În rezumat.

În Anexa 6 din Regulamentul pentru atestarea și verificarea auditorilor se face următoarea precizare:

să înțeleagă tipurile de riscuri și oportunități asociate activității de audit, precum și principiile abordării auditului bazate pe managementul riscurilor;

Ca auditor nu poți garanta clientului tău sau altor utilizatori ai raportului de audit (de securitate, de exemplu) că ”măsurile tehnice și administrative” (= controale) sînt corecte, exacte, precise, fără o examinare a acestora. 

Să garantezi așa ceva (=opinia de audit) ar înseamna că ai examinat fiecare control din perioada auditată şi ai concluzionat că toate sînt corect proiectate (”test of design”) și funcționează așa după cum au fost proiectate (”test of effectiveness”). Dar o asemenea acţiune este imposibil de îndeplinit în practică datorită costurilor ridicate (există ”continuous auditing”, dar nu oricine își permite):

• cît de multe dovezi trebuie să obțin?
• cum și cînd obțin aceste dovezi?
• ce criterii folosesc pentru a evalua dovezile?

Din acest motiv, în examinarea dovezilor cu privire la funcționarea controalelor, auditorul folosește sondaje. Iar sondajul este în strînsă legătură cu ”pragul de semnificație” (articolul de aici explică la ce se referă) și ”riscul auditului”.

O ”abordare bazată pe riscuri” din partea unui auditor angajat într-un ”audit de securitate” presupune că acesta efectuează propria sa evaluare a riscurilor organizației și le prioritizează pentru zona analizată (scopul auditului=securitatea IT). În funcție de riscurile identificate își planifică ulterior misiunea de audit. Tot în timpul planificării misiunii auditorul identifică și cerințele legale aplicabile ”scopului” pentru că, din perspectiva riscurilor, trebuie să se asigure că ”riscul de neconformitate” este abordat de către auditat.

Dacă pînă la revizuirea conformității auditorul poate folosi ”raționamentul profesional” (ce criterii de audit folosește) și ”abordarea bazată pe riscuri” în revizuirea controalelor, acum acestea se aplică limitat (”raționamentul profesional” aflat în strînsă legătură cu ”scepticismul profesional”) sau nu se mai aplică deloc (”abordarea bazată pe riscuri” a se vedea ITAF, 1203.1 – Use of a risk-based approach for engagements that are not related to legal or regulatory compliance ).

Raționamentul profesional înseamnă că auditorul este cel care selectează și utilizează criteriile de audit care îi vor permite dezvoltarea unei opinii sau concluzii corecte și obiective care să nu inducă în eroare cititorul sau utilizatorul raportului de audit. Auditorul este cel care își asumă ”criteriile de audit și întocmește o documentaţie de audit suficientă, care să îi permită unui auditor cu experienţă, care nu a fost implicat anterior în misiunea de audit, să înţeleagă, printre altele, deciziile semnificative luate pe marginea aspectelor importante de pe parcursul auditului, concluziile formulate şi raţionamentele semnificative ce au la bază aceste concluzii.

În cazul revizuirii doar a ”conformității” obligația auditorului este să revizuiască TOATE controalele stipulate în lege/standard/regulament (= criterii de audit) pentru că opinia sa va fi cu privire la ”conformitate”. (Certificarea ISO 27001 se obține în urma unui audit de conformitate care confirmă existența controalelor din standard selectate de către auditat în urma evaluării riscurilor și asumării SoA. Controalele sînt explicate în ISO27002).