ITAF – asigurare și audit IT, un concept ISACA
Domeniul
tehnologiei informației s-a dezvoltat atât de expansiv într-o perioadă atât de
scurtă, dacă raportăm la întreaga perioadă de dezvoltare a omenirii, încât
etapa imediat următoare de fragmentare și de specializare pe domenii de interes
și tehnologii a venit firesc și aproape neobservată. De asemenea, domeniul
tehnologiei informației a devenit din ce în ce mai prezent în viața de zi cu zi,
aproape nelipsit sau chiar de o necesitate critică în cadrul vieții economice.
ISACA
– Information Systems Audit and Control Association (www.isaca.org) este una din organizațiile cu
reputație internațională care a depus eforturi susținute pentru a crea un cadru
de reglementare și de evaluare a activităților și proceselor din cadrul
domeniului tehnologiei informației. În acest sens, pe lângă standardele,
ghidurile și procedurile emise în sprijinul activității de audit, susține și
ITAF – a Professional Practices Framework for IT Assurance, un cadru profesional
de urmat în cadrul anagajamentelor de asigurare.
Din
dorința de aliniere concretă la interesele și obiectivele organizațiilor, poate
și din motive comerciale, dezvoltarea conceptului de asigurare vine în
sprijinul celor care nu au resurse pentru audit dar își doresc să dețină
informații și un anumit grad de asigurare că obiectivele organizației vor fi
îndeplinite cu sprijinul activităților din domeniul tehnologiei informației.
Documentul menționează că cea mai bună metodă de a asigura obținerea acestui
deziderat este aceea de a efectua un audit.
ITAF
are un dublu rol, pe de o parte să înglobeze toate materialele ISACA și
conceptul său despre audit în domeniul tehnologiei informației, iar pe de altă
parte să introducă conceptul de asigurare într-o simbioză perfectă cu conceptul
de audit și să deschidă ușile utilizării și a altor documente sau reglementări
emise de alte organizații. Într-o oarecare măsură, cadrul de lucru este asemănător
ISO 19011:2011, la nivel de principii, însă la nivel de detaliu fiecare
document își urmărește propriul concept.
Simbioza
dintre audit și asigurare, care la prima vedere aduce multe beneficii, deoarece
ITAF urmărește să fie aplicabil unui domeniu larg de profesioniști, creează și
un mic deserviciu fiecărui concept prin faptul că numai profesioniști
experimentați vor distinge granița dintre audit și asigurare.
În
cadrul secțiunii 1800 suntem mai degrabă avertizați asupra cuvintelor “audit”
și “asigurare” care urmează să fie utilizate pentru a descrie activități
specifice desfășurate de către profesioniști. De asemenea, nu sunt emise
definiții ale conceptelor dar este precizat sensul sub care, în cadrul acestui
document, termenii vor fi utilizați.
“asigurarea”
este privită ca o activitate / angajament de emitere a unei comunicări scrise
care exprimă o concluzie asupra unui subiect de care este responsabil o parte
în urma unei relații dintre două sau mai multe părți. În același context “audit”
se referă la un tip specific de angajament de asigurare.
În
aceste circumstanțe, angajamentele de asigurare pot fi efectuate cu o varietate
de grade de rigoare pentru a ajunge la o concluzie asupra unui subiect și prin
urmare de a furniza utilizatorului concluziei un anumit nivel de asigurare sau
comfort. Pentru a evita anumite confuzii între “asigurare” și un termen
utilizat pe scara largă cu privire la angajamentele cu proceduri agreate sau
specificate (agreed on/upon specified procedures), ITAF nu consideră acest tip
de angajament “audit” iar distribuția rapoartelor rezultate consideră că
trebuie restricționată.
ITAF
pe lângă alte definiții ne propune două nivele de asigurare:
-
“examination level” care se referă la un anagajament de atestare care să furnizeze
un nivel ridicat/înalt de asigurare;
-
“review level” care se referă la un angajament de atestare care să furnizeze un
nivel moderat de asigurare.
Aceste
nivele de “asigurare” sunt considerate a fi efectuate cu un grad mai mic de
rigoare decât “auditul”.
Și
pentru ca conceptul general să fie complet sunt introduse și noțiunile:
-
“quality review”
-
“inspection”
care
au rolul unui control al calității modului de efectuare a angajamentelor de
asigurare dar și al politicilor și procedurilor unei organizații.
ITAF
nu conține clasificări sau categorisiri dar face referiri la următoarele
angajamente:
-
angajament de audit
-
angajament de atestare
-
angajament de raportare directă
-
angajament de asigurare (“assurance engagement”)
-
angajament de verificare (“review engagement”)
-
(“specified procedures engagement”)
-
(“management consulting engagement”)
Fără a formula o concluzie, ITAF introduce concepte
noi, într-o simbioză de termeni menită a crea flexibilitate pentru a veni în
sprijinul celor care doresc să creeze un anumit nivel de confort utilizatorilor
sau beneficiarilor cu privire la resposabilitățile pe care le au față de ei. Cu
siguranță documentul va fi actualizat și îmbunătățit. Până la o nouă ediție îl
includ la documente relevante pentru activitatea de audit și asigurare.