sâmbătă, 21 iunie 2014

Instituția Supremă de Audit din România

Curtea de Conturi a României, prin legea 94/1992 privind organizarea și funcționarea Curții de Conturi republicată în Monitorul Oficial, Partea I, nr. 238 din 3 aprilie 2014, la art. 1(3), prin lege îi este recunoscută/atribuită calitatea sa de instituție supremă de audit și funcționează inclusiv în această calitate.

În vederea îndeplinirii unor obligaţii în domeniul auditului extern, ce revin României în calitate de stat membru al Uniunii Europene, este organizată şi funcţionează, pe lângă Curtea de Conturi,  Autoritatea de Audit, pentru fondurile nerambursabile de preaderare acordate României de Uniunea Europeană prin programele PHARE, ISPA şi SAPARD, pentru fondurile structurale şi de coeziune, pentru Fondul European de Garantare în Agricultură, pentru Fondul European pentru Agricultură şi Dezvoltare Rurală, pentru Fondul European pentru Pescuit, precum şi pentru fondurile ce vor fi acordate în perioada postaderare, denumită în continuare Autoritatea de Audit, care are atribuţii şi proceduri de lucru proprii. 

În acest context Curtea de Conturi a României este membră a INTOSAI (International Organisation of Supreme Audit Institutions) precum și a unui grup de lucru regional EUROSAI (European Organization of Supreme Audit Institutions).

În cadrul INTOSAI / EUROSAI funcționează o serie de grupuri de lucru printre care și grupul de lucru pentru Audit IT (Information Technology Audit) la care România nu participă. Acest grup publică o revistă electronică în care este împărtășită experiența membrilor pe diverse teme legate de auditul IT.

În concluzie, Curtea de Conturi și Autoritatea de Audit sunt instituții care efectuează, prin lege, misiuni/angajamente de audit extern inclusiv în domeniul tehnologiei informației, domeniu care mă pasionează în mod deosebit.

M-am obisnuit deja cu faptul că alte țări stau mai bine decât România aproape la orice capitol, așa că și în domeniul auditului IT, instituția supremă de audit din România, pe lângă manualul de audit, mai are extraordinar de multe de făcut în circumstanțele în care pretențiile dar și așteptările sunt foarte mari în ce privește această instituție. Este un domeniu foarte complex, cu profesioniști cu o personalitate puternică, pe care statul român, ca de obicei, nu îi folosește. Mă bucur totuși să îi regăsesc în spațiul economic privat românesc.

Link-uri:
www.intosaiitaudit.org
AUDIT OFFICE GALATI

vineri, 14 septembrie 2012

ITAF – asigurare și audit IT, un concept ISACA

Domeniul tehnologiei informației s-a dezvoltat atât de expansiv într-o perioadă atât de scurtă, dacă raportăm la întreaga perioadă de dezvoltare a omenirii, încât etapa imediat următoare de fragmentare și de specializare pe domenii de interes și tehnologii a venit firesc și aproape neobservată. De asemenea, domeniul tehnologiei informației a devenit din ce în ce mai prezent în viața de zi cu zi, aproape nelipsit sau chiar de o necesitate critică în cadrul vieții economice.

ISACA – Information Systems Audit and Control Association (www.isaca.org) este una din organizațiile cu reputație internațională care a depus eforturi susținute pentru a crea un cadru de reglementare și de evaluare a activităților și proceselor din cadrul domeniului tehnologiei informației. În acest sens, pe lângă standardele, ghidurile și procedurile emise în sprijinul activității de audit, susține și ITAFa Professional Practices Framework for IT Assurance, un cadru profesional de urmat în cadrul anagajamentelor de asigurare.

Din dorința de aliniere concretă la interesele și obiectivele organizațiilor, poate și din motive comerciale, dezvoltarea conceptului de asigurare vine în sprijinul celor care nu au resurse pentru audit dar își doresc să dețină informații și un anumit grad de asigurare că obiectivele organizației vor fi îndeplinite cu sprijinul activităților din domeniul tehnologiei informației. Documentul menționează că cea mai bună metodă de a asigura obținerea acestui deziderat este aceea de a efectua un audit.

ITAF are un dublu rol, pe de o parte să înglobeze toate materialele ISACA și conceptul său despre audit în domeniul tehnologiei informației, iar pe de altă parte să introducă conceptul de asigurare într-o simbioză perfectă cu conceptul de audit și să deschidă ușile utilizării și a altor documente sau reglementări emise de alte organizații. Într-o oarecare măsură, cadrul de lucru este asemănător ISO 19011:2011, la nivel de principii, însă la nivel de detaliu fiecare document își urmărește propriul concept.

Simbioza dintre audit și asigurare, care la prima vedere aduce multe beneficii, deoarece ITAF urmărește să fie aplicabil unui domeniu larg de profesioniști, creează și un mic deserviciu fiecărui concept prin faptul că numai profesioniști experimentați vor distinge granița dintre audit și asigurare.

În cadrul secțiunii 1800 suntem mai degrabă avertizați asupra cuvintelor “audit” și “asigurare” care urmează să fie utilizate pentru a descrie activități specifice desfășurate de către profesioniști. De asemenea, nu sunt emise definiții ale conceptelor dar este precizat sensul sub care, în cadrul acestui document, termenii vor fi utilizați.

“asigurarea” este privită ca o activitate / angajament de emitere a unei comunicări scrise care exprimă o concluzie asupra unui subiect de care este responsabil o parte în urma unei relații dintre două sau mai multe părți. În același context “audit” se referă la un tip specific de angajament de asigurare.

În aceste circumstanțe, angajamentele de asigurare pot fi efectuate cu o varietate de grade de rigoare pentru a ajunge la o concluzie asupra unui subiect și prin urmare de a furniza utilizatorului concluziei un anumit nivel de asigurare sau comfort. Pentru a evita anumite confuzii între “asigurare” și un termen utilizat pe scara largă cu privire la angajamentele cu proceduri agreate sau specificate (agreed on/upon specified procedures), ITAF nu consideră acest tip de angajament “audit” iar distribuția rapoartelor rezultate consideră că trebuie restricționată.

ITAF pe lângă alte definiții ne propune două nivele de asigurare:
- “examination level” care se referă la un anagajament de atestare care să furnizeze un nivel ridicat/înalt de asigurare;
- “review level” care se referă la un angajament de atestare care să furnizeze un nivel moderat de asigurare.

Aceste nivele de “asigurare” sunt considerate a fi efectuate cu un grad mai mic de rigoare decât “auditul”.

Și pentru ca conceptul general să fie complet sunt introduse și noțiunile:
- “quality review”
- “inspection”
care au rolul unui control al calității modului de efectuare a angajamentelor de asigurare dar și al politicilor și procedurilor unei organizații.

ITAF nu conține clasificări sau categorisiri dar face referiri la următoarele angajamente:
- angajament de audit
- angajament de atestare
- angajament de raportare directă
- angajament de asigurare (“assurance engagement”)
- angajament de verificare (“review engagement”)
- (“specified procedures engagement”)
- (“management consulting engagement”)

Fără a formula o concluzie, ITAF introduce concepte noi, într-o simbioză de termeni menită a crea flexibilitate pentru a veni în sprijinul celor care doresc să creeze un anumit nivel de confort utilizatorilor sau beneficiarilor cu privire la resposabilitățile pe care le au față de ei. Cu siguranță documentul va fi actualizat și îmbunătățit. Până la o nouă ediție îl includ la documente relevante pentru activitatea de audit și asigurare.

sâmbătă, 8 septembrie 2012

ISO 19011:2011 – AUDIT, auditor și alte clarificări


Nu voi intra în detalii despre ce înseamnă ISO – International Organization for Standardization (www.iso.org) dar merită să menționez că, în opinia mea, această organizație internațională și-a asumat rolul de a dezvolta standarde la un nivel profesional ridicat, cu o reputație și independență reală. Deși este organizația cu cel mai mare număr de documente publicate și utilizate, în diferite forme, de către alte organizații, aplicarea sau implementarea acestor documente rămâne voluntară. Din motive de respectare a legislației cu privire la proprietatea intelectuală, terminologia este adaptată la propriile concepte, fără a fi restrictivă, este aplicabilă și adaptabilă în toate domeniile cunoscute. În consecință, fără a le încadra la categoria “obligatoriu de urmat”, standardele ISO le încadrez, cel puțin, în categoria documentelor relevante care pot sta la baza unei evaluări profesionale în orice domeniu.

Standardul ISO 19011:2011 Guidelines for auditing management systems, la cea de a doua ediție a sa, vine cu clarificări, definiții și terminologii, în domeniul auditului. Cuvântul audit, foarte strâns legat de domeniul financiar-contabil, care a definit o activitate standardizată de către profesioniștii din domeniul economic, acum este generalizat și utilizat în conjuncție cu un nou concept și anume sistemele de management.

Dacă aplicăm acest concept asupra proceselor desfășurate în cadrul unei organizații, putem distinge, doar cu scop de exemplificare și fără detaliere, mai multe sisteme de management, cum ar fi:
- sistemul de management al producției;
- sistemul de management economic sau financiar-contabil;
- sistemul de management al riscurilor
- sistemul de management al securității informației
- sistemul de management al calității;
- sistemul de management al responsabilității sociale;
- etc.

Standardul ISO 19011:2011 își propune să stabilească anumite reguli de urmat pentru o nouă activitate, denumită în mod generic auditul sistemelor de management, pentru sistemele deja publicate cât și pentru cele în dezvoltare.

Trebuie să menționez că ISO nu este singura organizație care reglementează activitatea de audit. Există numeroase alte organizații, la fel de recunoscute pe plan internațional care se ocupă cu reglementarea activității de audit, pentru anumite domenii specifice, la un nivel profesional și de detaliere chiar mai ridicat. Pentru a exemplifica, menționez aici ISACA – Information Systems Audit and Control Association (www.isaca.org), pentru domeniul sistemelor informaționale, dar cu o abordare un pic diferită față de sistemul de management al securității informației.

Această introducere, pe lângă rolul de prezentare a cadrului în care voi aborda o anumită temă, mai are și rolul de a sugera că desfășurătorul nu este la liberă alegere. Suntem supuși unor constrângeri legate de regulile de copyright sau a unor acuzații de plagiat. În aceste circumstanțe voi cita din standard, voi prezenta o traducere necertificată a standardului, voi amesteca, dacă va fi posibil, și câteva idei sau opinii personale.

Standardul ISO 19011:2011, din punctul meu de vedere, oferă definiția general valabilă a auditului. Definiția oferă punctul de origine al activității de audit.

“ 3.1
audit
systematic, independent and documented process for obtaining audit evidence (3.3) and evaluating it objectively to determine the extent to which the audit criteria (3.2) are fulfilled ”

Într-o traducere personală, subliniez că activitatea de audit se efectuează în mod sistematic (punct cu punct, în totalitate), în mod independent (indiferent de natura evaluării independenței), în mod documentat (programat, planificat, etc.) pentru obținerea unor dovezi de audit, evaluarea lor în mod obiectiv și determinarea dacă criteriile de audit sunt îndeplinite.

Cu alte cuvinte, orice e mai puțin decât decât definiția de mai sus, nu este audit.

Tot în cadrul standardului ISO 19011:2011 se clasifică auditurile în:
A. Audit intern
(denumit în anumite documente ca audit de primă parte sau audit de producător)
B. Audit extern
            B.1. Audit de secundă parte sau audit de furnizor
            B.2. Audit de terță parte sau audit independent sau audit de certificare

Standardul ISO 19011:2011 se întinde pe aproape 50 de pagini din care mai evoc doar faptul că sunt introduse noțiunile de audit combinat “combined audit”, audit unificat “joint audit” și se menționează despre integrarea “integrated” sistemelor de management.

Din păcate, din motive comerciale sau a drepturilor de proprietate intelectuală, activitatea de audit suferă numeroase modificări, este trecută prin filtrul unor școli de gândire sau este modelată în baza unor noi abordări astfel încât criteriile de audit devin din ce în ce mai flexibile, și nu în sensul creșterii exigenței. Constat tendința de coborâre a ștachetei astfel încât pe prima treaptă a podiumului să urce cât mai multe organizații. Rămân adeptul teoriei care spune că podiumul trebuie să rămână gol dacă nu există nimeni care să se urce la înălțimea lui.

Link:
AUDIT OFFICE GALATI

marți, 7 august 2012

În era ERP-urilor tot spreadsheet-urile MS Excel sunt la putere


De ceva vreme, și mă regăsesc din ce în ce mai des în această situație, sunt în poziția de a prezenta, ori mai bine zis încerc să demonstrez, că există o valoare adăugată în urma alinierii la anumite standarde de guvernanță, implementării corecte a unor sisteme de management, integrării tuturor proceselor într-un sistem informațional.

În fața unor manageri, tineri sau mai în vârstă, care administrează bugete cu multe zero-uri în coadă, care apar pe coperțile revistelor financiare, nu prea îți mai rămân multe de spus. Dacă vreau cumva să închei un contract, cu siguranță ar fi bine să nu intru în contradicție cu viziunea managerului, inclusiv a echipei sale. Nu sunt atât de motivat, consider că un contract trebuie să vină ca urmare a unei necesități și să ofere o soluție la problemele companiei. În această direcție încerc să prezint lucrurile și insist să demonstrez afirmațiile mele cu exemple practice din activitatea curentă. Aproape de fiecare dată, îmi este prezentată activitatea organizației și modul în care este administrată cu mult entuziasm. De cel puțin o sută de ori îmi sunt reamintite sume astronomice care au fost cheltuite, dar mai ales cum se situează cu mult în fața competitorilor interni. Competitorii externi intră într-o altă categorie, aproape că nici nu contează, totul se rezumă doar la competiția internă care naște toate pasiunile.

Astăzi, nu cred să mai funcționeze organizații cu cifre de afaceri de peste 1 milion de EUR și peste 200 de angajați, fără să fi încercat să implementeze un ERP sau un sistem de management. În fiecare dintre ele, după ce treceam de prezentările entuziaste și intram in miezul problemelor, de fiecare dată, ajungeam să discutăm de anumite fișere în MS Excel, la care lucrau un număr mare de angajați, a căror informații redundante erau și în ERP sau administrau procese care nu se regăseau în sistemul informațional. În cazul ERP-urile care exportau rapoarte în fișiere MS Excel, datele erau introduse de operatori și urmau un anumit flux până la nivelul managerilor după care erau exportate, mai mult sau mai puțin prelucrate și apoi prezentate managerilor. În foarte multe cazuri fișierele conțineau informații, apreciate chiar de proprietarii lor, ca fiind de o importanță crucială.

În aceste condiții putem oare vorbi de un management profesional? Managementul urmărește doar un singur obiectiv, profitul cu orice preț? Este rata profitului unitatea de masură a guvernanței corporatiste? Răspunsul la cele trei întrebări este NU, dar în funcție de anumite situații se fac anumite nuanțări. Dacă discuția a juns să depășească această etapă și echipa managerială admite că există suficiente motive de îngrijorare, nu-mi mai rămâne decât să le prezint avantajele unor evaluări mai laborioase efectuate de către auditul intern, auditul extern, implementarea unor standarde, crearea unui sistem informațional util și eficient. Din păcate, chiar în fața unor argumente clar prezentate, am revenit la nivelul superficial al discuțiilor, aproape de fiecare dată fiind ironizat de o atitudine autosuficientă.

În cadrul fiecărei organizații, mai mică sau mai mare, se consumă o resursă a cărei valoare nici un manager nu a putut-o estima și anume TIMPUL. Rezultă că niciodată nu vei ști ce valoare are timpul în care cauți o anumită informație pentru a lua o decizie eficientă.

Cu regret constat, că în orice domeniu, fără a aprofunda, sunt prezentate mereu date estimative. Este cineva gata să certifice datele dintr-un fișier excel și să răspundă pentru corectitudinea acestor date? Mă refer aici la fișiere cu mii de înregistrări și nu la tabele cu zece celule.

Încă odată subliniez, că în epoca marilor aplicații cu baze de date, tabelele de calcul din MS Excel sunt la mare căutare. NU vreau să generalizez, companiile mici pot utiliza în continuare MS Excel, este un instrument de încredere dacă este utilizat corect, dar pentru companiile care dau manageri de succes sunt acceptate doar tabelele din PowerPoint.

vineri, 8 iunie 2012

Breșa de securitate de la LinkedIn indusă de lipsa unui CIO / CISO

Nu sunt membru de foarte mult timp al platformei LinkedIn, sau mai bine zis al acestei rețele profesionale, dar în tot acest timp am profitat pe deplin de facilitățile pe care le pune la dispoziție. Existența acestei rețele profesionale, în care activează grupuri puternice în domeniul securității informației, mi-a indus sentimentul, într-un anumit fel chiar și pe merit, că există “locuri” create de profesioniști pentru profesioniști. Bineînțeles că odată cu creșterea popularițății LinkedIn, platforma a devenit o țintă, poate și pentru faptul că anumite profesii, precum cele din domeniul tehnologiei informației, au creat o aură suplimentară, iar acum se dovedește că a fost puțin cam prematur amplificată. 

Din această experiență avem multe de învățat toți cei care ne atribuim o carieră profesională în domeniul tehnologiei informațiilor, dar mai ales cei care trebuie, iau decizii zilnic sau influențează modul administrare al companiilor. Sunt convins că LinkedIn v-a remedia această situație dar îmi pare nespus de rău pentru următoarele victime. Un gust amar îmi revine în minte deoarece știu că mulți profesioniști, permanent, se oferă să sprijine organizațiile din poziția de CIO sau CISO dar sunt complet ignorați. Nu există nici o scuză care să fie pe deplin îndreptățită pentru cei care doar mimează profesionalismul sau nu se implică. 

Personal sufăr de un fel de paranoia, se mai numește și scepticism profesional, care mă ajută să-mi dau seama dacă o lecție a fost învățată sau nu. Un exemplu concludent că se urmărește doar profitul, iar conformitatea cu anumite standarde produce doar teme pentru conferințe internaționale. Nu există nici o scuză care să fie pe deplin îndreptățită pentru cei care doar mimează profesionalismul. În România există peste o mie de companii sau organizații care ar trebui să beneficieze de serviciile profesionale ale unui CIO / CISO. După informațiile mele nu sunt cu mult peste o sută cei care ar putea să ocupe aceste poziții. În marea lor majoritate acești profesioniști sunt ignorați de către management. Aș putea spune că o mare parte dintre ei nici măcar nu ocupă poziții dedicate și sunt împrăștiați probabil în TOP 1000 companii din România. Există multe domenii de activitate în care, cel puțin, instituțiile cu rang de reglementator au recomandat existența unor poziții de CIO / CISO. Experiența mi-a arătat că dacă aceste poziții au fost create, ele au fost ocupate de personal necalificat , ori, de cele mai multe ori, situația a fost rezolvată prin cumularea funcțiilor dar cu o evidentă încălcare a pricipiului segregării operațiunilor. 

Dacă în acest moment LinkedIn poate că suferă o depreciere a imaginii sale, imaginațivă ce daune ar putea fi produse dacă parolele de autentificare ar fi expuse public. Dacă a pățit-o LinkedIn i se poate întâmpla oricui. Dacă te macină această problemă, citește acest articol aici, sau aici, apoi caută un consultant aici și rezolvă problema cu adevărat. Poți încerca și pe LinkedIn. Este un loc în care vei găsi profesioniști. Îl recomand dacă încă stai pe gânduri.

Link:
AUDIT OFFICE GALATI