Auditorul si auditatul

Prin definitie, auditul este un proces prin care o persoană (sau grup de persoane) independentă şi calificată, numită auditor, face o evaluare obiectivă a unui sistem informatic, de obicei în raport cu un standard sau un obiectiv propus. Există şi auditul intern, proces prin care se asigură o conformitate continuă cu standardele interne. Auditul intern poate fi verificat periodic prin auditul extern.
Auditul de securitate este procesul prin care se evaluează nivelul de securitate al unui sistem informatic. Auditul trebuie realizat într-un anumit context (toată reţeaua sau numai o parte, procedurile sau întreg planul de securitate) şi având un obiectiv bine definit (de exemplu conformitatea cu standardul ISO27001).

Independenta
Este binecunoscut ca nu se poate audita propria munca. Astfel, exista o incompatibilitate intre calitatea de auditor si cea de consultant sau de integrator de solutii. Nici macar auditul intern nu trebuie sa fie realizat de o persoana care este sau a fost recent implicata in implementarea sau intretinerea sistemului auditat.

Problema independentei se pune atat auditorului ca persoana dar mai ales auditorului ca si companie. In general independenta este o negare a oricaror interese financiare sau de imagine, sau oricand exista motive care ar putea impiedica un audit obiectiv.

Un auditor independent este acel auditor care nu a fost implicat in activitati de consultanta, de implementare sau de furnizare pentru solutiile informatice care compun sistemul auditat. Consideram ca un auditor poate fi considerat independent, perioada de timp care trebuie sa se scurga de la, de exemplu, un contract de consultanta, este de 3 ani in cazul in care au existat in trecut relatii de aceasta natura.

Evident, un auditor poate fi contractat de aceeasi organizatie si pentru activitati de consultanta, insa acesta nu mai poate realiza ulterior audituri pentru acelasi beneficiar.

Calificarea
Pentru a-si exprima o opinie sau a ajunge la un set de concluzii pertinente, un auditor trebuie sa aiba un bogat bagaj de cunostinte in domeniu, iar experienta anterioara in activitati de implementare si consultanta de solutii informatice este de neinlocuit. De asemenea, intotdeauna un auditor care are experienta bogata in audituri pe un anume segment, trebuie sa fie preferat in fata unor „generalisti”.
O echipa de auditori este formata din cel putin un auditor si unul sau mai multi experti in tehnologie, astfel incat opiniile sa poata fii obiective si sa aiba o baza solida.
Un auditor este considerat a fi calificat atunci cand are nu numai certificari de auditor, dar are si experienta tehnica necesara atat in unele tehnologii dar si pe partea de servicii, competente care trebuie reinoite continuu.

Autoritatea
Acest aspect are doua fatete. In primul rand se pune problema autoritatii opiniilor emise de un auditor. Aceasta problema este doar in parte rezolvata de calificarile auditorului/auditorilor. Este evident ca o certificare de auditor da valoare raportului care va rezulta. Insa in fata unei terte parti (opinia publica, o alta autoritate care cere un raport de audit) vor mai conta si alti factori: notorietatea, independenta, experienta, etc.

Alta fateta este autoritatea pe care o are auditorul fata de auditat. In primul rand auditorului trebuie sa i se permita accesul la informatiile necesare in desfasurarea auditului, iar aceste informatii trebuie sa fie reale, corecte si curente, in caz contrar rezultatul auditului nu va mai reflecta realitatea. In al doilea rand, rezultatul auditului trebuie sa produca un anumit ecou in randurile managementului, in caz contrar intregul proiect ar fi inutil.

Continuarea
De obicei un audit este urmat de un proces de corectare a nonconfirmatilor, etapa pentru care se poate apela la un consultant extern şi la un auditor intern. Auditul se repetă fie la cerere fie dupa un interval rezonabil, de exemplu un an, rezultand un proces continuu de evaluare si imbunatatire.

Calitatea costa!
Alegerea auditorului este foarte importanta. Calitatea auditorului influenteaza calitatea rezultatului, atat in ceea ce priveste relevanta si apropierea de realitate cat si aprecierea opiniilor de catre terti. Evident ca si costurile reprezinta un factor pentru alegerea unui auditor, dar sa nu uitam principiul care guverneaza viata de zi cu zi: calitatea costa!