Questa serie di articoli si basa sulla seconda edizione di "IT Control Objectives for Sarbanes-Oxley" (pdf, 890K) di ISACA. Nella prima puntata abbiamo visto cos’è la Sarbanes-Oxley e quali adempimenti comporta per il management e gli auditor. Nella seconda puntata abbiamo analizzare COSO dal punto di vista del sistema di controllo IT.In questa puntata vedremo che rapporti ci sono tra  COSO e COBIT. Nella prossima (ed ultima) puntata vedremo come  COBIT possa essere utilizzato per la conformità ai requisiti SOX.

Il cubo

Nella scorsa puntata abbiamo detto che COSO divide il sistema di controlli interni in cinque componenti:

1. Control environment
2. Risk assessment
3. Control activities
4. Information and communication
5. Monitoring

Queste componenti possono essere visualizzati come layer orizzontale di un cubo tridimensionale; i domini di COBIT - Plan &Organize, Acquire & Implement, Deliver & SupportMonitor & Evaluate – sono un'altra dimensione del cubo. È possibile mappare i processi di COBIT con le componenti di COSO: si noti che più processi COBIT  sono in relazione con una o più componenti COSO. Vediamo in dettaglio uno dei domini (per la mappatura completa si faccia riferimento all’appendice B del documento di ISACA.)

Plan &Organize

I processo COBIT di questo dominio sono:

• Define IT strategic planning
• Define the information architecture
• Determine technological direction
• Define IT process, organization and relationships
• Manage the IT investment
• Communicate management aims and direction
• Manage IT human resources
• Manage quality
• Assess and manage IT risks
• Manage projects

Di questi solo alcuni sono interessati al sistema di controllo COSO, ed in particolare alle componenti di seguito indicate:

• Define IT strategic planning: RA IC M
• Define IT process, organization and relationships: CE IC M
• Communicate management aims and direction: CE, IC
• Manage IT human resources: CE, IC
• Manage quality: CE, CA IC, M
• Assess and manage IT risks: RA

ove le componenti di COSO sono codificate come segue:

• CE - Control Environment
• RA - Risk assessment
• CA - Control activities
• IC - Information and communication
• M - Monitoring

Da COSO a COBIT e viceversa

Ovviamente è possibile raggruppare anche i processi COBIT per componente di controllo di interesse. Per esempio per “IC - Information and communication” abbiamo:

• Define IT strategic planning
• Define IT process, organization and relationships
• Communicate management aims and direction
• Manage IT human resources
• Manage quality

Fine terza parte
Leggi la prima parte
Leggi la seconda parte

IsacaRoma link

COSO Enterprise Risk Management Framework

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA.
Altri articoli pubblicati per IsacaRoma Newsletter

• Security ed information gathering – intervista a Carlo Pelliccioni di OWASP
• ENISA: Interview with Jani Arnell on Emerging Risks
• SOX, COSO e COBIT – parte prima
  
• ENISA: Intervista al dott. Louis Marinos, Risk Management Senior Expert
• ENISA: Interview with Dr Louis Marinos, Senior Expert on Risk Management
• Intervista all’ing. Carlo Notari, presidente del PMI Northern Italy Chapter (PMI-NIC)
• Intervista Alberto Revelli Technical Director di OWASP Italy ed autore di sqlninja
• Codice sicuro: intervista a Paolo Perego, thesp0nge, ideatore di OWASP Orizon
• Wikipedia: la voce "IT governance"
• Application security: intervista ad Antonio Parata di OWASP
• Wikipedia: la voce "IS auditing"
• IIA – sesta guida GTAG: "Managing and Auditing IT Vulnerabilities"
• ISACA: Standard, direttive e procedure – l’analisi dei rischi (24-09-2006)
• ISACA: Standard, direttive e procedure – prima parte (23-09-2006)
• Intervista a Ross Anderson (02-11-2005)
• Lezioni di IS Auditing  (03-01-2006)
• Conversazione con Simon Singh (28-10-2005)
• COSO Enterprise Risk Management Framework (12-09-2006)
• Bruce Schneier: domande e risposte (01-11-2005)