Форум – Аудит: теория и практика |
![]() |
Александр Орлов 518d
|
Сообщений: 2 419 |
![]() |
Александр Орлов 518d
|
Сообщений: 2 419 |
![]() |
Владимир Фаворский 1b9c
|
Сообщений: 9 546 |
![]() |
|
Сообщений: 782 |
Казначейство принимает либо копии на бумаге, заверенные подписями руководства. Либо на диске, заверенное электронной подписью.Александр Орлов
Уважаемые, аудиторы!
Интересует реальный опыт взаимодействия аудиторов с проверяющими при ВККР СРО и Казначейства. По пользователям нашей программы такие данные у нас есть, но интересует и как этот процесс проходит у не пользователей специализированного ПО.
Пока данный вопрос у нас находится на стадии сбора информации и обобщения данных, но уже сейчас есть предположение, что некоторые проверяющие неосознанно или просто по недостаточности опыта в информационной безопасности, например, запрашивают сканы РД по электронной почте (иногда на личные ящики), так же просят раскрыть информацию о способах защиты коммерческой и аудиторской тайны в АО и т.п.
Кто сталкивался с подобным?
И вообще... Может тут нет ни какой проблемы, и мы зря уделяем этому столько внимания.
![]() |
|
Сообщений: 782 |
![]() |
|
Сообщений: 782 |
![]() |
Александр Орлов 518d
|
Сообщений: 2 419 |
Если коротко, то есть два отличия:Владимир Фаворский
чем передача скана документа из почтового ящика яндекса(аудитора) в почтовый ящик яндекса(контролера ВККР) отличается, от ЭДО любой организации по которой был проведен аудит ?
![]()
Статья 9. Аудиторская тайна
1. Аудиторскую тайну составляют любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее работниками, а также индивидуальным аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг, предусмотренных настоящим Федеральным законом, за исключением:
1) сведений, разглашенных самим лицом, которому оказывались услуги, предусмотренные настоящим Федеральным законом, либо с его согласия;
![]() |
Александр Орлов 518d
|
Сообщений: 2 419 |
Я ни в коем случае не хочу как-то дискредитировать контролеров или аудиторов. Сам живу в реальности и понимаю, что этот вопрос достаточно сложный и не достаточно проработанный в силу объективных причин. Информационная среда в том виде, в каком она существует последние годы, нова для человечества в целом.nika_audit
Вы плаваете в иных мирах. Некоторые аудиторские фирмы ( их сотрудники) не умеют ни сжимать файлы, ни делить, ни переводить из формата в формат. Так что то документы контролеру приходят в разном виде. И мы контролеры радуемся, что приходят ...... До момента углубленного изучения документов.
![]() |
Александр Орлов 518d
|
Сообщений: 2 419 |
Ну не знаю...nika_audit
Про ЭДО при ВККР забудьте. Пока этого нет в правилах ВККР при СРО, никто не заморачивается. Вот когда останется 10% от общего числа аудиторских фирм, ну может чуть больше или поменьше, то и будем говорить о защите.....
![]() |
|
Сообщений: 782 |
![]() |
Владимир Фаворский 1b9c
|
Сообщений: 9 546 |
аааАлександр Орлов
Если коротко, то есть два отличия:Владимир Фаворский
чем передача скана документа из почтового ящика яндекса(аудитора) в почтовый ящик яндекса(контролера ВККР) отличается, от ЭДО любой организации по которой был проведен аудит ?
1. Когда аудируемое лицо передает сведения, составляющие аудиторскую тайну, по открытым каналам связи (по e-mail), то возможное раскрытие конфиденциальной информации в связи с этой угрозой фактически производится самим клиентом. Аудитор в этом случае лишь запросил информацию и не отвечает за выбор канала ее передачи.
Понимаю, что это формальный подход, но при ВККР как раз на формальности основной акцент и делается.
Также аудитор является в этом случае получателем информации, т.е. даже теоретически не может считаться лицом, раскрывшим тайну.
Нормативное обоснование:
![]()
Статья 9. Аудиторская тайна
1. Аудиторскую тайну составляют любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее работниками, а также индивидуальным аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг, предусмотренных настоящим Федеральным законом, за исключением:
1) сведений, разглашенных самим лицом, которому оказывались услуги, предусмотренные настоящим Федеральным законом, либо с его согласия;
2. Личный ящик эксперта ВККР по умолчанию более подвержен угрозам компрометации, нежели специальные каналы связи. Просто в силу большей публичности.
Кроме того, аудитор в этом случае лишен возможности ссылаться на то, что данная информация была передана им в ходе выполнения требования ФЗ по предоставлению информации для проверки. Нет ни подтверждения запроса предоставления информации по открытым каналам связи, ни подтверждения, что именно контролер является ее получателем.
В случае утечки аудиторской тайны в этом случае, будет достаточно сложно доказать соблюдение требований о неразглашении тайны, в силу того, что отправителем данного письма будет сам аудитор.
![]() |
|
Сообщений: 7 220 |
Интересно получается. Неужели конфиденциальные данные клиента можно просто отправлять через публичные почтовые сервисы? При предоставлении информации аудитору, мы например, используем специально защищённые каналы. А далее, при ВККР получается вообще никакие правила безопасности не действуют. Слов приличных нет. Как обычно, СРО не занимается своей прямой работой. Необходимо было давно внести изменения в регламент ВККР с целью защиты клиентских данных.nika_audit
Вы плаваете в иных мирах. Некоторые аудиторские фирмы ( их сотрудники) не умеют ни сжимать файлы, ни делить, ни переводить из формата в формат. Так что то документы контролеру приходят в разном виде. И мы контролеры радуемся, что приходят ...... До момента углубленного изучения документов.
![]() |
|
Сообщений: 368 |
Хорошо бы еще передавать РД по защищенному каналу, чтобы не было риска вскрытия ящика и нарушения аудиторской тайны. Но увы, далеко не у всех фирм есть технические возможности для этого.Escapist
Я бы ещё отметил, что РД и данные клиентов аудита теперь запрещено хранить на зарубежных серверах. Что в частности означает, что запрещено пересылать через зарубежные почтовые сервисы. Так что отправка РД контролеру на личный ящик на Gmail - теперь нарушение федерального закона.
![]() |
|
Сообщений: 7 220 |
Можно (и нужно) сделать т.н. виртуальные комнаты данных - отдельную под каждую проверку, при централизованной закупке и организации от СРО, полагаю, можно получить коммерчески выгодные условия, так как конкуренция разработчиков достаточная.Dana Scalli
Хорошо бы еще передавать РД по защищенному каналу, чтобы не было риска вскрытия ящика и нарушения аудиторской тайны. Но увы, далеко не у всех фирм есть технические возможности для этого.Escapist
Я бы ещё отметил, что РД и данные клиентов аудита теперь запрещено хранить на зарубежных серверах. Что в частности означает, что запрещено пересылать через зарубежные почтовые сервисы. Так что отправка РД контролеру на личный ящик на Gmail - теперь нарушение федерального закона.
|
Сообщений: 201 |
Именно по такому пути пошли разработчики IT Audit, когда предложили аудиторским компаниям механизм получения документов от аудируемых лиц. Все запрашиваемые документы сразу попадают непосредственно в проект по аудиту.Escapist
Можно (и нужно) сделать т.н. виртуальные комнаты данных - отдельную под каждую проверку
|
Сообщений: 3 591 |
![]() |
Александр Орлов 518d
|
Сообщений: 2 419 |
auditsoft, Ваше решение не может быть использовано ВККР, т.к. на разработку такого ПО необходима специальная лицензия, а самой разработкой должны заниматься специалисты с высшим образованием в области защиты информации.
|
Сообщений: 201 |
Александр Орлов
auditsoft, Ваше решение не может быть использовано ВККР, т.к. на разработку такого ПО необходима специальная лицензия, а самой разработкой должны заниматься специалисты с высшим образованием в области защиты информации
Ирина 9d3c
|
Сообщений: 430 |
![]() |
Вера Леонидовна 5248
|
Сообщений: 1 576 |
Ну красавчЕк же!Александр Орлов
ООО «Сервисный центр Контур» единственный разработчик аудиторского ПО в России с Лицензией на разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (к которым относится и использование средств электронной подписи).
Лицензия ФСБ №0015911 Рег.№16893Н от 18 октября 2018г.
![]() |
Александр Орлов 518d
|
Сообщений: 2 419 |
![]() |
|
Сообщений: 3 497 |
Mail.ru тоже -Escapist
Так что отправка РД контролеру на личный ящик на Gmail - теперь нарушение федерального закона.