SOX, COSO e COBIT – parte prima
Inserito da Agatino Grillo il Lun, 2006-10-23 07:00
CobiT | Compliance | IS Audit & Control | IT Governance | Ottobre 2006
061023-coso-cobit
Ai primi di ottobre 2006 ISACA ha rilasciato
la seconda edizione di "IT Control Objectives for Sarbanes-Oxley" (pdf,
890K).
In questa serie di articoli, utilizzando questo documento, affronteremo i seguenti temi:
Come è noto il Sarbanes-Oxley Act è una legge del Congresso degli Stati Uniti, in vigore dal luglio 2002, approvata dopo una serie di scandali finanziari per ristabilire la fiducia dei mercati attraverso il rafforzamento dei sistemi di controllo in azienda.
In particolare la sezione 404 dell’Act richiede alla aziende quotate nelle borse USA di fare annualmente un assessment sulla base del quale sottoscrivere l’efficacia dei controlli interni rispetto ai risultati economici comunicati al mercato. Ovviamente il sistema di controllo interno non può che fare grande affidamento sull’information technology e dunque in conclusione la correttezza delle comunicazioni economiche dipende dal fatto che l’IT sia ben controllato.
Ma quali controlli IT devono essere presi in considerazione?
Dal punto di vista di SOX solo quelli che hanno a che fare con l’efficacia e dunque non sono da prendere in considerazione (per tale finalità) quelli cosiddetti operativi o volti all’efficienza.
Il SOX 404 infine richiede che auditor esterni (all’azienda) rilascino una “opinion” sull’adeguatezza dell’assessment del management e facciamo un proprio assessment sull’efficacia dei controlli sul financial reporting.
Il PCAOB ha emanato nel giugno 2004 l’auditing standard No. 2 "An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements" ove si richiede all’auditor di valutare il flusso delle transazioni IT (comprese le fasi di inizializzazione, autorizzazione, registrazione dei dati, creazione dei report) coinvolte nel financial reporting. In particolare, lo standard chiarisce che quattro controlli IT devono essere presi in considerazione per la Sarbanes-Oxley:
Nella seconda parte si analizzerà lo standard COSO.
Altri articoli pubblicati per IsacaRoma Newsletter
In questa serie di articoli, utilizzando questo documento, affronteremo i seguenti temi:
- cos’è la Sarbanes-Oxley (SOX) e quali adempimenti comporta per il management aziendale e l’IS Auditor;
- cos’è COSO;
- che rapporto c’è tra COSO e COBIT;
- come COBIT può essere utilizzato per la conformità ai requisiti SOX (che è poi il contenuto principale del documento ISACA di cui sopra).
Cos’è la Sarbanes-Oxley?
L’appendice A "Sarbanes-Oxley Primer" dell ' "IT Control Objectives for Sarbanes-Oxley" sintetizza le problematiche più importanti della recente normativa USA dal punto di vista del management aziendale e dell’IS auditor.Come è noto il Sarbanes-Oxley Act è una legge del Congresso degli Stati Uniti, in vigore dal luglio 2002, approvata dopo una serie di scandali finanziari per ristabilire la fiducia dei mercati attraverso il rafforzamento dei sistemi di controllo in azienda.
In particolare la sezione 404 dell’Act richiede alla aziende quotate nelle borse USA di fare annualmente un assessment sulla base del quale sottoscrivere l’efficacia dei controlli interni rispetto ai risultati economici comunicati al mercato. Ovviamente il sistema di controllo interno non può che fare grande affidamento sull’information technology e dunque in conclusione la correttezza delle comunicazioni economiche dipende dal fatto che l’IT sia ben controllato.
Ma quali controlli IT devono essere presi in considerazione?
Dal punto di vista di SOX solo quelli che hanno a che fare con l’efficacia e dunque non sono da prendere in considerazione (per tale finalità) quelli cosiddetti operativi o volti all’efficienza.
Il SOX 404 infine richiede che auditor esterni (all’azienda) rilascino una “opinion” sull’adeguatezza dell’assessment del management e facciamo un proprio assessment sull’efficacia dei controlli sul financial reporting.
PCAOB
Insieme al SOX è stato anche istituito il "Public Company Accounting Oversight Board " (PCAOB) un’agenzia governativa che ha il compito di vigilare sull'attività delle società di revisione (o auditor esterni), il cosiddetto "auditors' auditor".Il PCAOB ha emanato nel giugno 2004 l’auditing standard No. 2 "An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements" ove si richiede all’auditor di valutare il flusso delle transazioni IT (comprese le fasi di inizializzazione, autorizzazione, registrazione dei dati, creazione dei report) coinvolte nel financial reporting. In particolare, lo standard chiarisce che quattro controlli IT devono essere presi in considerazione per la Sarbanes-Oxley:
- program development,
- program changes,
- computer operations,
- access to programs and data.
Nella seconda parte si analizzerà lo standard COSO.
IsacaRoma link
COSO Enterprise Risk Management FrameworkChi è Agatino Grillo?
Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA.Altri articoli pubblicati per IsacaRoma Newsletter
- OWASP: la sicurezza di AJAX, a colloquio con Stefano Di Paola e Giorgio Fedon
- ENISA: Intervista al dott. Louis Marinos, Risk Management Senior Expert
- ENISA: Interview with Dr Louis Marinos, Senior Expert on Risk Management
- Intervista all’ing. Carlo Notari, presidente del PMI Northern Italy Chapter (PMI-NIC)
- Intervista Alberto Revelli Technical Director di OWASP Italy ed autore di sqlninja
- Codice sicuro: intervista a Paolo Perego, thesp0nge, ideatore di OWASP Orizon
- Wikipedia: la voce "IT governance"
- Application security: intervista ad Antonio Parata di OWASP
- Wikipedia: la voce "IS auditing"
- IIA – sesta guida GTAG: "Managing and Auditing IT Vulnerabilities"
- ISACA: Standard, direttive e procedure – l’analisi dei rischi (24-09-2006)
- ISACA: Standard, direttive e procedure – prima parte (23-09-2006)
- Intervista a Ross Anderson (02-11-2005)
- Lezioni di IS Auditing (03-01-2006)
- Conversazione con Simon Singh (28-10-2005)
- COSO Enterprise Risk Management Framework (12-09-2006)
- Bruce Schneier: domande e risposte (01-11-2005)
» email this story | printer friendly version | 8526 reads
