Începînd cu Apelurile din 2013 au apărut cîteva modificări în legătură cu auditarea proiectelor IT finanțate din fonduri europene. Constat însă că există destul de mulți consultanți care ”livrează” proiecte fără să aibă cunoștințe suficiente cu privire la ce implică auditul. Din experiența mea, multe sînt copy-paste.
Cine își asumă deci reponsabilitatea semnării raportului de audit, indiferent de ce a scris consultantul sau visează autoritatea contractantă (de exemplu atunci cînd dorește auditul securității și prin caietul de sarcini se cer tot felul de combinații de certificări. Sau auditorul – cel care trebuie să ofere asigurări, are deja stabilită echipa de audit 🙂 )?
Cerințele din Ghidul solicitantului sînt:
să ataşeze la ultima cerere de rambursare raportul de audit final realizat de un auditor extern, care certifică faptul că proiectul este implementat în locaţia menţionată în contract, că este în stare de funcţionare şi că din punct de vedere tehnic şi economic respectă obligaţiile asumate prin contractul de finanţare
Auditarea parţială şi finală a proiectului, inclusiv auditarea din punctul de vedere al securităţii aplicaţiei – activitate obligatorie
Nu vom găsi nici o mențiune legată de CISA, ISO 27001 auditor etc.
Să analizăm puțin:
1. Se cere auditare parțială ȘI finală a proiectului care să INCLUDĂ și auditarea din punctul de vedere al securități aplicației (uneori și auditarea tehnică a proiectului!)
2. Se cere un raport de audit realizat de un AUDITOR EXTERN.
3. Avem un organism profesional, recunoscut legal, care reglementează o astfel de activitate?
Da, se numește CAFR- Corpul Auditorilor Financiari din România.
4. Auditorii de tipul CISA, ISO 27001etc. , aparțin unui corp profesional liberal, recunoscut legal în România?
Nu! În astfel de cazuri vor fi asimilați experților! Chiar dacă ISACA este membru IFAC și colaboarează în cazul standardelor legate de sisteme informaționale/IT, în România situația este diferită de SUA, atît profesional cît și juridic.
4. Ce standarde vor folosi auditorii financiari în speța dată?
IFAC și ISA 100-805: misiuni de asigurare cu scop special.
5. Orice auditor financiar poate audita fonduri europene?
Nu. Există o listă publicată de către CAFR în acest sens: auditorii financiari, membri activi, de categoria A.
6. Poate auditorul financiar audita ”securitatea rețelei și a aplicației” (de ex)?
Da, dacă are competențe în acest sens: INTERNATIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS ENVIRONMENT
The auditor should have sufficient knowledge of the CIS to plan, direct, supervise and review the work performed. The auditor should consider whether specialized CIS skills are needed in an audit
Dacă nu, se va folosi de cunoștințele unui expert. ISA 620 – Utilizarea serviciilor unui expert, clarfică o astfel de speță (așa după cum este reglementată și în cazul CISA prin ITAF, standardul 1206 Using the Work of Other Experts)
Atunci când se planifică utilizarea serviciilor unui expert, auditorul trebuie să evalueze competenţa profesională a expertului. Aceasta implică luarea în considerare a următoarelor aspecte privind expertul:
(a) Certificarea profesională sau autorizarea acordată de către un organism profesional corespunzător ori apartenenţa la acesta; şi
(b) Experienţa şi reputaţia în domeniul în care auditorul caută probe de audit.
7. Se oferă un grad de asigurare la finalul unei astfel de misiuni? DA! Dacă pînă nu cu mult timp în urmă acest lucru nu era clar precizat, de acum este cerință obligatorie!
(Monitorul Oficial al României, partea I, nr. 163 din data de 6 martie 2014 – Hotărârea Consiliului Camerei Auditorilor Financiari din România nr. 5/2014 pentru aprobarea Protocolului de colaborare încheiat între Camera Auditorilor Financiari din România şi Ministerul Fondurilor Europene privind organizarea şi desfăşurarea activităţii de audit financiar pentru fonduri europene şi alte fonduri nerambursabile de la alţi donator.
CISA Review Manual:
- KS1.1 Knowledge of ISACA IT Audit and Assurance Standards, Guidelines, and Tools and Techniques; Code of Professional Ethics; and other applicable standards.
- KS1.6 Knowledge of applicable laws and regulations that affect the scope, evidence collection and preservation, and frequency of audits.
ADRIAN B. MUNTEANU 
Sunt auditor financiar si tocmai am contractat un audit pe POSCCE-IT. Consultantul inca nu stie nimic despre aceasta problema , auditarea tehnica nu s-a contractat inca. In situatia asta , va exista un singur raport de audit pe proceduri convenite care va include si partea financiara si cea tehnica si va purta doar semnatura auditorului autorizat CAFR ?
ApreciazăApreciază
In opinia mea, singurul care poate semna inclusiv raportul de audit tehnic este auditorul financiar.
Este responsabilitatea sa, in baza ISA, ce expert subcontracteaza pentru a executa auditul tehnic.
Consultantii au gresit cind au scris specificatiile cu privire la auditul tehnic prin raportare la ghidul solicitantului. Acolo se doreste AUDIT. Din pacate, majoritatea serviciilor solicitate se incadreaza la proceduri convenite. Altfel spus, un auditor (CISA) nu va emite nici o opinie cu privire la obiectul auditat. Alti „auditori” este foarte posibil sa scrie ceva in acel raport, ceva care va semana a opinie dar nu va fi. Riscul este ca raportul de audit tehnic sa fie declarat nelegal iar cheltuiala aferenta neeligibila.
Va exista un singur raport cu doua parti: proceduri convenite pentru partea financiara, cu semnatura auditorului financiar; audit tehnic (si nu proceduri convenite) cu semnatura auditorului tehnic in calitate de expert si a auditorului financiar in calitate de auditor recunoscut de legea romana!
ApreciazăApreciază
Din partea CAFR mi s-a recomandat pentru partea de audit tehnic sa merg pe ISAE 3000 si sa anexez raportul expertului . Partea I raport de constatari si partea a II a raport de asigurare ? Ma scuzati ca indraznesc dar stiti cumva cum s-a mers in practica pana la urma ? Expertul IT a depus rapoarte cu semnatura lui si a fost OK … !!! ??? Mie mi-ar conveni sa mergem fiecare cu raportul lui daca acest lucru este acceptat de AM …. Ce ecouri aveti ?
ApreciazăApreciază
Din partea AMPOSCCE nu există o abordare unitară. Din ceea ce cunosc, au fost acceptate raporate de audit semnate separat de către CISA, auditori ISO27001, „auditori„ fără nici un fel de diplomă cu excepția celei de licență….
Apare însă o nouă dilemă izvorîtă din Instrucțiunea MFE 5114/22.05.2014 care menționează:
„VII. Raport de audit întocmit de un auditor independent care certifică faptul că proiectul din punct de vedere tehnic, economic și financiar respectă obligațiile asumate prin contractul de finanțare – obligatoriu la cererea de rambursare finală
VIII. Pentru Axa III POSCCE, raport de audit tehnic realizat de un auditor independent care certifică faptul că proiectul este implementat în locația menționată în contract, că este în stare de funcționare și că din punct de vedere tehnic respectă obligațiile asumate prin contractul de finanțare„
Indignarea ce răzbate din ceea ce scriu pe aici are la bază folosirea termenului de „audit„. Atît timp cît se dorește „audit„, AM ar trebui să clarifice în mod corespunzător aspectul. În caz contrar să îi spună acelui raport oricum, numai „raport de audit„ nu.
CAFR recomandă ISAE 3000 pentru că reglementează raportul dintre auditor și „expertul„/„practicianul„ care va obține pentru auditor suficiente probe legate de speța auditată, alta decît auditul financiar propriu-zis. Este ceea ce am scris și eu: în lipsa unor reglementări clare din partea AM, conform standardelor, este responsabilitatea auditorului financiar cu cine lucrează.
„(a) The practitioner has no reason to believe that relevant ethical requirements, including independence, will not be satisfied;
(b) The practitioner is satisfied that those persons who are to perform the engagement collectively have the appropriate competence and capabilities )
(…) When the work of a practitioner’s expert is to be used, the practitioner shall also:
(a) Evaluate whether the practitioner’s expert has the necessary competence, capabilities and
objectivity for the practitioner’s purposes. In the case of a practitioner’s external expert, the evaluation of objectivity shall include inquiry regarding interests and relationships that may create a threat to that expert’s objectivity;
(b) Obtain a sufficient understanding of the field of expertise of the practitioner’s expert;
(c) Agree with the practitioner’s expert on the nature, scope and objectives of that expert’s work; and
(d) Evaluate the adequacy of the practitioner’s expert’s work for the practitioner’s purposes.„
ApreciazăApreciază
Va multumesc pt raspunsul prompt . O sa merg si eu dupa turma ….. daca merge asa 🙂
ApreciazăApreciază
Pingback: Toată lumea trebuie să trăiască | ADRIAN B. MUNTEANU
În acest moment, auditorul financiar poartă răspunderea pentru raportul emis (că e financiar, tehnic sau ambele).
În cazul „auditorului tehnic„, dacă raportul este separat de cel al auditorului financiar, acesta nu are nici o responsabilitate :). Doar civilă, în baza clauzelor contractului de prestări servicii :).
(Ce scriu eu aici este teorie 🙂 )
ApreciazăApreciază
ISRS 4400 – PROCEDURI CONVENITE (fostul ISA 920)
Nu se da asigurare!!! Sunt servicii conexe pe proceduri convenite ce tin de natura unui audit.
Pentru detalii putem discuta!
ApreciazăApreciază