Documenti analoghi
4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

SISTEMA DI GESTIONE PER LA QUALITA Capitolo 4

Configuration Management

Sistemi di Gestione dei Dati e dei Processi Aziendali. Computer-Assisted Audit Technique (CAAT)

PROCEDURE ISTITUTO COMPRENSIVO STATALE Leonardo da Vinci OLEVANO SUL TUSCIANO. Processo: TENUTA SOTTO CONTROLLO DELLA DOCUMENTAZIONE

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

Procedura per la tenuta sotto controllo delle registrazioni PA.AQ.02. Copia in distribuzione controllata. Copia in distribuzione non controllata

Faber System è certificata WAM School

Procedura n. 03 (Ed. 02) TENUTA SOTTO CONTROLLO DEI DOCUMENTI E DELLE REGISTRAZIONI

LA REVISIONE LEGALE DEI CONTI La comprensione

Progetto NoiPA per la gestione giuridicoeconomica del personale delle Aziende e degli Enti del Servizio Sanitario della Regione Lazio

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

TENUTA SOTTO CONTROLLO DEI DOCUMENTI

1 CARICAMENTO LOTTI ED ESISTENZE AD INIZIO ESERCIZIO

I dati : patrimonio aziendale da proteggere

IL SOFTWARE SECONDO LA NORMA UNI EN ISO :2008 (IIA PARTE) 1

INTRODUZIONE AL MANUALE DELLA QUALITA

I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Linee guida per l assicurazione della qualità nelle piccole e medie imprese di revisione

INDICE. Istituto Tecnico F. Viganò PROCEDURA PR 01. Rev. 2 Data 20 Maggio Pagina 1 di 9 TENUTA SOTTO CONTROLLO DEI DOCUMENTI

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

MANDATO DI AUDIT DI GRUPPO

Gestione dei documenti e delle registrazioni Rev. 00 del

PROCEDURA DI SISTEMA GESTIONE E ORGANIZZAZIONE DELLA DOCUMENTAZIONE

VALUTAZIONE DEL LIVELLO DI SICUREZZA

CitySoftware PROTOCOLLO. Info-Mark srl

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

Aris TimeSheet. che guardano oltre. enti e aziende. Soluzioni per

Strategie e Operatività nei processi di backup e restore

Airone Gestione Rifiuti Funzioni di Esportazione e Importazione

1. DISTRIBUZIONE Datore di Lavoro Direzione RSPP Responsabile Ufficio Tecnico Responsabile Ufficio Ragioneria (Ufficio Personale) Ufficio Segreteria

Cambio Codice IVA (dal 21% al 22%)

Il modello di ottimizzazione SAM

PROCEDURA GESTIONE APPROVVIGIONAMENTO E FORNITORI 02 30/09/2006 SOMMARIO

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Cosa è un foglio elettronico

SIRTEL. Sistema Informativo per la Rendicontazione Telematica degli Enti Locali. Schema di funzionamento del processo per l Ente Locale

PG03.GTP GESTIONE DEI DOCUMENTI DI LAVORO

AUDIT. 2. Processo di valutazione

REALIZZARE UN BUSINESS PLAN CON MICROSOFT EXCEL 2007

«Gestione dei documenti e delle registrazioni» 1 SCOPO CAMPO DI APPLICAZIONE E GENERALITA RESPONSABILITA DEFINIZIONI...

Attività relative al primo anno

Modulo gestione antiriciclaggio. Soggetti coinvolti

Effettuare gli audit interni

Modello OAIS. Modello di riferimento. Il Modello. Prof.ssa E. Gentile a.a Un modello di riferimento dovrebbe descrivere:

DISPOSIZIONI DELL AUTORITA PER L ENERGIA ELETTRICA E IL GAS IN TEMA DI STANDARD DI COMUNICAZIONE

Manuale della qualità

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI

GESTIONE DEI VASI VINARI.

DPCM 31 OTTOBRE 2000 (G. U , SERIE GENERALE, N. 272) REGOLE TECNICHE PER IL PROTOCOLLO INFORMATICO DI CUI AL DECRETO DEL PRESIDENTE DELLA

Incident Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

SCHEMA DI DELIBERAZIONE

Specifica METODO STR VISION CPM

Protocollo Informatico (D.p.r. 445/2000)

MANDATO INTERNAL AUDIT

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

F24 WEB PAGAMENTO ELETTRONICO IMPOSTE E CONTRIBUTI

Database. Si ringrazia Marco Bertini per le slides

Ogni documento digitalizzato, carta attivo o passivo, viene di infatti accompagnato identità da una sorta di elettron

Applicazione DBToolsSync Manuale Utente

CHIUSURE di MAGAZZINO di FINE ANNO

MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico

Politica per la Sicurezza

Tecnoteam. Servizi integrati per l organizzazione aziendale

Checklist ISO 9001:2008. Audit di Sistema. Tipo di audit Audit di Sistema Data Normativa ISO 9001:2008 Direttive CE. Ditta Indirizzo CAP/Località

PS_01 PROCEDURA PER LA GESTIONE DEI DOCUMENTI E DELLE REGISTRAZIONI

Limiti della gestione tradizionale degli archivi. Prof. Francesco Accarino IIS Altiero Spinelli

GESTIONE DELLA DOCUMENTAZIONE. ALLEGATI Elenco Documenti e tabella di revisione Lista di distribuzione Elenco documenti di registrazione della Qualità

Archivi e database. Prof. Michele Batocchi A.S. 2013/2014

Progetto: ARPA Fonte Dati. ARPA Fonte Dati. Regione Toscana. Manuale Amministratore

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

Domande e risposte su Avira ProActiv Community

Sistema di Gestione per la Qualità

SIMT-POS 001 PROCEDURA GESTIONE DOCUMENTI SIMT

Elenchi Intrastat. Indice degli argomenti. Premessa. Operazioni preliminari. Inserimento manuale dei movimenti e presentazione

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Ministero del Lavoro e della Previdenza Sociale

Guida Informativa. LAVORI DI FINE ANNO ebridge Linea Azienda. Chiusura e riapertura esercizio di magazzino, fatturazione, ordini e agenti.

Protezione delle registrazioni di tracciamento da modifiche non autorizzate A R.1.6 [TU /52/1/b]

Sistema di gestione per la qualità

Allegato 5. Definizione delle procedure operative

Disciplinare sulla gestione dei reclami, suggerimenti e segnalazioni dei cittadini nei confronti dell Amministrazione Comunale di Ancona

Presidenza del Consiglio dei Ministri

CORSO ACCESS PARTE II. Esistono diversi tipi di aiuto forniti con Access, generalmente accessibili tramite la barra dei menu (?)

Il software sviluppato Dyrecta per il controllo dell AntiRiciclaggio. a norma del D.M. 143 del 03/02/2006

Regolamento per la certificazione di Sistemi di Gestione Ambientale

Ibpm è lo strumento per la gestione dei processi, dalla modellazione, all esecuzione, al monitoraggio.

ACO Archiviazione Elettronica e Conservazione sostitutiva

APPROVVIGIONARE APPROVVIGIONARE. Rev. Data Causale Redazione Verifica Approvazione. 00 xx/xx/xxxx Prima emissione

Situazione Attuale. Le persone svolgono molte operazioni ripetitive ed occupano il proprio computer per le elaborazioni..

LA CERTIFICAZIONE. Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona

SOFTWARE A SUPPORTO DELLA GESTIONE AMMINISTRATIVA DELLO SPORTELLO UNICO SPECIFICA DEI REQUISITI UTENTE

Obiettivi generali del revisore

Procedure di utilizzo e di descrizione applicativa

RIMANENZE DI MAGAZZINO ESEMPLIFICAZIONE

Nuovo Order Manager per il software NobelProcera

Transcript:

I controlli generali IT riguardano l organizzazione della funzione IT, le attività di acquisizione e manutenzione del software, le procedure di sicurezza logica e fisica, i controlli sul funzionamento e il monitoraggio dell hardware ed anche le procedure di back-up (salvaguardia dei dati aziendali). 11-01-2010 2

A livello internazionale troviamo diversi standard di sicurezza informatica per determinare i controlli più appropriati da porre in atto; tra i più importanti: - l ISO/IEC 17799:2000 che fornisce delle raccomandazioni sulla gestione della sicurezza nell organizzazione; - il COBIT. 11-01-2010 3

l accesso alle informazioni contabili e gestionali (dati e/o programmi) è limitato alle sole persone autorizzate (autorizzazione), queste persone devono essere riconoscibili in modo univoco (autenticazione) e deve essere possibile risalire a chi ha effettuato ogni singola operazione (audit trail). 11-01-2010 4

la modifica ai programmi, applicazioni, database, S.O. e interfacce contabili e gestionali è autorizzata, testata e messa in produzione solo dopo l approvazione finale del responsabile applicativo. Le procedure di cambiamento nei sistemi (generalmente identificate col termine program change) devono seguire le regole previste dagli standard. 11-01-2010 5

le operazioni quotidiane di back-up dei dati, schedulazione dei job (lavori automatici per l esecuzione di programmi e procedure) e il monitoring del corretto funzionamento dei sistemi informatici, funzionino correttamente. 11-01-2010 6

Accesso logico - identificazione (assegnazione e gestione dei profili utente) - policy password complessità della password - tracciabilità Modifica ai programmi (program change) - richiesta da parte dell utente di una modifica o sviluppo - analisi della richiesta, approvazione - sviluppo - test - approvazione dei risultati dei test da parte dell utente finale - messa in produzione della nuova procedura/programma IT operations (facoltativa negli audit integrati, ovvero audit + Sox) - scheduling dei jobs, - back-up e recover procedures, - monitoring dei sistemi - sicurezza FISICA 11-01-2010 7

Se i controlli generali non sono EFFICACI dopo il test da parte del revisore dei Sistemi Informatici, il revisore aziendale non puo' fare affidamento sui i controlli applicativi, quindi il TEST OF ONE non puo' essere effettuato, con la conseguenza che si dovrà seguire un approccio di sostanza (in genere il test dei 25 per ogni controllo applicativo). Gli ITGC garantiscono l efficacia dei controlli Applicativi per tutto il periodo soggetto ad audit (a meno di modifiche intervenute, da ritestare) 11-01-2010 8

11-01-2010 9

Sono definiti come quei controlli che hanno un impatto determinante sui sistemi a supporto dei processi auditati L IT Environment è gestito tramite processi IT per la gestione delle risorse che lo compongono, ed il revisore si concentra in particolare sui sotto-processi di cambiamento ai programmi (program change) e accesso ai sistemi (logical access) Gli IT General control forniscono un ragionevole livello di confidenza sul fatto che un processo IT operi in modo affidabile nel tempo e che, di riflesso, anche gli application controls sottostanti le applicazioni che supportono i processi di business e contabili siano affidabili per tutto il periodo sottoposto a revisione 11-01-2010 10

Testing an application control or ITdependent manual control normally gives assurance that the control operated effectively at that point in time. How do we gain assurance that these controls have operated in a consistent and reliable fashion over the financial year, or that they will continue to operate going forward? We evaluate and test IT general controls! 11-01-2010 11

11-01-2010 12

Tradizionalmente gli IT Controls erano necessari per accertare l adeguatezza delle funzioni degli Application Controls che dipendevano dai processi dell elaboratore. Oggi la distinzione tra gli IT General Control e gli Application Controls non è più netta come prima, questo perché gli IT Controls coprono gli aspetti di Application e Business process. La relazione fra gli Application Controls e gli IT General Controls è tale per cui questi ultimi sostengono il funzionamento degli Application Controls e contribuiscono ad accertare che l'elaborazione dell'informazione sia completa ed esatta per tutto il periodo soggetto a revisione. 11-01-2010 13

Controlli sull immissione dei dati (input) Validazione e controlli formali dell elaborazione (elaborazione) Controlli sull emissione dei risultati (output) 11-01-2010 14

Funzionali ad assicurare che ogni transazione da elaborare venga: Acquisita Elaborata Registrata in modo corretto e completo 11-01-2010 15

Autorizzazione all input Transazioni correttamente autorizzate ed approvate (autorizzazione online o autorizzazione manuale dietro evidenza) Firme sui moduli di accompagnamento Controlli sugli accessi on-line Password individuali Identificazione del terminale Documenti di supporto all immissione dati 11-01-2010 16

Raggruppamento delle transazioni di input per ottenere i totali di controllo - Totale a valore Verifica che il valore in moneta delle voci elaborate sia uguale al valore totale in moneta dei documenti ricevuti - Totale per voci Verifica che il numero totale delle voci comprese su ciascun documento coincida con il numero totale delle voci elaborate - Totale del numero Verifica che il numero totale dei documenti ricevuti coincida con il numero totale dei documenti elaborati - Hash totals Verifica che la somma di un predeterminato campo numerico, esistente su tutti i documenti, coincida con il totale del campo numerico dei documenti elaborati 11-01-2010 17

Correzione degli errori a seguito di duplicazione delle transazioni o inaccurato inserimento dei dati: Trattamento degli errori di immissione Stampa degli errori di immissione e loro trattamento Tecniche di controllo delle immissioni: Log delle transazioni Riconciliazione dei dati Verifica documentazione Procedure di correzione degli errori Registro delle transazioni Cancellazione dei documenti di supporto 11-01-2010 18

Funzionali ad assicurare che i dati immessi siano controllati e validati nel punto più vicino possibile alla loro origine, senza passaggi intermedi La convalida identifica errori nei dati, dati incompleti o mancanti e incoerenza tra dati tra loro correlati Se non sono presenti controlli di convalida o questi non operano adeguatamente, aumenta il rischio di elaborazione di dati inaccurati 11-01-2010 19

Validazione e controllo dei dati (tipologie): Controllo di sequenza I numeri di controllo si incrementano sequenzialmente e qualsiasi numero che risulti fuori sequenza o duplicato viene scartato o segnalato su un tabulato di eccezioni per le successive attività di verifica Controllo di validità Controlli programmati di validità dei dati in conformità a predeterminati criteri. Per esempio, un record del cedolino stipendi contiene un campo riguardante lo stato civile. Vengono acettati solo valori C/N e S. Se vengono incontrati altri valori, si dovrebbe scartare il record stesso Controllo di esistenza I dati sono correttamente introdotti e confrontati con criteri redeterminati validi. Per esempio, un codice di transazione valido viene introdotto nel campo codice di transazione 11-01-2010 20

Validazione e controllo dei dati (tipologie): Controllo di completezza Si esegue un controllo su ciascun byte di un dato campo per determinare che contenga valori significativi e non spazi o zeri Controllo di duplicazione Le nuove transazioni vengono confrontate con quelle già immesse per assicurare che non siano state già registrate Controllo logico di relazione Se una particolare condizione è vera allora anche una o più condizioni aggiuntive o relazioni di dati di input devono essere vere per considerare il dato valido 11-01-2010 21

Procedure per il controllo sull elaborazione (tipologie): Verifica di ragionevolezza degli importi calcolati Controlli di limite su importi calcolati Riconciliazione dei totali Stampa delle eccezioni 11-01-2010 22

Procedure per il controllo sui file di dati (tipologie): Aggiornamento dei tabulati degli errori Dovrebbero esistere procedure di controllo atte ad assicurare che tutti i tabulati degli errori siano debitamente segnalati, correttamente isolati, riconciliati e che le correzioni siano eseguite tempestivamente Utilizzo della versione (del file) corretta Affinché l elaborazione sia corretta è fattore critico che venga usato non solo il file giusto, ma anche la versione giusta del file, ad esempio per data e ora 11-01-2010 23

Procedure per il controllo sull elaborazione (tipologie): Controlli di sicurezza dei file I controlli di sicurezza sui file prevengono l accesso non autorizzato alle applicazioni. Questi controlli non forniscono garanzie in relazione alla validità dei dati, ma assicurano che i dati memorizzati non vengano modificati in modo improprio Registri delle transazioni (log) Tutte le transazioni riguardanti attività di immissione vengono registrate dal computer. Può essere prodotta una lista dettagliata che includa data e tempo di immissione, identificativo dell utente e localizzazione del terminale per essere poi utilizzata come traccia di Audit 11-01-2010 24

Funzionali a fornire la garanzia che i dati vengano forniti agli utenti in modo: Conforme (es.: alle norme organizzative, agli standard interni) Sicuro 11-01-2010 25

Registrazione e conservazione dei moduli cartacei riservati e critici I documenti cartacei, riservati e critici devono essere accuratamente registrati e protetti per fornire adeguata salvaguardia contro furti o danneggiamenti. Il registro dei moduli deve essere costantemente riconciliato con l inventario fisico e si deve indagare accuratamente su ogni differenza Creazione automatica di moduli e firme La creazione automatica di moduli e firme deve essere adeguatamente controllata. Un elenco dettagliato dei moduli prodotti deve essere confrontato con i moduli effettivamente ricevuti. Tutte le eccezioni, gli scarti e gli annullamenti devono essere adeguatamente conteggiati Autorizzazione alla distribuzione I tabulati devono essere distribuiti in conformità a parametri di distribuzione predeterminati e autorizzati. Il personale operativo deve verificare che i tabulati siano completi e che vengano consegnati secondo la tempistica preventivata. Ciascun tabulato deve essere registrato prima di passare in distribuzione 11-01-2010 26

Riconciliazione e quadratura Gli output di programmi applicativi devono essere sistematicamente quadrati con i totali di controllo. Devono essere fornite tracce di Audit per tracciare l elaborazione delle transazioni e la riconciliazione dei dati Trattamento degli errori dell output Devono essere stabilite procedure per documentare e controllare gli errori contenuti negli output dei programmi applicativi. I tabulati di errore devono essere tempestivi e consegnati al reparto che li ha originati per il riesame e la correzione degli errori Conservazione dei tabulati di output A livello aziendale si deve stendere un piano per la conservazione delle registrazioni. Esso deve includere anche ogni regolamentazione legislativa a riguardo Verifica di ricevimento dei tabulati Per avere la certezza che i tabulati riservati siano correttamente distribuiti, il ricevente deve firmare un registro che evidenzi il ricevimento dell output 11-01-2010 27

11-01-2010 28

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back