COBIT（Control Objectives for Information and related Technology）由美国信息系统审计与控制协会ISACA自1996年公布，2012年6月全新升级为第5版。COBIT 5将原来的COBIT 4.1, Val IT and Risk IT三者融合为一个统一的框架，并与当前最新版本的ITIL ,TOGAF兼容。COBIT5演化为覆盖IT和业务双重职能，横跨整个组织的IT治理、管理和运营的业务框架，帮助组织通过收益实现，风险管理优化及资源调度三者之间的平衡，进而创造IT的最优价值。COBIT5有5个原则，7个赋能因素、分治理和管理2个层面共37个IT流程，采用ISO 15504流程评估方法。

    COBIT与COSO内部控制框架高度相关，因此COBIT5框架及其内容能快速有效地帮助企业在信息技术方面达到美国SOX法案、ISO38500 IT治理国际标准、国内《企业内部控制基本规范》、《商业银行信息科技风险管理指引》、《证券期货经营机构信息技术治理工作指引》等法规中对企业IT治理相关条款要求。COBIT5原则和方法对于云计算、大数据有非常强的现实指导意义。

课程目标

　　学习COBIT业务框架，快速掌握IT治理国际最佳实践

　　指导您和您的组织在理解业务需求的基础上，如何充分利用信息资源，并有效管理与信息相关的风险

　　IT战略和业务战略之间搭建桥梁，使IT与业务目标一致，从而推动业务发展

　　 系统学习和实施COBIT5的方法和步骤

　　系统学习COBIT5过程能力评估方法和步骤

　　应用流程评估模型PAM和流程参考模型PRM

　　通过COBIT Foundation、Implementation和Assessor国际认证考试，取得认证证书。

课程对象

CEO、CIO、董事会成员

企业架构师

企业IT总监，IT高级经理，IT咨询顾问，IT支持专家

信息安全经理，信息系统管理专业人士

内部/外部信息系统审计师和质量流程控制人员

业务流程经理，业务流程顾问

其他参与IT治理的人员，资深IT人员，审计管理人员

希望了解IT治理国际最佳实践的人员

课程大纲

COBIT5认证考试

考试形式

          COBIT5 Foundation国际认证考试，纸面闭卷40分钟50道单选题，答对50%(25/50)通过。

          COBIT5 Implementation国际认证考试，要求已取得COBIT5 Foundation证书，纸面2.5小时4大单元×20道客观题=80道小题，答对50%(40/80)通过。

          COBIT5 Assessor国际认证考试，要求已取得COBIT5 Foundation证书，纸面2.5小时8道基于场景的问答题，答对50%（40/80）通过。

考试大纲

COBIT5 Foundation

Understand the governance and management of enterprise IT

Create awareness with your business executives and senior IT management

Assess the current state of enterprise IT in your department or organization

Scope which aspects of COBIT 5 would be appropriate to implement.

COBIT Implementation

How to analyze enterprise drivers

Implementation challenges, root causes and success factors

How to determine and assess current process capability

How to scope and plan improvements

Potential implementation pitfalls

The latest good practices.

COBIT5 Assessor

How to perform a process capability assessment using the Assessor Guide: using COBIT 5.

How to apply the Process Assessment Model (the PAM) in performing a process capability assessment. Specifically:

To use the Process Reference Model, in particular to be able to use the 37 processes outlined in the PRM.

To apply and analyse the measurement model in assessing process capability levels.

To apply and analyse the capability dimension using generic criteria outlined in the PAM.

How to identify and assess the roles and responsibilities in the process capability assessment process.

How to perform and assess the 7 steps outlined in the Assessor Guide. Specifically:

Initiate a process assessment

Scope an assessment, using the tools provided and the PAM for the selection of the appropriate processes

Plan & Brief the teams

Collect & Validate the data

Do a process attribute rating

Report the findings of the assessment.

How to use the self-assessment guide.

COBIT 5相对于COBIT4.1有哪些大的改进？ 

COBIT5集成了更多的框架和标准的应,COBIT5合并了COBIT4.1和VAL IT及RISK IT框架并做了更新，与ITIL, TOGAF, PRINCE2等国际最佳实践和标准兼容。 

COBIT5新提出5大IT治理原则，更易于理解和应用于企业的环境，提供更有效的指导支持价值交付。利用了ISO/IEC 38500标准关于IT治理的六项原则来强化实现价值交付。

COBIT5更多关注IT治理实施的7大促成因素(七大促成因素)。

COBIT5更新和修订了企业的目标和级联的IT目标，在利益相关方价值交付的基础上，将治理目标和价值创造，从三个维度利益实现、资源优化、风险优化，进行分解；并将治理目标按照平衡计分卡从财务、客户、内部、学习和成长四个视角与企业目标和IT目标进行关联，提供了一组自身定义的企业通用目标；COBIT5依据企业目标驱动IT相关目标提供已修订目标级，然后支持关键流程。

区分了治理和管理的职能和控制流程，明确定义了治理和管理的职能和控制目标，划分为两个主域，治理域包含五个治理流程，在每个流程中都定义了评价、指导、监督(EDM)实践，管理域包含四个符合计划、建立、运行、监测(PBRM)的职能COBIT5模型覆盖了企业端到端的活动，如业务和IT功能域。

COBIT5的RACI图更明晰，采用与COBIT4.1、Val IT 和Risk IT类似的方法描述角色和职责，COBIT5提供了一个比COBIT4.1更为完整、明确和清晰的通用业务和IT参与者的范围，从而在规划和实施流程时能更好地定义角色参与者的职责或参与的程度。

COBIT5控制流程描述更清晰，提供了更全面和完全覆盖反映普遍企业IT使用特性的做法。它使运用IT的利益相关者的参与、责任和职责更明确和透明。COBIT5 整合和更新了所有先前的内容到一个新模型使用户在实施改进时更易于理解和使用这些资料。 

COBIT5更新了流程成熟度模型 ，不再使用COBIT4.1T基于CMM能力成熟度模型方法，而是借鉴了ISO/IEC 15504成熟度模型重新对成熟度级别进行了定义。基于ISO/IEC 15504建立新的流程能力评估方法。 

企业通过实施COBIT框架可获得的受益，或解决的问题有哪些?

解决企业内部因各种IT运作的缺陷导致出现的诸如

           缺乏指导方针和过程规定

           缺乏规划及绩效度量标准

           不理想的系统设计和开发

           缺乏足够的信息安全措施等棘手问题

           建立清晰的责任制度

           实现企业战略与IT战略的互动

           形成持续改进的良性循环机制。

什么人会选择应用COBIT？ 

三个主要目标用户的综合使用：

管理者、IT部门和审计师——确保所使用的结构、表达和语言能够为管理层的股东们、参与者和专业人员提供更容易的理解和应用。

CIO、IT审计师、IT管理者、IT质量专家、IT开发人员、IT服务提供商的从事者和管理者，

以及任何对进一步了解CobiT感兴趣的人。 

COBIT和ITIL有什么区别？

COBIT基于已有的许多架构，如SEI能力成熟度模型CMM对软件企业成熟度5级的划分，以及1509000等标准，COBIT在总结这些标准的基础上重点关注企业需要什么，而不是企业需要如何做，它不包括具体的实施指南和具体实施步骤，它是一个控制架构(Control Framework)而非具体过程架构(Process Framework)。 COBIT从战略、战术、运营层面给出了对IT的评测、量度和审计方法，它的“目标听众”是信息系统审计人员，企业高级管理人员以及高级IT管理人员，如CIO。

ITIL基于企业的最佳实践 (Best Practice)，英国政府收集和分析各种组织解决服务管理问题方面的信息，找出那些对本部门和对英国政府其它部门有益的做法，最后形成了ITIL。它列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系，但没定义范围广泛的控制架构。它关注方法和实施过程。由于它关注IT服务管理(ITSM)，它的视野相对COBIT来说狭窄，它主要关注IT的战术和运营层面。但它对IT服务的提供和支持定义了更为详细和更易理解的过程集。它的“目标听众”是IT人员和服务管理人员。

尽管两个标准有着许多的不同之处，但在COBIT和ITIL背后却有着非常一致的指导原则。信息系统审计人员通常综合使用COBIT和ITIL的自评估方法，去评估企业IT服务管理环境。COBIT为每一个过程提供了关键目标指示(KGIs)、关键绩效指标(KPIS)、关键成功要素(CSFS)，与ITIL过程相结合可以建立ITIL过程管理的基准。在实际应用中，某些企业综合两个标准提出了更易理解的适用于本企业环境的IT治理和运行架构。

COBIT和ISO/IEC17799/ISO27001有什么区别？

ISO/IEC17799/ISO27001强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性，目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照。其最大特点就是广泛但不深入，而且仅作参考之用。

与ISO/IEC17799不同，COBIT完全基于IT，其IT准则反映了企业的战略目标，IT资源包括人、系统、数据等相关资源，IT管理则是在IT准则指导下对IT资源进行规划处理。COBIT在P0、AI、DS、M四个方面确定了34个处理过程以及318个详细控制目标。此外对每个过程还有评审工具。

OBIT与PRINCE2有什么区别?

Prince2为包括IT项目在内的项目管理提供了通用的管理方法，内置了在项目管理实践中己证明成功的最佳实践 (best practice)，通过为所有参与者提供的通用语言，便于被广泛理解和接受。PRINCE鼓励对项目责任正式的确认(谁具体负责什么)，强调项目交付什么(what)、为何交付(why)、交付时间(when)、为谁交付(whom)。

PRINCE能带给项目：

           可控的组织良好的开端、过程、结尾

           在决策关键点 (decision point) 时重新审视项目计划和业务状况

           自动管理和控制对计划的任何偏离

           股东和高级管理者只是在恰当的时机介入项目

           在项目组、项目管理层、组织的其他人员间搭建畅通的交流通道

COBIT从战略、战术、技术等层面给出了如何有效管理IT项目。在P010中专门给出了项目管理的方法论，详细定义了13个具体控制目标：项目管理架构;用户方参与项目启动;项目团队身份及其职责;项目定义;项目批准;项目阶段批准;项目主要计划;系统质量保证计划;保证方法计划;正式的项目风险管理;测试计划;培训计划;实施后的评审计划。除给出项目管理具体控制目标外，COBIT还给出了与项目管理相关的关键成功要素(Critical Success Factors)，其定义了最重要的面向项目管理的实施指南，以达到对IT项目过程内外部的控制;关键目标指标(Key Goal Indicators)，定义了一些尺度，便于在项目关键点(或里程碑)，告诉管理者某个IT项目管理过程是否实现了其业务需求;关键性能指标(Key Performance Indicators)，定义的是IT项目管理过程在促使项目目标达成时履行得有多好的尺度。

从两者的比较我们可以看出，COBIT重点在于对13个“控制目标”的管理上，PRINCE2典型的在于对7大“流程”的管理上。虽然二者从不同的角度出发认识IT项目管理，但二者有许多共同之处。COBIT的项目中主要计划，系统质量保证计划，保证方法计划，测试计划，培训计划，实施后的评审计划等控制目标映射到PRINCE2的计划(PL)流程;项目管理架构等映射到PRINCE2的指导项目Directing a Project (DP) 流程;PRINCE2的开始项目Starting up a Project (SU)和启动项目Initiating a Project (IP) 流程对应着COBIT的用户方参与项目启动，项目团队身份及其职责，项目定义;项目批准，项目阶段批准，正式的项目风险管理则较好的被其它几个PRINCE2流程所包含。当然，在COBIT管理指南中我们不能明确看出对PRINCE2中结束项目Closing a Project (CP) 流程相关的控制目标，但COBIT的其他控制目标以及审计指南等隐含包括了该流程的控制。

PRINCE2从流程的角度对项目管理中各个活动进行管理，比较便于项目管理的具体实施，而COBIT从控制目标的角度阐述项目管理“应该怎样，应该达到什么目标”，这样便于企业控制和评审项目管理整体过程的执行情况。同时COBIT给出了项目管理成熟度模型，便于组织自评估或第三方评估企业项目管理的成熟度，从而不断改进项目管理的执行过程。

当然PRINCE2和COBIT的视野并不仅仅限于对具体项目的管理。它们不仅包括项目级的管理，而且涵盖了在组织范围对项目的管理，目的在于企业级的项目管理(Enterprise Project Management，EPM)或者称为项目治理(Project Governance)。从企业长期发展战略的高度来规划项目管理。

同时，对于每个过程和控制目标，PRINCE与COBIT仅仅指明了“该做什么”，至于“如何做”，二者都没有提供具体实现技术和工具，你可以根据实际需要使用任何对你有帮助的任何工具，如甘特图，关键路径、project软件、风险控制软件等。PRINCE2提供的8个过程与COBIT提供的13个控制目标也仅仅作为参考过程和控制目标，企业在具体实施时，必须依据项目的规模和需要对这些过程和控制目标进行适当的剪裁。

COBIT、ITIL、PRINCE2这么多标准如何选择？

为了实现IT治理战略的目标，我们需要做到对IT组织结构和角色、量度、过程、技术、控制以及人员等方面进行管理。

COBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有优势，具体体现为：

         COBIT重点在于IT控制和IT度量

         ITIL重点在于IT过程管理，强调IT支持和IT交付

         ISO/IEC17799重点在于IT安全控制

         PRINCE2重点在于项目管理，强调项目的可控性，明确项目管理中人员、角色的具体职责，同时实现项目管理质量的不断改进。