Audit: raportare directă sau atestare?

 

Am mai scris despre subiectul acesta. Remarc însă, pe zi ce trece, că folosirea cuvântului “audit” în legile, regulamentele, instrucţiunile etc. autohtone, contravine semnificaţiei sale.

Să argumentez.

Conform ITAF, “asigurare/assurance” semnifică:

“where, pursuant to an accountable relationship between two or more parties, an IT audit and assurance professional is engaged to issue a written communication expressing a conclusion about the subject matters for which the accountable party is responsible.”

Un angajament de tipul “asigurării” înseamnă:

“An engagement in which, pursuant to an accountability relationship between two or more parties, a practitioner is engaged to issue a written communication expressing a conclusion concerning a subject matter for which the accountable party is responsible.”

Definiţia este însoţită şi de o schemă explicativă:

image

Să disecăm puţin schema. La ce se referă “Conclusion”?

“The practitioner’ s communication varying, depending on whether the assurance engagement is an attestation engagement or a direct reporting engagement:
• In an attestation engagement, the practitioner’ s conclusion is a written assertion prepared by the accountable party. The assertion evaluates, using suitable criteria, the subject matter for which the accountable party is responsible.
• In a direct reporting engagement, the practitioner’ s conclusion evaluates directly, using suitable criteria, the subject matter for which the accountable party is responsible”

Apare aici un cuvânt foarte important, “assertion” care se referă la:

“ a declaration or set of declarations about the subject matter.”

“Subject matter” înclude:

“Subject matter or area of activity is the specific information subject to the IT audit and assurance professional’s report and related procedures. It can include things such as the design or operation of internal controls and compliance with privacy practices or standards or specified laws and regulations.”

Să reformulăm: partea responsabilă sau însărcinată (managementul) face anumite declaraţii cu privire la subiectul analizat. Credibilitate sau asigurări cu privire la declaraţiile realizate de către cel resposanbil sunt oferite de către “assurer”. Iar asigurările acestea sunt oferite în folosul utilizatorilor.

Un exemplu non IT, non-contabil. În momentul în care doresc să îmi vând maşina, eu   (asserter) spun despre aceasta cât este de bine întreţinută, că numărul de km. este real etc.  Aceste declaraţii sunt “assertions”. În faţa utilizatorilor/cumpărătorilor sunt dispus să merg la un service (assurer) care să ofere asigurări cu privire la cele declarate de mine. Asigurările pot fi sub forma unui raport.

Tipologia misiunilor de asigurare pe care le poate realiza CISA, include:

  • Audit (direct or attest)
  • Review (direct or attest)
  • Agreed-upon procedures

Principala diferenţă dintre aceste tipuri de misiuni este dată de gradul de asigurare oferit sub forma unei concluzii, în urma analizării subiectului. Care subiect? De exemplu, deşi sunt denumite generic “audit”, prin ce s-ar diferenţa (din punctul de vedere al abordării auditorului) un “audit asupra planului de securitate” faţă de un “audit al securităţii”? Diferenţa este dată de “subject matter”, care este diferit în cele două cazuri!

G20 (ghidul ISACA privind raportarea) clarifică diferenţa dintre “atestare” şi “raportare directă”:

“Attest reporting engagement is an engagement where an IT audit and assurance professional either examines management’s assertions regarding a particular subject matter or the subject matter directly. The IT audit and assurance professional’s report consists of an opinion on one of the following:
– The subject matter. These reports relate directly to the subject matter itself rather than an assertion. In certain situations management will not be able to make an assertion over the subject of the engagement. An example of this situation is when IT services are outsourced to a third party. Management will not ordinarily be able to make an assertion over the controls for which the third party is responsible. Hence, an IT audit and assurance professional would have to report directly on the subject matter rather than an assertion.
– Management’s assertion about the effectiveness of the control procedures
– An examination reporting engagement, where the IT audit and assurance professional issues an opinion on a particular subject matter. These engagements can include reports on controls implemented by management and on their operating effectiveness.

Direct reporting engagement is an engagement where management does not make a written assertion about the effectiveness of their control procedures and the IT audit and assurance professional provides an opinion, such as the effectiveness of the control procedures, about the subject matter directly.”

Acestea fiind spuse să luăm cazul “auditului” cerut de diverse acte normative. Avem de a face cu declaraţii scrise ale managementului privind eficacitatea procedurilor de control din zona supusă auditării? Cu siguranţă NU.  Prin urmare, avem de a face cu “raportare directă”. Suntem în situaţia unui angajament de tip “atestare”cînd  avem declaraţii ale managementului cu privire la subiectul auditat. Putem considera politicile şi procedurile aprobate în cadrul unei organizaţii ca fiind “declaraţii ale managementului” cu privire la “subiectul auditat” dacă există acte normative care reglementează forma şi conţinutul acestor documente?

Problema se complică foarte mult în practică atunci când o astfel de misiune este realizată în beneficiul unei instituţii a statului. Ca auditor eşti obligat să respecţi atât standardele profesionale cât şi cerinţele…guvernamentale. Din nefericere, din cauza modului în care sunt  redactate aceste cerinţe, dacă nu este suficient de atent, auditorul ajunge să se substituie părţii reponsabile!

Prin referirea legislaţiei în baza căreia se realizează angajamentul şi obţinerea unei scrisori de reprezentare din partea părţii responsabile, auditorul va elimina acest neajuns. Dacă se refuză scrisoarea de reprezentare, auditorul poate limita scopul auditului şi astfel nu va mai exprima opinie necalificată!

2 gânduri despre “Audit: raportare directă sau atestare?

  1. Pingback: Concluziile şi recomandările din raportul de audit: 7 reguli « ADRIAN MUNTEANU

  2. Pingback: Noile ghiduri ISACA « ADRIAN MUNTEANU -

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s