标的it相关目标相关联来帮助定义适当的it投资、战略、设计、实现和管理。COBIT5目标级联有助于使IT相关目标和企业目标保持一致,并相应地帮助优化IT流程并确定其优先级(图1)。在fintech企业中,COBIT 5目标级联向利益相关者展示了如何在应用ITIL v3流程时确定重点领域的优先级,以及如何确定一个运行良好的企业所需的流程数量和成熟度级别。

基于COBIT 5目标级联,与IT相关的优先目标可能是01 IT和业务战略的一致性;04管理IT相关的业务风险;07根据业务需求提供IT服务;08充分利用应用程序、信息和技术解决方案;09 IT敏捷性;010信息处理的安全性,基础设施和应用程序;012通过将应用程序和技术集成到业务流程中来实现和支持业务流程;以及016名胜任且积极的业务和IT人员,如图1所示。

基于与IT相关的目标,fintech enterprise得出结论,某些COBIT 5流程允许有效界定ITIL v3服务管理流程定义的范围,以有效交付IT服务。

相关的管理流程包括评估、指导和监控(EDM)EDM01、EDM02、EDM03。优先级管理流程包括对齐、计划和组织(APO)APO12管理风险和APO13管理安全(图2),它们映射到ITIL v3服务设计中的信息安全管理。

关注共同目标

尽管COBIT 5和ITIL在某些方面重叠,并且两者都负责确保IT支持业务,但是框架并不共享相同的焦点。ITIL的主要关注点是IT服务策略和管理,而COBIT5的主要关注点是通过应用图3所示的COBIT5原则对IT进行端到端的企业治理。

Figure 3

ITIL指南的重点是IT以及如何管理IT以提供价值

COBIT5覆盖整个企业,确保实现治理,确保利益相关者的价值,并使用治理和管理IT的整体方法。这是通过策略、流程、人员、信息、文化和组织结构、服务和应用程序来实现的,这些都是在单一的总体框架下实现和集成的,以便于集成和定制。ITIL完全专注于IT以及如何管理IT以提供价值。

指导而非实施指南

尽管COBIT 5和ITIL都提供了组织应该如何实现它的详细过程、能力和性能指导,但这两个框架都没有为实现提供精确的蓝图。这是通过设计每个组织被留下来设计一个适合其自身独特需求、环境和优先级的解决方案。这种开放性和灵活性确保了框架适用于所有大小、商业、非营利、政府或跨国组织。所有人都可以从指导意见中得出结论,并可以根据行业公认的标准制定自己的实施计划。框架的这种固有的、普遍的质量进一步鼓励各组织选择对其组织很重要的过程,而不必担心过于规定性的实施步骤。正如《哈佛商业评论》(Harvard Business Review)所总结的,这种灵活性使企业能够克服对失败的第一恐惧。根据哈佛大学的研究,消除非必要的过程鼓励改变和采用最佳做法

结论

虽然本文中的经验教训自然地伴随着正在执行的角色而来,但结论是一个普遍的观察,即一个组织不必遵守COBIT 5的所有过程。目标应该是根据组织的要求从框架中得出参考和推论,而不是强迫实现向更好的风险态势迈进一步。

原文:https://www.isaca.org/resources/news-and-trends/newsletters/cobit-focus/2019/lessons-learned-while-combining-cobit-5-and-itil

本文:http://jiagoushi.pro/node/946

讨论:请加入知识星球或者微信圈子【首席架构师圈】

SEO Title
Lessons Learned While Combining COBIT 5 and ITIL