Un subiect ce mă macină de ani de zile este înţelegerea incorectă (m-am convins că nu este vorba de superficialitate) a diferenţei dintre „control” şi „audit”. Noua formă a Instrucţiunii 2 elaborată de către CNVM este un exemplu de incompetenţă, incoerenţă, de lipsă de înţelegere a implicaţiilor şi/sau consecinţelor şi de brutalizare a limbii române! Voi continua articolul anterior cu alte exemple.

„Art. 1. – Prezenta instrucţiune stabileşte cerinţele minime obligatorii de auditare a securităţii sistemelor informatice utilizate de entităţile autorizate, reglementate şi/sau supravegheate de Comisia Naţională a Valorilor Mobiliare.”

Nici un cuvînt despre „control”. Obiectivul declarat nu îl reprezintă „obiective minime de control” pe care entităţile vizitate ar trebui să le atingă ci „obiective minime de auditare”!

„Art. 3. – (1) Prezenta instrucțiune se aplică următoarelor categorii de entităţi autorizate, reglementate și/sau supravegheate de C.N.V.M. (denumite în continuare entități):…„

Prezenta instrucţiune nu se aplică doar celor enumeraţi la Art. 3 ci şi auditorilor! Există articole care reglementează (incorect) rolul şi sarcinile auditorului.

„personalul recrutat (angajat) are experienţă în gestionarea acestor aplicaţii şi cunosc obligaţiile ce decurg din reglementările C.N.V.M.” (pg.4)

„(3) În situația în care auditarea securităţii sistemelor informatice prevăzută la alin.(1) este efectuat de un auditor IT, entitatea are obligaţia de a încheia un contract de prestări de servicii cu respectivul auditor IT. (pg.4)

 (4) În situația în care auditarea securităţii sistemului informatic este efectuat de o echipă formată din mai mulți auditori IT”(pg.4)

 „Art. 8. – (1) Auditorul IT are obligația de a întocmi la încheierea controlului şi auditării sistemelor informatice un raport de audit IT care trebuie să cuprindă cel puțin următoarele elemente (..)” (pg. 5)

„afirmaţia de conformitate (opinia pozitivă), de conformare parţială/totală referitoare la obiectivele auditate şi controlate IT, indicând punctele care trebuie îmbunătăţite (opinie cu rezerve/calificată), sau de neîndeplinire a obiectivelor auditate (opinia negativă); (pg.6)

Scurtă recapitulare: instrucţiunea „stabileşte cerinţele minime obligatorii de auditare a securităţii sistemelor informatice„, dar auditorul execută „control şi auditare„. Mai departe, auditorul nu îşi stabileşte obiective ci „auditează obiective„. Obiectivele vor fi „controlate IT” (Sau există controale care să asigure atingerea unor obiective?)

Tot Art. 8 este cel care impune ca raportul de audit să includă şi:

„8. descrierea ariei auditului şi controlului IT, incluzând și:

a) descrierea entităţii auditate;

b) descrierea sistemelor auditate;

c) măsurile organizatorice: politicile aplicabile şi procedurile implementate;

d) identificarea aplicaţiilor utilizate şi persoanele implicate;

e) componentele sistemelor informatice utilizate: aplicaţie/server/sistem de operare/detalii configurare/locaţie/administrare;

f) analiza riscurilor implicate de activitate, a posibilelor vulnerabilităţi ale sistemului informatic auditat şi controlat IT și a măsurilor de reducere a riscurilor asociate (controale);

g) descrierea modului prin care s-a efectuat atacul etic și rezultatul obținut;” (pg.6)

La Art. 11 însă

„(2) Raportul de audit menționat la art.8 va fi transmis către C.N.V.M. în termen de 90 de zile de la încheierea perioadei de control şi auditare a sistemului informatic și va cuprinde cel puțin informațiile prevăzute la art.8 alin.(1) pct.1-7, pct.8 lit. a)-d), pct.9, 10, 12-17 și art.8 alin.(2).” (pg.7)

„Cel puţin” de la Art. 8 este diferit de „cel puţin” de la Art.11, chiar dacă este vorba despre raportul de audit.

Revin la pct. 8, litera f şi mă întreb dacă, folosind exprimarea „analiza riscurilor”, CNVM nu a dorit de fapt ca auditorul să realizeze „estimarea riscurilor” în locul entităţii auditată? Nu ar fi pentru prima dată cînd se face confuzie între „analiza riscurilor” pe care o face CISA ca parte a stabilirii riscului auditului şi a pragului de semnificaţie pe de o parte şi estimarea şi tratarea riscurilor ca atribut al managementului unei organizaţii, pe de altă parte. („To develop a more complete understanding of audit risk, the IS auditor should also understand how the organization being audited approaches risk assessment and treatment.” – CISA Review Manual, pg. 55)

Îndoiala mea are la bază Art.11 în care se afirmă:

„5) În cazul în care la nivelul entităţii se adoptă hotărârea unor schimbări majore în structura sistemelor informatice automatice, cum ar fi (…)

se va realiza, în termen de 60 de zile, un raport de audit al sistemelor informatice care va cuprinde o analiză a impactului şi a riscurilor induse de schimbările care se introduc”

Aţi observat probabil că în acest caz nu mai este vorba de „auditarea securităţii” ci de „auditarea sistemelor”

Să fim sănătoşi….