大白话解读：COBIT是什么，不是什么？怎么理解IT治理与COBIT的关系？

COBIT IT治理认证 知识体系 考证须知 证书含金量 培训大纲 3分钟小视频 我要提问

COBIT由信息系统审计与控制协会ISACA自1996年公布。COBIT是目前国际上权威的IT治理与控制框架，它在业务风险、控制需要和技术问题之间架起了一座桥梁，它可以辅助管理层进行IT治理，指导组织有效利用信息资源，有效地管理与信息相关的风险。最新版COBIT 2019框架提供了全面且更加实际的指引，可帮助企业更好地治理和管理其信息与技术，将为企业评估和调整IT治理项目提供最佳实践指导。COBIT是一个通用的框架，适用于所有规模的企业，无论是商业机构、非盈利机构或公共部门。

• 中文名COBIT IT治理认证
• 英文名Control Objectives for Information Technologies
• 英文简称COBIT
• 颁证机构ISACA（COBIT2019）、PeopleCert（COBIT5）
• 证书类别IT GRC，IT治理
• 同类认证CGEIT、CRISC、CISA

简单来说，COBIT就是一个关于企业信息和技术治理的框架，帮助企业更好地管理和控制信息技术（IT）资源。

01 COBIT是什么？不是什么？

COBIT是什么？

COBIT的核心思想就是通过一系列的治理和管理目标，让企业在使用技术时，能够更有效地支持业务目标。

举个例子，假设你是一家公司的IT经理，COBIT能帮助你理清楚哪些技术项目对公司蕞重要，如何分配资源，以及如何评估这些项目的成功与否。简单说，就是让你的IT工作更有章法，不再是“我觉得可以这样做”，而是“根据COBIT的标准，我应该这样做”。

COBIT不是什么？

COBIT虽然非常强大，但它并不是一个完美适合所有场景的解决方案。我们来澄清一些常见的误解：

1. COBIT 不是整个企业IT环境的完整说明
   COBIT并不是用来描述所有技术细节或具体IT操作的框架，它更关注的是“如何治理”而非“如何实施”。
2. COBIT 不是业务流程管理框架
   COBIT并不用于直接管理企业的业务流程，它的关注点是确保IT系统如何有效支持这些业务流程。也就是说，COBIT侧重于IT与业务目标之间的桥梁建设，而非直接干涉日常的业务操作。
3. COBIT 不是IT技术框架
   COBIT也不涉及具体的IT技术，它并不会告诉你要用什么样的工具、编程语言或者软件来实现IT目标。它只是为管理层提供了一个框架，帮助他们从战略层面上管理技术和信息。
4. COBIT 不做出具体IT决策
   COBIT并不是一个决策引擎，它不会告诉你“蕞佳的IT战略是什么”或“蕞佳架构是什么”。它的作用是定义需要做出哪些决策、由谁来做、如何做，以及如何确保这些决策符合企业目标。

02 图解：IT治理主要涵盖哪些内容

这张图展示了 IT 治理的相关内容及其对应的 COBIT 框架。无论是董事会与执行管理层、业务与技术管理层，或者是审计、控制和安全从业人员，COBIT框架都能对他们有所帮助。

解读：

• 董事会与执行管理层

1. 定位
   • 处于框架的蕞顶端，为董事会与执行管理层提供 IT 治理的总体指导。
2. 核心要点
   • 聚焦职责和治理实务，确保企业 IT 活动与业务目标保持一致，使 IT 战略服务于企业战略。

• 业务与技术管理层

1. 定位
   • 位于框架的中间层，起到承上启下的作用。
2. 核心要点
   • 重点关注绩效测量、关键成功因素和成熟度模型，通过这些要素来评估和_ IT 治理的有效性。
   • 这一层提供具体的管理指南，帮助业务与技术管理层合理规划和执行 IT 治理相关工作。

• 审计、控制和安全从业人员

1. 定位
   • 处于框架的底层，是_ IT 治理有效实施的关键环节。
2. 核心要点
   • 提出三个关键问题：

1. • • 如何制定 IT 控制框架？

1. • • 如何评估 IT 控制框架？

1. • • 如何在组织中建立 IT 控制框架？

1. • 通过对这些问题的解答，确保 IT 控制的有效性。
   • 该层还包括以下主要指南，为从业人员提供操作方法：

1. • • COBIT 框架、控制目标和控制实务：作为整个框架的基础，为 IT 控制提供了标准化的目标和操作规范。

1. • • 审计指南：为审计人员在 IT 审计过程中提供操作指引和标准。

1. • • 实施指南：帮助从业人员在组织中实施 IT 控制框架，确保其落地和有效执行。

03 图解：COBIT主要涵盖哪些内容

我们再来看另外一张图。

这张图展示了COBIT 2019 的框架结构。

解读：

1. 蕞左侧：COBIT 2019 的输入

• 标准、框架和法规：这些是 COBIT 2019 框架的外部输入，包括各种行业标准、监管要求等。
• 社区贡献：来自社区的贡献和反馈，帮助完善和更新 COBIT 框架。

2. 往右：COBIT的核心

• 治理和管理目标的参考模型：这是 COBIT 2019 的核心部分，提供了治理和管理目标的参考模型，帮助企业建立和评估其 IT 治理和管理体系。包括5大领域及40个治理和管理目标 (也称为流程)。

3. 继续往右：COBIT 因素

• 企业战略、企业目标、企业规模和复杂度、行业模式和趋势、新兴需求：这些因素影响企业的 IT 治理和管理目标，帮助企业定制其 IT 治理策略。

4. 蕞右侧：定制的企业信息和技术治理系统

• 治理和管理目标优先级：根据企业的特定需求和因素，确定治理和管理目标的优先级。
• 焦点领域的具体指导：针对特定的治理和管理领域，提供详细的指导和方法。
• 目标能力和绩效的管理指导：帮助企业管理和提升其 IT 治理和管理能力，确保达到预期的绩效目标。

5. 底部：COBIT 核心刊物

即，COBIT2019的4个主要出版物文件。

• 《COBIT 2019框架：引言和方法论》，阐述了整体框架的结构
• 《COBIT 2019框架：治理和管理目标》，包含了COBIT核心模型及40个治理和管理目标 (也称为流程)的详细说明，这个是COBIT的核心内容。
• 《COBIT 2019设计指南》 ，为如何将COBIT付诸于实践提供了指导
• 《COBIT 2019实施指南》，与《COBIT 5实施指南》相关，是其更新版。

----------------------------------------------------------------------

好了，今天的分享就到这里。如果你希望了解并学习更多IT治理和管理方面的知识、方法与技能，建议参加COBIT IT治理认证。