Introduzione a COBIT 5 for Assurance - isaca.org · la fornitura del servizio e l’utilizzo...

28.11.2013 - ISACA Venice Chapter

1 COBIT® 5 for Assurance

Introduzione a COBIT 5 for Assurance

Andrea Pontoni



SPONSOR DELL’EVENTO

SPONSOR DI ISACA VENICE CHAPTER

CON IL PATROCINIO DI



Agenda

• Obiettivi

• Assurance

Definizione

Drivers dell’Assurance

Vantaggi di COBIT 5 for Assurance

Target Audience di COBIT 5 for Assurance

• Punti di vista sull’Assurance

The Assessment Perspective

The Assurance Function Perspective

• Come COBIT 5 for Assurance si relaziona con gli altri standards



Obiettivi

Al termine di questa presentazione, sarai in grado di:

Comprendere i drivers, i vantaggi di COBIT 5 for Assurance ed i relativi destinatari nell’ambito dell’assurance

Comprendere gli elementi fondanti delle attività di assurance

Capire come utilizzare gli “enablers” COBIT 5 per governare e gestire le attività di assurance (Assurance Function Perspective)

Comprendere come svolgere attività di assurance nell’ambito degli “enablers” COBIT 5 nella realtà aziendale (Assessment Perspective)

Comprendere come “COBIT 5 for Assurance” si relaziona con gli altri standard



Assurance: definizione e struttura



Definizione di Assurance

L’Assurance ha luogo nel momento in cui, in seguito ad un rapporto di responsabilità tra due o più parti, un revisore IT o un professionista di tale settore redige una comunicazione scritta che espone delle conclusioni circa le materie in oggetto che interessano la parte responsabile.

Assurance si riferisce quindi a tutta quella serie di attività volte a fornire al lettore o comunque al destinatario del report un livello di garanzia e sicurezza a riguardo dei temi in oggetto.

Es.

valutazione del valore effettivo fornito dall’IT all’azienda;

revisione dei controlli interni;

aderenza agli standard e alle prassi definite.



Drivers for Assurance

I principali drivers dell’Assurance, nelle sue varie tipologie, comprendono:

fornire alle parti interessate opinioni motivate a riguardo della governance e del management dell’IT in conformità agli obiettivi dell’assurance

definire gli obiettivi dell’assurance in linea con gli obiettivi dell’azienda

rispetto delle normative o degli accordi contrattuali alle aziende a cui fornire assurance nell’ambito dei loro contratti IT



Drivers for Assurance

Per raggiungere tali obbiettivi, COBIT 5 for Assurance offre:

guida e supporto all’utilizzo del framework di COBIT 5 per istituire e sostenere all’interno dell’azienda una funzione che realizzi le attività di assurance (The Assurance Function Perspective)

un approccio strutturato per realizzare attività di assurance sugli enablers aziendali (ovvero I COBIT 5 enablers, ad esempio, i processi, l’informazione, le strutture organizzative) (The Assessment Perspective)

illustrare tale approccio strutturato con vari esempi concreti di programmi di assurance



Vantaggi di COBIT 5 for Assurance

COBIT 5 framework consistente, coerente, strutturato, contestualizzato in ambito IT, su cui quindi poter far ampio affidamento nelle attività di assurance

COBIT 5 linguaggio comune sia per i business - IT managers, impegnati per accrescere il valore dell’IT per il business, che per i professionisti nel campo dell’assessment; da ciò quindi deriva maggiore facilità di interazione tra tutti i soggetti coinvolti in attività di assurance

COBIT 5 for Assurance offre ai professionisti dell’assurance uno strumento utile per ulteriori finalità, tra cui:

avere un riferimento sulle attuali good practices dell’assurance,

supporto per l’utilizzo dei concetti COBIT 5 nell’ambito di attività di IT assurance,

ottenere una misura dell’entità del valore obiettivo raggiunto per l’azienda



Target Audience di COBIT 5 for Assurance

L’insieme dei destinatari di COBIT 5 for Assurance è vasto, e comprende:

Professionisti nel campo dell’assurance a vari livelli di governo e gestione

Boards e Audit Committees, in quanto stakeholders che commissionano attività di assurance

Business e IT managers, in quanto parti in causa

Stakeholders esterni, quali ad esempio auditors esterni, regolatori e clienti

Tale insieme è appunto vasto, come pure le motivazioni ed i vantaggi dell’utilizzo di tale framework per ciascun singolo gruppo di destinatari.

Es. Boards e executive management:

Maggiore comprensione del ruolo e delle responsabilità con riferimento all’istituzione di attività di assurance

Ottenere un’affidabile garanzia sulla governance e sul management IT e sulle modalità in cui questi contribuiscono all’accrescimento del valore aziendale

I professionisti dell’Assurance hanno inoltre a disposizione specifici standard

da seguire nel caso della fornitura di servizi (consulenza) di assurance.



La struttura dell’Assurance

Assurance Process the assurance professional will undertake

Suitable Criteria

against which the

subject matter will

be assessed

Three-party

Relationship

involving an accountable

party for the subject

matter, an assurance

professional and an

intended user

Accountable

Party

User

Assurance

Professional

Subject Matter

over which the assurance is to be

provided

Conclusion

issued by the

assurance

professional

A. Define Scope of the

Assurance Initiative

Provides Comfort To

Performs

Governs and Manages

Execute the

assurance

engagement

C. Communication

B. Understand the Subject Matter, Set

Suitable Assessment Criteria and

Assess



COBIT 5 Enablers

Fattori che, individualmente o collettivamente, determinano o influenzano il buon funzionamento o meno, nel nostro caso, della governance e del management dell’IT.

I COBIT 5 Enablers sono sette:

Principi, policies e framework

Processi

Strutture organizzative

Cultura, etica e comportamento

Informazione

Servizi, infrastruttura e applicazioni

Persone, abilità e competenze



Prospettive sull’Assurance



Due punti di vista distinti forniti da COBIT 5

In COBIT 5 for Assurance, sono individuati due punti di vista sull’Assurance:

Assurance Function Perspective -> descrive ciò che è necessario all’interno di un’azienda per costituire e sostenere delle funzioni che svolgono attività di Assurance. COBIT 5 è un framework end-to-end, il che significa che considera la fornitura del servizio e l’utilizzo dell’Assurance come parte del governo e della gestione complessiva dell’azienda IT.

Assessment Perspective -> descrive la materia oggetto dell’Assurance. In questo caso, l’oggetto dell’Assurance è l’azienda IT, descritta in ampio dettaglio nel framework COBIT 5 e nella guida COBIT 5: Enabling Processes, quindi non è coperta nel dettaglio nella guida sull’Assurance.



Assessment

PerspectiveAssurance

COBIT 5 Enablers for the Assurance

Function

COBIT 5 as Subject Matter to be

Assessed

Principles, Policies and Frameworks

ProcessesOrganisational

Structures

Information

Services,

Infrastructure

and

Applications

Culture, Ethics

and Behaviour

People, Skills

and

Competences

Principles, Policies and Frameworks

ProcessesOrganisational

Structures

Information

Services,

Infrastructure

and

Applications

Culture, Ethics

and Behaviour

People, Skills

and

Competences

Assurance

Function

Perspective

Due punti di vista distinti forniti da COBIT 5



The Assessment Perspective



La prospettiva dell’Assessment ha a che fare con la reale materia oggetto di Assurance, vale a dire, eseguire concreti assurance engagements, nei quali occorre fornire Assurance su materie specifiche dell’IT.

Questo ambito è ampiamente descritto all’interno del framework COBIT 5 e nella guida COBIT 5: Enabling Processes; perciò, la guida sull’Assurance descrive solo ad alto livello come un professionista dell’Assurance possa impostare le attività di assurance su materie specifiche

La sezione 2B della guida, in particolare, fornisce:

Una descrizione dettagliata dei processi “core” di assurance, che include un livello di dettaglio ulteriore sui processi MEA01, MEA02, MEA03 di COBIT 5

Un’approccio generale su come impostare attività di Assurance su COBIT 5 Enablers.



Core Assurance Processes

MEA01 Monitor, evaluate and assess performance and conformance MEA02 Monitor, evaluate and assess the system of internal control MEA03 Monitor, evaluate and assess compliance with external requirements. Es. MEA02 - Management Practices (process practices invece di control objectives): MEA02.01 - Monitor internal controls. MEA02.02 - Review business process controls effectiveness. MEA02.03 - Perform control self-assessments. MEA02.04 - Identify and report control deficiencies. MEA02.05 - Ensure that assurance providers are independent and qualified. MEA02.06 - Plan assurance initiatives. MEA02.07 - Scope assurance initiatives. MEA02.08 - Execute assurance initiatives.



Metodologia Standard per l’Assurance

L’approccio complessivo per l’engagement è diviso in tre fasi:

A. Determinare l’ambito e il perimetro dell’intervento (stakeholders e relativi driver, obiettivi dell’assessment e rischi rilevanti, individuare enablers interessati )

B. Comprendere gli enablers coinvolti, stabilire i criteri dell’assessment ed eseguire l’assessment

C. Comunicare gli esiti e i report finali

Pianificazione degli interventi di Assurance:

utilizzo degli obiettivi di business come punto di partenza

Risk Assessment / Analisi del mancato raggiungimento di tali obiettivi



Metodologia Standard per l’Assurance



COBIT 5 e Obiettivi di Controllo

In COBIT 4.1 gli Obiettivi di Controllo erano definiti per ciascun processo e sotto-processo COBIT

In COBIT 5 il termine ed il concetto di “obiettivo di controllo” sparisce: al suo posto subentrano i concetti di process/management practices e process activities

Le process/management practices descrivono che cosa un processo ha bisogno di raggiungere per realizzare i suoi obbiettivi in supporto agli obiettivi aziendali

Similmente, le process activities vanno ulteriormente del dettaglio di come le cose dovrebbero accadere (equivalente delle control activities)

Concettualmente, l’obiettivo di controllo in COBIT 5 consiste semplicemente in:

Gli obiettivi del processo in esame sono raggiunti in modo efficace ed efficiente



COBIT 5 e Obiettivi di Controllo - Esempio

COBIT 4.1 – AI6.3 COBIT 5 - BAI06.2

“Emergency Changes” “Manage emergency changes”

Establish a process for defining, raising, testing, documenting, assessing and authorizing emergency changes that do not follow the established change process

Carefully manage emergency changes to minimise further incidents and make sure the change is controlled and takes place securely. Verify that emergency changes are appropriately assessed and authorised after the change.



Confronto con Assurance Guide using COBIT 4.1

Maggiore focus sugli Enablers in COBIT 5 rispetto a COBIT 4.1

Nuovi specifici processi di assurance (MEA01, MEA02, MEA03)

Prospettiva specifica sull’impostazione delle funzioni aziendali che garantiscono le attività di assurance (Assurance Function Perspective)

COBIT 5 framework diverso da COBIT 4.1 (management practices vs control objectives) da cui diversa costruzione dell’engagement



COBIT 5 Assurance vs enablers – BYOD esempio

Policies, Principi e Framework BYOD concordata con il dipendente e Mobile Acceptable Use Policy (MAUP)

Processi Processo chiave “Manage Risk and Change”, altri ruolo di supporto

Strutture organizzative Responsabile Privacy e Business Managers per attività decisionali

Cultura, Etica e Comportamento Rispetto delle policy e miglioramento della qualità

Flussi informativi Documentazione Risk Analysis e Business Case

Capacità di servizio Mobile Device Management

Abilità e competenze Consapevolezza del rischio



COBIT 5 Risk Culture - Esempio

Deve riconoscere il valore apportato da audit e risk assessment

Deve mantenere le comunicazioni attive, positive e costruttive

Deve promuovere l'apertura; fornire finanziamenti, conoscenze e il tempo, e dimostrare la volontà di risanare la causa principale

Deve bilanciare soluzioni a breve termine con soluzioni sostenibili a lungo termine

Deve promuovere la consapevolezza di rischio proattiva ed avere la cultura e l'impegno per sostenerle

Deve definire chiaramente la propensione al rischio e garantire un adeguato livello di dibattito nell'ambito delle ordinarie attività di business.



Tipologie di Assurance

Nell’ambito delle varie attività di Assurance possiamo effettuare:

Maturity Assessment – Utilizzo del COBIT V4.1 Maturity Model

Capability Assessment – Utilizzo del COBIT Process Assessment Model V5

Assessment su efficacia ed efficienza dei controlli

Sviluppare un audit program custom utilizzando la guida COBIT 5 Process Reference e la guida COBIT 5 for Assurance

Utilizzo degli opportuni ISACA Audit Programs che attualmente fanno riferimento a COBIT4.1



Breve esempio di attività di assurance (Change Management)



The Assurance Function Perspective



Il punto di vista della funzione di Assurance descrive come i COBIT 5 enabler contribuiscono alla dotazione complessiva di assurance, ad esempio:

Quali processi sono richiesti per fornire assurance (MEA01, MEA02, MEA03, ecc…)

Quali strutture organizzative sono richieste per fornire assurance (board/audit committee, funzione di audit, ecc…)

Quali flussi informativi sono richiesti per fornire assurance (audit universe, audit plan, audit reports)

La sezione 2A della guida contiene esempi di contributi alle pratiche di assurance per ciascuna categoria di enabler ed ulteriori esempi sono forniti in appendice

COBIT 5 for Assurance introduce una forma estesa di Audit Program, riconoscendo e gestendo esplicitamente i sette enabler relativi alla governance ed al management per supportare in modo effettivo l’assessment e la fornitura di assurance in base agli elementi del framework COBIT 5.



COBIT 5 enabler per l’Assurance

COBIT 5 for Assurance fornisce indicazioni specifiche relative a tutti gli enabler:

Assurance Policies, Principi e Frameworks

Processi che includono dettagli ed attività specifiche dell’Assurance

Strutture organizzative specifiche dell’assurance

in termini di Cultura, Etica e Comportamento, i fattori che determinano il successo della governance e della gestione dell’Assurance

Flussi informativi specifici per garantire le attività di assurance all’interno dell’azienda

Servizi richiesti per garantire l’assurance e le relative funzioni

Abilità e competenze specifiche per l’assurance



COBIT 5 enabler per l’Assurance

Policies, Principi e Framework ITAF buona base

Processi MEA01 and 02 sono processi chiave, altri giocano un ruolo di supporto

Strutture organizzative Strutture di reporting chiave per assicurare indipendenza

Cultura, Etica e Comportamento ISACA Code of Ethics buona base

Flussi informativi Data Quality e Life Cycle sono fondamentali

Capacità di servizio Quality Management e Document Management sono fondamentali

Abilità e competenze Rappresentare le capacità richieste per ciascun ruolo di assurance



COBIT 5 Assurance e gli altri standards



COBIT 5 for Assurance in relazione agli altri standards

COBIT 5 for Assurance costituisce un approccio articolato, ma comunque unificato, per la gestione e l’offerta di attività di assurance. In tal senso, esso si pone in un contesto caratterizzato da ulteriori standards legati all’assurance.

La lista di tali standards considerati da COBIT 5 for Assurance comprende:

ISACA ITAF, 2nd Edition, un framework professionale di metodologie per IS audit/assurance

The Institute of Internal Auditors (IIA) International Professional Practices Framework (IPPF) Standards 2013

American Institute of Certified Public Accountants (AICPA) Statement on Standards for Attestation Engagements (SSAE) 16



In conclusione

Vi ringraziamo per il vostro interesse per COBIT 5 e per la nuova guida “COBIT 5 for Assurance”

Il materiale relativo è pubblicato e disponibile presso ISACA

Domande

Date post:	15-Feb-2019
Category:	Documents
Upload:	buique
View:	218 times
Download:	0 times

Introduzione a COBIT 5 for Assurance - isaca.org · la fornitura del servizio e l’utilizzo...

Documents