itmanagement参考.docVIP

中小企业能否用ISO20000代替ITIL？ 中国企业有80％以上都是中小企业，对中小企业用户来说，在实施ITIL的过程中总觉得有点磕磕碰碰，不知道应该如何在ITIL的流程上做裁减。现在ISO/IEC 20000给他们提供了新的思路，把最重要的流程控制住就可以了。 ITIL对于中小企业来说，似乎还是复杂了一点，当用户的规模效应达不到的时候，如果照搬ITIL也会面临很大的问题和挑战。ISO/IEC 20000提供了非常清晰的目标导向的关注点，如果用户抓这些关注点可能并不需要完全遵照这么复杂的流程去做。中国的中小企业可以分成几种类型，第一类是外资企业在中国的分支机构。第二类是大型企业在地市、县市独立运营的分公司，第三个就是一些基地企业或者是私营企业。对于外资企业在国内的分支机构来讲，在国外其实有一套完善的管理体系，中国分支机构的规模效应和成熟度是不一样的。面临的情况和环境都与国外不同，更应该关注的是成熟度。不同的成熟度阶段关注的关键点也是不一样的。比如在中国快速扩张的企业可能关注的是有几点能够增强IT服务能力，对于一些在中国发展了10年、20年的企业可能更多关注的是成本。对于国内的一些本土成长起来的中小企业更多的还是应该关注能力。明确了ISO/IEC 20000里面的关注点，结合ITIL的流程管理，中小企业的IT服务管理之路，也许并不像看上去那么难。 COSO报告具体指什么？ COSO报告主要分四部分：第一部分是概括；第二部分是定义框架，完整定义了内部控制，详细描述了内部控制的组成部分，为公司管理层、董事会和其他人员提供评价内部控制系统的有关规则；第三部分是对外部团体的报告；第四部分是评价工具，提供用以评价内部控制系统的有用材料。COSO报告的核心是提出了内部控制整体框架，该框架式为管理层提供了评估内部控制所需的标准，表现为三维立体式。第一维度是控制目标。内部控制的设计旨在合理保证实现以下目标：机构运作的有效性和效率（包括资产的合理配置与保护）、财务报告等的可靠性以及符合相应的法律法规等；在第二维度中COSO要求机构将关注力重点锁定在两个层次：部门单位层（entity level）与行动层或操作环节（activities level）。机构最终在这两个层次上对其内部控制进行总体评估。第三维度则包括了内部控制的五大要素：第一，控制环境（Control environment），它决定机构的基调并影响着员工的管理与控制意识，是其他四大内部控制构件的基础，提供纪律与框架。具体包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。第二，风险评估（risk assessment），是识别各个部门单位，确认和分析实现组织目标过程中的有关风险，为决定如何管理风险提供基础和依据。它随经济、行业、监管和运作条件而不断变化，需建立一套机制来辨认和处理相应的风险。第三，控制活动（control activities），是帮助执行管理指令得到的一些政策与程序。它贯穿于整个组织、各个层次和各项功能，包括各种活动如批准、授权、证实、调整、绩效评价、资产保护和职责分离等。第四，信息与沟通（information and communication）。信息系统产生各种报告，包括业务运作、财务、遵守规章制度等方面，使得对组织的控制成为可能。处理的信息包括内部生成的数据，也包括可用于决策的外部事件、活动、状况等信息和外部报告。良好的信息与沟通应确保所有人员都要理解自己在控制系统中所处的位置，以及相互之间的关系；必须认真对待控制赋予自己的职责，同时也必须同外部进行有效的沟通。第五，监控（monitoring）。监控在机构运作过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。以上所述的三维就构成了一个整体框架，整体框架是这样运作的：对于任意给定的目标（如机构运作的有效性和效率），管理层必须在部门单位层与行动层（或操作环节），合理连续地对内部控制的五大要素进行定性与定量的评测。针对不同组织，其框架的具体内容应确保任何影响内部控制有效性评估结论的相关因素都不被遗漏，才是合适的。 Prince2和COBIT有什么区别？ Prince2为包括IT项目在内的项目管理提供了通用的管理方法，内置了在项目管理实践中己证明成功的最佳实践 (best practice)，通过为所有参与者提供的通用语言，便于被广泛理解和接受。PRINCE鼓励对项目责任正式的确认(谁具体负责什么)，强调项目交付什么(what)、为何交付(