it is a internal control framework for IT-based organization

1. 1

2.  
‫برد‬‫ر‬‫کا‬COBIT‫اطالعات‬ ‫ی‬‫ر‬‫فناو‬ ‫داخلی‬‫ل‬‫کنتر‬ ‫در‬
‫دهنده‬‫ائه‬‫ر‬‫ا‬:
‫ف‬‫روستا‬ ‫اطمه‬
‫تهران‬ ‫دانشگاه‬
‫و‬ ‫برق‬ ‫مهندسی‬ ‫دانشکده‬
‫کامپیوتر‬
‫فناوری‬ ‫مهندسی‬ ‫گروه‬
‫اطالعات‬
‫اهنما‬‫ر‬ ‫استاد‬:
‫ه‬‫ر‬‫یا‬ ‫تقی‬‫فتانه‬‫دکتر‬ ‫خانم‬
‫ماه‬‫دی‬92
2

3. ‫مطالب‬ ‫عناوین‬
COBIT‫چیست؟‬
‫داخلی‬ ‫ل‬‫کنتر‬(‫آیند‬‫ر‬‫ف‬ ،‫ها‬ ‫مندی‬‫ز‬‫نیا‬ ،‫اهداف‬)
‫ای‬‫ز‬‫اج‬COBIT
‫ه‬‫ژ‬‫و‬‫پر‬ ‫مدیریت‬ ‫ل‬‫کنتر‬PO10
‫ومآخذ‬ ‫منابع‬
3

4. oCOBIT‫اطالعات‬‫ي‬‫ر‬‫فناو‬‫کنترلي‬‫اهداف‬‫چوب‬‫ر‬‫چا‬،.
(Control Objectives for Information and related Technology)
oCOBIT‫ه‬‫ل‬‫کنتر‬‫کردن‬‫اهم‬‫ر‬‫ف‬ ‫طریق‬‫از‬‫فنی‬ ‫مسائل‬‫و‬‫کنترلی‬‫های‬‫ز‬‫نیا‬،‫وکار‬ ‫کسب‬‫های‬ ‫یسک‬‫ر‬ ‫بین‬‫پلی‬‫است‬‫ا‬.
o‫حاکمیتی‬‫های‬‫ز‬‫نیا‬‫کردن‬‫ده‬‫ر‬‫آو‬‫ر‬‫ب‬ ‫ای‬‫ر‬‫ب‬‫کنترلی‬‫مدل‬ ‫یک‬ ‫این‬IT‫های‬‫سیستم‬‫و‬‫اطالعات‬‫چگی‬‫ر‬‫یکپا‬‫از‬‫اطمینان‬‫و‬
‫است‬‫اطالعاتی‬
4

5. •‫شد‬‫ر‬‫؛‬‫ی‬‫تجار‬‫های‬‫محیط‬‫پیچیدگی‬
•‫اطالعاتی؛‬ ‫های‬‫سیستم‬ ‫و‬‫اطالعات‬ ‫به‬‫وابستگی‬ ‫ایش‬‫ز‬‫اف‬
•‫اطالعاتی؛‬‫جنگ‬‫و‬‫ی‬‫کامپیوتر‬‫تهدیدات‬‫ن‬‫همچو‬‫تهدیدات‬ ‫از‬ ‫ای‬‫گسترده‬‫طیف‬ ‫ایش‬‫ز‬‫اف‬
•‫اطالعات؛‬‫ی‬‫ر‬‫فناو‬ ‫های‬‫محیط‬ ‫ای‬‫ر‬‫ب‬‫مناسب‬‫های‬‫یرساخت‬‫ز‬‫فقدان‬
•‫ان‬‫ر‬‫مدی‬‫میان‬‫تباطی‬‫ر‬‫ا‬‫های‬‫خالء‬IT‫کار؛‬‫و‬ ‫کسب‬‫واحدهای‬ ‫ان‬‫ر‬‫مدی‬‫و‬
•‫اطالعات؛‬‫ی‬‫ر‬‫فناو‬‫خدمات‬‫جی‬‫ر‬‫خا‬‫کنندگان‬‫تأمین‬ ‫ایش‬‫ز‬‫اف‬
•‫های‬‫هزینه‬‫بودن‬‫ل‬‫کنتر‬‫از‬‫خارج‬IT‫؛‬
•‫اطالعات؛‬‫ی‬‫ر‬‫فناو‬ ‫های‬‫ی‬‫گذار‬‫سرمایه‬ ‫در‬‫ی‬‫ر‬‫و‬ ‫بهره‬ ‫به‬‫سرمایه‬‫دهی‬‫ز‬‫با‬‫نسبت‬ ‫ایش‬‫ز‬‫اف‬
•‫ات؛‬‫ر‬‫تغیی‬ ‫ابر‬‫ر‬‫ب‬‫در‬‫ها‬‫مان‬‫ز‬‫سا‬‫چابکی‬‫و‬ ‫ی‬‫پذیر‬‫انعطاف‬‫عدم‬
•‫ان‬‫ر‬‫ب‬‫ر‬‫کا‬‫ضایتی‬‫ر‬‫نا‬ ‫ایش‬‫ز‬‫اف‬.
5

6. ‫کار‬ ‫و‬ ‫کسب‬ ‫اهداف‬
o‫اهداف‬ ‫این‬ ‫به‬ ‫دستیابی‬ ‫ای‬‫ر‬‫ب‬ ‫وکار‬‫کسب‬ ‫آیندهای‬‫ر‬‫ف‬
•‫آیندهای‬‫ر‬‫ف‬IT‫و‬‫ل‬‫کنتر‬ ،‫مدیریت‬ ‫ای‬‫ر‬‫ب‬...
•‫منابع‬IT‫و‬‫اطالعات‬‫کردن‬ ‫اهم‬‫ر‬‫ف‬ ‫جهت‬...
 4 Domains
 34 Processes/High-Level Control Objectives
 318 Activities/Detailed Control Objectives
6

7.  7

8. ،‫احی‬‫ر‬‫ط‬‫بر‬ ‫داخلی‬ ‫ل‬‫کنتر‬ ‫تعریف‬ ‫چگونگی‬
‫د‬‫ر‬‫گذا‬ ‫می‬ ‫اثر‬ ‫آن‬ ‫یابی‬‫ز‬‫ار‬ ‫و‬ ‫ا‬‫ر‬‫اج‬.
8

9. ‫های‬‫ر‬‫ساختا‬‫و‬ ‫عملیات‬ ،‫ها‬‫سه‬‫و‬‫پر‬ ،‫ها‬ ‫سیاست‬
‫اه‬‫تحقق‬‫ز‬‫ا‬ ‫قبولی‬ ‫قابل‬ ‫تضمین‬ ‫که‬ ‫مانی‬‫ز‬‫سا‬‫داف‬
‫و‬ ‫اصالح‬ ‫و‬ ‫شناسایی‬ ،‫ی‬‫پیشگیر‬ ‫و‬ ‫وکار‬ ‫کسب‬‫قایع‬
‫کنند‬ ‫می‬‫ائه‬‫ر‬‫ا‬ ‫نامطلوب‬.
9

10. ‫چیز‬ ‫همه‬ ‫کردن‬‫چک‬
‫قوانین‬ ‫محدوده‬ ‫از‬ ‫نشدن‬ ‫خارج‬
‫یسک‬‫ر‬ ‫کاهش‬
‫ها‬ ‫ش‬‫و‬‫ر‬‫به‬ ‫بر‬ ‫بودن‬ ‫مبتنی‬
‫شوند‬ ‫می‬ ‫تبعیت‬ ‫ز‬‫هنو‬‫قوانین‬ ‫اینکه‬ ‫اثبات‬.
‫شوند‬ ‫می‬ ‫انجام‬ ‫دها‬‫ر‬‫استاندا‬ ‫به‬ ‫توجه‬ ‫با‬ ‫عملیات‬ ‫اینکه‬ ‫تضمین‬.
‫حسابرسان‬ ‫به‬ ‫کمک‬
10

11. 11
‫هدف‬‫نتیجه‬ ‫و‬‫مطلوب‬ ‫ای‬‫طریق‬ ‫از‬ ‫که‬‫پیاده‬
‫کنترلی‬ ‫های‬‫سه‬‫و‬‫پر‬ ‫ی‬‫ساز‬‫فعالیت‬ ‫یک‬ ‫در‬IT
‫آیند‬ ‫می‬ ‫بدست‬ ‫خاص‬.

12. 12
•‫کردن‬‫سیستماتیک‬
•‫ی‬‫مستندساز‬
•‫شده‬ ‫تعریف‬‫ات‬‫ر‬‫انتظا‬،‫دها‬‫ر‬‫استاندا‬
•‫ی‬‫گیر‬ ‫ه‬‫ز‬‫اندا‬
•‫مناسب‬‫یسک‬‫ر‬‫یابی‬‫ز‬‫ار‬
•‫شوند‬ ‫تعریف‬‫خوبی‬ ‫به‬‫عملیاتی‬ ‫و‬‫کنترلی‬ ‫اهداف‬.
•‫مناسب‬‫های‬‫ل‬‫کنتر‬
•‫اعتماد‬ ‫قابل‬‫و‬ ‫صالح‬ ‫اد‬‫ر‬‫اف‬
•‫ت‬‫ر‬‫نظا‬‫و‬‫یابی‬‫ز‬‫ار‬

13. Desired
state of system
Goals and plans
Observe
actual state
of system
Observations Document
actual state
of system
Documentation
Evaluate
systemEvaluation
Recommend
changes to
system
Recommendations
13

14. CRITERIA
via CobiT
Goals and plans
Observe
the process
& controls
Gain Understanding
Observations Document
The process
& controls
AWP & Work Papers
Test & Evaluate
Process &
controls
Draw
Conclusions
Recommend
Changes if
needed
Report Recommendations
14

15.  15

16. 4‫اصلی‬ ‫ه‬‫ز‬‫حو‬COBIT‫شود‬ ‫می‬ ‫یر‬‫ز‬ ‫د‬‫ر‬‫موا‬ ‫شامل‬:
 MONITORING (MO)
‫ت‬‫ر‬‫نظا‬
 PLANNING & ORGANIZATION (PO)
‫ماندهی‬‫ز‬‫سا‬ ‫و‬ ‫ی‬‫یز‬‫ر‬ ‫برنامه‬
 ACQUISITION & IMPLEMENTATION (AI)
‫ا‬‫ر‬‫اج‬ ‫و‬‫تهیه‬
 DELIVERY & SUPPORT (DS)
‫پشتیبانی‬ ‫و‬ ‫تحویل‬
16

17. 17

18.  PO1- Define a strategic IT plan
 PO2- Define the Information architecture
 PO3- Determine technical direction
 PO4- Define IT Organization and
relationships
 PO5- Manage the investment in IT
‫پرداختن‬‫ک‬ ‫اهی‬‫ر‬‫شناسایی‬ ‫بر‬ ‫تمرکز‬ ‫و‬ ‫ها‬ ‫تاکتیک‬ ‫و‬‫ی‬‫اتژ‬‫ر‬‫است‬ ‫به‬‫ه‬IT‫بتواند‬‫به‬
‫اهداف‬ ‫به‬ ‫شیوه‬ ‫بهترین‬‫وکار‬ ‫کسب‬‫یابد‬ ‫دست‬.
‫ی‬‫اتژ‬‫ر‬‫است‬‫آیا‬IT‫می‬ ‫ل‬‫کنتر‬ ‫ی‬‫موثر‬ ‫ر‬‫طو‬‫به‬‫و‬ ‫شود‬‫وک‬ ‫کسب‬ ‫اهداف‬ ‫به‬‫آیا‬‫ار‬
‫کند؟‬ ‫می‬ ‫کمک‬
 PO6- Communicate management aims and
directions
 PO7- Manage Human Resources
 PO8- Ensure compliance with external
requirements
 PO9- Assess risks
 PO10- Manage projects
 PO11- Manage quality
18

19.  AI1- Identify solutions
 AI2- Acquire and maintain application software
 AI3- Acquire and maintain technology architecture
 AI4- Develop and maintain IT procedures
 AI5- Install and accredit systems
 AI6- Managing changes
‫ی‬‫اتژ‬‫ر‬‫است‬ ‫درک‬ ‫ای‬‫ر‬‫ب‬IT‫های‬‫حل‬ ‫اه‬‫ر‬ ‫که‬‫است‬ ‫نیاز‬ ،IT‫داده‬ ‫توسعه‬ ‫و‬‫شناسایی‬
‫شوند‬ ‫چه‬‫ر‬‫یکپا‬ ‫وکار‬ ‫کسب‬ ‫آیندهای‬‫ر‬‫ف‬ ‫با‬ ‫همچنین‬ ‫و‬ ‫شوند‬.
‫های‬‫حل‬ ‫اه‬‫ر‬ ‫ی‬‫ساز‬ ‫پیاده‬ ‫و‬ ‫انتخاب‬‫آیند‬‫ر‬‫ف‬ ‫آیا‬IT‫یک‬‫فرآیند‬‫است؟‬ ‫شده‬ ‫ل‬‫کنتر‬
‫کند؟‬ ‫می‬ ‫ده‬‫ر‬‫آو‬‫ر‬‫ب‬ ‫ا‬‫ر‬ ‫ل‬‫کنتر‬‫دهای‬‫ر‬‫استاندا‬ ‫آیند‬‫ر‬‫ف‬ ‫این‬‫آیا‬
19

20.  DS1- Define service levels
 DS2- Manage Third Party services
 DS3- Manage performance
capacity
 DS4- Ensure continuous service
 DS5- Ensure systems security
 DS6- Identify and allocate costs
 DS7- Educate and train users
 DS8- Assist and advise IT customers
 DS9- Manage the configuration of IT systems
 DS10- Manage problems and incidents
 DS11- Manage data
 DS12- Manage facilities
 DS13- Manage operations
‫نیاز‬ ‫د‬‫ر‬‫مو‬‫اطالعاتی‬ ‫خدمات‬ ‫واقعی‬ ‫تحویل‬ ‫به‬ ‫پرداختن‬
‫شوند؟‬ ‫می‬ ‫ائه‬‫ر‬‫ا‬ ‫شده‬ ‫ل‬‫کنتر‬‫ش‬‫و‬‫ر‬ ‫یک‬ ‫در‬ ‫اطالعاتی‬‫های‬ ‫یس‬‫و‬‫سر‬ ‫آیا‬
20

21. ‫آیندهای‬‫ر‬‫ف‬ ‫تمام‬ ‫است‬ ‫نیاز‬IT‫با‬ ‫انطباق‬ ‫و‬ ‫نظرکیفی‬ ‫از‬ ‫مان‬‫ز‬ ‫ل‬‫طو‬ ‫در‬ ‫و‬ ‫منظم‬‫ر‬‫طو‬ ‫به‬
‫شوند‬ ‫یابی‬‫ز‬‫ار‬ ‫قوانین‬ ‫و‬ ‫ها‬ ‫ل‬‫کنتر‬.
‫حسابرسان‬‫محیط‬ ‫که‬ ‫کنند‬ ‫حاصل‬ ‫اطمینان‬ ‫تا‬ ‫دهند‬ ‫انجام‬ ‫هایی‬‫سه‬‫و‬‫پر‬ ‫باید‬IT
‫کند‬ ‫می‬ ‫ده‬‫ر‬‫آو‬‫ر‬‫ب‬ ‫ها‬ ‫ل‬‫کنتر‬‫به‬ ‫توجه‬ ‫با‬ ‫ا‬‫ر‬ ‫شده‬ ‫تعیین‬ ‫پیش‬ ‫از‬ ‫دهای‬‫ر‬‫استاندا‬.
 M1- Monitor the process
 M2- Obtain independent assurance
21

22. 22

23. ‫اجع‬‫ر‬‫م‬‫و‬ ‫منابع‬
1. Kerr, D.S., Murthy, U.S., “The importance of the COBIT framework IT processes for effective internal
control over financial reporting in organizations”, Information & Management, 50 (2013) 590–597.
2. Shi, W., Wang, R., “Dynamic internal control performance over financial reporting and external
financing”, Journal of Contemporary Accounting & Economics, 8 (2012) 92–109.
3. Spatacean, I.O., ”Addressing Fraud Risk by Testing the Effectiveness of Internal Control over
Financial Reporting Case of Romanian Financial Investment Companies”, Procedia Economics and
Finance, 3 ( 2012 ) 230 – 235.
4. Enslin, Z., “Cloud computing adoption: Control objectives for information and related technology
(COBIT) – mapped risks and risk mitigating controls”, African Journal of Business Management, 6
(2012) 10185-10194.
5. Bernroider, E.,Ivanov, M., ” IT project management control and the Control Objectives for IT and
related Technology (COBIT) framework”, International Journal of Project Management, 29 (2011)
325–336.
6. Qian, J., Ward, K., Blaskovich , J., “Integrating IT Frameworks into the AIS Course”, AIS Educator
Journal, 7 (2012) Page 2.
7. Yang, M.H., Lin, W.SH., Koo, T.L., “The impact of computerized internal controls adaptation on
operating performance”, African Journal of Business Management, 5(2011)8204-8214.
8. Omari, L.A., Barnes, P., Pitman, G., ”Optimizing COBIT 5 for IT Governance: Examples from the
Public Sector”, International Conference on Applied and Theoretical Information Systems Research,
December 27-29, 2012, Taipei, Taiwan.
23

24.  24