ITAF – asigurare și audit IT, un concept ISACA

Domeniul tehnologiei informației s-a dezvoltat atât de expansiv într-o perioadă atât de scurtă, dacă raportăm la întreaga perioadă de dezvoltare a omenirii, încât etapa imediat următoare de fragmentare și de specializare pe domenii de interes și tehnologii a venit firesc și aproape neobservată. De asemenea, domeniul tehnologiei informației a devenit din ce în ce mai prezent în viața de zi cu zi, aproape nelipsit sau chiar de o necesitate critică în cadrul vieții economice.

ISACA – Information Systems Audit and Control Association (www.isaca.org) este una din organizațiile cu reputație internațională care a depus eforturi susținute pentru a crea un cadru de reglementare și de evaluare a activităților și proceselor din cadrul domeniului tehnologiei informației. În acest sens, pe lângă standardele, ghidurile și procedurile emise în sprijinul activității de audit, susține și ITAF – a Professional Practices Framework for IT Assurance, un cadru profesional de urmat în cadrul anagajamentelor de asigurare.

Din dorința de aliniere concretă la interesele și obiectivele organizațiilor, poate și din motive comerciale, dezvoltarea conceptului de asigurare vine în sprijinul celor care nu au resurse pentru audit dar își doresc să dețină informații și un anumit grad de asigurare că obiectivele organizației vor fi îndeplinite cu sprijinul activităților din domeniul tehnologiei informației. Documentul menționează că cea mai bună metodă de a asigura obținerea acestui deziderat este aceea de a efectua un audit.

ITAF are un dublu rol, pe de o parte să înglobeze toate materialele ISACA și conceptul său despre audit în domeniul tehnologiei informației, iar pe de altă parte să introducă conceptul de asigurare într-o simbioză perfectă cu conceptul de audit și să deschidă ușile utilizării și a altor documente sau reglementări emise de alte organizații. Într-o oarecare măsură, cadrul de lucru este asemănător ISO 19011:2011, la nivel de principii, însă la nivel de detaliu fiecare document își urmărește propriul concept.

Simbioza dintre audit și asigurare, care la prima vedere aduce multe beneficii, deoarece ITAF urmărește să fie aplicabil unui domeniu larg de profesioniști, creează și un mic deserviciu fiecărui concept prin faptul că numai profesioniști experimentați vor distinge granița dintre audit și asigurare.

În cadrul secțiunii 1800 suntem mai degrabă avertizați asupra cuvintelor “audit” și “asigurare” care urmează să fie utilizate pentru a descrie activități specifice desfășurate de către profesioniști. De asemenea, nu sunt emise definiții ale conceptelor dar este precizat sensul sub care, în cadrul acestui document, termenii vor fi utilizați.

“asigurarea” este privită ca o activitate / angajament de emitere a unei comunicări scrise care exprimă o concluzie asupra unui subiect de care este responsabil o parte în urma unei relații dintre două sau mai multe părți. În același context “audit” se referă la un tip specific de angajament de asigurare.

În aceste circumstanțe, angajamentele de asigurare pot fi efectuate cu o varietate de grade de rigoare pentru a ajunge la o concluzie asupra unui subiect și prin urmare de a furniza utilizatorului concluziei un anumit nivel de asigurare sau comfort. Pentru a evita anumite confuzii între “asigurare” și un termen utilizat pe scara largă cu privire la angajamentele cu proceduri agreate sau specificate (agreed on/upon specified procedures), ITAF nu consideră acest tip de angajament “audit” iar distribuția rapoartelor rezultate consideră că trebuie restricționată.

ITAF pe lângă alte definiții ne propune două nivele de asigurare:

- “examination level” care se referă la un anagajament de atestare care să furnizeze un nivel ridicat/înalt de asigurare;

- “review level” care se referă la un angajament de atestare care să furnizeze un nivel moderat de asigurare.

Aceste nivele de “asigurare” sunt considerate a fi efectuate cu un grad mai mic de rigoare decât “auditul”.

Și pentru ca conceptul general să fie complet sunt introduse și noțiunile:

- “quality review”

- “inspection”

care au rolul unui control al calității modului de efectuare a angajamentelor de asigurare dar și al politicilor și procedurilor unei organizații.

ITAF nu conține clasificări sau categorisiri dar face referiri la următoarele angajamente:

- angajament de audit

- angajament de atestare

- angajament de raportare directă

- angajament de asigurare (“assurance engagement”)

- angajament de verificare (“review engagement”)

- (“specified procedures engagement”)

- (“management consulting engagement”)

Fără a formula o concluzie, ITAF introduce concepte noi, într-o simbioză de termeni menită a crea flexibilitate pentru a veni în sprijinul celor care doresc să creeze un anumit nivel de confort utilizatorilor sau beneficiarilor cu privire la resposabilitățile pe care le au față de ei. Cu siguranță documentul va fi actualizat și îmbunătățit. Până la o nouă ediție îl includ la documente relevante pentru activitatea de audit și asigurare.