În piaţa autohtonă termenii standard, cadru de lucru/referinţă, procedură, practică sunt folosiţi de foarte multe ori ca sinonime pentru acelaşi document. Realitatea este puţin diferită faţă de ceea ce apare scris prin unele pliante promoţionale.

În calitate de CISA eşti nevoit, în majoritatea cazurilor, să te familiarizezi cu politicile şi procedurile companiei auditată dar să şi respecţi documentele mandatare ale ISACA. Pe lîngă cunoştinţele IT trebuie să ai cunoştinţe şi din domeniul financiar, management, managementul proiectelor, o bună capacitate de relaţionare atît cu cei din zona executivă cît şi cu cei din zona operaţională. Nu bîrfeşti niciodată cu angajaţii auditatului despre alţi angajaţi ai săi!

Orice CISA trebuie să se bazeze pe documente credibile, pe probe atunci cînd emite opinie şi să dovedească că stăpîneşte domeniul. Pentru un auditor, cadrul de lucru este pus la dispoziţie de ISACA sub formă de:

• Standarde. Definesc cerinţele obligatorii cu privire la auditarea sistemelor informaţionale şi raportarea constatărilor
• Ghiduri. Oferă asistenţă şi detalii cu privire la aplicarea standardelor. Auditorul se va baza pe judecata sa profesională atunci cînd va determina aplicabilitatea lor şi va trebui să fie capabil să justifice motivele pentru care nu se bazează pe aceste ghiduri.
• Proceduri. Exemplifică speţe concrete ce pot fi urmate de auditor în timpul unei misiuni de audit. Procedurile ISACA nu au caracter mandatar.

Nerespectarea standardelor ISACA şi a Codului de conduită Etică conduce automat la discreditarea auditorului şi la sancţiuni din partea conducerii ISACA. Prin promulgarea documentelor menţionate anterior Asociaţia şi-a dorit o abordare unitară, indiferent de zona/ţara în care este realizat auditul precum şi asigurarea unui nivel minim de performanţă profesională din partea CISA. La ce cadre de referinţă sau standardele suplimentare te raportezi în timpul auditului, este o decizie personală, bazată pe judecată profesională!

La toate aceste se adaugă şi cunoaşterea legislaţiei naţionale aplicabilă în cazul speţei.

Exemplu

O cerinţă a auditorului este să identifice fraudele potenţiale din sistemul auditat.  ISACA spune “Fraud involves the use of deception to obtain unjust or illegal financial advantage.”

Referinţe despre fraudă se găsesc în:

• G9 Audit Considerations for Irregularities and Illegal Acts
• G20 Reporting
• G24 Internet Banking
• G28 Computer Forensics
• G34 Responsibility, Authority and Accountability
• Irregularities and Illegal Acts Procedure P7

Cum stau lucrurile la noi? Noul Cod Penal (art. 247 – 250) preia din Legea nr. 161/2003 si Legea nr. 365/2002 aspectele legate de Fraudele patrimoniale savarsite prin sisteme informatice si mijloace de plata electronice. Citez:

“Art. 247 Frauda informatica
Introducerea, modificarea sau stergerea de date informatice, restrictionarea accesului la aceste date ori impiedicarea in orice mod a functionarii unui sistem informatic, in scopul de a obtine un beneficiu material pentru sine sau pentru altul, daca s-a cauzat o paguba unei persoane se pedepseste cu inchisoare de la 2 la 7 ani.
Art. 248 Efectuarea de operatiuni financiare in mod fraudulos
(1) Efectuarea unei operatiuni de retragere de numerar, incarcare sau descarcare a unui instrument de moneda electronica ori de transfer de fonduri, prin utilizarea, fara consimtamantul titularului, a unui instrument de plata electronica, sau a datelor de identificare care permit utilizarea acestuia, se pedepseste cu inchisoare de la 2 la 7 ani.
(2) Cu aceeasi pedeapsa se sanctioneaza efectuarea uneia dintre operatiunile prevazute la alin. (1), prin utilizarea neautorizata a oricaror date de identificare sau prin utilizarea de date de identificare fictive.
(3) Transmiterea neautorizata catre alta persoana a oricaror date de identificare, in vederea efectuarii uneia dintre operatiunile prevazute la alin. (1) se pedepseste cu inchisoare de la unu la 5 ani.
Art. 249 Acceptarea operatiunilor financiare efectuate in mod fraudulos
(1) Acceptarea unei operatiuni de retragere de numerar, incarcare sau descarcare a unui instrument de moneda electronica ori de transfer de fonduri, cunoscand ca este efectuata prin folosirea unui instrument de plata electronica falsificat sau utilizat fara consimtamantul titularului sau, se pedepseste cu inchisoare de la unu la 5 ani.
(2) Cu aceeasi pedeapsa se sanctioneaza acceptarea uneia dintre operatiunile prevazute in alin. (1), cunoscand ca este efectuata prin utilizarea neautorizata a oricaror date de identificare sau prin utilizarea de date de identificare fictive.
Art. 250 Sanctionarea tentativei
Tentativa la infractiunile prevazute in prezentul capitol se pedepseste.”