Art.2 al Regulamentului defineşte, clar controlul intern:

“d) control intern – proces continuu, destinat să furnizeze o asigurare rezonabilă pentru îndeplinirea obiectivelor de performanţă – eficacitatea şi eficienţa activităţilor desfăşurate -, de informare – credibilitatea, integritatea şi furnizarea la timp a informaţiilor financiare şi ale celor necesare conducerii – şi de conformitate – conformarea cu legile şi reglementările aplicabile, precum şi cu politicile şi procedurile interne – şi care, pentru a fi eficace, necesită implementarea următoarelor 3 funcţii: funcţia de control al riscurilor, funcţia de conformitate şi funcţia de audit intern. Controlul intern include, de asemenea, organizarea contabilităţii, tratamentul informaţiilor, evaluarea riscurilor şi sistemele de măsurare a acestora;”

Mai apoi:

“o) risc aferent tehnologiei informaţiei (IT) – subcategorie a riscului operaţional care se referă la riscul actual sau viitor de afectare negativă a profiturilor şi capitalului, determinat de inadecvarea strategiei şi politicii IT, a tehnologiei informaţiei şi a procesării informaţiei, cu referire la capacitatea de gestionare, integritatea, controlabilitatea şi continuitatea acesteia, sau de utilizarea necorespunzătoare a tehnologiei informaţiei;”

“Art. 28. – (1) În ceea ce priveşte informarea prevăzută la art. 24 lit. d), instituţiile de credit trebuie să dispună de sisteme informaţionale credibile, care să acopere toate activităţile lor.

   (2) În sensul alin. (1), instituţiile de credit trebuie să organizeze gestiunea informaţiilor cu respectarea prevederilor legale incidente.

   (3) Instituţiile de credit trebuie să asigure existenţa datelor financiare, operaţionale şi de conformitate, adecvate şi complete, pentru desfăşurarea activităţii lor.

   (4) Instituţiile de credit trebuie să dispună de informaţii despre piaţă referitoare la evenimente şi condiţii care sunt relevante pentru luarea deciziilor. Informaţiile trebuie să fie credibile, relevante, complete, oportune, accesibile şi furnizate într-un format consecvent.

   (5) În contextul alin. (2), instituţiile de credit trebuie să respecte cerinţele organizaţionale şi de control intern legate de procesarea electronică a informaţiilor şi să asigure existenţa unei piste de audit adecvate.

   (6) Sistemele informaţionale ale instituţiilor de credit, inclusiv cele care păstrează şi utilizează date în format electronic, trebuie să fie sigure, monitorizate independent şi susţinute de planuri alternative corespunzătoare, care să le permită continuarea activităţii în cazul apariţiei unor situaţii neprevăzute. Replicarea sistemelor informatice critice trebuie asigurată fie prin existenţa unor sisteme de rezervă situate într-o altă locaţie a instituţiei de credit – centru de back-up -, fie prin intermediul unui furnizor extern de servicii.

   (7) Funcţionarea planurilor alternative prevăzute la alin. (6) trebuie testată periodic prin simularea operaţiunilor pe sistemele de rezervă.

   (8) Instituţiile de credit trebuie să controleze eficient riscurile implicate de utilizarea sistemelor informatice. În acest scop, se vor efectua atât controale generale la nivelul întregului sistem informatic, cât şi controale la nivelul fiecărei aplicaţii informatice din componenţa acestuia.

   (9) Controalele generale trebuie efectuate asupra infrastructurii hardware şi de comunicaţii a sistemelor informatice – sisteme mainframe, sisteme client/server, routere, echipamente de reţea, staţii de lucru ale utilizatorilor finali, precum şi asupra sistemelor de operare care asigură funcţionarea acestora. Controalele au drept scop verificarea funcţionării continue şi corespunzătoare a acestora.

   (10) Controalele generale includ şi verificarea existenţei şi aplicării unei strategii de informatizare, a procedurilor interne de salvare şi restaurare a datelor, a politicilor de efectuare a achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi logic la resursele sistemului informatic.

   (11) Controalele efectuate la nivelul aplicaţiilor informatice reprezintă proceduri de validare şi control incluse în codul aplicaţiilor informatice utilizate, precum şi proceduri manuale de verificare a modului de procesare a tranzacţiilor şi a efectuării operaţiunilor. ”

Cu ce vine COBIT?

În primul rînd este dezvoltat conform COSO care spune de prin 1992 ce spune regulamentul legat de control intern.

În al doilea rînd oferă ghiduri pentru management şi responsabilii de procese economice.

În al treilea rînd oferă un set generic de procese IT aliniate proceselor economice.

În al patrulea rînd oferă cerinţele pe care managementul trebuie să le aibă în vedere pentru controlarea proceselor IT – obiectivele controlului. Cei de la nivel operaţional ştiu astfel ce control trebuie unui anumit proces.

COBIT ofera exemple de intrări si ieşiri pentru ficare proces în partea. Este flexibil şi nu este prescriptiv, Oferă în plus o descriere a responsabilităţilor celor care sint sau pot fi implicati într-un proces.

Responsabilitatea  pentru  controalele  aplicaţiilor  este  o  responsabilitate  comună  atît
domeniului economic, cît şi ITului. Cei din economic răspund de definirea corespunzătoare a cerinţelor funcţionale şi de control, de utilizarea serviciilor automatizate în mod potrivit . ITul este responsabil pentru automatizarea si implementarea cerinţelor funcţionale şi de control, de stabilirea elementelor de gestiune pentru a menţine integritatea controalelor aplicaţiilor.