Sunteți pe pagina 1din 12

AUDITUL SISTEMELOR INFORMATICE DE GESTIUNE reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic

este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale. to audit = a examina, a verifica, a revizui conturi i nregistrri contabile auditus = a asculta, a audia ( limba latin) DECLARAIA INTERNAIONAL PRIVIND PRACTICA DE AUDIT 1001 Medii IT Calculatoare neincluse n reea 1009 Tehnici de audit asistate de calculator Comitetul Internaional pentru Practici de Audit (IAPC) al Federaiei Internaionale a Contabililor (IFAC) SISTEMUL INFORMATIC Information system Systme dinformation Elementele sistemului: Resursa fizic (hardware) Resursa logic (software) Baza de date Resursa uman i cadrul organizatoric S TRUCTURA SISTEMUL INFORMATIC 1. SISTEME DESTINATE CONDUCERII (Management Support Systems MSS) Sisteme suport ale executivului (Executive Support Systems ESS) Sisteme suport de decizie (Decision Support Systems DSS) Sisteme interactive de asistare a deciziei (SIAD) Sisteme expert (SE) Sisteme destinate conducerii curente (Management Information Systems MIS) 2. SISTEME OPERAIONALE Sisteme pentru procesarea tranzaciilor (Transaction Processing Systems TPS) Sisteme pentru activitatea de birotic (Office Automation Systems OAS) Sisteme pentru controlul proceselor (Process Control Systems PCS) CLASIFICAREA SISTEMELOR INFORMATICE SISTEME INFORMATICE PARIALE SISTEME INFORMATICE TOTALE SISTEME INFORMATICE INTEGRATE SISTEMUL INFORMATIC INTEGRAT Principalele module:

PLANIFICAREA I CONTROLUL PRODUCIEI MANAGEMENTUL APROVIZIONRII, VNZAREA I DISTRIBUIA CONTABILITATEA FINANCIAR I DE GESTIUNE MANAGEMENTUL RESURSELOR UMANE MANAGEMENTUL CALITII MANAGEMENTUL PROIECTELOR MANAGEMENTUL SERVICIILOR MENTENANA ECHIPAMENTELOR CONTROLUL NTREPRINDERII

CARACTERSITICI Ciclu de via lung Cost ridicat ANALIZA PRODUSULUI SOFTWARE Tehnologia Arhitectura Mediul de dezvoltare Baza de date Flexibilitate utilizare modular i extindere n mai multe etape Deschidere noile tehnologii informatice Adaptabilitate la cerinele beneficiarului integrarea aplicaiilor interne BAZA DE DATE O colecie de date operaionale nregistrate pe suport adresabil, aflate n interdependen logic, mpreun cu descrierea datelor i a relaiilor dintre ele i care sunt prelucrate n aplicaiile informatice ale unei organizaii. Este un ansamblu de date: structurate coerente persistente cu o redundan minim i controlat independente de programul de aplicaie direct accesibile dup mai multe criterii simultan accesibile de ctre mai muli utilizatori ABD (Data Base Administrator) responsabil cu realizarea fizic a BD, care include proiectarea, implementarea, exploatarea i ntreinerea acesteia, securitatea, acordarea drepturilor de acces i controlul integritii. ARHITECTURA BAZELOR DE DATE baza de date propriu-zis n care se memoreaz datele sistemul de gestiune al bazei de date (SGBD) metabaza de date - dicionarul datelor (DD) mijloacele hardware personalul (ABD, analiti, programatori, utilizatori finali) NTREPRINDEREA SISTEM CIBERNETIC

SUBSISTEMUL LOGISTIC I DE PRODUCIE SUBSISTEMUL FINANCIAR CONTABIL SUBSISTEMUL DE MARKETING SUBSISTEMUL RESURSE UMANE SUBSISTEMUL DE CONTROL I GESTIUNE STRATEGIC

IT GOVERNANCE - procesul de control i coordonare a resurselor informaionale: mijloacele de culegere, prelucrare, stocare i transmitere automat a datelor (calculatoare, periferice, reele, servere, routere, software etc.) - politicile i procedurile care guverneaz procesele informatice utilizatorii, personalul implicat n dezvoltarea i conducerea sistemului informaional (analiti, programatori, manageri etc.), furnizorii de resurse informaionale i auditorii sistemului informaional obiectivele principale sunt: stabilirea unor strategii pentru ca utilizarea resurselor informaionale s fie n concordan cu obiectivele organizaiei; utilizarea ct mai eficient i cu riscuri minime a resurselor informaionale (hardware, software).

Factorii ce impun auditul SI : - Costul pierderii datelor - Costul lurii unor decizii incorecte - Costul abuzului n sistemul informatic - Valoarea ridicat a sistemului hardware, software i a personalului specializat - Costul ridicat al erorilor datorate calculatoarelor - Protecia confidenialitii - Controlul evoluiei modului de utilizare al calculatoarelor. Necesitatea activitii de audit informatic: Auditorii financiari i interni au realizat c sistemul informatic are un impact tot mai mare asupra obiectivelor misiunilor lor Managerii din cadrul ntreprinderilor au recunoscut calculatorul ca fiind o resurs cheie n competiia de pe pia i ca atare se impune controlul i auditarea proceselor unde este utilizat Asociaiile i organizaiile profesionale, precum i guvernele, au recunoscut necesitatea controlului i auditatarea sistemelor informatice Rezultatele Auditului Sistemului Informatic: - creterea securitii mijloacelor sistemului informatic - creterea integritii datelor - creterea utilizrii efective a sistemului informatic - creterea eficienei exploatrii sistemului informatic - creterea eficienei i calitii procedurilor i politicilor de securitate - creterea calitii controlului intern Identificarea i evaluarea riscurilor din sistem.

Evaluarea i testarea controlului din sistem. Verificarea i evaluarea fizic a mediului informaional. Verificarea i evaluarea administrrii sistemului informatic. Verificarea i evaluarea aplicaiilor informatice. Verificarea i evaluarea securitii reelelor de calculatoare. Verificarea i evaluarea planurilor i procedurilor de recuperare n caz de dezastre i continuare a activitii. Testarea integritii datelor. Ce cunotine sunt necesare unui auditor de sisteme informatice ? cunotine din domeniul auditului financiar; cunotine din domeniul managementului; cunotine din domeniul contabilitii; cunotine din domeniu financiar; cunotine privind evaluarea riscurilor; cunotine privind controlul; cunotine privind arhitectura fizic (hardware) a sistemelor informatice; cunotine privind sistemele de operare i aplicaiile informatice; cunotine privind reelele de calculatoare; cunotine privind securitatea sistemelor informatice; cunotine privind analiza, proiectarea i implementarea sistemelor informatice; cunotine privind programarea i limbajele de programare; cunotine privind sistemele de gestiune a bazelor de date; cunotine privind tehnicile de procesare automat a datelor n cadrul sistemelor informatice de gestiune; cunotine de baz din statistic economic; cunotine privind legislaia. Aptitudinile Auditorului de Sisteme Informatice: s fie un bun membru ntr-o echip de audit; s fie un bun manager al activitilor de audit; s aib un spirit de observaie bine dezvoltat; s fie un bun colaborator; s dispun de abiliti de comunicare; s fie capabil s ia decizii obiective; s fie un bun analist. RISCUL N SISTEMELE INFORMATICE Reprezint probabilitatea de apariie a unei pierderi care s afecteze negativ resursele informaionale i funcionalitatea sistemului. MANAGEMENTUL RISCULUI reprezint procesul de identificare a vulnerabilitilor i ameninrilor din cadrul unei ntreprinderi, precum i de elaborare a unor msuri de minimizare a impactului acestora asupra resurselor informaionale din ntreprindere. NIVELUL RISCULUI TOTAL = f ( ameninri, vulnerabiliti, impacturi ) NIVELUL RISCULUI TOTAL = ameninri x vulnerabiliti x impacturi unde: ameninri evenimente sau activiti ce pot afecta punctele slabe existente n sistem; vulnerabiliti punctele slabe existente n sistem i care pot fi exploatate de ctre ameninri impacturi consecine pe termen scurt, mediu sau lung pe care organizaia le suport ca urmare a exploatrii vulnerabilitilor de ctre ameninri.

mare (3)

mediu (2)

redus (1)

inexistent (0)

1. RISCUL DE AFACERE probabilitatea ca o firm s nu-i ating obiectivele sale de afaceri datorit factorilor interni (de ex. funcionarea defectuas a sistemului informatic hardware i / sau software), sau a factorilor externi (de ex. apariia pe pia a unor concureni mai puternici). 2. RISCUL DE AUDIT - probabilitatea ca un auditor s nu observe o eroare sau fraud din sistemul auditat. Riscul de audit conine mai multe tipuri de riscuri: Riscul inerent. Reprezint probabilitatea ca o eroare sau o fraud s se produc n mod inerent datorit naturii activitii desfurate n ntreprindere. Riscul de control. Reprezint probabilitatea ca o eroare sau o fraud s se produc fr a fi detectat sau prevenit de ctre controlul intern. Riscul de detectare. Reprezint probabilitatea ca un auditor s nu detecteze prin testele aplicate o eroare din cadrul sistemului de control auditat. 3. RISCUL SISTEMULUI INFORMAIONAL - probabilitatea de apariie a unor erori sau fraude datorit utilizrii inadecvate a sistemului informaional. A. Riscurile la nivelul aplicaiilor i operaiilor din sistemul informatic: Cuprinde: securitatea sczut a aplicaiilor; accesul neautorizat la datele sistemului; introducerea unor date inadecvate sau false; procesarea incomplet a datelor; dublarea datelor tranzacionate; procesarea cu ntrziere a datelor; nefuncionarea corect a transmisiei datelor; separarea inadecvat sau inexistent a funciilor i responsabilitilor; analiza i proiectarea defectuoas a aplicaiilor; incompatibilitatea dintre aplicaiile informatice; infectarea aplicaiilor cu virui electronici; instruirea inadecvat a utilizatorilor; suportul i mentenana inadecvat a aplicaiilor. B. Riscul de continuare a activitii sistemului informatic Cuprinde: riscul disponibilitii sistemului probabilitatea ca sistemul s devin indisponibil utilizatorilor datorit securitii sale (atacuri informatice); riscul recuperrii sistemului probabilitatea ca datele i operaiile sistemului s nu mai poat fi recuperate (lipsa unor copii de siguran i a procedurilor de de recuperare).

ETAPELE DE EVALUARE A RISCURILOR DIN SISTEMUL INFORMAIONAL identificarea factorilor de risc; ierarhizarea factorilor de risc dup importana acestora pentru sistemul auditat; determinarea frecvenei i duratei de apariie a fiecrui factor de risc; cuantificarea i evaluarea nivelului de risc; programarea auditului i alocarea resurselor de audit corespunztoare nivelului de risc stabilit. UN MODEL DE EVALUARE A RISCURILOR ( A- B- C )DIN SISTEMUL INFORMAIONAL

A. Nivelul de vulnerabilitate = f (riscul accesibilitii, nr.de utilizatori autorizai) Riscul accesibilitii = f (riscul accesului fizic, riscul accesului la reea) B. Complexitatea sistemului = f (riscul tehnologic, complexitatea organizaional i a proiectului) Riscul tehnologic = f (riscul ciclului de via, riscul dependenei de specialiti) Riscul dependenei de specialiti =f (riscul asociat angajailor, riscul documentaiei) Complexitatea organizaional i a proiectului =f (riscul complexitii organizaionale, riscul asociat funciilor) C. Riscul de ncredere =f (riscul asociat personalului, riscul asociat managerilor) Controlul n cadrul Sistemului Informaional Controlul intern - asigur prevenirea, identificarea i corectarea problemelor cauzate de ctre factorii de risc. Controlul preventiv - permite identificarea problemelor (erori, omisiuni, fraude) nainte ca acestea s apar; Controlul detectiv permite detectarea i raportarea problemelor aprute; Controlul corectiv - permite remedierea unei probleme sau minimizarea ameninrii identificate prin controlul detectiv. Obiectivele controlului intern specifice SI: asigurarea securitii fizice i logice a resurselor informaionale; asigurarea integritii aplicaiilor informatice; asigurarea eficienei dezvoltrii sau achiziiei de aplicaii informatice i asigurarea compatibilitii; asigurarea eficacitii i eficienei operaiilor i procedurilor din sistem; asigurarea concordanei dintre procedurile, respectiv operaiile din sistem i reglementrile legale i regulamentele interne n vigoare; asigurarea recuperrii datelor i continuarea activitii n caz de dezastre sau evenimente neprevzute. Controlul n cadrul Sistemului Informaional(conform standardului IFAC-IAPS 1008) A. Controlul managementului SI - auditorul identific, evalueaz i testeaz: organizarea sistemului informatic; proiectarea i implementarea sistemului informatic; procedurile i operaiile din sistem; organizarea securitii sistemului; asigurarea calitii sistemului. B. Controlul aplicaiilor informatice - auditorul identific, evalueaz i testeaz: intrarea datelor n sistem (autenticitate, acuratee, integralitate); efectuarea tranzaciilor (acuratee, integralitate, integritate); ieirile din sistem. Standarde de evaluare a riscurilor i implementarea controlului n SI ISACA (Information Systems Audit and Control Association) IT Governance Institute (fondat de ctre ISACF Information Systems Audit and Control Foundation) Standardul - COBIT (Control OBjectives for Information and related Technology)

Conine: prezentarea general, cadrul de lucru, obiectivelec ontrolului, ghidul pentru management, ghidul pentru audit, instrumentele de implementare. IFAC (International Federation of Accountants) Standarde: ISA (International Standards on Auditing) IAPS (International Auditing Practice ISA 400: reglementeaz evaluarea riscurilor i a ISA 401: reglementeaz procesul de audit n cadrul IAPS 1008: reglementeaz evaluarea riscurilor i sistemelor informatice. Statements) controlului intern. sistemelor informatice. controlului intern din

cadrul

Metodologia de audit a sistemelor informatice Principalele etape: 1. Planificarea 2. Evaluarea riscurilor i controlului intern 3. Elaborarea programului de audit 4. Culegerea probelor 5. Formularea concluziilor i elaborarea raportului 6. Urmrirea (monitorizarea) implementrii recomandrilor din raportul de audit 1. PLANIFICAREA s se informeze cu privire la obiectul de activitate al clientului i domeniul n care i desfoar activitatea; s se documenteze cu privire la structura sistemului informaional. Auditorul trebuie s analizeze structura organizatoric (organigrama), organigrama sistemului informatic i flowchart-urile din sistem; s determine complexitatea sistemului informatic; s se documenteze cu privire la aplicaiile informatice utilizate; s se documenteze cu privire la infrastructura reelei de calculatoare; s se documenteze cu privire la politicile i procedurile de securitate, respectiv procedurile de operare din sistemul informatic; s identifice contractele de outsourcing (externalizare) din sistemul informaional; s se documenteze cu privire la controlul intern i mai cu seam a controalelor ce privesc procesele ce vor fi auditate; s s evalueze riscurile din sistem (inerent, de detectare i de control); s stabileasc nivelul pragului de materialitate; s stabileasc i s documenteze foile de lucru necesare pentru misiunea de audit. 2. Evaluarea riscurilor i a controlului intern s identifice vulnerabilitile i ameninrile la care este expus aria de audit; s evalueze prin tehnici adecvate (metoda scorurilor sau judecata liber) nivelurile de risc din cadrul ariei de audit; s stabileasc riscul inerent i de control; s evalueze controlul intern din aria de audit. 3. Elaborarea programului de audit Scopul auditului Obiectivele auditului Procedurile i tehnicile de audit ce vor fi utilizate

Planificarea i programarea sarcinilor i responsabilitilor membrilor echipei Bugetul misiunii de audit 4. Culegerea probelor documente privind politicile i procedurile de securitate din sistemul informaional al clientului; documente privind procedurile de lucru din sistemul informatic; documente sau observaii privind infrastructura fizic (hardware) i logic (software) a sistemului auditat; interviurile i chestionarele aplicate; flowchart-uri de sistem i/sau de aplicaii; observaii personale n cadrul foilor de lucru; fiiere cu datele extrase din aria de auditat; fiiere cu tranzaciile de date necesare auditului fiiere jurnal pentru intrri, prelucrri, tranzacii de date i tratare a erorilor; situaii listate din aplicaiile sistemului; fiierele cu datele de test; fiiere cu erori; coninutul i rezultatul testelor controlului din sistem; liste cu surse ale programelor utilizate n procesele auditate; coninutul i rezultatul testelor securitii sistemului 5. Formularea concluziilor i elaborarea raportului care va conine: Denumirea organizaiei auditate. Titlul, data i semntura. Descrierea obiectivelor auditului. Scopul auditului. Perioada acoperit prin audit. Standardele i criteriile de desfurare a auditului. Descrierea detaliat a rezultatelor auditului. Concluziile i opiniile auditorului. Recomandrile i msurile corective. 6. Urmrirea (monitorizarea) implementrii recomandrilor din raportul de audit n aceast etap se stabilesc de comun acord cu clientul datele n care auditorul va reveni s verifice dac recomandrile i msurile corective propuse de el au fost implementate.

TEHNICI DE AUDIT A SISTEMELOR INFORMATICE 1. Tehnici de investigare a sistemului auditat. Interviul Chestionarul Diagrama de flux informaional (Flowchart) 2. Tehnici de identificare i evaluare a riscurilor. Abordarea intuitiv (judecat liber / intuiia) Tehnica scorurilor Metoda cantitativ PAE = I x F

unde PAE pierderea anual datorat expunerii I impactul estimat n LEI / USD / EURO F frecvena de apariie a factorilor de risc 3. Tehnici de testare a controlului din cadrul sistemului auditat. Teste de concordan Teste de integritate Tehnica datelor de test Tehnica testului integrat Simularea paralel

TEHNICI DE AUDIT ASISTATE DE CALCULATOR CAAT (Computer Assisted Audit Techniques) Instrumente pentru creterea productivitii muncii de audit Aplicaii generale de audit (GAS - Generalized Audit Software) Aplicaii informatice (utilitare) pentru testarea i verificarea sistemului CAAT (Computer Assisted Audit Techniques) Sunt programe i date computerizate pe care auditorul le folosete ca parte a procedurilor de audit, pentru a procesa date cu semnificaie pentru audit coninute n sistemele informatice ale unei entiti. Datele pot fi date despre tranzacii, asupra crora auditorul dorete s efectueze teste ale controalelor sau proceduri de fond, sau alte tipuri de date. (Declaraia 1009) CAAT include: Teste ale detaliilor tranzaciilor i soldurilor, de exemplu folosirea software-ului de audit pentru recalcularea dobnzii sau pentru extragerea din nregistrrile computerizate a facturilor care depesc o anumit valoare; Proceduri analitice, de exemplu identificarea neconcordanelor sau a fluctuaiilor semnificative; Teste ale controalelor generale, de ex. testarea setrii sau a configurrii SO sau a procedurilor de acces la bibliotecile de programe, sau prin folosirea programelor de comparare a codurilor pentru a verifica faptul c versiunea programului folosit este versiunea aprobat de conducere; Programe de eantionare pentru extragerea datelor n vederea testrii de audit; Teste ale controalelor aplicaiilor, de exemplu testarea modului n care funcioneaz un control programat; Reefectuarea calculelor efectuate de sistemele contabile ale entitii. Sunt considerate CAAT: Pachetele de programe - sunt programe de computer generalizate, proiectate s efectueze funcii de procesare de date (de ex. citirea datelor, selectarea i analizarea informaiilor, executarea calculelor, crearea fiierelor de date i raportarea ntr-un format specificat de auditor). Programele realizate pentru un anumit scop execut sarcini de audit n circumstane specifice. Acestea pot fi elaborate de ctre auditor, de entitatea auditat sau de un programator extern angajat de auditor. Programele utilitare sunt utilizate de ctre o entitate pentru a executa funcii comune de procesare de date, precum sortarea, crearea i tiprirea fiierelor. Aceste programe, n general, nu sunt proiectate pentru scopuri de audit i, de aceea, ele pot s nu conin caracteristici de genul numrtori automate ale nregistrrilor sau totaluri de control.

Programele de gestionare a sistemelor sunt instrumente pentru mbuntirea productivitii (de ex. programe de recuperare a datelor). Ca i n cazul programelor utilitare, aceste instrumente nu sunt proiectate n mod special pentru audit i necesit o atenie suplimentar n utilizare. Programele de audit de rutin ncorporate includ: - Instantanee imaginea unei tranzacii pe msur ce aceasta parcurge sistemele de calcul. - Fiier de revizuire a auditului referitor la controlul sistemelor module de program de audit ncorporate n sistem. Informaiile sunt colectate ntr-un fiier special pe care auditorul l poate examina. Tehnicile de testare a datelor pentru - Testarea accesului la date, parole on-line. - Testarea tranzaciilor selectate din tranzaciile procesate anterior sau create de auditor. - Testarea tranzaciilor folosind o unitate dummy (un departament sau un angajat fictiv). Paii principali fcui de AUDITOR n aplicarea unui CAAT Stabilirea obiectivului aplicaiei CAAT; Determinarea coninutului i a accesibilitii la fiierele entitii; Identificarea fiierelor sau bazelor de date specifice care urmeaz a fi examinate: nelegerea relaiilor dintre tabelele de date, acolo unde urmeaz s fie examinat o baz de date; Definirea testelor sau a procedurilor specifice, precum i a tranzaciilor i soldurilor aferente afectate; Definirea cerinelor cu privire la ieirile de date; Stabilirea mpreun cu utilizatorul i resposabilul IT a efecturii unor copii ale fiierelor i bazelor de date relevante; Identificarea personalului care poate participa la proiectarea i aplicarea CAAT-urilor; Perfecionarea estimrilor costurilor i beneficiilor; Asigurarea c utilizarea CAAT-urilor este controlat i documentat corespunztor; Organizarea activitilor administrative, inclusiv aptitudinile necesare i facilitile computerizate; Reconcilierea datelor care vor fi utilizate pentru CAAT-urile cu nregistrrile contabile; Executarea aplicaiei CAAT; Evaluarea rezultatelor.

FILOSOFIA, PRINCIPIILE I ARHITECTURA CADRULUI DE LUCRU COBIT (Control OBjectives for Information and related Technology) Principiile pe care se construiete cadrul de lucru COBIT reprezint o serie de contrngeri i relaii impuse asupra conceptelor de control, informaie i resurse IT. Principiul nr. 1 Controlul n IT este abordat prin examinarea informaiei necesare pentru a susine obiectivele sau cerinele afacerii. Principiul nr.2 Informaia este privit ca fiind rezultatul aplicrii combinate a resurselor IT, acestea fiind gestionate de ctre procese IT. Exist i principii secundare. Unul dintre acestea se refer la informaia ca atare pentru a satisface obiectivele afacerii, informaia trebuie s se conformeze unor criterii, denumite cerinele afacerii pentru informaie. COBIT opereaz cu un numr de 7 categorii, definite astfel: Cerine ale afacerii impuse pentru informaie

CATEGORIA Efectivitate

Definiia de lucru COBIT Informaia s fie relevant i pertinent pentru procesul de afacere i s fie furnizat n manier oportun n timp, corect, consistent i utilizabil. Furnizarea de informaie prin utilizarea optimal (cea mai productiv i economic) a resurselor. Are ca obiect protecia informaiei sensibile fa de dezvluirea neautorizat. Definiia de lucru COBIT Se refer la exactitatea (precizia) i completitudinea informaiei, precum i la validitatea sa n concordan cu valorile i ateptrile afacerii. Informaia s fie disponibil atunci cnd este cerut de procesul afacerii.

Eficien Confidenialitate CATEGORIA Integritatea

Disponibilitatea Conformitate

Asigurarea conformitii cu acele legi, reglementri i aranjamente contractuale care au ca subiect procesul afacerii. ncrederea nSe refer la furnizarea informaiei adecvate informaie (siguranamanagementului att pentru a opera entitatea, ct informaiei) i pentru a-i exercita responsabilitile financiare i de raportare conforme.

Un alt principiu secundar se refer la resursele IT. COBIT opereaz cu un numr de 5 resurse, definite astfel: CATEGORIA Definiia de lucru COBIT Date Obiecte n sensul lor cel mai larg (interne sau externe), structurate sau nestructurate, grafice, sunete etc. Ansamblul procedurilor manuale i programate. Hardware, sisteme de operare, SGBD (DBMS), reele, multimedia etc. Resursele de gzduire i suport pentru sistemele informatice

Sisteme de aplicaie Tehnologie Faciliti Personal

Include abilitile, contientizarea i productivitatea dovedite de personal pentru a planifica, organiza, achiziiona, furniza servicii IT i a monitoriza sistemele informatice. Cadrul de lucru COBIT este format dintr-un set de obiective de nivel nalt la care se adaug o structur global pentru clasificarea ierarhizat a acestor obiective.

Managementul resurselor IT implic 3 niveluri de aciuni i eforturi IT: (1) Nivelul activitilor (2) Nivelul proceselor (3) Nivelul domeniilor Cadrul conceptual COBIT definit anterior este caracterizat prin 3 perspective: (1) Criterii impuse informaiei (2) Resursele IT (3) Procesele IT Reuniunea acestor perspective are ca rezultat reprezentarea unui cub 3D Cubul COBIT. Ca domenii, au fost identificate 4 domenii: Planificare i organizare Achiziionare i implementare Furnizare de servicii IT i suport Monitorizare