Avertizare: urmează un text în care cuvîntul ”conformitate” va fi supărător de mult folosit. Acest text nu reprezintă opinii juridice.

Pentru că nu există standarde profesionale de audit (=setul de concepte, principii directoare, proceduri şi metode pe baza cărora auditorul determină ansamblul etapelor şi procedurilor de verificare, care să permită atingerea obiectivului fixat) este firesc ca înțelegere asupra subiectului din partea celor care nu au citit despre fundamentul/baza teoretică a oricărui audit să fie diferită.

Conducerea oricărei organizații este responsabilă pentru asigurarea conformității entității cu cerințele de conformitate (=riscul de neconformitate). Responsabilitatea conducerii pentru conformarea entității cu cerințele de conformitate include următoarele:

• Identificarea cerințelor legale ale entității, înțelegerea și respectarea cerințelor de conformitate;
• Stabilirea și menținerea controalelor eficiente care oferă o asigurare rezonabilă că entitatea funcționează în conformitate cu cerințele de conformitate;
• Evaluarea și monitorizarea conformității entității cu cerințele de conformitate;
• Luarea de măsuri corective atunci când sunt identificate cazuri de neconformitate, inclusiv acțiuni corective asupra constatărilor auditului din auditul de conformitate.

Obiectivul principal al auditului de conformitate (se mai regăsește și sub denumirea de ”audit de regularitate”) este de a oferi utilizatorilor vizați sau solicitantului auditului, informații despre măsura în care entitatea auditată respectă deciziile, legile, politica, codurile stabilite, termenii conveniți etc. Autoritățile cu putere de reglementare sunt sursele criteriilor de audit. (DNSC în baza Legii 362, în cazul nostru).

Curtea de Conturi a României realizează ”audit de conformitate” (a se vedea de exemplu ”Ghidul auditului de conformitate privind legalitatea modului de utilizare a sumelor provenite din finanțări rambursabile”). Curtea Europeană de Conturi auditează ”dacă operaţiunile respectă, sub toate aspectele semnificative, cadrele juridice şi de reglementare care le sunt aplicabile – AUDITUL DE CONFORMITATE”

Auditul de conformitate se bazează deci pe o relație dintre trei părți:  auditorul (1) urmărește să obțină suficiente probe de audit (nu doar documente!), adecvate, pentru a exprima o concluzie menită să sporească gradul de încredere al utilizatorilor vizați (2), alții decât partea responsabilă – auditatul (3), cu privire la evaluarea unui subiect în raport cu criteriile stabilite.

Auditul solicitat/definit de DNSC este ”de atestare a conformității”/”conformitate” deoarece partea responsabilă (- OSE) își raportează subiectul auditat ( – rețelele și sistemele informatice) la criterii (- cerințele minime de securitate impuse printr-un act normativ emis de DNSC în baza Legii 362) și prezintă informațiile despre subiect (- decizia de atestare, evaluarea conformității interne, măsurile tehnice și administrative) asupra cărora auditorul adună apoi probe de audit (și nu doar ”documente”), suficiente și adecvate (conform cerințelor din Anexa 9 a Ordinului 559/2021, aspect care duce puțin spre ”proceduri agreate”), pentru a oferi o bază rezonabilă pentru formarea unei concluzii. Concluzia este exprimată sub formă de constatări/concluzii, recomandări sau/și o opinie.^[1]. Ar fi de discutat care este diferența dintre ”opinie” și ”concluzie”, dar poate cu altă ocazie.

Responsabilitatea auditorului este deci de a exprima o opinie asupra conformității.

Raționamentul profesional este limitat în acest tip de audit deoarece auditorul nu stabilește criteriile de audit în baza propriului raționament profesional și în funcție de riscuri (nu există scepticism profesional).  Prin urmare abordarea auditului NU va fi una bazată pe riscuri deoarece riscul de audit este limitat doar la riscurile asociate respingerii/acceptării incorecte a funcționării unui control (”Use of a risk-based approach for engagements that are not related to legal or regulatory compliance ”).^[2]

Situația poate fi asemuită ”auditului ISO 27001” care atestă ”conformitatea cu un standard” și nu ”gradul/nivelul de securitate”

Din punct de vedere  al contractului, auditorul își va asuma responsabilitatea civilă doar pentru emiterea unei opinii asupra conformității OSE cu Normele tehnice și nu asupra securității rețelei și sistemului informatic administrat de OSE deoarece obligațiile OSE derivă din Art. 25 (3) din Legea 368/2018.

Revizuirea ”conformității” este componentă/sarcină obligatorie a oricărui audit de securitate ”bazat pe riscuri”. Aștept cu interes și cu speranța că transpunerea NIS2 în legislația noastră va ține cont de ”lecțiile învățate” cu ocazia NIS1:

”Art. 32

(2)Statele membre se asigură că autoritățile competente, atunci când își exercită sarcinile de supraveghere în ceea ce privește entitățile esențiale, au competența de a supune entitățile respective cel puțin:

(b) unor audituri de securitate periodice și specifice efectuate de un organism independent SAU de o autoritate competentă;

Auditurile de securitate specifice, menționate la primul paragraf litera (b), se bazează pe evaluări ale riscurilor efectuate de autoritatea competentă sau de entitatea auditată sau pe alte informații disponibile legate de riscuri.”

---

^[1] Art. 8 – Legea 368/2018: ” Înscrierea operatorilor de servicii esențiale în Registrul operatorilor de servicii esențiale se realizează prin decizia directorului general al DNCS care se comunică operatorului de servicii esențiale în urma depunerii unui raport de audit care ATESTĂ ÎNDEPLINIREA CERINȚELOR MINIME de securitate și notificare, întocmit de un auditor atestat în conformitate cu prevederile art. 32, și a evaluării informațiilor și documentațiilor furnizate de operator în cadrul procesului de identificare.” Mai mult, În Anexa 7 la Ordinul 559/2021 se cere ”Afirmație de conformitate, reflectată prin opinia auditorului de securitate cibernetică, respectiv opinie pozitivă, opinie cu rezerve/calificată, opinie negativă, după caz.” 

^[2] ITAF – Performance Standard 1203.1: Engagement Planning