COBIT, dacă este adoptat de către organizaţii, permite eliminarea discrepanţelor dintre cerinţele controlului intern, problemele tehnice din cadrul IT şi riscuri. (menţiune: partea cu riscuri presupune că se face management de riscuri după o metodologie)

Unul din aspectele ce dă bătăi de cap conducătorilor din IT este Change Management – Managementul schimbărilor. Despre acest subiect, COBIT face vorbire în domeniul  Acquire and Implement (AI)/Achiziţie şi Implementare, AI6 Manage changes:

“All changes, including emergency maintenance and patches, relating to infrastructure and applications within the production environment are formally managed in a controlled manner. Changes (including those to procedures, processes, system and service parameters) are logged, assessed and authorised prior to implementation and reviewed against planned outcomes following implementation. This assures mitigation of the risks of negatively impacting the stability or integrity of the production. “

AI6.1 Change standards and procedures

Obiectiv controlului: dezvoltarea unor proceduri formale de management al schimbărilor pentru a gestiona în mod standardizat toate cererile (inclusiv înbtreţinerea şi patchurile) de modificare a aplicaţiilor, procedurilor, proceselor, parametrilor sistemului şi serviciilor şi a platformelor  pe care acestea funcţionează

AI6.2 Impact assessment, prioritization and authorization

Obiectivul controlului: Evaluarea tuturor cererilor de modificare într-un mod structurat pentru a determina impactul asupra sistemului de la nivel operaţional şi a funcţionalităţii acestuia. ASigurarea că modificările sînt clasificate, ierarhizate şi autorizate.

AI6.3 Emergency changes

Obiectivul controlului: stabilirea unui proces pentru definirea, escaladarea, testarea, documentarea, evaluarea şi autorizarea modificărilor urgente ce nu se pot încadra în procesul definit anterior.

AI6.4 Change status tracking and reporting

Obiectivul controlului: stabilirea unui sistem de urmărire şi raportare pentru a documenta modificările neaprobate, a comunica starea modificărilor aprobate şi a finlaiza modificările. Obţinera certitudinii că modificările aprobate sînt implementate după cum au fost planificate.

AI6.5 Change closure and documentation

Obiectivul controlului:  ori de cîte ori modificările sînt implementate, sistemele asociate, documentaţia utilizatorilor şi procedurile sînt actualaizate.

Pentru detalii  ar trebui citit şi ce spune ITIL v3 în Service Transition. Fac această afirmaţie pentru că în ITIL se vorbeşte despre “service change”, conceptul de bază în ITIL fiind serviciul:

“the addition, modification or removal of authorized, planned or supported service or service component and its associated documentation” 

Procesul “Change” nu este unul de sine stătător ci trebuie văzute şi relaţiile cu alte procese/componente! Atît în COBIT cît şi în ITIL, un proces are inputuri de la alte procese şi produce outputuri pentru alte procese!  Altfel spus, trebuie avute în vedere, pe lîngă cererile de modificare (Request For Changes) şi: incidentele, securitatea, controlul librăriilor software, metodologia de dezvoltare a aplicaţiilor (dacă se dezvoltă in house), distribuţia aplicaţiilor …..

Din punct de vedere al controlului, obiectivul final al managementului modificărilor îl reprezintă modul în care o modificare se propagă în mediul de producţie! Pentru că auditorul are o abordare “risk based”!