Модель зрелости для среды внутреннего контроля. Перекрёстные ссылки между третьим изданием COBIT и COBIT 4.1.

Уровень зрелости

Состояние среды внутреннего контроля

Установление мер внутреннего контроля

0. Несуществующий

Отсутствует понимание необходимости в системе внутреннего контроля. Контроль не является частью корпоративной культуры или миссии. Существует высокий риск недостатков и инцидентов.

Отсутствует потребность в оценке системы внутреннего контроля. Последствия инцидентов ликвидируются по мере их возникновения.

1. Начальный/ Повторяющийся эпизодически и бессистемно

Существует определенное осознание потребностей в системе внутреннего контроля. Подходы в отношении рисков и требований контроля непоследовательны и неорганизованны, отсутствуют информирование заинтересованных сторон и процесс мониторинга. Недостатки не выявлены. Сотрудники не в полной мере осознают требования к своим должностным обязанностям.

Отсутствует осознание потребности в оценке того, что требуется в свете требований мер контроля в области ИТ. Даже когда элементы этого осознания существуют, оно непоследовательно, лишь в общих чертах, и является следствием существенных инцидентов. Процесс оценки применяется только в отношении реально произошедших инцидентов.

2. Повторяющийся, но интуитивный

Меры контроля существуют, но они не документированы. Их применение зависит от знаний и мотивации отдельных сотрудников. Эффективность деятельности не подвергается адекватной оценке. Существуют существенные недостатки в функционировании системы контроля, последствия которых могут быть серьезными. Усилия руководства по разрешению проблем в области контроля непоследовательны и не являются приоритетными. Сотрудники могут не в полной мере осознавать требования к своим должностным обязанностям

Оценка потребностей в области контроля производится только в случае необходимости определить уровень зрелости определенных процессов, требуемый уровень, который должен быть достигнут, а также существующие недостатки. Для определения адекватного подхода в области контроля над процессами и обоснования согласованного плана действий проводятся неформальные рабочие совещания с участием руководства службы ИТ и сотрудников, участвующих в определенном процессе.

3. Определенный

Существуют и применяются документированные меры контроля. Эффективность деятельности оценивается на регулярной основе, выявлен ряд ограничений. Тем не менее, процесс оценки не документирован. В то время как руководство способно разрешать и предупреждать проблемы в сфере контроля, остаются определенные недостатки в функционировании системы контроля, последствия которых могут быть серьезными. Сотрудники осознают требования в соответствии со своими должностными обязанностями в области контроля.

Выявлены наиболее важные ИТ процессы на основе их значимости и уровнем риска. Проведен детальный анализ для определения требований контроля, определения первопричин недостатков и выявления возможностей по усовершенствованиям. В дополнение к рабочим совещаниям, в рамках анализа применяются различные методики и проводятся интервью с целью убедиться в том, что владельцы ИТ процессов выполняют свою роль и стимулируют процессы оценки и усовершенствования.

4. Управляемый и измеряемый

Существует эффективная система внутреннего контроля и управления рисками. Регулярно проводится формализованная, документированная процедура оценки действенности мер контроля. Многие меры контроля автоматизированы и подвергаются регулярному анализу. Руководство выявило большинство проблем в области управления, однако не все проблемы выявляются в плановом порядке. Существует последовательность действий, предпринимаемых при выявлении проблемы. Для автоматизации мер контроля в тактических целях и в ограниченной форме применяются технологии.

Регулярно определяется степень важности ИТ процессов при полной поддержке со стороны владельцев бизнес процессов. Оценка требований в области мер контроля основана на политике и текущем состоянии зрелости процессов и следует тщательному и измеряемому анализу при участии заинтересованных сторон. Отчетность по результатам процедур оценки четкая и обязательная. Стратегии усовершенствования основаны на примерах из практики бизнеса. Эффективности в достижении желаемых выгод является предметом постоянного мониторинга. Эпизодически проводятся внешние независимые оценки эффективности контроля.

5. Оптимизированный

Программа контроля и управления рисками в масштабе всей организации обеспечивает эффективное и непрерывное разрешение проблем, связанных с рисками и мерами контроля. Система внутреннего контроля и управления рисками интегрирована с корпоративными практиками, которые поддерживаются с помощью автоматизированного мониторинга в режиме реального времени с полной отчетностью по вопросам контроля, управления рисками и соответствия требованиям. Оценка системы контроля производится на постоянной основе, основана на самооценках и анализе недостатков и первопричин. Сотрудники вовлечены в усовершенствование системы контроля в упреждающем стиле.

При изменениях бизнеса учитывается важность ИТ процессов а также необходимость в переоценке уровня мер контроля в процессах. Владельцы ИТ процессов регулярно проводят процедуры самооценки для того, чтобы убедиться в том, что меры контроля находятся на должном уровне зрелости и соответствуют требованиям бизнеса, а также учитывают атрибуты зрелости для того, чтобы сделать меры контроля более эффективными и результативными. В организации применяется сравнительный анализ внешних лучших практик и используются внешние консультации по совершенствованию эффективности системы внутреннего контроля. В отношении наиболее важных процессов проводится независимый анализ, чтобы удостовериться в том, что меры контроля находятся на должном уровне зрелости и соответствуют ожиданиям.