A SOX törvény alapjai és informatikai vonatkozásai

A SOX törvény alapjai és informatikai vonatkozásai Dr. Balla Katalin BME-IIT - SQI Magyar Szoftverminőség Tanácsadó Intézet Kft. CIO’08 Hangszerelés változásszimfóniára Siófok, 2008. 04.17-18

Tartalom  Bevezetés  Mi is a SOX?  A SOX informatikai vonatkozásai  Hozzáférhető ellenőrzési keretrendszer  Hogyan támogatja a CMMI a SOX-ot?  Következtetések

2008.04.17-18

A SOX alapjai és informatikai vonatkozásai

2 / 59

Bevezetés  Bemutatkozás  Tapasztalatok szoftverfejlesztő cégek körében ismert

szoftverminőségi megközelítésekről  Folyamat alapú megközelítések (ISO 9001:2000, (CMM), CMMI, Automotive Spice, AQAP…)  Termék alapú megközelítések (ISO 9126, CC…)  Tanúsítások  A SOX megjelent a „szoftverminőségi szabványok” között, kapcsolódni látszik ezekhez Érdemes megvizsgálni a kapcsolódást! 2008.04.17-18


3 / 59


2008.04.17-18


4 / 59

Mi is a SOX?  Sarbanes-Oxley Act of 2002  „An Act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes”  Előterjesztette: Paul Sarbanes szenátor és Michael G. Oxley kongresszusi képviselő  A befektetők érdekében született  Szigorú előírásokat ad:  A vállalkozások pénzügyi jelentéseire és ezek előállításával kapcsolatos ellenőrzési rendszerre  A jelentés megbízhatóságára és a kapcsolódó felügyeleti kötelezettségekre

 Részletesen kitér az információs erőforrásokkal kapcsolatos műveletek szabályozására 2008.04.17-18


5 / 59

Mi is a SOX?  Cél

 A „testületi vezetés” erősítése és a befektetők bizalmának visszaállítása  Előzmények  A befektetőket megtévesztő / lakosságot megkárosító hamis pénzügyi jelentések, körbeszámlázás…  Enron, WorldCom, Texaco, Conseco, Suprema Specialities Inc….

 Securities Act of 1933  Securities Exchange Act of 1943

 Kire vonatkozik  Az USA tőzsdén jelen levő cégekre  Különbséget tesz „nagy” és „kis” cég között

 Az ellenőrzési rendszer megfeleléséért és a szükséges óvintézkedések megtételéért a tőzsdén szereplő vállalkozások első számú vezetője és a pénzügyi vezető a felelős 2008.04.17-18


6 / 59

Mi is a SOX?  Kiemelt elemek a SOX-ban / a SOX-szal kapcsolatban

 Új felelősségek az Igazgatótanács számára  Új felelősségek a tőzsdén jelen levő cégek vezetősége számára  Több hatalmat kap a SEC (Security and Echange Comission ~ USA Értékpapírforgalmat és a tőzsdét felügyelő bizottsága)  A SOX értelmében létrehozták a PCAOB-t az Rt.-k auditorainak felügyeletére (non-profit szervezet, US Public Company Accounting Oversight Board ~ USA Számviteli Felügyeleti Tanács)  Szigorú büntető intézkedések a törvény előírásait be nem tartóknak 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 7 / 59

Mi is a SOX?  Struktúra

Bevezetés I. Public company oversight board (101.-109. szakasz) II. Auditor independence (201.-209. szakasz) III. Corporate responsibility (301.-308. szakasz) IV. Enhanced financial disclosures (401.-409. szakasz) V. Analyst conflict of interest (501. szakasz) VI. Commission resources and authority (601.-604. szakasz) VII. Studies and reports (701.-705. szakasz) VIII. Corporate and criminal fault accountability (801.-807. szakasz)  IX. White-collar crime penalty enhancements (901.-906. szakasz)  X. Corporate tax returns (1001. szakasz)  XI. Corporate fraud and accountability (1101.-1107. szakasz)         

2008.04.17-18


8 / 59

Mi is a SOX?  Pontosan mit ír elő a SOX? Menedzsment 302. szakasz: A CEO/CFO Által kiadott „hitelesítés”

Ellenőrzések és folyamatok

Menedzsment és auditorok

Belső ellenőrzés és pénzügyi jelentés Közzététel / beszámolók

2008.04.17-18


404 szakasz: A felsővezetés éves jelentései és az auditor tanúsítása / hitelesítése Hivatkozás: 906. szakasz

9 / 59

Mi is a SOX?  Pontosan mit ír elő a SOX?

 A felsővezető + pénzügyi vezető ne csak az anyag helyességét szavatolják (aláírásukkal), hanem az adatok helyességét biztosító ellenőrzési intézkedések, eljárások – a teljes ellenőrzési rendszer megfelelését  Feladatuk az ellenőrzési rendszer megtervezése, kialakítása,

karbantartása  A jelentés elkészítése előtt 90 nappal mindig rendszeresen értékeljék a belső ellenőrzési rendszer célnak való megfelelését  Jelentsenek minden hiányosságot, mely negatívan befolyásolja a pénzügyi adatok   

2008.04.17-18



Rögzítését Feldolgozását Összegzését Jelentését


10 / 59

Mi is a SOX?  Pontosan mit ír elő a SOX?

 Gondolni kell a csalás minden lehetőségére, a csalásokat minden eszközzel meg kell akadályozni A munkatársak ártó szándékkel ne törölhessenek vagy módosíthassanak adatokat  A feljegyzések, dokumentumok védelme

2008.04.17-18


11 / 59


2008.04.17-18


12 / 59

A SOX informatikai vonatkozásai  Az amerikai tőzsdén jelenlevő informatikai cégeknek

önmagukra kell alkalmazni a törvényt, annak minden vonatkozásával  A cégek informatikai részlegei, tanácsadók, szoftvergyártók és –forgalmazók támogathatják a SOX-ot alkalmazó cégeket  Folyamatok kialakítása, dokumentálása  Belső ellenőrzési rendszer kialakítása  Dokumentumok, feljegyzések, információ védelmének biztosítása / garantálása  Dokumentumkezelő rendszerek  Informatikai biztonsági megfontolások  A cég üzleti folyamatait és a cégnek az üzleti életben való boldogulását támogató alkalmazói rendszerek  Minden szempontból vizsgált megbízható működés 2008.04.17-18


13 / 59

A SOX informatikai vonatkozásai  Az alkalmazói rendszerek funkcionális

megfelelőségéből és adataik érzékenységéből a törvény szerint eredő követelmények

2008.04.17-18


14 / 59

A SOX informatikai vonatkozásai  Követelmények a cég dokumentációs rendszerére és

az auditorok dokumentumkezelésére vonatkozóan

2008.04.17-18


15 / 59


2008.04.17-18


16 / 59

Hozzáférhető ellenőrzési keretrendszer  2006: IS Control Objectives for Sarbanes-Oxley  A SOX követelményeinek informatikai oldali kezelésére 2006-ban

 A 404. szakasz követelményeinek kielégítésére

     

COSO ISACA ???? 1985: Comission of Fraudulent Financial Reporting 2003: a SEC javasolja a COSO-t = szabvány 1992: COSO Framework : Internal Control 2004: COSO Framework: Integrated Enterprise  COBIT  ITIL  ISO 27701 : Information Technology –Security techniques – Information security management systems - Requirements  CMMI

2008.04.17-18


17 / 59

 A COSO célja  Belső ellenőrzési keretrendszer leírása, amely  Egy közös … 2.4.3. fejezet, 3. oldal

 A vállalati belső ellenőrzési rendszer a COSO

értelmezésében      2008.04.17-18

Ennelőrzési környezet Kockézatbecslés Ellenőrtési tevkenységek Információ és kommunikáció felügyelet A SOX alapjai és informatikai vonatkozásai

18 / 59

Hozzáférhető ellenőrzési keretrendszer  A COSO implementálása  A rajz hogy mit mivel támogatunk (felépül, több

slide-on keresztül)

2008.04.17-18


19 / 59


2008.04.17-18


20 / 59

Hogyan támogatja a CMMI a SOX-ot?

2008.04.17-18


21 / 59


2008.04.17-18


22 / 59

Következtetések  A SOX megjelent a „szoftverminőségi szabványok” között, kapcsolódik ezekhez  …bár nem szoftverminőségi szabvány!  Sok más szabvány / megközelítés alkalmazása szükséges ahhoz, hogy a SOX-ból eredő követelmények informatikai vonatkozásait megértsük, alkalmazzuk

2008.04.17-18


23 / 59

A SOX törvény alapjai és informatikai vonatkozásai

Recommend Documents