Toată lumea trebuie să trăiască

Moral hazard

Am fost parte combatantă la o discuție de vreo 2 ore despre cum trebuie să arate raportul de audit. Nu am avut niciodată pretenția că știu totul sau că ceea ce afirm este adevăr absolut. Din contră: practica autohtonă este atît de cețoasă încît tot timpul este de învățat cîte ceva. (Avem de exemplu un Dosar Electronic de Sănătate dar nu avem o HIPAA națională…Poate nici nu avem nevoie, cine știe?)

În discuție, argumentele mele s-au bazat pe ITAF, IIAIFAC și alte acronime de prin cărți, standarde și reglementări internaționale. Contrargumentele au  fost de tipul „rapoarte de audit„ făcute de alții. Eu am căutat să argumentez și cu rapoartele de audit financiar (din punct de vedere al structurii aproape identice cu cele din IT). Mi s-a spus că auditul este un concept, eu am argumentat că cel „financiar„ există de pe vremea romanilor iar juridic apare reglementat din anii 1930 în USA.

Documentul atașat este o Instrucțiune emanată de la Ministerul Fondurilor Europene la data de 22.05.2014. Dacă vă aduceți aminte, am scris că la data de 6 martie 2014 în Monitorul Oficial a fost publicată  Hotărârea Consiliului Camerei Auditorilor Financiari din România nr. 5/2014 pentru aprobarea Protocolului de colaborare încheiat între Camera Auditorilor Financiari din România şi Ministerul Fondurilor Europene privind organizarea şi desfăşurarea activităţii de audit financiar pentru fonduri europene şi alte fonduri nerambursabile de la alţi donator.

Din această Instrucțiune, cu referire la audit, mă interesează două mențiuni:

Instructiune 21. De ce nu se face referire directă și clară la Protocolul MFE-CAFR? Cum vor proceda acum auditorii financiari: Protocolul spune clar ce standarde vor folosi și ce asigurare vor oferi în timp ce instrucțiunea de mai sus spune altceva…..Aaaa de fapt Protocolul se referă la „audit financiar„ iar Instrucțiunea face referire la „audit„ sau „audit tehnic„. Lucruri diferite…

2.Dacă auditorii financiari menționați în Protocolul citat nu sînt cei care pot audita aceste spețe, de ce nu sînt identificați mai clar „auditorii independenți„ la care se referă instrucțiunea? Cine va audita si ce va audita?

3. Dacă nici 1 nici 2 nu se aplică, de ce nu este definit „auditul tehnic„?

4. CAre este diferența de fond între punctul VII și punctul VIII?

5. Dacă este CISA, va trebui să traducă și apoi să legalizeze diploma de certificare!!!!! Care diplomă este valabilă 3 ani în timp ce calitatea poate fi pierdută anual….

Tot în perioada aceasta am avut șansa să văd și să citesc un raport de audit depus și acceptat de către cei care asigură finanțarea POSCCE. Raportul este anterior documentelor la care m-am referit în acest articol. După prima lectură m-am enervat; la a doua am început să rîd.

O scurtă prezentare a documentului pe care am avut ocazia să îl analizez.

1. are un titlu: „Raport audit informatic„

2. are un Cuprins

3. are „poze„/print screen

4.. are un număr suficient de pagini pentru a da bine în poză (peste 25)

5. Poartă mențiunea „Acest document este strict confidential si va fi tratat ca atare„  fără nici o altă mențiune cu privire la distribuția sa. Cum va fi distribuit terțului dacă este confidențial?

6. Se referențiază Standardele ISACA: „Procedurile de audit s-au desfășurat in conformitate cu Standardele de Audit ISACA, COBIT 5 (?????) „, dar nimic din cuprinsul raportului nu susține această afirmație.

7. Data raportului este anterioară ultimei date care apare în Planul de audit.

8. Conform planului de audit, „auditul on site„ s-a desfășurat cu 5 zile înainte de revizuirea documentației. Cîteva rînduri mai jos se afirmă că de fapt în perioada de audit on-site s-a revizuit documentația!

9. Este descris un Plan de audit:  o scurtă prezentare calendaristică și nicidecum planul de audit în sensul definit de standardele ISACA după care se spune că s-a desfășurat misiunea.

10. Obiectivele auditului nu au nici o legătură cu scopul acestuia (preluat din contractul de prestării serviciii al auditorului).

11. Include niște capturi de ecran realizate la 2-3  zile după ultima dată menționată în raport, ulterior livrării raportului🙂

12. Există un paragraf în care se fac afirmații ce se bat cap în cap cu obiectivele și scopul auditului, „scăpîndu-se„  (copy-paste) referințe la „obiectivele si cerințele minimale de securitate stabilite prin Ordin„

13. Nu oferă nici un fel de asigurare! Nu există nici o afirmație cu privire la nivelul de asigurare oferit prin acest raport.

14. Semnatarul raportului nu este CISA. Nici auditor financiar.

Poate veți considera aspectele de mai sus ca avînd de a face mai mult cu forma și nu cu fondul problemei. Listele de verificare sînt un instrument de lucru dar auditul nu se limitează la acestea. Nu asta înseamnă a audita. Nu trebuie să fii auditor pentru asta. Spus cît se poate de simplu: în general, audit înseamnă a revizui măsura în care controalele unei organizații își ating obiectivele.

Dar la auditul ISO 27001 nu se folosesc liste de control? Ba da. Dar acela este un audit de conformitate. Reglementatorul impune condiția de conformitate (criteriile) la care trebuie să te raportezi. Nu prea mai există „audit risk„, „professional judgement„, „due care„.

Dacă în acest caz se dorește o revizie a conformității, cel care cere auditul (MFE, MCSI) ar trebui să publice și criteriile/condițiile de conformitate.

Concluzie: toată lumea trebuie să trăiască. „In template we trust? Long live check list! Dormi în pace Chapter!

Întrebare retorică: dacă obiectul contractului de finanțare a fost „asigurare conexiune broadband la Internet„, ce se va audita din punct de vedere tehnic? Cîte pagini trebuie să aibă raportul?😛

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s