CADRUL GENERAL COBIT

CADRUL GENERAL

COBIT

NEVOIA DE CONTROL IN TEHNOLOGIA INFORMATIEI

Recent, a devenit din ce in ce mai evident, ca este necesar un cadru de referinta pentru siguranta si control in domeniul IT. Organizatii de succes au nevoie de apreciere pentru o intelegere elementara a riscurilor si restrictiilor IT la toate nivelele din cadrul intreprinderii, pentru a ajunge la o directie eficienta si la un control adecvat.

CONDUCEREA trebuie sa decida ce investitii rezonabile trebuie facute pentru securitate si control in domeniul IT si cum sa echilibreze riscurile si controlul intr-un mediu IT imprevizibil. Securitatea sistemelor de informatii si control ajuta la gestionarea riscurilor dar nu le pot elimina. In plus, niciodata nu se poate sti nivelul exact de risc deoarece exista intotdeauna un anumit grad de nesiguranta.

In cele din urma, conducerea trebuie sa stabileasca ce nivel de risc poate fi acceptat. Nivelul care riscul poate fi tolerat, mai ales cand se pune in balanta si costul, poate fi destul de dificil de stabilit. Prin urmare, este clar ca in cadrul conducerii este nevoie de un cadru pentru practicile de securitate si control IT care sunt general acceptate, pentru a stabili mediul IT planificat si existent.

Exista o nevoie crescanda ca UTILIZATORII de servicii IT sa fie asigurati, prin acreditare si audit al serviciilor IT oferite de terti sau de parti interne, ca exista siguranta si control. Totusi, in prezent, implementarea de sisteme IT de control bune, fie ele comerciale, non-profit sau guvernamentale, este confuza. Confuzia apare datorita diferitelor metode de evaluare cum ar fi evaluarile ITSEC, TCSEC, ISO 9000, evaluarile COSO control intern, etc. Concluzia este ca utilizatorii au nevoie de stabilirea imediata a unei baze generale ca prim pas.

Frecvent AUDITORII au luat conducerea facand eforturi de standardizare internationala deoarece sunt confruntati in permanenta cu nevoia de a-si sustine din ce in ce mai puternic, in fata conducerii, opinia despre controlul intern.

Fara un cadru, aceasta este o sarcina foarte dificila. Mai mult, managementul cere din ce in ce mai mult de la auditori sa se consulte pro-activ si sa se sfatuiasca pe probleme de control si securitate IT.

MEDIUL DE AFACERI: COMPETITIE, SCHIMBARE SI COST

Competitia globala este aici. Organizatiile se restructureaza pentru a indrepta operatiunile si in acelasi timp sa profite de aceste avansari in domeniul IT pentru a-si imbunatati pozitia competitiva. Re-proiectarea afacerii, dimensionarea corecta, cautarea de surse exterioare, imputernicirea, organizatii netede si procesare distribuita, toate sunt schimbari care au impact asupra modului de operare al afacerilor si al organizatiilor guvernamentale. Aceste schimbari au si vor continua sa aiba implicatii profunde din partea conducerii si structurilor de control operational din organizatiile din intreaga lume.

Accentul pus pe atingerea avantajelor competitive si a eficientei costului implica o incredere din ce in ce mai mare in tehnologie ca si componenta majora a strategiei majoritatii organizatiilor. Prin natura sa, automatizarea functiilor organizatorice dicteaza incorporarea unor mecanisme de control mai puternice in computere si retele, atat pe parte de hardware cat si pe parte de software. Mai mult, caracteristicile structurale fundamentale ale acestor controale evolueaza cu aceeasi viteza si in acelasi mod "salt de broasca" in care evolueaza si tehnologiile de creare a retelelor si calculatoarelor.

In cadrul schimbarii accelerate, daca managerii, specialistii in sisteme de informatie si auditorii vor reusi intr-adevar sa-si indeplineasca rolul intr-un mod eficient, aptitudinile lor trebuie sa evolueze la fel de repede ca si tehnologia si mediul. Trebuie sa se inteleaga faptul ca tehnologia controalelor implicata in aceasta natura a schimbarii, daca trebuie sa se ia hotarari prudente si rezonabile referitor la evaluarea practicilor de control care se gasesc in organizatiile tipice guvernamentale sau de afaceri.

APARITIA INTREPRINDERII SI GUVERNAREA ACESTEIA

Pentru a avea succes in aceasta economie a informatiilor, guvernarea intreprinderii si guvernarea IT nu mai pot fi considerate discipline separate si distincte. Guvernarea eficienta a intreprinderii se axeaza pe expertiza si experienta individuala si de grup, acolo unde poate fi cea mai productiva, monitorizeaza si masoara performantele si ofera garantii pentru problemele critice. IT, considerata mult timp numai ca un mijloc de a face posibila strategia intreprinderii, acum trebuie privita ca parte integrala acestei strategii.

Guvernarea IT asigura structura care face legatura intre procesele, resursele IT si informatiile de strategiile si obiectivele intreprinderii. Guvernarea IT integreaza si institutionalizeaza modalitatile optime de planificare si organizare, dobandind si implementand, livrand, sprijinind si monitorizand performantele IT. Guvernarea IT este este parte integrala a succesului in guvernarea intreprinderii prin asigurarea de imbunatatiri eficiente si eficace care se pot masura in procesele aferente intreprinderii. Guvernarea IT permite intreprinderii sa profite complet de informatii, prin maximizarea beneficiilor, valorificarea oportunitatilor si castigarea avantajului competitiv.

Uitandu-ne mai amanuntit la interactiunea dintre intreprindere si procesele de guvernare IT, guvernarea intreprinderii, sistemul prin care entitatile sunt directionate si controlate, conduce si stabileste guvernarea IT. In acelasi timp, IT trebuie sa ofere o intrare critica si sa constituie o componenta importanta a planurilor strategice. De fapt, IT poate influenta oportunitatile strategice subliniate de intreprindere.

Guvernare intreprindere

guvernarea tehnologiei

informatiei.

Pentru a atinge obiectivele afacerilor, activitatile intreprinderii necesita informatii de la activitatile IT. Organizatiile de succes asigura interdependenta intre planificarea strategica si activitatile IT ale acestora..IT trebuie aliniata cu si sa permita intreprinderii sa profite din plin de avantajele informatiilor, maximizand astfel beneficiile, valorificand oportunitatile si castigand un avantaj competitiv.

Activitatile intreprinderii

activitatile de tehnologia

informatiei

Intreprinderile sunt guvernate de practici general acceptate ca bune (sau cele mai bune), pentru a asigura faptul ca intreprinderea isi atinge scopurile - asigurare care este garantata de anumite controale. Din aceste obiective reiese directia organizatiei care dicteaza anumite activitati ale intreprinderii pentru care se folosesc resursele acesteia. Rezultatele activitatilor intreprinderii sunt masurate si raportate, asigurand reviziile constante si mentinerea controalelor, incepand ciclul din nou. De asemenea, IT este guvernata de practici bune (cele mai bune), pentru a asigura faptul ca informatiile intreprinderii si tehnologia aferenta sprijina obiectivele in afaceri, ca resursele sunt utilizate intr-un mod responsabil, iar riscurile sunt gestionate corespunzator. Aceste practici formeaza baza pentru orientarea activitatilor IT care pot fi caracterizate ca planificare si organizare, dobandire si implementare, livrare, sprijinire si monitorizare in dublu scop: acela de gestionare a riscurilor (pentru a atinge siguranta, incredere si respectare) si de realizare beneficii (cresterea eficacitatii si a eficientei). Rapoartele sunt emise in baza informatiilor legate de activitatile IT si sunt comparate cu diferite practici si controale, iar ciclul este reluat.

Guvernare IT

Obiective - IT este aliniat cu afacerile, permite afacerile si maximizeaza beneficiile.

- Resursele sunt folosite in mod responsabil

- Riscurile aferente IT-ului sunt gestionate corespunzator

CONTROL - DIRECT - planul este verificat corect (RAPORT) -

Activitati IT - Planificare si organizare

Achizitie si implementare

Livrare si sprijin

Monitorizare

RASPUNS LA NEVOI

In vederea acestor schimbari continue, dezvoltarea acestui cadru al obiectivelor de control pentru IT, impreuna cu cercetarile permanente in domeniul controlului IT bazat pe acest cadru, sunt temelia progresului eficient in domeniul controlului informatiilor si al tehnologiei aferente.

Pe de o parte, am fost martori la dezvoltarea si publicarea modelelor generale de control al afacerilor, cum ar fi COSO (Comitetul Organizatiilor Sponsor al Comisiei Treadway - Control Intern - Cadru Integrat, 1992) in SUA, Cadbury in UK, CoCo in Canada si King in Africa de Sud. Pe de alta parte, la nivelul IT, exista un numar important de si mai multe modele axate pe control. Exemple bune ale celei din urma categorii sunt Codul de Conduita al Securitatii al DTI (Departamentul de Comert si Industrie, UK), Ghidul de Control al Tehnologiei Informatiei de la CICA (Institutul Canadian al Contabililor Cartografiati, Canada). Si Cartea de Securitate de la NIST (Institutul National de Standarde si Tehnologie, US). Totusi, aceste modele axate pe control nu ofera IT-ului un model de control cuprinzator si care poate fi utilizat pentru sustinerea proceselor de afaceri. Scopul CobiT este sa construiasca o punte peste acest gol, oferind o baza care este strans legata de obiectivele de afaceri in timp ce se axeaza pe IT.

(Cel mai apropiat de CobiT este recent publicata Principiile si Criteriile de Incredere a Sistemelor SysTrust^TM AICPA/CICA. SysTrust este o emisiune autoritara atat a Comitetului Executiv a Serviciilor de Asigurari din Statele Unite cat si a Consiliului de Dezvoltare a Serviciilor de Asigurari din Canada, care se bazeaza in parte pe Obiectivele de Control CobiT. SysTrust este creat pentru a creste comfortul management-ului, al clientilor si partenerilor de afaceri in ceea ce priveste sistemele care sprijina o afacere sau o anumita activitate. Serviciile SysTrust atrag dupa sine contabilul public, oferind servicii de asigurari in care el/ea evalueaza si testeaza un sistem pentru a vedea daca este fiabil in comparatie cu 4 principii esentiale: disponibilitate, securitate, integritate si mentenabilitate).

Accentul pe cerintele afacerilor de control in IT si aplicarea modelelor de control care apar precum si standardele internationale aferente au transformat Auditul initial al Sistemelor de Informatii si Obiectivele de Control ale Fundatiei de Control dintr-o unealta a auditorului in CobiT, o unealta de management. Ulterior, dezvoltarea Ghidului de Management IT a dus CobiT la un alt nivel - oferind managementului Indicatori Cheie pentru Scop (KGIs), Indicatori Cheie de Performanta (KPIs), Factori Critici de Succes (CSFs) si Modele de Maturitate astfel incat acesta sa poata evalua mediul IT si sa ia decizii in ceea ce priveste implementarea si imbunatatirea controlului informatiilor si tehnologiei aferente organizatiei.

Prin urmare, obiectivul principal al proiectului CobiT este dezvoltarea de politici clare si practici bune de control in domeniul IT, pentru andosare in intreaga lume prin organizatii profesionale, guvernamentale si comerciale. Dezvoltarea acestor obiective de control mai ales perspectiva nevoilor si obiectivele afacerilor este scopul acestui proiect. (Acest lucru corespunde perspectivei COSO care este primul si mai intai de toate cadrul de management pentru controalele interne). Ulterior, obiectivele de control au fost create din perspectiva obiectivelor de audit (certificarea informatiilor financiare, certificarea masurilor de control intern, eficienta si eficacitate, etc.).

AUDIENTA: MANAGEMENT, UTILIZATORI SI AUDITORI

CobiT este creat pentru a fi utilizat de trei tipuri distincte de audienta.

MANAGEMENT: pentru a-i ajuta sa echilibreze riscurile si investitia controlului intr-un mediu IT adesea imprevizibil.

UTILIZATORI: pentru a obtine asigurari asupra securitatii si controlului serviciilor IT oferite de de parti interne sau de terti.

AUDITORI: pentru a-si intari opiniile si/sau sa ofere sfaturi managementului sau celor care se ocupa de controalele interne.

DIRECTIONAREA OBIECTIVELOR DE AFACERI

CobiT este menit sa se adreseze obiectivelor de afaceri. Obiectivele de control fac o legatura clara si distincta cu obiectivele de afaceri pentru a sustine o utilizare semnificativa din afara comunitatii de audit. Obiectivele de control sunt definite intr-un mod orientat catre proces urmand principiul re-crearii afacerilor. In domeniile si procesele mentionate a fost identificat un obiectiv de control la nivel inalt care a oferit documentului legatura cu obiectivele de afaceri. In plus, sunt oferite observatii si indrumari pentru a defini si implementa obiectivul de control IT.

Clasificarea domeniilor unde se aplica aceste obiective de control la nivel inalt (domenii sau procese), o mentionare a cerintelor de afaceri pentru informatiile din acel domeniu precum si resursele IT, primele afectate de obiectivele de control, impreuna formeaza Cadrul CobiT. Cadrul se bazeaza pe activitati de cercetare care au identificat 34 obiective de control la nivel inalt si 318 obiective detaliate de control. Cadrul a fost expus industriei IT si auditului pentru a oferi o posibilitate de revizuire, de comentarii si o provocare. Toate castigurile au fost incorporate corespunzator.

DEFINITII GENERALE

Urmatoarele definitii au fost oferite pentru acest proiect. "Control" este adaptat din Raportul COSO (Control Intern - Cadru Integrat, Comitetul Organizatiilor Sponsor al Comisiei Treadway, 1992) si "Obiectivul de Control IT" este adaptat din Raportul SAC (Sisteme de Audit si Raport de Control, Institututl Fundatiei de Cercetare a Auditorilor Interni, 1991 si 1994).

Controlul este definit ca politicile, procedurile, practicile si structurile organizatorice numite pentru a oferi asigurari rezonabile referitor la faptul ca evenimentele nedorite vor fi prevenite sau descoperite si corectate.

Obiectivul de Control IT este definit ca o declaratie sau un rezultat sau un scop dorit care sa fie obtinut prin implementarea intr-o anumita activitate IT a procedurilor de control.

Guvernarea IT este definita ca o structura a relatiilor si proceselor de a directiona si controla intreprinderea pentru a atinge scopurile acesteia prin adaugarea valorii in timpul echilibrarii riscurilor fata de profitul IT si procesele acestuia.

In prezent, exista doua categorii distincte de modele de control: "modelul de control al afacerilor" (ex. COSO) si "modele de control mai accentuat pentru IT" (ex. DTI). CobiT are ca scop sa acopere golul care exista intre cele doua. Prin urmare, Cobit este astfel pozitionat incat sa fie mai cuprinzator pentru management si sa functioneze la un nivel mai mare decat standardele de tehnologie pentru managementul sistemelor de informatii. Astfel, CobiT este modelul pentru guvernarea IT!

Conceptul Cadrului CobiT este acela ca, in IT controlul se face prin observarea informatiei necesara pentru sustinerea obiectivelor de afaceri sau a cerintelor si prin considerarea informatiei ca fiind rezultatul aplicatiei combinate a resurselor aferente IT-ului care trebuie gestionate prin procesele IT.

CERINTELE IN AFACERI - RESURSE IT - PROCESE IT

Pentru satisfacerea obiectivelor de afaceri, informatiile trebuie sa se conformeze unor anumite criterii pe care CobiT le numeste cerinte de informatii pentru afaceri. In stabilirea listei de cereri, CobiT combina principiile incluse in modelele de referinta existente si cele cunoscute:

Cerinte de Calitate - Calitate / Cost / Livrare

Cerinte Fiduciare (Raport COSO) - Eficienta si Eficacitate a operatiunilor

- Fiabilitatea Informatiei

- Respectarea legislatiei si a regulamentelor

Cerinte de Securitate - Confidentialitate / Integritate / Disponibilitate

Calitatea a fost retinuta initial pentru aspectul sau negativ (fara greseli, fiabilitate, etc.), ceea ce este de asemenea inclus intr-o mare masura in Criteriul de Integrare. Aspectele pozitive dar mai putin tangibile ale Calitatii (stil, atractie, "priveste si simte", performante peste asteptari, etc.) nu au fost mult timp, luate in considerare din punctul de vedere al obiectivelor de control IT. Premiza este aceea ca prioritatea este gestionarea corespunzatoare a riscurilor, care se opun oportunitatilor. Aspectul uztarii Calitatii este inclus in criteriul Eficacitatii. S-a considerat ca aspectul Livrarilor depaseste aspectul Disponibilitatii in ceea ce priveste cerintele de Securitate si, intr-o anumita masura, si pe cele ale Eficientei si Eficacitatii. In final, Costul este de asemenea luat in considerare prin prisma Eficientei.

In ceea ce priveste Cerintele Fiduciare, CobiT nu a incercat sa reinventeze ciclul - s-au folosit definitiile COSO pentru operatiunile de Eficienta si Eficientizare, Fiabilitatea Informatiilor si Respectarea legislatiei si regulamentelor. Totusi, termenul de Fiabilitatea Informatiilor a fost marit pentru a cuprinde toate informatiile - nu numai informatiile financiare.

Referitor la Cerintele de Securitate, CobiT a identificat Confidentialitatea, Integritatea si Disponibilitatea ca elemente cheie - s-a descoperit ca aceste trei elemente sunt folosite in intreaga lume pentru a descrie cerintele de securitate IT.

Incepand analiza de la cerintele Fiduciare, de Calitate si de Securitate, s-au extras sapte categorii distincte care se suprapun cu siguranta. Definitiile de lucru ale CobiT sunt urmatoarele:

Eficacitate - se refera la informatiile relevante si pertinente in procesul de afaceri, precum si de livrarea la timp a acestora, intr-o maniera corecta, consistenta si uzitabila.

Eficienta - se refera la oferirea de informatii prin utilizarea cat mai optima (cat mai productiva si economica) a resurselor.

Confidentialitate - se refera la protejarea informatiilor sensibile pentru a nu fi dezvaluite fara autorizatie.

Integritate - se refera la precizia si intregimea informatiilor precum si la valabilitatea conform asteptarilor si valorilor afacerilor.

Disponibilitate - se refera la disponibilitatea informatiilor atunci cand acestea sunt cerute de procesul de afaceri in prezent si in viitor. De asemenea se refera si la pastrarea in siguranta a resurselor si capacitatilor asociate.

Respectare - se refera la respectarea acelor legi, regulamente si aranjamente contractuale carora le este supus procesul de afaceri, ex. Criterii de afaceri impuse din exterior.

Fiabilitatea informatiilor - se refera la oferirea informatiilor corespunzatoare pentru ca managementul sa opereze entitatea si pentru a-si exersa responsabilitatile financiare si pe cele de raportare a respectarii.

Resursele IT identificate in CobiT pot fi explicate/ definite dupa cum urmeaza:

Datele - sunt obiecte in sensul cel mai vast (ex. intern si extern), structurate si nestructurate, grafica, sunet, etc.

Sisteme de Aplicatii - se intelege suma procedurilor manuale si programate.

Tehnologie - include hardware, sisteme de operare, sisteme de gestionare a bazelor de date, retea, multimedia, etc.

Facilitati - sunt toate resursele care sprijina si gazduiesc sistemele informationale.

Oameni - cuprinde aptitudinile personalului, constientizarea si productivitatea pentru planificare, organizare, obtinere, livrare, sustinere si monitorizare a sistemelor de informatii si a serviciilor.

Banii sau capitalul nu sunt pastrate ca resursa IT pentru clasificarea obiectivelor de control deoarece pot fi considerate ca investitie pentru oricare dintre resursele mai sus mentionate. Trebuie de asemenea remarcat faptul ca, Cadrul CobiT nu se refera excllusiv la documentarea tuturor materialelor aferente unui anumit proces IT. Ca fapt de buna practica, documentatia este considerata esentiala pentru un bun control si, prin urmare, lipsa documentatiei ar putea fi cauza revizuirii si analizei ulterioare pentru a compensa controalele in orice zona specifica ce se afla in revizie.

Un alt fel de a privi relatia dintre resursele IT fata de oferirea serviciilor este ilustrata mai jos.

EVENIMENTE (Obiective de afaceri, Oportunitati de afaceri, Cerinte externe, Regulamente, Riscuri)

- mesaj -

Sisteme de Aplicatii de Date / TEHNOLOGIE / FACILITATI / OAMENI

Servicii

INFORMATII (Eficienta, Eficacitate, Confidentialitate, Integritate, Disponibilitate, Respectare, Fiabilitate)

Pentru a fi siguri ca cerintele de afaceri pentru informatii sunt indeplinite, trebuie sa se defineasca, implementeze si monitorizeze masuri adecvate de control a acestor resurse. Cum pot organizatiile sa fie satisfacute de faptul ca informatiile pe care le primesc au caracteristicile de care au nevoie? Aici este necesar un cadru al obiectivelor de control IT. Diagrama urmatoare ilustreaza acest concept.

Ce primesti - PROCESE DE AFACERI - Ce este necesar? - Criterii de informatii (eficacitate, eficienta, confidentialitate, integritate, disponibilitate, respectare, fiabilitate).

Se potrivesc? RESURSE IT (oameni, sisteme de aplicatii, tehnologie, facilitati, date) - INFORMATII

Cadrul CobiT consta in obiective de control la nivel inalt si o structura completa pentru clasificarea acestora. Teoria esentiala pentru clasificare este ca, in fond, exista trei nivele de eforturi IT atunci cand se ia in considerare gestionarea resurselor IT. Incepand de jos, sunt activitati si sarcini de care este nevoie pentru a obtine rezultate care se pot masura. Activitatile au un concept de durata de viata, in timp ce sarcinile sunt mai discrete. Conceptul duratei de viata are cerinte tipice de control care difera de activitatile discrete. Atunci, procesele sunt definite la un nivel mai ridicat ca o serie de activitati sau sarcini comune cu pauze (control) naturale. La cel mai inalt nivel, procesele sunt grupate in mod natural, in domenii. Gruparea naturala este adesea confirmata ca domeniu de responsabilitate in structura organizatorica si este aliniata la ciclul de management sau durata de viata aplicabile proceselor IT.

Domenii

Procese

activitati/sarcini.

Astfel,cadrul conceputal poate fi abordat din trei puncte avantaj:

1. criterii de informatie
2. resurse IT
3. procese IT

Aceste trei puncte avantaj sunt ilustrate in Cubul CobiT.

Cu cele mai sus mentionate ca si cadru, domeniile sunt identificate cu ajutorul limbajului pe care managementul il foloseste in activitatile zilnice ale organizatiei-dar nu jargonul auditorului. Astfel sunt identificate patru domenii mari: planificare si organizare, achizitie si implementare, livrare si sprijin, si monitorizare.

Definitiile pt cele 4 domenii identificate in clasificarea la nivel inalt sunt:

1. planificare si organizare - acest domeniu include strategia si tactica si se priveste identificarea modalitatii in care IT poate contribui cel mai bine la atingerea obiectivelor de afaceri. Mai mult, realizarea viziunii strategice trebuie sa fie planificata,comunicata si gestionata din perspective diferite. In cele din urma, trebuie stabilite o organizatie corespunzatoare dar si o infrastructura logica.
2. achizitie si implementare - pentru realizarea strategiei IT trebuie identificate, dezvoltate, sau achizitionate solutii IT care trebuie de asemenea implementate si integrate in procesele de afaceri. In plus schimbarile si intretinerea sistemelor existente sunt incluse in acest domeniu pentru a fi siguri ca durata de viata a acestor sisteme va fi prelungita.
3. livrare si sprijin - acest domeniu se refera la furnizarea actuala a serviciilor cerute care variaza de la operatiunile traditionale pentru securitate si de la aspectele de continuitate la instruire. Pentru a furniza servicii trebuie sa se decida procesele de sprijin necesare. Acest domeniu include procesarea actuala a datelor prin sistemele de aplicatii adesea clasificate sub controale de aplicatii.
4. monitorizare - toate procesele IT trebuie evaluate regulat din punctul de vedere al calitatii si a respectarii cerintelor de control. Acest domeniu se adreseaza supravegherii din partea managementului a proceselor de control ale organizatiei si asigurarea independenta oferita de auditul intern si extern sau obtinuta din surse alternative.

Trebuie remarcat ca aceste procese IT pot fi aplicate la nivele diferite in cadrul unei organizatii. Spre exemplu, unele dintre aceste procese vor fi aplicate la nivel de intreprindere, altele la nivelul de operare IT, altele la nivelul detinatorului procesului de afaceri, etc.

Trebuie de asemenea remarcat ca, criteriul eficacitatii proceselor care planifica sau ofera solutii pt cerintele de afaceri va include uneori criteriile de Disponibilitate, Integritate,si Confidentialitate - in practica, acestea au devenit cerinte de afaceri. Spre exemplu, procesul de " identificare a solutiilor" trebuie sa fie eficient in asigurarea cerintelor de Disponibilitate, Integritate si Confidentialitate.

Este clar ca toate masurile de control nu vor satisface diferintele cerinte de afaceri pentru informatii la acelasi nivel.

1. primar - este nivelul la care obiectivul de control definit are impact direct asupra criteriului de informatii la care se face referire.
2. secundar - este nivelul la care obiectivul de control definit satisface mai putin sau indirect criteriul de informatii la care se face referire.
3. lacuna - poate fi aplicat totusi, cerintele sunt satisfacute intr-o mai mare masura de alt criteriu din acest proces si/sau de alt proces.

In mod similar toate masurile de control nu vor avea acelasi impact asupra diferitelor resurse IT. Prin urmare, Cadrul CobiT indica in mod special aplicabilitatea resurselor IT care sunt gestionate mai ales de catre procesul luat in considerare(nu acele resurse care abia iau parte la proces). Aceasta clasificare din cadrul CobiT este bazata pe un proces riguros de intrare de la cercetatori, experti si evaluatori care folosesc definitiile stricte mentionate anterior.

Pe scurt, pentru a oferi informatii de care organizatia are nevoie pentru a-si atinge obiectivele, guvernarea IT trebuie exercitata de organizatie pentru a asigura faptul ca resursele IT sunt gestionate de un set de procese IT grupate in mod natural.

PROCESELE IT COBIT DEFINITE IN CADRUL CELOR 4 DOMENII

CADRUL COBIT

NEVOIA DE UN CADRU DE CONTROL PENTRU GUVERNAREA IT

DE CE?

Din ce in ce mai mult managementul de varf realizeaza impactum semnificativ pe care informatia il poate avea asupra succesului intreprinderii.

Managementul se asteapta la o intelegere mai mare a modului in care este operata tehnologia informatiei(IT) si probabilitatea ca aceasta sa fie actionata cu succes pentru avantaje competitive.

Managementul de varf are mai ales nevoie sa stie daca informatia este gestionata de intreprindere astfel incat sa fie:

posibil sa isi atinga obiectivele

destul de flexibila pentru a invata si a adapta

sa gestioneze corect riscurile cu care se confrunta

sa recunoasca in mod corespunzator oportunitatile si sa actioneze asupra acestora

Intreprinderile de succes inteleg riscurile si exploateaza beneficiile IT-ului si gaseste modalitati de:

alinierea strategiei IT la strategia de afaceri

introducerea treptata a strategiei IT si a scopurilor in intrprindere

a oferi structuri organizatorice care sa faciliteze implementarea strategiei si scopurilor

crearea de relatii constructive si comunicare eficienta intre IT si afaceri dar si cu partenerii externi

masurarea performantei IT-ului

Intreprinderile nu pot furniza servicii eficiente fata de cerintele acestor afaceri si a guvernarii fara a adopta si a implementa o guvernare si un cadru de contro pt IT pentru a:

face o legatura cu cerintele afacerilor

face performanta fata de transparenta acestor cerinte

organiza activitatii pe modele de proces general acceptate

identifica resursele majore care trebuie gestionate

defini obiectivele de control a managementului

Mai mult guvernarea si cadrele de control definesc o parte a managementului si sunt autorizate sa stabileasca guvernarea IT si sa indeplineasca cerintele de reglementare din ce in ce mai mari. Cele mai bune practici de IT au devenit importante datorita unui numar de factori:

managerii de afaceri si comitetele directoare care cer un profit mai mare de la investitiile IT; spre exemplu ca IT sa ofere ceea ce este necesar afacrilor pentru a mari valoarea actiunilor.

preocuparea pentru nivelul cheltuielilor IT care cresc in general

nevoia de a respecta cerintele de reglementare pentru controalele IT pentru zonele cum ar fi intimitatea si raportarea financiara( ex: Actul Sarbanes - Oxley, Basel II) si in sectoare specifice cum ar fi finante,farmaceutic si medical

selectia furnizorilor de servicii si gestionarea surselor exterioare precum si achizitionarea.

riscuri din ce in ce mai complexe aferente IT-ului cum ar fi securitatea retelei

initiative de guvernare IT care includ adoptarea cadrelor de control si a celor mai bune practici pentru a ajuta la monitorizarea si imbunatatirea activitatilor IT critice pentru a mari valoarea si a reduce riscul afacerii.

nevoie de optimizare a costurilor, acolo unde este posibil,prin abordari mai degraba standardizate decat special dezvoltate.

maturizarea din ce in ce mai mult si acceptarea a cadrelor binevazute cum ar fi CobiT, ITIL, ISO 17799, ISO 9001,CMM si PRINCE 2

Nevoia intreprinderilor de a-si evalua performantele fata de standardele general acceptate si fata de semenii lor (benchmarking).

CINE?

O guvernare si un cadru de control trebuie sa deserveasca o varietate de actionari interni si externi fiecare dintre acestia avand nevoi specifice:

• Actionarii din cadrul intreprinderii care au interes in generarea valorilor din investitiile IT:
• Aceia care iau decizii de investitii
• Cei care decid in privinta cerintelor
• Cei care folosesc serviciile IT
• Actionarii interni si externi care furnizeaza servicii IT:
• Aceia care gestioneaza organizarea si procesele IT
• Cei care dezvolta capacitati
• Cei care opereaza serviciile

• Actionarii interni si externi care sunt responsabili de control/riscuri:
• Cei care au responsabilitati legate de securitate, secrete si/sau risc
• Cei care au functii legate de respectare
• Cei care cer sau furnizeaza servicii de asigurare

CE?

Pentru a indeplini cerintele anterioare, cadrul pentru guvernarea si controlul IT trebuie sa indeplineasca urmatoarele specificatii generale:

sa asigure o atentie a afacerii pentru a permite alinierea dintre afacere si obiectivele IT.

Stabilirea orientarii procesului pentru a defini scopul si aria de acoperire, cu o structura definita care sa permita o navigare usoara prin continut.

Sa fie acceptabila in general sau sa fie in conformitate cu cele mai bune practici si standarde IT acceptate si sa nu depinda de tehnologii specifice.

Sa foloseasca un limbaj comun, cu un set de termeni si definitii care pot fi intelese in general de catre toti actionarii.

Sa ajute la respectarea cerintelor de reglementare fiind in conformitate cu standardele de guvernare general acceptate ale corporatiei (ex. COSO) si controalele IT realizate de auditorii externi.

CUM ACOPERA COBIT NEVOILE

Ca raspuns la nevoile descrise in sectiunea anterioara, cadrul CobiT a fost creat cu o caracteristica principala, aceea de a fi orientat pe afacere, pe proces, bazat pe controale si actionat de masuratori.

Orientarea pe afaceri este tema principala a CobiT. Este creat pentru a fi folosit nu numai de catre furnizorii de servicii IT, de utilizatori si auditori ci, mult mai important, ca si indrumare cuprinzatoare pentru management si detinatorii de procese de afaceri.

Cadrul CobiT este bazat pe urmatorul principiu: sa ofere informatii de care intreprinderea are nevoie pentru a-si atinge obiectivele, intreprinderea trebuie sa gestioneze si sa controleze resursele IT utilizand un set structurat de procese pentru a furniza informatiile cerute. Cadrul CobiT asigura uneltele pentru a asigura alinierea la cerintele de afaceri.

CRITERII DE INFORMATII ALE COBIT

Pentru a atinge obiectivele de afaceri, informatiile trebuie sa se conformeze unor anumite criterii de control, la care CobiT face referire ca cereri de informatii ale afacerilor. In baza unor cereri mai mari de calitate, fiduciare si de securitate, au fost definite 7 criterii de informatii distincte care se suprapun, dupa cum urmeaza:

Eficacieficacitatea se refera la informatiile relevante si pertinente din procesul de afaceri, dar si de furnizarea la timp si intr-o maniera corecta, consistenta si care sa poata fi folosite.

Eficienta priveste furnizarea de informatii prin utilizarea optima (cea mai productiva si economica) a resurselor.

Confidentialitatea se refera la protejarea informatiilor sensibile de divulgare neautorizata.

Integritatea se refera la acuratetea si intregimea informatiilor precum si la validitatea acestora in conformitate cu valorile de afaceri si cu asteptarile.

Disponibilitatea se refera la faptul ca informatiile sa fie disponibile atunci cand sunt cerute de catre procesul de afaceri si acum si in viitor. De asemenea, se refera si la pastrarea resurselor necesare si a capacitatilor asociate.

Respectarea se refera la respectarea acelor legi, norme si aranjamente contractuale carora este supus procesul de afaceri, ex. criterii de afaceri impuse din exterior, dar si politici interne.

Fiabilitatea se refera la asigurarea informatiilor corespunzatoare necesare ca managementul sa opereze entitatea si sa-si exercite responsabilitatile fiduciare si de guvernare.

SCOPURILE AFACERII SI SCOPURILE IT

In timp ce criteriile de informatii ofera o metoda generica pentru definirea cerintelor de afaceri, definirea unui set afaceri generice si scoputi IT ofera o baza de afaceri mai rafinata, pentru stabilirea cerintelor de afaceri si dezvoltarea metricii care sa permita masuratoarea fata de aceste trei scopuri. Fiecare intreprindere utilizeaza IT-ul pentru a permite initiativele in afaceri si acestea pot fi reprezentate ca scopuri de afaceri pentru IT. Apendix I ofera o matrice de scopuri generice de afaceri si de scopuri IT si cum se integreaza acestea in criteriile de informatii. Aceste exemple generice pot fi utilizate a un ghid pentru a determina cerintele specifice ale afacerilor, scopurile si metrica intreprinderii.

Daca IT-ul trebuie sa furnizeze cu succes servicii pentru a sprijini strategia intreprinderii, trebuie sa existe o proprietate clara si o directie clara a cerintelor de afaceri (clientul) precum si o intelegere clara a ceea ce trebuie furnizat de catre IT (furnizor) si cum.

Obiectivele ar trebui sa duca la o definire clara a propriilor obiective ale IT-ului cerute pentru realizarea cu success a rolului IT-ului in strategia intreprinderii. Toate aceste obiective ar trebui exprimate in termenii afacerii, pe intelesul clientului si acest lucru, combinat cu o aliniere eficienta a ierarhiei obiectivelor, va asigura faptul ca afacerea poate confirma ca IT poate sprijini scopurile intreprinderii.

Odata ce scopurile aliniate au fost definite, acestea trebuie monitorizate pentru a asigura faptul ca furnizarea indeplineste asteptarile. Acest lucru se obtine prin metrica ce deriva din scopuri si captata pe un card IT pe care clientul poate sa-l inteleaga si sa-l urmeze, iar aceasta permite furnizorului sa se concentreze pe propriile obiective interne.

Apendix I ofera o vedere globala a faptului cum scopurile generice de afaceri pot relationa cu scopurile IT, procesele IT si criteriile de informatii. Tabelele demonstreaza scopul CobiT si intreaga relatie de afaceri dintre CobiT si actionarii afacerilor.

RESURSE IT

Organizarea IT ofera, fata de aceste scopuri, un set clar definit de procese care utilizeaza abilitatile oamenilor si infrastructura tehnologiei pentru a opera aplicatii de proces automate in timp ce se utilizeaza informatiile de afaceri. Aceste resurse, impreuna cu procesele, constituie o arhitectura a intreprinderii pentru IT. Pentru a raspunde cerintelor de afaceri pentru IT, intreprinderea trebuie sa investeasca in resursele necesare pentru a crea o capacitate tehnica adecvata (ex. un sistem de planificare a resurselor in intreprindere) pentru a sprijini capacitatea afacerilor (ex. implementarea unui lant de furnizare) care sa dea rezultatul dorit (ex. beneficii financiare si crestere a anzarilor).

Resursele IT identificate in CobiT, pot fi definite dupa cum urmeaza:

Aplicatiile sunt sisteme automate ale utilizatorului si proceduri manuale care proceseaza informatiile

Informatiile sunt date sub toate formele de intrare, procesate si iesite din sistemul de informatii in oricare dintre formele utilizate in afacere.

Infrastructura este tehnologia si facilitatile (hardware, sisteme de operare, sisteme de gestionare a bazelor de date, retele, multimedia, etc. Si mediul care le gazduieste si care le sustine) care permit procesarea si aplicatiile.

Oamenii sunt personalul necesar pentru planificare, organizare, obtinere, implementare, furnizare, sprijin, monitorizare si evaluare a sistemelor de informatii si a serviciilor. Acestia pot fi interni, din afara sau contractati, dupa cum este necesar.

Figura rezuma influenta scopurilor de afaceri in IT, cum trebuie gestionate resursele IT de catre procesele IT pentru a atinge scopurile IT-ului.

Orientare pe proces

CobiT defineste activitatile IT, intr-un model generic de proces, in patru domenii. Aceste domenii sunt Planificarea, Organizarea, Achizitia si Implementarea, Furnizarea si Sprijinul, si Monitorizare si Evaluare. Domeniile se incadreaza in zonele traditionale de responsabilitate a IT-ului pentru planificare, constructie, operare si monitorizare. Cadrul CobiT asigura un model de referinta pentru proces si un limbaj comun pentru toata lumea din intreprindere pentru a vedea si gestiona activitatile IT. Incorporarea unui model operational si a unui limbaj comun pentru toate partile afacerii care sunt implicate in IT este unul din cei mai importanti pasi catre o buna guvernare. De asemenea, ofera si un cadru pentru masurare si monitorizare a performantei IT, pentru comunicare cu furnizorii de servicii si pentru integrarea celor mai bune practici. Un model de proces incurajeaza detinatorii de procese, permitand definirea responsabilitatii si contabilitatii.

Pentru o guvernare IT eficienta, este important sa se aprecieze activitatile si riscurile din cadrul IT-ului care trebuie gestionate. Acestea pot fi rezumate dupa cum urmeaza.

PLANIFICA SI ORGANIZEAZA (PO)

Acest domeniu acopera strategia si tactica si se refera la identificarea modalitatii in care IT-ul poate contribui cel mai bine la realizarea obiectivelor de afaceri. Mai mult, realizarea viziunii strategice trebuie planificata, comunicata si gestionata din diferite perspective. In final, ar trebui instaurate si o organizare corespunzatoare dar si o infrastructura tehnologica. Acest domeniu ridica in principal urmatoarele intrebari:

Sunt IT-ul si strategia de afaceri aliniate?

Sunt utilizate resursele intreprinderii cat mai optim?

Intelege toata lumea din organizatie obiectivele IT?

Sunt riscurile IT intelese si gestionate?

Este calitatea sistemelor IT corespunzatoare nevoilor afacerilor?

ACHIZITIE SI IMPLEMENTARE (AI)

Pentru realizarea strategiei IT, trebuie dobandite, dezvoltate si identificate solutii IT, care trebuie si implementate si integrate in procesul de afaceri. In plus, schimbarea sistemelor existente sau intretinerea acestora este de asemenea acoperit de acest domeniu pentru a fi siguri ca solutiile continua sa realizeze obiectivele de afaceri. Acest domeniu ridica de obicei urmatoarele intrebari:

Este posibil ca noile proiecte sa indeplineasca nevoile afacerii?

Este posibil ca noile proiecte sa fie date la timp si cu respectarea bugetului?

Vor functiona noile sisteme corect atunci cand vor fi implementate?

Schimbarile vor fi facute fara a perturba operatiunile curente ale afacerii?

FURNIZEAZA SI SPRIJINA (DS)

Acest domeniu priveste furnizarea actuala a serviciilor cerute, ceea ce include furnizarea de servicii, managementul securitatii si continuitatea, servicii suport pentru utilizatori, si gestionarea datelor si facilitatile operationale. De obicei, ridica urmatoarele probleme:

Sunt serviciile IT furnizate in conformitate cu prioritatile afacerii?

Sunt costurile IT optimizate?

Este forta de lucru capabila sa utilizeze sistemele IT in mod productiv si in siguranta?

Sunt aplicate corespunzator confidentialitatea, integritatea si disponibilitatea?

MONITORIZARE SI EVALUARE (ME)

Toate procesele IT trebuie evaluate regulat din cand in cand pentru calitzte si respectarea cerintelor de control. Acest domeniu se adreseaza gestionarii performantei, monitorizarii controlului intern, respectarii normelor si asigurarii guvernarii. De obicei ridica urmatorele intrebari pentru management:

Este masurata performanta IT-ului pentru a detecta problemele inainte de a fi prea tarziu?

Se asigura managementul ca verificarile interne sunt eficiente si eficace?

Poate performanta IT sa fie legata de scopurile afacerii?

Sunt riscurile, controlul conformitatea si performanta masurate si raportate?

BAZAT PE CONTROL

Procesele trebuie sa fie controlate

Controlul este definit ca politicile, porcedurile, practicile si structurile organizatorice create pentru a oferi asigurarii rezonabile ca obiectivele de afaceri vor fi atinse, iar evenimentele nedorite vor fi prevenite sau detectate si corectate.

Un obiectiv de control IT este o declarare a rezultatului dorit sau a scopului de atins prin implementarea de proceduri de control intr-o anumita activitate IT. Obiectivele de control ale CobiT sunt cerinte minime pentru controlul eficient al fiecariu proces IT. Indrumarea se poate obtine din modelul standard de control aratat in figura . Acesta urmeaza principiile evidente in aceasta analogie: cand temperatura camerei ( standard ) de la sistemul de incalzire (proces) este stabilita, sistemul va verifica (compara) constant temperatura mediului ambiant (informatii de control) si va semnala (actiona) sistemul de incalzire pentru a asigura mai multa sau mai putina caldura. Managementul operational utilizeaza procesele pentru a organiza si gestiona activitatile continue ale IT. CobiT ofera un model generic de proces ce reprezinta toate procesele aflate in mod normal in functiile IT, asigurand un model comun de referinta care poate fi inteles de IT-ul operational si de managerii de afaceri. Pentru a obtine o guvernare eficienta managerii operationali trebuie sa implementeze controale pentru toate procesele IT, intr-un cadru definit. Din moment ce obiectivele de control IT ale CobiT sunt organizate prin procesul IT, cadrul asigura legaturi clare intre cerintele de guvernare IT, procesele IT si controalele IT. Fiecare dintre procesele IT ale CobiT are un obiectiv de control la nivel inalt si un numar de obiective de control detaliate. Per total , acestea sunt caracteristicile unui proces bine administrat. Obiectivele de control detaliate sunt identificate printr-o referinta a unui domeniu cu caracter dublu plus un numar de proces si un numar de obiective de control. In plus fata de obiectivele de control detaliate, fiecare proces CobiT are cerinte generice de control care sunt identificate de PCn, pentru numarul de control al procesului. Acestea impreuna cu obiectivele detaliate de control al procesului trebuie sa fie considerate ca avand o vedere completa a cerintelor de control.

PC1 Detinatorul Procesului - numeste un detinator pentru fiecare proces CobiT astfel incat responsabilitatea este clara.

PC2 Repetabilitate - defineste fiecare proces CobiT, astfel incat acesta se repeta.

PC3 Scopuri si Obiective - stabileste scopuri si obiective clare pentru fiecare CobiT pentru o executie eficienta.

PC4 Roluri si Responsabilitati - definste roluri activitati si responsabilitati clare pentru fiecare proces CobiT, pentru o executie eficienta.

PC5 Performanta Procesului - masoara performanta fiecarui proces CobiT fata de scopurile sale.

PC6 Politica, Planuri si Proceduri - docmentatie,revizuire actualizare,semnalare si comunicare catre toate partile implicate, a oricarei politici, plan sau procedura care conduce un proces CobiT.   Controalele eficiente reduc riscurile, maresc probabilitatea furnizarii valorii si imbunatatesc eficienta deoarece vor fi mai putine erori si o abordare mai consistenta din partea managementului. In plus CobiT ofera pentru fiecare proces exemple ilustrative dar nu prescriptive sau exaustive a :

Intrari si iesiri generice

Activitati si indrumare pentru rolurile si responsabilitatile din harta RACI

Scopuri pentru activitatile cheie ( cele mai importante lucruri de facut)

Metrica

In plus fata de aprecierea a ceea ce necesita controale, detinatorii de proces trebuie sa inteleaga care sunt intrarile de care au nevoie de la ceilalti si ce anume cer ceilalti din procesele lor. CobiT ofera exemple generice a intrarilor si iesirilor cheie pentru fiecare proces inclusiv cerinte IT externe. Exista unele iesiri care pentru toate celelalte procese sunt intrari, marcate ca "ALL" in tabelele de iesiri dar nu sunt mantionate ca intrari in toate procesele si de obicei includ standarde de calitate si cerinte de metrica, cadrul procesului IT, roluri si responsabilitati docmentate, cadrul de control IT al intreprinderii, politici IT si roluri si responsabilitati ale personalului.

Intelegerea rolurilor si responsabilitatilor fiecarui proces este cheia unei guvernari eficiente. CobiT ofera o harta RACI (ceea ce inseamna Responsabil, Contabil, Consultanta si Informare) pentru fiecare proces. Contabil inseamna "suma se opreste aici" - aceasta este persoana care directioneaza si autorizeaza o activitate. Responsabil este persoana care indeplineste sarcina. Celelalte doua roluri (Consultanta si Informare) asigura faptul ca toti cei care trebuie sunt implicati si sustin procesul.

CONTROALE IT SI CONTROALE AFACERI

Sistemul de control intern al intreprinderii are impact asupra IT-ului pe 3 nivele:

Lla nivelul managementului executiv, se stabilesc obiectivele de afaceri, politicile si se iau decizii referitor la cum sa se utilizeze si gestioneze resursele intreprinderii pentru a pune in executie strategia. Abordarea generala a guvernarii si controlului este stabilita de comitetul director si comunicata in toata intreprinderea. Mediul de control IT este stabilit de acest set de obiective si politici la nivel inalt.

La nivelul procesului de afaceri, controalele se aplica activitatilor specifice afacerii. Majoritatea proceselor de afaceri sunt automatizate si integrate in sisteme de aplicatii IT, rezultatul fiind ca multe controale de la acest nivel sunt de asemenea automatizate. Aceste controale sunt cunoscute ca si controale de aplicatii. Totusi, unele controale din cadrul procesului de afaceri raman ca proceduri manuale cum ar fi: autorizarea tranzactiilor, separarea sarcinilor si reconcilierile manuale. Controalele de la nivelul procesului de afaceri sunt prin urmare o combinatie de controale manuale realizate de afaceri, controale de afaceri si controlae automante de aplicatii. Este responsabilitatea afacerii sa le defineasca si sa le gestioneze desi controalele de aplicatie necesita o functie IT care sa sprijine crearea si dezvoltarea lor.

Pentru a sprijini procesele de afaceri, IT asigura servicii, de obicei servicii impartite in mai multe procese de afaceri deoarece multe dintre procesele operationale si de dezvoltare IT sunt asigurate in intreaga intreprindere si mare parte din infrastructura IT-ului este oferita ca servicii comune ( ex: retele, baze de date, sisteme de operare si stocare). Controalele aplicate tuturor activitatilor IT de servicii sunt cunoscute ca si controale IT generale. Este necesar ca aceste controale generale sa functioneze bine pentru ca suportul sa fie acordat controlalelor de aplicatii. Spre exemplu schimbarile mici ar putea pune in pericol ( accidental sau deliberat) fiabilitatea verificarilor automate a integritatii.

CONTROALE GENERALE IT SI CONTROALE DE APLICATII

Controalele generale sunt acele controale incluse in serviciile si procesele IT. Exemplele includ:

dezvoltarea sistemelor

managementul schimbarii

securitate

operatii pe calculator

Controlele incluse in aplicatiile proceselor de afaceri sunt cunoscute de obicei ca si controale de aplicatii. Exemplele includ:

totalitate

precizie

validitate

autorizare

separarea sarcinilor

CobiT presupune crearea si implementarea de controale de aplicatii automatizate care sa fie in responsabilitatea IT, incluse in domeniul achizitie si implementare, in baza cerintelor de afaceri definite cu ajutorul criteriilor de informatii CobiT. Managementul operational si responsabilitatea controlului la controalele de aplicatii nu este in sarcina IT ci in cea a detinatorului procesului de afaceri.

IT furnizeaza si sprijina servicii de aplicatii si bazele de date si infrastructurile.

Prin urmare procesele IT CobiT acopera controalele IT generale dar nu si controalele de aplicatii deoarece acestea sunt responsabilitatea detinatorilor proceselor de afaceri asa cum este descris mai sus si sunt integrate in procesele de afaceri. Urmatoarea lista ofera un set recomandat de obiective ale controalelor de aplicatii, identificate de ACn, pentru numarum controlului de aplicatii.

controale ale datelor de origine/autorizare

controale ale intrarii datelor

controale ale procesarii datelor

controale ale iesirii datelor

controale marginale

ACTIONATE DE MASURATORI

O nevoie de baza a fiecarei intreprinderi este intelegerea starii propriilor sisteme IT si deciderea carui nivel de management si control trebuie oferit de aceasta. Nu este usor sa se atinga un obiectiv la nivelul de performanta a intreprinderii. Ce trebuie masurat si cum? Intreprinderile trebuie sa masoare unde sunt si ce imbunatatiri sunt necesare si sa implementeze un chit de management pentru monitorizarea acestei imbunatatiri. Pentru a decide care este nivelul corect, managementul trebuie sa se intrebe: cat de departe trebuie sa mergem si este costul justificat de beneficiu? CobiT ataca aceste probleme prin asigurarea de :

- modele de maturitate pentru a permite stabilirea punctelor de referinta si identificarea imbunatatirilor necesare pentru capacitate

- scopuri de performanta si metrica pentru procesele IT demonstrand cum indeplinesc procesele scopurile IT si de afaceri si sunt folosite pentru masurarea performantei interne a procesului pe baza principiilor cardului de bilant

- scopuri ale activitatii pentru a permite o performanta eficienta a procesului

MODELUL DE CADRU COBIT

Prin urmare cadrul CobiT leaga cerintele afacerilor in ceea ce priveste informatiile si guvernarea de obiectivele serviciilor IT. Modelul de proces CobiT permite ca activitatile IT si resursele folosite pentru acestea sa fie administrate corect si controlate pe baza obiectivelor de control ale CobiT si sa fie aliniate si monitorizate utilizand metrica KGI si KPI ale CobiT.

In concluzie, resursele IT sunt administrate prin procesele IT pentru a atinge scopurile IT care raspund cerintelor de afaceri. Acesta este principiul de baza al cadrului CobiT, asa cum o arata cubul CobiT.

Mai in detaliu,cadrul general al CobiT poate fi reprezentat grafic prin modelul de proces CobiT din 4 domenii care contin 34 procese generice, gestionand resursele IT pentru a furniza informatii pentru afacere in conformitate cu cerintele de guvernare si cerintele afacerii.