Форум – Аудит: теория и практика |
Предоставление РД при ВККР
|
Уважаемые, аудиторы!
Интересует реальный опыт взаимодействия аудиторов с проверяющими при ВККР СРО и Казначейства. По пользователям нашей программы такие данные у нас есть, но интересует и как этот процесс проходит у не пользователей специализированного ПО.
Пока данный вопрос у нас находится на стадии сбора информации и обобщения данных, но уже сейчас есть предположение, что некоторые проверяющие неосознанно или просто по недостаточности опыта в информационной безопасности, например, запрашивают сканы РД по электронной почте (иногда на личные ящики), так же просят раскрыть информацию о способах защиты коммерческой и аудиторской тайны в АО и т.п.
Кто сталкивался с подобным?
И вообще... Может тут нет ни какой проблемы, и мы зря уделяем этому столько внимания.
Интересует реальный опыт взаимодействия аудиторов с проверяющими при ВККР СРО и Казначейства. По пользователям нашей программы такие данные у нас есть, но интересует и как этот процесс проходит у не пользователей специализированного ПО.
Пока данный вопрос у нас находится на стадии сбора информации и обобщения данных, но уже сейчас есть предположение, что некоторые проверяющие неосознанно или просто по недостаточности опыта в информационной безопасности, например, запрашивают сканы РД по электронной почте (иногда на личные ящики), так же просят раскрыть информацию о способах защиты коммерческой и аудиторской тайны в АО и т.п.
Кто сталкивался с подобным?
И вообще... Может тут нет ни какой проблемы, и мы зря уделяем этому столько внимания.
|
|
Тишина...
Это потому что с такими ситуациями не сталкивались или про них публично говорить не очень хочется?
Это потому что с такими ситуациями не сталкивались или про них публично говорить не очень хочется?
|
|
Казначейство принимает либо копии на бумаге, заверенные подписями руководства. Либо на диске, заверенное электронной подписью.Александр Орлов
Уважаемые, аудиторы!
Интересует реальный опыт взаимодействия аудиторов с проверяющими при ВККР СРО и Казначейства. По пользователям нашей программы такие данные у нас есть, но интересует и как этот процесс проходит у не пользователей специализированного ПО.
Пока данный вопрос у нас находится на стадии сбора информации и обобщения данных, но уже сейчас есть предположение, что некоторые проверяющие неосознанно или просто по недостаточности опыта в информационной безопасности, например, запрашивают сканы РД по электронной почте (иногда на личные ящики), так же просят раскрыть информацию о способах защиты коммерческой и аудиторской тайны в АО и т.п.
Кто сталкивался с подобным?
И вообще... Может тут нет ни какой проблемы, и мы зря уделяем этому столько внимания.
При ВККР сканы отправляются на личную почту контролера качества. Так было много лет назад, так это происходит и по сей день, независимо от СРО
|
|
|
|
|
|
Если коротко, то есть два отличия:
чем передача скана документа из почтового ящика яндекса(аудитора) в почтовый ящик яндекса(контролера ВККР) отличается, от ЭДО любой организации по которой был проведен аудит ?
1. Когда аудируемое лицо передает сведения, составляющие аудиторскую тайну, по открытым каналам связи (по e-mail), то возможное раскрытие конфиденциальной информации в связи с этой угрозой фактически производится самим клиентом. Аудитор в этом случае лишь запросил информацию и не отвечает за выбор канала ее передачи.
Понимаю, что это формальный подход, но при ВККР как раз на формальности основной акцент и делается.
Также аудитор является в этом случае получателем информации, т.е. даже теоретически не может считаться лицом, раскрывшим тайну.
Нормативное обоснование:
Статья 9. Аудиторская тайна
1. Аудиторскую тайну составляют любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее работниками, а также индивидуальным аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг, предусмотренных настоящим Федеральным законом, за исключением:
1) сведений, разглашенных самим лицом, которому оказывались услуги, предусмотренные настоящим Федеральным законом, либо с его согласия;
2. Личный ящик эксперта ВККР по умолчанию более подвержен угрозам компрометации, нежели специальные каналы связи. Просто в силу большей публичности.
Кроме того, аудитор в этом случае лишен возможности ссылаться на то, что данная информация была передана им в ходе выполнения требования ФЗ по предоставлению информации для проверки. Нет ни подтверждения запроса предоставления информации по открытым каналам связи, ни подтверждения, что именно контролер является ее получателем.
В случае утечки аудиторской тайны в этом случае, будет достаточно сложно доказать соблюдение требований о неразглашении тайны, в силу того, что отправителем данного письма будет сам аудитор.
|
|
Я ни в коем случае не хочу как-то дискредитировать контролеров или аудиторов. Сам живу в реальности и понимаю, что этот вопрос достаточно сложный и не достаточно проработанный в силу объективных причин. Информационная среда в том виде, в каком она существует последние годы, нова для человечества в целом.
Вы плаваете в иных мирах. Некоторые аудиторские фирмы ( их сотрудники) не умеют ни сжимать файлы, ни делить, ни переводить из формата в формат. Так что то документы контролеру приходят в разном виде. И мы контролеры радуемся, что приходят ...... До момента углубленного изучения документов.
Просто для более объективного и всестороннего рассмотрения данного вопроса, решил еще и на форуме обсудить данный вопрос. Не все же аудиторы еще наши пользователи...
|
|
Ну не знаю...
Про ЭДО при ВККР забудьте. Пока этого нет в правилах ВККР при СРО, никто не заморачивается. Вот когда останется 10% от общего числа аудиторских фирм, ну может чуть больше или поменьше, то и будем говорить о защите.....
На первый взгляд можно сильно поднять уровень безопасности данных с одновременным повышением удобства обмена ими как со стороны СРО так и со стороны аудиторов.
Это не мега сложные вещи. Просто им нужно уделить немного внимания.
|
|
|
|
аааЕсли коротко, то есть два отличия:
чем передача скана документа из почтового ящика яндекса(аудитора) в почтовый ящик яндекса(контролера ВККР) отличается, от ЭДО любой организации по которой был проведен аудит ?
1. Когда аудируемое лицо передает сведения, составляющие аудиторскую тайну, по открытым каналам связи (по e-mail), то возможное раскрытие конфиденциальной информации в связи с этой угрозой фактически производится самим клиентом. Аудитор в этом случае лишь запросил информацию и не отвечает за выбор канала ее передачи.
Понимаю, что это формальный подход, но при ВККР как раз на формальности основной акцент и делается.
Также аудитор является в этом случае получателем информации, т.е. даже теоретически не может считаться лицом, раскрывшим тайну.
Нормативное обоснование:
Статья 9. Аудиторская тайна
1. Аудиторскую тайну составляют любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее работниками, а также индивидуальным аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг, предусмотренных настоящим Федеральным законом, за исключением:
1) сведений, разглашенных самим лицом, которому оказывались услуги, предусмотренные настоящим Федеральным законом, либо с его согласия;
2. Личный ящик эксперта ВККР по умолчанию более подвержен угрозам компрометации, нежели специальные каналы связи. Просто в силу большей публичности.
Кроме того, аудитор в этом случае лишен возможности ссылаться на то, что данная информация была передана им в ходе выполнения требования ФЗ по предоставлению информации для проверки. Нет ни подтверждения запроса предоставления информации по открытым каналам связи, ни подтверждения, что именно контролер является ее получателем.
В случае утечки аудиторской тайны в этом случае, будет достаточно сложно доказать соблюдение требований о неразглашении тайны, в силу того, что отправителем данного письма будет сам аудитор.
ну если быть честным, то все взламывается, и 100 % гарантии ни на что нет
так что или вообще запретить использовать интернет или все оставить как есть
у меня чего только не взламывали
не готов платить дополнительно за негарантированную безопасность
|
Интересно получается. Неужели конфиденциальные данные клиента можно просто отправлять через публичные почтовые сервисы? При предоставлении информации аудитору, мы например, используем специально защищённые каналы. А далее, при ВККР получается вообще никакие правила безопасности не действуют. Слов приличных нет. Как обычно, СРО не занимается своей прямой работой. Необходимо было давно внести изменения в регламент ВККР с целью защиты клиентских данных.
Вы плаваете в иных мирах. Некоторые аудиторские фирмы ( их сотрудники) не умеют ни сжимать файлы, ни делить, ни переводить из формата в формат. Так что то документы контролеру приходят в разном виде. И мы контролеры радуемся, что приходят ...... До момента углубленного изучения документов.
-
Придется разбираться, что написано в договоре. И можно ли ограничить договором на аудит обращение предоставленной аудитору информации.
-
Я бы ещё отметил, что РД и данные клиентов аудита теперь запрещено хранить на зарубежных серверах. Что в частности означает, что запрещено пересылать через зарубежные почтовые сервисы. Так что отправка РД контролеру на личный ящик на Gmail - теперь нарушение федерального закона.
|
Хорошо бы еще передавать РД по защищенному каналу, чтобы не было риска вскрытия ящика и нарушения аудиторской тайны. Но увы, далеко не у всех фирм есть технические возможности для этого.
Я бы ещё отметил, что РД и данные клиентов аудита теперь запрещено хранить на зарубежных серверах. Что в частности означает, что запрещено пересылать через зарубежные почтовые сервисы. Так что отправка РД контролеру на личный ящик на Gmail - теперь нарушение федерального закона.
|
|
Можно (и нужно) сделать т.н. виртуальные комнаты данных - отдельную под каждую проверку, при централизованной закупке и организации от СРО, полагаю, можно получить коммерчески выгодные условия, так как конкуренция разработчиков достаточная.Хорошо бы еще передавать РД по защищенному каналу, чтобы не было риска вскрытия ящика и нарушения аудиторской тайны. Но увы, далеко не у всех фирм есть технические возможности для этого.
Я бы ещё отметил, что РД и данные клиентов аудита теперь запрещено хранить на зарубежных серверах. Что в частности означает, что запрещено пересылать через зарубежные почтовые сервисы. Так что отправка РД контролеру на личный ящик на Gmail - теперь нарушение федерального закона.
Именно по такому пути пошли разработчики IT Audit, когда предложили аудиторским компаниям механизм получения документов от аудируемых лиц. Все запрашиваемые документы сразу попадают непосредственно в проект по аудиту.
Можно (и нужно) сделать т.н. виртуальные комнаты данных - отдельную под каждую проверку
Реализацию данной задачи нам предложил один из наших клиентов, т.к. передача данных через электронную почту и т.п. сервисы действительно слабо обеспечивают конфиденциальность.
Аналогичный механизм могут сделать и сотрудники СРО для ВККР, в том числе и получение / передачи данных через сайт, включая личный кабинет или авторизацию через сертификат ЭП.
Исправлений: 1; последнее - в 31.03.2021, 17:53.
|
|
auditsoft, Ваше решение не может быть использовано ВККР, т.к. на разработку такого ПО необходима специальная лицензия, а самой разработкой должны заниматься специалисты с высшим образованием в области защиты информации.
ООО «Сервисный центр Контур» единственный разработчик аудиторского ПО в России с Лицензией на разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (к которым относится и использование средств электронной подписи).
Лицензия ФСБ №0015911 Рег.№16893Н от 18 октября 2018г.
Раз уж реклама пошла
auditsoft, Ваше решение не может быть использовано ВККР, т.к. на разработку такого ПО необходима специальная лицензия, а самой разработкой должны заниматься специалисты с высшим образованием в области защиты информации
А мы и не предлагаем свое ПО для решения данной задачи.
Специалисты СРО ААС могут самостоятельно реализовать механизм предоставления аудиторами документов при ВККР и без наличия лицензии ФСБ. А вот если будет в этом задействована привлеченная организация, то тогда лицензия и потребуется.
И если даже СРО ААС не захочет эту задачу реализовать собственными силами, то могут привлечь и других разработчиков, не обязательно разработчиков софта для аудиторов.
Исправлений: 4; последнее - в 31.03.2021, 18:25.
Сами они ничего не могут.
Специалисты СРО ААС могут самостоятельно реализовать механизм
|
Ну красавчЕк же!
ООО «Сервисный центр Контур» единственный разработчик аудиторского ПО в России с Лицензией на разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (к которым относится и использование средств электронной подписи).
Лицензия ФСБ №0015911 Рег.№16893Н от 18 октября 2018г.
|
|
Вера,
|
Mail.ru тоже -
Так что отправка РД контролеру на личный ящик на Gmail - теперь нарушение федерального закона.
[www.nic.ru]
Кипр
Только зарегистрированные пользователи могут писать в этот форум.