Come è noto l’ISACA ha tra i suoi obiettivi la promozione di standard e practice condivisi per l’audit dei Sistemi Informativi (SI). Il corpus delle linee guide è articolato, logicamente e gerarchicamente, in:

• Standard (i principi: cosa fare)
• Direttive (le guideline: come fare)
• Procedure (esempi e best practice di applicazione delle direttive e dei principi)

Ad oggi sono stati pubblicate (e sono effettive) otto IS Auditing Standard, 35 direttive e nove procedure. Tutte sono liberamente scaricabili dal sito ISACA singolarmente o in un unico documento (pdf, 1.5 MB).

Standard

Gli Standard definiscono i requisiti obbligatori di audit e di reporting. Essi indicano:

• ai revisori SI il livello minimo accettabile di prestazioni necessario a soddisfare le responsabilità previste dal Codice di etica professionale ISACA;
• ai clienti le aspettative richieste;
• ai Certified Information Systems Auditor (CISA) i requisiti per il mantenimento della certificazione.

Ad oggi sono promulgati i seguenti standard (con la data da cui sono effettivi)

• S1 Audit Charter, 1 January 2005
• S2 Independence, 1 January 2005
• S3 Professional Ethics and Standards, 1 January 2005
• S4 Competence, 1 January 2005
• S5 Planning, 1 January 2005
• S6 Performance of Audit Work, 1 January 2005
• S7 Reporting, 1 January 2005
• S8 Follow-Up Activities, 1 January 2005
• S9 Irregularities and Illegal Acts, 1 September 2005
• S10 IT Governance, 1 September 2005
• S11 Use of Risk Assessment in Audit Planning, 1 November 2005
• S12 Audit Materiality, 1 July 2006
• S13 Using the Work of Other Experts, 1 July 2006
• S14 Audit Evidence, 1 July 2006

I primi 11 standard sono anche stati tradotti in italiano e disponibili sul sito ISACA .

Direttive

Le Direttive regolano l'applicazione degli standard di audit.
Il revisore SI deve:

• prenderle in considerazione all'atto dell'implementazione degli standard,
• usare oculato giudizio nella loro applicazione
• essere in grado di giustificare qualsiasi eventuale deviazione.

Ad oggi sono promulgate le seguenti direttive:

• G1 Using the Work of Other Auditors, 1 June 1998
• G2 Audit Evidence Requirement, 1 December 1998
• G3 Use of Computer Assisted Audit Techniques (CAATs), 1 December 1998
• G4 Outsourcing of IS Activities to Other Organisations, 1 September 1999
• G5 Audit Charter, 1 September 1999
• G6 Materiality Concepts for Auditing Information Systems, 1 September 1999
• G7 Due Professional Care, 1 September 1999
• G8 Audit Documentation, 1 September 1999
• G9 Audit Considerations for Irregularities, 1 March 2000
• G10 Audit Sampling, 1 March 2000
• G11 Effect of Pervasive IS Controls, 1 March 2000
• G12 Organisational Relationship and Independence, 1 September 2000
• G13 Use of Risk Assessment in Audit Planning, 1 September 2000
• G14 Application Systems Review, 1 November 2001
• G15 Planning Revised, 1 March 2002
• G16 Effect of Third Parties on an Organisation’s IT Controls, 1 March 2002
• G17 Effect of Nonaudit Role on the IS Auditor’s Independence, 1 July 2002
• G18 IT Governance, 1 July 2002
• G19 Irregularities and Illegal Acts, 1 July 2002
• G20 Reporting, 1 January 2003
• G21 Enterprise Resource Planning (ERP) Systems Review, 1 August 2003
• G22 Business-to-consumer (B2C) E-commerce Review ,1 August 2003
• G23 System Development Life Cycle (SDLC) Review Reviews, August 2003
• G24 Internet Banking, 1 August 2003
• G25 Review of Virtual Private Networks, 1 July 2004
• G26 Business Process Reengineering (BPR) Project Reviews, 1 July 2004
• G27 Mobile Computing, 1 September 2004
• G28 Computer Forensics, 1 September 2004
• G29 Post-implementation Review, 1 January 2005
• G30 Competence, 1 June 2005
• G31 Privacy, 1 June 2005
• G32 Business Continuity Plan (BCP) Review From It Perspective, 1 September 2005
• G33 General Considerations on the Use of the Internet, 1 March 2006
• G34 Responsibility, Authority and Accountability, 1 March 2006
• G35 Follow-up Activities, 1 March 2006

Procedure

Le Procedure presentano esempi delle strategie applicabili dal revisore SI nel corso dell'audit ed hanno lo scopo di fornire ulteriori informazioni sull'osservanza.
Ad oggi sono promulgate le seguenti procedure:

• P1 IS Risk Assessment 1 July 2002
• P2 Digital Signatures 1 July 2002
• P3 Intrusion Detection 1 August 2003
• P4 Viruses and other Malicious Code 1 August 2003
• P5 Control Risk Self-assessment 1 August 2003
• P6 Firewalls 1 August 2003
• P7 Irregularities and Illegal Acts 1 November 2003
• P8 Security Assessment—Penetration Testing and Vulnerability Analysis 1 September 2004
• P9 Evaluation of Management Controls Over Encryption Methodologies 1 January 2005
• P10 Business Application Change Control 1 October 2006

Lo Standard board

Lo Standards Board  è il comitato che si occupa di definire gli standard sulla base delle necessità degli associati, delle normative e delle richieste del mercato. Chi volesse contattare il board, magari per proporre di lavorare su un nuovo tema emergente può spedire una email a standards AT isaca DOT org o scrivere a ISACA International Headquarters, 3701 Algonquin Road, Suite 1010, Rolling Meadows, IL 60008, USA, all’attenzione del “director of research standards and academic relations”.
I membri dell’ ISACA Standards Board sono (al momento):

• Sergio Fleginsky, CISA, Chair, Uruguay
• Andrew J. MacLeod, CISA,FCPA,MACS,PCP, Australia
• John G. Ott, CISA,CPA, USA
• Brad David Chin, CISA,CPA, MBA, USA
• V. Meera, CISM,CISSP,CISA, USA
• Maria Jesus Gonzalez, CISA, Spain
• Ravi Muthukrishnan, CISM,CISA,FCA,ISCA, India
• Jason A. Thompson, CISA, CIA, USA
• John Ho Chi     Singapore, Corresponding Member:
• John Beveridge, CISA, CISM, CFE, CGFM, USA
• Staff Liaison: Thomas Lamm, Director of Research, Standards and Academic Relations (tlamm AT isaca DOT org)

La rinumerazione degli standard

Recentemente gli standard, le direttive e le procedure sono stare riclassificate e rinumerate al fine di migliorarne l’usabilità; la rinumerazione ora segue la data di pubblicazione.
Sul sito dell’ISACA è presente una matrice che indica il crossreferencing standard/guideline.

Isaca link

La pagina di Isaca in italiano 
Gli standard Isaca in italiano:
Lo Standard board (in inglese)

Fine della prima parte
Nella seconda parte saranno analizzati lo standard, la linea guida e le direttive relative al risk assessment.
 

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA.
Altri articoli pubblicati per IsacaRoma Newsletter

• ISACA: Standard, direttive e procedure – prima parte (23-09-2006)
• Intervista a Ross Anderson (02-11-2005)
• Lezioni di IS Auditing  (03-01-2006)
• Conversazione con Simon Singh (28-10-2005)
• COSO Enterprise Risk Management Framework (12-09-2006)
• Bruce Schneier: domande e risposte (01-11-2005)

Lista completa: