® CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005
9/2/2005
1
Control objectives for information and related Technology ¾ Lezenswaardig: 1.
CobiT, Opkomst, ondergang en opleving van een raamwerk voor informatiebeheersing, Eddo Roos Lindgren, MAB mei
2005 ¾
Achtergronden “model”
¾
COSO = niet CobiT
9/2/2005
2
Corporate Governance ¾ Corporate Governance heeft betrekking op de besluitvormingscyclus binnen organisaties ¾ Besluitvorming en uitvoering kennen een drietal aspecten: 1. Maken van keuzes 2. Zorgdragen voor de uitvoering cf. keuzes 3. Verantwoording afleggen over zowel keuzes als de uitvoering 9/2/2005
3
Corporate Governance - Codes Gemeenschappelijke elementen: ¾ Rechten aandeelhouders - AvA ¾ Verantwoordelijkheid bestuur - RvB ¾ Verantwoordelijkheid raad van commisarissen - RvC ¾ Rol en positie audit-committees, interne auditfuncties en externe accountant ¾ Beloningsstructuur ¾ Interne risico- en beheersingssystemen (--code Tabaksblad + ICT risico’s!) 9/2/2005
4
COSO Internal Control – Integrated Framework
De samenstellende componenten zijn afgeleid uit de wijze waarop een manager invulling geeft aan het managementproces: ¾ ¾ ¾ ¾ ¾
Control environment Risk assesment Control activities Information and communication Monitoring
9/2/2005
5
COSO Internal Control – Integrated Framework
Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: – Effectiveness and efficiency of operations
– Reliability of financial reporting
– Compliance with applicable laws and regulations
9/2/2005
6
COSO Internal Control – Integrated Framework
Uitgangspunten (grondslagen): 1. Beheersmaatregelen zijn “ingebouwd in” processen 2. Internal control wordt uitgevoerd door mensen, die allen hun unieke achtergrond en eigen doelstellingen hebben
3. Ieder beheersingssysteem is feilbaar, want: – – – –
9/2/2005
Mensen maken fouten; Kosten/baten-overwegingen spelen een rol; Mensen kunnen tegengestelde belangen hebben; Management kan beheersmaatregelen “doorbreken”. 7
Corporate governance en interne beheersing Strategisch
Beleid formuleren
Informeren verantwoorden en toetsen
Corporate governance is het proces van beïnvloeding door belanghebbenden van de gang van zaken bij ondernemingen, zowel ter zake van besluitvorming als ter zake van de uitvoering van het beleid
Inrichten
Beleid Operationeel
Toetsen
Inrichten
Uitvoeren
Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: effectiveness and efficiency of operations reliability of financial reporting compliance with applicable laws and regulations
9/2/2005
8
(IT governance) kwaliteit van informatie
9/2/2005
9
COBIT = IT governance • • • •
Rule based – normatief “model” 34 high level control objectives. Indien toegepast dan mag de proceseigenaar ervan uit gaan dat er sprake is van adequate beheersing van de IT environment 318 detailed control objectives! Business orientation (effectiviteit en efficientie!)
Resultaat “gemene” deler van: ISO, ISACA,COSO,NIST,AICPA et cetera
9/2/2005
10
CobiT: 4 domeinen Plan, do, check, act High level control objectives
1
2 9/2/2005
3 11
P01: Define a strategic IT plan Detailed control objectives • IT as Part of the Organisation’s Long-and ShortRange Plan – Volgt nauwkeurig normatief geformuleerd doel of te bereiken resulaat binnen IT actviteit
• IT Long-Range Plan • IT Long-Range Planning — Approach and Structure • IT Long-Range Plan Changes • Short-Range Planning for the IT Function • Communication of IT Plans • Monitoring and Evaluating of IT Plans • Assessment of Existing Systems 9/2/2005
12
CobiT: domeinen (2)
9/2/2005
13
CobiT: domeinen (3)
9/2/2005
14
CobiT: domeinen (4)
9/2/2005
15
Verschillen ?
9/2/2005
COSO
CobiT
Management activities
Internal control
IT control
Entity objective setting
Niet
Wel
Establishing control environment factors
Wel
Wel
Activity objective setting
Niet
Wel
Risk Id en analysis
Wel
Wel
Risk management
Niet
Wel
Conducting control act
Wel
Wel
Information, communication
Wel
Wel
Monitoring
Wel
Wel
Corrective actions
Niet
Wel 16
CobiT for SoX 302 / 404
9/2/2005
17
Gemeenschappelijke elementen gebaseerd op PCAOB draft auditing standard 7 okt 2003
Basis voor Reliable financial reporting 9/2/2005
18
Geintegreerd framework
34 high level control Toetsing andere standaarden: ITIL BS - 17799
9/2/2005
19
Documentatie eis – beheersen financieel gerelateerde processen Processen
Activiteit
gegevens
Risico
gevolg
Maatregel repressief
Grootboek muteren Boeken correcties Maken financieel overzicht Maken management rapport
handelingen
Kernentiteit + belangrijkste gegevens elementen
Juistheid Volledigheid Rechtmatigheid Tijdigheid Integriteit gegevens
Financieel Kwaliteit + andere belangrijke aspecten bedrijfs voering
User Application
controls
Maatregel preventief
•Functie scheidingen •Begroting •Tarieven •Richtlijnen •General controls
In CobiT oorspronkelijk niet opgenomen Æ 9/2/2005
20
Beheersing FA – General Ledger & Reporting Cycle Proces grootboek muteren
grootboek
dagboek
Processen
Grootboek muteren
Grootboek muteren
Boeking
Boeking
sub administratie
Level 0 DFD
Treasurer
proef balans
Activiteit
boeken
gegevens Inkoop Verkoop Voorraden Productie tec
risico
gevolg
Juistheid Volledigheid Rechtmatigheid Tijdigheid Integriteit Beschikbaarheid
Financieel Kwaliteit + andere belangrijke aspecten bedrijfs voering
Vertouwelijkheid
Maatregel repressief
User en of Applicati on
controls
Maatregel preventief
•Functie scheidingen •Richtlijnen •General controls
Welke 9/2/2005
21
® CobiT Dank u wel voor uw aandacht!
9/2/2005
22
