Introduzione a COBIT 5 for Assurance Andrea Pontoni 1
SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2
Agenda Obiettivi Assurance Definizione Drivers dell Assurance Vantaggi di COBIT 5 for Assurance Target Audience di COBIT 5 for Assurance Punti di vista sull Assurance The Assessment Perspective The Assurance Function Perspective Come COBIT 5 for Assurance si relaziona con gli altri standards 3
Obiettivi Al termine di questa presentazione, sarai in grado di: Comprendere i drivers, i vantaggi di COBIT 5 for Assurance ed i relativi destinatari nell ambito dell assurance Comprendere gli elementi fondanti delle attività di assurance Capire come utilizzare gli enablers COBIT 5 per governare e gestire le attività di assurance (Assurance Function Perspective) Comprendere come svolgere attività di assurance nell ambito degli enablers COBIT 5 nella realtà aziendale (Assessment Perspective) Comprendere come COBIT 5 for Assurance si relaziona con gli altri standard 4
Assurance: definizione e struttura 5
Definizione di Assurance L Assurance ha luogo nel momento in cui, in seguito ad un rapporto di responsabilità tra due o più parti, un revisore IT o un professionista di tale settore redige una comunicazione scritta che espone delle conclusioni circa le materie in oggetto che interessano la parte responsabile. Assurance si riferisce quindi a tutta quella serie di attività volte a fornire al lettore o comunque al destinatario del report un livello di garanzia e sicurezza a riguardo dei temi in oggetto. Es. valutazione del valore effettivo fornito dall IT all azienda; revisione dei controlli interni; aderenza agli standard e alle prassi definite. 6
Drivers for Assurance I principali drivers dell Assurance, nelle sue varie tipologie, comprendono: fornire alle parti interessate opinioni motivate a riguardo della governance e del management dell IT in conformità agli obiettivi dell assurance definire gli obiettivi dell assurance in linea con gli obiettivi dell azienda rispetto delle normative o degli accordi contrattuali alle aziende a cui fornire assurance nell ambito dei loro contratti IT 7
Drivers for Assurance Per raggiungere tali obbiettivi, COBIT 5 for Assurance offre: guida e supporto all utilizzo del framework di COBIT 5 per istituire e sostenere all interno dell azienda una funzione che realizzi le attività di assurance (The Assurance Function Perspective) un approccio strutturato per realizzare attività di assurance sugli enablers aziendali (ovvero I COBIT 5 enablers, ad esempio, i processi, l informazione, le strutture organizzative) (The Assessment Perspective) illustrare tale approccio strutturato con vari esempi concreti di programmi di assurance 8
Vantaggi di COBIT 5 for Assurance COBIT 5 framework consistente, coerente, strutturato, contestualizzato in ambito IT, su cui quindi poter far ampio affidamento nelle attività di assurance COBIT 5 linguaggio comune sia per i business - IT managers, impegnati per accrescere il valore dell IT per il business, che per i professionisti nel campo dell assessment; da ciò quindi deriva maggiore facilità di interazione tra tutti i soggetti coinvolti in attività di assurance COBIT 5 for Assurance offre ai professionisti dell assurance uno strumento utile per ulteriori finalità, tra cui: avere un riferimento sulle attuali good practices dell assurance, supporto per l utilizzo dei concetti COBIT 5 nell ambito di attività di IT assurance, ottenere una misura dell entità del valore obiettivo raggiunto per l azienda 9
Target Audience di COBIT 5 for Assurance L insieme dei destinatari di COBIT 5 for Assurance è vasto, e comprende: Professionisti nel campo dell assurance a vari livelli di governo e gestione Boards e Audit Committees, in quanto stakeholders che commissionano attività di assurance Business e IT managers, in quanto parti in causa Stakeholders esterni, quali ad esempio auditors esterni, regolatori e clienti Tale insieme è appunto vasto, come pure le motivazioni ed i vantaggi dell utilizzo di tale framework per ciascun singolo gruppo di destinatari. Es. Boards e executive management: Maggiore comprensione del ruolo e delle responsabilità con riferimento all istituzione di attività di assurance Ottenere un affidabile garanzia sulla governance e sul management IT e sulle modalità in cui questi contribuiscono all accrescimento del valore aziendale I professionisti dell Assurance hanno inoltre a disposizione specifici standard da seguire nel caso della fornitura di servizi (consulenza) di assurance. 10
La struttura dell Assurance Three-party Relationship involving an accountable party for the subject matter, an assurance professional and an intended user Assurance Process the assurance professional will undertake Assurance Professional Performs A. Define Scope of the Assurance Initiative B. Understand the Subject Matter, Set Suitable Assessment Criteria and Assess C. Communication Accountable Party Governs and Manages User Subject Matter over which the assurance is to be provided Suitable Criteria against which the subject matter will be assessed Execute the assurance engagement Conclusion issued by the assurance professional Provides Comfort To 11
COBIT 5 Enablers Fattori che, individualmente o collettivamente, determinano o influenzano il buon funzionamento o meno, nel nostro caso, della governance e del management dell IT. I COBIT 5 Enablers sono sette: Principi, policies e framework Processi Strutture organizzative Cultura, etica e comportamento Informazione Servizi, infrastruttura e applicazioni Persone, abilità e competenze 12
Prospettive sull Assurance 13
Due punti di vista distinti forniti da COBIT 5 In COBIT 5 for Assurance, sono individuati due punti di vista sull Assurance: Assurance Function Perspective -> descrive ciò che è necessario all interno di un azienda per costituire e sostenere delle funzioni che svolgono attività di Assurance. COBIT 5 è un framework end-to-end, il che significa che considera la fornitura del servizio e l utilizzo dell Assurance come parte del governo e della gestione complessiva dell azienda IT. Assessment Perspective -> descrive la materia oggetto dell Assurance. In questo caso, l oggetto dell Assurance è l azienda IT, descritta in ampio dettaglio nel framework COBIT 5 e nella guida COBIT 5: Enabling Processes, quindi non è coperta nel dettaglio nella guida sull Assurance. 14
Due punti di vista distinti forniti da COBIT 5 COBIT 5 Enablers for the Assurance Function COBIT 5 as Subject Matter to be Assessed Processes Organisational Structures Culture, Ethics and Behaviour Principles, Policies and Frameworks Assurance Function Perspective Assurance Assessment Perspective Processes Organisational Structures Culture, Ethics and Behaviour Principles, Policies and Frameworks Information Services, Infrastructure and Applications People, Skills and Competences Information Services, Infrastructure and Applications People, Skills and Competences 15
The Assessment Perspective 16
La prospettiva dell Assessment ha a che fare con la reale materia oggetto di Assurance, vale a dire, eseguire concreti assurance engagements, nei quali occorre fornire Assurance su materie specifiche dell IT. Questo ambito è ampiamente descritto all interno del framework COBIT 5 e nella guida COBIT 5: Enabling Processes; perciò, la guida sull Assurance descrive solo ad alto livello come un professionista dell Assurance possa impostare le attività di assurance su materie specifiche La sezione 2B della guida, in particolare, fornisce: Una descrizione dettagliata dei processi core di assurance, che include un livello di dettaglio ulteriore sui processi MEA01, MEA02, MEA03 di COBIT 5 Un approccio generale su come impostare attività di Assurance su COBIT 5 Enablers. 17
Core Assurance Processes MEA01 Monitor, evaluate and assess performance and conformance MEA02 Monitor, evaluate and assess the system of internal control MEA03 Monitor, evaluate and assess compliance with external requirements. Es. MEA02 - Management Practices (process practices invece di control objectives): MEA02.01 - Monitor internal controls. MEA02.02 - Review business process controls effectiveness. MEA02.03 - Perform control self-assessments. MEA02.04 - Identify and report control deficiencies. MEA02.05 - Ensure that assurance providers are independent and qualified. MEA02.06 - Plan assurance initiatives. MEA02.07 - Scope assurance initiatives. MEA02.08 - Execute assurance initiatives. 18
Metodologia Standard per l Assurance L approccio complessivo per l engagement è diviso in tre fasi: A. Determinare l ambito e il perimetro dell intervento (stakeholders e relativi driver, obiettivi dell assessment e rischi rilevanti, individuare enablers interessati ) B. Comprendere gli enablers coinvolti, stabilire i criteri dell assessment ed eseguire l assessment C. Comunicare gli esiti e i report finali Pianificazione degli interventi di Assurance: utilizzo degli obiettivi di business come punto di partenza Risk Assessment / Analisi del mancato raggiungimento di tali obiettivi 19
Metodologia Standard per l Assurance 20
COBIT 5 e Obiettivi di Controllo In COBIT 4.1 gli Obiettivi di Controllo erano definiti per ciascun processo e sotto-processo COBIT In COBIT 5 il termine ed il concetto di obiettivo di controllo sparisce: al suo posto subentrano i concetti di process/management practices e process activities Le process/management practices descrivono che cosa un processo ha bisogno di raggiungere per realizzare i suoi obbiettivi in supporto agli obiettivi aziendali Similmente, le process activities vanno ulteriormente del dettaglio di come le cose dovrebbero accadere (equivalente delle control activities) Concettualmente, l obiettivo di controllo in COBIT 5 consiste semplicemente in: Gli obiettivi del processo in esame sono raggiunti in modo efficace ed efficiente 21
COBIT 5 e Obiettivi di Controllo - Esempio COBIT 4.1 AI6.3 Emergency Changes Establish a process for defining, raising, testing, documenting, assessing and authorizing emergency changes that do not follow the established change process COBIT 5 - BAI06.2 Manage emergency changes Carefully manage emergency changes to minimise further incidents and make sure the change is controlled and takes place securely. Verify that emergency changes are appropriately assessed and authorised after the change. 22
Confronto con Assurance Guide using COBIT 4.1 Maggiore focus sugli Enablers in COBIT 5 rispetto a COBIT 4.1 Nuovi specifici processi di assurance (MEA01, MEA02, MEA03) Prospettiva specifica sull impostazione delle funzioni aziendali che garantiscono le attività di assurance (Assurance Function Perspective) COBIT 5 framework diverso da COBIT 4.1 (management practices vs control objectives) da cui diversa costruzione dell engagement 23
COBIT 5 Assurance vs enablers BYOD esempio Policies, Principi e Framework BYOD concordata con il dipendente e Mobile Acceptable Use Policy (MAUP) Processi Processo chiave Manage Risk and Change, altri ruolo di supporto Strutture organizzative Responsabile Privacy e Business Managers per attività decisionali Cultura, Etica e Comportamento Rispetto delle policy e miglioramento della qualità Flussi informativi Documentazione Risk Analysis e Business Case Capacità di servizio Mobile Device Management Abilità e competenze Consapevolezza del rischio 24
COBIT 5 Risk Culture - Esempio Deve riconoscere il valore apportato da audit e risk assessment Deve mantenere le comunicazioni attive, positive e costruttive Deve promuovere l'apertura; fornire finanziamenti, conoscenze e il tempo, e dimostrare la volontà di risanare la causa principale Deve bilanciare soluzioni a breve termine con soluzioni sostenibili a lungo termine Deve promuovere la consapevolezza di rischio proattiva ed avere la cultura e l'impegno per sostenerle Deve definire chiaramente la propensione al rischio e garantire un adeguato livello di dibattito nell'ambito delle ordinarie attività di business. 25
Tipologie di Assurance Nell ambito delle varie attività di Assurance possiamo effettuare: Maturity Assessment Utilizzo del COBIT V4.1 Maturity Model Capability Assessment Utilizzo del COBIT Process Assessment Model V5 Assessment su efficacia ed efficienza dei controlli Sviluppare un audit program custom utilizzando la guida COBIT 5 Process Reference e la guida COBIT 5 for Assurance Utilizzo degli opportuni ISACA Audit Programs che attualmente fanno riferimento a COBIT4.1 26
Breve esempio di attività di assurance (Change Management) 27
The Assurance Function Perspective 28
Il punto di vista della funzione di Assurance descrive come i COBIT 5 enabler contribuiscono alla dotazione complessiva di assurance, ad esempio: Quali processi sono richiesti per fornire assurance (MEA01, MEA02, MEA03, ecc ) Quali strutture organizzative sono richieste per fornire assurance (board/audit committee, funzione di audit, ecc ) Quali flussi informativi sono richiesti per fornire assurance (audit universe, audit plan, audit reports) La sezione 2A della guida contiene esempi di contributi alle pratiche di assurance per ciascuna categoria di enabler ed ulteriori esempi sono forniti in appendice COBIT 5 for Assurance introduce una forma estesa di Audit Program, riconoscendo e gestendo esplicitamente i sette enabler relativi alla governance ed al management per supportare in modo effettivo l assessment e la fornitura di assurance in base agli elementi del framework COBIT 5. 29
COBIT 5 enabler per l Assurance COBIT 5 for Assurance fornisce indicazioni specifiche relative a tutti gli enabler: Assurance Policies, Principi e Frameworks Processi che includono dettagli ed attività specifiche dell Assurance Strutture organizzative specifiche dell assurance in termini di Cultura, Etica e Comportamento, i fattori che determinano il successo della governance e della gestione dell Assurance Flussi informativi specifici per garantire le attività di assurance all interno dell azienda Servizi richiesti per garantire l assurance e le relative funzioni Abilità e competenze specifiche per l assurance 30
COBIT 5 enabler per l Assurance Policies, Principi e Framework ITAF buona base Processi MEA01 and 02 sono processi chiave, altri giocano un ruolo di supporto Strutture organizzative Strutture di reporting chiave per assicurare indipendenza Cultura, Etica e Comportamento ISACA Code of Ethics buona base Flussi informativi Data Quality e Life Cycle sono fondamentali Capacità di servizio Quality Management e Document Management sono fondamentali Abilità e competenze Rappresentare le capacità richieste per ciascun ruolo di assurance 31
COBIT 5 Assurance e gli altri standards 32
COBIT 5 for Assurance in relazione agli altri standards COBIT 5 for Assurance costituisce un approccio articolato, ma comunque unificato, per la gestione e l offerta di attività di assurance. In tal senso, esso si pone in un contesto caratterizzato da ulteriori standards legati all assurance. La lista di tali standards considerati da COBIT 5 for Assurance comprende: ISACA ITAF, 2 nd Edition, un framework professionale di metodologie per IS audit/assurance The Institute of Internal Auditors (IIA) International Professional Practices Framework (IPPF) Standards 2013 American Institute of Certified Public Accountants (AICPA) Statement on Standards for Attestation Engagements (SSAE) 16 33
In conclusione Vi ringraziamo per il vostro interesse per COBIT 5 e per la nuova guida COBIT 5 for Assurance Il materiale relativo è pubblicato e disponibile presso ISACA Domande 34