COSO در مقابل COBIT، این دو چارچوب کنترلی حسابرسی محبوب برای جلوگیری از تقلب و اعمال رویکرد مدیریت ریسک سازمانی ERM برای کنترلهای داخلی بر روی گزارشگری مالی، حاکمیت و فناوری اطلاعات طراحی شدهاند، اما آیا باید فقط یکی را انتخاب کرد؟
بین COSO و COBIT هم پوشانی وجود دارد، و چند تفاوت کلیدی که این دو چارچوب را برای سازمانهایی که باید انطباق SOX را حفظ کنند و دارای یک محیط IT پیچیده هستند، بسیار مکمل یکدیگر میسازد. درباره شباهتها و تفاوتهای بین COSO و COBIT، کاربردهای آنها در پیشگیری از تقلب، حسابرسی داخلی و بهترین روش ادغام این سیستمها برای برآورده کردن نیازهای سازمان تان باید بیشتر بدانید.
COSO مخفف چیست؟
COSO مخفف کمیته سازمان های حامی کمیسیون ترد وی است، اما مخفف آن به عنوان مخفف چارچوب COSO برای کنترل های داخلی نیز استفاده می شود. COSO در سال 1985 توسط پنج سازمان بخش خصوصی برای مبارزه با تقلب و ایجاد استانداردهایی برای کنترل های داخلی تاسیس شد: موسسه حسابداران رسمی آمریکا (AICPA)، سازمان حسابداری آمریکا (AAO)، موسسه حسابرسان داخلی (IIA)، موسسه حسابداران مدیریت (IMA) و مدیران مالی بین المللی (FEI) COSO بر کمیسیون ملی گزارشگری مالی تقلب، که بطور غیر رسمی به عنوان کمیسیون تردوی نامیده می شود، پس از اولین رئیس آن، جیمز تردوی، نظارت داشت. چارچوب COSO برای کنترل های داخلی از اولین گزارش کمیسیون تردوی در سال 1987 رشد کرد.
چارچوب COSO برای چه مواردی استفاده می شود؟
چارچوب COSO کنترل های داخلی برای سازماندهی کنترل های داخلی استفاده می شود که از گزارش دهی متقلبانه فعالیت های مالی جلوگیری می کند. این اصول راهنمایی برای کنترل های داخلی در کل شرکت ارائه می کند. COSO همچنین یک چارچوب محبوب برای مدیریت ریسک سازمانی (ERM) منتشر کرده است.
آیا COSO به همراه SOX مورد استفاده است؟
COSO برای کمک به انطباق SOX طراحی شده است، اما بین COSO و SOX تفاوت وجود دارد. قانون Sarbanes-Oxley در سال 2002 توسط سناتور ایالات متحده Paul Sarbanes و نماینده ایالات متحده مایکل Oxley در پاسخ به فعالیت های کلاهبرداری که منجر به نابودی شرکت هایی مانند Enron و Tyco شد، تصویب شد. طبق Sec.404، SOX ایجاب میکند که شرکتها کنترلهای داخلی را برای پیشگیری از تقلب حفظ کرده و در مورد آن گزارش دهند و مدیر عامل و مدیر مالی سازمان را بهطور کیفری در قبال فعالیتهای متقلبانه مسئول میسازد. با این حال، SOX چارچوبی برای آن کنترلهای داخلی ارائه نمیکند. COSO این کار را انجام می دهد، و به طور خاص برای عملیاتی کردن قوانین SOX ایجاد شده است، و به مدیران مسیر روشنی را برای انطباق با SOX می دهد.
COBITمخفف چیست؟
COBIT مخفف عبارت Control Objectives for Information and Related Technologies است. این چارچوب فناوری اطلاعات توسط ISACA، انجمن سیستم های اطلاعاتی و کنترل حسابرسی در سال 1996 تأسیس شد و در کمک به سازمان ها در توسعه کنترل های داخلی برای جلوگیری از تقلب نقش اساسی داشته است. به طور خاص، COBIT به استانداردی برای توسعه مدیریت و راهبری فناوری اطلاعات برای جلوگیری از تقلب تبدیل شده است.
چارچوب COBIT چیست؟
چارچوب اصلی COBIT 5 یک دستورالعمل برای ایجاد یک سیستم فناوری اطلاعات ایمن برای گزارش ریسک مالی بود که به خوبی در مدیریت و حاکمیت کسب و کار شما یکپارچه شده است. "5" در چارچوب COBIT 5 مخفف پنج اصل سازماندهی COBIT است. COBIT 5 شامل پنج اصل می باشد: 1) رفع نیازهای ذینفعان، 2) پوشش سراسری سازمان، 3) استفاده یک چارچوب یکپارچه واحد، 4) ایجاد یک رویکرد جامع، و 5) تفکیک حاکمیت از مدیریت.
ISACA از آن زمان COBIT 5 را به روز کرد تا به COBIT 2019 تبدیل شود. به روز رسانی شش اصل کمی تجدید سازمان و طبقه بندی مجدد ارائه می دهد.
|
|
این شش اصل عبارتند از: 1) تأمین ارزش ذینغعان، 2) رویکرد کل نگر، 3) سیستم حکمرانی پویا، 4) تمایز حکمرانی از مدیریت، 5) تناسب سازی با نیازهای شرکت، و 6) سیستم حکمرانی سراسری.
اصول حکمرانی در COBIT 5 در مقابل COBIT 2019
|
اصول COBIT 2019 |
|
اصول COBIT 5 |
اساساً، شش اصل COBIT 2019، پنج اصل اصلی را سازماندهی و روشن می کند و مشخص می کند که سیستم حکمرانی یک «چارچوب یکپارچه» است، و یک اصل جداگانه برای مشخص کردن نیازهای شرکت ارائه می دهد.
چارچوب COBIT برای چه مواردی استفاده می شود؟
چارچوب COBIT دستورالعمل های دقیقی را برای نحوه طراحی و پیاده سازی زیرساخت IT ایمن، مرتبط با مدیریت و حاکمیت کسب و کار ارائه می دهد.
چرا چارچوب های COSO و COBIT مهم هستند؟
چارچوب های COSO و COBIT هر دو برای ایجاد، مدیریت و حفظ کنترل های داخلی برای جلوگیری از تقلب مفید هستند. COSO چارچوبی فراگیر برای پیشگیری از تقلب از طریق مدیریت ریسک فراهم می کند و COBIT به شما کمک می کند تا اطمینان حاصل کنید که سیستم IT شما این کنترل ها را ارتقاء می بخشد. در نهایت، استفاده از این چارچوبها برای توسعه کنترلهای داخلی قوی، سازمان شما را تقویت میکند و از آن در برابر عدم انطباق SOX و هزینههای SEC برای گزارش تقلبی فعالیتهای مالی محافظت میکند.
شباهت های بین COSO و COBIT چیست؟
علیرغم تفاوت های آن ها، هم پوشانی قوی بین COSO و COBIT وجود دارد و هر دو برای گزارش ریسک مالی ضروری هستند. COSO و COBIT دو چارچوب کنترل داخلی سازگار و هم افزا هستند که می توانند با هم برای پوشش پیشگیری از تقلب به طور کلی و کیفیت یک سیستم فناوری اطلاعات طراحی شده برای جلوگیری از تقلب استفاده شوند.
تفاوت بین COSO و COBIT چیست؟
چند تفاوت کلیدی در هدف، دامنه و سطح جزئیات وجود دارد که COSO و COBIT را در مقابل اضافی بودن، بسیار مکمل میکند. مقایسه COSO و COBIT بدین شرح است:
1. هدف
هر دو COSO و COBIT به عنوان چارچوب هایی برای کنترل های داخلی طراحی شده اند، اما COSO بر روی امانت داری و گزارش ریسک مالی به طور گسترده تر و COBIT بر ساختار و امنیت سیستم فناوری اطلاعات متمرکز هستند.
2. دامنه
COSO ساختار مفهومی را برای گزارش ریسک مالی فراهم می کند و COBIT زمان صرف توسعه یک جزء از آن ساختار می کند. این منطقی است زیرا COSO برای پوشش تمام جنبه های گزارش مالی یک شرکت و بزرگنمایی COBIT برای پوشش دادن طراحی خاص سیستم های اطلاعاتی، حاکمیت فناوری اطلاعات و استانداردهای امنیت سایبری است.
3. سطح جزئیات
از آنجایی که COBIT به عنوان یک رویکرد مدیریت ریسک کاربردی برای جلوگیری از گزارشگری مالی متقلبانه طراحی شده است و COSO برای ارائه راهنمایی های گسترده تر و مشخص کردن مفاد ERM برای پیشگیری از تقلب طراحی شده است، COBIT جزئیات بیشتری در مورد نحوه اجرای واقعی کنترل ها ارائه می دهد. دامنه محدودتر COBIT به این معنی است که جزئیات بیشتری را در مورد امنیت فناوری اطلاعات نسبت به COSO ارائه می دهد و چگونگی ایجاد چشم انداز فناوری اطلاعات را برای جلوگیری از تقلب توضیح می دهد.
آیا سازمان ها به COBIT و COSO نیاز دارند؟
سازمانی که باید با SOX سازگار باشد و دارای یک محیط فناوری اطلاعات پیچیده باشد، از استفاده همزمان COBIT و COSO سود می برد. آن ها می توانند به طور یکپارچه ادغام شوند تا پوشش کامل پیشگیری از کلاهبرداری را برای سازمان شما فراهم کنند.
چگونه یک سیستم خودکار می تواند به نگاشت COSO و COBIT کمک کند؟
میتوانید از صفحهگستردهای مانند صفحهگستردهای که AICPA ارائه میکند، برای پیگیری انطباق COSO در مقابل COBIT و تجسم نحوه تطبیق دو چارچوب استفاده کنید، اما صفحهگسترده خودش بهروزرسانی نمیشود و یکنواخت و زمانبر است. به خصوص با نزدیک شدن به مرحله نظارت COSO و تلاش برای رفع نیازهای ذینفعان از طریق COBIT، نرم افزار مدیریت انطباق مناسب می تواند روند نقشه برداری COSO و COBIT را تسهیل کند، در وقت شما صرفه جویی کند و به شما کمک کند کنترل های داخلی قوی برای جلوگیری از تقلب ایجاد کنید.
