Бухгалтерский учет. Налоги. Аудит

Форум – Аудит: теория и практика

Обсуждаем:

Предоставление РД при ВККР

avatar 18.03.2021, 14:17
Уважаемые, аудиторы!

Интересует реальный опыт взаимодействия аудиторов с проверяющими при ВККР СРО и Казначейства. По пользователям нашей программы такие данные у нас есть, но интересует и как этот процесс проходит у не пользователей специализированного ПО.

Пока данный вопрос у нас находится на стадии сбора информации и обобщения данных, но уже сейчас есть предположение, что некоторые проверяющие неосознанно или просто по недостаточности опыта в информационной безопасности, например, запрашивают сканы РД по электронной почте (иногда на личные ящики), так же просят раскрыть информацию о способах защиты коммерческой и аудиторской тайны в АО и т.п.

Кто сталкивался с подобным?

И вообще... Может тут нет ни какой проблемы, и мы зря уделяем этому столько внимания.беда
avatar 19.03.2021, 13:12
Тишина...
Это потому что с такими ситуациями не сталкивались или про них публично говорить не очень хочется? жаль
avatar 19.03.2021, 13:27
Я бы обсудил, но не понятна суть вопроса, лично для меня.

чем передача скана документа из почтового ящика яндекса(аудитора) в почтовый ящик яндекса(контролера ВККР) отличается, от ЭДО любой организации по которой был проведен аудит ?
avatar 19.03.2021, 13:40
Александр Орлов
Уважаемые, аудиторы!

Интересует реальный опыт взаимодействия аудиторов с проверяющими при ВККР СРО и Казначейства. По пользователям нашей программы такие данные у нас есть, но интересует и как этот процесс проходит у не пользователей специализированного ПО.

Пока данный вопрос у нас находится на стадии сбора информации и обобщения данных, но уже сейчас есть предположение, что некоторые проверяющие неосознанно или просто по недостаточности опыта в информационной безопасности, например, запрашивают сканы РД по электронной почте (иногда на личные ящики), так же просят раскрыть информацию о способах защиты коммерческой и аудиторской тайны в АО и т.п.

Кто сталкивался с подобным?

И вообще... Может тут нет ни какой проблемы, и мы зря уделяем этому столько внимания.беда
Казначейство принимает либо копии на бумаге, заверенные  подписями  руководства. Либо на диске, заверенное электронной подписью.
При ВККР сканы отправляются на личную почту контролера качества. Так было много лет назад, так это происходит и по сей день, независимо от СРО
avatar 19.03.2021, 13:42
Вы плаваете в иных мирах. Некоторые аудиторские фирмы ( их сотрудники) не умеют ни сжимать файлы, ни делить, ни переводить из формата в формат. Так что то документы контролеру приходят в разном виде. И мы контролеры радуемся, что приходят ......  До момента углубленного изучения документов.
avatar 19.03.2021, 13:45
Про ЭДО при ВККР забудьте. Пока этого нет в правилах ВККР при СРО, никто не заморачивается. Вот когда останется 10% от общего числа аудиторских фирм, ну может чуть больше или поменьше, то и будем говорить о защите.....
avatar 19.03.2021, 13:49
Владимир Фаворский
чем передача скана документа из почтового ящика яндекса(аудитора) в почтовый ящик яндекса(контролера ВККР) отличается, от ЭДО любой организации по которой был проведен аудит ?
Если коротко, то есть два отличия:

1. Когда аудируемое лицо передает сведения, составляющие аудиторскую тайну, по открытым каналам связи (по e-mail), то возможное раскрытие конфиденциальной информации в связи с этой угрозой фактически производится самим клиентом. Аудитор в этом случае лишь запросил информацию и не отвечает за выбор канала ее передачи.
Понимаю, что это формальный подход, но при ВККР как раз на формальности основной акцент и делается.

Также аудитор является в этом случае получателем информации, т.е. даже теоретически не может считаться лицом, раскрывшим тайну.

Нормативное обоснование:

Статья 9. Аудиторская тайна

1. Аудиторскую тайну составляют любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее работниками, а также индивидуальным аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг, предусмотренных настоящим Федеральным законом, за исключением:
1) сведений, разглашенных самим лицом, которому оказывались услуги, предусмотренные настоящим Федеральным законом, либо с его согласия;

2. Личный ящик эксперта ВККР по умолчанию более подвержен угрозам компрометации, нежели специальные каналы связи. Просто в силу большей публичности.

Кроме того, аудитор в этом случае лишен возможности ссылаться на то, что данная информация была передана им в ходе выполнения требования ФЗ по предоставлению информации для проверки. Нет ни подтверждения запроса предоставления информации по открытым каналам связи, ни подтверждения, что именно контролер является ее получателем.

В случае утечки аудиторской тайны в этом случае, будет достаточно сложно доказать соблюдение требований о неразглашении тайны, в силу того, что отправителем данного письма будет сам аудитор.
avatar 19.03.2021, 13:55
nika_audit
Вы плаваете в иных мирах. Некоторые аудиторские фирмы ( их сотрудники) не умеют ни сжимать файлы, ни делить, ни переводить из формата в формат. Так что то документы контролеру приходят в разном виде. И мы контролеры радуемся, что приходят ......  До момента углубленного изучения документов.
Я ни в коем случае не хочу как-то дискредитировать контролеров или аудиторов. Сам живу в реальности и понимаю, что этот вопрос достаточно сложный и не достаточно проработанный в силу объективных причин. Информационная среда в том виде, в каком она существует последние годы, нова для человечества в целом.

Просто для более объективного и всестороннего рассмотрения данного вопроса, решил еще и на форуме обсудить данный вопрос. Не все же аудиторы еще наши пользователи...подмигнул
avatar 19.03.2021, 13:57
nika_audit
Про ЭДО при ВККР забудьте. Пока этого нет в правилах ВККР при СРО, никто не заморачивается. Вот когда останется 10% от общего числа аудиторских фирм, ну может чуть больше или поменьше, то и будем говорить о защите.....
Ну не знаю...
На первый взгляд можно сильно поднять уровень безопасности данных с одновременным повышением удобства обмена ими как со стороны СРО так и со стороны аудиторов.

Это не мега сложные вещи. Просто им нужно уделить немного внимания.
avatar 19.03.2021, 14:45
Вопрос - кому это надо......  СРО? у них сейчас иные проблемы.....
Контролерам? тоже нет. Нет этого в правилах ВККР
avatar 19.03.2021, 15:13
Александр Орлов
Владимир Фаворский
чем передача скана документа из почтового ящика яндекса(аудитора) в почтовый ящик яндекса(контролера ВККР) отличается, от ЭДО любой организации по которой был проведен аудит ?
Если коротко, то есть два отличия:

1. Когда аудируемое лицо передает сведения, составляющие аудиторскую тайну, по открытым каналам связи (по e-mail), то возможное раскрытие конфиденциальной информации в связи с этой угрозой фактически производится самим клиентом. Аудитор в этом случае лишь запросил информацию и не отвечает за выбор канала ее передачи.
Понимаю, что это формальный подход, но при ВККР как раз на формальности основной акцент и делается.

Также аудитор является в этом случае получателем информации, т.е. даже теоретически не может считаться лицом, раскрывшим тайну.

Нормативное обоснование:

Статья 9. Аудиторская тайна

1. Аудиторскую тайну составляют любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее работниками, а также индивидуальным аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг, предусмотренных настоящим Федеральным законом, за исключением:
1) сведений, разглашенных самим лицом, которому оказывались услуги, предусмотренные настоящим Федеральным законом, либо с его согласия;

2. Личный ящик эксперта ВККР по умолчанию более подвержен угрозам компрометации, нежели специальные каналы связи. Просто в силу большей публичности.

Кроме того, аудитор в этом случае лишен возможности ссылаться на то, что данная информация была передана им в ходе выполнения требования ФЗ по предоставлению информации для проверки. Нет ни подтверждения запроса предоставления информации по открытым каналам связи, ни подтверждения, что именно контролер является ее получателем.

В случае утечки аудиторской тайны в этом случае, будет достаточно сложно доказать соблюдение требований о неразглашении тайны, в силу того, что отправителем данного письма будет сам аудитор.
ааа
ну если быть честным, то все взламывается, и 100 % гарантии ни на что нет
так что или вообще запретить использовать интернет или все оставить как есть

у меня чего только не взламывали
не готов платить дополнительно за негарантированную безопасность
avatar
Escapist  
21.03.2021, 21:17
nika_audit
Вы плаваете в иных мирах. Некоторые аудиторские фирмы ( их сотрудники) не умеют ни сжимать файлы, ни делить, ни переводить из формата в формат. Так что то документы контролеру приходят в разном виде. И мы контролеры радуемся, что приходят ......  До момента углубленного изучения документов.
Интересно получается. Неужели конфиденциальные данные клиента можно просто отправлять через публичные почтовые сервисы? При предоставлении информации аудитору, мы например, используем специально защищённые каналы. А далее, при ВККР получается вообще никакие правила безопасности не действуют. Слов приличных нет. Как обычно, СРО не занимается своей прямой работой. Необходимо было давно внести изменения в регламент ВККР с целью защиты клиентских данных.
-
Придется разбираться, что написано в договоре. И можно ли ограничить договором на аудит обращение предоставленной аудитору информации.
-
Я бы ещё отметил, что РД и данные клиентов аудита теперь запрещено хранить на зарубежных серверах. Что в частности означает, что запрещено пересылать через зарубежные почтовые сервисы. Так что отправка РД контролеру на личный ящик на Gmail - теперь нарушение федерального закона.
avatar 31.03.2021, 00:15
Escapist
Я бы ещё отметил, что РД и данные клиентов аудита теперь запрещено хранить на зарубежных серверах. Что в частности означает, что запрещено пересылать через зарубежные почтовые сервисы. Так что отправка РД контролеру на личный ящик на Gmail - теперь нарушение федерального закона.
Хорошо бы еще передавать РД по защищенному каналу, чтобы не было риска вскрытия ящика и нарушения аудиторской тайны. Но увы, далеко не у всех фирм есть технические возможности для этого.
avatar
Escapist  
31.03.2021, 00:37
Dana Scalli
Escapist
Я бы ещё отметил, что РД и данные клиентов аудита теперь запрещено хранить на зарубежных серверах. Что в частности означает, что запрещено пересылать через зарубежные почтовые сервисы. Так что отправка РД контролеру на личный ящик на Gmail - теперь нарушение федерального закона.
Хорошо бы еще передавать РД по защищенному каналу, чтобы не было риска вскрытия ящика и нарушения аудиторской тайны. Но увы, далеко не у всех фирм есть технические возможности для этого.
Можно (и нужно) сделать т.н. виртуальные комнаты данных - отдельную под каждую проверку, при централизованной закупке и организации от СРО, полагаю, можно получить коммерчески выгодные условия, так как конкуренция разработчиков достаточная.
auditsoft  
31.03.2021, 12:27
Escapist
Можно (и нужно) сделать т.н. виртуальные комнаты данных - отдельную под каждую проверку
Именно по такому пути пошли разработчики IT Audit, когда предложили аудиторским компаниям механизм получения документов от аудируемых лиц. Все запрашиваемые документы сразу попадают непосредственно в проект по аудиту.

Реализацию данной задачи нам предложил один из наших клиентов, т.к. передача данных через электронную почту и т.п. сервисы действительно слабо обеспечивают конфиденциальность.

Аналогичный механизм могут сделать и сотрудники СРО для ВККР, в том числе и получение / передачи данных через сайт, включая личный кабинет или авторизацию через сертификат ЭП.
Исправлений: 1; последнее - в 31.03.2021, 17:53.
31.03.2021, 15:35
для рекламы этой программы существует отдельный раздел. Не надо считать дурачками форумчан.
avatar 31.03.2021, 16:57
auditsoft, Ваше решение не может быть использовано ВККР, т.к. на разработку такого ПО необходима специальная лицензия, а самой разработкой должны заниматься специалисты с высшим образованием в области защиты информации.

ООО «Сервисный центр Контур» единственный разработчик аудиторского ПО в России с Лицензией на разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (к которым относится и использование средств электронной подписи).
Лицензия ФСБ №0015911 Рег.№16893Н от 18 октября 2018г.

Раз уж реклама пошла ржу во весь рот
auditsoft  
31.03.2021, 18:14
Александр Орлов
auditsoft, Ваше решение не может быть использовано ВККР, т.к. на разработку такого ПО необходима специальная лицензия, а самой разработкой должны заниматься специалисты с высшим образованием в области защиты информации

А мы и не предлагаем свое ПО для решения данной задачи.

Специалисты СРО ААС могут самостоятельно реализовать механизм предоставления аудиторами документов при ВККР и без наличия лицензии ФСБ. А вот если будет в этом задействована привлеченная организация, то тогда лицензия и потребуется.

И если даже СРО ААС не захочет эту задачу реализовать собственными силами, то могут привлечь и других разработчиков, не обязательно разработчиков софта для аудиторов.
Исправлений: 4; последнее - в 31.03.2021, 18:25.
Ирина  9d3c  
31.03.2021, 20:34
auditsoft
Специалисты СРО ААС могут самостоятельно реализовать механизм
Сами они ничего не могут.
avatar 07.04.2021, 16:47
Александр Орлов
ООО «Сервисный центр Контур» единственный разработчик аудиторского ПО в России с Лицензией на разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (к которым относится и использование средств электронной подписи).
Лицензия ФСБ №0015911 Рег.№16893Н от 18 октября 2018г.
Ну красавчЕк же! 
виват!
avatar 07.04.2021, 17:20
Вераподмигнул
avatar 07.04.2021, 20:49
Escapist
Так что отправка РД контролеру на личный ящик на Gmail - теперь нарушение федерального закона.
Mail.ru тоже -
[www.nic.ru]
Кипр
Только зарегистрированные пользователи могут писать в этот форум.