大白话解读:COBIT是什么,不是什么?怎么理解IT治理与COBIT的关系?
COBIT不是技术说明书,也不是决策引擎——它是一个IT治理框架,帮助企业在技术投入与业务目标之间建立清晰、可评估的管理桥梁。
简单来说,COBIT就是一个关于企业信息和技术治理的框架,帮助企业更好地管理和控制信息技术(IT)资源。
一、COBIT是什么?不是什么?
COBIT是什么?
COBIT的核心思想就是通过一系列的治理和管理目标,让企业在使用技术时,能够更有效地支持业务目标。
举个例子,假设你是一家公司的IT经理,COBIT能帮助你理清楚哪些技术项目对公司最重要,如何分配资源,以及如何评估这些项目的成功与否。简单说,就是让你的IT工作更有章法,不再是"我觉得可以这样做",而是"根据COBIT的标准,我应该这样做"。
COBIT不是什么?
COBIT虽然非常强大,但它并不是一个完美适合所有场景的解决方案。我们来澄清一些常见的误解:
- COBIT 不是整个企业IT环境的完整说明
COBIT并不是用来描述所有技术细节或具体IT操作的框架,它更关注的是"如何治理"而非"如何实施"。 - COBIT 不是业务流程管理框架
COBIT并不用于直接管理企业的业务流程,它的关注点是确保IT系统如何有效支持这些业务流程。也就是说,COBIT侧重于IT与业务目标之间的桥梁建设,而非直接干涉日常的业务操作。 - COBIT 不是IT技术框架
COBIT也不涉及具体的IT技术,它并不会告诉你要用什么样的工具、编程语言或者软件来实现IT目标。它只是为管理层提供了一个框架,帮助他们从战略层面上管理技术和信息。 - COBIT 不做出具体IT决策
COBIT并不是一个决策引擎,它不会告诉你"最佳的IT战略是什么"或"最佳架构是什么"。它的作用是定义需要做出哪些决策、由谁来做、如何做,以及如何确保这些决策符合企业目标。
二、图解:IT治理主要涵盖哪些内容
这张图展示了 IT 治理的相关内容及其对应的 COBIT 框架。无论是董事会与执行管理层、业务与技术管理层,或者是审计、控制和安全从业人员,COBIT框架都能对他们有所帮助。
解读:
- 董事会与执行管理层
- 定位
- 处于框架的最顶端,为董事会与执行管理层提供 IT 治理的总体指导。
- 核心要点
- 聚焦职责和治理实务,确保企业 IT 活动与业务目标保持一致,使 IT 战略服务于企业战略。
- 业务与技术管理层
- 定位
- 位于框架的中间层,起到承上启下的作用。
- 核心要点
- 重点关注绩效测量、关键成功因素和成熟度模型,通过这些要素来评估和确保 IT 治理的有效性。
- 这一层提供具体的管理指南,帮助业务与技术管理层合理规划和执行 IT 治理相关工作。
- 审计、控制和安全从业人员
- 定位
- 处于框架的底层,是确保 IT 治理有效实施的关键环节。
- 核心要点
- 提出三个关键问题:
-
-
- 如何制定 IT 控制框架?
-
-
-
- 如何评估 IT 控制框架?
-
-
-
- 如何在组织中建立 IT 控制框架?
-
-
- 通过对这些问题的解答,确保 IT 控制的有效性。
- 该层还包括以下主要指南,为从业人员提供操作方法:
-
-
- COBIT 框架、控制目标和控制实务:作为整个框架的基础,为 IT 控制提供了标准化的目标和操作规范。
-
-
-
- 审计指南:为审计人员在 IT 审计过程中提供操作指引和标准。
-
-
-
- 实施指南:帮助从业人员在组织中实施 IT 控制框架,确保其落地和有效执行。
-
三、图解:COBIT主要涵盖哪些内容
我们再来看另外一张图。
这张图展示了COBIT 2019 的框架结构。
解读:
- 最左侧:COBIT 2019 的输入
- 标准、框架和法规:这些是 COBIT 2019 框架的外部输入,包括各种行业标准、监管要求等。
- 社区贡献:来自社区的贡献和反馈,帮助完善和更新 COBIT 框架。
- 往右:COBIT的核心
- 治理和管理目标的参考模型:这是 COBIT 2019 的核心部分,提供了治理和管理目标的参考模型,帮助企业建立和评估其 IT 治理和管理体系。包括5大领域及40个治理和管理目标 (也称为流程)。
- 继续往右:COBIT 因素
- 企业战略、企业目标、企业规模和复杂度、行业模式和趋势、新兴需求:这些因素影响企业的 IT 治理和管理目标,帮助企业定制其 IT 治理策略。
- 最右侧:定制的企业信息和技术治理系统
- 治理和管理目标优先级:根据企业的特定需求和因素,确定治理和管理目标的优先级。
- 焦点领域的具体指导:针对特定的治理和管理领域,提供详细的指导和方法。
- 目标能力和绩效的管理指导:帮助企业管理和提升其 IT 治理和管理能力,确保达到预期的绩效目标。
- 底部:COBIT 核心刊物
即,COBIT2019的4个主要出版物文件。
- 《COBIT 2019框架:引言和方法论》,阐述了整体框架的结构
- 《COBIT 2019框架:治理和管理目标》,包含了COBIT核心模型及40个治理和管理目标 (也称为流程)的详细说明,这个是COBIT的核心内容。
- 《COBIT 2019设计指南》 ,为如何将COBIT付诸于实践提供了指导
- 《COBIT 2019实施指南》,与《COBIT 5实施指南》相关,是其更新版。
学了COBIT对你有什么实际价值?
无论是做IT审计、内部控制,还是担任IT管理者,COBIT都是中高级IT管理者绕不开的框架。越来越多的企业在建立IT内控体系时,要求相关负责人掌握COBIT方法论——因为SOX法案、ISO38500、国内《企业内部控制基本规范》等合规要求,都指向了一个共同的答案:用COBIT来搭建IT治理体系。持有COBIT证书,意味着你不仅懂技术,更懂"如何管技术"。
COBIT由信息系统审计与控制协会ISACA自1996年公布。COBIT是目前国际上权威的IT治理与控制框架,它在业务风险、控制需要和技术问题之间架起了一座桥梁,它可以辅助管理层进行IT治理,指导组织有效利用信息资源,有效地管理与信息相关的风险。最新版COBIT 2019框架提供了全面且更加实际的指引,可帮助企业更好地治理和管理其信息与技术,将为企业评估和调整IT治理项目提供最佳实践指导。COBIT是一个通用的框架,适用于所有规模的企业,无论是商业机构、非盈利机构或公共部门。
