Pentru cei care depăşesc sau vor fi nevoiţi să depăşească sfera tehnicului.

Control Objectives for Information and Related Technologies!

Este un cadru de lucru pentru control intern! Şi nu este un produs academic. Insist mult pentru acest lucru.

Cînd se vorbeşte de control intern în cadrul unei companii se referenţiază modelul COSO – http://www.coso.org/. (nici ăsta nu este un produs academic. Din contră, a fost adoptat de mediul academic). În esenţă modelul COSO spune că sistemul de control intern trebuie să atingă următoarele obiective: eficienţă şi eficacitate în operare, încredere în raportările financiare şi conformitatea cu actele normative. Sînt referenţiate   5 elemente considerate de bază  pentru controlul intern:

• mediul controlului
• evaluarea riscurilor
• activităţile supuse controlului
• informarea şi comunicarea
• monitorizarea

Destul de abstract….. De la începutul anilor 70 şi pînă în prezent controlul intern este afectat de tehnologiile informaţionale!

Astfel, la jumătatea anilor 90 (1994, cred…) apare prima versiune de COBIT, sub forma unei colecţii de “best practices” pentru controale IT. De aici a evoluat firesc spre adoptarea sa de către mulţi auditori (interni/externi) care aveau un “benchmarking” pentru misiuni. Pentru că a crescut complexitatea tranzacţiilor financiare şi de aici firesc, riscul erorilor şi riscul de audit!

S-a ajuns astăzi le versiunea 4.1 şi probabil următoarea versiune va avea schimbări de substanţă dacă citim printre rînduri strategia ISACA.

La baza COBIT stau activităţile din IT grupate pe procese (34). La rîndul lor, procesele sînt grupate în patru domenii: Planificare şi Organizare; Achiziţie şi implementare; Furnizare şi suport; Monitorizare şi evaluare. Procesele au asociate obiective de control!

Partea pe care eu o consider ca fiind minunată constă în descrierea legăturii dintre obiectivele economice şi acel CE din IT care te ajută să le atingi! Se mai adaugă şi informaţii despre CUM pot fi cuantificate/măsurate obiectivele, care sînt activităţile implicate, care sînt livrabile şi CINE răspunde!

Orice proces are nevoie de un mecanism de control! Iar la nivel operaţional de procese ne lovim.

Nu de puţine ori am fost întrebat cît costă. Chiar înainte de a fi întrebat la CE ajută. Majoritatea companiilor nu au nevoie de TOT,  şi de la început, ce spune COBIT! Se joacă în industrii diferite, pe pieţe diferite, cu reglementări diferite, cu riscuri diferite, cu un nivel al maturităţii managementului diferit! Prin urmare şi costul implementării este diferit! COBIT-ul nu este nici exhaustiv, nici prescriptiv! Este ILUSTRATIV. Subiectivismul nu poate fi eliminat din nici un domeniu. COBIT nu impune nici unei firme CUM să lucreze! Descrie, foarte clar, CE ar trebui făcut. Mai departe fiecare face cum crede de cuviinţă!

Executives & Boards

Board Briefing on IT Governance, 2nd Edition

Building the Business Case for COBIT® and Val IT™: Executive Briefing

Information Security Governance: Guidance for Boards of Directors and Executive Management

Val IT

Business and Technology Management

COBIT

Audit, Control & Security Professional

IT Governance Implementation Guide: Using COBIT and Val IT,

COBIT

COBIT Online

COBIT Control Practices,

COBIT Security Baseline

COBIT Training

COBIT Quickstart,

COBIT Mappings

COBIT User Guide for Security Managers

COBIT and Application Controls: A Management Guide

IT Assurance Guide: Using COBIT

IT Control Objectives for Sarbanes-Oxley