Cît de importante sînt planificarea și analiza în auditul sistemelor informaționale?

 

Standardul S5 Planning

“The IS auditor should develop and document a risk-based audit approach.”

 

La comentarii se menţionează:

 

“For an external IS audit, a plan should normally be prepared for each audit or non-audit assignment. The plan should document the objectives of the audit.”

 

Cuvîntul cheie: RISC. Motiv pentru care trecem repede pe la Enterprise Risk Management — Integrated Framework  Executive Summary:

“Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.”

Cu alte cuvinte riscurile afectează obiective! Risk IT framework este aliniat cu ceea ce am citat mai sus:

IT risk is business risk—specifically, the business risk associated with the use, ownership, operation, involvement, influence and adoption of IT within an enterprise”

 

“Risk based”. Cu asta am început acest post. Lăsînd la o parte formula  clasică din teorie, auditorul ar trebui să identifice riscurile critice pentru misiunea sa şi apoi controalele care au în vedere acele riscuri. Cum să faci așa ceva cînd nu știi absolut nimic despre cel auditat? Să te apuci, în timpul misiunii, să faci teste de fond asupra controalelor lipsite de importanţă pentru scopul auditului sau să aplici “check list”-uri luate de aiurea de pe net, nu este deloc eficient. Şi nici corect din punct de vedere profesional. Înseamnă că îţi furi singur căciula. Sau mai bine zis ai pierdut “professional judgement”…

Am tras o concluzie la mai bine de 6 ani distanţă de la coborîrea din “turnul de fildeş” academic în lumea reală a practicii autohtone: cauza cea mai des întîlnită a riscurilor şi controalelor slabe o reprezintă angajatul! O cauză foarte des trecută cu vederea în favoarea tehnologiei!

  • angajaţi insuficient instruiţi sau care nu înţeleg corect CE şi DE CE trebuie să facă un anumit lucru.
  • angajaţi insuficienţi, ca număr….O scuză auzită des pentru întîrzieri: nu sînt  oameni suficienţi.
  • Management şi leadership slab. Lipsa motivaţiei şi a comunicării.
  • Practici de resurse umane ineficiente…..Teoretice…

 

Root cause? Ca auditor identific nefuncţionarea unui control. Acesta este simptomul! Cauza este OMUL!

În final o întrebare retorică.

Controlul, ăla tehnic, funcţionează corect dar identifici că oamenii “din spate” au o problemă de etică/moralitate. Is your business? Ce vei scrie în raportul de audit?

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s