Cum ajută COBIT la atingerea conformităţii: exemplu Regulamentul 18 BNR

Art.2 al Regulamentul 18/2009 consolidat defineşte noţiuni comune practicii guvernării IT:

“d) control intern – proces continuu, destinat să furnizeze o asigurare rezonabilă pentru îndeplinirea obiectivelor de performanţă – eficacitatea şi eficienţa activităţilor desfăşurate -, de informare – credibilitatea, integritatea şi furnizarea la timp a informaţiilor financiare şi ale celor necesare conducerii –  şi de conformitate – conformarea cu legile  şi  reglementările aplicabile, precum şi cu politicile şi procedurile interne – şi care, pentru a fi eficace, necesită implementarea următoarelor 3 funcţii: funcţia de administrare a  riscurilor, funcţia de conformitate şi funcţia de audit intern. Controlul intern include, de  asemenea, organizarea contabilităţii, tratamentul informaţiilor, evaluarea riscurilor  şi  sistemele de măsurare a acestora;”

“o)  risc aferent tehnologiei informaţiei (IT) – subcategorie a riscului operaţional care se referă la riscul actual sau viitor de afectare negativă a profiturilor  şi capitalului,  determinat de inadecvarea strategiei  şi politicii IT, a tehnologiei informaţiei  şi a  procesării informaţiei, cu referire la capacitatea de gestionare, integritatea,
controlabilitatea  şi continuitatea acesteia, sau de utilizarea necorespunzătoare a tehnologiei informaţiei; ”

Art. 28.   este cel care face referire la sistemele informaţionale, controlul intern şi riscuri

“ (5) În contextul alin. (2), instituţiile de credit trebuie să respecte cerinţele organizaţionale şi de control intern legate de procesarea electronică a informaţiilor şi să asigure existenţa unei piste de audit adecvate

 (6) Sistemele informaţionale ale instituţiilor de credit, inclusiv cele care păstrează şi utilizează date în format electronic, trebuie să fie sigure, monitorizate independent şi susţinute de planuri alternative corespunzătoare, care să le permită continuarea activităţii în cazul apariţiei unor situaţii neprevăzute. Replicarea sistemelor informatice critice trebuie asigurată fie prin existenţa unor sisteme de rezervă situate într-o altă locaţie a instituţiei de credit – centru de back-up -, fie prin intermediul unui furnizor extern de servicii.

(7) Funcţionarea planurilor alternative prevăzute la alin. (6) trebuie testată periodic prin simularea operaţiunilor pe sistemele de rezervă.

(8) Instituţiile de credit trebuie să controleze eficient riscurile implicate de utilizarea sistemelor informatice. În acest scop, se vor efectua atât controale generale la nivelul întregului sistem informatic, cât şi controale la nivelul fiecărei aplicaţii informatice din componenţa acestuia.

(9) Controalele generale trebuie efectuate asupra infrastructurii hardware şi de comunicaţii a sistemelor informatice – sisteme mainframe, sisteme client/server, routere, echipamente de reţea, staţii de lucru ale utilizatorilor finali, precum şi asupra sistemelor de operare care asigură funcţionarea acestora. Controalele au drept scop verificarea funcţionării continue şi corespunzătoare a acestora.

(10) Controalele generale includ şi verificarea existenţei şi aplicării unei strategii de informatizare, a procedurilor interne de salvare şi restaurare a datelor, a politicilor de efectuare a achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi logic la resursele sistemului informatic. 

(11) Controalele efectuate la nivelul aplicaţiilor informatice reprezintă proceduri de validare şi control incluse în codul aplicaţiilor informatice utilizate, precum şi proceduri manuale de verificare a modului de procesare a tranzacţiilor şi a efectuării operaţiunilor. ”

Ce suport oferă COBIT?

În primul rând este dezvoltat conform COSO (Committee of Sponsoring Organizations). În al doilea rând oferă ghiduri pentru management şi responsabilii de procese economice. În al treilea rând oferă un set generic de procese IT aliniate proceselor economice. În al patrulea rând oferă cerinţele pe care managementul trebuie să le aibă în vedere pentru controlarea proceselor IT – obiectivele controlului. Responsabilii de la nivel operaţional ştiu astfel ce set de controale este necesar unui anumit proces din organizaţie.

COBIT ofera exemple de intrări şi ieşiri pentru fiecare proces în parte. Este flexibil şi nu este prescriptiv. Oferă în plus o descriere a responsabilităţilor celor care sunt sau pot fi implicati într-un proces. Responsabilitatea pentru controalele implementate la nivelul aplicaţiilor este o responsabilitate comună atît domeniului economic cât şi IT-ului. Managementul proceselor economice răspunde de definirea corespunzătoare a cerinţelor funcţionale şi de control, de utilizarea serviciilor automatizate în mod potrivit . Managementul IT este responsabil pentru automatizarea şi implementarea cerinţelor funcţionale şi de control, de stabilirea elementelor de gestiune pentru a menţine integritatea, aplicabilitatea şi eficienţa controalelor implementate la nivelul aplicaţiilor.