28.11.2013 - ISACA Venice Chapter
1 COBIT® 5 for Assurance
Introduzione a COBIT 5 for Assurance
Andrea Pontoni
28.11.2013 - ISACA Venice Chapter
2 COBIT® 5 for Assurance
SPONSOR DELL’EVENTO
SPONSOR DI ISACA VENICE CHAPTER
CON IL PATROCINIO DI
28.11.2013 - ISACA Venice Chapter
3 COBIT® 5 for Assurance
Agenda
• Obiettivi
• Assurance
Definizione
Drivers dell’Assurance
Vantaggi di COBIT 5 for Assurance
Target Audience di COBIT 5 for Assurance
• Punti di vista sull’Assurance
The Assessment Perspective
The Assurance Function Perspective
• Come COBIT 5 for Assurance si relaziona con gli altri standards
28.11.2013 - ISACA Venice Chapter
4 COBIT® 5 for Assurance
Obiettivi
Al termine di questa presentazione, sarai in grado di:
Comprendere i drivers, i vantaggi di COBIT 5 for Assurance ed i relativi destinatari nell’ambito dell’assurance
Comprendere gli elementi fondanti delle attività di assurance
Capire come utilizzare gli “enablers” COBIT 5 per governare e gestire le attività di assurance (Assurance Function Perspective)
Comprendere come svolgere attività di assurance nell’ambito degli “enablers” COBIT 5 nella realtà aziendale (Assessment Perspective)
Comprendere come “COBIT 5 for Assurance” si relaziona con gli altri standard
28.11.2013 - ISACA Venice Chapter
5 COBIT® 5 for Assurance
Assurance: definizione e struttura
28.11.2013 - ISACA Venice Chapter
6 COBIT® 5 for Assurance
Definizione di Assurance
L’Assurance ha luogo nel momento in cui, in seguito ad un rapporto di responsabilità tra due o più parti, un revisore IT o un professionista di tale settore redige una comunicazione scritta che espone delle conclusioni circa le materie in oggetto che interessano la parte responsabile.
Assurance si riferisce quindi a tutta quella serie di attività volte a fornire al lettore o comunque al destinatario del report un livello di garanzia e sicurezza a riguardo dei temi in oggetto.
Es.
valutazione del valore effettivo fornito dall’IT all’azienda;
revisione dei controlli interni;
aderenza agli standard e alle prassi definite.
28.11.2013 - ISACA Venice Chapter
7 COBIT® 5 for Assurance
Drivers for Assurance
I principali drivers dell’Assurance, nelle sue varie tipologie, comprendono:
fornire alle parti interessate opinioni motivate a riguardo della governance e del management dell’IT in conformità agli obiettivi dell’assurance
definire gli obiettivi dell’assurance in linea con gli obiettivi dell’azienda
rispetto delle normative o degli accordi contrattuali alle aziende a cui fornire assurance nell’ambito dei loro contratti IT
28.11.2013 - ISACA Venice Chapter
8 COBIT® 5 for Assurance
Drivers for Assurance
Per raggiungere tali obbiettivi, COBIT 5 for Assurance offre:
guida e supporto all’utilizzo del framework di COBIT 5 per istituire e sostenere all’interno dell’azienda una funzione che realizzi le attività di assurance (The Assurance Function Perspective)
un approccio strutturato per realizzare attività di assurance sugli enablers aziendali (ovvero I COBIT 5 enablers, ad esempio, i processi, l’informazione, le strutture organizzative) (The Assessment Perspective)
illustrare tale approccio strutturato con vari esempi concreti di programmi di assurance
28.11.2013 - ISACA Venice Chapter
9 COBIT® 5 for Assurance
Vantaggi di COBIT 5 for Assurance
COBIT 5 framework consistente, coerente, strutturato, contestualizzato in ambito IT, su cui quindi poter far ampio affidamento nelle attività di assurance
COBIT 5 linguaggio comune sia per i business - IT managers, impegnati per accrescere il valore dell’IT per il business, che per i professionisti nel campo dell’assessment; da ciò quindi deriva maggiore facilità di interazione tra tutti i soggetti coinvolti in attività di assurance
COBIT 5 for Assurance offre ai professionisti dell’assurance uno strumento utile per ulteriori finalità, tra cui:
avere un riferimento sulle attuali good practices dell’assurance,
supporto per l’utilizzo dei concetti COBIT 5 nell’ambito di attività di IT assurance,
ottenere una misura dell’entità del valore obiettivo raggiunto per l’azienda
28.11.2013 - ISACA Venice Chapter
10 COBIT® 5 for Assurance
Target Audience di COBIT 5 for Assurance
L’insieme dei destinatari di COBIT 5 for Assurance è vasto, e comprende:
Professionisti nel campo dell’assurance a vari livelli di governo e gestione
Boards e Audit Committees, in quanto stakeholders che commissionano attività di assurance
Business e IT managers, in quanto parti in causa
Stakeholders esterni, quali ad esempio auditors esterni, regolatori e clienti
Tale insieme è appunto vasto, come pure le motivazioni ed i vantaggi dell’utilizzo di tale framework per ciascun singolo gruppo di destinatari.
Es. Boards e executive management:
Maggiore comprensione del ruolo e delle responsabilità con riferimento all’istituzione di attività di assurance
Ottenere un’affidabile garanzia sulla governance e sul management IT e sulle modalità in cui questi contribuiscono all’accrescimento del valore aziendale
I professionisti dell’Assurance hanno inoltre a disposizione specifici standard
da seguire nel caso della fornitura di servizi (consulenza) di assurance.
28.11.2013 - ISACA Venice Chapter
11 COBIT® 5 for Assurance
La struttura dell’Assurance
Assurance Process the assurance professional will undertake
Suitable Criteria
against which the
subject matter will
be assessed
Three-party
Relationship
involving an accountable
party for the subject
matter, an assurance
professional and an
intended user
Accountable
Party
User
Assurance
Professional
Subject Matter
over which the assurance is to be
provided
Conclusion
issued by the
assurance
professional
A. Define Scope of the
Assurance Initiative
Provides Comfort To
Performs
Governs and Manages
Execute the
assurance
engagement
C. Communication
B. Understand the Subject Matter, Set
Suitable Assessment Criteria and
Assess
28.11.2013 - ISACA Venice Chapter
12 COBIT® 5 for Assurance
COBIT 5 Enablers
Fattori che, individualmente o collettivamente, determinano o influenzano il buon funzionamento o meno, nel nostro caso, della governance e del management dell’IT.
I COBIT 5 Enablers sono sette:
Principi, policies e framework
Processi
Strutture organizzative
Cultura, etica e comportamento
Informazione
Servizi, infrastruttura e applicazioni
Persone, abilità e competenze
28.11.2013 - ISACA Venice Chapter
13 COBIT® 5 for Assurance
Prospettive sull’Assurance
28.11.2013 - ISACA Venice Chapter
14 COBIT® 5 for Assurance
Due punti di vista distinti forniti da COBIT 5
In COBIT 5 for Assurance, sono individuati due punti di vista sull’Assurance:
Assurance Function Perspective -> descrive ciò che è necessario all’interno di un’azienda per costituire e sostenere delle funzioni che svolgono attività di Assurance. COBIT 5 è un framework end-to-end, il che significa che considera la fornitura del servizio e l’utilizzo dell’Assurance come parte del governo e della gestione complessiva dell’azienda IT.
Assessment Perspective -> descrive la materia oggetto dell’Assurance. In questo caso, l’oggetto dell’Assurance è l’azienda IT, descritta in ampio dettaglio nel framework COBIT 5 e nella guida COBIT 5: Enabling Processes, quindi non è coperta nel dettaglio nella guida sull’Assurance.
28.11.2013 - ISACA Venice Chapter
15 COBIT® 5 for Assurance
Assessment
PerspectiveAssurance
COBIT 5 Enablers for the Assurance
Function
COBIT 5 as Subject Matter to be
Assessed
Principles, Policies and Frameworks
ProcessesOrganisational
Structures
Information
Services,
Infrastructure
and
Applications
Culture, Ethics
and Behaviour
People, Skills
and
Competences
Principles, Policies and Frameworks
ProcessesOrganisational
Structures
Information
Services,
Infrastructure
and
Applications
Culture, Ethics
and Behaviour
People, Skills
and
Competences
Assurance
Function
Perspective
Due punti di vista distinti forniti da COBIT 5
28.11.2013 - ISACA Venice Chapter
16 COBIT® 5 for Assurance
The Assessment Perspective
28.11.2013 - ISACA Venice Chapter
17 COBIT® 5 for Assurance
La prospettiva dell’Assessment ha a che fare con la reale materia oggetto di Assurance, vale a dire, eseguire concreti assurance engagements, nei quali occorre fornire Assurance su materie specifiche dell’IT.
Questo ambito è ampiamente descritto all’interno del framework COBIT 5 e nella guida COBIT 5: Enabling Processes; perciò, la guida sull’Assurance descrive solo ad alto livello come un professionista dell’Assurance possa impostare le attività di assurance su materie specifiche
La sezione 2B della guida, in particolare, fornisce:
Una descrizione dettagliata dei processi “core” di assurance, che include un livello di dettaglio ulteriore sui processi MEA01, MEA02, MEA03 di COBIT 5
Un’approccio generale su come impostare attività di Assurance su COBIT 5 Enablers.
28.11.2013 - ISACA Venice Chapter
18 COBIT® 5 for Assurance
Core Assurance Processes
MEA01 Monitor, evaluate and assess performance and conformance MEA02 Monitor, evaluate and assess the system of internal control MEA03 Monitor, evaluate and assess compliance with external requirements. Es. MEA02 - Management Practices (process practices invece di control objectives): MEA02.01 - Monitor internal controls. MEA02.02 - Review business process controls effectiveness. MEA02.03 - Perform control self-assessments. MEA02.04 - Identify and report control deficiencies. MEA02.05 - Ensure that assurance providers are independent and qualified. MEA02.06 - Plan assurance initiatives. MEA02.07 - Scope assurance initiatives. MEA02.08 - Execute assurance initiatives.
28.11.2013 - ISACA Venice Chapter
19 COBIT® 5 for Assurance
Metodologia Standard per l’Assurance
L’approccio complessivo per l’engagement è diviso in tre fasi:
A. Determinare l’ambito e il perimetro dell’intervento (stakeholders e relativi driver, obiettivi dell’assessment e rischi rilevanti, individuare enablers interessati )
B. Comprendere gli enablers coinvolti, stabilire i criteri dell’assessment ed eseguire l’assessment
C. Comunicare gli esiti e i report finali
Pianificazione degli interventi di Assurance:
utilizzo degli obiettivi di business come punto di partenza
Risk Assessment / Analisi del mancato raggiungimento di tali obiettivi
28.11.2013 - ISACA Venice Chapter
20 COBIT® 5 for Assurance
Metodologia Standard per l’Assurance
28.11.2013 - ISACA Venice Chapter
21 COBIT® 5 for Assurance
COBIT 5 e Obiettivi di Controllo
In COBIT 4.1 gli Obiettivi di Controllo erano definiti per ciascun processo e sotto-processo COBIT
In COBIT 5 il termine ed il concetto di “obiettivo di controllo” sparisce: al suo posto subentrano i concetti di process/management practices e process activities
Le process/management practices descrivono che cosa un processo ha bisogno di raggiungere per realizzare i suoi obbiettivi in supporto agli obiettivi aziendali
Similmente, le process activities vanno ulteriormente del dettaglio di come le cose dovrebbero accadere (equivalente delle control activities)
Concettualmente, l’obiettivo di controllo in COBIT 5 consiste semplicemente in:
Gli obiettivi del processo in esame sono raggiunti in modo efficace ed efficiente
28.11.2013 - ISACA Venice Chapter
22 COBIT® 5 for Assurance
COBIT 5 e Obiettivi di Controllo - Esempio
COBIT 4.1 – AI6.3 COBIT 5 - BAI06.2
“Emergency Changes” “Manage emergency changes”
Establish a process for defining, raising, testing, documenting, assessing and authorizing emergency changes that do not follow the established change process
Carefully manage emergency changes to minimise further incidents and make sure the change is controlled and takes place securely. Verify that emergency changes are appropriately assessed and authorised after the change.
28.11.2013 - ISACA Venice Chapter
23 COBIT® 5 for Assurance
Confronto con Assurance Guide using COBIT 4.1
Maggiore focus sugli Enablers in COBIT 5 rispetto a COBIT 4.1
Nuovi specifici processi di assurance (MEA01, MEA02, MEA03)
Prospettiva specifica sull’impostazione delle funzioni aziendali che garantiscono le attività di assurance (Assurance Function Perspective)
COBIT 5 framework diverso da COBIT 4.1 (management practices vs control objectives) da cui diversa costruzione dell’engagement
28.11.2013 - ISACA Venice Chapter
24 COBIT® 5 for Assurance
COBIT 5 Assurance vs enablers – BYOD esempio
Policies, Principi e Framework BYOD concordata con il dipendente e Mobile Acceptable Use Policy (MAUP)
Processi Processo chiave “Manage Risk and Change”, altri ruolo di supporto
Strutture organizzative Responsabile Privacy e Business Managers per attività decisionali
Cultura, Etica e Comportamento Rispetto delle policy e miglioramento della qualità
Flussi informativi Documentazione Risk Analysis e Business Case
Capacità di servizio Mobile Device Management
Abilità e competenze Consapevolezza del rischio
28.11.2013 - ISACA Venice Chapter
25 COBIT® 5 for Assurance
COBIT 5 Risk Culture - Esempio
Deve riconoscere il valore apportato da audit e risk assessment
Deve mantenere le comunicazioni attive, positive e costruttive
Deve promuovere l'apertura; fornire finanziamenti, conoscenze e il tempo, e dimostrare la volontà di risanare la causa principale
Deve bilanciare soluzioni a breve termine con soluzioni sostenibili a lungo termine
Deve promuovere la consapevolezza di rischio proattiva ed avere la cultura e l'impegno per sostenerle
Deve definire chiaramente la propensione al rischio e garantire un adeguato livello di dibattito nell'ambito delle ordinarie attività di business.
28.11.2013 - ISACA Venice Chapter
26 COBIT® 5 for Assurance
Tipologie di Assurance
Nell’ambito delle varie attività di Assurance possiamo effettuare:
Maturity Assessment – Utilizzo del COBIT V4.1 Maturity Model
Capability Assessment – Utilizzo del COBIT Process Assessment Model V5
Assessment su efficacia ed efficienza dei controlli
Sviluppare un audit program custom utilizzando la guida COBIT 5 Process Reference e la guida COBIT 5 for Assurance
Utilizzo degli opportuni ISACA Audit Programs che attualmente fanno riferimento a COBIT4.1
28.11.2013 - ISACA Venice Chapter
27 COBIT® 5 for Assurance
Breve esempio di attività di assurance (Change Management)
28.11.2013 - ISACA Venice Chapter
28 COBIT® 5 for Assurance
The Assurance Function Perspective
28.11.2013 - ISACA Venice Chapter
29 COBIT® 5 for Assurance
Il punto di vista della funzione di Assurance descrive come i COBIT 5 enabler contribuiscono alla dotazione complessiva di assurance, ad esempio:
Quali processi sono richiesti per fornire assurance (MEA01, MEA02, MEA03, ecc…)
Quali strutture organizzative sono richieste per fornire assurance (board/audit committee, funzione di audit, ecc…)
Quali flussi informativi sono richiesti per fornire assurance (audit universe, audit plan, audit reports)
La sezione 2A della guida contiene esempi di contributi alle pratiche di assurance per ciascuna categoria di enabler ed ulteriori esempi sono forniti in appendice
COBIT 5 for Assurance introduce una forma estesa di Audit Program, riconoscendo e gestendo esplicitamente i sette enabler relativi alla governance ed al management per supportare in modo effettivo l’assessment e la fornitura di assurance in base agli elementi del framework COBIT 5.
28.11.2013 - ISACA Venice Chapter
30 COBIT® 5 for Assurance
COBIT 5 enabler per l’Assurance
COBIT 5 for Assurance fornisce indicazioni specifiche relative a tutti gli enabler:
Assurance Policies, Principi e Frameworks
Processi che includono dettagli ed attività specifiche dell’Assurance
Strutture organizzative specifiche dell’assurance
in termini di Cultura, Etica e Comportamento, i fattori che determinano il successo della governance e della gestione dell’Assurance
Flussi informativi specifici per garantire le attività di assurance all’interno dell’azienda
Servizi richiesti per garantire l’assurance e le relative funzioni
Abilità e competenze specifiche per l’assurance
28.11.2013 - ISACA Venice Chapter
31 COBIT® 5 for Assurance
COBIT 5 enabler per l’Assurance
Policies, Principi e Framework ITAF buona base
Processi MEA01 and 02 sono processi chiave, altri giocano un ruolo di supporto
Strutture organizzative Strutture di reporting chiave per assicurare indipendenza
Cultura, Etica e Comportamento ISACA Code of Ethics buona base
Flussi informativi Data Quality e Life Cycle sono fondamentali
Capacità di servizio Quality Management e Document Management sono fondamentali
Abilità e competenze Rappresentare le capacità richieste per ciascun ruolo di assurance
28.11.2013 - ISACA Venice Chapter
32 COBIT® 5 for Assurance
COBIT 5 Assurance e gli altri standards
28.11.2013 - ISACA Venice Chapter
33 COBIT® 5 for Assurance
COBIT 5 for Assurance in relazione agli altri standards
COBIT 5 for Assurance costituisce un approccio articolato, ma comunque unificato, per la gestione e l’offerta di attività di assurance. In tal senso, esso si pone in un contesto caratterizzato da ulteriori standards legati all’assurance.
La lista di tali standards considerati da COBIT 5 for Assurance comprende:
ISACA ITAF, 2nd Edition, un framework professionale di metodologie per IS audit/assurance
The Institute of Internal Auditors (IIA) International Professional Practices Framework (IPPF) Standards 2013
American Institute of Certified Public Accountants (AICPA) Statement on Standards for Attestation Engagements (SSAE) 16
28.11.2013 - ISACA Venice Chapter
34 COBIT® 5 for Assurance
In conclusione
Vi ringraziamo per il vostro interesse per COBIT 5 e per la nuova guida “COBIT 5 for Assurance”
Il materiale relativo è pubblicato e disponibile presso ISACA
Domande