Calcolare l'assurance per la conformità
L'assurance è un calcolo che rappresenta la fiducia dell'organizzazione nel soddisfacimento dei requisiti. L'assurance è un calcolo prezioso in una mappa di conformità, perché mostra quanto lavoro è necessario fare per conformarsi a una norma o regolamento specifico.
Come funziona
Dopo aver mappato i controlli ai requisiti e specificato un peso di controllo per ciascun controllo, i punteggi di assurance vengono visualizzati automaticamente nella mappa di conformità.
Come vengono visualizzati i punteggi di assurance?
La mappa di conformità mostra i punteggi di assurance sia a livello di requisiti che a livello di norme/regolamenti. Ogni punteggio di assurance viene visualizzato come percentuale compresa tra 0 e 100.
Punteggi di assurance di esempio
Accanto alla norma viene visualizzato un singolo punteggio di assurance medio (Framework COBIT 5).
I punteggi di assurance aggregati vengono visualizzati accanto ai requisiti calcolati (APO e APO01).
I punteggi di assurance individuali vengono visualizzati accanto ai requisiti lavorativi (APO01.01 - APO01.08).
Il Requisito APO01.04 ha un punteggio di assurance del 100%, il che significa che l'organizzazione è sicura che il Requisito APO01.04 sia effettivamente soddisfatto dai controlli attualmente in atto.
Framework COBIT 5 ha un punteggio di assurance pari a 81,25%, il che significa che l'organizzazione sta procedendo bene in termini di piena conformità alla norma.
Come vengono calcolati i punteggi di assurance?
I punteggi di assurance vengono calcolati in base a quanto segue:
- Requisiti operativi e calcolati
- Assurance attesa
- Punteggio del controllo e assurance effettiva
Nota
L'assurance attesa, il punteggio del controllo e l'assurance effettiva non vengono visualizzati nella mappa di conformità.
| Calcolo | Formula |
|---|---|
| Assurance sui requisiti operativi | Assurance effettiva/Assurance attesa |
| Assurance sui requisiti calcolati e assurance a livello di norme o regolamenti | SUM (Assurance effettiva sui requisiti operativi dei discendenti)/SUM (Assurance attesa sui requisiti operativi dei discendenti) |
Requisiti operativi vs. requisiti calcolati
La mappa di conformità è composta da requisiti operativi e requisiti calcolati. I requisiti operativi sono contrassegnati nella mappa di conformità da un'icona 
.
- Requisiti operativi requisiti che sono stati mappati direttamente ai controlli
- Requisiti calcolati antenati o discendenti dei requisiti operativi
Esempio
Scenario
Si creano le seguenti mappature:
- Requisito 1.1.1 al Controllo A
- Requisito 1.1.2 al Controllo B
Risultato
| Requisito | Tipo di requisito | Controlli mappati |
|---|---|---|
| Requisito 1 | Calcolato | Controlli correlati (A, B) |
|
Calcolato | Controlli correlati (A, B) |
|
Operativo | A |
|
Operativo | B |
Assurance attesa
L'assurance attesa è un calcolo che deriva dalle aspettative dell'organizzazione sul soddisfacimento dei requisiti.
| Tipo di requisito | Calcolo dell'assurance attesa |
|---|---|
| Operativo |
Assurance attesa = 1 Nota
Si tratta di un punteggio di riferimento che rappresenta l'assurance prima che i controlli vengano testati. |
| Calcolato | SUM (Assurance attesa sui requisiti operativi discendenti) |
Esempio
I requisiti 1.1.1 e 1.1.2 sono requisiti operativi e ciascuno ha un'assurance attesa pari a 1.
I requisiti 1 e 1.1 sono requisiti calcolati. L'assurance attesa è aggregata all'albero dei requisiti.
- Assurance attesa del Requisito 1.1 = 2 (1 + 1)
- L'assurance attesa del Requisito 1 è la stessa del Requisito 1.1 (2)
| Requisito | Tipo di requisito | Assurance attesa |
|---|---|---|
| Requisito 1 | Calcolato | 2 |
| Requisito 1.1 | Calcolato | 2 |
|
Operativo | 1 |
|
Operativo | 1 |
Punteggio del controllo e assurance effettiva
Punteggio del controllo
Il punteggio del controllo è un calcolo che deriva dal superamento, dal fallimento o dalla mancata esecuzione dei test del controllo.
Il punteggio del controllo per ciascuna mappatura tra un controllo e un requisito viene calcolato come segue:
- Se tutti i test del controllo vengono superati, O almeno uno di quelli applicabili viene superato mentre gli altri non sono stati effettuati, il punteggio del controllo = 1
- Se un test del controllo fallisce, il punteggio del controllo = 0
Assurance effettiva
L'assurance effettiva è un calcolo che deriva dal superamento o meno dei test del controllo e dalla percentuale del requisito coperto dal controllo.
- L'assurance effettiva per ciascuna mappatura tra un controllo e un requisito viene calcolata utilizzando la seguente formula:
Peso del controllo x Punteggio del controllo
- L'assurance effettiva di un requisito viene calcolata utilizzando la seguente formula:
SUM (Assurance effettiva di tutte le mappature dei requisiti del controllo)
Esempio
Scenario
Il Requisito 1.1.1 viene mappato al Controllo A e il Requisito 1.1.2 al Controllo B.
Si specifica il peso di controllo del Controllo A e del Controllo B come 50%. Tutti i test vengono superati per il Controllo A, ma un test non viene superato per il Controllo B.
Risultato
| Requisito | Tipo di requisito | Controlli mappati | Assurance attesa | Peso del controllo | Tutti i test sono stati superati? | Punteggio del controllo | Assurance effettiva |
|---|---|---|---|---|---|---|---|
| Requisito 1 | Calcolato | Controlli correlati (A, B) | 2 | -- | -- | -- | 0,5 |
|
Calcolato | Controlli correlati (A, B) | 2 | -- | -- | -- | 0,5 |
|
Operativo | A | 1 | 50% | Sì | 1 | 0,5 |
|
Operativo | B | 1 | 50% | No | 0 | 0 |
Assurance in azione
L'organizzazione deve conformarsi al Framework COBIT 5. Si avvia un programma di conformità per:
- mostrare l'impegno dell'organizzazione nel soddisfare gli obblighi di legge e le considerazioni a cui l'azienda deve far fronte
- dimostrare la dovuta diligenza
- chiarire i limiti della condotta ammissibile per lo staff dell'organizzazione
- prevedere la possibilità di mitigare i costi della non conformità
Esempio
Passaggio 1: mappare i controlli ai requisiti
Per conformarsi al Framework COBIT 5, si identificano i requisiti applicabili e si mappano i controlli ai requisiti:
| Requisito | Controlli mappati |
|---|---|
| Requisito 1 | Controlli correlati (A, B) |
|
A |
|
B |
| Requisito 2 | Controlli correlati (C, D) |
|
C |
|
D |
Risultato I requisiti 1.1, 1.2, 2.1 e 2.2 sono tutti requisiti operativi e ciascuno ha un punteggio di assurance attesa pari a 1. Il Requisito 1 e il Requisito 2 hanno ciascuno un punteggio di assurance attesa pari a 2, in base all'aggregazione all'albero dei requisiti (1 + 1 = 2).
Passaggio 2: specificare il peso del controllo e testare i controlli
Dopo aver mappato i controlli, si specifica la percentuale di ogni controllo che copre ciascun requisito e si testano i controlli per verificare se vengono superati o meno.
| Requisito | Controlli mappati | Peso del controllo | Test superato |
|---|---|---|---|
| Requisito 1 | Controlli correlati (A, B) | -- | -- |
|
A | 50% | Sì |
|
B | 25% | Sì |
| Requisito 2 | Controlli correlati (C, D) | -- | |
|
C | 25% | No |
|
D | 25% | Sì |
Risultato I test per i controlli A, B e D sono stati superati e ciascuno riceve un punteggio di controllo pari a 1. Il test per il controllo C non è stato superato, quindi riceve un punteggio del controllo pari a 0.
Passaggio 3: visualizzare i punteggi di assurance
Dopo aver specificato il peso del controllo e aver testato i controlli, si visualizzano i punteggi di assurance per ciascun requisito e il punteggio di assurance totale per Framework COBIT 5.
L'assurance effettiva per ciascuna mappatura tra un controllo e un requisito viene calcolata come segue:
Peso del controllo x Punteggio del controllo
L'assurance sui requisiti operativi viene calcolata come segue:
Assurance effettiva/Assurance attesa
L'assurance sui requisiti calcolati e l'assurance a livello di norme o regolamenti vengono calcolate come segue:
SUM (Assurance effettiva sui requisiti operativi dei discendenti)/SUM (Assurance attesa sui requisiti operativi dei discendenti)
| Requisito | Assurance attesa | Assurance effettiva | Assurance |
|---|---|---|---|
| Requisito 1 | 2 | 0,75 | 38% |
|
1 | 0,5 | 50% |
|
1 | 0,25 | 25% |
| Requisito 2 | 2 | 0,25 | 13% |
|
1 | 0 | 0% |
|
1 | 0,25 | 25% |
Risultati aggregati
- Assurance attesa = 4
(Assurance attesa dei Requisiti 1 e 2 = 2 + 2)
- Assurance effettiva = 1
(Assurance effettiva dei Requisiti 1 and 2 = 0,75 + 0,25)
- Assurance = 25%
(Assurance effettiva divisa per assurance attesa = 1 / 4)
Si dimostra l'impegno dell'organizzazione nel condurre le proprie attività in conformità al Framework COBIT 5. Tuttavia, c'è ancora una notevole quantità di lavoro che l'organizzazione deve svolgere per conformarsi pienamente al Framework COBIT 5.
Quali modifiche hanno un impatto sul meccanismo dell'assurance?
Vi sono diverse modifiche che hanno un impatto sul meccanismo dell'assurance.
| Modifica | Impatto |
|---|---|
| Si specifica che un requisito non è applicabile. | Tutti i controlli del framework mappati al requisito e gli eventuali requisiti discendenti nel relativo gruppo vengono automaticamente rimossi dalla mappatura e non vengono calcolati come parte del punteggio di assurance. |
| Si modifica l'ambito di applicazione di una norma o di un regolamento. | Tutti i controlli del framework mappati ai requisiti fuori ambito vengono automaticamente rimossi dalla mappatura e non vengono calcolati come parte del punteggio di assurance. |
| Si annulla la mappatura di un controllo del framework da un requisito. | Tutti i risultati del testing e le issue relative ai progetti associati al framework non verranno aggregati alla mappa di conformità e il punteggio di assurance verrà aggiornato. |
| Si definisce un peso di controllo di un controllo del framework all'interno della mappa di conformità. | Il punteggio di assurance effettiva (non mostrato nelle mappe di conformità) viene ricalcolato e il punteggio di assurance viene aggiornato. |
| Si importano obiettivi o controlli e / si sincronizzano le modifiche da un framework a un progetto. | Se un controllo del framework viene mappato a un requisito, tutti i risultati del testing e le issue nel progetto verranno aggregati alla mappa di conformità e il punteggio di assurance verrà aggiornato. |
| Si archivia un progetto o si esegue il rollforward di un progetto archiviato precedentemente sincronizzato con i controlli del framework utilizzati nelle mappe di conformità. | Solo i risultati del testing e le issue relative ai progetti attivi vengono aggregati alla mappa di conformità. Il punteggio di assurance si aggiorna ed esclude i risultati del testing e le issue dal progetto archiviato o sottoposto a rollforward. |
| Si annulla l'archiviazione di un progetto sincronizzato con i controlli del framework utilizzati nelle mappe di conformità. | Il punteggio di assurance si aggiorna e i risultati del testing e le issue relative al progetto non archiviato vengono aggregati nella mappa di conformità. |
