Voi continua poveştile cu aspectele de bază legat ede audit. Principala sarcină a unui CISA este să revizuiască controalele interne puse în practică de o organizaţie. În zona IT, de cele mai multe ori în loc de control intern se foloseşte sintagma “măsură de securitate”! Dar dacă aruncăm o privire la Anexa A a standardului ISO 27001 vom oberva că acolo sînt prezentate “controls”.

Despre control se poate spune că reprezintă, la nivel fundamental, acele acţiuni care au fost proiectate cu scopul de a asigura succesul unei entităţi în atingerea obiectivelor propuse. Dacă entitatea este o organizaţie economică, controlul reprezintă acea manieră de conducere prin care să se obţină cele mai bune rezultate din partea angajaţilor.

La nivel internaţional, ultimii ani au fost marcaţi de o creştere a atenţiei pe care auditorii, managerii, contabilii şi organismele cu atribuţii de reglementare a domeniului au acordat-o controlului intern. Efortul depus pentru a defini şi evalua cât mai exact controlul intern în condiţiile utilizării tehnologiilor informaţionale s-a concretizat în publicarea a cinci documente care acoperă aria de acţiune a acestui concept: COBIT(Control Objectives for Information and Related Technology), publicat de ISACA, SAC(Systems Auditability and Control) publicat de către IIARF(Institute of Internal Auditors Research Foundation ), Internal Control-Integrated Framework, publicat de COSO(Committee of Sponsoring Organizations of the Treadway Commission) şi SAS55 (Consideration of the Internal Control Structure in Financial Statement Audit) şi amendamentul ulterior, SAS78 publicat de AICPA(American Institute of Certified Public Accountants).Tabelul următor face o paralelă între standardele/framework-urile internaţionale privind controlul intern:

Observaţi că fiecare din documentele prezentate în tabel contribuie într-un mod propriu la clarificarea conceptului de control intern în condiţiile utilizării tehnologiilor informaţionale.

La noi, “Controlul intern – ansamblul formelor de control exercitate la nivelul entitatii publice, inclusiv auditul intern, stabilite de conducere in concordanta cu obiectivele acesteia si cu reglementarile legale, in vederea asigurarii administrarii fondurilor in mod economic, eficient si eficace; acesta include, de asemenea, structurile organizatorice, metodele si procedurile.” OG nr. 119/1999, republicată.
Publicat pentru prima dată în 1996 de către ISACF şi ajuns astăzi la versiunea 4.1, COBIT reprezintă cadrul general de aplicabilitate a practicilor privind securitatea şi controlul tehnologiilor informaţionale, scopul său principal fiind cel de a răspunde nevoilor firmelor indiferent de sectorul în care acestea îşi desfăşoară activitatea.

Conform COBIT,

controlul intern reprezintă politicile, procedurile, practicile şi structurile organizatorice proiectate cu scopul de a oferi o asigurare rezonabilă în ceea ce priveşte atingerea obiectivelor firmei precum şi prevenirea, detectarea sau corectarea evenimentelor care ar putea afecta într-un mod negativ firma.

Definiţia dată de COBIT este o adaptare a celei dată de SAC:

o expunere a rezultatelor dorite cu scopul de a fi atinse prin implementarea unor măsuri de control specifice unui domeniu particular de acţiune a tehnologiilor informaţionale.

Acest document contribuie la creşterea importanţei acordată tehnologiilor informaţionale în cadrul activităţilor desfăşurate de către firme, subliniind obiectivele controlului intern în noile condiţii.

Resursele folosite în domeniul tehnologiilor informaţionale sunt clasificate conform COBIT astfel:

• Date: nu doar reprezentări numerice sau sub formă de text ci şi obiecte(reprezentări grafice, sunet, imagini video)
• Aplicaţii: suma procedurilor manuale şi automatizate folosite în prelucrarea datelor.
• Tehnologia propriu-zisă: echipamente hardware, sistemele de operare, conectica de reţea etc.
• Facilităţi: resursele folosite pentru a susţine sistemul informaţional
• Resurse umane: aptitudinile individuale ale angajaţilor şi abilităţile acestora în ceea ce priveşte planificarea, organizarea, achiziţia, distribuţia, sprijinirea şi monitorizarea sistemului informaţional şi a serviciilor oferite de acesta.

Pentru a satisface obiectivele organizaţiei, informaţiile trebuie să respecte anumite criterii, care în documentul COBIT sunt denumite cerinţele informaţionale ale organizaţiei: eficacitatea, eficienţa, confidenţialitatea, integritatea, disponibilitatea, conformitatea şi realitatea informaţiilor.

În concluzie:

• Pentru că vizează obiective de control, COBIT preia definiţia controlului din modelul COSO, iar definiţia obiectivelor controlului este preluată din Raportul SAC.
• Nu include controale IT (ca în ISO 27001, de exemplu) ci obiective. 
• COBIT trebuie implementat cu alte standarde la care o companie aderă, şi nu în mod singular.
• Pentru că un audit stabileşte obiective de audit ce au drept scop verificarea obiectivelor controalelor implementate de management, COBIT nu poate fi folosit ca referential intr-un audit cu exceptia cazului în care compania auditată a adoptat acest framework.
• Este foarte popular în America de Nord. Pe bătrînul continent acum se iţeşte.