Nella prima parte di quest’articolo abbiamo descritto i principi alla base di GAIT  la guida dell’Institue of Internal Auditors (TheIIA) per l’assessment dei controlli generali IT. In questa seconda parte analizziamo la metodologia di GAIT.

Il processo

La metodologia alla base di GAIT è stata sviluppata per permettere l’applicazione pratica dei principi di cui abbiamo già parlato; essa fornisce un processo dettagliato per l’implementazione di GAIT corredato di esempi pratici. Inoltre sono analizzate le modalità con le quali le possibili deficenze di controllo presenti nei vari layer delle infrastrutture IT hanno impatto nei processi finanziari aziendali ed in questi casi sono indicati gli obiettivi generali di controllo IT che possono mitigare tali rischi.

Le domande

Le domande da porsi per implementare GAIT sono:

1. Quali funzionalità IT sono critiche nelle applicazioni finanziarie dal punto di vista dei controlli chiave?
2. Per ogni processo IT in ogni layer delle infrastrutture IT c’è una probabilità ragionevole che si creino rischi dal punto di vista dell’affidabilità delle scritture finanziarie?
3. Se esistono tali rischi, quail sono i relativi obiettivi di controllo IT?

Indice del documento

• Welcome
• Part 1. Understanding GAIT
• Executive summary
• Understanding GAIT’s four core principles
• A word about entity-level controls
• Part 2. Applying the GAIT methodology
• GAIT: concisely
• Documenting GAIT results
• Customizing GAIT
• Gathering the GAIT assessment team
• GAIT methodology phases
• Phase 1 Identify (and validate if necessary) the critical IT functionality
• Phase 2 Identify the [significant] applications where ITGC need to be tested
• Phase 3 Identify ITGC process risks and related control objectives
• Phase 4 Identify the key ITGCs to test that meet the control objective
• Phase 5 Perform a reasonable person review
• Appendix
• Sample GAIT matrix
• GAIT template
• Handling bottom-up risk assessments
• Definitions

Fine della seconda parte.
Leggi la prima parte.

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA. Ha scritto diversi articoli per IsacaRoma Newsletter.

IsacaRoma Newsletter link

• Ultimia rticoli di AgatinoGrillo:
• Compliance: il processo di controllo alla luce delle nuove disposizioni di vigilanza prudenziale per le banche (terza parte)
• Compliance: il processo di controllo alla luce delle nuove disposizioni di vigilanza prudenziale per le banche (seconda parte) 
• GTAG: Guida num. 3 - Continuous Auditing: implicazioni per l’assurance, il monitoraggio ed il risk assessment
• Tutti gli articoli su AIIA
• Ultimi articoli su AIIA:
• Introduzione a GAIT, la guida di IIA all’assessment dei controlli IT generali
• TheIIA: versione definitiva di GAIT - Guide to the Assessment of IT General Controls Scope Based on Risk
• AIIA: risultati esami di certificazione (sessione novembre 2006)
• AIIA: ulteriori informazioni sulle certificazioni Computer-Based Testing e Chief Audit Executive Program
• IIA: novità in vista per gli esami di certificazione