Posts

ITAF – IT Assurance Framework

/0 Comments/in , , /by

Pentru cei care nu sunt familiari cu acest framework, trebuie menționat în primul rând că ITAF este o colecţie de bune pratici care:

  • oferă îndrumări cu privire la proiectarea, realizarea şi raportarea în misiunile de tip asigurare şi audit;
  • defineşte termenii şi conceptele folosite în domeniul asigurărilor IT;
  • stabileşte standardele cu privire la rolurile şi atribuţiilor profesioniştilor implicaţi în misiuni de asigurare şi audit; cunoştinţele necesare; conduita profesională şi cerinţele privind raportarea.

ITAF include toate standardele, procedurile şi ghidurile elaboarate de ISACA (nu sub formă de colecţie de texte ci ca referinţe). Orice ghid nou apărut este încorporat în ITAF. Punerea în practică a cerinţelor ITAF este o condiţie prealabilă a oricărei misiuni de asigurare. Serviciile de consultanţă pe care le poate oferi un profesionist nu intră sub incidenţa ITAF.

Se ştie că standardele sunt mandatare în timp ce ghidurile, tehnicile şi instrumentele menţionate au rol de suport în realizarea misiunilor. Cele trei categorii de standarde ce apar în ITAF sunt structurate altfel:

  • standarde generale – includ principiile în baza cărora se lucrează şi se aplică tuturor sarcinilor pe care un profesionist trebuie să le realizeze: conduita etică, independenţa, obiectivitatea, competenţele şi aptitudinile, profesionalismul (S2 Independence, S3 Professional Ethics and Standards, S4 Competence, S6 Performance of Audit Work)
  • standarde de perfomanţă – au în vedere misiunea în sine: planificarea, supervizarea, scopul, riscurile asociate, pragul de semnificaţie, resursele necesare, probele, raţionamentul profesional, atenţia în exercitarea misiunii (S1 Audit Charter, S5 Planning, S9 Irregularities and Illegal Acts, S10 IT Governance
    • S11 Use of Risk Assessment in Audit Planning, S12 Audit Materiality, S13 Using the Work of Other Experts, S14 Audit Evidence, S15 IT Controls, S16 E-commerce    )
  • standarde de raportare – au în vedere tipurile de rapoarte, mijloacele prin care se comunică rezultatele şi informaţiile ce se comunică (S7 Reporting, S8 Follow-up Activities)

În secţiunea 1700—Use of the IT Assurance Framework se spune că standardele sunt mandatare pentru orice speţă, abaterea de le ele fiind obligatoriu de avut în vedere înainte de demararea oricărei misiuni. În ceea ce priveşte ghidurile, chiar dacă nu au caracter mandatar, profesionistul implicat într-o misiune trebuie să fie capabil să justifice abaterile sau omiterea acestora în cadrul unei misiuni.

În situaţia în care este parte a unei echipe implicată într-o misiune ce trebuie să folosească alte standarde, profesionistul trebuie să:

  • folosească standardele ISACA în conjucţie cu standardele emise de alte autorităţi;
  • să menţioneze în raport, pe lîngă standardele ISACA şi celelalte standarde utilizate.

În caz de conflict între standardele ISACA şi alte standarde, prevalează standardele ISACA!

Pentru cei care doresc mai multe informații, inclusiv câteva descărcabile, recomandăm spre lectură pagina dedicată ITAF de pe site-ul ISACA International

Barometrul ISACA Riscuri-Beneficii IT 2011

/0 Comments/in /by

ISACA a publicat rezultatele unui sondaj efectuat pe baza răspunsurilor primite de la liderii în IT la nivel mondial.

45% din cei intervievaţi consideră că device-urile mobile deţinute de angajaţi prezintă un risc mult mai mare pentru companie decât device-urile mobile furnizate de companie, conform Barometrului Risc-Recompensă IT din 2011 al ISACA.

Totuşi, merită menţionat că aproximativ un sfert dintre respondenţi au considerat că beneficiile aduse de folosirea acestor device-uri mobile de către angajaţi la birou depăşesc riscurile asociate.

Sondajul a inclus 2765 de membri ISACA şi profesionişti în IT, şi are şi segmentări realizate pe baza apartenţei geografice. Puteţi accesa direct rezultatele specifice pentru Europa.

Un alt rezultat important al acestui Barometru, aflat în 2011 în al doilea an de funcţionare, a fost că un concept relativ nou, acela de “Cloud Computing”, creşte în acceptanţă. Având în vedere că atunci când vine vorba de Cloud Computing, securitatea datelor e unul din cele mai importante aspecte, companiile recunosc faptul că dezvoltarea unor aplicaţii în Cloud trebuie să fie însoţită de măsuri de securitate specifice, bine implementate. Totuşi, riscurile trebuie să fie bine calculate dar asumate, fiindcă a împiedica implementarea conceptelor de Cloud Computing, cu beneficiile aferente, ar putea însemnă împiedicarea progresului companiei ca ansamblu.

Conform sondajului, specialişti intervievaţi se aşteaptă ca în perioada următoare cerinţele companiilor în zona de securitatea informaţiilor şi risk management să crească şi să aducă cu sine o creştere a echipelor de angajaţi care se ocupă de aceste aspecte. Idea este oarecum surprinzătoare în condiţiile în care majoritatea participanţilor la sondaj se află în zone cu o revenire economică destul de lentă.

Barometrul de Risc-Recompensă IT, aflat deja în al doilea an, oferă nişte informaţii cuantificate cu privire la atitudinea şi comportamentul organizaţional cu privire la riscurile şi beneficiile asociate cu proiecte de IT şi noile trenduri în domeniu. Pentru a vedea rezultatele complete, puteţi vizita pagina Barometru Risc-Recompensă de pe site-ul ISACA, unde veţi găsi şi rezultatele de anul trecut.