Iniziamo, con questo articolo, una serie di interventi relativi agli aspetti di auditing e controllo richiesti dal Decreto Legislativo 8 giugno 2001, n. 231, recante “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’art. 11 della legge 29 settembre 2000, n. 300”. In questa prima puntata analizziamo i requisiti  relativi all’analisi dei rischi così come indicato dalle “Linee Guida” realizzate dalla Confindustria. L’articolo è diviso in due parti: nella prima vedremo il quadro di riferimento generale; nella seconda il processo di risk management in particolare.

L’Institute of Internal Audit, rappresentata in Italia dall’AIIA, ha annunciato la pubblicazione della sesta guida della serie “Global Technology Audit Guide (GTAG)” di cui abbiamo già parlato in questa newsletter anche con una intervista (in italiano ed inglese) alla curatrice del progetto.

Nella prima parte di quest’articolo abbiamo riportato le considerazioni del Presidente della Consob sugli aspetti critici della legge 28 dicembre 2005, n. 262, “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”, espresse in occasione dell’indagine conoscitiva del Senato della Repubblica. In questa seconda parte riportiamo le proposte della Consob. Il testo completo dell’audizione è disponibile presso il sito di Consob.

Lo scorso 27 settembre 2006 nell’ambito dell’indagine conoscitiva del Senato della Repubblica - 6° Commissione permanente (Finanze e Tesoro) - sulle questioni attinenti all’attuazione della legge 28 dicembre 2005, n. 262, recante “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari” si è avuta l’ audizione del Presidente della Consob Lamberto Cardia.

Nella prima parte di quest’articolo abbiamo analizzato i requisiti per la compliance che derivano, per le imprese assicuratrici, dalla Circolare N. 577/D del 30 dicembre 2005 (pdf, 149 K) dell’ISVAP.

Continuiamo la serie di articoli sui requisiti della compliance analizzando gli obblighi che derivano dalla Circolare N. 577/D del 30 dicembre 2005 dell’ISVAP.
In questa prima parte vedremo i requisiti relativi al sistema dei controlli interni; nella seconda parte analizzeremo le problematiche relative alla gestione dei rischi

Nei precedenti articoli di questa serie (“Standard, direttive e procedure” , “Analisi dei rischi” e “I nuovi documenti” ) abbiamo tracciato il quadro di riferimento degli standard ISACA per l’IS Auditing e presentato alcune delle linee guida più interessanti. Continuiamo ad analizzare gli standard in bozza presentando la linea guida relativa al Controllo accessi (pdf, 157K)

Nella prima parte di quest’articolo abbiamo visto il quadro generale degli standard e linee guide dell’ISACA. Nella seconda parte abbiamo analizzato in dettaglio il materiale disponibile per il Risk Assessment.
Vediamo, adesso, i documenti non ancora ufficialmente promulgati ma già disponibili in bozza.

Nella prima parte di quest’articolo abbiamo visto il quadro generale degli standard e linee guide dell’ISACA.
Analizziamo adesso in dettaglio il materiale disponibile per il Risk Assessment
Lo standard di riferimento è “S11 Use of Risk Assessment in Audit Planning” (disponibile in inglese ed italiano); abbiamo poi la linea guida “G13 Use of Risk Assessment in Audit Planning” e la procedura “P1 IS Risk Assessment”.

Come è noto l’ISACA ha tra i suoi obiettivi la promozione di standard e practice condivisi per l’audit dei Sistemi Informativi (SI). Il corpus delle linee guide è articolato, logicamente e gerarchicamente, in:

• Standard (i principi: cosa fare)
• Direttive (le guideline: come fare)
• Procedure (esempi e best practice di applicazione delle direttive e dei principi)

Ad oggi sono stati pubblicate (e sono effettive) otto IS Auditing Standard, 35 direttive e nove procedure. Tutte sono liberamente scaricabili dal sito ISACA singolarmente o in un unico documento (pdf, 1.5 MB).