060923-isrisk Come è noto l’ISACA ha tra i suoi obiettivi la promozione di standard e practice condivisi per l’audit dei Sistemi Informativi (SI). Il corpus delle linee guide è articolato, logicamente e gerarchicamente, in:

Standard (i principi: cosa fare)
Direttive (le guideline: come fare)
Procedure (esempi e best practice di applicazione delle direttive e dei principi)

Ad oggi sono stati pubblicate (e sono effettive) otto IS Auditing Standard, 35 direttive e nove procedure. Tutte sono liberamente scaricabili dal sito ISACA singolarmente o in un unico documento (pdf [1], 1.5 MB).

Standard

Gli Standard definiscono i requisiti obbligatori di audit e di reporting. Essi indicano:

ai revisori SI il livello minimo accettabile di prestazioni necessario a soddisfare le responsabilità previste dal Codice di etica professionale ISACA;
ai clienti le aspettative richieste;
ai Certified Information Systems Auditor (CISA) i requisiti per il mantenimento della certificazione.

Ad oggi sono promulgati i seguenti standard (con la data da cui sono effettivi)

S1 Audit Charter, 1 January 2005
S2 Independence, 1 January 2005
S3 Professional Ethics and Standards, 1 January 2005
S4 Competence, 1 January 2005
S5 Planning, 1 January 2005
S6 Performance of Audit Work, 1 January 2005
S7 Reporting, 1 January 2005
S8 Follow-Up Activities, 1 January 2005
S9 Irregularities and Illegal Acts, 1 September 2005
S10 IT Governance, 1 September 2005
S11 Use of Risk Assessment in Audit Planning, 1 November 2005
S12 Audit Materiality, 1 July 2006
S13 Using the Work of Other Experts, 1 July 2006
S14 Audit Evidence, 1 July 2006

I primi 11 standard sono anche stati tradotti in italiano e disponibili [2] sul sito ISACA .

Direttive

Le Direttive regolano l'applicazione degli standard di audit.
Il revisore SI deve:

prenderle in considerazione all'atto dell'implementazione degli standard,
usare oculato giudizio nella loro applicazione
essere in grado di giustificare qualsiasi eventuale deviazione.

Ad oggi sono promulgate le seguenti direttive:

G1 Using the Work of Other Auditors, 1 June 1998
G2 Audit Evidence Requirement, 1 December 1998
G3 Use of Computer Assisted Audit Techniques (CAATs), 1 December 1998
G4 Outsourcing of IS Activities to Other Organisations, 1 September 1999
G5 Audit Charter, 1 September 1999
G6 Materiality Concepts for Auditing Information Systems, 1 September 1999
G7 Due Professional Care, 1 September 1999
G8 Audit Documentation, 1 September 1999
G9 Audit Considerations for Irregularities, 1 March 2000
G10 Audit Sampling, 1 March 2000
G11 Effect of Pervasive IS Controls, 1 March 2000
G12 Organisational Relationship and Independence, 1 September 2000
G13 Use of Risk Assessment in Audit Planning, 1 September 2000
G14 Application Systems Review, 1 November 2001
G15 Planning Revised, 1 March 2002
G16 Effect of Third Parties on an Organisation’s IT Controls, 1 March 2002
G17 Effect of Nonaudit Role on the IS Auditor’s Independence, 1 July 2002
G18 IT Governance, 1 July 2002
G19 Irregularities and Illegal Acts, 1 July 2002
G20 Reporting, 1 January 2003
G21 Enterprise Resource Planning (ERP) Systems Review, 1 August 2003
G22 Business-to-consumer (B2C) E-commerce Review ,1 August 2003
G23 System Development Life Cycle (SDLC) Review Reviews, August 2003
G24 Internet Banking, 1 August 2003
G25 Review of Virtual Private Networks, 1 July 2004
G26 Business Process Reengineering (BPR) Project Reviews, 1 July 2004
G27 Mobile Computing, 1 September 2004
G28 Computer Forensics, 1 September 2004
G29 Post-implementation Review, 1 January 2005
G30 Competence, 1 June 2005
G31 Privacy, 1 June 2005
G32 Business Continuity Plan (BCP) Review From It Perspective, 1 September 2005
G33 General Considerations on the Use of the Internet, 1 March 2006
G34 Responsibility, Authority and Accountability, 1 March 2006
G35 Follow-up Activities, 1 March 2006

Procedure

Le Procedure presentano esempi delle strategie applicabili dal revisore SI nel corso dell'audit ed hanno lo scopo di fornire ulteriori informazioni sull'osservanza.
Ad oggi sono promulgate le seguenti procedure:

P1 IS Risk Assessment 1 July 2002
P2 Digital Signatures 1 July 2002
P3 Intrusion Detection 1 August 2003
P4 Viruses and other Malicious Code 1 August 2003
P5 Control Risk Self-assessment 1 August 2003
P6 Firewalls 1 August 2003
P7 Irregularities and Illegal Acts 1 November 2003
P8 Security Assessment—Penetration Testing and Vulnerability Analysis 1 September 2004
P9 Evaluation of Management Controls Over Encryption Methodologies 1 January 2005
P10 Business Application Change Control 1 October 2006

Lo Standard board

Lo Standards Board [3] è il comitato che si occupa di definire gli standard sulla base delle necessità degli associati, delle normative e delle richieste del mercato. Chi volesse contattare il board, magari per proporre di lavorare su un nuovo tema emergente può spedire una email a standards AT isaca DOT org o scrivere a ISACA International Headquarters, 3701 Algonquin Road, Suite 1010, Rolling Meadows, IL 60008, USA, all’attenzione del “director of research standards and academic relations”.
I membri dell’ ISACA Standards Board sono (al momento):

Sergio Fleginsky, CISA, Chair, Uruguay
Andrew J. MacLeod, CISA,FCPA,MACS,PCP, Australia
John G. Ott, CISA,CPA, USA
Brad David Chin, CISA,CPA, MBA, USA
V. Meera, CISM,CISSP,CISA, USA
Maria Jesus Gonzalez, CISA, Spain
Ravi Muthukrishnan, CISM,CISA,FCA,ISCA, India
Jason A. Thompson, CISA, CIA, USA
John Ho Chi Singapore, Corresponding Member:
John Beveridge, CISA, CISM, CFE, CGFM, USA
Staff Liaison: Thomas Lamm, Director of Research, Standards and Academic Relations (tlamm AT isaca DOT org)