În explicațiile standardului 1201 Engagement Planning se menționează:

For external engagements:
– Prepare a separate engagement letter for each external IS audit and assurance engagement

Urmează apoi explicațiile din Audit Charter (G5)

3. Engagement Letter
3.1 Purpose
3.1.1 Engagement letters are often used for individual assignments or for setting the scope and objectives of a relationship between external
IS audit and an organisation.
3.2 Content
3.2.1 The engagement letter should clearly address the three aspects of responsibility, authority and accountability. Aspects to consider are set out in the following paragraphs.
3.2.2 Responsibility:
• Scope
• Objectives
• Independence
• Risk assessment
• Specific auditee requirements
• Deliverables
3.2.3 Authority:
• Right of access to information, personnel, locations and systems relevant to the performance of the assignment
• Scope or any limitations of scope
• Evidence of agreement to the terms and conditions of the engagement
3.2.4 Accountability:
• Intended recipients of reports
• Auditee rights
• Quality reviews
• Agreed completion dates
• Agreed budgets/fees if available

Pentru alte informații legate de subiect a se vedea și ISA 210 “Agreeing the terms of audit engagements”. Ce și cum scriem în practică, încerc să arăt în continuare. Fără pretenții de completitudine.

 

---

Exemplu

 

---

Auditorul SRL

Str. Speranței, parter

Happy Bank SA

Str. Fericirii

 

Stimați domni,

Scopul acestei scrisori este de a stabili modul în care vom acționa în calitate de auditori ai băncii și zonele de responsabilitate ale companiei și ale noastre ca auditori.
Această scrisoare se aplică Sistemului Electronic de Plăţi (SEP).

Sarcinile și responsabilitățile managementului:

Auditul nostru va fi realizat avînd ca premisă că managementul înțelege și are responsabilitatea:

a) să respecte cerințele tehnice specifice care trebuie îndeplinite de participanţii la sistemele componente SEP în vederea accesării respectivelor sisteme.

b) să respecte cerințele de securitate exprimate în documentul “ Politica de securitate a informaţiei aplicabilă sistemelor de plăţi şi sistemelor de decontare operate de Banca Naţională a României”

c) să realizeze și să prezinte Documentația de certificare tehnică conform Cerințelor din 1 iulie 2013.

d) să ne furnizeze și să ne permită:

(i) accesul la echipamentele băncii și la toate informațiile pe care managementul le consideră relevante pentru SEP;
(ii) informații suplimentare care pot fi solicitate managementului pentru a atinge scopul auditului;
(iii) accesul nerestricționat la discuții cu angajații implicați în SEP cu scopul de a obține probele necesare auditului.

Ca parte a procesului de audit vom solicita managementului confirmări scrise cu privire la declarațile făcute nouă cu privire la audit. Vă solicităm să ne informați cu privire la orice eveniment material apărut între data de început a misiunii noastre și data finalizării raportului de audit și care poate afecta SEP.

Sarcinile și responsabilitățile auditorului:

Avem responsabilitatea legală de a raporta atît dumneavoastră cît și TRANSFOND dacă, în opinia noastră, ați implemenat  „Politica de securitate a informaţiei aplicabilă sistemelor de plăţi şi sistemelor de decontare operate de Banca Naţională a României” și măsurile de securitate stipulate în Cerințele TRANSFOND valabile la 1 iulie 2013

Pentru a ajunge la opinia noastră, suntem obligați să luăm în considerare următoarele aspecte, și să raportăm cu privire la oricare dintre cele care nu sînt îndeplinite:

(se menționează cerințele generale ale Instrucțiunii Transfond)

După cum am menționat, raportul nostru va fi distribuit numai managementului băncii și Transfond.

Auditul nostru va fi efectuat pentru a putea raporta managementului băncii și TRANSFOND acele aspecte pe care trebuie sa le raportam în acest raport de audit conform cerințelor Transfond, și nu în alte scopuri. În aceste condiții, în cea mai mare măsură permisă de lege, nu vom accepta sau nu ne vom asuma responsabilitatea pentru auditul nostru, pentru raportul de audit, sau pentru opiniile pe care ni le-am  format decât în raport cu banca și TRANSFOND .

Ne vom exprima o opinie fără rezerve atunci când vom constata respectarea “ Politicii de securitate a informaţiei aplicabilă sistemelor de plăţi şi sistemelor de decontare operate de Banca Naţională a României” și a cerințelor TRANSFOND. Orice modificare a acestei opinii necalificată va fi exprimată în raportul de audit.

Responsabilități suplimentare

În calitate de auditori, în baza ITAF  și a legislației, avem datoria de a raporta orice neregularitate materială sau act ilegal în care este implicat managementul sau angajații cu responsabilități pe linia controlului intern.

Ne vom strădui, dacă este cazul și permite legea, să discutăm cu dumneavoastră înainte de a face orice raport în temeiul actelor normative.

Obiectivele și scopul auditului

Am fost solicitați să audităm implementarea de către bancă a „Politicii de securitate a informaţiei aplicabilă sistemelor de plăţi şi sistemelor de decontare operate de Banca Naţională a României” precum și a tuturor măsurilor de securitate stipulate în instrucțiunea TRANSFOND.

Ne face plăcere să confirmăm acceptul nostru și modul în care înțelegem acest angajament de audit prin intermediul prezentei scrisori.

Auditul nostru va fi realizat avînd ca obiectiv exprimarea unei opinii cu privire la implementarea cerințelor TRANSFOND. Auditul nostru va avea în vedere infrastructura utilizată de bancă pentru conectarea la unul sau mai multe dintre sistemele componente ale SEP (ReGIS, SENT, SaFIR). Aplicaţia de core banking nu face obiectul acestui audit.

Auditul va fi efectuat în conformitate cu Standardele ISACA, ITAF dar va avea în vedere și ghidurile ISACA sau recomandările și reglementările emise de alte organisme profesionale cum ar fi, dar fără a ne limita la ISO 27002.

Mai mult, aceata va fi realizat în maniera pe care o considerăm necesară  pentru a ne îndeplini responsabilitățile și va include teste de fond și teste independente, după com vom considera că este necesar.

Trebuie să obținem o înțelegere a sistemului de control intern cu scopul de a-l evalua în mod adecvat ca bază pentru implementarea cerințelor TRANSFOND. Ne așteptăm să obținem probe pertinente,  de încredere și suficiente pentru a ne permite să tragem concluzii rezonabile.

Natura și întinderea testelor noastre vor varia în funcție de evaluarea noastră asupra sistemului de control intern. Vă vom raporta orice deficiențe semnificative pe care le vom observa cu privire la sistemul băncii

Ca parte a procedurilor noastre normale de audit vă putem cere să furnizați o confirmare scrisă a reprezentărilor orale pe care le-am primit în timpul auditului, de exemplu cele care depind în mod semnificativ de judecata profesională a persoanei. Inducerea în eroare a auditorului este infracțiune.

Pentru a ne ajuta în examinarea declarațiilor dumneavoastră, vom cere semnarea tuturor documentelor sau declarațiilor care urmează să fie emise.

Responsabilitatea pentru protejarea activelor și pentru prevenirea și detectarea neregulilor și fraudelor revine managementului băncii. Chiar dacă ne vom strădui să planificăm auditul astfel încât să avem o așteptare rezonabilă în a detecta denaturări semnificative, examinarea noastră nu poate fi invocată pentru a identifica toate denaturările materiale, fraudele sau neregulile care pot exista.

Pentru a ne asigura de o bună comunicare între noi vă prezentăm mai jos formele de comunicare.
Vom discuta cu dumneavoastră toate aspectele care decurg din audit după finalizarea misiunii noastre la fața locului. Comunicările oficiale prezentate mai sus sunt minimul necesar pentru a ne conforma cu standardele de audit. Vă asigurăm că vă vom contacta ori de cîte ori vom considera necesar via telefon, poștă electronică sau întîlniri stabilite de comun acord.

(…….stop exemplu  )

---

NOTĂ: G5 nu impune o “structură”/”formă” pentru scrisoarea de angajament ci menţionează doar “aspects to consider ”. Contează deci fondul şi nu forma.