Servicii de asigurare – COBIT 5 for Assurance

COBIT 5 for AssuranceTacit sau nu, cam toată lumea recunoaşte că în practica noastră,  “auditul” nu seamănă mai deloc cu ce se întîmplă pe la alţii. “Parfumul” local este deosebit… (Cred că ar fi fost anormal să fie altfel….).Nu e rolul meu să spun de ce s-a ajuns aici sau cine sînt vinovaţii. Mă întreb însă: reciproca zicerii “teoria nu are legătură cu practica” nu este adevărată?

Mi-a căzut în mînă un caiet de sarcini realizat de o “firmă de consultanţă” pentru o autoritate contractantă. Se doresc “servicii de audit de securitate (retea si sistem informatic)”. Aş fi, poate, prea scrupulos dacă aş întreba care sînt componentele unui “sistem informatic” şi de ce “reţea” este un element separat?….

 

 

Definiţie din caietul de sarcini:

Auditul de securitate (retea si sistem informatic) presupune realizarea auditului sistemului informatic (n.m SIC!). În această etapă se va realiză o verificarea externă a sistemului informatic, a funcţionalităţii acestuia. Se va realiza un raport de audit al sistemului, care va fi analizat de echipă de management, iar în cazul nerespectării standardelor sau în cazul identificării unor disfuncţionalităţi (n.m. Disfuncţionalităţile includ şi neconformitatea legală?), se va solicita remedierea acestora de către furnizorul serviciilor.

La “Tipul şi obiectivul angajamentului” se menţionează:

Verificarea constă în examinarea de către Auditor a informaţiilor factuale ce rezultă din implementarea de către Beneficiar a clauzelor contractului de finanţare şi compararea acestora cu termenii şi condiţiile contractului de finanţare.

Clar? Obligatoriu trebuie să fie clar deoarece “Propunerea tehnică trebuie să demonstreze că ofertantul a înţeles corect cerinţele din Caietul de Sarcini.”

Deunăzi ISACA a publicat COBIT 5 for Assurance (contra cost şi pentru membri). Rîndurile care urmează sînt cam redundante pentru că am mai scris despre subiectul ăsta.

COBIT 5 for Assurance este dezvoltat avînd în vedere:

  • ­ISACA ITAF, 2nd Edition, a professional practices framework for IS audit/assurance
  • ­The Institute of Internal Auditors (IIA) International Professional Practices Framework (IPPF) Standards 2013
  • ­American Institute of Certified Public Accountants (AICPA) Statement on Standards for Attestation Engagements (SSAE) 16

Definiţii:

Assurance means that, pursuant to an accountability relationship between two or more parties, an IT audit and assurance professional may be engaged to issue a written communication expressing a conclusion about the subject matters to the accountable party.
Assurance refers to a number of related activities designed to provide the reader or user of the report with a level of assurance or comfort over the subject matter. For example, assurance engagements could include support for audited financial statements; assessment of value provided by IT to the enterprise; reviews of controls; compliance with required standards and practices; and compliance with agreements, licences, legislation and regulations.

image

Cine pot fi cei 3 actori?

  • Partea responsabilă: individul, grupul sau entitatea (auditatul) implicat de obicei în management şi care are responsabilitatea finală asupra subiectului auditat.
  • Utilizatorul:  acţionari, creditori, clienţi, consiliu director, legiuitor. Poate fi şi parte responsabilă
  • Auditorul: cel care are reponsabilitatea realizării angajamentului şi a emiterii unui raport despre subiectul auditat

Reflectă ceea ce a realizat “consultantul” de care pomeneam, cerinţele ISACA? De menţionat că nu “autoritatea contractantă” impune “auditul de securitate” ci finanţatorul prin contractul de finanţare! Cine este “partea responsabilă” şi cine este “utilizatorul”?

Pentru acelaşi subiect supus auditării putem folosi criterii diferite. Raţionamentul profesional al auditorului este cel care stă la baza deciziei de selecţie  Acum însă avem o indicaţie clară: criteriile trebuie să aibă atributele obiectivelor de calitate a informaţiilor prezentate în modelul informaţiilor din COBIT 5 Framework:

  • Obiectivitate
  • Cuantificare
  • Inteligibilitate
  • Completitudine
  • Relevanţă

„Those are my principles, and if you don’t like them… well, I have others.” – (Groucho Marx)

Un gând despre “Servicii de asigurare – COBIT 5 for Assurance

  1. Pingback: Auditul de securitate şi conformitatea juridică – un exemplu « ADRIAN MUNTEANU -

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s