ISACA, l’associazione internazionale degli IS Auditor e Security Manager, redige e periodicamente aggiorna gli standard professionali per chi opera nell’ambito della revisione e controllo dei sistemi informativi aziendali.
Tali standard, liberamente scaricabili dal sito dell’associazione, sono disponibili in lingua inglese e in italiano. Vediamo come sono strutturati.
Il corpus delle linee guide proposto da ISACA per l’audit dei sistemi informativi è logicamente e gerarchicamente suddiviso in:
- Standard: che comprendono i principi di base e rispondono idealmente alla domanda “cosa fare”;
- Direttive: che comprendono le linee guida vere e proprie e rispondono idealmente alla domanda “come fare”;
- Procedure: che comprendono esempi e best practice di applicazione delle direttive e dei principi.
Ad oggi sono stati pubblicati 16 standard, 39 direttive e 11 procedure. Tutti sono liberamente scaricabili dal sito ISACA singolarmente o in un unico documento PDF in lingua inglese.
Come dicevo i soli standard sono stati anche tradotti in italiano; recentemente sono stati resi disponibili gli ultimi due: il primo relativo ai controlli IT e il secondo all’e-commerce. L’elenco completo degli “Standard generali di audit dei sistemi informatici” è così composto:
- S1 (Statuto di audit ;
- S2) Indipendenza ;
- S3 (Deontologia professionale;
- S4) Competenza;
- S5 (Pianificazione;
- S6) Svolgimento delle attività di audit;
- S7 (Comunicazione dei risultati;
- S8) Attività di follow-up;
- S9 (Irregolarità e atti illeciti;
- S10) Gestione IT;
- S11 (Uso della valutazione dei rischi nella pianificazione dell’audit;
- S12) Materialità dell’audit;
- S13 (Impiego del lavoro di altri esperti;
- S14) Convalida di audit;
- S15 (Controlli IT;
- S16) E-commerce.
