REGULAMENTUL din 22 martie 2021 pentru atestarea și verificarea auditorilor de securitate cibernetică stipulează ca în contractul de audit să fie definită și

perioada de păstrare a informațiilor legate de audit și, în special, a evenimentelor colectate șia incidentelor de securitate detectate. Dacă este necesar, se poate face o distincție privind perioada de păstrare în funcție de tipurile de informații. Perioada minimă de păstrare este de șase luni, sub rezerva legislației și reglementărilor române actuale.

Cum profesia de ”auditor de securitate cibernetică” abia a apărut în COR și cum practica auditului IT (sau cazul particular al celui de securitate) nu este încă reglementată ca la nivelul altor țări, încă nu vom găsi referințe despre ”dosarul de audit” și ”working papers” – foi/documente de lucru. Asta nu îl absolvă pe auditor de responsabilitate deoarece tot ordinul amintit face referire la pregătire profesională a acestora.

Pe lîngă obligația legală, ASC care dețin certificare CISA știu că există ITAF – IT Assurance Framework și că au obligația să se raporteze la acesta.

Toată munca ASC trebuie documentată sub forma unui ”dosar de audit” care va include ”foile/documentele de lucru” – probele, pentru că documentația auditului este baza pe care s-a emis opinia de audit.

Conform ITAF:

During the performance of the audit, practitioners should document the evidence obtained and ensure that documentation is retained and available during a predefined time period, in a format that complies with enterprise policies and relevant professional standards, laws and regulations.

Evidence obtained during the performance of the audit should be appropriately identified, cross-referenced and cataloged to facilitate determination of the overall sufficiency and appropriateness of evidence. These steps are necessary to provide a reasonable basis for the findings and conclusions within the context of the audit objectives, and to allow for easy retrieval by other IT audit team members or an independent party.

Fluxul acțiunilor este simplu: în planul de audit au fost menționate (printre altele) procedurile de audit ce vor fi executate iar procedurile de audit se detaliază în foile de lucru ale auditorului.

Nu voi oferi nici un model pentru foi de lucru dar spun că este important ca o foaie de lucru să includă:

• Denumirea OSE
• Perioada de realizare a auditului
• Caracteristicile de identificare ale elementului revizuit/testat (”subject matter”)
• Să prezinte clar și obiectiv rezultatele testului, fără părtinire și pe baza faptelor documentate.
• Cine a efectuat procedura de audit și data la care a fost finalizată
• Cine a revizuit procedura de audit și data revizuirii (în cazul în care se lucrează în echipă).

Chiar dacă în Ordin mențiunea este despre ”informații legate de audit” spun că este important să existe foi de lucru deoarece:

• așa pot dovedi că am respectat standardele profesionale;
• așa pot dovedi că am realizat un audit de calitate;
• așa pot justifica caracterul rezonabil al opiniei;
• așa pot oferi probe DNSC sau unei instanțe de judecată în cazuri extreme