Formularea concluziei (opiniei) în raportul de asigurare (audit)

 

Conform ITAF:

Assurance engagement—An engagement in which, pursuant to an accountability relationship between two or more parties, a practitioner is engaged to issue a written communication expressing a conclusion concerning a subject matter for which the accountable party is responsible.

Assurance—In the context of this publication, the term means where, pursuant to an accountable relationship between two or more parties, an IT audit and assurance professional is engaged to issue a written communication expressing a conclusion about the subject matters for which the accountable party is responsible. Assurance refers to a number of related activities designed to provide the reader or user of the report with a level of assurance or comfort over the subject matter. For example, assurance engagements could include support for audited financial statements, reviews of controls, compliance with required standards and practices, and compliance with agreements, licenses, legislation and regulations.

Când am abordat subiectul acesta cu ceva vreme în urmă, am inserat şi schema din ITAF. Reamintesc două caracteristici importante ale ITAF:

To whom does ITAF apply? ITAF applies to individuals who act in the capacity of IT audit and
assurance professionals and are engaged in providing assurance over some components of IT
systems, applications and infrastructure. However, care has been taken to design these standards, guidelines, and IT audit and assurance procedures in a manner that may also be useful, and provide benefits to, a wider audience, including users of IT audit and assurance reports.
When should ITAF be used? The application of the framework is a prerequisite to conducting
assurance work. The standards are mandatory. The guidelines, tools and techniques are designed
to provide non-mandatory assistance in performing assurance work.

Standardele şi framework-urile dezvoltate de către ISACA nu sunt scoase din contextul organizaţiilor. Ele sunt direct legate şi corelate cu partea economică pentru că obiectul de analiză este sistemul informaţional al unei organizaţii, luat în ansamblul componentelor sale şi nu doar aspectele/componentele ce ţin de o tehnologie. Prin urmare vom regăsi in ITAF foarte multe lucruri comune standardelor/framework-urilor emise de către IFAC/IASB. Mai trebuie menţionat că standardele ISACA au mai mult o perspectivă internă.

Raportarea în cadrul misiunilor de asigurare este abordată în ITAF în aceeaşi manieră ca în ISAE. De exemplu, conform ISAE 3000:

Assurance  engagement―An  engagement  in  which  a  practitioner  aims  to  obtain sufficient appropriate evidence  in order to express a conclusion designed  to enhance the degree of confidence of the intended users other than the responsible party about the outcome of the measurement or evaluation of an underlying subject matter against criteria. Each assurance engagement is classified on two dimensions:

(i) Either a reasonable assurance engagement or a limited assurance engagement:

(ii) Either an attestation engagement or a direct engagement

Vom regăsi şi în ISAE 3000 o schemă explicativă, chiar mai clară decât cea din ITAF:

Citind cu atenţie ITAF, vom constata că nu mai regăsim foarte des sintagma “opinie de audit” ci “conclusion” cu următoarele clarificări:

The practitioner’ s communication varying, depending on whether the assurance engagement is an attestation engagement or a direct reporting engagement:
• In an attestation engagement, the practitioner’ s conclusion is a written assertion prepared by the accountable party. The assertion evaluates, using suitable criteria, the subject matter for which the accountable party is responsible.
• In a direct reporting engagement, the practitioner’ s conclusion evaluates directly, using suitable criteria, the subject matter for which the accountable party is responsible

Termenul “opinie” este referit strict doar atunci când se face vorbire de misiuni de asigurare de tip “audit”.

Despre diferenţa dintre “atestare” şi “raportare directă” am mai scris. ITAF clarifică semnificaţia “auditului”:

‘Audit’, in the context of this publication, refers to a specific type of assurance engagement in which an IT audit and assurance professional conducts a formal, independent and systematic inspection or examination of subject matter against a recognised and appropriate standard or against management’ s assertions that must meet specific criteria. Audit engagements require a formal approach, adherence to specific standards and guidance, and adoption of specific reporting formats. Audit engagements could include support of the audit of financial statements, opinions of regulatory compliance and other formal expressions of opinion.

Sintetizând cele de mai sus, auditul înseamnă o inspecţie sau o examinare formală a unui subiect prin raportare la standarde sau declaraţii ale managementului. (Procedurile agreate nu sunt considerate angajamente de tip “audit”. Doar în raportul de audit concluzia exprimă un nivel de asigurare! În cazul reviziei, concluzia nu face referire la gradul de asigurare furnizat!).

 

Conform ITAF, Secţiunea 3892, atunci când realizează o misiune de audit sau de asigurare, auditorul trebuie să menţioneze că “activităţile au fost realizate în acord/în conformitate cu standardele de audit şi asigurare ISACA”

Conform IS Auditing Guideline: G20 Reporting:

An IT audit and assurance professional may perform any of the following:

• Audit (direct or attest)
• Review (direct or attest)
• Agreed-upon procedures

După această lungă introducere româno-engleză, am ajuns şi la esenţa discuţiei. Pentru clarificare manierei de redactare a concluziilor facem apel la ISAE 3000. Astfel:

• într-un angajament în care se oferă asigurări rezonabile (audit) concluzia trebuie exprimată în formă pozitivă, spre exemplu: „
• În opinia noastră, controalele interne aplicabile …..(se menţionează subiectul auditat), sunt eficiente, în toate aspectele semnificative, în baza ……(se menţionează criteriile folosite)” sau
• „În opinia noastră, afirmaţiile…(se menţionează partea responsabilă) cu privire la eficienţa controlului intern, în toate aspectele semnificative, în baza…..  (se menţionează criteriile folosite), sunt corect declarate”.
• într-un angajament în care se oferă o asigurare limitată (revizie), concluzia trebuie să fie exprimată în formă negativă, spre exemplu: „
• “Având la bază activităţile descrise în acest raport, nimic nu ne-a atras atenţia astfel încât să considerăm ca ineficiente controalele interne, în toate aspectele semnificative, în baza …(se menţionează criteriile folosite)” sau
• „Având la bază activităţile descrise în acest raport, nimic nu ne-a atras atenţia astfel încât să considerăm că afirmaţiile…(se menţionează partea responsabilă) cu privire la eficienţa controalelor interne, în toate aspectele semnificative, în baza…(se menţionează criteriile folosite)  nu sunt corect declarate.”

Exemplele de mai sus se referă la cazul opiniilor necalificate.  Standardele tratează însă şi situaţia concluziilor calificate, adverse sau renunţarea la exprimarea unei concluzii. Concluziile calificate se exprimă ori de câte ori efectul subiectului analizat nu este atât de semnificativ sau general aplicabil astfel încât să fie necesară din partea auditorului o declaraţie de renunţare la emiterea unei concluzii. O concluzie calificată va conţine obligatoriu exprimarea “cu excepţia”, menţionându-se în continuare aspectele/efectele problemei la care se referă această calificare

______________________________________________________________

Bibliografie:

1. ITAF:  A Professional Practices Framework for IT Assurance

2. INTERNATIONAL STANDARD ON  ASSURANCE ENGAGEMENTS 3000:  ASSURANCE ENGAGEMENTS OTHER THAN AUDITS OR REVIEWS OF HISTORICAL FINANCIAL INFORMATION

3. Standard for IS Auditing: S7 Reporting

4.Standard for IS Auditing: S12 Audit Materiality

5. IS Auditing Guideline: G20 Reporting

6. IS Auditing Guideline: G34 Responsibility, Authority and Accountability

Dileme shakespeariene (Tot despre INSTRUCŢIUNEA de modificare și completare a Instrucţiunii nr.2/2011…)

 

Versiunea ne-revizuită a Instrucţiunii 2/2011 preciza la art. 6:

 

 

 

(1) Entitatile prevazute la art. 3 alin. (1) lit. c) au obligatia de a audita sistemul informatic utilizat. Sistemul informatic al entitatii va fi auditat de un auditor IT.
(2) Auditarea se efectueaza in baza unui contract incheiat intre auditorul IT si entitatea care a solicitat auditarea.
(3) In situatia in care auditul sistemului informatic este efectuat de o echipa formata din mai multi auditori, acestia raspund solidar pentru asigurarea derularii procesului de audit in conformitate cu legislatia in domeniu.
(4) Auditorii IT sunt raspunzatori pentru conformarea cu cerintele necesare efectuarii auditului sistemului informatic.

“Modificarea” vine cu următoarele noutăţi:

6. La articolul 6 alineatul (1) se modifică şi va avea următorul cuprins:
” (1) Entitățile au obligația de a asigura auditarea sistemului informatic utilizat. Sistemul informatic al entității va fi auditat de un auditor IT.”
7.După articolul 6 se introduce un nou articol, art. 6^1,  cu următorul cuprins:  

”Art. 6^1

(1) Fac excepție de la prevederile art.6 entitățile care optează pentru certificarea SMSI.
(2) Fac excepție de la prevederile art.6 entitățile care dovedesc că utilizează un software auditat de un auditor IT înregistrat în Registrul public al C.N.V.M.
(3) Prevederile art.11 sunt aplicabile şi entităţilor prevăzute la alin.(2).”
8.După articolul 6^1 se introduce un nou articol, art. 6^2,  cu următorul cuprins:  
”Art. 6^2 Aplicaţiile electronice/sistemele informatice dezvoltate de entităţi în cadrul departamentelor/direcţiilor proprii (in house) trebuie să fie auditate/certificate de un ISMS Lead
Auditor/auditor IT.

Din enunţul alineatului (1) înţelegem că “toate” au obligaţia! Amintesc că definiţia auditorului IT este aceeaşi ca în instrucţiunea 2/2011, varianta iniţială:

auditor IT – persoana fizica care detine un certificat CISA (Certified Information Systems Auditor) eliberat de catre ISACA si care este inscrisa in Registrul public al C.N.V.M.

Conform 6^1 (1), dacă optează pentru certificarea SMSI nu mai au “obligaţia de a asigura auditarea” (SIC!). Coroborat cu 6^1 (2) trebuie să “dovedească că utilizează un software auditat”

Să trecem la Art. 6^2.

Auditate/certificate înseamnă “sau”. ISMS Lead Auditor/auditor IT înseamnă tot “sau”.

Prima întrebare: poate certifica un ISMS Lead Auditor o aplicaţie? Este abilitat ISO 27001 LA să emită “certificate”? Ce va certifica? Care este/sunt standardele/standardul în baza căruia se “certifică aplicaţia”? De exemplu, se poate folosi ISO 9001, ISO 15504 sau TickIT?

A doua întrebare: poate “audita” un ISMS Lead Auditor o aplicaţie? Nu am în vedere deţinerea cunoştinţelor necesare ci dacă este “abilitat” să presteze astfel de audituri.

A treia întrebare: ce ar putea implica auditul unei aplicaţii? Din punctul meu de vedere, există mai multe tipuri:

• licenţierea (nu este cazul deoarece prevederea se referă la cele dezvoltate intern)
• asigurarea calităţii – vizează întregul proces de dezvoltare a unei aplicaţii: analiza şi definirea cerinţelor; codificarea; controlul codului; revizia codului; managementul modificărilor; managementul configuraţiei; testare; integrarea în producţie….
• auditul configuraţiei aplicaţiei
• auditul funcţionalităţii aplicaţiei
• auditul aplicaţiei conform IEEE Standard for Software Reviews

Ca auditor ştii că ai în faţă un subiect supus auditării (aplicaţiile electronice/sistemele informatice) şi emiţi o opinie asupra acestui subiect raportându-te la anumite standarde, criterii şi/sau reglementări. Criteriile la care te raportezi trebuie să fie: obiective; cuantificarea subiectului auditat; inteligibile; complete; relevante. Exact ca cerinţele de mai sus……

INSTRUCŢIUNEA de modificare și completare a Instrucţiunii nr.2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de CNVM

 

 

A fost publicat pe situl CNVM documentul din titlul de mai sus. Sunt multe de spus despre această nouă propunere.

In primul rând și de această dată se face vorbire despre ”audit” în raport cu ” măsuri de siguranță”. Obiectivele controalelor sunt omise. Iar se dorește ”audit” când în fapt misiunea este de alt tip….

 

 

j) să asigure arhivarea pe suport digital extern a informațiilor, a datelor introduse, a situaţiilor financiare sau a altor documente,cu posibilitatea de reintegrare în sistem a datelor arhivate;

Este posibil să greșesc, dar eu înțeleg de aici că se aplică și prevederile Legii arhivării electronice…..

…..6. La articolul 6 alineatul (1) se modifică şi va avea următorul cuprins:

” (1) Entitățile au obligația de a asigura auditarea sistemului informatic utilizat. Sistemul informatic al entității va fi auditat de un auditor IT.”

7.După articolul 6 se introduce un nou articol, art. 6^1, cu următorul cuprins:

”Art. 6^1 (1) Fac excepție de la prevederile art.6 entitățile care optează pentru certificarea SMSI.
(2) Fac excepție de la prevederile art.6 entitățile care dovedesc că utilizează un software auditat de un auditor IT înregistrat în Registrul public al C.N.V.M.

8.După articolul 6^1 se introduce un nou articol, art. 6^2, cu următorul cuprins:

”Art. 6^2 Aplicaţiile electronice/sistemele informatice dezvoltate de entităţi în cadrul departamentelor/direcţiilor proprii (in house) trebuie să fie auditate/certificate de un ISMS Lead Auditor/auditor IT. ”” 

Fără alte comentarii: care este legătura dintre ISMS Lead Auditor și auditul/certificarea aplicațiilor/sistemelor?

Pentru ca minunea de mai sus să vadă lumina a fost nevoie de ….9 luni….