CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1
Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving van een raamwerk voor informatiebeheersing, Eddo Roos Lindgren, MAB mei 2005 Achtergronden model COSO = niet CobiT 9/2/2005 2
Corporate Governance Corporate Governance heeft betrekking op de besluitvormingscyclus binnen organisaties Besluitvorming en uitvoering kennen een drietal aspecten: 1. Maken van keuzes 2. Zorgdragen voor de uitvoering cf. keuzes 3. Verantwoording afleggen over zowel keuzes als de uitvoering 9/2/2005 3
Corporate Governance - Codes Gemeenschappelijke elementen: Rechten aandeelhouders - AvA Verantwoordelijkheid bestuur - RvB Verantwoordelijkheid raad van commisarissen - RvC Rol en positie audit-committees, interne auditfuncties en externe accountant Beloningsstructuur Interne risico- en beheersingssystemen (--code Tabaksblad + ICT risico s!) 9/2/2005 4
COSO Internal Control Integrated Framework De samenstellende componenten zijn afgeleid uit de wijze waarop een manager invulling geeft aan het managementproces: Control environment Risk assesment Control activities Information and communication Monitoring 9/2/2005 5
COSO Internal Control Integrated Framework Internal control is a process, effected by an entity s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: Effectiveness and efficiency of operations Reliability of financial reporting Compliance with applicable laws and regulations 9/2/2005 6
COSO Internal Control Integrated Framework Uitgangspunten (grondslagen): 1. Beheersmaatregelen zijn ingebouwd in processen 2. Internal control wordt uitgevoerd door mensen, die allen hun unieke achtergrond en eigen doelstellingen hebben 3. Ieder beheersingssysteem is feilbaar, want: Mensen maken fouten; Kosten/baten-overwegingen spelen een rol; Mensen kunnen tegengestelde belangen hebben; Management kan beheersmaatregelen doorbreken. 9/2/2005 7
Corporate governance en interne beheersing Strategisch Beleid formuleren Corporate governance is het proces van beïnvloeding door belanghebbenden van de gang van zaken bij ondernemingen, zowel ter zake van besluitvorming als ter zake van de uitvoering van het beleid Informeren verantwoorden en toetsen Inrichten Beleid Operationeel Toetsen Uitvoeren Inrichten Internal control is a process, effected by an entity s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: effectiveness and efficiency of operations reliability of financial reporting compliance with applicable laws and regulations 9/2/2005 8
(IT governance) kwaliteit van informatie 9/2/2005 9
COBIT = IT governance Rule based normatief model 34 high level control objectives. Indien toegepast dan mag de proceseigenaar ervan uit gaan dat er sprake is van adequate beheersing van de IT environment 318 detailed control objectives! Business orientation (effectiviteit en efficientie!) Resultaat gemene deler van: ISO, ISACA,COSO,NIST,AICPA et cetera 9/2/2005 10
CobiT: 4 domeinen Plan, do, check, act High level control objectives 1 2 3 9/2/2005 11
P01: Define a strategic IT plan Detailed control objectives IT as Part of the Organisation s Long-and Short- Range Plan Volgt nauwkeurig normatief geformuleerd doel of te bereiken resulaat binnen IT actviteit IT Long-Range Plan IT Long-Range Planning Approach and Structure IT Long-Range Plan Changes Short-Range Planning for the IT Function Communication of IT Plans Monitoring and Evaluating of IT Plans Assessment of Existing Systems 9/2/2005 12
CobiT: domeinen (2) 9/2/2005 13
CobiT: domeinen (3) 9/2/2005 14
CobiT: domeinen (4) 9/2/2005 15
Verschillen? COSO CobiT Management activities Internal control IT control Entity objective setting Establishing control environment factors Activity objective setting Risk Id en analysis Risk management Conducting control act Information, communication Monitoring Corrective actions Niet Niet Niet Niet 9/2/2005 16
CobiT for SoX 302 / 404 9/2/2005 17
Gemeenschappelijke elementen gebaseerd op PCAOB draft auditing standard 7 okt 2003 Basis voor Reliable financial reporting 9/2/2005 18
Geintegreerd framework 34 high level control Toetsing andere standaarden: ITIL BS - 17799 9/2/2005 19
Documentatie eis beheersen financieel gerelateerde processen Processen Activiteit gegevens Risico gevolg Maatregel repressief Maatregel preventief Grootboek muteren Functie scheidingen Boeken correcties Maken financieel overzicht Maken management rapport handelingen Kernentiteit + belangrijkste gegevens elementen Juistheid Volledigheid Rechtmatigheid Tijdigheid Integriteit gegevens Financieel Kwaliteit + andere belangrijke aspecten bedrijfs voering User Application controls Begroting Tarieven Richtlijnen General controls In CobiT oorspronkelijk niet opgenomen 9/2/2005 20
Beheersing FA General Ledger & Reporting Cycle Proces grootboek muteren grootboek dagboek Grootboek muteren proef balans Boeking Boeking sub administratie Treasurer Level 0 DFD Processen Activiteit gegevens risico gevolg Maatregel Maatregel repressief preventief Grootboek muteren boeken Inkoop Verkoop Voorraden Productie tec Juistheid Volledigheid Rechtmatigheid Tijdigheid Integriteit Beschikbaarheid Vertouwelijkheid Financieel Kwaliteit + andere belangrijke aspecten bedrijfs voering User en of Applicati on controls Functie scheidingen Richtlijnen General controls ke 9/2/2005 21
CobiT Dank u wel voor uw aandacht! 9/2/2005 22