Formularea concluziei (opiniei) în raportul de asigurare (audit)

 

Conform ITAF:

Assurance engagement—An engagement in which, pursuant to an accountability relationship between two or more parties, a practitioner is engaged to issue a written communication expressing a conclusion concerning a subject matter for which the accountable party is responsible.

Assurance—In the context of this publication, the term means where, pursuant to an accountable relationship between two or more parties, an IT audit and assurance professional is engaged to issue a written communication expressing a conclusion about the subject matters for which the accountable party is responsible. Assurance refers to a number of related activities designed to provide the reader or user of the report with a level of assurance or comfort over the subject matter. For example, assurance engagements could include support for audited financial statements, reviews of controls, compliance with required standards and practices, and compliance with agreements, licenses, legislation and regulations.

Când am abordat subiectul acesta cu ceva vreme în urmă, am inserat şi schema din ITAF. Reamintesc două caracteristici importante ale ITAF:

To whom does ITAF apply? ITAF applies to individuals who act in the capacity of IT audit and
assurance professionals and are engaged in providing assurance over some components of IT
systems, applications and infrastructure.
However, care has been taken to design these standards, guidelines, and IT audit and assurance procedures in a manner that may also be useful, and provide benefits to, a wider audience, including users of IT audit and assurance reports.
When should ITAF be used? The application of the framework is a prerequisite to conducting
assurance work. The standards are mandatory.
The guidelines, tools and techniques are designed
to provide non-mandatory assistance in performing assurance work.

Standardele şi framework-urile dezvoltate de către ISACA nu sunt scoase din contextul organizaţiilor. Ele sunt direct legate şi corelate cu partea economică pentru că obiectul de analiză este sistemul informaţional al unei organizaţii, luat în ansamblul componentelor sale şi nu doar aspectele/componentele ce ţin de o tehnologie. Prin urmare vom regăsi in ITAF foarte multe lucruri comune standardelor/framework-urilor emise de către IFAC/IASB. Mai trebuie menţionat că standardele ISACA au mai mult o perspectivă internă.

Raportarea în cadrul misiunilor de asigurare este abordată în ITAF în aceeaşi manieră ca în ISAE. De exemplu, conform ISAE 3000:

Assurance  engagement―An  engagement  in  which  a  practitioner  aims  to  obtain sufficient appropriate evidence  in order to express a conclusion designed  to enhance the degree of confidence of the intended users other than the responsible party about the outcome of the measurement or evaluation of an underlying subject matter against criteria. Each assurance engagement is classified on two dimensions:

(i) Either a reasonable assurance engagement or a limited assurance engagement:

(ii) Either an attestation engagement or a direct engagement

Vom regăsi şi în ISAE 3000 o schemă explicativă, chiar mai clară decât cea din ITAF:

image

Citind cu atenţie ITAF, vom constata că nu mai regăsim foarte des sintagma “opinie de audit” ci “conclusion” cu următoarele clarificări:

The practitioner’ s communication varying, depending on whether the assurance engagement is an attestation engagement or a direct reporting engagement:
• In an attestation engagement, the practitioner’ s conclusion is a written assertion prepared by the accountable party. The assertion evaluates, using suitable criteria, the subject matter for which the accountable party is responsible.
• In a direct reporting engagement, the practitioner’ s conclusion evaluates directly, using suitable criteria, the subject matter for which the accountable party is responsible

Termenul “opinie” este referit strict doar atunci când se face vorbire de misiuni de asigurare de tip “audit”.

Despre diferenţa dintre “atestare” şi “raportare directă” am mai scris. ITAF clarifică semnificaţia “auditului”:

‘Audit’, in the context of this publication, refers to a specific type of assurance engagement in which an IT audit and assurance professional conducts a formal, independent and systematic inspection or examination of subject matter against a recognised and appropriate standard or against management’ s assertions that must meet specific criteria. Audit engagements require a formal approach, adherence to specific standards and guidance, and adoption of specific reporting formats. Audit engagements could include support of the audit of financial statements, opinions of regulatory compliance and other formal expressions of opinion.

Sintetizând cele de mai sus, auditul înseamnă o inspecţie sau o examinare formală a unui subiect prin raportare la standarde sau declaraţii ale managementului. (Procedurile agreate nu sunt considerate angajamente de tip “audit”. Doar în raportul de audit concluzia exprimă un nivel de asigurare! În cazul reviziei, concluzia nu face referire la gradul de asigurare furnizat!).

ITAF pagina 24

 

Conform ITAF, Secţiunea 3892, atunci când realizează o misiune de audit sau de asigurare, auditorul trebuie să menţioneze că “activităţile au fost realizate în acord/în conformitate cu standardele de audit şi asigurare ISACA

Conform IS Auditing Guideline: G20 Reporting:

An IT audit and assurance professional may perform any of the following:

  • Audit (direct or attest)
  • Review (direct or attest)
  • Agreed-upon procedures

După această lungă introducere româno-engleză, am ajuns şi la esenţa discuţiei. Pentru clarificare manierei de redactare a concluziilor facem apel la ISAE 3000. Astfel:

  • într-un angajament în care se oferă asigurări rezonabile (audit) concluzia trebuie exprimată în formă pozitivă, spre exemplu: „
    • În opinia noastră, controalele interne aplicabile …..(se menţionează subiectul auditat), sunt eficiente, în toate aspectele semnificative, în baza ……(se menţionează criteriile folosite)” sau
    • În opinia noastră, afirmaţiile…(se menţionează partea responsabilă) cu privire la eficienţa controlului intern, în toate aspectele semnificative, în baza…..  (se menţionează criteriile folosite), sunt corect declarate”.
  • într-un angajament în care se oferă o asigurare limitată (revizie), concluzia trebuie să fie exprimată în formă negativă, spre exemplu: „
    • Având la bază activităţile descrise în acest raport, nimic nu ne-a atras atenţia astfel încât să considerăm ca ineficiente controalele interne, în toate aspectele semnificative, în baza …(se menţionează criteriile folosite)” sau
    • Având la bază activităţile descrise în acest raport, nimic nu ne-a atras atenţia astfel încât să considerăm că afirmaţiile…(se menţionează partea responsabilă) cu privire la eficienţa controalelor interne, în toate aspectele semnificative, în baza…(se menţionează criteriile folosite)  nu sunt corect declarate.”

Exemplele de mai sus se referă la cazul opiniilor necalificate.  Standardele tratează însă şi situaţia concluziilor calificate, adverse sau renunţarea la exprimarea unei concluzii. Concluziile calificate se exprimă ori de câte ori efectul subiectului analizat nu este atât de semnificativ sau general aplicabil astfel încât să fie necesară din partea auditorului o declaraţie de renunţare la emiterea unei concluzii. O concluzie calificată va conţine obligatoriu exprimarea “cu excepţia”, menţionându-se în continuare aspectele/efectele problemei la care se referă această calificare

______________________________________________________________

Bibliografie:

1. ITAF:  A Professional Practices Framework for IT Assurance

2. INTERNATIONAL STANDARD ON  ASSURANCE ENGAGEMENTS 3000:  ASSURANCE ENGAGEMENTS OTHER THAN AUDITS OR REVIEWS OF HISTORICAL FINANCIAL INFORMATION

3. Standard for IS Auditing: S7 Reporting

4.Standard for IS Auditing: S12 Audit Materiality

5. IS Auditing Guideline: G20 Reporting

6. IS Auditing Guideline: G34 Responsibility, Authority and Accountability

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s