vineri, 14 septembrie 2012

ITAF – asigurare și audit IT, un concept ISACA

Domeniul tehnologiei informației s-a dezvoltat atât de expansiv într-o perioadă atât de scurtă, dacă raportăm la întreaga perioadă de dezvoltare a omenirii, încât etapa imediat următoare de fragmentare și de specializare pe domenii de interes și tehnologii a venit firesc și aproape neobservată. De asemenea, domeniul tehnologiei informației a devenit din ce în ce mai prezent în viața de zi cu zi, aproape nelipsit sau chiar de o necesitate critică în cadrul vieții economice.

ISACA – Information Systems Audit and Control Association (www.isaca.org) este una din organizațiile cu reputație internațională care a depus eforturi susținute pentru a crea un cadru de reglementare și de evaluare a activităților și proceselor din cadrul domeniului tehnologiei informației. În acest sens, pe lângă standardele, ghidurile și procedurile emise în sprijinul activității de audit, susține și ITAFa Professional Practices Framework for IT Assurance, un cadru profesional de urmat în cadrul anagajamentelor de asigurare.

Din dorința de aliniere concretă la interesele și obiectivele organizațiilor, poate și din motive comerciale, dezvoltarea conceptului de asigurare vine în sprijinul celor care nu au resurse pentru audit dar își doresc să dețină informații și un anumit grad de asigurare că obiectivele organizației vor fi îndeplinite cu sprijinul activităților din domeniul tehnologiei informației. Documentul menționează că cea mai bună metodă de a asigura obținerea acestui deziderat este aceea de a efectua un audit.

ITAF are un dublu rol, pe de o parte să înglobeze toate materialele ISACA și conceptul său despre audit în domeniul tehnologiei informației, iar pe de altă parte să introducă conceptul de asigurare într-o simbioză perfectă cu conceptul de audit și să deschidă ușile utilizării și a altor documente sau reglementări emise de alte organizații. Într-o oarecare măsură, cadrul de lucru este asemănător ISO 19011:2011, la nivel de principii, însă la nivel de detaliu fiecare document își urmărește propriul concept.

Simbioza dintre audit și asigurare, care la prima vedere aduce multe beneficii, deoarece ITAF urmărește să fie aplicabil unui domeniu larg de profesioniști, creează și un mic deserviciu fiecărui concept prin faptul că numai profesioniști experimentați vor distinge granița dintre audit și asigurare.

În cadrul secțiunii 1800 suntem mai degrabă avertizați asupra cuvintelor “audit” și “asigurare” care urmează să fie utilizate pentru a descrie activități specifice desfășurate de către profesioniști. De asemenea, nu sunt emise definiții ale conceptelor dar este precizat sensul sub care, în cadrul acestui document, termenii vor fi utilizați.

“asigurarea” este privită ca o activitate / angajament de emitere a unei comunicări scrise care exprimă o concluzie asupra unui subiect de care este responsabil o parte în urma unei relații dintre două sau mai multe părți. În același context “audit” se referă la un tip specific de angajament de asigurare.

În aceste circumstanțe, angajamentele de asigurare pot fi efectuate cu o varietate de grade de rigoare pentru a ajunge la o concluzie asupra unui subiect și prin urmare de a furniza utilizatorului concluziei un anumit nivel de asigurare sau comfort. Pentru a evita anumite confuzii între “asigurare” și un termen utilizat pe scara largă cu privire la angajamentele cu proceduri agreate sau specificate (agreed on/upon specified procedures), ITAF nu consideră acest tip de angajament “audit” iar distribuția rapoartelor rezultate consideră că trebuie restricționată.

ITAF pe lângă alte definiții ne propune două nivele de asigurare:
- “examination level” care se referă la un anagajament de atestare care să furnizeze un nivel ridicat/înalt de asigurare;
- “review level” care se referă la un angajament de atestare care să furnizeze un nivel moderat de asigurare.

Aceste nivele de “asigurare” sunt considerate a fi efectuate cu un grad mai mic de rigoare decât “auditul”.

Și pentru ca conceptul general să fie complet sunt introduse și noțiunile:
- “quality review”
- “inspection”
care au rolul unui control al calității modului de efectuare a angajamentelor de asigurare dar și al politicilor și procedurilor unei organizații.

ITAF nu conține clasificări sau categorisiri dar face referiri la următoarele angajamente:
- angajament de audit
- angajament de atestare
- angajament de raportare directă
- angajament de asigurare (“assurance engagement”)
- angajament de verificare (“review engagement”)
- (“specified procedures engagement”)
- (“management consulting engagement”)

Fără a formula o concluzie, ITAF introduce concepte noi, într-o simbioză de termeni menită a crea flexibilitate pentru a veni în sprijinul celor care doresc să creeze un anumit nivel de confort utilizatorilor sau beneficiarilor cu privire la resposabilitățile pe care le au față de ei. Cu siguranță documentul va fi actualizat și îmbunătățit. Până la o nouă ediție îl includ la documente relevante pentru activitatea de audit și asigurare.

sâmbătă, 8 septembrie 2012

ISO 19011:2011 – AUDIT, auditor și alte clarificări


Nu voi intra în detalii despre ce înseamnă ISO – International Organization for Standardization (www.iso.org) dar merită să menționez că, în opinia mea, această organizație internațională și-a asumat rolul de a dezvolta standarde la un nivel profesional ridicat, cu o reputație și independență reală. Deși este organizația cu cel mai mare număr de documente publicate și utilizate, în diferite forme, de către alte organizații, aplicarea sau implementarea acestor documente rămâne voluntară. Din motive de respectare a legislației cu privire la proprietatea intelectuală, terminologia este adaptată la propriile concepte, fără a fi restrictivă, este aplicabilă și adaptabilă în toate domeniile cunoscute. În consecință, fără a le încadra la categoria “obligatoriu de urmat”, standardele ISO le încadrez, cel puțin, în categoria documentelor relevante care pot sta la baza unei evaluări profesionale în orice domeniu.

Standardul ISO 19011:2011 Guidelines for auditing management systems, la cea de a doua ediție a sa, vine cu clarificări, definiții și terminologii, în domeniul auditului. Cuvântul audit, foarte strâns legat de domeniul financiar-contabil, care a definit o activitate standardizată de către profesioniștii din domeniul economic, acum este generalizat și utilizat în conjuncție cu un nou concept și anume sistemele de management.

Dacă aplicăm acest concept asupra proceselor desfășurate în cadrul unei organizații, putem distinge, doar cu scop de exemplificare și fără detaliere, mai multe sisteme de management, cum ar fi:
- sistemul de management al producției;
- sistemul de management economic sau financiar-contabil;
- sistemul de management al riscurilor
- sistemul de management al securității informației
- sistemul de management al calității;
- sistemul de management al responsabilității sociale;
- etc.

Standardul ISO 19011:2011 își propune să stabilească anumite reguli de urmat pentru o nouă activitate, denumită în mod generic auditul sistemelor de management, pentru sistemele deja publicate cât și pentru cele în dezvoltare.

Trebuie să menționez că ISO nu este singura organizație care reglementează activitatea de audit. Există numeroase alte organizații, la fel de recunoscute pe plan internațional care se ocupă cu reglementarea activității de audit, pentru anumite domenii specifice, la un nivel profesional și de detaliere chiar mai ridicat. Pentru a exemplifica, menționez aici ISACA – Information Systems Audit and Control Association (www.isaca.org), pentru domeniul sistemelor informaționale, dar cu o abordare un pic diferită față de sistemul de management al securității informației.

Această introducere, pe lângă rolul de prezentare a cadrului în care voi aborda o anumită temă, mai are și rolul de a sugera că desfășurătorul nu este la liberă alegere. Suntem supuși unor constrângeri legate de regulile de copyright sau a unor acuzații de plagiat. În aceste circumstanțe voi cita din standard, voi prezenta o traducere necertificată a standardului, voi amesteca, dacă va fi posibil, și câteva idei sau opinii personale.

Standardul ISO 19011:2011, din punctul meu de vedere, oferă definiția general valabilă a auditului. Definiția oferă punctul de origine al activității de audit.

“ 3.1
audit
systematic, independent and documented process for obtaining audit evidence (3.3) and evaluating it objectively to determine the extent to which the audit criteria (3.2) are fulfilled ”

Într-o traducere personală, subliniez că activitatea de audit se efectuează în mod sistematic (punct cu punct, în totalitate), în mod independent (indiferent de natura evaluării independenței), în mod documentat (programat, planificat, etc.) pentru obținerea unor dovezi de audit, evaluarea lor în mod obiectiv și determinarea dacă criteriile de audit sunt îndeplinite.

Cu alte cuvinte, orice e mai puțin decât decât definiția de mai sus, nu este audit.

Tot în cadrul standardului ISO 19011:2011 se clasifică auditurile în:
A. Audit intern
(denumit în anumite documente ca audit de primă parte sau audit de producător)
B. Audit extern
            B.1. Audit de secundă parte sau audit de furnizor
            B.2. Audit de terță parte sau audit independent sau audit de certificare

Standardul ISO 19011:2011 se întinde pe aproape 50 de pagini din care mai evoc doar faptul că sunt introduse noțiunile de audit combinat “combined audit”, audit unificat “joint audit” și se menționează despre integrarea “integrated” sistemelor de management.

Din păcate, din motive comerciale sau a drepturilor de proprietate intelectuală, activitatea de audit suferă numeroase modificări, este trecută prin filtrul unor școli de gândire sau este modelată în baza unor noi abordări astfel încât criteriile de audit devin din ce în ce mai flexibile, și nu în sensul creșterii exigenței. Constat tendința de coborâre a ștachetei astfel încât pe prima treaptă a podiumului să urce cât mai multe organizații. Rămân adeptul teoriei care spune că podiumul trebuie să rămână gol dacă nu există nimeni care să se urce la înălțimea lui.

Link:
AUDIT OFFICE GALATI

marți, 7 august 2012

În era ERP-urilor tot spreadsheet-urile MS Excel sunt la putere


De ceva vreme, și mă regăsesc din ce în ce mai des în această situație, sunt în poziția de a prezenta, ori mai bine zis încerc să demonstrez, că există o valoare adăugată în urma alinierii la anumite standarde de guvernanță, implementării corecte a unor sisteme de management, integrării tuturor proceselor într-un sistem informațional.

În fața unor manageri, tineri sau mai în vârstă, care administrează bugete cu multe zero-uri în coadă, care apar pe coperțile revistelor financiare, nu prea îți mai rămân multe de spus. Dacă vreau cumva să închei un contract, cu siguranță ar fi bine să nu intru în contradicție cu viziunea managerului, inclusiv a echipei sale. Nu sunt atât de motivat, consider că un contract trebuie să vină ca urmare a unei necesități și să ofere o soluție la problemele companiei. În această direcție încerc să prezint lucrurile și insist să demonstrez afirmațiile mele cu exemple practice din activitatea curentă. Aproape de fiecare dată, îmi este prezentată activitatea organizației și modul în care este administrată cu mult entuziasm. De cel puțin o sută de ori îmi sunt reamintite sume astronomice care au fost cheltuite, dar mai ales cum se situează cu mult în fața competitorilor interni. Competitorii externi intră într-o altă categorie, aproape că nici nu contează, totul se rezumă doar la competiția internă care naște toate pasiunile.

Astăzi, nu cred să mai funcționeze organizații cu cifre de afaceri de peste 1 milion de EUR și peste 200 de angajați, fără să fi încercat să implementeze un ERP sau un sistem de management. În fiecare dintre ele, după ce treceam de prezentările entuziaste și intram in miezul problemelor, de fiecare dată, ajungeam să discutăm de anumite fișere în MS Excel, la care lucrau un număr mare de angajați, a căror informații redundante erau și în ERP sau administrau procese care nu se regăseau în sistemul informațional. În cazul ERP-urile care exportau rapoarte în fișiere MS Excel, datele erau introduse de operatori și urmau un anumit flux până la nivelul managerilor după care erau exportate, mai mult sau mai puțin prelucrate și apoi prezentate managerilor. În foarte multe cazuri fișierele conțineau informații, apreciate chiar de proprietarii lor, ca fiind de o importanță crucială.

În aceste condiții putem oare vorbi de un management profesional? Managementul urmărește doar un singur obiectiv, profitul cu orice preț? Este rata profitului unitatea de masură a guvernanței corporatiste? Răspunsul la cele trei întrebări este NU, dar în funcție de anumite situații se fac anumite nuanțări. Dacă discuția a juns să depășească această etapă și echipa managerială admite că există suficiente motive de îngrijorare, nu-mi mai rămâne decât să le prezint avantajele unor evaluări mai laborioase efectuate de către auditul intern, auditul extern, implementarea unor standarde, crearea unui sistem informațional util și eficient. Din păcate, chiar în fața unor argumente clar prezentate, am revenit la nivelul superficial al discuțiilor, aproape de fiecare dată fiind ironizat de o atitudine autosuficientă.

În cadrul fiecărei organizații, mai mică sau mai mare, se consumă o resursă a cărei valoare nici un manager nu a putut-o estima și anume TIMPUL. Rezultă că niciodată nu vei ști ce valoare are timpul în care cauți o anumită informație pentru a lua o decizie eficientă.

Cu regret constat, că în orice domeniu, fără a aprofunda, sunt prezentate mereu date estimative. Este cineva gata să certifice datele dintr-un fișier excel și să răspundă pentru corectitudinea acestor date? Mă refer aici la fișiere cu mii de înregistrări și nu la tabele cu zece celule.

Încă odată subliniez, că în epoca marilor aplicații cu baze de date, tabelele de calcul din MS Excel sunt la mare căutare. NU vreau să generalizez, companiile mici pot utiliza în continuare MS Excel, este un instrument de încredere dacă este utilizat corect, dar pentru companiile care dau manageri de succes sunt acceptate doar tabelele din PowerPoint.

vineri, 8 iunie 2012

Breșa de securitate de la LinkedIn indusă de lipsa unui CIO / CISO

Nu sunt membru de foarte mult timp al platformei LinkedIn, sau mai bine zis al acestei rețele profesionale, dar în tot acest timp am profitat pe deplin de facilitățile pe care le pune la dispoziție. Existența acestei rețele profesionale, în care activează grupuri puternice în domeniul securității informației, mi-a indus sentimentul, într-un anumit fel chiar și pe merit, că există “locuri” create de profesioniști pentru profesioniști. Bineînțeles că odată cu creșterea popularițății LinkedIn, platforma a devenit o țintă, poate și pentru faptul că anumite profesii, precum cele din domeniul tehnologiei informației, au creat o aură suplimentară, iar acum se dovedește că a fost puțin cam prematur amplificată. 

Din această experiență avem multe de învățat toți cei care ne atribuim o carieră profesională în domeniul tehnologiei informațiilor, dar mai ales cei care trebuie, iau decizii zilnic sau influențează modul administrare al companiilor. Sunt convins că LinkedIn v-a remedia această situație dar îmi pare nespus de rău pentru următoarele victime. Un gust amar îmi revine în minte deoarece știu că mulți profesioniști, permanent, se oferă să sprijine organizațiile din poziția de CIO sau CISO dar sunt complet ignorați. Nu există nici o scuză care să fie pe deplin îndreptățită pentru cei care doar mimează profesionalismul sau nu se implică. 

Personal sufăr de un fel de paranoia, se mai numește și scepticism profesional, care mă ajută să-mi dau seama dacă o lecție a fost învățată sau nu. Un exemplu concludent că se urmărește doar profitul, iar conformitatea cu anumite standarde produce doar teme pentru conferințe internaționale. Nu există nici o scuză care să fie pe deplin îndreptățită pentru cei care doar mimează profesionalismul. În România există peste o mie de companii sau organizații care ar trebui să beneficieze de serviciile profesionale ale unui CIO / CISO. După informațiile mele nu sunt cu mult peste o sută cei care ar putea să ocupe aceste poziții. În marea lor majoritate acești profesioniști sunt ignorați de către management. Aș putea spune că o mare parte dintre ei nici măcar nu ocupă poziții dedicate și sunt împrăștiați probabil în TOP 1000 companii din România. Există multe domenii de activitate în care, cel puțin, instituțiile cu rang de reglementator au recomandat existența unor poziții de CIO / CISO. Experiența mi-a arătat că dacă aceste poziții au fost create, ele au fost ocupate de personal necalificat , ori, de cele mai multe ori, situația a fost rezolvată prin cumularea funcțiilor dar cu o evidentă încălcare a pricipiului segregării operațiunilor. 

Dacă în acest moment LinkedIn poate că suferă o depreciere a imaginii sale, imaginațivă ce daune ar putea fi produse dacă parolele de autentificare ar fi expuse public. Dacă a pățit-o LinkedIn i se poate întâmpla oricui. Dacă te macină această problemă, citește acest articol aici, sau aici, apoi caută un consultant aici și rezolvă problema cu adevărat. Poți încerca și pe LinkedIn. Este un loc în care vei găsi profesioniști. Îl recomand dacă încă stai pe gânduri.

Link:
AUDIT OFFICE GALATI

sâmbătă, 10 martie 2012

Independența auditorului și/sau a auditului

În câteva cuvinte. Ești ori nu ești?

Educația ne ajută să credem în valori, să cităm adesea din cunoscute personalități, care dea lungul timpului și-au exprimat opinii sau păreri, care mai devreme sau mai târziu, unele dintre ele, au căpătat valoare de axiome. Educația ne permite să evaluăm unghiul drept al teoremei lui Pitagora, nu prin prisma nedreptăților care sugrumă societatea, ci prin valoarea profesionalismului și a probității morale a profesionistului. Judecata practicianului trebuie să fie mai presus de îndoieli, chiar dacă acestea își găsesc locul în mentalul colectiv. Deseori încercăm să stăm strâmb pentru a încerca să judecăm drept. Probabil, independența auditorului se încadrează în aceiași tipologie. La început o considerăm o axiomă, apoi, pe parcursul acumulării de experiență, axioma noastră capătă esență de variabilă. O variabilă, două variabile, trei variabile, . . .

Noțiunea în sine poate fi descrisă ca un “vis imposibil”. Nu e imposibil să visăm. În consecință, putem să ne referim la “independența auditorului” privind asupra independenței auditorului intern și/sau a auditorului extern, în aceiași măsură. Pentru procesul de audit este esențială o atitudine, un nivel de înțelegere, un “state of mind”, dacă îmi este permis, caracterizată prin integritate și o abordare obiectivă. Acest concept cere auditorului să-și îndeplinească sarcinile, să își finalizeze lucrarea într-un mod “liber” și de o manieră nepărtinitoare.

Independența auditorului intern este, sau ne-am educat să credem că înseamnă, situația în care  auditorul intern este independent de părți sau facțiuni, ale căror interese ar putea să nu fie complet aliniate la un management al riscului efectiv, la un real control intern și nu, în ultimul rând, la o guvernanță și o administrare optimă. Existența unui Manual al Auditului precum și raportarea către un Comitet de Audit, în general asigură independența față management a auditorului intern. Aderarea la un cod etic (prin intermediul unei asociații profesionale), inclusiv la un cod etic al companiei, îl ajută pe auditorul intern să-și găsească poziția în care să rămână independent față de furnizori, clienți, terțe părți ...

Independența auditorului extern înseamnă independența față de părți care au un interes față de orice informație deținută de organizația auditată. Un sprijin deosebit de important în păstrarea independenței față de Comitetul de Audit îl reprezintă contractul de prestare de servicii de audit. De asemenea, clauzele contractuale care indică standardele internaționale care vor fi urmărite, vor asigura, în general, independența față de management. Codul etic, ca și în cazul auditorului intern, este bine să fie parte a contractului, în vederea asigurării independenței față de creditori, debitori, furmizori, clienți, alte terțe părți.

Independența Auditului Intern este dată de Directorul de Audit (Chief Audit Executive) care este obligat să aibă o atitudine independentă și să asigure independența organizațională.

Scopul unui audit, în general, este acela de a întări încrederea în modul de guvernare al unei organizații, prin furnizarea în scris a unei asigurări rezonabile, de către o persoană/firmă independentă, printr-o prezentare reală și corectă, că obiectivele asumate vor fi îndeplinite, în conformitate cu standardele convenite. Obiectivul auditului nu va fi realizat dacă utilizatorii raportului de audit vor crede că auditorul a fost influențat de alte părți, în special de către managerii companiei sau este purtătorul unui conflict de interese (de exemplu deține acțiuni ale companiei auditate). Suplimentar, pe lângă competența profesională și tehnică, independența auditorului este cel mai important factor în stabilirea credibilității opiniei de audit.

Independența auditorului, este văzută în cadrul profesiei ca o verigă care poate crea o bază solidă de încredere în profesiunea de auditor. Nu același lucru au produs scandalurile din domeniul financiar, care au reușit să afecteze negativ percepția asupra independenței auditorului.

Auditorul, oricare ar fi el, își manifestă independența în trei etape ale activității sale:
- etapa de programare
- etapa de investigare
- etapa de raportare

Independența în etapa de programare, protejează în mod esențial abilitatea auditorului de a selecta cele mai adecvate strategii pentru efectuarea unui audit. Auditorii trebuie să fie liberi, să se simtă liberi de a aborda o anumită parte a lucrării, în maniera pe care o consideră cea mai potrivită. Pe măsură ce compania auditată se va dezvolta și va introduce în fabricație noi produse sau va presta noi servicii, abordarea auditorului va fi mai degrabă una de adaptare la aceste schimbări. Să ținem cont că profesia de auditor este extrem de dinamică și că beneficiază permanent de tehnologii noi sau upgradate, pe care auditorul, la un moment dat, poate decide să le folosească. Strategiile sau metodele propuse pe care auditorul intenționează, la un moment dat să le implementeze, nu trebuie în nici un fel inhibate.

Independența în etapa de investigare protejează abilitatea auditorului de a implementa strategii în orice formă consideră el necesar. Cunoaștem că în mod formal, auditorul trebuie să aibă acces nelimitat la toate informațiile companiei. Compania auditată trebuie să furnizeze răspunsuri la orice cerere cu privire la afacerile companiei sau la modul de tratare a anumitor procese. În principiu, colectarea de probe de audit este un proces esențial și acesta nu poate fi restricționat în nici un fel de către compania auditată.

Independența în etapa de raportare protejează abilitatea auditorului de a dezvălui în mod public orice informație pe care acesta consideră că trebuie să o facă cunoscută. Dacă directorii companiei au indus în eroare acționarii prezentând informații nereale, vor face tot ce este posibil ca să prevină situația în care auditorul ar putea să raporteze aceasta. Analizăm o situație în care independența auditorului este mai degrabă compromisă. Auditorul, în măsura în care consideră că principiul independenței auditului a fost compromis se poate retrage și poate încheia angajamentul fără întocmirea raportului de audit. Bineînțeles, sunt obligatorii clauzele contractuale care să sprijine o asemenea decizie.

Pe lângă toate cele prezentate până acum, mai sunt și alte aspecte cu privire la independență, pe care trebuie să le distingem în continuare: independența de facto (independența reală) și independența în aparență (independența percepută). Aceste două noi aspecte sunt esențiale în atingerea obiectivului de independență. Independența reală se referă la independența auditorului în registrul factual, nimeni nu îl oprește să facă ce dorește să facă, iar uneori este catalogată ca o independență de spirit. Pentru a fi mai concreți un pic, independența reală este în legătură cu starea de spirit “state of mind” a unui auditor și cum acesta va acționa sau rezolva o situație specifică. Un auditor care este independent “de facto” are abilitatea de a lua decizii independente chiar dacă există percepția unei lipse de independență sau auditorul este pus într-o poziție compromițătoare de către directorii companiei. Există o mulțime de dificultăți în determinarea dacă un auditor este cu adevărat independent, din moment ce este aproape imposibil (nu este imposibil să visăm , să dorim, să încercam) să observăm și să măsurăm atitudinea mentală a unei persoane precum și integritatea personală și profesională. În mod similar, obiectivitatea unui auditor trebuie să fie dincolo de orice suspiciune. Dar cum putem garanta sau măsura  acest lucru? Acesta este motivul pentru care independența percepută are o asemenea importanță.

Este de asemenea esențial ca un auditor, pe lângă faptul că acționează în mod independent, trebuie să și fie perceput ca independent, de asemenea. Dacă un auditor este în realitate independent, dar unul sau mai mulți factori sugerează altceva, să presupunem în mod potențial, că “sugestiile” ar putea conduce la concluzia publică că raportul de audit nu prezintă o opinie reală și corectă. Independența în aparență, nu face altceva decât să reducă șansele ca un auditor să acționeze altfel decât independent, ceea ce în mod direct adaugă credibilitate raportului de audit. Dacă auditorul refuză gesturile dvs. de ospitalitate este pentru că, consideră necesar, să sublinieze această independență în aparență. Și bineînțeles are acest drept. Pentru că este în realitate independent.

Când auditorii companiei sunt în conflict cu directorii este important ca acest conflict să fie rezolvat fără ca auditorii să piardă ceva din independența lor. Aceasta se dovedește a fi foarte dificil deoarece auditorul câștigă un salariu sau comision de pe urma prestării unui serviciu  și din care își asigura existența. Acest salariu/comision este plătit de conducerea companiei care se plasează în acest fel pe o poziție dominantă în această relație auditor-management. Și de aici răsare dilema legată de cum poate echipa de audit să-i mulțumească pe directori fără să piardă nimic din independența lor și să-i păstreze pe manageri fericiți astfel încât să se asigure repetarea auditului/afacerii, deci un nou câștig financiar.

Problemele cu privire la independența auditorului provin și din alte două surse:
- relația auditorului cu compania, clientul.
- natura profesiei de auditor.

Un auditor își câștigă existența pe baza comisionului/salariului plătit, ceea ce în mod automat, este pus în situația în care, nu își dorește să piardă acest venit. Această conexiune cu comisionul clientului poate afecta independența unui auditor. Dacă auditorul simte că acest venit este mult mai important decât responsabilitatea lui față de acționari, auditorul ar putea să nu mai efectueze auditul cu interesele acționarilor în minte. Cu cât este mai mare comisionul, cu atât este mai probabil ca auditorul să-și “uite” atribuțiile și să execute un audit fără independență. Aceasta ar putea conduce la manipularea constatărilor și la exploatarea standardelor. Prin efectuarea unui audit fără independență, acționarii se vor simți înselați, pe măsură ce auditorul va fi din ce în ce mai conectat cu managementul. Pentru a încuraja auditorul să-și mențină independența, acesta trebuie protejat față de Consiliul Directorilor sau management. Concluzia logică este că dacă auditorul este capabil să provoace dezvăluiri sau să raporteze constatările sale, fără riscul de ași pierde slujba, cu atât mai probabil este că el își va efectua lucrarea în condiții de completă independență. Oricare ar fi considerațiile noastre, privind situația de ansamblu, atât timp cât clientul determină angajamentul de audit și comisionul, auditorul nu va fi niciodată capabil să asigure o independență completă, cel puțin dacă luăm în considerare aspectul economic și financiar al problemei.

De cele mai multe ori, experiența din viața reală ne arată că directorii sunt cei care negociază contractele cu auditorii. Acestǎ situație este la rândul ei un focar de generare de situații care pun în pericol independența auditorului. În general, sau mai bine zis datorită condițiilor actuale de concurență, firmele de audit, în anumite situații, fac oferte cu tarife reduse directorilor. Este explicabilă această acțiune datorită necesitătii auditorului de a obține un nou contract sau de a semna un contract cu un nou client. Procedând în acest fel, firma de audit nu va fi capabilă să efectueze un audit complet, consecință a faptului că nu vor avea suficiente venituri pentru a plăti investigații amănunțite. Decizia de a mai renunța la puncte, capitole, sau întregi liste de verificare, printr-o acțiune de a mai reduce din costuri, ar putea însemna că echipa de audit este pusă în situația în care este nevoită să raporteze fără a avea toate probele necesare, ceea ce ar afecta calitatea raportului. Acest fapt aduce în ultimă instanță, posibilitatea de a fi suspicioși asupra independenței auditorilor și a auditului.

Deoarece am adus în discuție și acest aspect delicat al problemei și anume faptul că auditorul “mușcă mâna care îl hrănește” putem trage concluzia că auditorul este dependent de client prin faptul că acesta îi plătește comisionul. În mai multe articole, diverși renumiți autori, stipulează ideea că am putea fi de acord că dacă suma totală a comisioanelor de la un client nu depășesc 1% din valoarea totală a facturilor emise, auditorul este independent  față de acel client. Cum am mai spus, profesiunea de auditor este extrem de dinamică, fără a fi un adept al teoriei, pot spune că restul de 99 de clienți urmăresc aceleași obiective, și vor încerca să profite permanent de orice slăbiciune a auditorului, astfel încât să ajungă intr-o poziție dominantă care în mod cert afectează independența auditorului. Dacă nu în anul fiscal curent se are în vedere următorul an fiscal. Independența nu se evaluează prin teorii de genul: anul acesta sunt independent, anul următor nu voi fi dar peste doi ani cu certitudine revin la independență.

Situația reală se complică și mai mult (este o profesiune dinamică) prin faptul că în mod obișnuit firmele de audit prestează în mod suplimentar servicii de non-audit pe lângă serviciile de audit curente. Sunt exemple binecunoscute de situații în care firmele de audit ajută companiile client să-și îmbunătățească activitatea sau acționează în calitate de consultant pentru implementarea unei cerințe. Existența unor asemenea relații de muncă suplimentare cu clientul nu face altceva decât să ridice problema suspiciunii privind independența firmei de audit. Dacă comisioanele din servicii de non-audit ajung să aibă o valoare substanțială față de valoarea veniturilor obținute din audit, suspiciunea va apare din nou într-un mod direct proporțional. În aceste circumstanțe mă întreb ce valoare mai au standardele de audit, codul etic și alte documente? Cu siguranță firma de audit numai este neînfluențabilă și nu vede, pe lângă dorința companiei de a funcționa optim (acțiune deja în desfășurare), de ce nu ar putea să primească în continuare comisioane pentru consultanța acordată. Poate că este greu de înțeles, dar acest fenomen pune firma de audit într-o dependență față de directori iar auditorii, în nici într-un caz, nu mai lucrează în condiții de independență.

Competiția acerbă dintre firmele de audit a pus o presiune directă pe reducerea comisioanelor, iar acest lucru a condus la un fel de licitație pentru obținerea contractelor și care, până în final, nu a făcut decât să încurajeze reducerea numărului de ore de angajament per auditor. Presiunea de a reduce costurile poate reduce calitatea unui audit. Dacă o firmă de audit se simte amenințată de concurență, aceasta ar putea fi tentată să opereze anumite tăieri de costuri pentru a păstra un client. Aceste riscuri ale reducerii nivelului de performare ale standardelor de audit nu sunt împărtășite acționarilor și pot conduce la raportarea eronată către aceștia.

Privind dintr-un alt punct de vedere, competiția dintre firmele de audit, mai ales în cazul firmelor mari, stimulează fenomenul de apărare a reputației, a imaginii companiei, care este un fenomen foarte important. Nici o firmă de audit nu-și dorește să explice pierderea unui client mare (din motivele arătate mai sus). Rezultă că firma de audit este pusă în situația să devină mai puțin transparentă și dă posibilitatea directorilor de companii mari, să ocupe acea poziție dominantă, de comandă asupra firmei de audit, care, destul de probabil, va conduce la decizia de a profita de pe urma acestei poziții. Echipa de audit se va simți presată să satisfacă nevoile directorilor, chiar dacăa făcând în acest fel își vor pierde independența.

Un alt aspect pe care vreau să-l prezint are în vedere partea juridică a angajamentului de audit. Cu certitudine, legislația care protejează independența auditorului ar fi utilă, dar o voi dezvolta într-un alt post deoarece pentru moment sunt foarte puțini auditori români care fac audit pe alte meleaguri și deja știu tot ce trebuie să știe. Tot aici intră și asigurarea de “mal praxis”, care mai nou, trebuie să se ridice la sute de mii de euro, poate și mai mult. Această condiție nu face altceva decât să afecteze în mod grav independența auditorului. Directorii care cer unei firme de audit să dețină o asemenea asigurare nu fac decât să forțeze firma să se conformeze (sub diferite pretexte) astfel încât, la un moment dat, diferența de costuri care nu pot fi anexate altor contracte vor fi suportate de compania care cere această asigurare. Și nu în ultimul rând, auditorul care simte nevoia de a fi asigurat, este conștient de riscuri și admite posibilitatea lucrului în condiții de dependență sau de încălcare a altor principii ale auditului, care conduc inevitabil la o calitate redusă a auditului.

Cel mai important și puternic instrument, care sprijină independența auditorului, este contractul de prestări servicii de audit împreună cu toate anexele sale. Clauzele din contract au menirea să precizeze exact condițiile în care se efectuează auditul, să stabilească regulile după care în anumite momente se va proceda. Tendința directorilor este de a încheia un contract comercial de achiziție de bunuri și servicii cu clauzele aferente. Între contractul de prestare de servicii de audit și contractul comercial de achiziții nu există nici o similitudine. Prin urmare raportul de audit, inclusiv opinia de audit, nu este o marfă. Este greșit, noi ca auditori, să considerăm anumite documente în categoria “livrabile”. Raportul de audit, opinia de audit sau concluzia auditorului, face parte dintr-o etapă, și de multe ori nu ultima, pe care auditorul o parcurge în baza planului și programului de audit. Finalizarea angajamentului de audit are loc doar în momentul în care, în conformitate cu contractul și procedurilor interne, auditorul dispune transferarea tuturor documentelor la arhivă.

Alte acțiuni, care vin în sprijinul întăririi independenței auditorului, dar pe care eu le încadrez la categoria “dovezi de bună credință” ale companiei auditate, se referă la auditurile încrucișate, rotația firmelor de audit, rotația auditorilor, auditul de calitate și independență.

În calitate de auditor independent, deși în principiu toți auditorii sunt independenți, am explicat doar câteva din situațiile în care apare “tentația” de a nu mai fi independent. În realitate există cu mult mai multe situații în care independența auditorului este pusă la încercare.

Mai fac o singură precizare, în final, pentru a stabili și imaginea de ansamblu. Între a fi un auditor independent și un auditor dependent există o infinitate de stări, fiecare din ele extrem de bine argumentate. Și în nici într-un caz nu trebuie să asimilăm această stare cu starea unei gravide. Ori ești, ori nu ești. Mă refer la auditor.