vineri, 14 septembrie 2012

ITAF – asigurare și audit IT, un concept ISACA

Domeniul tehnologiei informației s-a dezvoltat atât de expansiv într-o perioadă atât de scurtă, dacă raportăm la întreaga perioadă de dezvoltare a omenirii, încât etapa imediat următoare de fragmentare și de specializare pe domenii de interes și tehnologii a venit firesc și aproape neobservată. De asemenea, domeniul tehnologiei informației a devenit din ce în ce mai prezent în viața de zi cu zi, aproape nelipsit sau chiar de o necesitate critică în cadrul vieții economice.

ISACA – Information Systems Audit and Control Association (www.isaca.org) este una din organizațiile cu reputație internațională care a depus eforturi susținute pentru a crea un cadru de reglementare și de evaluare a activităților și proceselor din cadrul domeniului tehnologiei informației. În acest sens, pe lângă standardele, ghidurile și procedurile emise în sprijinul activității de audit, susține și ITAFa Professional Practices Framework for IT Assurance, un cadru profesional de urmat în cadrul anagajamentelor de asigurare.

Din dorința de aliniere concretă la interesele și obiectivele organizațiilor, poate și din motive comerciale, dezvoltarea conceptului de asigurare vine în sprijinul celor care nu au resurse pentru audit dar își doresc să dețină informații și un anumit grad de asigurare că obiectivele organizației vor fi îndeplinite cu sprijinul activităților din domeniul tehnologiei informației. Documentul menționează că cea mai bună metodă de a asigura obținerea acestui deziderat este aceea de a efectua un audit.

ITAF are un dublu rol, pe de o parte să înglobeze toate materialele ISACA și conceptul său despre audit în domeniul tehnologiei informației, iar pe de altă parte să introducă conceptul de asigurare într-o simbioză perfectă cu conceptul de audit și să deschidă ușile utilizării și a altor documente sau reglementări emise de alte organizații. Într-o oarecare măsură, cadrul de lucru este asemănător ISO 19011:2011, la nivel de principii, însă la nivel de detaliu fiecare document își urmărește propriul concept.

Simbioza dintre audit și asigurare, care la prima vedere aduce multe beneficii, deoarece ITAF urmărește să fie aplicabil unui domeniu larg de profesioniști, creează și un mic deserviciu fiecărui concept prin faptul că numai profesioniști experimentați vor distinge granița dintre audit și asigurare.

În cadrul secțiunii 1800 suntem mai degrabă avertizați asupra cuvintelor “audit” și “asigurare” care urmează să fie utilizate pentru a descrie activități specifice desfășurate de către profesioniști. De asemenea, nu sunt emise definiții ale conceptelor dar este precizat sensul sub care, în cadrul acestui document, termenii vor fi utilizați.

“asigurarea” este privită ca o activitate / angajament de emitere a unei comunicări scrise care exprimă o concluzie asupra unui subiect de care este responsabil o parte în urma unei relații dintre două sau mai multe părți. În același context “audit” se referă la un tip specific de angajament de asigurare.

În aceste circumstanțe, angajamentele de asigurare pot fi efectuate cu o varietate de grade de rigoare pentru a ajunge la o concluzie asupra unui subiect și prin urmare de a furniza utilizatorului concluziei un anumit nivel de asigurare sau comfort. Pentru a evita anumite confuzii între “asigurare” și un termen utilizat pe scara largă cu privire la angajamentele cu proceduri agreate sau specificate (agreed on/upon specified procedures), ITAF nu consideră acest tip de angajament “audit” iar distribuția rapoartelor rezultate consideră că trebuie restricționată.

ITAF pe lângă alte definiții ne propune două nivele de asigurare:
- “examination level” care se referă la un anagajament de atestare care să furnizeze un nivel ridicat/înalt de asigurare;
- “review level” care se referă la un angajament de atestare care să furnizeze un nivel moderat de asigurare.

Aceste nivele de “asigurare” sunt considerate a fi efectuate cu un grad mai mic de rigoare decât “auditul”.

Și pentru ca conceptul general să fie complet sunt introduse și noțiunile:
- “quality review”
- “inspection”
care au rolul unui control al calității modului de efectuare a angajamentelor de asigurare dar și al politicilor și procedurilor unei organizații.

ITAF nu conține clasificări sau categorisiri dar face referiri la următoarele angajamente:
- angajament de audit
- angajament de atestare
- angajament de raportare directă
- angajament de asigurare (“assurance engagement”)
- angajament de verificare (“review engagement”)
- (“specified procedures engagement”)
- (“management consulting engagement”)

Fără a formula o concluzie, ITAF introduce concepte noi, într-o simbioză de termeni menită a crea flexibilitate pentru a veni în sprijinul celor care doresc să creeze un anumit nivel de confort utilizatorilor sau beneficiarilor cu privire la resposabilitățile pe care le au față de ei. Cu siguranță documentul va fi actualizat și îmbunătățit. Până la o nouă ediție îl includ la documente relevante pentru activitatea de audit și asigurare.

sâmbătă, 8 septembrie 2012

ISO 19011:2011 – AUDIT, auditor și alte clarificări


Nu voi intra în detalii despre ce înseamnă ISO – International Organization for Standardization (www.iso.org) dar merită să menționez că, în opinia mea, această organizație internațională și-a asumat rolul de a dezvolta standarde la un nivel profesional ridicat, cu o reputație și independență reală. Deși este organizația cu cel mai mare număr de documente publicate și utilizate, în diferite forme, de către alte organizații, aplicarea sau implementarea acestor documente rămâne voluntară. Din motive de respectare a legislației cu privire la proprietatea intelectuală, terminologia este adaptată la propriile concepte, fără a fi restrictivă, este aplicabilă și adaptabilă în toate domeniile cunoscute. În consecință, fără a le încadra la categoria “obligatoriu de urmat”, standardele ISO le încadrez, cel puțin, în categoria documentelor relevante care pot sta la baza unei evaluări profesionale în orice domeniu.

Standardul ISO 19011:2011 Guidelines for auditing management systems, la cea de a doua ediție a sa, vine cu clarificări, definiții și terminologii, în domeniul auditului. Cuvântul audit, foarte strâns legat de domeniul financiar-contabil, care a definit o activitate standardizată de către profesioniștii din domeniul economic, acum este generalizat și utilizat în conjuncție cu un nou concept și anume sistemele de management.

Dacă aplicăm acest concept asupra proceselor desfășurate în cadrul unei organizații, putem distinge, doar cu scop de exemplificare și fără detaliere, mai multe sisteme de management, cum ar fi:
- sistemul de management al producției;
- sistemul de management economic sau financiar-contabil;
- sistemul de management al riscurilor
- sistemul de management al securității informației
- sistemul de management al calității;
- sistemul de management al responsabilității sociale;
- etc.

Standardul ISO 19011:2011 își propune să stabilească anumite reguli de urmat pentru o nouă activitate, denumită în mod generic auditul sistemelor de management, pentru sistemele deja publicate cât și pentru cele în dezvoltare.

Trebuie să menționez că ISO nu este singura organizație care reglementează activitatea de audit. Există numeroase alte organizații, la fel de recunoscute pe plan internațional care se ocupă cu reglementarea activității de audit, pentru anumite domenii specifice, la un nivel profesional și de detaliere chiar mai ridicat. Pentru a exemplifica, menționez aici ISACA – Information Systems Audit and Control Association (www.isaca.org), pentru domeniul sistemelor informaționale, dar cu o abordare un pic diferită față de sistemul de management al securității informației.

Această introducere, pe lângă rolul de prezentare a cadrului în care voi aborda o anumită temă, mai are și rolul de a sugera că desfășurătorul nu este la liberă alegere. Suntem supuși unor constrângeri legate de regulile de copyright sau a unor acuzații de plagiat. În aceste circumstanțe voi cita din standard, voi prezenta o traducere necertificată a standardului, voi amesteca, dacă va fi posibil, și câteva idei sau opinii personale.

Standardul ISO 19011:2011, din punctul meu de vedere, oferă definiția general valabilă a auditului. Definiția oferă punctul de origine al activității de audit.

“ 3.1
audit
systematic, independent and documented process for obtaining audit evidence (3.3) and evaluating it objectively to determine the extent to which the audit criteria (3.2) are fulfilled ”

Într-o traducere personală, subliniez că activitatea de audit se efectuează în mod sistematic (punct cu punct, în totalitate), în mod independent (indiferent de natura evaluării independenței), în mod documentat (programat, planificat, etc.) pentru obținerea unor dovezi de audit, evaluarea lor în mod obiectiv și determinarea dacă criteriile de audit sunt îndeplinite.

Cu alte cuvinte, orice e mai puțin decât decât definiția de mai sus, nu este audit.

Tot în cadrul standardului ISO 19011:2011 se clasifică auditurile în:
A. Audit intern
(denumit în anumite documente ca audit de primă parte sau audit de producător)
B. Audit extern
            B.1. Audit de secundă parte sau audit de furnizor
            B.2. Audit de terță parte sau audit independent sau audit de certificare

Standardul ISO 19011:2011 se întinde pe aproape 50 de pagini din care mai evoc doar faptul că sunt introduse noțiunile de audit combinat “combined audit”, audit unificat “joint audit” și se menționează despre integrarea “integrated” sistemelor de management.

Din păcate, din motive comerciale sau a drepturilor de proprietate intelectuală, activitatea de audit suferă numeroase modificări, este trecută prin filtrul unor școli de gândire sau este modelată în baza unor noi abordări astfel încât criteriile de audit devin din ce în ce mai flexibile, și nu în sensul creșterii exigenței. Constat tendința de coborâre a ștachetei astfel încât pe prima treaptă a podiumului să urce cât mai multe organizații. Rămân adeptul teoriei care spune că podiumul trebuie să rămână gol dacă nu există nimeni care să se urce la înălțimea lui.

Link:
AUDIT OFFICE GALATI