Sarbanes-Oxley en de gevolgen voor IT Beheer. Daniel van Burk 26 april 2005

Sarbanes-Oxley en de gevolgen voor IT Beheer Daniel van Burk 26 april 2005

Even voorstellen... • • • • • •

2

Daniel van Burk Voorzitter van de afdeling Beheer van het NGI Senior Business Consultant bij Atos Consulting Veel ervaring met inrichten IT Service Management Focus op Sourcing en compliance Actief in groot SOx-programma als trekker voor IT General Controls

Turning Client Vision into Results

Inhoud van de lezing • • • •

3

Wat houdt de Sarbanes-Oxley (SOx) wetgeving in? Op welke wijze raakt SOx IT en IT Beheer? Wat houden de IT General Controls in? SOX: een verplicht nummer of een meerwaarde voor de organisatie?


Sarbanes-Oxley Act of 2002 •

Goal: To protect investors (after Enron, Worldcom) by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes.

Congressman Oxley and Sarbanes of the Finance Committee

•

Enacted by the Senate and House of Representatives of the United States of America in Congress, summer 2002.

…The quickest (2 months) law in history 4


When trust reduces, the need for transparancy, control increases… “Trust me” High

“Tell me” Trust

“Show me” AZIE EUROPA

Low

USA High

Low

Transparancy 5


SOx Internal Control Certification Requirements

I nt

Internal control over financial reporting • SOX provision 404 requires a company to report annually on the adequacy of the design and effectiveness of internal control over financial reporting; • To be ultimately signed by CEO and CFO and independently attested by the external auditors (under PCAOB standards); • To be filed in conjunction with Annual Report (SEC’s Form 20-F), for the fiscal year of 2005 Statements and onwards. • Non US-based companies compliance Disclosure Controls and Procedures has been postponed until 2006. al ern

nt r co

o ol

rf ve

g

6

n rti

(TO BE DONE as of 2005)

o rep

SOX 404 “Internal Controls”

ial nc ina

SOX 302


This implies... • Administrative Organization and Internal Control must be adequate, so no major deficiencies are present in the financial reporting. • When material deficiencies are found, those must be disclosed. • Every year, the management delivers a statement about the operational effectiveness of the AO/IC over the past year.

7


SOx compliance roadmap

Source: www.erm.coso.org

8


Risico van non-compliance is groot

9


10



11



Starting point SOX & IT • Programs with key-application controls embedded, must have trusted functionality. This means there must be no more or less functionality as specified and the existing functionality must meet the specifications. • The operating effectiveness of the application controls must be guaranteed over a period of time, which can be supported by the IT General Controls. • SOx related evidence must be kept undisturbed, and this must be proven. • Availability of financial data must be guaranteed, also in case of major continuity problems. 12


Control objective SOx An example of control objective SOx

SOx Put requirements on

AO/IC Put requirements on

Application

Put requirements on

Put requirements on

IT procedures

Infrastructure

Focus on relations and requirements. Results will be Control Objectives for SOx security

13


Professioneel IT Beheer is een externe verplichting geworden • Voorheen was er alleen een interne drijfveer voor voor verbetering van ontwikkel- en beheerprocessen • Nu wordt het aantoonbaar werken volgens ingerichte processen van buitenaf opgelegd • De controle door de externe auditor wordt zwaarder en frequenter • Bewijslast voor het op orde hebben van key controls moet minimaal 7 jaar worden bewaard na aftekenen van het in control statement • Window dressing of zaken slechts tijdelijk op orde hebben werkt niet

14


Wat betekent SOx voor medewerkers... • Beheersing van risico’s moet vast onderdeel van het dagelijkse werk worden • Moet in het reguliere proces worden geïncorporeerd en niet meer projectmatig aangepakt • Hele jaar door worden de processen getest in verschillende frequenties (wettelijk vastgelegd) • Vereist denken over processen en risico’s • Vereist pro-actieve houding ten aanzien van wijzigingen in processen • Wordt elk jaar getest door accountant

15



16



IT General Controls hebben de grootste impact op IT Beheer IT General Controls kent een vijftal aandachtsgebieden

IT ITGeneral GeneralControls Controls •Access •Accessto toprograms programsand anddata data •Program •ProgramChanges Changes •Program •Programdevelopment development •Computer •ComputerOperations Operations •End •EndUser UserComputing Computing

17


Kenmerken van IT General Controls • Generiek karakter: als de onderliggende processen gelijk zijn hoeven controls voor meerdere applicaties maar één keer getest te worden • Steunen op processen uit ITIL, CMM en code voor informatiebeveiliging (BS7799)

18


Hoe word je compliant voor ITGC?

Bepalen van het control framework

Bepalen van de scope

Testen (opzet, bestaan en werking)

19

Doen van een impactanalyse

Herstellen van defecten

Tekenen van de SOx verklaring


Bepalen van het control framework • Bepalen welke risico’s er bestaan ten aanzien van het goed functioneren van de application controls • Bepalen welke control objectives of key controls nodig zijn om deze risico’s af te dekken • Iedere onderneming stelt zelf het control framework vast • Daarbij kan men ervoor kiezen om een standaard uit de markt te gebruiken, bijv. Cobit for SOx. Bepal en van het contro l frame work

Bepal en van de scope


20

Doen van een impacta nalyse

Herstell en van defecte n

Tekenen van de SOx verklarin g


Bepalen van de scope • Vertrekpunt voor IT General Controls zijn de SOX kritische applicaties • Deze worden vastgesteld op basis van de application controls • Tevens wordt vastgesteld welke onderliggende infrastructuur van belang is • Ook moet worden bepaald wie welke rol speelt ten aanzien van de applicatie (bijv. applicatie-eigenaar, applicatie beheerder, infrastructuur beheerder) Bepal en van het contro l frame work



21





Doen van een impactanalyse • Bij iedere control objective of key control wordt bekeken welke specifieke controlemaatregel voor een applicatie geldt en welke bewijslast hiervoor kan worden aangedragen • Applicaties en infrastructuur kunnen worden geclusterd als onderliggende processen identiek zijn • Waar geen controle maatregel of bewijslast kan worden gevonden is sprake van een defect • Invullen gebeurt op basis van de controls waarvoor je vanuit je rol verantwoordelijk bent Bepal en van het contro l frame work

Bepal en

van de scope


22





Testen (opzet, bestaan en werking) • Testen volgens vooraf vastgestelde werkprogramma’s • Testen op werking gebeurt op basis van een steekproef die over een periode is gespreid • Detailniveau van de werkprogramma’s is afhankelijk van de skills van de testers • Alle tijdens het testen gebruikte bewijslast dient te worden gearchiveerd • Evaluatie door management speelt een belangrijke rol bij o.a. het vaststellen van de testdefecten Bepal en van het contro l frame work



23





Opzet, bestaan en werking Beoordeling opzet: het vaststellen of beoogde werkwijze van de control, zoals vastgelegd in documentatie, het gerelateerde risico afdekt.

Beoordeling bestaan: het (eenmalig) vaststellen dat de control daadwerkelijk wordt uitgevoerd zoals in de opzet is aangegeven.

Beoordelen werking: het (herhaald) vaststellen, over een expliciet bepaalde tijdsperiode, dat de control stelselmatig wordt uitgevoerd zoals in de opzet is aangegeven.

24


Herstellen van defecten • Defecten die geconstateerd zijn tijdens de impactanalyse of tijdens het testen moeten worden hersteld • Na het herstellen van het defect moet de control opnieuw worden getest • Herstellen van defecten kan direct starten na het constateren ervan • Afhankelijk van de ernst van het defect is het zelfs nodig tijdelijk compenserende maatregelen te nemen indien het defect niet snel opgelost kan worden Bepal en van het contro l frame work

Bepal en

van de scope


25





Tekenen van de SOx verklaring • Uiteindelijk wordt de SOx verklaring getekend door de CEO en de CFO van het bedrijf • Afhankelijk van de aanpak wordt ook door lokale CEO en CFO een deelverklaring getekend • Bij het afgeven van een SOx 404 verklaring moeten ook alle eventuele defecten worden gerapporteerd, deze worden ook gepubliceerd

Bepal en van het contro l frame work



26





Oefening IT General Controls • Uitwijk van Sox kritische systemen • Back up and restore van data van Sox kritische applicaties • Functiescheiding binnen applicaties • Excel sheets

27



28



Stellingen • SOx is een moetje, kost geld en levert verder niks op • SOx betekent permanent herstellen van de gaten die in de processen vallen • Change Management wordt niet alleen cruciaal voor de continuïteit van de systemen, maar ook voor SOx compliance • Enkel focus op SOx compliance is een gevaar voor de operationele dienstverlening • SOx waait wel weer over

29


Vragen

30


Sarbanes-Oxley en de gevolgen voor IT Beheer. Daniel van Burk 26 april 2005

Recommend Documents