图1 项目治理结构模型

　　图2 IT治理目标的整合

　　图3 4种模型有机融合

　　IT治理模型包括CoBIT、ITIL、ISO/IEC 17799和PRINCE2。在具体的IT治理工作中，如何合理地应用这些模型，它们之间存在哪些差异?

　　自提出IT治理以来，全世界各国组织和专家都投入了很大的精力来研究IT治理架构，并提出了很多行之有效的模型。其中较为成熟的模型有美国IT治理研究院的CoBIT、英国政府的IT服务管理标准模型ITIL、国际信息安全管理标准模型ISO/IEC17799、IT项目管理的标准模型PRINCE2等。在具体的IT治理工作中，如何合理地应用这些模型，它们之间存在哪些差异?

　　CoBIT VS. ITIL

　　CoBIT基于己有的许多架构，如SEI(Software Engineering Institute)的能力成熟度模型、CMM对软件企业成熟度5级的划分，以及IS09000等标准，CoBIT在总结这些标准的基础上重点关注企业需要什么，而不是企业需要如何做。它不包括具体的实施指南和实施步骤，它是一个控制架构(Control Framework)，而非具体过程架构(Process Framework)。CoBIT从战略、战术、运营层面给出了对IT的评测、量度和审计方法，它的目标听众是信息系统审计人员、企业高级管理人员以及高级IT管理人员，如CIO。

　　ITIL基于企业的最佳实务(Best Practice)，英国政府收集和分析各种组织解决服务管理问题方面的信息，找出那些对本部门和对其它部门有益的做法，最后形成了ITIL。它列出了各个服务管理流程最佳的目标、活动、输入和输出以及各个流程之间的关系，但没定义范围广泛的控制架构。它关注方法和实施过程。由于它关注IT服务管理(ITSM)，它的视野相对CoBIT来说狭窄，主要关注IT的战术和运营层面。它的目标听众是IT人员和服务管理人员。

　　尽管两个标准有着许多的不同之处，但CoBIT和ITIL却有着非常一致的指导原则。信息系统审计人员通常综合使用CoBIT和ITIL的自评估方法，去评估企业IT服务管理环境。CoBIT为每一个过程提供了关键目标指示(KGIs)、关键绩效指标(KPIs)、关键成功要素(CSFs)，与ITIL过程相结合可以建立ITIL过程管理的基准。