Pînă la apariția SOX, auditul IT tradițional se concentra pe componentele/subsistemele mediului de lucru/IT auditat, preponderent pe aspectele legate de securitate.

Dacă analizăm literatura de specialitate, cadrele de lucru (referință)/standardele vom constata aceeași abordare pînă la mijlocul anilor 2000. ISACA promovează la nivel internațional auditul sistemelor informaționale și nu auditul IT! Chiar dacă ambele sînt audituri tehnice, diferența fundamentală rezultă din obiectivul lor: audit la nivel de sistem vs. audit dispozitiv/aplicație.

În ambele cazuri auditorul testează controale. Dacă în cazul unui audit IT (să îi spun clasic) auditorul se concentrează doar pe tehnicisme, în cazul  auditului de sisteme informaționale trebuie avute în vedere și controalele sistemului. În acest punct ajung cu discuția la controlul intern,  ca responsabilitate a managementului.

De exemplu, ORDINUL ministrului finanțelor publice nr. 946/2005*) pentru aprobarea Codului controlului intern/managerial, cuprinzând standardele de control intern/managerial la entitățile publice și pentru dezvoltarea sistemelor de control intern/managerial (și modificările ulterioare, cum ar fi ORDIN nr. 1.649) reglementează subiectul.

Alt exemplu este REGULAMENTUL DELEGAT (UE) NR. 153/2013 AL COMISIEI din 19 decembrie 2012 privind completarea Regulamentului (UE) nr. 648/2012 al Parlamentului European și al Consiliului din 4 iulie 2012, în ceea ce privește standarde tehnice de reglementare privind cerințele pentru contrapărțile centrale, care în Articolul 9 – Sisteme informatice nu reglementează aspecte tehnice ci obiective ale controlului intern!

Importanța controalelor tehnice este de necontestat și va fi din ce în ce mai mare în viitorul nu prea îndepărtat. Evaluarea/revizia lor trebuie însă făcută în contextul sistemului de control intern al organizației auditată și nu singular! Pentru ce testăm securitatea rețelei sau posibilitatea SQL injection pe o tabelă, sau un site web? Pentru a obține asigurări cu privire la existența și funcționarea unor controale. În final, pentru a oferi un anumit grad de asigurare beneficiarilor raportului de audit.

Cei mai mulți dintre beneficiarii unui astfel de raport sînt interesați însă de realitatea/corectitudinea informațiilor publicate (dacă mă refer la o raportare financiară), că banii din contul deschis la bancă sînt protejați (dacă mă refer la auditul IB/mobile banking), că datele  personale sînt protejate etc. Auditorul își exprimă opinia asupra unui subiect prin raportarea la anumite criterii. Auditorul are obligația de a face publice în raportul de audit:

• Absence of controls or ineffective controls
• Significance of the control deficiency
• Likelihood of these weaknesses resulting in a significant deficiency or material weakness

(Sursa: ITAF, S1204- Materiality)

Mai aduc în discuție și riscul controlului pe care auditorul trebuie să îl stabilească la începutul misiunii:

The risk that a material error exists that would not be prevented or detected on a timely basis by the system of internal control.

Raportul de audit nu este o certificare, o garanție sau o declarație asupra unor fapte/lucruri! Raportul de audit este opinia auditorului, o opinie profesională bazată pe factori complecși și numeroși. Raportul se bazează pe interpretarea și aplicarea de către auditor a standardelor profesionale, a diferitor criterii, multe dintre acestea  formulate și construite în mod diferit.