Ultimul deceniu a adus, poate mai mult ca niciodată, o avalanşă de proceduri de lucru în domeniul IT, cunoscute sub denumirea de best practices sau  framework. De multe ori însă, în piaţa autohtonă termenii standard, cadru de lucru/referinţă, procedură, practică sunt folosiţi ca sinonime pentru acelaşi document. Realitatea este puţin diferită faţă de ceea ce apare scris prin unele pliante promoţionale.

În calitate de auditor eşti nevoit, în cele mai multe situaţii, să te familiarizezi cu politicile şi procedurile companiei auditată dar să şi respecţi documentele mandatare ale ISACA. Pe lîngă cunoştinţele IT trebuie să ai cunoştinţe şi din domeniul financiar, managementul proiectelor şi o bună capacitate de relaţionare atît cu cei din zona executivă cît şi cu cei din zona operaţională.

Orice CISA trebuie să se bazeze pe documente credibile şi să dovedească că stăpîneşte domeniul. Pentru un auditor, cadrul de lucru este pus la dispoziţie de ISACA sub formă de:

• Standarde ce definesc cerinţele obligatorii cu privire la auditarea sistemelor informaţionale şi raportarea constatărilor
• Ghiduri  ce oferă asistenţă şi detalii cu privire la aplicarea standardelor. Auditorul se va baza pe judecata sa profesională atunci cînd va determina aplicabilitatea lor şi va trebui să fie capabil să justifice motivele pentru care nu se bazează pe aceste ghiduri.
• Proceduri  ce exemplifică speţe concrete ce pot fi urmate de auditor în timpul unei misiuni de audit. Procedurile ISACA nu au caracter mandatar.

Nerespectarea standardelor ISACA şi a Codului de conduită Etică conduce automat la discreditarea auditorului şi la sancţiuni din partea conducerii ISACA. Prin promulgarea documentelor menţionate anterior Asociaţia şi-a dorit o abordare unitară, indiferent de zona/ţara în care este realizat auditul precum şi asigurarea unui nivel minim de performanţă profesională din partea CISA.

As per ISACA, scopul,  rolul, responsabilităţile şi autoritatea auditului intern sînt definite în cadrul audit charter[1], structură organizatorică întîlnită mai rar în companiile autohtone. Raportul dintre auditorul extern şi compania audită este stabilit prin intermediul scrisorii de angajament (engagement letter), document prin care se definesc responsabilitatea contractuală, autoritatea şi responsabilitatea juridică. Prin intermediul acestei scrisori, Comitetul de audit aprobă delegarea auditurilor către un auditor extern. În scrisoarea de angajament este definită şi explicată independenţa auditorului!

Standardele clarifică diferenţa dintre audit şi revizie. Atît timp cît scopul unei reviziei acoperă de cele mai multe ori mai puţine aspecte decît auditul, obiectivul acesteia va fi realizarea unei analize în baza unor criterii definite anterior.

A treia categorie de misiuni pe care le poate realiza auditorul extern o reprezintă  procedurile agreate . Acestea nu vor avea ca rezultat oferirea unei asigurări din partea auditorului deoarece CISA este angajat să realizeze proceduri specifice, agreate de comun acord cu solicitantul. Rezultatul auditului va îmbrăca forma unui raport în care sunt consemnate rezultatele factuale obţinute, concluziile aparţinînd strict beneficiarului.  Altfel spus, auditorul nu emite nici o judecată de valoare cu privire la starea sistemului.

“Where an engagement is to be undertaken to meet a regulatory or similarly imposed requirement, it is important that the auditor be satisfied that the type of engagement is clear from the relevant legislation or other source of the engagement mandate. If there is any uncertainty, it is recommended that the IS auditor and/or appointing party communicate with the relevant regulator or other party responsible for establishing or regulating the requirement and agree with the engagement type and the assurance to be provided.” G 20 Reporting ISACA

 “An agreed-upon procedures engagement does not result in the expression of any assurance by the IS auditor. The IS auditor is engaged to carry out specific procedures to meet the information needs of those parties who have agreed to procedures to be performed” G 20 Reporting ISACA

 “The recipients form their own conclusions from this report because the IS auditor has not determined the nature, timing and extent of procedures to be able to express any assurance. The report is restricted to those parties (for example, a regulatory body) that have agreed to the for the procedures and may misinterpret the result” G 20 Reporting ISACA.

Nu în ultimul rînd trebuie spus că standardele, ghidurile şi procedurile ISACA nu referenţiază nici un document de sine stătător cu titlul “opinie de audit”:

“The IS auditor should review and assess the conclusions drawn from the evidence obtained as the basis for forming an opinion on the effectiveness of the control procedures based on the identified criteria.”

Din punct de vedere al formei, G20 precizează că raportul de audit trebuie să conţină:

• Descrierea scopul auditului, incluzînd:

o        Identificarea şi descrierea ariei auditată

o        Criteriile folosite ca usport în formarea concluziilor auditorului

o       Menţionarea faptului că eficacitate structurii controlului intern, incluzînd procedurile de control pentru zona auditată, este responsabilitatea managementului companiei.

• Dacă misiunea este una de atestare, o declaraţie prin care se identifică reprezentanţii managementului care răspund de eficacitatea procedurilor de control
• Identificarea scopului pentru care a fost întocmit raportul de audit, cui se adresează şi către cine poate fi distribuit (inclusiv reponsabilităţile şi criteriile legate de distribuirea acestuia)
• Precizarea faptului că auditul s-a desfăşurat în conformitate cu standardele ISACA şi alte standarde aplicabile
• Explicaţii cu privire la variabilele care afectează asigurarea pe care o oferă auditorul
• În funcţie de cerinţe, un raport detaliat care să recomande acţiunile corective asupra constatărilor şi răspunsul managementului la aceste constatări
• Un paragraf care să precizeze că datorită limitelor inerente controalelor interne, erorile sau frauda pot să apară sau să rămînă nedectate.
• Precizarea faptului că auditul nu poate detecta toate punctele slabe din cadrul procedurilor de control atît timp cît nu este o activitate continuă iar testarea procedurilor de control de către auditor se realizează prin sondaj.
• În cazul în care auditorul exprimă o opinie calificată, trebuie să descrie calificare opiniei.
• Opinia, dacă în toate aspectele considerate materiale, procedurile de control sînt proiectate corect şi operează efectiv.
• Data şi semnătura.

---

[1] G5 – Audit Charter. Prin audit charter se înţelege documentul/decizia emis de management prin care sunt definite rolurile, responsabilităţile şi independenţa auditorului.