Revizia controalelor interne. Din nou COBIT

Voi continua poveştile cu aspectele de bază legat ede audit. Principala sarcină a unui CISA este să revizuiască controalele interne puse în practică de o organizaţie. În zona IT, de cele mai multe ori în loc de control intern se foloseşte sintagma “măsură de securitate”! Dar dacă aruncăm o privire la Anexa A a standardului ISO 27001 vom oberva că acolo sînt prezentate “controls”.

Despre control se poate spune că reprezintă, la nivel fundamental, acele acţiuni care au fost proiectate cu scopul de a asigura succesul unei entităţi în atingerea obiectivelor propuse. Dacă entitatea este o organizaţie economică, controlul reprezintă acea manieră de conducere prin care să se obţină cele mai bune rezultate din partea angajaţilor.

La nivel internaţional, ultimii ani au fost marcaţi de o creştere a atenţiei pe care auditorii, managerii, contabilii şi organismele cu atribuţii de reglementare a domeniului au acordat-o controlului intern. Efortul depus pentru a defini şi evalua cât mai exact controlul intern în condiţiile utilizării tehnologiilor informaţionale s-a concretizat în publicarea a cinci documente care acoperă aria de acţiune a acestui concept: COBIT(Control Objectives for Information and Related Technology), publicat de ISACA, SAC(Systems Auditability and Control) publicat de către IIARF(Institute of Internal Auditors Research Foundation ), Internal Control-Integrated Framework, publicat de COSO(Committee of Sponsoring Organizations of the Treadway Commission) şi SAS55 (Consideration of the Internal Control Structure in Financial Statement Audit) şi amendamentul ulterior, SAS78 publicat de AICPA(American Institute of Certified Public Accountants).Tabelul următor face o paralelă între standardele/framework-urile internaţionale privind controlul intern:

 

COBIT

SAC

COSO

SAS55/SAS78

Se adresează:

Managementului, utilizatorilor, auditorilor de sisteme informaţionale

Auditorilor interni

Managementului

Auditorilor externi

Controlul intern este:

Set de procese ce cuprind politici, proceduri, practici şi structuri organizatorice

Set de procese, subsisteme şi angajaţi

Proces

Proces

Obiective:

Eficienţa şi eficacitatea operaţională

Confidenţialitatea, integritatea şi disponibilitatea informaţiilor.

Încrederea în raportările financiare.

Respectarea reglementărilor legale.

Eficienţa şi eficacitatea operaţională

Încrederea în raportările financiare.

Respectarea reglementărilor legale.

Eficienţa şi eficacitatea operaţională.

Încrederea în raportările financiare.

Respectarea reglementărilor legale.

Încrederea în raportările financiare.

Eficienţa şi eficacitatea operaţională

Respectarea reglementărilor legale.

Componente

Domenii:

Planificare şi organizare

Achiziţie şi implementare

Distribuţie şi suport

Monitorizare

Componente

Mediul controlului

Proceduri de control(manuale sau automatizate)

Componente:

Mediul controlului

Managementul riscului

Activităţi

Informare şi comunicare

Monitorizare

Componente:

Mediul controlului

Riscul

Evaluarea Controlului

Informare şi comunicare

Monitorizare

Controlul intern vizează:

Tehnologia informaţională

Tehnologia informaţională

Întreaga organizaţie

Raportările financiare

Evaluarea controlului intern se face:

O perioadă de timp

Operioadă de timp

La un anumit moment

O perioadă de timp

Responsabilitatea organizării controlului intern:

Management

Management

Management

Management

 

Observaţi că fiecare din documentele prezentate în tabel contribuie într-un mod propriu la clarificarea conceptului de control intern în condiţiile utilizării tehnologiilor informaţionale.

La noi, “Controlul intern – ansamblul formelor de control exercitate la nivelul entitatii publice, inclusiv auditul intern, stabilite de conducere in concordanta cu obiectivele acesteia si cu reglementarile legale, in vederea asigurarii administrarii fondurilor in mod economic, eficient si eficace; acesta include, de asemenea, structurile organizatorice, metodele si procedurile.” OG nr. 119/1999, republicată.
Publicat pentru prima dată în 1996 de către ISACF şi ajuns astăzi la versiunea 4.1, COBIT reprezintă cadrul general de aplicabilitate a practicilor privind securitatea şi controlul tehnologiilor informaţionale, scopul său principal fiind cel de a răspunde nevoilor firmelor indiferent de sectorul în care acestea îşi desfăşoară activitatea.

Conform COBIT,

controlul intern reprezintă politicile, procedurile, practicile şi structurile organizatorice proiectate cu scopul de a oferi o asigurare rezonabilă în ceea ce priveşte atingerea obiectivelor firmei precum şi prevenirea, detectarea sau corectarea evenimentelor care ar putea afecta într-un mod negativ firma.

Definiţia dată de COBIT este o adaptare a celei dată de SAC:

o expunere a rezultatelor dorite cu scopul de a fi atinse prin implementarea unor măsuri de control specifice unui domeniu particular de acţiune a tehnologiilor informaţionale.

Acest document contribuie la creşterea importanţei acordată tehnologiilor informaţionale în cadrul activităţilor desfăşurate de către firme, subliniind obiectivele controlului intern în noile condiţii.

Resursele folosite în domeniul tehnologiilor informaţionale sunt clasificate conform COBIT astfel:

  • Date: nu doar reprezentări numerice sau sub formă de text ci şi obiecte(reprezentări grafice, sunet, imagini video)
  • Aplicaţii: suma procedurilor manuale şi automatizate folosite în prelucrarea datelor.
  • Tehnologia propriu-zisă: echipamente hardware, sistemele de operare, conectica de reţea etc.
  • Facilităţi: resursele folosite pentru a susţine sistemul informaţional
  • Resurse umane: aptitudinile individuale ale angajaţilor şi abilităţile acestora în ceea ce priveşte planificarea, organizarea, achiziţia, distribuţia, sprijinirea şi monitorizarea sistemului informaţional şi a serviciilor oferite de acesta.

Pentru a satisface obiectivele organizaţiei, informaţiile trebuie să respecte anumite criterii, care în documentul COBIT sunt denumite cerinţele informaţionale ale organizaţiei: eficacitatea, eficienţa, confidenţialitatea, integritatea, disponibilitatea, conformitatea şi realitatea informaţiilor.

În concluzie:

  • Pentru că vizează obiective de control, COBIT preia definiţia controlului din modelul COSO, iar definiţia obiectivelor controlului este preluată din Raportul SAC.
  • Nu include controale IT (ca în ISO 27001, de exemplu) ci obiective. 
  • COBIT trebuie implementat cu alte standarde la care o companie aderă, şi nu în mod singular.
  • Pentru că un audit stabileşte obiective de audit ce au drept scop verificarea obiectivelor controalelor implementate de management, COBIT nu poate fi folosit ca referential intr-un audit cu exceptia cazului în care compania auditată a adoptat acest framework.
  • Este foarte popular în America de Nord. Pe bătrînul continent acum se iţeşte.

3 gânduri despre “Revizia controalelor interne. Din nou COBIT

  1. Pingback: 2010 in review «

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s