A SOX törvény alapjai és informatikai vonatkozásai Dr. Balla Katalin BME-IIT - SQI Magyar Szoftverminőség Tanácsadó Intézet Kft. CIO’08 Hangszerelés változásszimfóniára Siófok, 2008. 04.17-18
Tartalom y y y y y y
Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszerek Hogyan támogatja a CMMI a SOX-ot? Következtetések
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
2 / 30
Bevezetés y Bemutatkozás y Tapasztalatok szoftverfejlesztő cégek körében ismert szoftverminőségi megközelítésekről Folyamat alapú megközelítések (ISO 9001:2000, (CMM), CMMI, Automotive Spice, AQAP…) Termék alapú megközelítések (ISO 9126, CC…) Tanúsítások A SOX megjelent a „szoftverminőségi szabványok” között, kapcsolódni látszik ezekhez Érdemes megvizsgálni a kapcsolódást! 2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
3 / 30
Tartalom y y y y y y
Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszerek Hogyan támogatja a CMMI a SOX-ot? Következtetések
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
4 / 30
Mi is a SOX? y Sarbanes-Oxley Act of 2002 „An Act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes” Előterjesztette: Paul Sarbanes szenátor és Michael G. Oxley kongresszusi képviselő http://www.pcaob.org/About_the_PCAOB/Sarbanes_Oxley_Act_of_2002.pdf
A befektetők érdekében született Szigorú előírásokat ad: A vállalkozások pénzügyi jelentéseire és ezek előállításával kapcsolatos ellenőrzési rendszerre A jelentés megbízhatóságára és a kapcsolódó felügyeleti kötelezettségekre Részletesen kitér az információs erőforrásokkal kapcsolatos műveletek szabályozására 2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
5 / 30
Mi is a SOX? y Cél A „testületi vezetés” erősítése és a befektetők bizalmának visszaállítása y Előzmények A befektetőket megtévesztő / lakosságot megkárosító hamis pénzügyi jelentések, körbeszámlázás… Enron, WorldCom, Texaco, Conseco, Suprema Specialities Inc….
Securities Act of 1933 Securities Exchange Act of 1943
y Kire vonatkozik
Az USA tőzsdén jelen levő cégekre Különbséget tesz „nagy” és „kis” cég között Az ellenőrzési rendszer megfeleléséért és a szükséges óvintézkedések megtételéért a tőzsdén szereplő vállalkozások első számú vezetője és a pénzügyi vezető a felelős
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
6 / 30
Mi is a SOX? y Kiemelt elemek a SOX-ban / a SOX-szal kapcsolatban Új felelősségek az Igazgatótanács számára Új felelősségek a tőzsdén jelen levő cégek vezetősége számára Több hatalmat kap a SEC (Security and Echange Comission ~ USA Értékpapírforgalmat és a tőzsdét felügyelő bizottsága) Ellenőrzi és támogatja a SOX betartását Honlap, adatokkal : http://www.sec.gov/ Electronic Data Gathering, Analysis and Retrieval system
http://www.sec.gov/edgar.shtml
A SOX értelmében létrehozták a PCAOB-t az Rt.-k és auditoraik felügyeletére (non-profit szervezet, US Public Company Accounting Oversight Board ~ USA Számviteli Felügyeleti Tanács) http://www.pcaob.org/
Szigorú büntető intézkedések a törvény előírásait be nem tartóknak 2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
7 / 30
Mi is a SOX? y Struktúra (Short title, Table of contents) I. Public company oversight board (101.-109. szakasz) II. Auditor independence (201.-209. szakasz) III. Corporate responsibility (301.-308. szakasz) IV. Enhanced financial disclosures (401.-409. szakasz) V. Analyst conflict of interest (501. szakasz) VI. Commission resources and authority (601.-604. szakasz) VII. Studies and reports (701.-705. szakasz) VIII. Corporate and criminal fault accountability (801.-807. szakasz) IX. White-collar crime penalty enhancements (901.-906. szakasz) X. Corporate tax returns (1001. szakasz) XI. Corporate fraud and accountability (1101.-1107. szakasz) 2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
8 / 30
Mi is a SOX? y Pontosan mit ír elő a SOX? Menedzsment 302. szakasz: A CEO/CFO Által kiadott „hitelesítés”
Ellenőrzések és folyamatok
Menedzsment és auditorok
Belső ellenőrzés és pénzügyi jelentés Közzététel / beszámolók
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
404 szakasz: A felsővezetés éves jelentései és az auditor tanúsítása / hitelesítése Hivatkozás: 906. szakasz
9 / 30
Mi is a SOX? y Pontosan mit ír elő a SOX?
A felsővezető + pénzügyi vezető ne csak az anyag helyességét szavatolják (aláírásukkal), hanem az adatok helyességét biztosító ellenőrzési intézkedések, eljárások – a teljes ellenőrzési rendszer megfelelését Feladatuk az ellenőrzési rendszer megtervezése, kialakítása,
karbantartása A jelentés elkészítése előtt 90 nappal mindig rendszeresen értékeljék a belső ellenőrzési rendszer célnak való megfelelését Jelentsenek minden hiányosságot, mely negatívan befolyásolja a pénzügyi adatok z z z
2008.04.17-18
z
Rögzítését Feldolgozását Összegzését Jelentését
A SOX alapjai és informatikai vonatkozásai
10 / 30
Mi is a SOX? y Pontosan mit ír elő a SOX? Gondolni kell a csalás minden lehetőségére, a csalásokat minden eszközzel meg kell akadályozni A munkatársak ártó szándékkel ne törölhessenek vagy módosíthassanak adatokat A feljegyzések, dokumentumok védelme
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
11 / 30
Tartalom y y y y y y
Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszerek Hogyan támogatja a CMMI a SOX-ot? Következtetések
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
12 / 30
A SOX informatikai vonatkozásai y Az amerikai tőzsdén jelenlevő informatikai cégeknek önmagukra kell alkalmazni a törvényt, annak minden vonatkozásával y A cégek informatikai részlegei, tanácsadók, szoftvergyártók és –forgalmazók támogathatják a SOX-ot alkalmazó cégeket Folyamatok kialakítása, dokumentálása Belső ellenőrzési rendszer kialakítása Dokumentumok, feljegyzések, információ védelmének biztosítása / garantálása Dokumentumkezelő rendszerek Informatikai biztonsági megfontolások A cég üzleti folyamatait és a cégnek az üzleti életben való boldogulását támogató alkalmazói rendszerek Minden szempontból vizsgált megbízható működés 2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
13 / 30
A SOX informatikai vonatkozásai y Az alkalmazói rendszerek funkcionális megfelelőségéből és adataik
érzékenységéből a törvény szerint eredő követelmények (Adatok létrehozásának algoritmusai és feldolgozási módszereik helyessége: a pénzügyi
szakértők felelőssége, az IT itt nem tud segíteni.)
Algoritmusok futtatása, adatfeldolgozás: IT feladata A pénzügyi jelentések előállításában részt vevő informatikai folyamatokat olyan, mérhető teljesítményű ellenőrző rendszerbe kell foglalni, amely biztosítja: A folyamatok működését (igény szerint, a követelmények alapján), akár fejlesztett, akár
vásárolt szoftverről van szó A folyamatok minden lépésének történeti visszakeresését z A lépések okával, végrehajtójával, engedélyezőjével, időpontokkal együtt Védelmet a pénzügyi adatok szándékos vagy véletlen manipulációjával szemben. Vagyis, fontos (és vizsgálandó): Az információ rendelkezésre állása Az információ biztonsága Az információ integritása / sértetlensége z
2008.04.17-18
Ezek ISO /IEC 17799 ill. ISO 27000 (27001, 27002…) és COBIT követelményekben szerepelnek A SOX alapjai és informatikai vonatkozásai
14 / 30
A SOX informatikai vonatkozásai y Az alkalmazói rendszerek funkcionális megfelelőségéből és adataik érzékenységéből a törvény szerint eredő követelmények (folyt.) A pénzügyi adatok teljes életciklusának követése (keletkezés, feldolgozás, továbbítás, tárolás) Elektronikus kommunikáció (e-mail, feljegyzések…) eredményeinek, nyomainak, bizonyítékainak kezelése Naplózás, biztonságos tárolás, spam- és vírusvédelem, jogosultságok
beállítása és változásuk követése…
Elektronikus formában tárolt dokumentumok kezelése Adathozzáférés, biztonságos tárolás, mentések, konfigurációkezelés… Fontos, hogy az informatikai támogatás megfeleljen a vállalkozás üzleti céljainak (lásd COBIT - információ kritériumok) Információ bizalmas kezelése 2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
15 / 30
A SOX informatikai vonatkozásai y Követelmények a cég dokumentációs rendszerére és az auditorok dokumentumkezelésére vonatkozóan Mindenfajta információ megőrzésének fokozott igénye
Megőrzendő dokumentumok (pl. felső vezetők 302. szakaszban előírt
nyilatkozatai, pénzügyi jelentés, alkalmazottak „sípjelei”, auditorok dokumentumai …) Megőrzési idők, büntetések az információ megsemmisítőinek, módosítóinak („fehérgalléros bűnözés…)
Érdemes (jó) dokumentumkezelő rendszert alkalmazni Változások követése Skálázhatóság, robosztusság (a dokumentumkezelő alkalmazásra és az őt ellátó adatbázis-kezelőre, operációs rendszerre, hardverre…) z Hiszen: az összes pénzügyi adat megőrzése kötelező – érdemes ezt a követelményt minden kritikus információt tartalmazó kommunikációra is kiterjeszteni 2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
16 / 30
A SOX informatikai vonatkozásai y Informatikai cégek esetében szükség van Jó folyamatokra Megfelelő ellenőrzésre Ezek kialakítására és működtetésére tulajdonképpen bármilyen,
belső minőségügyi rendszert, szoftverfejlesztési, irányítási, támogató… folyamatokat, valamint biztonsági elemeket leíró szabvány vagy megközelítés (kombinált) alkalmazása megfelelő z Pl: ISO 9001:2000, CMMI, SPICE, COBIT, ISO 27001, EFQM, ITIL…
y Ha a cég SOX alkalmazását támogató terméket gyárt Jó termékekre! Termék megfelelőségét szavatolós szabványok / megközelítések
kellenek, kiemelten figyelve a biztonsági követelményekre z ISO 27002 / ISO 17799, CC (ISO 15408), ISO 9126…
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
17 / 30
Tartalom y y y y y y
Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszerek Hogyan támogatja a CMMI a SOX-ot? Következtetések
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
18 / 30
Hozzáférhető ellenőrzési keretrendszerek y A 404. szakasz követelményeinek kielégítésére (Management assessment
of internal controls) támogatást nyújt: COSO (http://www.coso.org/) 1985-ben alakult, a pénzügyi jelentések minőségének fejlesztésére, a könyvszakértők,
pénzügyi és számviteli szakértők szervezetei támogatásával, a National Commission on Fraudulent Financial Reporting tevékenységének támogatására
1992: COSO Framework : Internal Control 2004: COSO Framework: Integrated Enterprise COSO anyagok beszerezhetők: http://www.aicpa.org/ (American Institute of
Certified Public Accountants)
ISACA (http://www.isaca.org/ , http://www.isaca.hu/ ) COBIT Information Systems Audit and Control Association Certified Information Systems Auditor (CISA) certification Certified Information Security Manager (CISM) certification ITGI - 2006: IT Control Objectives for Sarbanes-Oxley (ISACA segédlet) z
2008.04.17-18
A SOX követelményeinek informatikai oldali kezelésére 2006-ban ( http://www.itgi.org/ ) A SOX alapjai és informatikai vonatkozásai
19 / 30
Hozzáférhető ellenőrzési keretrendszerek y COBIT – Control OBjectives for Information Technology Az informatikai folyamat-üzleti cél együttest vizsgálja, a vállalkozás informatikai rendszerét 34 folyamatra / 4 szakterületre bontja (tervezés és szervezet, beszerzés és rendszermegvalósítás, szolgáltatás és támogatás, monitorozás és kiértékelés) y ITIL - Information Technology Infrastructure Library Az információtechnológiai infrastruktúra, fejlesztés és üzemeltetés menedzselését támogató fogalmak és technikák rendszere
y ISO 27701 : Information Technology –Security techniques –
Information security management systems – Requirements y CMMI – Capability Maturity Model Integration
Szoftverfejlesztő / szoftvert beszerző / szoftvert szolgáltató cégek számára, 22 folyamat, 4 csoportban (szervezeti, projektirányítási, támogató, fejlesztési / ill. beszerzési) 2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
20 / 30
Hozzáférhető ellenőrzési keretrendszerek y A COSO célja
Belső ellenőrzési keretrendszer leírása, amely Közös definíciókészletet ad Szabvány a szervezeti kiértékelésre és a javítási lehetőségek azonosítására Biztosítja az eredményes és a vállalkozási céloknak megfelelő működést Lehetővé teszi és megkönnyíti a megbízható pénzügyi jelentések készítését Lehetővé teszi és megkönnyíti a vállalkozásra vonatkozó törvények betartását
y A vállalati belső ellenőrzési rendszer a COSO értelmezésében a
következő részekből áll:
2008.04.17-18
Ellenőrzési környezet Kockázatbecslés Ellenőrzési tevékenységek Információ és kommunikáció Felügyelet A SOX alapjai és informatikai vonatkozásai
21 / 30
Hozzáférhető ellenőrzési keretrendszerek Célok •COSO & Integrated Framework
g i é s a k i lő g te ntés e é l e t l e a gf ve Jele e ű Str M M Belső környezet
Kockázatot elhárító intézkedések
Ellenőrzési tevékenységek Információ és kommunikáció
Felügyelet
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
Leányvállalat
Esemény azonosítása Kockázatbecslés
Divízió Üzleti egység
Célok meghatározása Entitás-szint
Komponensek
Forrás: Sarbanes-Oxley & CMMI. Mazars.
t ze e rv e Sz 22 / 30
Tartalom y y y y y y
Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszer Hogyan támogatja a CMMI a SOX-ot? Következtetések
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
23 / 30
Hogyan támogatja a CMMI a SOX-ot? y y y y y
Integrált modell A felsővezetés közvetlen bevonása Folyamatfejlesztési modell A szervezetet nagy arányban lefedi A „képesség, képességi szint” fogalmának bevezetése Intézményesítés fontossága Megfelelőség: egyértelmű
y A megközelítés a szervezet igényei szerint testreszabható Pl. folytonos / lépcsős megközelítés 2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
24 / 30
Hogyan támogatja a CMMI a SOX-ot? y Nagyon „erős” a konfigurációkezelés, mérési, minőségbiztosítási,
szervezeti folyamatok meghatározására és szervezeti szintű folyamatszemlélet bevezetésére, valamint az oksági elemzésre vonatkozó követelményrendszere
CM – GP 2.6, MA – GP 2.8, PPQA- GP 2.9, CAR – GP5.2, OPF, OPD folyamata ill. beépülésük az általános gyakorlatokba) Ezeket a SOX felhasználja / megköveteli Világos követelmények, mérhető megközelítésben Általános gyakorlatok miatt egyes követelmények (pl. mérések végzése, konfigurációkezelés és minőségbiztosítás) minden folyamat esetében megjelennek
y Világos felmérési módszertan (SCAMPI A, B, C) y Nemzetközi auditor-hálózat www.sei.cmu.edu , www.sqi.hu
y CMMI-felmérés:
Bizalom megalapozója, útmutató a továbbiakra 2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
25 / 30
Hogyan támogatja a CMMI a SOX-ot? Célok •COSO & Integrated Framework
g i é s a k i lő g te ntés e é l e t l e a gf ve Jele e ű Str M M
Esemény azonosítása (OPD, OPF)
Kockázatbecslés (PP, RSKM) Kock. elhárító intézkedések (PP, PMC, RSKM)
Ellenőrzési tevékenységek (MA, PPQA) Információ és kommunikáció (OT, OID) Felügyelet (MA, PPQA, DAR, OPP, QPM, CAR, OID…)
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
Leányvállalat
Célok meghatározása Entitás-szint
Komponensek
Belső környezet (CM,SAM, OT,
Fejlesztési részleg Üzemeltetés
Forrás: Sarbanes-Oxley & CMMI. Mazars.
t ze e rv e Sz 26 / 30
Tartalom y y y y y y
Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszer Hogyan támogatja a CMMI a SOX-ot? Következtetések
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
27 / 30
Következtetések y A SOX megjelent a „szoftverminőségi szabványok” között, kapcsolódik ezekhez …bár nem szoftverminőségi szabvány! Sok más szabvány / megközelítés alkalmazása szükséges ahhoz, hogy a SOX-ból eredő követelmények informatikai vonatkozásait megértsük, alkalmazzuk
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
28 / 30
Felhasznált irodalom y Sarbanes-Oxley Act of 2002.
http://www.pcaob.org/About_the_PCAOB/Sarbanes_Oxley_Act_of_2002.pdf y Dr. Szenes Katalin: Informatikai biztonsági megfontolások a Sarbanes-Oxley törvény
ürügyén. Az informatikai biztonság kézikönyve. Verlag Dashöfer Szakkiadó, 2007 március. 2.2. fejezet. Szerkesztő: Dr. Szenes Katalin, Muha Lajos y Sarbanes-Oxley & CMMI. Mazars, Conference of European Software Engineering
Process Group (ESPEG), June 2005., London
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
29 / 30
[email protected] [email protected]
2008.04.17-18
A SOX alapjai és informatikai vonatkozásai
30 / 30
