Scrie un blog, de exemplu :).

Lăsînd ironia la o parte, un CISA „oferă asigurări„. Poate să mai facă și alte activități (consultanță de exemplu), dar cam ăsta e principalul său rol.

1. Ce înseamnă că „oferă asigurări„?

Înseamnă că revizuiește/evaluează/testează controale.

2. Această revizie/evaluare/testare ce vizează?

Înainte de a testa controale, CISA trebuie să știe care este subiectul angajamentului asumat (subject matter).

3. Nu e clar ce este subject matter.

Subiectul auditat poate fi, de exemplu, conformitatea cu legislația privind protecția datelor cu caracter personal.

4. Ce înseamnă a testa controale?

Înseamnă că evaluează cum a fost proiectat un control și apoi dacă acel control își atinge obiectivele. Buchea cărții (atît în cazul auditului financiar cît și cel al SI) denumește această activitate ca fiind testarea controalelor: de conformitate, respectiv de fond (obținerea probelor de audit cu privire la caracterul complet, acuratețea sau existența unor activități sau tranzacții în perioada auditată).

5.Mai trebuie să știe ceva?

Da, trebuie să înțeleagă ce înseamnă control/control intern:

• mediul controlului
• evaluarea riscurilor
• activitățile controlului
• care sînt informațiile și cum se comunică
• care sînt activitățile de monitorizare

Trebuie să înțeleagă legătura dintre procesele/obiectivele economice și tehnologie.

6. Lista de mai sus nu este clară.

Aveți dreptate. Trebuie citit și înțeles COSO : Internal Control  – An Integrated Framework

7. Ce se întîmplă în practică în momentul în care controalele sînt impuse de un reglementator?

Pur și simplu aplici o listă de verificare prin care identifici existența controalelor impuse. Spus altfel, sarcina de a evalua modul în care sînt proiectate controalele nu îți mai revine. Responsabilitatea este asumată de legiutor prin actul normativ emis! CISA va testa doar fondul controalelor.

8. La ce se raportează CISA în timpul unei misiuni:

Ordinea ar fi cam așa:

• standarde profesionale ISACA
• legislație
• alte standarde, bune practici, cadre de referință (cu mențiunea că trebuie să se asigure că între aceste referențiale nu există conflcte).

9. Ce rol au standardele ISACA:

• pe de o parte impun cerințele minime de performanță pentru CISA
• pe de altă parte informează terții cu privire la ce așteptări ar trebui să aibă de la un CISA.

10. CE este mai bine: să reglementăm controale sau să stabilim obiective ale controlului?

IT ul fiind un domeniu dinamic, este dificil de făcut prognoze. De exemplu, în urmă cu 7 ani nu prea lua nimeni în calcul riscurile induse de social media. Cele mai multe acte normative reglementează obiectivele controlului. Acestea, de obicei, sînt constante pentru că derivă din obiectivele economice pe care și le stabilește o organizație. Modul concret în care aceste obiective vor fi atinse depinde, printre altele, și de stadiul de dezvoltare tehnologică.