Ghidul General (Guidelines) de Realizare a Auditului Sistemelor Informatice Conform COBIT

COBIT (Control Objectives for Information and related Technology ) este o platforma standard pentru controlul tehnologiei informatiei. COBIT este un set de obiective de control în domeniul informaticii, acceptate pe plan internaţional, care se pot aplica în general şi care sunt recunoscute în domeniul controlului de securitate şi reglementare informatică.

În cursul procesului de elaborare a standardului COBIT, s-au luat în calcul mai ales considerente ale trei grupuri profesionale diferite :

• Pentru persoanele de conducere la nivel înalt oferă asistenţă în privinţa managementului de risc al mediului informatic aflat în mişcare continuă, respectiv în deciziile cu privire la investiţiile necesare pentru crearea controalelor.

• Pentru utilizatori asigură controlul şi securitatea serviciilor informatice.

• Pentru controlorii sistemului de informaţii creează o bază uniformă pentru evaluarea controalelor interne, respectiv pentru activităţile de estimare şi consultare pentru management.

CobiT permite dezvoltarea de politici şi bune practici pentru controlul informaţiei în cadrul unei organizaţii, pornind de la premiza că tehnologia informaţiei trebuie să livreze informaţia de care organizaţia are nevoie pentru a-şi atinge obiectivele. CobiT tratează de asemenea cerinţele de securitate şi de calitate ale organizaţiei, furnizând şapte criterii care pot fi folosite pentru a defini generic cerinţele afacerii faţă de tehnologia informaţiei: eficienţă, eficacitate, disponibilitate, integritate, confidenţialitate, credibilitate şi conformitate.

COBIT & GHIDUL GENERAL DE AUDIT

Ghidul de audit ofera un instrument complementar, pentru a permite o aplicare cat mai usoara a Obiectivelor Cadru şi de Control COBIT. Obiectivul Ghidului de Audit este de a oferi o structură simplă pentru audierea si evaluarea controlului general pe baza practicii care se încadrează în regimul general COBIT.

Obiectivele auditului variază considerabil de la o organizaţie la alta şi există multe tipuri de practicieni implicaţi , de exemplu:auditorii externi, auditori interni si evaluatori de calitate. Din aceste motive, Ghidului de Audit este generic si de de nivel înalt în structura sa.

Auditorii au o cerinţă generală de a asigura procesul de management şi de afaceri al proprietarilor si o recomandare privind controalele intr-o organizatie ;au cerinte pentru identificarea deficienţelor semnificative în cazul în care există în acele controale;şi, în sfârşit, conselierea executorilor asupra actiunilor corective care ar trebui să fie

luate.

COBIT prevede clar politicile si buna practica de securitate şi de control in informaţii şi tehnologie. Prin urmare, Ghidul auditului se bazeaza ferm pe obiectivele de control si nu are la baza opinia auditorului din concluzii ci anumite criterii concrete si reale.

Acest Ghid de realizare a auditului ofera îndrumări pentru pregătirea planurilor de audit care sunt integrate cu Cadru de Control COBIT si Obiective de Control detaliate, insa

nu pot fi aplicate peste tot la fel,ci vor trebui să fie adaptate pentru medii specifice.

Există, totuşi, patru lucruri care spun ca Ghidul de realizare nu este:

1.Ghidul de audit nu este destinat ca un instrument pentru crearea globală a planului de audit si pentru acoperirea unei serie de factori incluzand si trecerea punctelor slabe, a riscurilor de organizare,a incidentele cunoscute,a noilor evoluţii şi a alegerilor strategice.

Deşi Obiectivele Cadru şi cele de Control furnizeaza direcţii, ghidul pentru o activitate exacta este inafara domeniului de aplicare a Ghidului de Audit.

2. Ghidul de Audit nu este destinat ca un instrument de baza de predare a auditului, chiar dacă include generalitati acceptate si de baza din Auditul IT si cel general.

3. Ghidul de Audit nu încearca sa explice în detaliu modul de planificare,de evaluare,

de analiză, iar documentaţia poate fi folosita pentru sprijinirea şi automatizarea auditului in procesele de IT.

Exista un potenţial enorm a tehnologiei informaţiei pentru a fi utilizata in vederea sporirii eficienţei şi eficacităţii controalelor de audit, dar ghidul pe acest subiect este, de asemenea, în afara domeniului de aplicare a Ghidului de Audit.

4. Ghidul de audit nu este complet si nici definitiv, ci va evolua împreună cu COBIT şi

Obiectivele sale de Control detaliate.

Ghidul de realizare a Auditului conform COBIT permite auditorului de a revizui procesele specifice IT împotriva Obiectivelor de Control recomandate pentru a asigura

managementul unde controalele sunt suficiente sau pentru a informa managementul în cazul în care procesele trebuie să fie îmbunătăţite.