Principi Fondamentali di Audit IT, Gestione Dati e Valutazione del Rischio

1. Pianificazione dell'Audit Interno IT: I 6 Elementi Essenziali

Quando il direttore generale della revisione contabile richiede l'impostazione della pianificazione di un audit interno IT, questa deve contenere almeno 6 elementi fondamentali. Vediamoli e discutiamone brevemente:

1. Campo di Applicazione e Obiettivi

   Definire chiaramente i limiti di ciò che si intende fare e gli obiettivi che si vogliono raggiungere con il controllo. Questo aiuta ad avere una visione più chiara del problema da sottoporre a verifica.

2. Risorse Necessarie per la Revisione

   Si riferisce alle risorse umane necessarie per lo svolgimento dell'audit, inclusi il software e l'hardware richiesti (come i computer).

3. Definizione dei Risultati (Chi, Quando e Dove)

   Stabilire a chi, quando e dove verranno forniti i risultati. È necessario identificare il responsabile che fornirà il report dei risultati e la frequenza con cui verranno emesse le relazioni.

4. Elaborazione di un Programma di Attività

   Prevedere le fasi del controllo, come le date di inizio e fine attività e la consegna delle relazioni, al fine di rispettare la scadenza per il completamento dell'audit in tempo e senza imprevisti.

5. Utilizzo di Tecniche di Raccolta Dati

   Si riferisce alle tecniche utilizzate per raccogliere informazioni e condurre lo studio, quali interviste, questionari, checklist, osservazione e audit sul campo.

6. Raccolta delle Informazioni Necessarie

   Consiste nel raccogliere tutte le informazioni necessarie per gli studi di revisione e il materiale utile per testare i risultati.

2. Centralizzazione vs. Decentralizzazione nell'Elaborazione dei Dati

La scelta tra centralizzazione e decentralizzazione nell'elaborazione dei dati e delle attrezzature IT è cruciale. Di seguito, tre vantaggi e tre svantaggi per ciascun modello.

Centralizzazione

Vantaggi:

• Economie di scala.
• Accesso multiplo ai dati comuni.
• Controllo della spesa informativa.
• Le informazioni sono centralizzate in un unico luogo, risultando più facili da gestire.

Svantaggi:

• La responsabilità dei progetti di sviluppo è limitata al settore del personale.
• Mancanza di controllo utente sullo sviluppo dei sistemi operativi.
• Possibile frustrazione all'interno dell'organizzazione a causa delle variazioni nei servizi di informazione.

Decentralizzazione

Vantaggi:

• Risparmio sui costi delle telecomunicazioni.
• Autonomia economica e di controllo da parte degli utenti.
• Maggiore responsabilità e reattività verso le esigenze degli utenti.

Svantaggi:

• Perdita di controllo da parte della gestione centrale.
• Duplicazione degli sforzi e del personale.
• Possibile incompatibilità tra i sistemi implementati.

3. I 5 Passi del Processo di Gestione della Valutazione del Rischio

Il processo di gestione della valutazione del rischio (Risk Assessment) si articola in cinque fasi fondamentali:

1. Creare un Comitato

   Istituire un comitato responsabile per il processo decisionale relativo alla gestione del rischio.

2. Stabilire gli Obiettivi

   Definire la direzione (il 'nord'), ovvero ciò che si vuole raggiungere o realizzare attraverso la gestione del rischio.

3. Identificare i Rischi

   È necessario identificare la natura, la tipologia e la provenienza di ciascun rischio potenziale.

4. Valutare i Rischi

   I rischi devono essere valutati in base al potenziale di perdita, distinguendo tra quelli critici, più importanti e meno importanti.

5. Esame delle Alternative e del Trattamento

   Dopo aver identificato e valutato i rischi, si deve indicare il trattamento o la soluzione da adottare per ridurne al minimo l'effetto.