Compliance ed IT Governance
Il documento "IT Control Objectives for Sarbanes-Oxley 2nd Edition" (Obiettivi di controllo IT per la Sarbanes-Oxley), pubblicato nel 2006 dall’IT Governance Institute (ITGI) e disponibile ora anche nella versione italiana, rappresenta un aggiornamento ed integrazione della guida "IT Control Objectives for Sarbanes-Oxley" pubblicata nel 2004 per supportare le aziende nella valutazione e miglioramento del proprio sistema di controllo interno sui processi di Information Technology (IT), ed utilizzata poi anche come strumento per valutare i controlli IT in relazione ai requisiti di conformità richiesti dalla Sarbanes-Oxley.
Questa seconda edizione (tradotta in italiano da Agatino Grillo con l'ausilio di Francesco Mariani e Sergio Rubichi) conferma la sostanziale validità dell’impianto della guida dell 2004, e lo integra sulla base delle esperienze maturate in fase di prima applicazione.
Le principali modifiche rispetto alla prima edizione riguardano l'integrazione delle linee guida per aiutare le aziende:
Questa seconda edizione (tradotta in italiano da Agatino Grillo con l'ausilio di Francesco Mariani e Sergio Rubichi) conferma la sostanziale validità dell’impianto della guida dell 2004, e lo integra sulla base delle esperienze maturate in fase di prima applicazione.
Le principali modifiche rispetto alla prima edizione riguardano l'integrazione delle linee guida per aiutare le aziende:
- nell’applicare l’approccio risk-based e top-down;
- nella definizione dei controlli rilevanti (si veda per questo secondo aspetto l’appendice "C – Controlli generali IT" del documento);
- nella fase di identificazione ed utilizzo dei vari tipi di controlli applicativi, fornendo anche esempi di business case per l’uso di tali controlli applicativi;
- nella definizione dei controlli da prevedere nella gestione dei fogli elettronici;
- nella segregazione di responsabilità non compatibili per le applicazioni più significative.
Il documento è stato inoltre ampliato con approfondimenti sugli aspetti relativi alla gestione delle persone e delle specificità culturali (per sottolineare l’importanza dei fattori umani da considerare nelle attività di compliance alla Sarbanes-Oxley) e con una sintesi delle esperienze e degli insegnamenti maturati dalle aziende che, in tutto il mondo, hanno applicato la prima versione della guida.
Maggiore spazio è stato dedicato anche alle aziende più piccole, in considerazione del fatto che queste "possono trovarsi in difficoltà [...] nell’applicare i requisiti sui controlli IT che
sono richiesti dalla Sarbanes-Oxley. È dunque importante non teorizzare una strategia di intervento uguale per tutti ma, invece, usare un approccio risk–based ed implementare solo quei controlli IT che sono necessari e rilevanti per il proprio contesto." A tal fine, questa nuova versione riporta numerosi miglioramenti nelle linee guida per il risk assessment.
Infine, come viene precisato nella premessa al documento "Non esiste un ambiente aziendale senza rischi e quindi essere conformi al Sarbanes-Oxley Act non garantisce la mancanza di rischi. Tuttavia migliorare il proprio sistema di controllo interno, anche in relazione ai requisiti di conformità del Sarbanes-Oxley Act, può arrecare considerevoli vantaggi: una IT Governance chiara sugli obiettivi di pianificazione e controllo nell’ambito del ciclo di vita delle applicazioni software, ad esempio, può sicuramente assicurare un financial reporting più accurato e tempestivo."
Maggiore spazio è stato dedicato anche alle aziende più piccole, in considerazione del fatto che queste "possono trovarsi in difficoltà [...] nell’applicare i requisiti sui controlli IT che
sono richiesti dalla Sarbanes-Oxley. È dunque importante non teorizzare una strategia di intervento uguale per tutti ma, invece, usare un approccio risk–based ed implementare solo quei controlli IT che sono necessari e rilevanti per il proprio contesto." A tal fine, questa nuova versione riporta numerosi miglioramenti nelle linee guida per il risk assessment.
Infine, come viene precisato nella premessa al documento "Non esiste un ambiente aziendale senza rischi e quindi essere conformi al Sarbanes-Oxley Act non garantisce la mancanza di rischi. Tuttavia migliorare il proprio sistema di controllo interno, anche in relazione ai requisiti di conformità del Sarbanes-Oxley Act, può arrecare considerevoli vantaggi: una IT Governance chiara sugli obiettivi di pianificazione e controllo nell’ambito del ciclo di vita delle applicazioni software, ad esempio, può sicuramente assicurare un financial reporting più accurato e tempestivo."
Commenti
Posta un commento