XXIV Convegno Nazionale AIEA
Efficientamento degli strumenti a
supporto delle attività di ICT Audit
Area Controlli Interni
Servizio Audit ICT
21 e 14-pt.
22 Ottobre
2010MS Corsivo
Città, GiornoSiena,
Mese Anno:
Comic Sans
Strutturatezza del CobiT 4.1
• Domini (4)
• Processi (34)
• Obiettivi di Controllo (210)
2
Assurance Guide
Outcome
Outcome
Outcome
Outcome
Outcome
Outcome
Dominio
Processo
Obiettivo di
Controllo
Control
Control
Design
Control
Design
Design
Processo
Obiettivo di
Controllo
Obiettivo di
Controllo
Control
Control
Design
Control
Design
Design
Control
Control
Design
Control
Design
Design
3
Obiettivo di
Controllo
Control
Control
Design
Control
Design
Design
Attività manuali e ripetitive
4
Outc
Outc
ome
Outc
ome
ome
Outc
Outc
ome
Outc
ome
ome
Dominio
Process
o
Process
o
Obiettiv
o di
Obiettiv
o di
Controllo
Controllo
Cont
Cont
rol
rol
Desi
Desi
gn
gn
Cont
Cont
rol
rol
Desi
Desi
gn
gn
Obiettivo di
Controllo
Cont
Cont
rol
rol
Desi
Desi
gn
gn
Obiettiv
o di
Controll
o
Cont
Cont
rol
rol
Desi
Desi
gn
gn
5
Obiettivo
Creare un gruppo di lavoro (MPS + Deloitte ERS) con l’obiettivo di:
• Informatizzare il CobiT utilizzando un DB relazionale
• Creare uno strumento informatico in grado di:
 Generare in automatico un Workprogram
 Supportare la conduzione di un audit
 Consentire la formulazione del giudizio
 Creare una reportistica adeguata (rapporto di audit)
6
CobiT 4.1
7
Disclaimer: sono stati omessi alcuni dettagli implementativi al fine di
rendere la presentazione autorizzabile alla pubblicazione sul web.
CobiT + Assurance Guide
8
Disclaimer: sono stati omessi alcuni dettagli implementativi al fine di
rendere la presentazione autorizzabile alla pubblicazione sul web.
CobiT + Assurance Guide + MPS
9
Disclaimer: sono stati omessi alcuni dettagli implementativi al fine di
rendere la presentazione autorizzabile alla pubblicazione sul web.
Filtro – tipologia di Audit
• Processo
• Progetto
• Infrastruttura
• Applicazione
• Rischio
10
Modalità
• Ulteriore livello legato agli Obiettivi di Controllo
• “Come” verificare l’Obiettivo di Controllo
• Check list specifiche (configurazione Firewall, as400…)
11
Rischio
• Classe (13)
• Categoria (45)
• Rischio interno (132)
UP
BOTTOM
• Rischi Assurance Guide (791)
12
Classi di Rischio
• Rischio di sicurezza
• Rischio di comunicazione, pianificazione o informazione
• Rischio di conformità alla normativa interna e/o esterna
• Rischi inerenti il trattamento dei dati
• Rischio infrastrutture
• Rischio decisionale e di organizzazione
• Rischio di controllo e monitoraggio
• Rischi inerenti al software
• Rischio disponibilità del sistema e/o di continuità dei servizi
• Rischio sviluppo prodotti e/o servizi
• Rischio risorse umane
• Rischio di outsourcing
• Rischio di business e finanziario
13
Software
14
Dominio
15
Processo
16
Obiettivo di Controllo
17
Passo di Controllo
18
Generazione Check list
19
Conduzione di un audit
20
Valorizzazione dei passi di controllo
21
Valutazione dell’audit
22
Risultati della verifica
23
Gap e ambiti di miglioramento
24
Struttura del rapporto
• Premessa
• Giudizio di sintesi
• Attività svolta
• Gap
• Aree di miglioramento
25
Rapporto
26
Corrispondenza dei campi
Premessa
27
Corrispondenza campi
Risultato della verifica
Criticità
28
Follow Up (seguimento delle remediation)
29
Grazie per l’attenzione!!
Domande e risposte
Riferimenti:
[email protected]
30
Scarica

Efficientamento degli strumenti a supporto delle attività di ICT