Sînt sigur, în proporție de 95 %, că în cazul ”auditului IT” foarte puțin profesioniști au folosit eșantionarea atunci cînd au testat conformitatea controalelor. Există suficiente explicații pentru a descrie ”drumul” pe care s-a ajuns aici, dar deși nu este rolul meu să scriu despre asta, voi menționa ”root cause”: nu se învață așa ceva pentru că ”auditul” este considerat un exercițiu de pus bife prin tabele!

CISA ar trebui să înceapă cu ” ITAF™ Companion Performance Guidelines 2208 – Information Technology Audit Sampling ”, cu un minim de teorie despre eșantionare și apoi cu cîteva exerciții. Nu folosim eșantionarea oricînd și oricum. (Notă: în USA, deținătorii de certificare CISA vin pe filieră contabilă, sînt CPA – Certified Public Accountant și tot ce ține de eșantionare este bine cunoscut.). Există o serie de factori care trebuie luați în considerare atunci când se determină dimensiunea eșantionului:

• Dimensiunea populației testate.
• Riscul controlului. Toate controalele pe care auditorul le-a selectat pentru a le testa sunt controale semnificative (sînt impuse de lege), dar există un spectru care determină importanța fiecărui control. Este important să se ia în considerare impactul (calitativ și cantitativ) dacă un control nu funcționează eficient.
• Cîte abateri ar fi acceptabile în testarea controlului?

Din teorie știm despre ”riscul de audit” și că un auditor va folosi o ”abordare bazată pe riscuri”. Vom regăsi aceeași cerință chiar și în Ordinul pentru atestarea auditorilor: ”să înțeleagă tipurile de riscuri și oportunități asociate activității de audit, precum și principiile abordării auditului bazate pe managementul riscurilor;”

Care sînt tipurile de risc cu care se confruntă auditorul?

1. Riscul respingerii incorecte: riscul ca eșantionul să susțină concluzia că un control NU funcționează eficient atunci când de fapt el funcționează. (mai este cunoscut și ca riscul de a evalua riscul controlului prea mare)
2. Riscul acceptării incorecte: riscul ca eșantionul să susțină concluzia că un control funcționează eficient atunci când de fapt el nu funcționează ( mai este cunoscut și ca riscul de a evalua riscul controlului prea mic)

Pe care din cele două tipuri de risc ar trebui să se concentreze auditorul:

• Riscul respingerii incorecte (eficiența controlului)

sau

• Riscul acceptării incorecte (eficacitatea controlului)?

Răspuns: riscul acceptării incorecte!

Iată 3 exemple fără pretenție de completitudine a explicațiilor:

EXEMPLUL 1

Se auditează un OSE în care au fost identificate 5 servere etichetate ”critic”. Nu se face eșantionare se verifică toate controalele aplicabile celor 5 servere!

EXEMPLUL 2

Se auditează un OSE cu un număr de 419 angajați. Trebuie să verificăm cerințele privind conștientizarea și instruirea utilizatorilor:

[A181]. Instrumente de conștientizare. OSE pune la dispoziția angajaților instrumente necesare pentru conștientizarea și educarea acestora cu privire la tipurile de amenințări de securitate informatică și măsurile de protecție corespunzătoare.

[A182]. Instruirea și prezentarea securității. OSE instituie un program de prezentare a securității pentru tot personalul, precum și un program de instruire în domeniul securității pentru angajații care utilizează rețelele și sisteme informatice.

Revizuirea acestui control presupune să testăm dacă toți angajații au participat la cursuri de conștientizare a securității. Nu doresc nicio abatere, un grad de încredere de 90% și voi aplica o eșantionare simplă aleatorie de unde rezultă că eșantionul inițial va fi de 25 de angajați.

Dacă voi constată că unul dintre cei 25 angajați selectați aleatoriu nu a participat la cursuri, eșantionul va fi extins la 40 de persoane. Dacă identific o altă abatere, proba va fi extinsă la 60. Dacă identific o altă abatere, eșantionarea se va opri și pot emite o opinie: controlul nu funcționează eficient.

Lucrurile se complică cînd mărimea populației este mai mică de 250 de itemi (de exemplu, mă refer de fapt la populații mici): controlul nu funcționează eficient chiar de la prima abatere.

EXEMPLUL 3

În cadrul aceluiași OSE trebuie să verificăm controalele din procedura privind ”managementul conturilor administrative/privilegiate” (Cerința B21). Presupunem că în procedura corespunzătoare este scris (printre altele) că aceste conturi sînt revizuite lunar de către CTO și că orice excepție este validată de către CISO.

Vreau să testez că revizia conturilor se face într-adevăr lunar și că este aprobată de către CTO. Voi selecta 2-4 luni din an la întîmplare (eșantionare simplă aleatorie) și testez controlul. Deoarece populația (12 luni din an) este mică, orice abatere din eșantion va fi interpretată ca lipsa eficienței operaționale a controlului.