Pe la sfîrşitul anului 2004 cînd am început să am contact cu practica autohtonă în materie de audit IS, una din problemele cu care se confrunta teoreticianul din mine era legată de felul în care arată sau trebuie să arate Raportul de audit. Din teorie ştiam că IS Auditing Guideline: G20 Guideline oferă suficiente…
Managementul riscurilor este unul din subiectele cele mai dragi cînd vorbesc de audit. PPT – People, Process, Technology. Aşa poate fi rezumat COBIT-ul. Partnership, People, Products şi Process. Spune ITIL că înseamnă serviciile. Ghidul care stă la baza majorităţii scrierilor legate de managementul riscurilor este “ISO Guide 73 – Terms of Risk Management” În conformitate…
Citind CISA Review Manual 2010 am ajuns la o întrebare legată de controale compensatorii: ce control compensator diminuează riscul că…… Auditorul evaluează controale: cum sînt proiectate şi cum funcţionează. Atunci cînd nu sînt identificate controalele aşa cum sînt ele prezentate prin diferite materiale, auditorul caută să identifice dacă există “altceva” ce poate contribui la…
Ştie auditorul altceva despre “planul de securitate” decît spune OMCTI de atîţia ani? “DS5.2 IT Security Plan Translate business, risk and compliance requirements into an overall IT security plan, taking into consideration the IT infrastructure and the security culture. Ensure that the plan is implemented in security policies and procedures together with appropriate investments…
Din buchea cărţii, auditorul/CISA a aflat că trebuie să estimeze riscurile de audit, să îşi stabilească obiective şi să identifice chiar de la începutul misiunii legislaţia aplicabilă speţei. Realitatea practică face ca, OMCTI 389/2007 să nu fie singurul act normativ cu implicaţii asupra acestui tip de audit. Dincolo de observaţiile scrise pînă acum, vreau să…
ADRIAN B. MUNTEANU 