IIA - The Institute of Internal Auditors

GTAG 9 - Identity and Access Management

Identity and access management (IAM) is a cross-functional process that helps organizations to manage who has access to what information over a period of time. Poor or loosely controlled IAM processes may lead to organizational regulatory noncompliance and an inability to determine whether company data is being misused.

CAEs should be involved in the development of the organization's IAM strategy as well as evaluate the implementation of the strategy and effectiveness of companywide access controls. The purpose of this GTAG is to provide insight into what IAM means to an organization and to suggest internal audit areas for investigation. It can assist CAEs and other internal auditors to understand, analyze, and monitor their organization's IAM processes. A checklist for IAM review is also included in this guide

GTAG 8 - Auditing Application Controls

Each year, billions of dollars are spent globally on implementing new or upgrading business application systems. Effective application controls will help your organization to ensure the integrity, accuracy, confidentiality and completeness of your data and systems. It is important for the CAE and his or her team to develop and execute audits of application controls on a periodic basis in order to determine whether they are designed appropriately and operating effectively.

To further assist CAEs or other individuals who use this guide, we have also included a list of key application controls, a sample audit plan, and a list of some application control review tools.

GTAG 7 - Information Technology Outsourcing (2^ edizione)

Nel panorama economico odierno, si registra un aumento delle aziende che esternalizzano la gestione dei processi di Information Technology (IT), al fine di focalizzarsi maggiormente sul core business.

La guida pratica:

• ha lo scopo di aiutare i Chief Audit Executives e i loro team a determinare il grado di coinvolgimento dell’Internal Auditor, quando la gestione dei processi IT è parzialmente o completamente esternalizzata;
• fornisce informazioni sulle tipologie di IT Outsourcing (ITO), sul ciclo di vita dell’ITO, e su come gli Internal Auditors possono gestire i rischi connessi all’ITO stesso. Questo cambiamento organizzativo presuppone la contrattazione dei servizi di esternalizzazione dei processi IT, precedentemente gestiti in-house, con un’organizzazione di external service.

Le domande chiave da porsi, quando si effettuano gli audit dei processi di IT outsourcing, sono:

• come controllare i processi IT, relativi ai business process, che sono stati esternalizzati?
• gli Internal Auditor sono coinvolti in modo adeguato durante le fasi principali del ciclo di vita dell’outsourcing?
• gli Internal Auditor hanno sufficiente conoscenza ed esperienza IT per valutare i rischi e fornire il giusto input?
• nel caso in cui le attività di controllo IT siano affidate a una società di servizi IT, sono rispettate le attese degli Internal Audit? Gli Internal Auditor sono in grado di individuare i rischi IT e fornire le raccomandazioni inerenti i processi esternalizzati?
• che ruolo rivestono i team di Internal Audit nel corso della rinegoziazione, della repatriation e del rinnovo dei contratti di outsourcing?

La guida illustra come dare delle risposte e come stabilire una strategia di Internal Audit, inerentemente l’ITO, al fine di tutelare gli interessi dell’organizzazione e soddisfare le attese degli stakeholder.

GTAG 5 - Managing and Auditing Privacy Risks was replaced with Practice Guide, Aditing Privacy Risks, 2nd edition

Questa Practice Guide, che sostituisce la IIA Global Technology Audit Guide (GTAG)"Managing and Auditing Privacy Risks", pubblicata nel mese di guigno 2006, fornisce ai professionisti una base per soddisfare le aspettative complesse e variegate che accompagnano le problematiche della Privacy. Una delle tante sfide affrontate dalle organizzazioni odierne, in tema di risk management, è inerente alla tutela della privacy dei clienti, dei dipendenti e dei partner commerciali. In qualità di consumatori, siamo tutti interessati alla modalità di fruizione, di gestione e di tutela, delle informazioni personali, da parte delle aziende e delle organizzazioni che li utilizzano.
In particolare, il Business Owner, o il Management, vorrebbero: soddisfare i bisogni e le attese dei clienti, dei partner commerciali, e dei dipendenti; mantenere gli impegni in conformità agli accordi contrattuali; conformarsi alle vigenti leggi sulla privacy - dei dati e della sicurezza - e ai regolamenti. La privacy è un problema globale. Conseguentemente, moltissimi Paesi hanno adottato una legislazione ad hoc sulla privacy che disciplina l'uso dei dati personali, così come l'esportazione di tali informazioni oltre le frontiere. Affinchè le imprese operino efficacemente in questo ambiente, devono comprendere e rispettare tali leggi. Esempi di legislazione, influenti, sulal privacy, sono: il PIPED (Canada's Personal Information Protection and Electronic Documents Act; The European Union's Directive on Data Privacy (EU's); privacy acts from Australia, Japan and New Zealand.

Per quanto riguarda il settore Industry, la legislazione sulla privacy degli United States, comprende il Gramm-Leach Biley Act (GLBA) per il settore dei servizi finanziari, e la Health Insurance Portability e Accountability Act (HIPAA) per il settore sanitario. Nonostante tutte queste leggi, i media hanno dimostrato che la privacy e la protezione delle informazioni personali non sono un dato assoluto. Ci sono innumerevoli notizie, e storie, relatieve a violazioni della sicurezza che comportano la perdita, o la divulgazione, di informazioni personali. Questo potrebbe essere, in parte, dovuto al fatto che, un numero sempre più crescente di organizzazioni, danno in outsourcing i processi di business, e applicazioni, contenenti informazioni personali. In aggiunta, vengono anche utilizzate nuove tecnologie che aumentano il rischio riguardante la privacy. Diversi Stakeholder, quali il Board, l'Audit Committee o gli altri Oversight Group, pretendono maggiori garanzie circa i processi organizzativi tutelanti le informazioni sulla Privacy.

GTAG 4 - Management of IT Auditing (2^ edizione)

Al fine di garantire ai CAE, e al loro gruppo di lavoro, un  aggiornamento continuo sulla tematica IT, l'Institute of Internal Auditors ha pubblicato la seconda edizione della GTAG 4: “Management of IT Auditing”.

Grazie alla nuova GTAG, i CAE hanno a disposizione le linee guida per una corretta gestione delle principali attività di Audit correlate all'Information Technology. Il documento pone particolare attenzione:

• all'individuazione delle risorse necessarie ai processi di IT Audit;
• alla valutazione dei rischi derivanti dalle attività di IT Audit;
• all'esecuzione corretta di tutte le fasi del processo di IT Audit.

GTAG 3 - Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment

The information in the second edition of GTAG 3: Continuous Auditing: Coordinating Continuous Auditing and Monitoring to Provide Continuous Assurance, provide practitioners the most up-to-date guidance and best practices to enable them to successfully implement a continuous auditing approach. It focuses on technology-enabled aspects of continuous auditing and addresses:

• A definition of related terms and techniques including continuous auditing, ongoing control assessment, ongoing risk assessment, continuous monitoring, and assurance.
• The role of continuous auditing in relation to continuous monitoring.
• Areas where continuous auditing can be applied by the internal audit activity.
• Challenges and opportunities related to continuous auditing. 
• The implications for internal auditing, the chief audit executive, and management.

The guide provides the key considerations practitioners need to implement continuous auditing, which will ultimately help them develop a better understanding of the business environment and the risks to the company to support compliance and drive business performance.

GTAG 2 - Change and Patch Management Controls: Critical for Organizational Success (2^ edizione)

Ogni rischio IT contribuisce alla definizione del grado di rischio sottostante ai processi dell'impresa, ed è importante per il Chief Audit Executives (CAEs) affinchè possa capire a fondo le tematiche del change management e della gestione della patch.Esse sono definibili come l’insieme dei processi eseguiti all’interno della funzione IT, progettati per gestire i miglioramenti, gli aggiornamenti e le patch incrementali ai sistemi di produzione che includono: l’applicazione del code review, gli aggiornamenti del sistema (applicazioni, sistemi operativi e database) e le modifiche infrastrutturali (server, cavi, router, firewall, ecc).

Le tematiche discusse nel GTAG2 sono trattate con un linguaggio appropriato, che permette al CAE di fornire valore aggiunto alle conversazioni con il senior management, il board e il responsabile IT.Questa guide ti fornirà anche il know-how per:

• distinguere i processi di change management, tra efficaci e inefficaci;
• raccomandare le best practice per affrontare i temi oggetto d’interesse, sia per il risk assurance (compresi gli attestati di controllo), sia per aumentare l’efficacia e l’efficienza;
• consigliare in modo più efficace e convincente il Chief Information Officer, il Chief Executive Officer e/o il Chief Financial Officer;
• avere le competenze operative che ti permetteranno di migliorare i processi IT.

GTAG 1 - Information Technology Controls (2^ edizione)

La guidance, con uno stile semplice e di facile lettura, aiuta i Chief Audit Executive (CAEs) e i loro team a tenere il passo con il mondo dell'IT, talvolta complesso e in continua evoluzione. Di fatto, la GTAG:

• fornisce una panoramica sui rischi connessi ai processi IT e ai relativi controlli, in modo da fornire, sia al senior management che all’audit committee, maggiori garanzie nell'individuazione di una migliore valutazione del grado del rischio e del necessario livello di controllo;
• assicura al CAE e agli Internal Auditor una maggiore consapevolezza del rischio, del controllo, e della governance relativa ai processi IT;
• aiuta gli Internal Auditor ad accrescere la confidenza con gli IT general control, in modo che possano tranquillamente comunicare con il proprio Audit Committee e dialogare attivamente con il Chief Information Officer (CIO) e con il responsabile della funzione Internal Audit sui rischi e controlli di processo;
• descrive come gli organi sociali, il management, i professionisti dell’IT e gli Internal Auditors affrontano i temi dell’IT e i relativi rischi;
• pone le basi per le successive GTAG inerenti specifici argomenti IT, ruoli aziendali associati e responsabilità più dettagliate.

GAIT Methodology

What is GAIT Methodology?
GAIT Methodology is a guide to assessing the scope of IT general controls using a top-down and risk-based approach.

Who is it for?
Management and external auditors can use this guide in their identification of key controls within IT general controls as part of and a continuation of their top-down and risk-based scoping of key controls for internal control over financial reporting.

How Can it Help You?
The IIA developed this guidance to help organizations identify key IT general controls where a failure might indirectly result in a material error in a financial statement. More specifically, this methodology enables management and auditors to identify key IT general controls as part of and as a continuation of the company's top-down, risk-based scoping efforts for Section 404 compliance.

If a failure is likely, the methodology identifies the IT general control process risks in detail and the related IT general control objectives that, when achieved, mitigate these risks. CobiT and other methodologies then can be used to identify the key controls that address these IT general control objectives.

The Principles
The four principles that form the basis for the methodology are consistent with the methodology described in the Public Company Accounting Oversight Board's Auditing Standard No. 5. They are:

• The identification of risks and related controls in IT general control processes (e.g., in change management, deployment, access security, and operations) should be a continuation of the top-down and risk-based approach used to identify significant accounts, risks to those accounts, and key controls in the business processes.
• The IT general control process risks that need to be identified are those that affect critical IT functionality in financially significant applications and related data.
• The IT general control process risks that need to be identified exist in processes and at various IT layers: application program code, databases, operating systems, and networks.
• Risks in IT general control processes are mitigated by the achievement of IT control objectives, not individual controls.

GAIT Methodology enables organizations to implement the principles and gives management and auditors guidance around scoping IT general controls and the tools to defend these decisions.