IT Auditing Sicurezza

IT-Auditing: di cosa si occupa il revisore IT

12 February 2021

Redazione

Il revisore IT valuta e fornisce consulenza sull’IT (Information Technology) ad aziende e organizzazioni. Come professionista, è l’esperto ideale per condurre una valutazione indipendente. In passato, l’ambito d’azione era identificato come EDP-Auditing (Electronic Data Processing) ma oggi è preferibile usare il termine “IT-Auditing”.

In base alla loro formazione ed esperienza sul campo, gli Auditor IT qualificati posseggono competenze sulla sicurezza delle informazioni, nella gestione dell’IT e nell’allineamento tra i processi aziendali e l’ICT. L’auditing EDP nasce in origine come una specializzazione all’interno della contabilità.

Dal momento in cui il trattamento dei processi amministrativi/contabili ha iniziato ad avvenire sempre più spesso all’interno di sistemi informatici automatizzati, è nata la necessità di avere certezza sulla correttezza dei dati e dell’informativa finanziaria di bilancio delle organizzazioni. Infatti, per la comprensione dei sistemi informatici automatizzati sono necessarie altre conoscenze oltre a economia aziendale e organizzazione amministrativa.

AFFIDABILITÀ E CONTINUITÀ DELL’IT

L’ICT (Information and Communication Technology) rende i processi aziendali delle organizzazioni sempre più efficaci ed efficienti. Al tempo stesso, stiamo diventando sempre più dipendenti dall’IT. Questo determina, di fatto, un incremento della necessità ad avere sistemi affidabili per prevenire la perdita di ricavi, i danni reputazionali e richieste di risarcimento danni. Ben si comprende che la certezza sulla qualità dell IT è di grande importanza; non solo per assicurare la continuità aziendale e per la qualità dei processi aziendali vitali (core) ma anche per gli elevati requisiti che oggi sono imposti in materia di trasparenza, di IT-Governance (buon governo societario) e di Compliance (ossia la conformità a leggi e regolamenti).

CERTEZZA (ASSURANCE)

Requisiti elevati si applicano anche ai servizi esternalizzati (outsourcing), presi in locazione, di elaborazione e archiviazione dei dati in centri servizi in condivisione. È possibile ottenere certezza (assurance) sull’IT anche facendo eseguire un Audit di garanzia da un IT-auditor registrato e indipendente. L’IT-Assurance può fornire validazioni su qualunque tipologia di bene/oggetto IT.

Un incarico di IT-assurance coinvolge normalemente tre parti:

  • la parte che è responsabile e oggetto dell’assurance;
  • l’IT-Auditor che effettua il test/controllo;
  • la terza parte, che utilizza i risultati oggettivi del giudizio indipendente del revisore.

La terza parte desidera ricevere informazioni oggettive sulla misura in cui il servizio è conforme ai requisiti concordati. Con queste informazioni, la direzione o il Consiglio d’Amministrazione possono valutare, per esempio, se l’esternalizzazione del data center in India è sotto controllo, ma anche se un grosso progetto sta procedendo secondo i piani stabiliti. Anche il Garante Privacy che richiede la conformità con la legge sulla protezione dei dati personali all’interno dell’azienda utilizzerà queste informazioni. Tutto gira intorno alla fiducia. Infatti, si tratta proprio di rafforzare la fiducia nella parte “responsabile””.

IL REGISTRO DEGLI IT-AUDITOR (RE)

In alcuni Paesi esiste il Registro degli IT-Auditor che costituisce senz’altro un partner indipendente e affidabile. In base alla loro formazione e all’esperienza sul campo gli IT-Auditors del Registro sono esperti abilitati a svolgere incarichi di certificazione IT. I revisori-IT (IT-Auditor) iscritti hanno completato una formazione universitaria accreditata come revisori-IT e hanno almeno 3 anni di pratica. Solo quelli che rispettano i requisiti possono iscriversi al Registro dei Revisori EDP (RE). Con l’iscrizione al Registro/Albo si impegnano al rispetto delle regole di condotta e delle regole professionali e possono essere soggetti a procedimenti disciplinari.

Essenziali sono: la conoscenza della tecnologia informatica, della presentazione/fornitura di informazioni/report amministrativi, delle scienze organizzative e dei metodi e delle tecniche di ricerca. Inoltre hanno esperienza con i costi dell’IT nonché con i suoi ambiti applicativi. Gli RE (IT-Auditor iscritti all’Albo) forniscono consigli e giudicano in modo imparziale aspetti legati alla qualità dell’IT. Sono le stesse Autorità di Controllo e Regolamentazione dei singoli Paesi che riconoscono il valore aggiunto degli RE.

Gli RE non limitano la loro attività all’IT-Assurance ma possono essere coinvolti in altre attività come fornire consigli per l’organizzazione di tutto l’IT dell’intera organizzazione. Gli RE sono professionisti che grazie alla loro formazione e all’esperienza pratica, hanno tutte le competenze necessarie per valutare i pacchetti software, i progetti IT, la gestione e la sicurezza.

 



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *