Risk

Climate Change and Environmental Sustainability: How to tackle associated Risks and harness Opportunities?

INTERNATIONAL ON-LINE WEBINARWhy should climate change and environmental sustainability be on your radar?

Auditing Privacy Risks, 2nd Edition (Replaces GTAG 5)

Questa Practice Guide, che sostituisce la IIA Global Technology Audit Guide (GTAG)"Managing and Auditing Privacy Risks", pubblicata nel mese di guigno 2006, fornisce ai professionisti una base per soddisfare le aspettative complesse e variegate che accompagnano le problematiche della Privacy. Una delle tante sfide affrontate dalle organizzazioni odierne, in tema di risk management, è inerente alla tutela della privacy dei clienti, dei dipendenti e dei partner commerciali. In qualità di consumatori, siamo tutti interessati alla modalità di fruizione, di gestione e di tutela, delle informazioni personali, da parte delle aziende e delle organizzazioni che li utilizzano.In particolare, il Business Owner, o il Management, vorrebbero: soddisfare i bisogni e le attese dei clienti, dei partner commerciali, e dei dipendenti; mantenere gli impegni in conformità agli accordi contrattuali; conformarsi alle vigenti leggi sulla privacy - dei dati e della sicurezza - e ai regolamenti. La privacy è un problema globale. Conseguentemente, moltissimi Paesi hanno adottato una legislazione ad hoc sulla privacy che disciplina l'uso dei dati personali, così come l'esportazione di tali informazioni oltre le frontiere. Affinchè le imprese operino efficacemente in questo ambiente, devono comprendere e rispettare tali leggi. Esempi di legislazione, influenti, sulal privacy, sono: il PIPED (Canada's Personal Information Protection and Electronic Documents Act; The European Union's Directive on Data Privacy (EU's); privacy acts from Australia, Japan and New Zealand.Per quanto riguarda il settore Industry, la legislazione sulla privacy degli United States, comprende il Gramm-Leach Biley Act (GLBA) per il settore dei servizi finanziari, e la Health Insurance Portability e Accountability Act (HIPAA) per il settore sanitario. Nonostante tutte queste leggi, i media hanno dimostrato che la privacy e la protezione delle informazioni personali non sono un dato assoluto. Ci sono innumerevoli notizie, e storie, relatieve a violazioni della sicurezza che comportano la perdita, o la divulgazione, di informazioni personali. Questo potrebbe essere, in parte, dovuto al fatto che, un numero sempre più crescente di organizzazioni, danno in outsourcing i processi di business, e applicazioni, contenenti informazioni personali. In aggiunta, vengono anche utilizzate nuove tecnologie che aumentano il rischio riguardante la privacy. Diversi Stakeholder, quali il Board, l'Audit Committee o gli altri Oversight Group, pretendono maggiori garanzie circa i processi organizzativi tutelanti le informazioni sulla Privacy.

Assessing the Adequacy of Risk Management

The use of enterprise-wide risk management frameworks has expanded as organizations recognize the advantages of coordinated approaches to risk management. The risk management framework must be designed to suit the organization: its internal and external environment. Assessing the Adequacy of Risk Management Using ISO 31000 details three approaches to assurance of the risk management process: a Process Elements approach; an approach based on Principles of Risk Management; and a Maturity Model approach. The assurance process that is used should be tailored to the organization’s needs. Internal auditors should have a means of measuring the effectiveness of risk management in an organization and forming a conclusion on the organization’s level of risk management maturity. One of the key criteria that internal auditors should consider is whether there is a suitable framework in place to advance a corporate and systematic approach to risk management. This Practice Guide uses ISO 31000 as a basis for the risk management framework. Other frameworks may be used to perform the risk assessment. This guidance does not imply implicit or explicit endorsement of this or any other framework.

GTAG 5 - Managing and Auditing Privacy Risks was replaced with Practice Guide, Aditing Privacy Risks, 2nd edition

Questa Practice Guide, che sostituisce la IIA Global Technology Audit Guide (GTAG)"Managing and Auditing Privacy Risks", pubblicata nel mese di guigno 2006, fornisce ai professionisti una base per soddisfare le aspettative complesse e variegate che accompagnano le problematiche della Privacy. Una delle tante sfide affrontate dalle organizzazioni odierne, in tema di risk management, è inerente alla tutela della privacy dei clienti, dei dipendenti e dei partner commerciali. In qualità di consumatori, siamo tutti interessati alla modalità di fruizione, di gestione e di tutela, delle informazioni personali, da parte delle aziende e delle organizzazioni che li utilizzano.
In particolare, il Business Owner, o il Management, vorrebbero: soddisfare i bisogni e le attese dei clienti, dei partner commerciali, e dei dipendenti; mantenere gli impegni in conformità agli accordi contrattuali; conformarsi alle vigenti leggi sulla privacy - dei dati e della sicurezza - e ai regolamenti. La privacy è un problema globale. Conseguentemente, moltissimi Paesi hanno adottato una legislazione ad hoc sulla privacy che disciplina l'uso dei dati personali, così come l'esportazione di tali informazioni oltre le frontiere. Affinchè le imprese operino efficacemente in questo ambiente, devono comprendere e rispettare tali leggi. Esempi di legislazione, influenti, sulal privacy, sono: il PIPED (Canada's Personal Information Protection and Electronic Documents Act; The European Union's Directive on Data Privacy (EU's); privacy acts from Australia, Japan and New Zealand.

Per quanto riguarda il settore Industry, la legislazione sulla privacy degli United States, comprende il Gramm-Leach Biley Act (GLBA) per il settore dei servizi finanziari, e la Health Insurance Portability e Accountability Act (HIPAA) per il settore sanitario. Nonostante tutte queste leggi, i media hanno dimostrato che la privacy e la protezione delle informazioni personali non sono un dato assoluto. Ci sono innumerevoli notizie, e storie, relatieve a violazioni della sicurezza che comportano la perdita, o la divulgazione, di informazioni personali. Questo potrebbe essere, in parte, dovuto al fatto che, un numero sempre più crescente di organizzazioni, danno in outsourcing i processi di business, e applicazioni, contenenti informazioni personali. In aggiunta, vengono anche utilizzate nuove tecnologie che aumentano il rischio riguardante la privacy. Diversi Stakeholder, quali il Board, l'Audit Committee o gli altri Oversight Group, pretendono maggiori garanzie circa i processi organizzativi tutelanti le informazioni sulla Privacy.

GTAG 3 - Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment

The information in the second edition of GTAG 3: Continuous Auditing: Coordinating Continuous Auditing and Monitoring to Provide Continuous Assurance, provide practitioners the most up-to-date guidance and best practices to enable them to successfully implement a continuous auditing approach. It focuses on technology-enabled aspects of continuous auditing and addresses:

• A definition of related terms and techniques including continuous auditing, ongoing control assessment, ongoing risk assessment, continuous monitoring, and assurance.
• The role of continuous auditing in relation to continuous monitoring.
• Areas where continuous auditing can be applied by the internal audit activity.
• Challenges and opportunities related to continuous auditing. 
• The implications for internal auditing, the chief audit executive, and management.

The guide provides the key considerations practitioners need to implement continuous auditing, which will ultimately help them develop a better understanding of the business environment and the risks to the company to support compliance and drive business performance.

GAIT for Business and IT Risk

What is GAIT for Business and IT Risk?
GAIT for Business and IT Risk, or GAIT-R, focuses on identifying the key controls that are essential to achieving business goals and objectives.

Who is it for?
GAIT-R was developed primarily for internal audit practitioners. It also can be used by IT governance and security managers or those who are charged with designing and managing IT risks within their organizations.

How Can it Help You?
GAIT-R improves the efficiency and effectiveness of internal audit functions by enabling a focus on business risk and minimizing attention to IT risks that are not critical to the organization. It enables chief audit executives (CAEs) to provide assurance on business risk with the comfort that IT-related issues are given the appropriate level of consideration.

Similarly to the other practice guides in the GAIT series, the GAIT-R methodology is built around a set of principles:

• The failure of technology is only a risk that needs to be assessed, managed, and audited if it represents a risk to the business.
• Key controls should be identified as the result of a top-down assessment of business risks, risk tolerance, and the controls — including automated controls and IT general controls (ITGCs) — required to manage or mitigate business risk.
• Business risks are mitigated by a combination of manual and automated key controls.
• To assess the system of internal control to manage or mitigate business risks, key automated controls need to be assessed.
• ITGCs may be relied upon to provide assurance of the continued and proper operation of automated key controls.

This methodology also delivers a scope that is based on the risks to each identified business objective, which includes manual key controls within each business process; automated and hybrid key controls within each business process; key controls within ITGC processes; and controls at the entity level, including activities in the control environment, information and communication, and other layers of COSO's internal control model.

New Audit Plan

Documento presentato nel corso del workshop per il settore assicurativo svoltosi a Milano il 14 ottobre 2014:New Audit PlanMauro Porcelli, Director RiskAssurance, PwC

Quadro Normativo e Funzione di Risk Management

Evento CONTROLLI DI SECONDO E TERZO LIVELLO…DIVERSE RESPONSABILITA', UN UNICO OBIETTIVO.Scenari, metodologie ed evoluzione del ruolo dell'Internal AuditorMilano, 10 aprile 2013Quadro Normativo e Funzione di Risk ManagementPietro Sivo, Head of Group Processes & Audit Services - Country Italy Audit Methodologies - Internal Audit Department - UniCredit SpA