Để giúp doanh nghiệp dễ dàng áp dụng CobiT trong quản lý hệ thống thông tin hay một hệ thống CNTT bất kỳ, viện quản lý CNTT đã ban hành một hướng dẫn thực hiện quản lý CNTT, gồm 5 giai đoạn và chi tiết thành các bước cơ bản như sau nhằm có thể kiểm soát quá trình hình thành và sử dụng hệ thống ứng dụng công nghệ thông tin.

Giai đoạn 1. Xác định nhu cầu. Nhu cầu ở đây được hiểu là các nhu cầu liên quan quản lý CNTT như nhu cầu thông tin hay dịch vụ cần cung cấp để đáp ứng yêu cầu quản lý kinh doanh; các nhu cầu phục vụ việc kiểm soát các rủi ro; nhu cầu nguồn lực CNTT; nhu cầu tài chính cần thiết. Điều này rất quan trọng, có tính quyết định cho các giai đoạn sau. Trách nhiệm của các thành phần liên quan như sau:

(1) Ban quản lý cấp cao và giám đốc điều hành doanh nghiệp sẽ thiết lập chiến lược, kế hoạch kinh doanh; xác định phương hướng cho chương trình quản lý CNTT; xác định quan điểm ứng phó rủi ro; hỗ trợ và cam kết thực hiện các hỗ trợ trong toàn bộ quá trình thực hiện chương trình quản lý CNTT. (2) Quản lý bộ phận thực hiện hoạt động kinh doanh sẽ làm việc với quản lý CNTT để xác định các mục tiêu kinh doanh và yêu cầu thông tin hay dịch vụ CNTT một cách rõ ràng; Cung cấp các mô tả hoạt độnng kinh doanh để đánh giá các rủi ro liên quan CNTT rõ ràng; Cung cấp các nguồn lực cho CNTT (chủ yếu nguồn nhân lực) và cam kết hỗ trợ CNTT trong quá trình thực hiện chương trình. (3) Quản lý CNTT sẽ gắn kết các yêu cầu và mục tiêu kinh doanh với mục tiêu CNTT; xác định các cách tiếp cận để đảm bảo cung cấp thông tin và dịch vụ CNTT nhằm đáp ứng yêu cầu doanh nghiệp. (4) kiểm toán CNTT làm chuyên gia và tư vấn về rủi ro và kiểm soát. Giai đoạn này gồm 5 bước chi tiết:

Giai đoạn 2. Mô tả hình ảnh giải pháp.

Giai đoạn này chủ yếu mô tả bằng hình ảnh các hiện trạng và mong muốn mức độ kiểm soát xử lý CNTT của doanh nghiệp để xây dựng giải pháp phù hợp. Tham gia thực hiện giai đoạn này chủ yếu là quản lý CNTT với sự hỗ trợ của ban quản lý cấp cao doanh nghiệp, quản lý hoạt động kinh doanh và kiểm toán CNTT. Giai đoạn này được chia thành 3 bước chi tiết

Giai đoạn 3. Lập kế hoạch giải pháp (các biện pháp).

Dựa trên mức độ mong muốn của các xử lý CNTT, quản lý CNTT sẽ xây dựng kế hoạch giải pháp để đạt được mức độ mong muốn này bao gồm xác định cụ thể mục tiêu kiểm soát, xây dựng các chỉ tiêu đo lường kết quả thực hiện kiểm soát. Lưu ý, giải pháp ở đây hiểu theo nghĩa là các biện pháp cần thực hiện, nó có thể là phần mềm, thiết bị, bước thay đổi trong qui trình xử lý v.v… để đạt mục tiêu mong muốn.

Giai đoạn 4. Thực hiện giải pháp. Dựa trên kế hoạch giải pháp được lập, quản lý CNTT và các bộ phận liên quan cùng thực hiện theo kế hoạch này. Giai đoạn này được chia thành 3 bước:155

• Thực hiện giải pháp. Việc thực hiện này bao gồm việc hình thành được giải pháp thông qua mua hay tạo ra; Kiểm tra thử nghiệm giải pháp hình thành và thực hiện việc huấn luyện, truyền thông thực hiện giải pháp.

• Giám sát việc sử dụng (vận hành) giải pháp. Kết quả đánh giá hoạt động sử dụng sẽ được thông báo cho các đối tượng liên quan giải pháp cũng như ban quản lý cấp cao doanh nghiệp. Đồng thời các khuyến cáo, đề nghị cũng được đưa ra để kết quả đạt được tốt hơn.

• Đánh giá hiệu quả chương trình quản lý CNTT.

Giai đoạn 5. Phát triển cấu trúc quản lý CNTT và xử lý CNTT.

Dựa trên các đánh giá hiệu quả và các đề nghị đối với chương trình quản lý, quản lý CNTT với sự hỗ trợ từ các bộ phận liên quan sẽ xây dựng các hồ sơ hoàn chỉnh cấu trúc quản lý cũng như các xử lý CNTT