Atunci cînd planifică o misiune, auditorul trebuie să aibă în vedere trei perspective: conformitatea, operaţionalul şi strategicul. Un concept oarecum ambiguu pentru auditorii de sisteme informaţionale fără background economic este “materialitatea/pragul de semnificaţie”.

Conform LISTEI TERMENILOR CHEIE ISA 2008, materiality – (Prag de) semnificaţie. În cazul auditului financiar (ne place ori nu, pragul de semnificaţie trebuie înţeles pornind de aici), se spune:

Informaţiile sînt semnificative dacă omisiunea sau declararea lor eronată ar putea influenţa deciziile economice ale utilizatorilor, luate pe baza situaţiilor financiare. Pragul de semnificaţie depinde de mărimea elementului sau a erorii, judecate în împrejurările specifice ale omisiunii sau declarării eronate. Astfel, pragul de semnificaţie oferă mai degrabă o limită, decît să reprezinte o caracteristică calitativă primară pe care informaţia trebuie să o aibă pentru a fi utilă. – ISA 320 Audit Materiality

În cazul auditului sistemelor informaţonale, situaţia este puţin mai complicată. Aceasta deoarece auditul financiar exprimă pragul de semnificaţie în termeni monetari.

Standardul de audit financiar menţionat anterior spune:

Pragul de semnificaţie trebuie luat în considerare de auditor atunci cînd:

a) se determină natura, durata şi întinderea procedurilor de audit

b) se evaluează efectele informaţiilor eronate

Materiality Concepts for Auditing Information Systems Document G6 spune:

În evaluarea pragului de semnificaţie, auditorul de SI trebuie să ia în considerare:

– nivelul agregat al erorilor acceptabile de către management, auditorul, agenţiile cu atribuţii de reglementare şi celelalte părţi interesate

– potenţialul ca efectul cumulat al unor erori nesemnificative sau puncte slabe să devină semnificativ

Ghidul din care am tradus şi adaptat lămureşte şi ce înseamnă “control semnificativ” – un control sau un grup de controale în lipsa căruia procedurile de control nu oferă asigurări rezonabile că obiectivul controlului va fi atins.

Ghidul prezintă şi măsurile care trebuie luate în considerare pentru a evalua pragul de semnificaţie:

“

• Criticality of the business processes supported by the system or operation
• Criticality of the information databases supported by the system or operation
• Number and type of application developed
• Number of users who use the information systems
• Number of managers and directors who work with the information systems classified by privileges
• Criticality of the network communications supported by the system or operation
• Cost of the system or operation (hardware, software, staff, third-party services, overheads or a combination of these)
• Potential cost of errors (possibly in terms of lost sales, warranty claims, irrecoverable development costs, cost of publicity required for warnings, rectification costs, health and safety costs, unnecessarily high costs of production, high wastage, etc.)
• Cost of loss of critical and vital information in terms of money and time to reproduce
• Effectiveness of countermeasures
• Number of accesses/transactions/inquiries processed per period
• Nature, timing and extent of reports prepared and files maintained
• Nature and quantities of materials handled (e.g., where inventory movements are recorded without values)
• Service level agreement requirements and cost of potential penalties
• Penalties for failure to comply with legal, regulatory and contractual requirements
• Penalties for failure to comply with public health and safety requirements

”

Privind lista de mai sus observăm că trebuie avute în vedere atît elemente calitative cît şi cantitative! Parcă e ceva mai mult decît revizuirea parolelor, ACL-urilor, configuraţiilor etc…..

În loc de încheiere:

“ 4. REPORTING

4.1 Identifying Reportable Issues

4.1.1 In determining the findings, conclusions and recommendations to be reported, the IS auditor should consider both the materiality of any errors found and the potential materiality of errors that could arise as a result of control weaknesses.
4.1.2 Where the audit is used by management to obtain a statement of assurance regarding IS controls, an unqualified opinion on the adequacy of controls should mean that the controls in place are in accordance with generally accepted control practices to meet the control objectives, devoid of any material control weakness.
4.1.3 A control weakness should be considered material and, therefore, reportable, if the absence of the control results in failure to provide reasonable assurance that the control objective will be met. If the audit work identifies material control weaknesses, the IS auditor should consider issuing a qualified or adverse opinion on the audit objective.
4.1.4 Depending on the objectives of the audit, the IS auditor should consider reporting to management weaknesses that are not material, particularly when the costs of strengthening the controls are low.”