The Institute of Internal Auditors (TheIIA) ha pubblicato la nuova release della "Guide to the Assessment of IT General Controls Scope Based on Risk" (GAIT).In questa prima parte dell’articolo descriveremo i principi alla base di GAIT; nella seconda parte vedremo la metodologia.

Premessa: controlli generali e controlli applicativi

In relazione agli adempimenti per la compliance alla sezione 404 della Sarbanes Oxley, gli organi di controllo USA, la Public Company Accounting Oversight Board (PCAOB) e la U.S. Securities and Exchange Commission (SEC) suggeriscono un approccio basati sui rischi di tipo top-down. L’obiettivo è concentrarsi sui controlli chiave e ciò può essere fatto privilegiando l’assessment sugli IT general control, i controlli cioè che assicurano la corretta operatività dei sistemi IT garantendo che siano adottate le misure per proteggere dati e programmi. Gli IT general control non hanno un impatto diretto sul sistema contabile (financial statement) ma forniscono l’assurance che le applicazioni chiave ed i controlli automatizzati, definiti application control, operino in maniera coerente.

Cos’è GAIT?

GAIT è un framework, composto da un set di principi (pdf, 695K) ed una metodologia coerente (pdf, 593 K), per facilitare l’assessment degli IT general control. L’ultima versione di GAIT è del gennaio 2007.

I principi

I principi, che identificano le relazioni tra i business risk, gli IT general control risk e gli IT general control, sono quattro:

1. l’identificazione dei rischi e dei relativi controlli nei processi IT di controllo generali (IT general control process: change management, deployment, access security, operation, deve seguire un approccio top-down, continuo e risk-based;
2. devono essere identificati gli IT general control process risk nelle funzionalità IT che possono avere un impatto significativo dal punto di vista finanziario;
3. gli IT general control process risk sono presenti in vari IT layer: codice dei programmi, database, sistemi operativi e reti; per ciascuno di essi occorre effettuare specifiche attività di controllo IT, quali network scan e testing dei cambiamenti occorsi;
4. i rischi nei processi IT di controllo generale possono essere gestiti efficacemente solo se sono identificati i relativi obiettivi di controllo; non basta far affidamento ai singoli controlli.

Fine prima parte

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA. Ha scritto diversi articoli per IsacaRoma Newsletter.

IsacaRoma Newsletter link

• Ultimia rticoli di AgatinoGrillo:
• Compliance: il processo di controllo alla luce delle nuove disposizioni di vigilanza prudenziale per le banche (terza parte)
• Compliance: il processo di controllo alla luce delle nuove disposizioni di vigilanza prudenziale per le banche (seconda parte) 
• GTAG: Guida num. 3 - Continuous Auditing: implicazioni per l’assurance, il monitoraggio ed il risk assessment
• Tutti gli articoli su AIIA
• Ultimi articoli su AIIA:
• TheIIA: versione definitiva di GAIT - Guide to the Assessment of IT General Controls Scope Based on Risk
• AIIA: risultati esami di certificazione (sessione novembre 2006)
• AIIA: ulteriori informazioni sulle certificazioni Computer-Based Testing e Chief Audit Executive Program
• IIA: novità in vista per gli esami di certificazione