Where an engagement is to be undertaken to meet a regulatory or similarly imposed requirement, it is important that the IT audit and assurance professional be satisfied that the type of engagement is clear from the relevant legislation or other source of the engagement mandate. If there is any uncertainty, it is recommended that the IT audit and assurance professional and/or appointing party communicate with the relevant regulator or other party responsible for establishing or regulating the requirement and agree with the engagement type and the assurance to be provided.

În acest an, în unele licitaţii publice care aveau drept scop contractarea unor servicii de audit, s-a impus ca “echipa de audit” (stabilită de către auditat şi nu de către auditor – SIC) să fie condusă de un “manager de proiect certificat” (“Audit Manager – coordonator de echipa (…); – Certificare profesionala pentru managementul proiectelor emisa de organisme acreditate în acest sens(PMI, IPMA, PRINCE 2/similar); – Certificare privind managementul serviciilor IT (ITIL Foudation/similar)”  – SIC).  Auditul fiind o cerinţă obligatorie a finanțatorului care este diferit de auditat.

Faină cerință. O dovadă în plus că măsura valorii certificărilor (fie individuale, fie la nivel de organizaţie), în România, este dată de licitațiile/contractele publice.  Nu spun nici o noutate, toată lumea ştie şi acceptă.Tăcerea este de aur.  Standardele sînt simple “vorbe în vînt”. Codul etic – un sul de hîrtie igienică.

Mai este asigurată independența auditorului în astfel de circumstanțe?

IS auditors should take into consideration if independence has been impaired in situations where the scope of work performed is based on requirements of the control process owners for business or regulatory purposes.

Chiar dacă se află în situaţia ca un “manager de proiect” să îi conducă misiunea (SIC!!!!), auditorul tot trebuie să își documenteze munca. Nu spun eu asta ci este o cerinţă pe care o regăsim în ITAF(standardul şi ghidul de raportare menţionează necesitatea existenţei unui enunţ prin care auditorul declară că a auditat conform ITAF sau alte standarde):

1201.1 IS audit and assurance professionals shall plan each IS audit and assurance engagement to address:
• Objective(s), scope, timeline and deliverables
• Compliance with applicable laws and professional auditing standards
• (…)
1201.2 IS audit and assurance professionals shall develop and document an IS audit or assurance engagement project plan, (…)

Apoi:

IS audit and assurance professionals shall provide a report to communicate the results upon completion of the engagement including:
• (…)
• Signature, date and distribution according to the terms of the audit charter or engagement letter

Urmează:

For external engagements:
– Prepare a separate engagement letter for each external IS audit and assurance engagement.
– Prepare a project plan for each external IS audit and assurance engagement. The plan should, at a minimum, document the objective(s) and scope of the engagement.

Primul document este deci Scrisoarea de angajament.

Ghidul 5 – Audit Charter, oferă suport cu privire şi la conţinutul scrisorii de angajament (fiind vorba de un ghid, nu este obligatoriu. Neutilizarea sa trebuie justificată!):

3. Engagement Letter
(…)3.2.1 The engagement letter should clearly address the three aspects of responsibility, authority and accountability. Aspects to consider are set out in the following paragraphs.
3.2.2 Responsibility:
• (…)
3.2.3 Authority:
• (…)

3.2.4 Accountability:
• (…)

Al doilea document este Planul de audit care:

IS audit and assurance professionals shall document the audit process, describing the audit work and the audit evidence that supports findings and conclusions.

Documentaţia va include şi:

Organise and document the work performed during the engagement following predefined documented and approved procedures.
• Include in documentation:
– Audit objectives and scope of work, the audit programme, audit steps performed, evidence gathered, findings, conclusions and recommendations.
– Detail sufficient to enable a prudent, informed person to re-perform the tasks performed during the engagement and reach the same conclusion.
– Identification of who performed each task and their roles in preparing and reviewing the documentation.
– The date the documentation was prepared and reviewed.

Începînd cu 3 iulie “shall” = “must”. Într-o bună zi buboiul se va sparge şi ne va stropi pe toţi, deopotrivă…..