It auditor, it governance risk and compliance

In un gruppo di 15 auditors, sono l’unica persona con responsabilità delle attività di IT audit. 
Svolgo l’analisi dei processi IT per i principali Enti dello Stato, con particolare attenzione a ruoli e responsabilità, organizzazione, policy e procedure, rapporto con i fornitori. La maggior parte delle attività riguarda:
o	ITGCs (IT General Controls) per le applicazioni utilizzate dai principali Enti;
o	Entity Level Controls;
o	CAATs (Computer Assisted Audit Techniques) per i processi più critici, con l’utilizzo di ACL.
o	Security assessment dei sistemi ICT utilizzati dall’Ufficio del Revisore Generale, in collaborazione con una terza parte;
o	Valutazione delle soluzioni di sicurezza per i sistemi utilizzati dall’Ufficio del Revisore Generale, offerte da fornitori specializzati.

All’interno di un gruppo globale di 20 auditors, il team di IT audit era composto da 4 auditors. Io ero responsabile delle seguenti attività:
o	CAATs sui principali processi di business, utilizzando script in ACL spesso sviluppati da me;
o	Review del self-assessment degli Internal Controls over Financial Reporting svolti dalle filiali locali;
o	Disegno dei test per la compliance alle nuove policy IT del Gruppo;
o	Analisi della segregation of duties implementata in Oracle PeopleSoft, effettuata con script ACL;
o	ITGCs e Application Controls per le applicazioni critiche per il business; 
o	Attività di Co-sourcing a supporto degli auditors esterni;
Attività svolte in Europa, Sud America, Asia, Nord Africa e Oceania.

All’interno di un gruppo globale di 15 auditors, il team di IT audit era formato da 3 auditors. Io ero responsabile delle seguenti attività:
o	CAATs per analizzare dati estratti da SAP e altri applicativi ERP;
o	Audit specifici su ciclo attivo e ciclo passivo;
o	Disegno del nuovi controlli interni IT, basati sullo standard famiglia ISO27000;
o	Audit sulla gestione delle utenze e la sicurezza, per applicazioni di business e sistemi operativi; 
o	ITGCs per le applicazioni critiche per il business;
o	Audit sulla conversione dei dati in SAP, dovuta al cambio dei principi contabili di riferimento;
o	Review del self-assessment dei controlli interni delle terze parti coinvolte nei processi di business.
Attività svolte in Spagna, Olanda, Brasile e India.

Consulenza nell’ambito della sicurezza informatica applicata al business e audit esterno. 
Attività svolte principalmente per banche, assicurazioni, società di asset management e altri tipi di istituzioni finanziarie, in Italia, Regno Unito, Serbia, Svizzera.
Principali progetti:
o	Audit esterno: test degli ITGCs e degli Application Controls implementati dal Cliente, CAATs, rilevazione del ciclo di formazione del bilancio;
o	Valutazione della compliance con legge 262/2005, standard di audit SAS70 (type I e type II), ISAE 3402 e normative interne per i processi IT: rilevazione dei processi e dei controlli in essere disegnati dal Cliente, e relativi test;
o	Investigazioni antifrode e antiriciclaggio: analisi delle transazioni al fine di identificare possibili violazioni alle normative antiriciclaggio americane, analisi della documentazione prodotta dal Cliente, ottimizzazione di report generati come deliverables di progetto.
I principali clienti dei progetti erano Intesa Sanpaolo, Unicredit, Fideuram, Sara Assicurazioni, Alitalia, American Express, Cedacri, Citibank, Standard Chartered Bank. 

Per Pfizer: gestione di un database per la creazione e cancellazione delle utenze di applicazioni SOX associate a consulenti esterni; reportistica per le attività effettuate dall’help desk aziendale; disegno di policy e procedure per la gestione delle utenze informatiche.