Auditul aplicațiilor cu ajutorul COBIT?

Da, este posibil.

În cazul controalelor de la nivelul aplicațiilor, COBIT pornește de la premisa că proiectarea și implementarea lor este responsabilitatea IT (domeniul AI – Acquire and Implement). La baza acestor controale stau cerințele economice ale organizației, definite folosind criteriile informaționale descrise tot de COBIT. (Surprinzător sau nu, vom observa că Regulamentul 18 BNR spune același lucru……)

În schimb, responsabilitatea managementului la nivel operațional și a controlului nu mai revine IT ci responsabilului procesului economic în cauză. Altfel spus, IT-ul proiectează și pune în practică, dar specificațiile funcționale și cerințele controlului în cadrul aplicației sînt responsabilitatea economicului.

Pornind de aici, COBIT definește 6 obiective de control pentru controlul aplicațiior (în COBIT Framework, pagina 16):

    • AC1 Source Data Preparation and Authorisation
    • AC2 Source Data Collection and Entry
    • AC3 Accuracy, Completeness and Authenticity Checks
    • AC4 Processing Integrity and Validity
    • AC5 Output Review, Reconciliation and Error Handling
    • AC6 Transaction Authentication and Integrity

Recomandări cu privire la de ce, ce și cum pot fi proiectate și implementate controalele se regăsesc în ghidul COBIT and Application Controls – A Management Guide (Application Controls Defined, Design and Implementation of Application Controls, Operation and Maintenance of Application Controls, Application Controls and IT General Controls) respectiv COBIT Control Practices.

Din primul ghid mi-au rămas la suflet “key message”. Voi cita unul:

Key Message #10
Responsibility and accountability for operating and maintaining application controls are shared between business management and IT. Business management is accountable for monitoring the ongoing effectiveness of the application controls and for identifying and defining requirements for changes to application controls. IT is accountable for providing a reliable environment for operating the application and related automated application controls and for developing/delivering changes based on user requirements.

De partea cealaltă, auditorul are la dispoziție IT Assurance Guide: Using COBIT ce prezintă testele ce trebuie realizate asupra controalelor, inclusiv cele de la nivelul aplicaţiilor.

Mai rămîne de decis care este valoare auditului: observaţii adevărate şi recomandări la obiect VS. opinie pozitivă…:)

 

 

2 gânduri despre “Auditul aplicațiilor cu ajutorul COBIT?

  1. Un bun reminder Adi, un set de controale care de obicei trec neobservate (ca si cele generale de proces) tocmai datorita faptului ca sunt putin cam ascuse, intr-o zona unde de obicei se trece foarte repede cu vederea.

    Apreciază

  2. Coco,

    cu puţin efort se poate observa că lucrurile nu sînt deloc complicate pe cît se poate înţelege la prima vedere.
    În majoritatea firmelor pe unde m-am perindat ca auditor/consultant, procesele sînt undeva între 1 şi 2 din punct de vedere al maturităţii. Ar trebui să fie între 3 şi 4.
    Din păcate însă, este o mare diferenţă între ceea ce se spune că se face şi ceea ce se face în realitate.

    COBIT-ul, ca de altfel orice framework, îl asimilez hărţilor din GPS-ul maşinii: pot să îmi calculez traseul cel mai scurt, cel mai rapid, optim etc. Dar asta în funcţie de OBIECTIVUL meu, ca şofer/manager. Şi nu mă obligă nimeni să îl respect, dacă eu ştiu un drum mai bun!

    Pot să adaptez ce spune COBIT printr-o abordare top-down (aşa cum este scris), dar la fel de bine pot să lucrez şi bottom-up (ce am încercat să amintesc prin postul ăsta). Depinde de scop şi obiective.

    Apreciază

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s