REZONÁBIL, -Ă, rezonabili, -e, adj. 1. (Despre oameni) Care are o judecată sau o comportare rațională; cu judecată; cumpănit, cuminte. ♦ (Despre acțiuni, fapte etc.) Care se menține în limitele normale, obișnuite; care nu are nimic ieșit din comun; fără exagerări; cumpătat.

Unul din subiectele care m-a intrigat în toți acești ani este acesta: acceptarea din partea unor membri ai breselei a unor misiuni de „audit„ care erau orice, dar nu audit.

Detalii/explicații despre „Reasonable Expectation„ se regăsesc în toate standardele asociațiilor profesionale ale auditorilor. În cazul ISACA este vorba despre standardul 1004 și ghidul 2004.

Există o doză de subiectivism în acest caz pentru că, dincolo de automatisme și tehnologie, discuția duce spre natura umană: prudență (due care), judecată profesională, profesionalism….

Cît de rezonabile trebuie să fie „așteptările rezonabile„? Personal îmbrățișez definiția din DEX: să fie de bun simț, cumpătate!

Dacă am în vedere cei doi actori – auditorul și auditatul, în practica autohtonă „așteptările rezonabile„ sînt ….asemănătoare. De cele mai multe ori, auditatul consideră că este rezonabil să obțină în cel mai rău caz un raport de audit cu o opinie neutră (fără opinie…). Doar el este cel care plătește, nu?

Dar la fel consideră și unii auditori: este rezonabil să ofere un certificat de bună purtare dacă vor să mai fie pe lista clientului și anul care vine.

Lipsa de înțelegere nu îi caracterizează însă doar pe cei supuși auditului ci și pe cei care (de)reglementează, local, domeniul și nu în ultimul rînd pe auditori. Am menționat într-o postare anterioară răspunsul primit de la MCSI la observația mea legată de audit din propunerea de Lege a securității cibernetice: „legea nu își propune să reglementeze domeniul„. În aces caz de ce mai trebuie să existe „auditori înregistrați la MCSI„? (cum sînt la ASF….). Ei, auditorii, trebuie să raporteze doar…incidentele de securitate!?!?!

De unde vine această lipsă de înțelegere?

Auditorul este văzut ca un polițist/procuror și nicidecum ca un raportor al unei stări de fapt (bună sau mai puțin bună) și care, prin raportările sale, ajută managementul. Nici publicul general, nici utilizatorii direcți ai rapoartelor de audit (și nici măcar toți auditorii!) nu știu sau nu se gîndesc că unul din rolurile auditorului este raportarea încălcării legii/fraudelor atunci cînd le identifică (Dar nu le investighează! Sistemul de control intern este responsabilitatea managementului!):

1207  Irregularity and Illegal Acts
1207.1   IS audit and assurance professionals shall consider the risk of irregularities and illegal acts during the engagement.
1207.2   IS audit and assurance professionals shall maintain an attitude of professional scepticism during the engagement.
1207.3  IS audit and assurance professionals shall document and communicate any material irregularities or illegal act to the appropriate party in a timely manner.

Mulți utilizatori înțeleg greșit natura funcției de „atestare„ pe care o are auditul, mai ales în cazul opiniilor „necalificate„. Unii ajung să considere că o opinie fără rezerve înseamnă că entitatea dispune de un sistem informatic infailibil! Se omite sau nu se înțelege exact sintagma folosită în raportul de audit: asigurări rezonabile și nu absolute!

Alții consideră că auditorul nu trebuie să furnizeze doar un raport de audit ci trebuie să dezvolte recomandările: să realizeze el evaluarea de riscuri; să scrie el politici și proceduri etc.