1 / 30

A SOX törvény alapjai és informatikai vonatkozásai

A SOX törvény alapjai és informatikai vonatkozásai. Dr. Balla Katalin BME-IIT - SQI Magyar Szoftverminőség Tanácsadó Intézet Kft. CIO’08 Hangszerelés változásszimfóniára Siófok, 2008. 04.17-18. Tartalom. Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai

milo
Download Presentation

A SOX törvény alapjai és informatikai vonatkozásai

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. A SOX törvény alapjai és informatikai vonatkozásai Dr.Balla Katalin BME-IIT - SQI Magyar Szoftverminőség Tanácsadó Intézet Kft. CIO’08 Hangszerelés változásszimfóniára Siófok, 2008. 04.17-18

  2. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszerek • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  3. Bevezetés • Bemutatkozás • Tapasztalatok szoftverfejlesztő cégek körében ismert szoftverminőségi megközelítésekről • Folyamat alapú megközelítések (ISO 9001:2000, (CMM), CMMI, Automotive Spice, AQAP…) • Termék alapú megközelítések (ISO 9126, CC…) • Tanúsítások • A SOX megjelent a „szoftverminőségi szabványok” között, kapcsolódni látszik ezekhez • Érdemes megvizsgálni a kapcsolódást! A SOX alapjai és informatikai vonatkozásai

  4. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszerek • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  5. Mi is a SOX? • Sarbanes-Oxley Act of 2002 • „An Act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes” • Előterjesztette: Paul Sarbanes szenátor és Michael G. Oxley kongresszusi képviselő • http://www.pcaob.org/About_the_PCAOB/Sarbanes_Oxley_Act_of_2002.pdf • A befektetők érdekében született • Szigorú előírásokat ad: • A vállalkozások pénzügyi jelentéseire és ezek előállításával kapcsolatos ellenőrzési rendszerre • A jelentés megbízhatóságára és a kapcsolódó felügyeleti kötelezettségekre • Részletesen kitér az információs erőforrásokkal kapcsolatos műveletek szabályozására A SOX alapjai és informatikai vonatkozásai

  6. Mi is a SOX? • Cél • A „testületi vezetés” erősítése és a befektetők bizalmának visszaállítása • Előzmények • A befektetőket megtévesztő / lakosságot megkárosító hamis pénzügyi jelentések, körbeszámlázás… • Enron, WorldCom, Texaco, Conseco, Suprema Specialities Inc…. • Securities Act of 1933 • Securities Exchange Act of 1943 • Kire vonatkozik • Az USA tőzsdén jelen levő cégekre • Különbséget tesz „nagy” és „kis” cég között • Az ellenőrzési rendszer megfeleléséért és a szükséges óvintézkedések megtételéért a tőzsdén szereplő vállalkozások első számú vezetője és a pénzügyi vezető a felelős A SOX alapjai és informatikai vonatkozásai

  7. Mi is a SOX? • Kiemelt elemek a SOX-ban / a SOX-szal kapcsolatban • Új felelősségek az Igazgatótanács számára • Új felelősségek a tőzsdén jelen levő cégek vezetősége számára • Több hatalmat kap a SEC (Security and Echange Comission ~ USA Értékpapírforgalmat és a tőzsdét felügyelő bizottsága) • Ellenőrzi és támogatja a SOX betartását • Honlap, adatokkal : http://www.sec.gov/ • Electronic Data Gathering, Analysis and Retrieval system http://www.sec.gov/edgar.shtml • A SOX értelmében létrehozták a PCAOB-t az Rt.-k és auditoraik felügyeletére (non-profit szervezet, US Public Company Accounting Oversight Board ~ USA Számviteli Felügyeleti Tanács) http://www.pcaob.org/ • Szigorú büntető intézkedések a törvény előírásait be nem tartóknak A SOX alapjai és informatikai vonatkozásai

  8. Mi is a SOX? • Struktúra • (Short title, Table of contents) • I. Public company oversight board (101.-109. szakasz) • II. Auditor independence (201.-209. szakasz) • III. Corporate responsibility (301.-308. szakasz) • IV. Enhanced financial disclosures (401.-409. szakasz) • V. Analyst conflict of interest (501. szakasz) • VI. Commission resources and authority (601.-604. szakasz) • VII. Studies and reports (701.-705. szakasz) • VIII. Corporate and criminal fault accountability (801.-807. szakasz) • IX. White-collar crime penalty enhancements (901.-906. szakasz) • X. Corporate tax returns (1001. szakasz) • XI. Corporate fraud and accountability (1101.-1107. szakasz) A SOX alapjai és informatikai vonatkozásai

  9. Mi is a SOX? • Pontosan mit ír elő a SOX? Menedzsment 302. szakasz: A CEO/CFO Által kiadott „hitelesítés” Ellenőrzések és folyamatok Menedzsment és auditorok Belső ellenőrzés és pénzügyi jelentés Közzététel / beszámolók 404 szakasz: A felsővezetés éves jelentései és az auditor tanúsítása / hitelesítése Hivatkozás: 906. szakasz A SOX alapjai és informatikai vonatkozásai

  10. Mi is a SOX? • Pontosan mit ír elő a SOX? • A felsővezető + pénzügyi vezető ne csak az anyag helyességét szavatolják (aláírásukkal), hanem az adatok helyességét biztosító ellenőrzési intézkedések, eljárások – a teljes ellenőrzési rendszer megfelelését • Feladatuk az ellenőrzési rendszer megtervezése, kialakítása, karbantartása • A jelentés elkészítése előtt 90 nappal mindig rendszeresen értékeljék a belső ellenőrzési rendszer célnak való megfelelését • Jelentsenek minden hiányosságot, mely negatívan befolyásolja a pénzügyi adatok • Rögzítését • Feldolgozását • Összegzését • Jelentését A SOX alapjai és informatikai vonatkozásai

  11. Mi is a SOX? • Pontosan mit ír elő a SOX? • Gondolni kell a csalás minden lehetőségére, a csalásokat minden eszközzel meg kell akadályozni • A munkatársak ártó szándékkel ne törölhessenek vagy módosíthassanak adatokat • A feljegyzések, dokumentumok védelme A SOX alapjai és informatikai vonatkozásai

  12. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszerek • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  13. A SOX informatikai vonatkozásai • Az amerikai tőzsdén jelenlevő informatikai cégeknek önmagukra kell alkalmazni a törvényt, annak minden vonatkozásával • A cégek informatikai részlegei, tanácsadók, szoftvergyártók és –forgalmazók támogathatják a SOX-ot alkalmazó cégeket • Folyamatok kialakítása, dokumentálása • Belső ellenőrzési rendszer kialakítása • Dokumentumok, feljegyzések, információ védelmének biztosítása / garantálása • Dokumentumkezelő rendszerek • Informatikai biztonsági megfontolások • A cég üzleti folyamatait és a cégnek az üzleti életben való boldogulását támogató alkalmazói rendszerek • Minden szempontból vizsgált megbízható működés A SOX alapjai és informatikai vonatkozásai

  14. A SOX informatikai vonatkozásai • Az alkalmazói rendszerek funkcionális megfelelőségéből és adataik érzékenységéből a törvény szerint eredő követelmények • (Adatok létrehozásának algoritmusai és feldolgozási módszereik helyessége: a pénzügyi szakértők felelőssége, az IT itt nem tud segíteni.) • Algoritmusok futtatása, adatfeldolgozás: IT feladata • A pénzügyi jelentések előállításában részt vevő informatikai folyamatokat olyan, mérhető teljesítményű ellenőrző rendszerbe kell foglalni, amely biztosítja: • A folyamatok működését (igény szerint, a követelmények alapján), akár fejlesztett, akár vásárolt szoftverről van szó • A folyamatok minden lépésének történeti visszakeresését • A lépések okával, végrehajtójával, engedélyezőjével, időpontokkal együtt • Védelmet a pénzügyi adatok szándékos vagy véletlen manipulációjával szemben. • Vagyis, fontos (és vizsgálandó): • Az információ rendelkezésre állása • Az információ biztonsága • Az információ integritása / sértetlensége • Ezek ISO /IEC 17799 ill. ISO 27000 (27001, 27002…) és COBIT követelményekben szerepelnek A SOX alapjai és informatikai vonatkozásai

  15. A SOX informatikai vonatkozásai • Az alkalmazói rendszerek funkcionális megfelelőségéből és adataik érzékenységéből a törvény szerint eredő követelmények (folyt.) • A pénzügyi adatok teljes életciklusának követése (keletkezés, feldolgozás, továbbítás, tárolás) • Elektronikus kommunikáció (e-mail, feljegyzések…) eredményeinek, nyomainak, bizonyítékainak kezelése • Naplózás, biztonságos tárolás, spam- és vírusvédelem, jogosultságok beállítása és változásuk követése… • Elektronikus formában tárolt dokumentumok kezelése • Adathozzáférés, biztonságos tárolás, mentések, konfigurációkezelés… • Fontos, hogy az informatikai támogatás megfeleljen a vállalkozás üzleti céljainak (lásd COBIT - információ kritériumok) • Információ bizalmas kezelése A SOX alapjai és informatikai vonatkozásai

  16. A SOX informatikai vonatkozásai • Követelmények a cég dokumentációs rendszerére és az auditorok dokumentumkezelésére vonatkozóan • Mindenfajta információ megőrzésének fokozott igénye • Megőrzendő dokumentumok (pl. felső vezetők 302. szakaszban előírt nyilatkozatai, pénzügyi jelentés, alkalmazottak „sípjelei”, auditorok dokumentumai …) • Megőrzési idők, büntetések az információ megsemmisítőinek, módosítóinak („fehérgalléros bűnözés…) • Érdemes (jó) dokumentumkezelő rendszert alkalmazni • Változások követése • Skálázhatóság, robosztusság (a dokumentumkezelő alkalmazásra és az őt ellátó adatbázis-kezelőre, operációs rendszerre, hardverre…) • Hiszen: az összes pénzügyi adat megőrzése kötelező – érdemes ezt a követelményt minden kritikus információt tartalmazó kommunikációra is kiterjeszteni A SOX alapjai és informatikai vonatkozásai

  17. A SOX informatikai vonatkozásai • Informatikai cégek esetében szükség van • Jó folyamatokra • Megfelelő ellenőrzésre • Ezek kialakítására és működtetésére tulajdonképpen bármilyen, belső minőségügyi rendszert, szoftverfejlesztési, irányítási, támogató… folyamatokat, valamint biztonsági elemeket leíró szabvány vagy megközelítés (kombinált) alkalmazása megfelelő • Pl: ISO 9001:2000, CMMI, SPICE, COBIT, ISO 27001, EFQM, ITIL… • Ha a cég SOX alkalmazását támogató terméket gyárt • Jó termékekre! • Termék megfelelőségét szavatolós szabványok / megközelítések kellenek, kiemelten figyelve a biztonsági követelményekre • ISO 27002 / ISO 17799, CC (ISO 15408), ISO 9126… A SOX alapjai és informatikai vonatkozásai

  18. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszerek • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  19. Hozzáférhető ellenőrzési keretrendszerek • A 404. szakasz követelményeinek kielégítésére (Management assessment of internal controls) támogatást nyújt: • COSO (http://www.coso.org/) • 1985-ben alakult, a pénzügyi jelentések minőségének fejlesztésére, a könyvszakértők, pénzügyi és számviteli szakértők szervezetei támogatásával, a National Commission on Fraudulent Financial Reporting tevékenységének támogatására • 1992: COSO Framework : Internal Control • 2004: COSO Framework: Integrated Enterprise • COSO anyagok beszerezhetők: http://www.aicpa.org/ (American Institute of Certified Public Accountants) • ISACA (http://www.isaca.org/ , http://www.isaca.hu/ ) • COBIT • Information Systems Audit and Control Association • Certified Information Systems Auditor (CISA) certification • Certified Information Security Manager (CISM) certification • ITGI - 2006: IT Control Objectives for Sarbanes-Oxley (ISACA segédlet) • A SOX követelményeinek informatikai oldali kezelésére 2006-ban ( http://www.itgi.org/ ) A SOX alapjai és informatikai vonatkozásai

  20. Hozzáférhető ellenőrzési keretrendszerek • COBIT – Control OBjectives for Information Technology • Az informatikai folyamat-üzleti célegyüttest vizsgálja, a vállalkozás informatikai rendszerét 34 folyamatra / 4 szakterületre bontja (tervezés és szervezet, beszerzés és rendszermegvalósítás, szolgáltatás és támogatás, monitorozás és kiértékelés) • ITIL - Information Technology Infrastructure Library • Az információtechnológiai infrastruktúra, fejlesztés és üzemeltetés menedzselését támogató fogalmak és technikák rendszere • ISO 27701 : Information Technology –Security techniques – Information security management systems – Requirements • CMMI – Capability Maturity Model Integration • Szoftverfejlesztő / szoftvert beszerző / szoftvert szolgáltató cégek számára, 22 folyamat, 4 csoportban (szervezeti, projektirányítási, támogató, fejlesztési / ill. beszerzési) A SOX alapjai és informatikai vonatkozásai

  21. Hozzáférhető ellenőrzési keretrendszerek • A COSO célja • Belső ellenőrzési keretrendszer leírása, amely • Közös definíciókészletet ad • Szabvány a szervezeti kiértékelésre és a javítási lehetőségek azonosítására • Biztosítja az eredményes és a vállalkozási céloknak megfelelő működést • Lehetővé teszi és megkönnyíti a megbízható pénzügyi jelentések készítését • Lehetővé teszi és megkönnyíti a vállalkozásra vonatkozó törvények betartását • A vállalati belső ellenőrzési rendszer a COSO értelmezésében a következő részekből áll: • Ellenőrzési környezet • Kockázatbecslés • Ellenőrzési tevékenységek • Információ és kommunikáció • Felügyelet A SOX alapjai és informatikai vonatkozásai

  22. Hozzáférhető ellenőrzési keretrendszerek Célok • COSO & Integrated Framework • Forrás: Sarbanes-Oxley & CMMI. Mazars. Stratégiai Megfelelőség Műveletek Jelentés Belső környezet Célok meghatározása Leányvállalat Esemény azonosítása Üzleti egység Divízió Kockázatbecslés Komponensek Entitás-szint Kockázatot elhárító intézkedések Ellenőrzési tevékenységek Információ és kommunikáció Felügyelet Szervezet A SOX alapjai és informatikai vonatkozásai

  23. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  24. Hogyan támogatja a CMMI a SOX-ot? • Integrált modell • A felsővezetés közvetlen bevonása • Folyamatfejlesztési modell • A szervezetet nagy arányban lefedi • A „képesség, képességi szint” fogalmának bevezetése • Intézményesítés fontossága • Megfelelőség: egyértelmű • A megközelítés a szervezet igényei szerint testreszabható • Pl. folytonos / lépcsős megközelítés A SOX alapjai és informatikai vonatkozásai

  25. Hogyan támogatja a CMMI a SOX-ot? • Nagyon „erős” a konfigurációkezelés, mérési, minőségbiztosítási, szervezeti folyamatok meghatározására és szervezeti szintű folyamatszemlélet bevezetésére, valamint az oksági elemzésre vonatkozó követelményrendszere • CM – GP 2.6, MA – GP 2.8, PPQA- GP 2.9, CAR – GP5.2, OPF, OPD folyamata ill. beépülésük az általános gyakorlatokba) • Ezeket a SOX felhasználja / megköveteli • Világos követelmények, mérhető megközelítésben • Általános gyakorlatok miatt egyes követelmények (pl. mérések végzése, konfigurációkezelés és minőségbiztosítás) minden folyamat esetében megjelennek • Világos felmérési módszertan (SCAMPI A, B, C) • Nemzetközi auditor-hálózat • www.sei.cmu.edu , www.sqi.hu • CMMI-felmérés: • Bizalom megalapozója, útmutató a továbbiakra A SOX alapjai és informatikai vonatkozásai

  26. Hogyan támogatja a CMMI a SOX-ot? Célok • COSO & Integrated Framework • Forrás: Sarbanes-Oxley & CMMI. Mazars. Stratégiai Megfelelőség Műveletek Jelentés Belső környezet (CM,SAM, OT, Célok meghatározása Leányvállalat Üzemeltetés Esemény azonosítása (OPD, OPF) Fejlesztési részleg Komponensek Kockázatbecslés (PP, RSKM) Entitás-szint Kock. elhárító intézkedések (PP, PMC, RSKM) Ellenőrzési tevékenységek (MA, PPQA) Információ és kommunikáció (OT, OID) Felügyelet (MA, PPQA, DAR, OPP, QPM, CAR, OID…) Szervezet A SOX alapjai és informatikai vonatkozásai

  27. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  28. Következtetések • A SOX megjelent a „szoftverminőségi szabványok” között, kapcsolódik ezekhez • …bár nem szoftverminőségi szabvány! • Sok más szabvány / megközelítés alkalmazása szükséges ahhoz, hogy a SOX-ból eredő követelmények informatikai vonatkozásait megértsük, alkalmazzuk A SOX alapjai és informatikai vonatkozásai

  29. Felhasznált irodalom • Sarbanes-Oxley Act of 2002.http://www.pcaob.org/About_the_PCAOB/Sarbanes_Oxley_Act_of_2002.pdf • Dr. Szenes Katalin: Informatikai biztonsági megfontolások a Sarbanes-Oxley törvény ürügyén. Az informatikai biztonság kézikönyve. Verlag Dashöfer Szakkiadó, 2007 március. 2.2. fejezet.Szerkesztő: Dr. Szenes Katalin, Muha Lajos • Sarbanes-Oxley & CMMI. Mazars, Conference of European Software Engineering Process Group (ESPEG), June 2005., London A SOX alapjai és informatikai vonatkozásai

  30. Köszönöm a figyelmet! balla@iit.bme.hu balla.katalin@sqi.hu A SOX alapjai és informatikai vonatkozásai

More Related