IIA - The Institute of Internal Auditors

GTAG 13 - Fraud Prevention and Detection in an Automated World

As technology advances, so do schemes to commit fraud. Therefore, technology can not only be used to perpetrate fraud, but also to prevent and detect it. Using technology to implement real-time fraud prevention and detection programs will enable organizations to reduce the cost of fraud by lessening the time from which a fraud is committed to the time it is detected. Considering this, it is crucial that auditors stay ahead of fraudsters in their knowledge of technology and available tools. This GTAG focuses on IT related fraud risks and risk assessments and how the use of technology can help internal auditors and other key stakeholders within the organization address fraud and fraud risks.

Through a step-by-step process for auditing a fraud prevention program, an explanation of the various types of data analysis to use in detecting fraud, and a technology fraud risk assessment template, the GTAG aims to inform and provide guidance to chief audit executives and internal auditors on how to use technology to help prevent, detect, and respond to fraud. The GTAG also supplements The IIA’s practice guide, Internal Auditing and Fraud, and informs CAEs and internal auditors on how to use technology to help prevent, detect, and respond to fraud.

GTAG 12 - Auditing IT Projects

Whether IT projects are developed in house or are co-sourced with third-party providers, they are filled with challenges that must be considered carefully to ensure success. Insufficient attention to these challenges can result in wasted money and resources, loss of trust, and reputation damage. Early involvement by internal auditors can help ensure positive results and the accompanying benefits. They can serve as a bridge between individual business units and the IT function, point out previously unidentified risks, and recommend controls for enhancing outcomes.

Auditing IT Projects provides an overview of techniques for effectively engaging with project teams and management to assess the risks related to IT projects. This GTAG includes:

• Key project management risks.
• How the internal audit activity can actively participate in the review of projects while maintaining independence.
• Five key components of IT projects for internal auditors to consider when building an audit approach.
• Types of project audits.
• A suggested list of questions for use in the IT project assessment.

GTAG 11 - Developing the IT Audit Plan

Results from several IIA external quality assessment reviews reveal that developing an appropriate IT audit plan is one of the weakest links in internal audit activities. Many times, internal auditors simply review what they know or outsource to other companies, letting them decide what to audit.

To this end, Developing the IT Audit Plan can help CAEs and internal auditors:

• Understand the organization and how IT supports it.
• Define and understand the IT environment.
• Identify the role of risk assessments in determining the IT audit universe.
• Formalize the annual IT audit plan.

This GTAG also provides an example of a hypothetical organization to show how to execute the steps necessary to define the IT audit universe.

GTAG 10 - Business Continuity Management

This GTAG focuses on how business continuity management (BCM) is designed to enable business leaders to manage the level of risk the organization could encounter in the case of a natural or man-made disruptive event that affects the extended operability of the organization.

Although most executives are likely to agree that BCM is a good idea, many will struggle to find the budget necessary to fund the program as well as an executive sponsor that has the time to ensure its success. Business Continuity Management will help the CAE communicate business continuity risk awareness and support management in its development and maintenance of a BCM program.

The guide includes:

• Disaster recovery planning for continuity of critical information technology infrastructure.
• Business application systems.

GTAG 9 - Identity and Access Management

Identity and access management (IAM) is a cross-functional process that helps organizations to manage who has access to what information over a period of time. Poor or loosely controlled IAM processes may lead to organizational regulatory noncompliance and an inability to determine whether company data is being misused.

CAEs should be involved in the development of the organization's IAM strategy as well as evaluate the implementation of the strategy and effectiveness of companywide access controls. The purpose of this GTAG is to provide insight into what IAM means to an organization and to suggest internal audit areas for investigation. It can assist CAEs and other internal auditors to understand, analyze, and monitor their organization's IAM processes. A checklist for IAM review is also included in this guide

GTAG 8 - Auditing Application Controls

Each year, billions of dollars are spent globally on implementing new or upgrading business application systems. Effective application controls will help your organization to ensure the integrity, accuracy, confidentiality and completeness of your data and systems. It is important for the CAE and his or her team to develop and execute audits of application controls on a periodic basis in order to determine whether they are designed appropriately and operating effectively.

To further assist CAEs or other individuals who use this guide, we have also included a list of key application controls, a sample audit plan, and a list of some application control review tools.

GTAG 7 - Information Technology Outsourcing (2^ edizione)

Nel panorama economico odierno, si registra un aumento delle aziende che esternalizzano la gestione dei processi di Information Technology (IT), al fine di focalizzarsi maggiormente sul core business.

La guida pratica:

• ha lo scopo di aiutare i Chief Audit Executives e i loro team a determinare il grado di coinvolgimento dell’Internal Auditor, quando la gestione dei processi IT è parzialmente o completamente esternalizzata;
• fornisce informazioni sulle tipologie di IT Outsourcing (ITO), sul ciclo di vita dell’ITO, e su come gli Internal Auditors possono gestire i rischi connessi all’ITO stesso. Questo cambiamento organizzativo presuppone la contrattazione dei servizi di esternalizzazione dei processi IT, precedentemente gestiti in-house, con un’organizzazione di external service.

Le domande chiave da porsi, quando si effettuano gli audit dei processi di IT outsourcing, sono:

• come controllare i processi IT, relativi ai business process, che sono stati esternalizzati?
• gli Internal Auditor sono coinvolti in modo adeguato durante le fasi principali del ciclo di vita dell’outsourcing?
• gli Internal Auditor hanno sufficiente conoscenza ed esperienza IT per valutare i rischi e fornire il giusto input?
• nel caso in cui le attività di controllo IT siano affidate a una società di servizi IT, sono rispettate le attese degli Internal Audit? Gli Internal Auditor sono in grado di individuare i rischi IT e fornire le raccomandazioni inerenti i processi esternalizzati?
• che ruolo rivestono i team di Internal Audit nel corso della rinegoziazione, della repatriation e del rinnovo dei contratti di outsourcing?

La guida illustra come dare delle risposte e come stabilire una strategia di Internal Audit, inerentemente l’ITO, al fine di tutelare gli interessi dell’organizzazione e soddisfare le attese degli stakeholder.

GTAG 5 - Managing and Auditing Privacy Risks was replaced with Practice Guide, Aditing Privacy Risks, 2nd edition

Questa Practice Guide, che sostituisce la IIA Global Technology Audit Guide (GTAG)"Managing and Auditing Privacy Risks", pubblicata nel mese di guigno 2006, fornisce ai professionisti una base per soddisfare le aspettative complesse e variegate che accompagnano le problematiche della Privacy. Una delle tante sfide affrontate dalle organizzazioni odierne, in tema di risk management, è inerente alla tutela della privacy dei clienti, dei dipendenti e dei partner commerciali. In qualità di consumatori, siamo tutti interessati alla modalità di fruizione, di gestione e di tutela, delle informazioni personali, da parte delle aziende e delle organizzazioni che li utilizzano.
In particolare, il Business Owner, o il Management, vorrebbero: soddisfare i bisogni e le attese dei clienti, dei partner commerciali, e dei dipendenti; mantenere gli impegni in conformità agli accordi contrattuali; conformarsi alle vigenti leggi sulla privacy - dei dati e della sicurezza - e ai regolamenti. La privacy è un problema globale. Conseguentemente, moltissimi Paesi hanno adottato una legislazione ad hoc sulla privacy che disciplina l'uso dei dati personali, così come l'esportazione di tali informazioni oltre le frontiere. Affinchè le imprese operino efficacemente in questo ambiente, devono comprendere e rispettare tali leggi. Esempi di legislazione, influenti, sulal privacy, sono: il PIPED (Canada's Personal Information Protection and Electronic Documents Act; The European Union's Directive on Data Privacy (EU's); privacy acts from Australia, Japan and New Zealand.

Per quanto riguarda il settore Industry, la legislazione sulla privacy degli United States, comprende il Gramm-Leach Biley Act (GLBA) per il settore dei servizi finanziari, e la Health Insurance Portability e Accountability Act (HIPAA) per il settore sanitario. Nonostante tutte queste leggi, i media hanno dimostrato che la privacy e la protezione delle informazioni personali non sono un dato assoluto. Ci sono innumerevoli notizie, e storie, relatieve a violazioni della sicurezza che comportano la perdita, o la divulgazione, di informazioni personali. Questo potrebbe essere, in parte, dovuto al fatto che, un numero sempre più crescente di organizzazioni, danno in outsourcing i processi di business, e applicazioni, contenenti informazioni personali. In aggiunta, vengono anche utilizzate nuove tecnologie che aumentano il rischio riguardante la privacy. Diversi Stakeholder, quali il Board, l'Audit Committee o gli altri Oversight Group, pretendono maggiori garanzie circa i processi organizzativi tutelanti le informazioni sulla Privacy.

GTAG 4 - Management of IT Auditing (2^ edizione)

Al fine di garantire ai CAE, e al loro gruppo di lavoro, un  aggiornamento continuo sulla tematica IT, l'Institute of Internal Auditors ha pubblicato la seconda edizione della GTAG 4: “Management of IT Auditing”.

Grazie alla nuova GTAG, i CAE hanno a disposizione le linee guida per una corretta gestione delle principali attività di Audit correlate all'Information Technology. Il documento pone particolare attenzione:

• all'individuazione delle risorse necessarie ai processi di IT Audit;
• alla valutazione dei rischi derivanti dalle attività di IT Audit;
• all'esecuzione corretta di tutte le fasi del processo di IT Audit.