Atât în CISA Review Manual cât şi în standardele ISACA, există câteva sintagme de bază: „risk based”, „professional judgement”, „due care„. În versiunea ITAF aflată acum în revizuire la ISACA se precizează:

„Absolute assurance cannot be obtained because of factors such as the use of judgement, the extent of testing and the inherent limitations of internal controls. An IS auditor cannot obtain absolute assurance because of factors such as the use of judgement, the extent of testing and the inherent limitations of internal controls. Audit evidence available to the IS auditor during an audit should be persuasive in nature rather than conclusive.„

În versiunea ITAF încă aplicabilă, regăsim aceeaşi exprimare, cu diferenţe minore:

„An IS auditor cannot obtain absolute assurance because of factors such as the use of judgement, the extent of testing and the inherent limitations of internal controls. Audit evidence available to the IS auditor during an audit should be persuasive in nature rather than conclusive.”

Prima observaţie: „Should be„. De ce? Pentru că, aşa cum voi încerca să arăt în continuare, „shall be” este aproape imposibil.

A doua observaţie:

• Persuasive = convingător
• Conclusive = concludent
  

Care este diferenţa? În cazul auditului financiar, majoritatea probelor sunt de tip „concludent”. În cazul auditului sistemelor informaţionale natura probelor este ceva mai complexă.

Când ni se explică subiectul „audit evidence” ni se spune că auditorul „should obtain sufficient and appropriate”. Observăm deci că este vorba de o combinaţie de „suficienţă” şi „adecvare”. Ne obţinem majoritatea probelor prin proceduri de fond sau testarea controalelor. „Suficienţa” măsoară cantitatea de probe necesară iar „adecvarea” se referă la relevanţa, calitatea, oportunitatea, fiabilitatea probelor. Să nu uităm că trebuie să stabilim un nivel al „riscului auditului”, care risc are în componenţa sa un alt risc: „riscul controlului”. (Evaluarea, stabilirea riscului de audit este un exerciţiu mental nu unul fundamentat ştiinţific!)

„Professional judgement” cu privire la suficienţa şi adecvarea probelor depinde însă de factori cum ar fi: semnificaţia articolului examinat, sursa informaţiilor disponibile, experienţa auditorului, rezultatele evaluării sistemului de control intern, materialitatea/pragul de semnificaţie. (Şi nu în ultimul rând faptul că deşi nu este corect, se acceptă misiuni de audit cu limite de timp şi buget impuse!)

Pentru toate aceste motive, probele de audit sunt mai degrabă convingătoare decât concludente. Mai ştim că probele de audit trebuie să fie în primul rând rezonabile şi nu neapărat absolute. Astfel, o dovadă/probă de audit este concludentă ori de câte ori nu va mai fi nevoie de o altă dovadă suplimentară care să susţină opinia auditorului. De exemplu, regulile de filtrare din firewall pot reprezenta o dovadă concludentă cu privire la restricţiile implementate (chiar dacă or fi fost scrise cu o zi înaintea auditului?). În cazul în care probele trebuie să susţină un proces în instanţă, nu putem însă să discutăm de convingeri! În acest caz probele trebuie să fie concludente! (vezi G 28: Computer Forensics: „Provide a conclusive investigation of all activities for the purpose of complete attack verification and enterprise and critical infrastructure information restoration”)

Există însă multe situaţii în care auditorul, prin probele obţinute, îşi formează o convingere fără a putea confirma în totalitate aspectul supus testării: de exemplu atunci când folosim chestionare/interviuri.