Quali sono gli argomenti più importanti per un corso di IS Auditing & Control? L’ISACA 2004 Model Curriculum identifica le componenti fondamentali della disciplina. Concetti fondamentali di IS Auditing.

ISACA ha predisposto un modello standard di curriculum in IS Auditing che comprende le principali conoscenze necessarie per svolgere in maniera corretta la professione.

Il curriculum può essere utilizzato, ad esempio, in ambito accademico per valutare se un certo insegnamento contiene tutti le componenti richieste dall’Associazione.

Noi useremo lo stesso modello per scrivere le nostre lezioni.

Il Curriculum è disponibile in:

http://www.isaca.org/Content/NavigationMenu/Students_and_Educators/Model_Curricula/ISACAModelCurriculum24September04.pdf

(pdf, 516 k)

L’ISACA 2004 Model Curriculum

L’Associazione individua 7 domini fondamentali che comprendono il corpus concettuale dell’IS Auditor; si tratta, come è facile immaginare, degli stessi domini che compongono il framework CISA utilizzato per la certificazione professionale degli IS Auditor.

I sette domini sono:

1. Audit Process;
2. Management planning and organization of IS;
3. Technical infrastructure and operational practices;
4. Protection of information assets;
5. Disaster recovery and business continuity;
6. Business application system development, acquisition, implementation and maintenance;
7. Business process evaluation and risk management.

Ciascuno dominio è articolato in topic e subtopic secondo lo schema che segue.

Domain 1 - Audit Process

IS Audit Function Knowledge

Fundamental Auditing Concepts

Standards and Guidelines for IS Auditing

Internal Controls Concepts Knowledge

Audit Planning Process

Audit Management

Audit Evidence Process

Audit Reporting Follow-up

Domain 2 - Management, Planning and Organization of IS

IS/IT Management

IS/IT Strategic Planning

IS/IT Management Issues

Support Tools and Frameworks

Techniques

Domain 3 - Technical Infrastructure and Operational Practices

Technical Infrastructure (Planning, Implementa-tion and Operational Practices)

Service Center Management: Maintain Information Systems and Technical Infrastruc-tures Through Organizations Dedicated to These Activities

Domain 4 - Protection of Information Assets

Information Assets Security Management

Logical IT Security

Applied IT Security: High-technology Resources

Physical and Environmental Security

Domain 5 - Disaster Recovery and Business Continuity

Protection of the Information Technology Architecture and Assets: Disaster Recovery Planning

Insurance

Domain 6 - Business Application System Development, Acquisition, Implementation and Maintenance

IS Planning

Information Management and Usage

Development, Acquisition and Maintenance of Information Systems

Impact of IT on the Business Processes and Solutions

Software Development

Domain 7 - Business Process Evaluation and Risk Management Compliance Grid

Audit and Development of Application Controls

IT Audit Basics Columns dell’ Information Systems Control Journal

In occasione della pubblicazione del Model Curriculum, l’ISACA ha altresì reso liberamente consultabili, attraverso il proprio sito web, http://www.isaca.org/Content/NavigationMenu/Students_and_Educators/IT_Audit_Basics/IT_Audit_Basics_Columns.htm, gli articoli pubblicati sul Control Journal relativi alle “basi” dell’ IT Audit, basi che seguono la stessa articolazione del Model Curriculum.

Ad oggi, solo i primi quattro domini sono stati affrontati: è anche possibile sollecitare un nuovo articolo scrivendo a: publication@isaca.org.

Ad esempio, per quanto riguarda il primo dominio, Audit Process, sono disponibili i seguenti articoli:

IS Audit Function Knowledge·The IS Audit Process, by S. Anantha Sayana·Due Professional Care, by Frederick Gallegos

• Audit Evidence Process·The Necessity for Documentation, by S. Anantha Sayana·Using CAATs to Support IS Audit, by S. Anantha Sayana
• Audit Reporting Follow-up·The Audit Report and Follow-up: Methods and Techniques for Communicating Audit Finding and Recommendations, by Frederick Gallegos
• Internal Controls Concepts Knowledge·Auditing General and Application Controls, by S. Anantha Sayana
• Fundamental Auditing Concepts·IT Audit Independence: What Does It Mean?, by Frederick Gallegos
• Audit Management·Maintaining IT Audit Proficiency–The Role of Professional Development Planning, by Frederick Gallegos·IT Audit Career Development Plan, by Frederick Gallegos

Nelle prossime lezioni affronteremo alcuni di questi argomenti. Per ora forniamo alcune definizioni e concetti introduttivi di IS Auditing (ISA).

ISA: concetti introduttivi

ISACA

L'Information Systems Audit and Control Association (ISACA), http://www.isaca.org, nasce negli USA nel 1969 con il nome di EDP Auditors Association. Oggi ISACA ha più di 28.000 iscritti in oltre 100 paesi diversi del mondo.

ISACA si caratterizza per la sua rete di sedi locali detti capitoli e presenti in 60 nazioni. Le sedi locali si occupano di attività formative, della condivisione delle risorse, della pubblicizzazione delle iniziative dell’Associazione, dell’assistenza agli associati e di un'ampia varietà di altre iniziative offerte in loco.

In Italia esistono due capitoli: il capitolo di Milano, noto come AIEA, Associazione Italiana Information Systems Auditors, http://www.aiea.it, ed Isacaroma, capitolo di Roma, http://www.isacaroma.it.

Molto note, infine, le certificazioni professionali gestite dall’Associazione:

• CISA, Certified Information Systems Auditor, http://www.isaca.org/cisa.htm, rilasciata ad oltre 30.000 professionisti;
• CISM, Certified Information Security Manager , http://www.isaca.org/cism.htm, più recente e mirata per coloro che operano nel settore della sicurezza informatica.

ISACA pubblica, inoltre, una rivista specializzata nel settore del controllo informatico intitolata Information Systems Control Journal e organizza una varietà di conferenze internazionali che trattano temi tecnici e gestionali per il campo del controllo, dell'osservanza e della sicurezza SI e della gestione informatica.

Cos’è l’IS Auditing & Control?

L’Information Systems Auditing & Control (ISAC), che da tempo ha sostituito nella letteratura internazionale la vecchia denominazione di “edp auditing”, si occupa dell’analisi e monitoraggio del sistema di controllo presente nei sistemi informativi aziendali.

L’obiettivo che si prefigge è misurare il grado di controllo esistente, rilevando le potenziali criticità o aree di rischio e proponendo, se necessario, le opportune misure per il ripristino del livello di controllo desiderato.

In maniera più formale, l’ISACA propone questa definizione:

IS Auditing è il processo di raccolta e valutazione di elementi oggettivi per determinare le modalità con cui l’Information Systems aziendale e le relative risorse sono salvaguardate ed avere una ragionevole certezza che siano garantiti:

• l’integrità dei dati e dei sistemi;
• l’affidabilità delle informazioni;
• il raggiungimento degli obiettivi da parte dell’organizzazione;
• la gestione efficiente delle risorse;
• l’efficacia dei controlli interni appropriati.

CobiT

L´ISACA è affiliata con l’ IT Governance Institute, http://www.itgi.org, con il quale ha sviluppato le metodologia CobiT, Control Objectives for Information and related Technology Objective, http://www.isaca.org/cobit.

CobiT è framework per la verifica dei sistemi informativi sviluppato per permettere la definizione, comprensione e condivisione dei controlli IT e si rivolge non solo agli IS Auditor ma anche all’Alta Direzione ed alle altre funzioni di controllo interno.

Il framework è process-based e si articola su tre livelli logici di classificazione (Attività , Processi e Domini) così da permettere l’individuazione, per ciascuno livello, delle risorse IT da sottoporre a controllo e dei “proprietari” di tali risorse.

La metodologia si compone di un insieme di 34 obiettivi di controllo di alto livello, uno per ciascuno dei principali processi dell’IT, e di circa 300 obiettivi di controllo dettagliati; gli obiettivi di controllo sono raggruppati in quattro domini:

1. Organizzazione e pianificazione (Planning & Organisation);
2. Acquisizione e realizzazione (Acquisition &Implementation);
3. Erogazione del servizio e assistenza (Delivery & Support);
4. Monitoraggio (Monitoring).

Cobit su Isacaroma Newsletter

• CobiT Security Baseline - luglio 2004
• Introduzione a CobiT - giugno 2004
• CobiT: assicurare la continuità del servizio - maggio 2004
• CobiT online - aprile 2004
• CobiT for Serbanes Oxley - aprile 2004
• CobiT Mapping - aprile 2004

Nella prossima lezione

Per ora è tutto! Consultate i link proposti per gli approfondimenti.

Nella prossima lezione analizzeremo,in dettaglio, il processo di Audit.

Agatino Grillo, CISA, CISSP, CISM. Lavora in OASI SpA. Ha pubblicato numerosi articoli e white paper sui temi dell’ IS Auditing e della IT Security. Può essere contattato al seguente indirizzo: a.grillo (AT) isacaroma.it

Allegati: il Model Curriculum completo