چارچوب COBIT 5 مجموعه ای از اصول را برای راهبری فناوری اطلاعات در سازمان ها ارائه نموده است. این چارچوب مشتمل بر چندین توانمندساز بوده که هریک از این توانمندسازها بر بخشی از موضوعات کلیدی مرتبط با فناوری اطلاعات در سازمان تمرکز نموده اند. فرآیندها، اطلاعات، ساختار و نقش ها، اصول و استانداردها، سیستم ها، فرهنگ و ارزش ها بخشی از این توانمندسازها می باشند.
علاوه بر بخش های کلیدی چارچوب، مجموعه ای از بخش ها نیز به عنوان راهنماهای مستقل تر ارائه شده است. COBIT for Risk روش و نظامی را برای مدیریت ریسک در سازمان عرضه می کند. COBIT for Security به مبحث امنیت اطلاعات می پردازد و COBIT For Assurance راهنمایی برای حسابرسی فناوری اطلاعات می باشد. این راهنما می تواند توسط حسابرسان داخلی و حسابرسان فناوری اطلاعات در ارزیابی ریسک و ارزیابی اثربخشی کنترل های داخلی مورد استفاده قرار گیرد. در واقع می توان اذعان نمود که راهنمای COBIT for Assurance یکی از مراجع کلیدی برای حسابرسی فناوری اطلاعات در سازمان می باشد.
در این راهنما فرآیند حسابرسی فناوری اطلاعات طی سه فاز اصل زیر تعریف می شود:
- تعیین محدوده فعالیت های حسابرسی: در این مرحله موضوع اصلی مورد نظر برای حسابرسی تعیین می شود. این موضوع می تواند بخشی از خدمات یا زیرساخت های فناوری اطلاعات در سازمان باشد. به عنوان مثال خدمات ارائه شده بر روی وب سایت سازمان، یک سیستم اطلاعاتی به خصوص، بخشی از زیرساخت سازمان، مرکز داده، ساز و کارهای امنیتی و غیره می تواند موضوع مورد نظر برای حسابرسی باشند.
- فهم موضوع و تعیین معیارهای مناسب برای ارزیابی: پس از تعیین موضوع حسابرسی نوبت به تعریف شاخص های کلیدی برای ارزیابی موضوع مورد نظر می باشد. در چارچوب COBIT به ازای هریک از توانمندسازها از جمله فرآیندها، اطلاعات و سیستم ها مجموعه ای از شاخص ها تعریف شده است که حسابرسان می توانند از این شاخص ها برای ارزیابی موضوع مورد نظر استفاده کنند. پس از تعیین شاخص ها باید شواهد و اطلاعات مورد نیاز برای ارزیابی گردآوری شوند. این اطلاعات می توانند به روش های مختلفی گردآوری شوند. همچنین پس از گردآوری، مورد تحلیل و ارزیابی قرار گرفته تا وضعیت شاخص های مورد نظر تعیین شود.
- ارتباطات (گزارش دهی): حسابرسان پس از تعیین محدوده، گردآوری مستندات و شواهد و تحلیل وضعیت مورد انتظار، گزارش یافته های خود را در اختیار نهاد پاسخگو قرار می دهند. همچنین این گزارش ممکن است در اختیار کاربران نیز حسب نیاز قرار گیرد. گزارش حسابرسی مبنایی برای شناسایی کاستی ها و ضعف ها بوده و واکنش های مناسب باید براساس این گزارش صورت گیرد.
![\"\"](\"https://hesfa.ir/wp-content/uploads/2018/07/COBIT-for-Assurance.jpg\")
در این فرآیند سه گروه اصلی به شرح ذیل ذینفع و مرتبط می باشند.
- نهاد پاسخگو که مسئولیت پاسخگویی در قبال ذینفعان و مخاطبان را بر عهده دارد. نهاد پاسخگو عمدتاً هیات مدیره و مدیران ارشد سازمان می باشند.
- کاربران: بهره برداران از خدمات فناوری اطلاعات می توانند کاربران داخلی و یا بیرونی سازمان باشند که نسبت به موضوعاتی از جمله کیفیت خدمات دغدغه دارند. این گروه نیز از مخاطبان حسابرسی فناوری اطلاعات به شمار می روند.
- متخصصان حسابرسی: وظیفه اصلی ارزیابی اثربخشی فعالیت های کنترلی در حوزه فناوری اطلاعات بر عهده متخصصان حسابرسی است. در نسخه پنج چارچوب COBIT تمرکز اصلی بر کارایی و اثربخشی فناوری اطلاعات در راستای حداکثرسازی منافع ذینفعان، بهینه سازی منابع و بهینه سازی ریسک ها است. فعالیت های متخصصان حسابرسی نیز با این اهداف سه گانه انجام می شود.