Единый квалификационный аттестат аудитора, как его получить

Единый квалификационный аттестат аудитора, как его получить Сертификаты
Содержание
  1. Что было дальше
  2. ▍из отрицательного:
  3. ▍из практических результатов:
  4. Cobit foundation certification
  5. Comptia
  6. Comptia a
  7. Comptia network
  8. Foundation
  9. It4it
  10. Itil 4 managing professional
  11. Itil 4 strategic leader
  12. Master
  13. Verism
  14. Verism foundation
  15. Verism professional
  16. В каких случаях может быть отказано в вы­да­че единого квалификационного аттестата аудитора
  17. Единый квалификационный аттестат
  18. Как получить единый квалификационный аттестат аудитора
  19. Когда единый квалификационный аттестат аудитора могут аннулировать
  20. Коротко о международной сертификации в области аудита, бух учета, финансов и управления
  21. Коротко о стандарте
  22. Ограничения для аудиторов без единого квалификационного аттестата аудитора
  23. Оповещение сотрудников
  24. Организации, аудировать которые могут только аудиторы с «едиными» аттестатами это:
  25. Перечень документов на получение квалификационного аттестата аудитора
  26. План vs реальность
  27. Предыстория
  28. С чего начать и чем закончить
  29. Срок дей­ствия единого квалификационного аттестата аудитора и повышение квалификации
  30. Заключение

Что было дальше

Подготовка к сертификации не означает саму сертификацию. Впереди аудит сертифицирующего органа, интервью, предоставление доказательств действующих контролей. Кроме того, когда все пройдет успешно, надо будет подтверждать сертификацию каждый год. Но со временем это перестает казаться чем-то сложным или необычным. Совсем как простой финансовый аудит.

▍из отрицательного:

  • Иногда вопросов от консультанта было СЛИШКОМ много и мы ходили по кругу, от одного к другому, возвращаясь и углубляясь в детали. Например консультант предложил создать схему под каждый вариант работы сотрудника – из дома, из офиса, от клиента, и.т.д., тогда как подобная схема уже была отражена в главной схеме инф.системы. Кончилось это просто лишней неделей работы, детальные схемы потом не потребовались.
  • В маленькой компании каждый сам себе админстратор. В компании нет центральной AD для компьютеров сотрудников, все максимально гибко, это же наталкивается на то, что очень сложно найти создать единые для всех правила, но еще сложнее заставить им следовать. 

▍из практических результатов:

И конечно венцом всего стала обновленная политика информационной безопасности  компании. 

Cobit foundation certification

COBIT — ещё одна распространённая методология управления ИТ. Расшифровывается как Control Objectives for Information and Related Technologies — «Задачи управления для информационных и смежных технологий». COBIT разработана некоммерческой организацией

. Организация предлагает пять типов сертификации COBIT, в том числе базовый — COBIT Foundation.

В России сертификацию COBIT Foundation проводят «Мегаполис Профи» и IT Expert. COBIT Foundation гарантирует, что ИТ-специалист знаком с инструментами управления организацией и применяемыми технологиями. Сертификат также подтверждает знание пяти основных принципов COBIT:

Обладатель сертификата понимает преимущества, которые даёт COBIT (в качестве основы управления ИТ), знаком с ключевыми атрибутами фреймворка и способен разработать собственную систему управления ИТ на базе COBIT.

Comptia

— американская некоммерческая торговая ассоциация, которая обучает различным ИТ-дисциплинам и выдаёт профессиональные сертификаты. Сертификаты CompTIA признаны во всём мире и устанавливают отраслевые стандарты. Среди российских организаций, аккредитованных CompTIA, — учебный центр «Специалист» при МГТУ им. Н. Э. Баумана и компания Softline.

Сертификация CompTIA в большей степени ориентирована на инженеров, администраторов и других технических специалистов, в том числе специалистов техподдержки. Приведём пару примеров.

Comptia a

Сертификация CompTIA A — отраслевой стандарт для тех, кто только начинает карьеру в ИТ. Сертификация подтверждает, что кандидат знаком с основными ИТ-направлениями и может в них работать. К ним относятся, например, информационная безопасность, облачные сервисы, управление данными.

Обладатель CompTIA A умеет обращаться с различными типами ИТ-оборудования и их компонентами, сетевыми протоколами; способен устранять неполадки ПК и мобильных устройств, устанавливать различные ОС и работать с командной строкой.

Comptia network

Этот вид сертификации для тех, кто хочет сделать карьеру специалиста по ИТ-инфраструктуре с акцентом на сетевые технологии. Сертификация CompTIA Network гарантирует, что кандидат может строить стабильные сети, используя нужные устройства, стандарты, протоколы и настройки безопасности.

Сертификат среди прочего подтверждает знание лучших практик по проектированию и управлению сетью; знание различных сетевых топологий и умение их реализовывать; владение методиками и инструментами для устранения неполадок сети, обеспечения стабильного соединения и производительности.

Foundation

Сертификация Foundation нужна для базового знакомства с ITIL. Она подойдёт всем, кто вовлечён в процесс управления услугами: аналитикам, проджект-менеджерам, руководителям отделов и инженерам.

It4it

«Стандарт эталонной ИТ-архитектуры» IT4IT разработал промышленный консорциум

в 2021 году. Основные задачи, на которых фокусируется IT4IT, — определение, обеспечение, потребление и управление ИТ-услугами. По словам авторов стандарта, IT4IT дополняет и усиливает такие методологии и подходы, как ITIL, CMMI, COBIT, Agile, TOGAF, стандарты ISO.

IT4IT предлагает практические методы решения проблем ИТ-отделов и компаний, в том числе правильную организацию жизненного цикла ИТ-продуктов и цепочки создания ценности. Эталонная модель IT4IT помогает создать целостную картину проблемных областей и работать с ними.

Сертификация включает основные понятия, структуру и ключевые концепции стандарта эталонной архитектуры IT4IT. Также вы углублённо изучаете четыре потока создания ценности:

Среди российских компаний, которые проводят сертификацию IT4IT, — «Интерфейс» и Softline.

Itil 4 managing professional

Знания, инструменты и методики, которые осваивает обладатель сертификата, помогают успешно выстроить работу ИТ-службы, команды поддержки и сервисные процессы. Обучение охватывает основные виды деятельности по управлению услугами и фокусируется на всех типах взаимодействия между сервис-провайдером (или ИТ-отделом) и его клиентами, пользователями, поставщиками и партнёрами.

Сертификация включает широкую область знаний. Вы познакомитесь с лучшими практиками предоставления ИТ-услуг, с теорией ИТ-сервис-менеджмента и популярными методологиями типа Agile, освоите инструменты для автоматизации и улучшения процессов сервисных процессов и не только.

Itil 4 strategic leader

Сертификат выдаётся тем, кто подтвердил своё понимание связи ИТ и всех бизнес-процессов компании. ITIL 4 Strategic Leader предназначен для действующих и начинающих ИТ-руководителей.

Вместе с сертификатом вы получаете знания о том, как управлять ИТ-командами, используя разные стратегии, в зависимости от типа команды; вы умеете согласовать бизнес- и ИТ-стратегии компании; понимаете, как новые технологии могут влиять на организации из разных отраслей.

Master

Сертификация подтверждает, что вы способны применять принципы, методы и методики ITIL в реальной работе. Этот сертификат вроде дипломного проекта: чтобы его получить, нужно иметь практические кейсы реализации принципов ITIL, с понятными, измеримыми результатами. Сертификация уровня Master подходит для опытных специалистов в области управления ИТ-услугами.

Verism

— относительно новый подход к управлению услугами, разработанный Международным фондом цифровых компетенций (IFDC) и представленный в 2021 году. VeriSM помогает создать гибкую модель управления услугами, которая теоретически подойдёт любой компании. Модель можно адаптировать под конкретные виды бизнеса, типы продуктов и клиентов (потребителей). Для этого в VeriSM используется комбинация лучших практик ITSM, Agile, DevOps, Scrum, Business Management и пр.

Про сертификаты:  Проверка подлинности сертификатов.

Сертификация VeriSM включает четыре уровня: Foundation, Essential, Plus, Professional. В России сертификацию проводит компания Softline. Расскажем немного о сертификатах Foundation и Professional.

Verism foundation

Базовая сертификация VeriSM фокусируется на ценностях, целях организации и результатах. VeriSM Foundation подходит для специалистов, которые только начинают знакомиться с управлением услугами, и для профессионалов, которые хотели бы посмотреть на ITSM под новым углом.

Вы научитесь преодолевать проблемы разрозненности команд, оценивать влияние цифровой трансформации на управление услугами, будете знать, когда нужно применять Agile, DevOps и Lean в качестве управленческих практик, а также разберётесь в преимуществах облаков, виртуализации, автоматизации и передовых технологий, таких как бессерверные вычисления, IoT, RPA.

Verism professional

Обладатель сертификата может управлять продуктом или услугой на всех этапах его производства, от создания прототипа до реагирования на отзывы клиентов. Он умеет создавать и применять матрицу управления (Management Mesh), которая использует ресурсы, окружающую среду, новые технологии и необходимые методы управления.

Основные направления, которые вы осваиваете в рамках VeriSM Professional, — цифровой мир, цифровое лидерство и структура, управление и стратегии, применение VeriSM.

В каких случаях может быть отказано в вы­да­че единого квалификационного аттестата аудитора


От­ка­зать в вы­да­че ат­те­ста­та могут по сле­ду­ю­щим ос­но­ва­ни­ям:

  • пре­тен­дент не сдал эк­за­мен и (или) не имеет необ­хо­ди­мо­го опыта ра­бо­ты в сфере ауди­та;

  • об­ра­зо­ва­ние пре­тен­ден­та не со­от­вет­ству­ет уста­нов­лен­ным тре­бо­ва­ни­ям;

  • пре­тен­дент об­ра­тил­ся за вы­да­чей ат­те­ста­та спу­стя более года после сдачи эк­за­ме­на.

Единый квалификационный аттестат

Начиная с 1 января 2021 года аудит целого ряда организаций, обычно называемых общественно значимыми хозяйствующими субъектами (ОЗХС), могут проводить только аудиторы, имеющие единые квалификационные аттестаты.

Как получить единый квалификационный аттестат аудитора

Согласно статье 11 Закона квалификацион­ный ат­те­стат ауди­то­ра вы­да­ет­ся со­от­вет­ству­ю­щей са­мо­ре­гу­ли­ру­е­мой ор­га­ни­за­ци­ей (СРО) при усло­вии, что пре­тен­дент на его по­лу­че­ние:

  • сдал эк­за­мен;

  • имеет стаж работы в сфере аудита или буху­че­та более трех лет. При этом из по­след­них трех лет не менее двух лет долж­но при­хо­дить­ся на ра­бо­ту в ор­га­ни­за­ции, спе­ци­а­ли­зи­ру­ю­щей­ся на ауди­тор­ской де­я­тель­но­сти.


К ква­ли­фи­ка­ци­он­но­му эк­за­ме­ну до­пус­ка­ют­ся только те лица, которые имеют высшее об­ра­зо­ва­ние по ак­кре­ди­то­ван­ной го­су­дар­ством об­ра­зо­ва­тель­ной про­грам­ме.

Таким образом, аудитор, сдавший успешно квалификационный экзамен и обладающий всеми необходимыми качествами, предусмотренными статьей 11 Федерального закона от 30.12.08 г. № 307 «Об аудиторской деятельности», получает единый квалификационный аттестат аудитора, который дает ему право вести аудиторскую деятельность в любой экономической области.

Отметим, что экзамен яв­ля­ет­ся платным и про­во­дит­ся единой ко­мис­си­ей, сфор­ми­ро­ван­ной СРО аудиторов в уста­нов­лен­ном за­ко­ном по­ряд­ке.

Ко­мис­сия долж­на быть неза­ви­си­мой и объ­ек­тив­ной.

Когда единый квалификационный аттестат аудитора могут аннулировать


Несмотря на то, что по закону аттестат аудитору выдается на неопределенный срок, его могут аннулировать.

Произойти это может в следующих случаях (ст. 12 закона № 307-ФЗ):

  • Выявление факта предоставления подложных документов при получении аттестата.

  • Вынесение решения суда о запрете на право заниматься аудиторской деятельностью.

  • Выдача аудитором заключения, которое заведомо является ложным.

  • Нарушение аудиторской тайны.

  • Нарушение требований проведения аудита, которые прописаны в ФЗ № 307.

  • Неучастие в проведении аудиторских проверок в течение трех лет. В данном случае есть исключения, которые устанавливаются на законодательном уровне. Например, это правило не касается участников коллегиального исполнительного органа аудиторской СРО.

  • Непрохождение ежегодного обучения в объеме, установленном на законодательном уровне.

  • Уклонение от внешней проверки качества аудиторской работы.

Решение об аннулировании аттестата принимает либо СРО, в котором состоит аудитор, либо СРО, выдавшее аттестат.

Коротко о международной сертификации в области аудита, бух учета, финансов и управления

Коротко о международной сертификации в области аудита, бух учета, финансов и управления

Наличие в своем активе  международного профессионального сертификата по какой либо специализации крайне хорошо отражается на его обладателе. Это повышает профессиональный статус и самооценку,  а так же играет не маловажную роль при трудоустройстве на новое место работы.  По мимо этого это возможность обогатить свои знания, получить новый опыт и конечно же присоединится к глобальному обществу таких же профессионалов.

Ключевыми квалификациями в области аудита, учета, финансов и управления  является программы

,

,

,

и

, о которых и пойдет сегодня речь в нашей публикации. Мы рассмотрим особенности получения сертификатов по указанным программам, выявим различия между ними, некоторые преимущества и условия, при которых предпочтительнее выбрать ту или иную сертификацию

Введение

И так, какие же преимущества и выгоды дает нам сертификация по международным стандартам?

Во-первых, это, прежде всего, массив профессиональных знаний и навыков в выбранной области, который позволяет чувствовать себя более уверенно в различных ситуациях: от простого кейса до приема на работу. Международные организации, CIMA, ACCA, CFA, Институт внутренних аудиторов, регулярно обновляют свои учебные программы, чтобы привести их в соответствие с запросами современного бизнеса и включить наиболее актуальные с точки зрения компаний-работодателей тематики.

Во-вторых, такие любые сертификаты это устоявшиеся бренды, которые зарекомендовали себя по всему миру. Для потенциального работодателя наличие  у кандидата международного сертификата демонстрируют  высочайший уровень профессионализма, ну хотя  бы в теоретическом плане:)

В-третьих, получение заветного сертификата или диплома международного образца само по себе это не тупик в конце долгого пути. Выпускники этих учебных программ становятся членами престижных профессиональных сообществ, групп и “закрытых клубов” объединяющих тысячи специалистов по всему миру. Это дает возможность установить новые деловые контакты и продвигаться по карьерной лестнице более активно.

Обзор основных сертификатов и школ обучения

1. CIMA

CIMA

это выбор тех, кто видит себя финансовым директором, управленцем высшего звена или руководителем собственного успешного бизнеса. В отличие от других программ она имеет выраженный акцент на управленческие навыки: развитие бизнеса в целом, координация процессов на всех уровнях, стратегическое планирование. Еще одной отличительной особенностью экзаменов

CIMA

является то, что большинство заданий – это сценарные

. От кандидата требуется не просто изложить материал, почерпнутый из книг, а применить полученные знания в конкретной ситуации, компании, отрасли, описанной в кейсе.

С 2021 года учебная программа CIMA включает в себя 17 экзаменов на английском языке. При этом есть возможность сдать 2 комплексных экзамена на русском языке и получить Сертификат CIMA «Управление эффективностью бизнеса» (выпускникам присваивается степень Cert PM (RU)).А с 2021 года доступен для получения Диплом CIMA (Rus).

2. ACCA

ACCA (Association of Chartered Certified Accountants, Ассоциации Дипломированных Сертифицированных Бухгалтеров)

Про сертификаты:  Сертификация строительных услуг

международная профессиональная ассоциация, объединяющая специалистов в области финансов, учета и аудита. Ассоциация объединяет 188 000 членов и 480 000 студентов в 181 странах, помогая им строить успешную карьеру с учетом необходимых бизнесу навыков. К

валификация ACCA призвана обеспечить профессиональные знания, умения и навыки, а также профессиональные ценности в области финансов, бухгалтерского учета и аудита. Наличие сертификата ACCA помогает финансовым специалистам в построении успешной карьеры в любой области: они могут работать в государственном или частном секторе, бухгалтерской фирме, иностранной компании или заниматься собственным бизнесом. Помимо этого квалификация ACCA соответствует международным стандартам обучения в области бухгалтерского учёта Международной федерации бухгалтеров (IFAC).

ACCA очень популярный выбор среди бухгалтеров, аудиторов, консультантов по МСФО и топ-менеджеров. Программа АССА предполагает углубленное изучение финансового учета и подготовки отчетности согласно МСФО, а также налогообложения, права и аудита. Для получения членства в АССА необходимо сдать 14 экзаменов и подтвердить три года практического опыта в области финансов.

Покорение полной квалификации АССА можно начать, сдав 2 экзамена на русском языке и получив дипломы – ДипИФР и ДипНРФ, а затем продолжив обучение на английском языке. Однако, диплом DipIFRS, являющийся продуктом ACCA, не позволяет обучившемся указывать рядом со своим именем буквы ACCA

3. CFA

Программа CFA охватывает множество различных дисциплин: макроэкономика, корпоративные финансы, финансовый анализ, количественные методы, профессиональная этика.

4. CIA

Для получения квалификации CIA необходимо успешно сдать 3 экзамена на русском или английском языках, иметь высшее образование, два года работы в области внешнего или внутреннего аудита, а также получить рекомендацию от руководителя или от лица, уже имеющего сертификат CIA.

5. CIPA

В учебную программу международной сертификации CAP/CIPA включен курс российских налогов и права. Более того, только в состав организации ECCAA входят ведущие профессиональные российские организации (в частности, Аудиторская палата России). Программа CIPA соответствует Международным рекомендациям по образованию (IEG) Международной федерации бухгалтеров (IFAC). Дисциплины финансовый учёт-1 и финансовый учёт-2 базируется на Международных стандартах финансовой отчётности (МСФО). Программа CIPA использует Типовой учебный план, разработанный Межправительственной экспертной рабочей группой по стандартам бухгалтерского учёта и отчётности при Конференции ООН по торговле и развитию (UNCTAD/ISAR). Согласно этим рекомендациям программа CIPA включает восемь дисциплин, знание которых требуется сегодня в мире от профессионального бухгалтера.

Очевидно, что качественно вести учет по МСФО можно лишь зная их в полном объеме. Международная программа CAP/CIPA – единственная, которой дано право на основе официально оформленных партнерских отношений с издателем МСФО  (IASB) использовать логотип МСФО. А это означает, что только в программе CAP/CIPA соответствие учебного курса по МСФО полностью подтверждено издателем этих стандартов. В программе используются все необходимые стандарты МСФО, которые необходимы для  успешной работы и профессионального суждения.

Международная сертификация CAP/CIPA имеет два уровня:

CAP (сертифицированный бухгалтер-практик), которого достаточно для специалистов малых и средних компаний;

CIPA (сертифицированный международный профессиональный бухгалтер). Этот уровень полностью удовлетворит потребности крупный компаний.

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на

Коротко о стандарте


ISO 27001 состоит из двух частей – Body (основная часть стандарта, своего рода стратегия) и Annex A (114 потенциально применимых контролей). 

Body of the Standard: 

Annex A

Нужно соответствовать всем частями основной части стандарта, и выборочно контролям, но выбор естественно необходимо обосновать. Если какие-то контроли считаются не применимыми, нужно предоставить либо объяснение, либо альтернативу. 

О компании, которая получает сертификацию:

ИТ консалтинг, всего 25 человек сотрудников, из которых двое это топ менеджмент и двое это администрация. Основные данные хранятся на внешних облачных серверах. В процессе 2020 года администрация (бухгалтерия, учет времени сотрудников) также переехали с внутренних серверов на внешние сервисы.

Из поставщиков – внешние услуги техподдержки, а также все «физические» поставщики, охрана офиса, уничтожение старого оборудования, документов. 

В команду проекта по подготовке к сертификации вошли старший консультант, он же внутренний сотрудник, который понятия не имел о том, как устроены информационные системы компании и внешний консультант по информационной безопасности и законодательству.

Ограничения для аудиторов без единого квалификационного аттестата аудитора

С 1 января 2021 г. российские аудиторы, не получившие единый квалификационный аттестат, не имеют право подписывать аудиторские заключения,  если ценные бумаги аудируемой организации допущены к обращению на торгах фондовых бирж и (или) иных организаторов торговли на рынке ценных бумаг, иных кредитных и страховых организаций, негосударственных пенсионных фондов, организаций, в уставных (складочных) капиталах которых доля государственной собственности составляет не менее 25 процентов, государственных корпораций, государственных компаний, а также консолидированной отчетности (часть 3 статьи 5 Федерального закона от 30.12.2008 N 307-ФЗ “Об аудиторской деятельности”).

При этом аудитор, являющийся членом одной из СРО аудиторов и имеющий аттестат, выданный до 1 января 2021 г., вправе с 1 января 2021 г:

  • в качестве аудитора (индивидуального аудитора) участвовать в обязательном аудите (проводить обязательный аудит) бухгалтерской (финансовой) отчетности организаций, за исключением организаций, предусмотренных частью 3 статьи 5 закона “Об аудиторской деятельности”;

  • в качестве аудитора (индивидуального аудитора) участвовать в инициативном аудите (проводить инициативный аудит) бухгалтерской (финансовой) отчетности любых организаций, включая организации, предусмотренные частью 3 статьи 5 закона “Об аудиторской деятельности”;

  • в качестве работника аудиторской организации участвовать в аудиторской группе, проводящей обязательный аудит бухгалтерской (финансовой) отчетности организаций, предусмотренных частью 3 статьи 5 закона “Об аудиторской деятельности”;

  • в качестве аудитора участвовать в оказании сопутствующих аудиту услуг (оказывать сопутствующие аудиту услуги) любым организациям, включая организации, предусмотренные частью 3 статьи 5 закона “Об аудиторской деятельности”;

  • участвовать в оказании прочих связанных с аудитом услуг (оказывать прочие связанные с аудитом услуги) любым организациям, включая организации, предусмотренные частью 3 статьи 5 закона “Об аудиторской деятельности”.

Оповещение сотрудников


Оповещение сотрудников о подготовке к сертификации это одновременно и возможность закрыть пункт A_7.2.2 Awareness, а также получить обратную связь на все написанные политики и процедуры. 

Организации, аудировать которые могут только аудиторы с «едиными» аттестатами это:

  • организации, ценные бумаги которых допущены к обращению на организованных торгах;
  • кредитные организации;
  • страховые организации;
  • негосударственные пенсионные фонды;
  • организации, в уставных (складочных) капиталах которых доля государственной собственности составляет не менее 25 процентов;
  • государственные корпорации;
  • государственные компании.
Про сертификаты:  Как скопировать контейнер/закрытую часть ключа? | УЦ ITCOM

Перечень документов на получение квалификационного аттестата аудитора

Перечень документов на получение квалификационного аттестата аудитора: 

  • заявление, заполненное в печатном виде, о допуске к аттестации (приказ Минфина от 12 сентября 2002 г. № 93н); 
  • заверенная в установленном порядке копия диплома о высшем экономическом или юридическом образовании; 
  • заверенная в установленном порядке копия трудовой книжки (в случае невозможности нотариального заверения трудовой книжки представляется копия трудовой книжки, заверенная по последнему месту работы, либо справка с места работы с указанием занимаемой должности и срока пребывания в ней); 
  • свидетельство Министерства образования Российской Федерации о признании эквивалентности иностранного документа об образовании (при наличии высшего экономического и (или) юридического образования, полученного в иностранном образовательном учреждении); 
  • копия платежного документа о внесении платы за проведение аттестации; копия свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации.

План vs реальность

План подготовки к ISO 27001 был следующий: 

  1. Купить официальный текст (да, до сих пор не понимаю почему официальные стандарты надо покупать) и изучить стандарт.

    → Планировали неделю, заняло 2 недели

  2. Внешний консультант помогает с написанием Body (первой части соответствия стандарту, основных постановлений о стратегии, требованиях, оценке рисков компании), на основании своего опыта.

    → Планировали месяц, заняло 2 месяца 

  3. Внутренний сотрудник составляет схему информационных систем компании.

    → Первая схема была сделана за неделю, но далее она менялась целый год

  4. Совместно изучается Annex A – список потенциально применимых контролей, из которых отбираются те, которые актуальны для нашей фирмы. 

    → Планировали за неделю, заняло 2 месяца

  5. Под выбранные контроли из Annex A находится или пишется необходимая документация, и дополнительные политики.

    → Планировали месяц, ушло почти полгода

  6. Когда документация готова, она высылается топ менеджменту для валидации, для удобства разбитая на блоки по смыслу.

    → Планировали за месяц, но валидация как раз прошла относительно быстро – 3 недели

  7. После одобрения документации, для всех сотрудников компании проводится информационная. 

    → Нужен всего один день, но две недели ушло на подготовку

  8. После этого приглашается сертифицирующий орган для проведения аудита

Предыстория

ISO 27001 — это международный стандарт, в котором собраны требования для создания и развития системы менеджмента информационной безопасности. Сертификация ISO 27001 особенно актуальна для крупных компаний, но в последнее время его стали требовать от маленьких компаний на этапе обсуждения контракта.

Раньше было так: Заказчик предоставляет альтернативу: либо у подрядчика есть сертификат ISO 27001, либо если компания не прошла сертификацию, можно продемонстрировать в соответствии с официальными договорными обязательствами, что у компании есть «план безопасности».

Сегодня альтернатива становится сложной, все больше и больше компаний выбирая между двумя разными подрядчиками, остановятся на тех, у кого уже есть ISO сертификат. 

Компания, в которой проходила подготовка к сертификации, продает услуги по информационной безопасности, поэтому здесь вопрос получения сертификата стал по сути вопросом сохранения своего места на рынке:

Скорее надо спросить почему компания раньше не озаботилась этой сертификацией. Ко всему прочему кризис 2020 года ускорил происходящие процессы и стал  стал самым актуальным годом, чтобы начать сертификацию ISO27001:

С чего начать и чем закончить

Вот

хорошо описаны стадии принятия сертификации. Особенно остро отрицание, гнев, ярость проходят в маленькой и уютной компании. Здесь любая бюрократическая новация наталкивается на стену непонимания, документация устаревает раньше чем ее успеваешь дописать, а основная сложность это объяснить сотруднику-старожилу зачем ему вдруг нужно менять годами устоявшиеся практики.

Зато именно в маленьких компаниях нагляднее всего видны результаты подготовки. 

Несколько практических советов на этапе старта проекта: 

  1. Нарисуйте схему информационных систем компании. 

    Стандарт диктует: «определите границы и сферы информационных систем». 

    Это можно сделать либо простым изложением на бумаге, но для нас по-настоящему все началось с нарисованной схемы информационных систем. Это кажется очень просто, и  в маленькой компании даже лишним – и так все все понимают, — но, удивительное дело, картинка меняет все. 

    Первая кривоватая схема где были обозначены ноутбуки, сервера, VPN и Firewalls была встречена на ура и указала на много не замеченных деталей: протоколы VPN, backups, позже добавились облачные серверы, etc. 

  2. Создайте общую папку для документации по ISO

    Самый простой инструмент работы и самый эффективный – общая папка в SharePoint, где под каждый контроль и пункт стандарта есть отдельная подпапка с соответствующим названием, где сохраняется вся документация. 

  3. Пишите политики исходя с запасом гибкости

    Все политики нужно писать, предварительно прочитав стандарт ISO27002, он дает направление по тому, что именно требуется и будет проверяться аудитором. Любой документ можно написать по-разному. На примере политики по паролям – можно либо прописать письменно что пароль должен быть минимум 8 символов, либо написать что пароль должен быть «сложным» и отражать требованиям информационных систем. 

  4. Написали? Переписывайте.

    В нашем случае то, что мы давали «отлежаться» нашим политикам и потом возвращались к ним и переписывали, сказалось на качестве только лучшим образом. Они получились своего рода «выдержанным». Все лишнее стало нагляднее отследить, к тому же за год, то, что мы начинали писать в начале 2020 уже потеряло актуальность. Но слегка изменить политику всегда проще, чем заново ее написать.

Срок дей­ствия единого квалификационного аттестата аудитора и повышение квалификации

Срок дей­ствия ат­те­ста­та не огра­ни­чен, од­на­ко ауди­тор обя­зан еже­год­но про­хо­дить обу­че­ние, преду­смот­рен­ное утвер­жден­ны­ми СРО про­грам­ма­ми по­вы­ше­ния квалификации.


К обучению предъявляются следующие требования:

Программа обучения должна быть утверждена саморегулируемой организацией, членом которой является аудитор.

  • Срок обучения составляет не меньше 20 часов в год.

  • За три подряд идущих года срок обучения в сумме должен быть не менее 120 часов.

  • СРО аудиторов может устанавливать свои минимальные сроки обучения, но они не должны быть меньше тех, что установлены ФЗ № 307.

Заключение

Для того чтобы аудитор имел право заниматься аудиторской деятельностью ему необходимо иметь специальный документ  – квалификационный аттестат.

Квалификационный аттестат аудитора выдается на неопределенный срок, но при этом каждый год необходимо проходить обучение по программе повышения квалификации.


Аттестат может быть аннулирован при нарушении правил, установленных на законодательном уровне.

Оцените статью
Мой сертификат
Добавить комментарий