Rolul organizațiilor internaționale în elaborarea standardelor de audit al securității cibernetice
Ramona Ciobanu - martie 5, 20224. IFAC – International Federation of Accountants/Standardele ISA
International Federation of Accountants – IFAC. Este o organizație neguvernamentală care fost constituită în anul 1977 la München, Germania, având 63 de membri fondatori din 51 de state, cu scopul de a consolida profesia la nivel global prin: dezvoltarea de standarde internaționale în activitatea de audit și asigurare, contabilitate în sectorul public, etică și educație pentru profesia de contabil; colaborare și cooperare între membrii săi; colaborare și cooperare cu alte organizații internaționale; reprezentarea intereselor profesiei contabile pe plan internațional. Astăzi organizația are 180 de membri din 135 de state, reunind peste 3 milioane de specialiști în contabilitate și audit[15].
La prima reuniune a organizației din 1977, a fost adoptat un program de acțiune în 12 puncte pentru primii 5 ani de activitate, care însă sunt valabile și astăzi, după cum urmează[16]:
1. elaborarea de linii directoare pentru activitatea de audit,
2. elaborarea de principii care să se regăsească în Codurile etice ale membrilor IFAC, perfecționarea și dezvoltarea acestora,
3. dezvoltarea de programe pentru educația și formarea profesională a contabililor,
4. colectarea, analiza, cercetarea și diseminarea informațiilor privind managementul practicilor în contabilitatea publică,
5. evaluarea, dezvoltarea și raportarea privind managementul financiar, alte tehnici și proceduri de management,
6. efectuarea de studii privind evaluarea și răspunderea contabililor,
7. promovarea unor relații mai strânse cu utilizatorii situațiilor financiare, dar și cu instituții din educație și formare profesională, sindicate, asociații de comerț, industrie, guverne,
8. menținerea bunelor relații cu organizațiile regionale și explorarea posibilităților de a constitui alte organizații regionale, asistență pentru constituirea și dezvoltarea acestora,
9. dialog permanent între membrii IFAC și alte organizații interesate,
10. schimb de informații tehnice, materiale educaționale și publicații profesionale,
11. organizarea periodică a unui Congres internațional,
12. extinderea IFAC.
Standardele ISA. În cadrul IFAC au fost constituite grupuri de lucru pentru elaborarea unor standarde internaționale, după cum urmează:
- IAASB – International Auditing and Assurance Standards Board
- IAESB – International Accounting Education Standards Board
- IESBA – International Ethics Standards Board for Accountants
- IPSASB – International Public Sector Accounting Standards Board
IAASB (Consiliul pentru Standarde Internaționale de Audit și Asigurare) a adoptat Standardele Internaționale de Audit – ISA care au abordat probleme specifice celor două domenii de activitate. În ceea ce privește domeniul auditului, au fost adoptate standarde precum:
ISA 300 – Planificarea auditului
ISA 315 – Cunoașterea entității și mediului său și evaluarea riscurilor de deturnare semnificativă
ISA 400 – Evaluarea riscurilor și controlul intern
ISA 402 – Considerente de audit referitoare la entitățile care apelează la firme de servicii
5. INTOSAI – International Organization of Supreme Audit Institutions/Standardele ISSAI
International Organization of Supreme Audit Institutions – INTOSAI. Organizația Internațională a Instituțiilor Supreme de Audit sau INTOSAI este o organizație nonguvernamentală profesională, independentă, autonomă, nonpolitică cu activitate permanentă, a cărei constituire a fost hotărâtă în anul 1953, la Congresul instituțiilor supreme de audit, de la Havana, Cuba, congres la care au fost reprezentate 34 de state și organizații.
Organizația reunește instituțiile supreme de audit ale statelor și organizațiilor internaționale și are ca scop[17]:
- sprijinirea dezvoltării instituțiilor supreme de audit, cooperarea și creșterea continuă a performanței și credibilității acestor instituții,
- creșterea transparenței privind fondurile publice,
- promovarea schimbului de idei, cunoștințe și experiență,
- stabilirea standardelor de audit pentru sectorul public,
- promovarea bunei guvernări la nivel național, creșterea eficienței și eficacității constituirii, repartizării și utilizării fondurilor publice și punerea acestora în slujba cetățenilor,
- combaterea corupției,
- reprezentarea instituțiilor supreme de audit pe plan internațional.
În România, instituția supremă de audit public este Curtea de Conturi a României, membră INTOSAI. În cadrul ei funcționează și Autoritatea de Audit care verifică modul de utilizare a fondurilor europene alocate României. Instituții similare există în toate statele membre ale Uniunii Europene, dar și în state terțe, nemembre UE. La nivelul UE își desfășoară activitatea Curtea de Conturi a UE care auditează constituirea, repartizarea și utilizarea fondurilor Uniunii, instituție care este membră cu drepturi depline a INTOSAI.
INTOSAI are sediul la Viena, Austria, și are 196 de membri cu drepturi depline, 5 membri asociați și 2 membri afiliați. Organizația acordă statutul de membru afiliat organizațiilor regionale care reunesc instituții supreme de audit, înființate în scopul promovării cooperării profesionale și tehnice a membrilor la nivel regional. EUROSAI, a cărei membră este și Curtea de Conturi a României, este membru afiliat al INTOSAI alături de alte 6 organizații regionale: AFROSAI, ARABOSAI, ASOSAI, CAROSAI, OLACEFS și PASAI.
Standardele ISSAI. Standardele internaţionale adoptate în cadrul INTOSAI ‒ Standardele ISSAI (International Standards of Supreme Audit Institutions) ‒ creează premisele pentru buna funcţionare şi conduita profesională a Instituţiilor Supreme de Audit, formulând şi principiile fundamentale în domeniul auditului entităţilor publice. Aceste standarde își propun să asigure: calitate, credibilitate, transparență, responsabilitate și limbaj comun în materie de audit public. Alături de standardele ISSAI, liniile directoare INTOSAI (INTOSAI GOV) oferă asistenţă autorităţilor publice cu privire la administrarea corectă a fondurilor publice[18].
6. COSO ‒ Comittee of Sponsoring Organizations/Standardele COSO
Comittee of Sponsoring Organizations – COSO. Organizația a fost constituită în anul 1985 pentru a susține financiar Comisia Națională pentru Raportare Frauduloasă (Național Commission on Fraudulent Financial Reporting), comisie care avea ca scop identificarea cauzelor raportării financiare frauduloase și furnizarea de recomandări instituțiilor din sectorul public, instituțiilor de învățământ, autorităților de reglementare din domeniu. Comisia, instituție de drept privat, a fost susținută financiar de cinci asociații profesionale americane: AAA (American Accounting Association), AICPA (American Institute of Certified Public Accountants), FEI (Financial Executives International), IIA (Institute of Internal Auditors) și IMA (National Association of Accountants).
Activitatea COSO vizează susținerea membrilor în efortul de creștere a performanței prin creșterea eficienței controlului intern, managementul riscurilor, guvernanță și descurajarea fraudei, acordând atenție activității de control în mediile digitalizate, fiind recunoscută la nivel global ca autoritate în aceste domenii.
Standardele COSO. În ceea ce priveşte abordarea auditului bazată pe risc, un model general acceptat şi preferat pentru evaluarea controalelor interne este Internal Control Integrated Framework, elaborat de Comittee of Sponsoring Organizations of the Treadway Commission (COSO) în anul 1992. În anul 2004 acest model a fost perfecţionat pentru a oferi un cadru de management al riscurilor acceptat pe scară largă, care include principii cheie, concepte, un limbaj comun privind riscurile şi ghiduri clare pentru implementare. Această direcţie nouă, numită Enterprise Risk Management Integrated Framework, furnizează patru categorii de obiective organizaţionale şi opt componente interrelaţionate ale managementului eficace al riscului[19].
ISO ‒ International Organization for Standardization/Standardele ISO
International Organization for Standardization ‒ ISO. Organizația internațională pentru standardizare, cunoscută sub acronimul ISO, și-a început activitatea în anul 1947, cu scopul de a elabora standarde de referință în diferite domenii de activitate și de a le disemina la nivel internațional. Constituirea ei a fost hotărâtă în 1946, la Londra, cu prilejul Congresului internațional privind standardizarea, un an mai târziu începându-și activitatea. Este o organizație neguvernamentală, independentă, care reunește 167 de organizații naționale cu preocupări în domeniul standardizării, având sediul la Geneva, Elveția.
Standardele reprezintă ghiduri de bune practici pentru desfășurarea diferitelor activități, iar diseminarea lor contribuie la abordarea unitară la nivel global a problematicii specifice acestora. Standardele sunt rodul cooperării, dar în același timp ele sunt baza, platforma comună care asigură premisele cooperării viitoare, un limbaj comun care asigură identificarea soluțiilor pentru rezolvarea problemelor cu care se confruntă specialiștii din diferite domenii. În cadrul ISO au fost adoptate standarde pentru cele mai variate domenii de activitate, de la mecanică și electrotehnică, la energie nucleară și tehnologia informației[20].
În domeniul IT, în cadrul ISO a fost adoptat pachetul ISO 27000/Securitatea informației[21] care cuprinde:
ISO 27000 Securitatea informației
ISO/CEI 27001 Information Security Management System (ISMS), înlocuiește BS7799-2
ISO/CEI 27002 Cod de bune practici în ISMS. Nou număr pentru ISO 17799
ISO/CEI 27003 Ghid de implementare a ISMS.
ISO/CEI 27004 Ghid pentru gestionarea, măsurarea și metrica securității informației.
ISO/CEI 27005 Ghid pentru managementul riscului în securitatea informației.
Standardele ISO sunt adoptate, traduse și difuzate în România de ASRO – Asociația de Standardizare din România care participă prin specialiștii săi în cadrul comitetelor tehnice internaționale ale ISO. ASRO este o asociaţie, persoană juridică română de drept privat, de interes public, fără scop lucrativ, neguvernamentală şi apolitică care funcționează în baza prevederilor Legii nr. 163/2015 privind standardizarea naţională şi Ordonanţei Guvernului nr. 26/2000 cu privire la asociaţii şi fundaţii. ASRO este platforma națională pentru adoptarea și distribuirea standardelor internaționale și europene la nivel național, precum și a informațiilor despre standarde în toate domeniile de activitate[22]. Organizația este membru cu drepturi depline a ISO din anul 1950 și a Comitetului European de Standardizare din anul 2006.
7. Standarde naționale de referință în auditul sistemelor informatice. SUA/Standardele Sarbanes-Oxley (SOX)
Ca reacţie la eşecul unor misiuni de audit, reglementarea profesiei de auditor s-a bucurat de o atenție deosebită în SUA. Scandalul ENRON a antrenat adoptarea de către Congresul american a U.S. Sarbanes-Oxley (SOX) Act (2002). Elementele principale de noutate aduse de această lege sunt:
- independența auditorilor financiari,
- responsabilitatea managementului și a controlului intern pentru acuratețea, documentarea și întocmirea rapoartelor financiare,
- răspunderea penală a acestora în cazul încălcării obligațiilor prevăzute de lege,
- constituirea unei autorități care să supravegheze activitatea de audit public, să adopte standarde de audit, să vegheze la respectarea independenței auditorilor și asigurarea calității rapoartelor de audit,
- implementarea unor proceduri de validare şi de evaluare a controalelor, inclusiv în ceea ce priveşte controalele IT; sistemul informatic trebuie să susțină procesul de raportare în conformitate cu SOX.
Seria de Linii directoare GAIT descrie relaţiile dintre riscurile afacerii, controalele cheie asociate proceselor afacerii, controalele automate şi controalele cheie din cadrul controalelor generale IT. Este o abordare bazată pe risc pentru auditarea controalelor generale IT ca parte a sistemului de audit intern al entităţii, destinată identificării deficienţelor, în conformitate cu Secţiunea 404 din Sarbanes-Oxley Act (SOX).
Această lege a fost criticată pentru costurile pe care le induce, dar potrivit altor opinii aceste costuri sunt contrabalansate de avantajele pe care le procură corectitudinea situațiilor financiare[23].
Concluzii
În cadrul unor organizații internaționale, au fost adoptate standarde pentru diferite domenii de activitate, printre care și cele privind tehnologia informației, inclusiv standarde privind auditul securității sistemelor informaționale. În acest articol am prezentat organizațiile internaționale cu activitate relevantă în domeniul standardizării în domeniul IT și al auditului de securitate cibernetică. Alături de standardele adoptate în cadrul acestor organizații, există și alte standarde adoptate de alte organizații ori grupuri de lucru.
Un rol important îl are educația despre standardizare, astfel încât profesioniștii din diferite domenii să includă în activitatea lor standardele ca o premisă a performanței activității desfășurate. Educația pentru standardizare este în atenția UE, în cadrul ei fiind elaborate: Politica Comitetului European de Standardizare în domeniul educației pentru standardizare, Masterplanul Educație despre standardizare și Planul de implementare a Masterplanului Educație despre standardizare[24]. Deși s-ar părea că standardele interesează doar inginerii, proiectanții sau specialiștii IT, cunoștințe despre standarde ar trebui să aibă specialiștii din toate domeniile reglementate de standarde, dar și cei care activează în domenii conexe, inclusiv juriștii, pentru că abordarea realităților lumii contemporane nu mai poate fi una de nișă, ci presupune o viziune holistică, interdisciplinară, cu atât mai mult cu cât vorbim despre cybersecurity și cybercrime.
Bibliografie
1. Canadian Centre for Cybersecurity, Cyber Security Audit Guide for the Government of Canada, June 2020, p.7, https://cyber.gc.ca/sites/default/files/2020-09/Cyber-Security-Audit-Guide_e.docx
2. CGI, Understanding Cybersecurity Standards, April 2019, https://www.cgi.com/sites/default/files/2019-08/cgi-understanding-cybersecurity-standards-white-paper.pdf
3. Contact Committee of the Supreme Institutions of the European Union, Audit Compendium. Cybersecurity in the EU and its Member States, December 2020, AuditCommitehttps://www.eca.europa.eu/sites/cc/Lists/CCDocuments/Compendium_Cybersecurity/CC_Compendium_Cybersecurity_EN.pdf
4. Curtea de Conturi a României, Auditul sistemelor informatice. Manual, București, 2012, https://www.curteadeconturi.ro/uploads/25529564/77241a13/330b7f07/6c1123fc/16ba70a5/2eeb2cdf/0fbfb694/38bf227f/MANUAL_AUDIT_IT.pdf
5. Curtea de Conturi a României, Ghidul de audit al sistemelor informatice, București, 2012, https://www.curteadeconturi.ro/uploads/b3578fec/2e705397/8f5ff376/123728f6/08da8783/a7cf8c9a/974875d0/4f7867de/GHID_AUDIT_IT_CCR_24102012.pdf
6. ISO, Friendship among equals. Recollections from ISO s first fifty years, Geneva, 1997, https://www.iso.org/files/live/sites/isoorg/files/about%20ISO/docs/en/Friendship_among_equals.pdf
7. Legal Information Institute, Sarbanes-Oxley Act, https://www.law.cornell.edu/wex/sarbanes-oxley_act
8. Năstase (coordonator) ș.a., Auditul și controlul sistemelor informaționale, Ed. Economică, București, 2007
9. https://www.isaca.org/why-isaca/about-us
10. isaca.ro
11. https://www.theiia.org/
12. https://www.ifac.org/who-we-are/our-purpose
13. https://www.intosai.org/about-us/overview
14. https://www.intosai.org/focus-areas/audit-standards
15. https://www.coso.org/Pages/guidance.aspx
16. https://www.iso.org/standards.html
17. https://www.27000.org/
18. https://www.cencenelec.eu/
[15] Din România sunt membre IFAC: Camera Auditorilor Financiari din România și Corpul Experților Contabili și Contabililor Autorizați din România.
[16] https://www.ifac.org/who-we-are/our-purpose, accesat în 14.02.2022.
[17] https://www.intosai.org/about-us/overview, accesat în 14.02.2022.
[18] https://www.intosai.org/focus-areas/audit-standards, accesat în 14.02.2022.
[19] Pentru detalii, a se vedea https://www.coso.org/Pages/guidance.aspx.
[20] Pentru detalii privind istoricul și activitatea organizației, a se vedea ISO, Friendship among equals. Recollections from ISO s first fifty years, Geneva, 1997, https://www.iso.org/files/live/sites/isoorg/files/about%20ISO/docs/en/Friendship_among_equals.pdf.
[21] Pentru detalii, a se vedea https://www.27000.org/.
[22] La nivel european activitatea de standardizare este reglementată de Regulamentul 1025_2012.
[23] Legal Information Institute, Sarbanes-Oxley Act, https://www.law.cornell.edu/wex/sarbanes-oxley_act, accesat în 14.02.2022.
[24] Pentru detalii, a se vedea https://www.cencenelec.eu/.
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.