Subir Archivo

cobit & coso it risk assessment · cobit & coso it risk assessment roberto apollonio...

  • Home
  • Documents
  • COBIT & COSO IT Risk Assessment · COBIT & COSO IT Risk Assessment Roberto Apollonio [email protected] Sessione di Studio AIEA Roma, 8 Ottobre 2009
22
COBIT & COSO IT Risk Assessment Roberto Apollonio [email protected] Sessione di Studio AIEA Roma, 8 Ottobre 2009

Upload: others

Post on 21-Oct-2020

25 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • COBIT & COSOIT Risk AssessmentRoberto [email protected]

    Sessione di Studio AIEARoma, 8 Ottobre 2009

  • 3 Italia Page 2

    Contenuti

    Corporate Governance

    Risk Management

    COSO and COBIT

    3 Italia Case Study

  • 3 Italia Page 3

    Corporate Governance Con l'espressione Corporate Governance si intende l'insieme di regole e

    strutture organizzative che presiedono a un corretto ed efficiente governo societario

    Il termine Corporate Governance si riferisce a diversi ambiti della vita aziendale descrivendo:

    i processi con cui le società sono dirette e controllate; le attività con cui si incoraggiano le aziende a seguire dei codici (linee

    guida di corporate governance) le tecniche di investimento basate sul possesso attivo (fondi di corporate

    governance)un campo dell'economia che studia i problemi che derivano dalla

    separazione della proprietà dal controllo Più in generale, la Corporate Governance abbraccia una serie di regole, relazioni, processi e sistemi aziendali, tramite le quali l'autorità fiduciaria èesercitata e controllata. Tra le regole rientrano le leggi del paese e le regole societarie interne. Le relazioni includono quelle tra tutte le parti coinvolte nella società, come i proprietari, i manager, gli amministratori (qualora esista un Consiglio di amministrazione), le autorità di regolazione, nonché i dipendenti e la società in senso ampio. I processi e sistemi hanno a che fare con i meccanismi di delega dell'autorità, la misurazione delle performance, sicurezza, reporting e contabilità.

  • 3 Italia Page 4

    Corporate Governance Il Sistema di Controllo Interno, perno su cui la Corporate Governance ruota,

    costituisce l'elemento catalizzatore di soggetti e funzioni che, ognuna per la propria parte, contribuiscono alla conduzione dell'impresa in modo sano, corretto e coerente con gli obiettivi di risk management.

    Il Sistema di Controllo Interno è definito dal Codice Preda come l’insieme dei processi diretti a monitorare l’efficienza delle operazioni aziendali, l’affidabilitàdell’informazione finanziaria, il rispetto di leggi e regolamenti, la salvaguardia dei beni aziendali; in altri termini tale sistema è costituito dalle attività poste in essere al fine di assicurare il rispetto sia dei corretti principi di gestione e di amministrazione dell’impresa sia dell’adeguatezza degli assetti e delle procedure organizzative aziendali. I destinatari di tali controlli sono individuabili sia negli organi volitivi dell’azienda, sia nei portatori di capitale di rischio sia, infine, nel più ampio universo costituito dagli stakeholders.

    Gli eventi che negli ultimi anni hanno intaccato la credibilità dei mercati finanziari accrescono sempre più la necessità di un maggiore e incisivo focussul Sistema di Controllo Interno.

    Diventa così mandatorio per il CEO di un’azienda di medie/grandi dimensioni, pubblica o privata, quotata o meno in Borsa, richiedere la conduzione di

  • 3 Italia Page 5

    Contenuti

    Corporate Governance

    Risk Management

    COSO and COBIT

    3 Italia Case Study

  • 3 Italia Page 6

    Risk Management Il Sistema di Controllo Interno dovrà essere verificato e aggiornamento nel

    tempo per poter assicurare sempre un’aderenza ed un’integrazione totale con il sistema azienda.

    Nell’ambito dell’attività d’impresa, al fine di assicurare condizioni di sana e corretta gestione, in coerenza con le strategie e gli obiettivi prefissati, ogni società deve sostenere un approccio preventivo ai rischi e ad orientare le scelte e le attività del management in un’ottica di riduzione della probabilità di accadimento degli eventi negativi e del loro impatto. A tal fine, devono essere adottate strategie di gestione dei rischi in funzione della loro natura e tipologia quali, principalmente, quelli di natura finanziaria, industriale, di regulatory/compliance, strategici ed operativi, tecnici.

    Le modalità con cui il management identifica, valuta, gestisce e monitora gli specifici rischi connaturati alla gestione dei processi aziendali sono solitamente disciplinate da diversi strumenti normativi, procedurali, organizzativi, contenuti nel sistema normativo aziendale che, essendo permeati dalla cultura del rischio, ne presidiano il loro contenimento.

    Lo sviluppo di programmi di risk assessment concorre a rafforzare ulteriormente la sensibilità del management sulla gestione dei rischi e contribuisce al

  • 3 Italia Page 7

    Risk Management Risk Assessment e Risk Management sono dei processi di valutazione e

    gestione attraverso i quali vengono identificati i rischi valutando le preferenze, stimando le conseguenze che eventi indesiderabili potrebbero avere, prevedendo la possibilità che questi eventi accadano e soppesando il valore di ogni diverso modo di agire.

    La valutazione dei rischi è un processo durante il quale strategie diverse sono pesate e vengono prese decisioni sui rischi ritenuti accettabili. Queste strategie hanno differenti effetti sui rischi, inclusi la riduzione, la rimozione e la ridefinizione degli stessi. Alla fine, viene determinato un livello accettabile di rischio e di conseguenza viene adottata una strategia. In questo processo sono coinvolti: il calcolo costi-benefici, la stima della tolleranza dei rischi e la quantificazione delle preferenze.

    Il framework di Enterprise Risk Management, pubblicato dal Committee of Sponsoring Organization of the Treadway Commission (CoSO) nel Settembre 2004, costituisce il modello di riferimento a livello internazionale per la corretta gestione di tutti i rischi cui l’azienda è esposta.

  • 3 Italia Page 8

    Contenuti

    Corporate Governance

    Risk Management

    COSO and COBIT

    3 Italia Case Study

  • 3 Italia Page 9

    COSO Il CoSO report definisce il processo risk management assegnando allo stesso

    un ruolo di primo piano a supporto del top management nella definizione della strategia aziendale.

    L’Enterprise risk management si compone di otto componenti correlati:

    1. Internal Environment

    2. Objective Setting

    3. Event Identification

    4. Risk Assessment

    5. Risk Response

    6. Control Activities

    7. Information and Communication

    8. Monitoring

  • 3 Italia Page 10

    COBIT Il Control Objectives for Information and related Technology (COBIT) è un

    modello (framework) per la gestione della Information and CommunicationTechnology (ICT) creato nel 1992 dall'associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association -ISACA), e dal IT Governance Institute (ITGI).

    COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da:

    • una struttura dei processi della funzione IT, rispetto alla quale si èvenuto formando il consenso degli esperti del settore

    • una serie di strumenti teorici e pratici collegati ai processi

    • con l'obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo

  • 3 Italia Page 11

    Contenuti

    Corporate Governance

    Risk Management

    COSO and COBIT

    3 Italia Case Study

  • 3 Italia Page 12

    3 Italia Case Study: RiskAssessmentSu richiesta del Gruppo HWL, nel 2007 viene avviato un progetto di RiskAssessment, da ripetere due volte all’anno, strutturato secondo i seguenti steps:

    • Coinvolgimento del Top Management locale• Adozione del COSO Framework• Identificazione processi aziendali core/significativi• Conduzione dell’assessment a livello Entity (Top Management) e di

    Processo (coinvolgimento delle linee aziendali)• Analisi dei rischi al fine di identificare le soluzioni per la loro rimozione o

    riduzione del loro impatto• Condivisione dei risultati sia con il Top Management locale sia con quello di

    Gruppo• Avvio piano di Remediation Actions e monitoraggio mensile

  • 3 Italia Page 13

    3 Italia Case Study: Core ProcessesPrincipali Processi individuati/classificati come significativi per il business:

    Marketing Sviluppo Prodotti Gestione Vendite Attività Post Vendita (Assistenza Tecnica, CRM) Acquisti Ciclo Attivo/Passivo Fatturazione Gestione/Controllo delle Revenue Billing Gestione Credito Clienti Frodi Commissioning Legal HR Information Technolgy & Network

  • 3 Italia Page 14

    3 Italia Case Study: COSO & COBIT

    Processi COBIT / COSO Internal Control – Integrated Framework

    Sviluppo di una checklist per un supporto concreto nella conduzione dell’assessment sia nell’ambito IT sia per il comparto Network (Telefonia, DVB-H).

    Il COBIT quale strumento per la conduzione di un assessment in ambito IT e Network

  • 3 Italia Page 15

    3 Italia Case Study: COSO & COBIT Sviluppo di una checklist per un supporto concreto nella conduzione

    dell’assessment sia nell’ambito IT sia per il comparto Network (Telefonia, DVB-H): Overall Picture

  • 3 Italia Page 16

    3 Italia Case Study: COSO & COBIT Plan and Organize example

  • 3 Italia Page 17

    3 Italia Case Study: COSO & COBIT Acquire and Implement example

  • 3 Italia Page 18

    3 Italia Case Study: COSO & COBIT Delivery and Support example

  • 3 Italia Page 19

    3 Italia Case Study: COSO & COBIT Monitor and Evaluate example

  • 3 Italia Page 20

    3 Italia Case Study: COSO & COBIT Dinamiche dei Processi

  • 3 Italia Page 21

    3 Italia Case Study: COSO & COBIT Key Actions/Projects impacting the Control Environment

  • grazie …


9º COSO I Y COSO II.ppt

NOVO COSO 2013 - auditoriainterna.org1. Visão Geral do projeto Novo COSO 2013 2. Atualização Novo COSO 2013 : Pontos-chave, melhorias e esclarecimentos 3. Documentos base – Ferramentas

CASE COBIT - ISHIKAWA

424153 cobit

Resumo COSO 2

COBIT Módulo 3

Apostila COBIT 5

Cobit, Itil,Sas70

Coso i y Coso II 1 1

IT Partners curso Cobit 5 implementatação (COBIT 5 Implementation)

1415636226LeonidasyCesar Coso guatemala 2014.pdf

Cobit Foundation Resumo

Curso cobit trainning

UNIVERSIDADE PRESBITERIANA MACKENZIE · 2019-12-03 · Segurança da Informação e Gestão de Riscos 32 h/a Leis, Normas e Frameworks (SOX, BasiléiaII, 3380, COSO) 32 h/a COBIT

Cobit 5 na prática – Parte I – Como nós fazemos Cobit

DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO DAScertificadodigital.caixa.gov.br/documentos/dpcac-caixapjssl.pdf · COBIT Control Objectives for Information and related Technology COSO

424153 - COBIT

CObIT Module - OverView

Apostila Cobit

Cobit 5 Parte 06: Modelo de Capacidade do Cobit 5

Itil X Cobit

Controle Interne COSO

CURSO COSO ERM 2017 - auditoriainterna.org · COSO ERM 2017 - Mensagem da Direção do COSO Durante a última década, o COSO ERM ganhou ampla aceitação nos esforços para a Gestão

Resumo Cobit Foundation

 · 52 HORAS DE FORMAÇÃO POR AUDITOR Nº DE RELATÓRIOS DE AUDITORIA (EXCETO SCIRF) CONCLUÍDOS OUTRAS ATIVIDADES/PROJETOS ... modelos de referência COSO e COBIT. Desde 2009 que

Fundamentos Do Cobit

As 10 maiores lições aprendidas com a implementação d COSO ... · acordo com a Seção 404. O Framework do COSO cumpre os critérios de adequação da SEC. O COSO ressaltou que

COSO ICIF 2013 Sumario Executivo

COSO 2 - Gerenciamento de Riscos

Coso I Y Coso Ii

Governança cobit

Coso i y_coso_ii_1_1 (1)

COSO I Y II

Cobit vs Itil

COBIT - Resumo2.pdf