1.什么是COBIT?

    COBIT(Control Objectives for Information and related Technology)是由国际信息系统审计和控制协会(ISACA)公布的控制框架,目前已经更新至4.1版。COBIT是一种IT治理架构,也是一种成套的支持工具。经营者可以用它弥合控制要求、技术问题和企业风险三者间的缺口。COBIT能够为企业中IT控制提供清晰的政策发展及高效的实践。ITGI于1996年4月初次发布COBIT。ITGI发布的最新版COBIT4.1强调了管理一致,帮助企业提高IT带来的价值,突出了企业及IT目标的联系并简化了COBIT架构的执行过程。COBIT4.1是COBIT架构的改进,可用于提高已完成的工作质量,这些工作是借助COBIT早期的版本完成的。如果大部分工作都要使用IT治理,或者是预先设定企业的所有控制架构,那么推荐一开始就使用COBIT4.1版本。COBIT4.1使得工作更现代化、更实际。这是IT治理中一个连续的进步,操作起来更简单。

 2.COBIT 4.1更加关注什么?

      COBIT 4.1是COBIT 4.0框架的一种微调,能够用于提高已经在早期COBIT版本上完成的工作。 COBIT4.1的更新包括提高了性能测量、改善了控制目标并且对商业和IT目标有了更好的定位。 CobiT4.1补充了对执行概要部分的描述,对绩效评价的解释更为清晰,对IT目标、流程和活动目标这一瀑布式的每个部分都增加了评价标准,并且扩展了绩效驱动因素和结果衡量标准之间的区别。结果的衡量标准(KGI)同时也是更高层级目标的驱动因素(KPI)。由于控制实践和Val IT模型的开发,CobiT4.1同时还包括更完善的控制目标。

  在控制目标这个层面,控制目标的定义也有所变化,变得更加贴合管理实践。一些控制目标被重新定义和分组,以防止控制目标的交叠,使整个控制目标更加协调。在CobiT4.1中,AI5.4,AI5.5和AI5.6合并成了一个,AI7.9,AI7.10和AI7.11也合并成了一个。

CobiT4.1中的ME3不光是原来的法律、法规要求,还包括了内部政策和合同的遵循。这些变化使得控制目标的数量也发生了变化。其他一些控制目标通过重新定义,变得更加以行为为导向,并体现在字里行间。在应用控制部分的控制目标变化较为明显,虽然数量减少,但囊括了所有的应用控制需求。尤其是:删除了手工控制;安全控制调整到了安全流程中,删除了重复的部分;对业务控制、一般控制、应用控制进行了解释。

 3.COBIT发展战略更集中在哪些方面?

IT治理 —— 基于五个方面的整合:由ITGI定义的战略整合、价值交付、风险管理、资源管理和绩效管理。COBIT加入了一个矩阵图,描绘了所有IT流程和治理域的对应关系。

业务需求 ——以业务需求为原则,并且基于信息标准是COBIT的基本原则。由Antwerp大学进行的IT如何为业务目标提供支持的更广泛的研究涉及了各个不同的行业,提供了普遍通用的业务目标和IT目标。COBIT中提供了一个表格来说明业务目标、IT目标和COBIT IT流程的关系,以帮助用户确定他们组织业务与IT的联接。这还常被用来改善目标和绩效评价体系。

协调一致——帮助用户更方便地将COBIT与其他更具体的指导进行整合,如ITIL, ISO 17799, PMBOK以及 PRINCE 2。COBIT 中使用的术语和原理较之以前,更加协调。

价值创造 ——由于COBIT的审计起源,COBIT很强调风险管理的控制。COBIT更好地平衡了风险与价值,并吸取了IT价值管理的最新研究成果。

企业结构 ——COBIT提供了RACI图表(Responsible-负责执行任务的角色、 Accountable-对任务负全责的角色、Consulted-提供信息辅助执行任务的人员、Informed-拥有既定特权、应及时得到通知的人员)阐明每个IT流程的角色和职责。结合着目标、资源、信息和流程,框架中还解释了企业结构原则。

流程定义及流程信息流 —— 为了改善对IT流程模型的理解,COBIT 4.1提供了对每个流程的描述,包括流程的输入与输出及与其他流程的关系。

语言与表述 ——COBIT 4.1中使用了更加简练、符合时代发展及行为导向的语言。控制目标和管理指南的内容根据IT流程结合起来。COBIT 4.1的核心内容只有一本书。


4.企业通过实施COBIT框架可获得的受益,或解决的问题有哪些?

   解决企业内部因各种IT运作的缺陷导致出现的诸如缺乏指导方针和过程规定,缺乏规划及绩效度量标准,不理想的系统设计和开发,缺乏足够的信息安全措施等棘手问题,建立清晰的责任制度,实现企业战略与IT战略的互动,形成持续改进的良性循环机制。

5.哪些人适合COBIT Foundation认证?

    COBIT Foundation认证考试最适合IT审计师、IT经理、IT质量专家、IT负责人、IT开发经理、IT服务流程经理。

6.COBIT证书由谁颁发?

   参加COBIT Foundation培训同时通过COBIT FOUNDATION认证考试后,由ISACA颁发COBIT Foundation认证证书。

7.COBIT认证考试的形式是怎样的?

   COBIT认证考试为在线机考,时间为1小时,考试内容包含40道单选题。要通过考试,需答对

至少28道题,也就是正确率至少在70%以上。考试成绩在机考后现场获得。

8.如何获得COBIT相关资料?
    可以参加培训,学员可以获得培训教材、讲义资料。也可以经常关注ISACA协会组织颁发的资料。 

9、实行COBIT的好处

实行COBIT需要考虑:

  • 以商业重点为基础更好地结合
  • 为了管理,可以对IT持一种可理解的观点
  • 清晰的所有权及责任划分可接受第三方及其管理者
  • 以一种共同语言为基础,所有利益共享者都能理解
  • 可在IT控制环境中完成COSO的要求

COBIT是IT业中最好的综合实践,也是IT治理的综合架构,因为它与其他标准相协调,并不间断地与时俱进。COBIT处理结构与高水平的处理方式相联结,这种方式是面向商业的,它为我们提供了一种终端对终端的看问题的方法,这样就可以帮助企业从IT投资中获取尽可能多的收益。

COBIT4.1简体中文版,下载地址: http://www.isaca.org/Chinese-Simplified/Pages/default.aspx