XXIV Convegno Nazionale AIEA Efficientamento degli strumenti a supporto delle attività di ICT Audit Area Controlli Interni Servizio Audit ICT 21 e 14-pt. 22 Ottobre 2010MS Corsivo Città, GiornoSiena, Mese Anno: Comic Sans Strutturatezza del CobiT 4.1 • Domini (4) • Processi (34) • Obiettivi di Controllo (210) 2 Assurance Guide Outcome Outcome Outcome Outcome Outcome Outcome Dominio Processo Obiettivo di Controllo Control Control Design Control Design Design Processo Obiettivo di Controllo Obiettivo di Controllo Control Control Design Control Design Design Control Control Design Control Design Design 3 Obiettivo di Controllo Control Control Design Control Design Design Attività manuali e ripetitive 4 Outc Outc ome Outc ome ome Outc Outc ome Outc ome ome Dominio Process o Process o Obiettiv o di Obiettiv o di Controllo Controllo Cont Cont rol rol Desi Desi gn gn Cont Cont rol rol Desi Desi gn gn Obiettivo di Controllo Cont Cont rol rol Desi Desi gn gn Obiettiv o di Controll o Cont Cont rol rol Desi Desi gn gn 5 Obiettivo Creare un gruppo di lavoro (MPS + Deloitte ERS) con l’obiettivo di: • Informatizzare il CobiT utilizzando un DB relazionale • Creare uno strumento informatico in grado di: Generare in automatico un Workprogram Supportare la conduzione di un audit Consentire la formulazione del giudizio Creare una reportistica adeguata (rapporto di audit) 6 CobiT 4.1 7 Disclaimer: sono stati omessi alcuni dettagli implementativi al fine di rendere la presentazione autorizzabile alla pubblicazione sul web. CobiT + Assurance Guide 8 Disclaimer: sono stati omessi alcuni dettagli implementativi al fine di rendere la presentazione autorizzabile alla pubblicazione sul web. CobiT + Assurance Guide + MPS 9 Disclaimer: sono stati omessi alcuni dettagli implementativi al fine di rendere la presentazione autorizzabile alla pubblicazione sul web. Filtro – tipologia di Audit • Processo • Progetto • Infrastruttura • Applicazione • Rischio 10 Modalità • Ulteriore livello legato agli Obiettivi di Controllo • “Come” verificare l’Obiettivo di Controllo • Check list specifiche (configurazione Firewall, as400…) 11 Rischio • Classe (13) • Categoria (45) • Rischio interno (132) UP BOTTOM • Rischi Assurance Guide (791) 12 Classi di Rischio • Rischio di sicurezza • Rischio di comunicazione, pianificazione o informazione • Rischio di conformità alla normativa interna e/o esterna • Rischi inerenti il trattamento dei dati • Rischio infrastrutture • Rischio decisionale e di organizzazione • Rischio di controllo e monitoraggio • Rischi inerenti al software • Rischio disponibilità del sistema e/o di continuità dei servizi • Rischio sviluppo prodotti e/o servizi • Rischio risorse umane • Rischio di outsourcing • Rischio di business e finanziario 13 Software 14 Dominio 15 Processo 16 Obiettivo di Controllo 17 Passo di Controllo 18 Generazione Check list 19 Conduzione di un audit 20 Valorizzazione dei passi di controllo 21 Valutazione dell’audit 22 Risultati della verifica 23 Gap e ambiti di miglioramento 24 Struttura del rapporto • Premessa • Giudizio di sintesi • Attività svolta • Gap • Aree di miglioramento 25 Rapporto 26 Corrispondenza dei campi Premessa 27 Corrispondenza campi Risultato della verifica Criticità 28 Follow Up (seguimento delle remediation) 29 Grazie per l’attenzione!! Domande e risposte Riferimenti: [email protected] 30