【过软考找老孙】高项 IT 治理四件套：治理 + 审计 + ITIL + CMMI 一表对比

一、4 个名字像、考点全混

IT 治理（IT Governance）、IT 审计（IT Audit）、ITIL、CMMI——这 4 个名字学员一看就头大。

它们都讲"IT 管理"，但完全是不同视角：

治理是战略（公司层面）
审计是检查（流程合规）
ITIL 是运维（服务管理）
CMMI 是开发（过程改进）

考试每年至少 2-4 道选择题考这 4 个的区分 = 2-4 分。

我看 2025 年带的学员里 70+ 份模考答卷——这道题错答率 60%。考前 7 天 5 分钟搞定。

二、4 件套一表对比（必背）

维度	IT 治理	IT 审计	ITIL	CMMI
关注点	战略对齐 + 价值交付	合规 + 风险评估	IT 服务运维	软件开发能力
谁来做	公司高管 + 董事会	内 / 外审计师	IT 运维团队	开发团队
目标	IT 投资有回报	流程合规、风险可控	服务稳定、用户满意	持续改进开发能力
核心框架	COBIT	SAS / 国际审计准则	5 阶段服务生命周期	5 级成熟度模型
主要输出	IT 战略规划	审计报告	服务等级协议（SLA）	成熟度评级证书
行业代表	大型企业 / 政府	上市公司 / 金融	数据中心 / 云服务	软件公司

记忆诀：治理战略、审计合规、ITIL 运维、CMMI 开发。

三、4 件套各自核心知识

1. IT 治理（Governance）

核心目标：IT 投资战略对齐 + 价值交付 + 风险管理 + 资源管理 + 绩效管理（5 大目标）。

最常用框架：COBIT（信息及相关技术控制目标）—— ISACA 发布。

5 个治理过程：

评估（Evaluate）—— 看现状
指挥（Direct）—— 给方向
监控（Monitor）—— 看效果
设定（Set）—— 定目标
改进（Improve）—— 持续优化

记忆诀：评指监设改 = EDMSI。

典型应用：公司 CIO 制定 5 年 IT 战略、IT 预算分配。

2. IT 审计（Audit）

核心目标：合规性审查 + 风险评估 + 控制有效性验证。

审计 5 步法：

计划（确定范围）
风险评估（识别 IT 风险）
控制测试（看流程是否在执行）
审计报告（输出问题清单）
跟踪整改（验证修复）

典型应用：上市公司年度审计、SOX 法案合规、ISO 27001 体系认证。

与治理区别：治理 = 公司层面"做什么"；审计 = 流程层面"做对了吗"。

3. ITIL（IT 服务管理）

核心目标：为业务提供稳定、高质量的 IT 服务。

ITIL 4 版（2019）的 5 阶段服务生命周期：

阶段	核心活动
服务战略	战略规划 + 服务投资组合
服务设计	SLA 设计 + 容量规划 + 安全设计
服务转换	变更管理 + 发布管理 + 配置管理
服务运营	事件管理 + 问题管理 + 请求实现
持续服务改进	度量 + 优化

记忆诀：战 → 设 → 转 → 运 → 改（5 阶段）。

典型应用：数据中心运维、企业 IT 服务台、云服务运维。

4. CMMI（软件能力成熟度）

核心目标：评估和改进软件开发组织的过程能力。

5 级成熟度模型：

级别	名称	特征
1 级	初始	流程不可预测、不一致
2 级	已管理	项目层面流程已建立
3 级	已定义	组织层面流程标准化
4 级	量化管理	用数据驱动改进
5 级	优化	持续创新和优化

记忆诀：初管定量优（5 级）。

典型应用：软件公司能力认证、政府采购供应商评估、外包服务评估。

四、4 件套关系图（做项目人视角）

公司战略层
   ↓ IT 治理（COBIT，定方向）
公司流程层
   ↓ IT 审计（验证流程是否在做）
IT 服务运维侧                  IT 软件开发侧
   ITIL（服务交付）              CMMI（开发能力）

关系总结：

治理对齐战略，审计验证流程——这两个是"看公司"
ITIL 管运维，CMMI 管开发——这两个是"看项目 / 服务"
4 个互不冲突，可同时使用——大公司 4 个体系都有

五、5 道历年真题反推

真题 1（2024 上半年）：

题干：以下哪个是软件开发能力成熟度模型？

A. ITIL B. CMMI C. COBIT D. ISO 9000
答：B（CMMI 是软件开发；ITIL 是 IT 服务；COBIT 是治理；ISO 9000 是质量管理）

真题 2（2024 下半年）：

题干：CMMI 5 级中"量化管理"是第几级？

A. 第 3 级 B. 第 4 级 C. 第 5 级 D. 第 2 级
答：B（顺序：初管定量优；量化管理是 4 级）

真题 3（2023 上半年）：

题干：ITIL 4 版有几个服务生命周期阶段？

A. 3 个 B. 4 个 C. 5 个 D. 6 个
答：C（战略 / 设计 / 转换 / 运营 / 改进）

真题 4（2023 下半年）：

题干：IT 治理的核心框架是？

A. ITIL B. COBIT C. CMMI D. ISO 27001
答：B（COBIT 是 IT 治理）

真题 5（2022 上半年）：

题干：IT 审计的目的不包括？

A. 合规性审查 B. 风险评估 C. 制定 IT 战略 D. 控制有效性验证
答：C（制定战略是治理的事，不是审计）
陷阱：很多人选 A 或 B，忽略了 C 才是干扰项。

六、5 个考场陷阱

陷阱 1：CMMI 5 级名字记反

铁律口诀：初管定量优——按这个顺序，5 个级别名字 = 初始 / 已管理 / 已定义 / 量化管理 / 优化。

陷阱 2：ITIL 4 阶段还是 5 阶段

ITIL 4 版（最新）= 5 阶段：战略 / 设计 / 转换 / 运营 / 改进。

陷阱 3：COBIT 是治理还是 IT 框架

COBIT = IT 治理的最主流框架（不是 IT 服务）。

陷阱 4：审计 vs 治理

治理 = "做什么"（战略层）；审计 = "做对了吗"（流程层）。审计不制定战略。

陷阱 5：CMMI 适用范围

CMMI 是软件开发能力成熟度——不能用来评估运维能力（运维用 ITIL）。

七、4 件套的"关键 5 题深化"

深化 1：COBIT 5 个治理过程

EDM = Evaluate（评估）/ Direct（指挥）/ Monitor（监控）/ Set（设定）/ Improve（改进）——记忆诀评指监设改。

深化 2：审计 5 步法

计划 → 风险评估 → 控制测试 → 审计报告 → 跟踪整改——5 步顺序固定。

深化 3：ITIL 4 版的 7 个指导原则

关注价值 2. 从所处之位开始 3. 基于反馈迭代演进 4. 协作与提升可见性 5. 整体思考与工作 6. 保持简单与务实 7. 优化和自动化

深化 4：CMMI 2.0 vs 1.3 的区别

CMMI 2.0（2018 年发布）相比 1.3 主要改进：简化了 22 个 PA 到 8 个能力域、增加了"敏捷"实践、引入了"安全"和"安保"维度。

深化 5：4 件套的"实施成熟度"

基础阶段：先做 ITIL（运维稳定）
中级阶段：加 CMMI（开发能力）
高级阶段：加 COBIT（IT 治理战略）
持续阶段：常态化 IT 审计

八、4 件套的"考点交叉"陷阱

考试常用"交叉概念"出陷阱题：

交叉点	陷阱	正解
ITIL 4 vs ITIL 3	阶段数不同	ITIL 4 = 5 阶段
CMMI 5 vs CMMI 4	量化管理是 4 不是 5	4 级 = 量化管理；5 级 = 优化
COBIT vs SAS	治理 vs 审计	COBIT = 治理；SAS = 审计准则
ISO 27001 vs 等保	国际 vs 国家	ISO 27001 = 国际；等保 = 中国
CMMI vs ITIL 适用	软件 vs 运维	CMMI = 开发；ITIL = 服务

九、做项目 20 年的实战补充

我做项目这么多年的体会：这 4 件套实际上对应公司不同岗位：

CIO 关心治理——给老板看的 IT 战略 PPT
审计部关心审计——上市公司每年要做的合规检查
运维总监关心 ITIL——保障数据中心稳定
开发总监关心 CMMI——评估外包供应商资质

PM 平时4 个都要懂一点——不需要精通，能区分、能判断、能用对术语就够。

考试也是这个标准——4 件套的区分 + 各自核心目标 = 2-4 分稳拿。

十、考前 7 天专项

剩 7 天，每天 3 分钟扫上面"对比表 + 5 真题"。

考前 1 天再扫 1 遍 + 5 道真题再做 1 遍——5 分钟搞定 2-4 分。

十一、4 件套的"5 道补充高仿真题"

补充题 1：

题干：以下属于 ITIL 4 版 5 阶段服务生命周期的是？A. 战略 / 设计 / 转换 / 运营 / 改进 B. 计划 / 执行 / 检查 / 处理 C. 启动 / 计划 / 执行 / 收尾 D. 评估 / 指挥 / 监控 / 设定 / 改进

答：A（ITIL 4 版 5 阶段：战设转运改）

补充题 2：

题干：CMMI 5 级中"组织层面流程标准化"对应？A. 已管理 B. 已定义 C. 量化管理 D. 优化

答：B（3 级 = 已定义 = 组织层面）

补充题 3：

题干：COBIT 5 治理过程口诀"评指监设改"中"指"指？A. 指标 B. 指挥 C. 指南 D. 指令

答：B（Direct = 指挥 = 给方向）

补充题 4：

题干：以下属于 IT 审计输出的是？A. IT 战略规划 B. 服务等级协议 C. 审计报告 D. 成熟度评级证书

答：C（审计输出 = 审计报告 + 整改建议）

补充题 5：

题干：CMMI 适用于评估？A. IT 服务运维能力 B. 软件开发能力 C. 治理能力 D. 风险管理

答：B（CMMI = 软件开发能力成熟度）

十二、4 件套的"职业发展映射"

不同 PM 职业阶段，4 件套关注重点不同：

PM 阶段	重点 4 件套	工作场景
初级 PM（3 年内）	ITIL（运维流程）	学项目交付流程
中级 PM（3-7 年）	CMMI（开发能力）	评估外包供应商
高级 PM（7-12 年）	COBIT（治理）	给 CIO 写战略
总监 / CIO（12+ 年）	4 件套全	公司 IT 整体规划

所以 4 件套的学习不只为考试——是 PM 整个职业生涯的"工具箱"。

十三、4 件套的"实战应用案例"（论文加分素材）

写"整合管理 / 质量管理 / 风险管理"等论文时，可以引用 4 件套加分：

案例 1：用 COBIT 做 IT 治理

项目作为公司"数字化转型"的子项，按 COBIT 5 个治理过程（评-指-监-设-改）开展——评估当前能力、指挥项目方向、监控执行效果、设定阶段目标、持续改进。

案例 2：用 IT 审计验证项目合规

项目执行 9 个月时通过内部审计——按 5 步法（计划 / 风险评估 / 控制测试 / 报告 / 整改）开展。审计发现 3 项不符合，2 周内整改完成。

案例 3：用 ITIL 设计运维支撑

项目交付后采用 ITIL 4 版 5 阶段服务生命周期——战略 / 设计 / 转换 / 运营 / 改进。SLA 99.95% / 平均故障恢复 28 分钟。

案例 4：用 CMMI 评估外包供应商

项目选外包合作时按 CMMI 5 级评估——只选 3 级以上供应商。最终 5 家供应商中 3 家达到 3 级、2 家达到 4 级。

引用 4 件套 = 职业素养体现 = 加 2-3 分。

十四、4 件套学习的"3 周计划"（考前长期 + 短期）

长期（考前 3 周）

每周精读 1 件 + 真题 5 道：

第 1 周：COBIT + 治理真题
第 2 周：CMMI + 开发能力真题
第 3 周：ITIL + 运维真题

短期（考前 7 天）

Day 1-3：4 件对比表 + 5 真题 + 5 补充题
Day 4-7：每天 5 分钟扫表

7 天投入 ~30 分钟 = 2-4 分稳拿。

十五、4 件套的"易错点"重点提醒

易错 1：COBIT vs ITIL 顺序

很多学员把 COBIT 和 ITIL 顺序搞反——记忆诀：C-I-T-M（Cobit→ITIL→CMMI）= 战略→运维→开发——按"层级"从高到低。

易错 2：审计的"独立性"

审计必须独立——不能让"被审计部门"做审计。

易错 3：CMMI 5 级的"持续改进"

5 级"优化"不是终点——是持续创新的状态。

易错 4：ITIL 不是"项目管理"

ITIL = 服务管理，不是项目管理。考题问"项目交付后如何运维"用 ITIL；问"项目过程"用 PMBOK。

十六、4 件套与 PMBOK 的关系图（必懂）

很多学员混淆"4 件套 vs PMBOK"——它们是不同层次：

框架	定位	适用
PMBOK	项目管理通用知识体系	任何项目（高项考的核心）
COBIT	IT 治理框架	公司层面的 IT 战略
ITIL	IT 服务管理	IT 运维 / 服务
CMMI	软件能力成熟度	软件开发组织

关系：

PMBOK 管"单个项目"
COBIT 管"公司 IT 整体"
ITIL 管"IT 服务"
CMMI 管"开发组织能力"

4 件套是 PMBOK 的"补充"——不是替代关系。

十七、4 件套的"考场速判 3 句话"

考场看到 4 件套题，3 句话快速判断：

"战略 / 投资回报 / 公司层面" → COBIT
"合规 / 流程检查 / 审计报告" → IT 审计
"运维 / 服务 / SLA / 5 阶段" → ITIL
"软件开发 / 5 级 / 成熟度" → CMMI

3 句话锁定答案——10 秒搞定 1 道题。

十八、4 件套的"国内特色"补充

中国 IT 治理还有 2 个本土化框架也常考：

1. ITSS（信息技术服务标准）

中国信通院制定 + GB/T 28827 系列国标——管理 IT 服务的国标 = 政府项目高频。

2. 等保 2.0

中国信息安全等级保护——5 级（自指监强专）——已在前面安全章节讲过。

ITSS + 等保 = 中国 IT 治理 2 大本土框架——和国际的 4 件套互补。

十九、4 件套的"职业语言"实战意义

我做项目 20 年的体会：这 4 件套不是考试用的——是职业语言。

PM 在不同场合需要切换语言：

跟 CIO 聊：用 COBIT 语言
跟审计部聊：用 IT 审计语言
跟运维总监聊：用 ITIL 语言
跟开发总监聊：用 CMMI 语言

会切换语言 = 跨部门沟通能力强 = 高级 PM。

二十、4 件套的"考前 7 天加速法"

剩 7 天的速通节奏：

天数	任务
Day 1（今天）	4 件对比表抄 1 遍
Day 2	COBIT 5 治理过程 + 5 道真题
Day 3	IT 审计 5 步法 + 5 道真题
Day 4	ITIL 5 阶段 + 5 道真题
Day 5	CMMI 5 级 + 5 道真题
Day 6	综合扫 + 5 个交叉点
Day 7	考前最后扫一遍

7 天累计 ~3 小时投入 = 2-4 分稳拿。

二十一、4 件套的"概念图速记"

下面这张图把 4 件套关系一图说清：

                  公司 IT 整体战略
                        │
                  COBIT（治理）
                        │
        ┌───────────────┼───────────────┐
        │               │               │
   IT 审计        IT 服务运维      软件开发
   （SAS）         （ITIL）       （CMMI）
   流程检查       服务生命周期      成熟度评级
   合规验证       5 阶段循环        5 级阶梯

核心：COBIT 在顶层（战略）——审计 / ITIL / CMMI 在执行层（不同领域）。

二十二、4 件套的"考前 30 秒速答"

考场 30 秒判断 4 件套题：

5 秒读题——找关键词
10 秒识别框架——COBIT / ITIL / CMMI / 审计
10 秒套对应口诀——评指监设改 / 战设转运改 / 初管定量优 / 计风控审跟
5 秒选答案——4 选项里只有 1 个匹配

30 秒 / 题 = 4 件套高效得分。

二十三、4 件套与中国 IT 项目管理的"融合实践"

我做项目 20 年最深的体会——国内大多数 IT 项目实际都是"4 件套混合实施"：

项目本身按 PMBOK 管（高项考的核心）
公司层面按 COBIT + 等保治理
上市后按 IT 审计 + ITSS 国标合规
软件开发按 CMMI 评估能力
上线后按 ITIL 运维

所以 PM 必须 4 件套 + PMBOK + 国内标准都懂一点——不需要精，能区分 + 能用对术语 + 能跨部门沟通就够。

考前最后 7 天对 4 件套的最佳投入策略：对照表 + 5 真题 + 5 补充题 + 速判 3 句话——4 件套搞定 2-4 分。

二十四、4 件套学习的"长期心法"

最后说一个长期心法——4 件套不是 4 个独立框架，是1 个"职业语言体系"的 4 个方面。

整个 IT 行业的"管理语言"由 4 件套构成——PM / CIO / CTO / 总监们沟通时都用这个语言体系。学会这个语言 = 进入"职业精英圈"的门票。

二十五、4 件套的"最后实战提醒"

剩 7 天最后实战提醒——4 件套不是死记的概念，是职业语言。考前每天 3 分钟扫对比表 + 速判 3 句话——5 分钟搞定 2-4 分。

二十六、最后强调一次"4 件套口诀"

记住这 4 句话考场不会乱：治理战略 / 审计合规 / ITIL 运维 / CMMI 开发——这是 4 件套的灵魂。看到任何题先识别属于这 4 类中的哪一类——再套对应口诀（评指监设改 / 计风控审跟 / 战设转运改 / 初管定量优）。

二十七、小结

4 件套核心区分 = 治理战略 / 审计合规 / ITIL 运维 / CMMI 开发。

5 真题 + 5 陷阱 + 一表对比 = 2-4 分稳拿。

明天我们继续讲论文里最万金油的主题——整合管理。

高项 IT 治理四件套：治理 + 审计 + ITIL + CMMI 一表对比