Saltar al contenido
CPA

La nueva guía de la AICPA profundiza en los informes de ciberseguridad

El Instituto Americano de Contadores Públicos (AICPA) ha publicado una nueva guía para ayudar a los contadores públicos a evaluar el programa de gestión de riesgos de seguridad cibernética de una organización.

La publicación de Reporting on an Entity$0027s Cybersecurity Risk Management Program and Controls sigue a un nuevo marco voluntario de presentación de informes sobre gestión de riesgos de seguridad cibernética que fue introducido por la AICPA a finales de abril. El marco se elaboró para ayudar a las organizaciones a comunicar la eficacia de sus preparativos en materia de seguridad cibernética a las principales partes interesadas.

La nueva guía de la AICPA profundiza en los informes de ciberseguridad
La nueva guía de la AICPA profundiza en los informes de ciberseguridad

“Para la mayoría de las entidades, la seguridad cibernética es un importante riesgo comercial que debe identificarse, evaluarse y gestionarse junto con otros riesgos comerciales a los que se enfrenta la entidad, y es responsabilidad de la dirección asegurarse de que todos los empleados de la entidad, y no sólo los del departamento de tecnología de la información, se ocupen de los riesgos de seguridad cibernética”, afirma la guía.

Los contadores públicos pueden utilizar la nueva guía para examinar e informar sobre la descripción de una organización cliente de su programa de gestión de riesgos de seguridad cibernética. El informe resultante ayudará a los clientes a demostrar a las partes interesadas, clientes, proveedores y otros que cuentan con procedimientos y prácticas de seguridad cibernética sólidas, según la AICPA.

La publicación de 263 páginas incluye la orientación pertinente publicada hasta el 1 de mayo de 2017. En particular, refleja la Declaración sobre las normas para los compromisos de certificación (SSAE) Nº 18, que incluye varios requisitos detallados similares a los contenidos en las Declaraciones sobre las normas de auditoría.

Los temas específicos de la guía incluyen:

  • Aceptación y planificación de un examen de gestión de riesgos en materia de ciberseguridad
  • Realización del examen de gestión de riesgos de seguridad cibernética
  • Formación de la opinión y preparación del informe del médico
  • Diferencias entre la seguridad de la información y la ciberseguridad
  • Normas profesionales
  • Calidad en el examen de gestión de riesgos de seguridad cibernética
  • Determinación de la idoneidad de la materia para el examen de gestión de riesgos en materia de ciberseguridad
  • Obtención de declaraciones escritas de la administración
  • Formación de la opinión y preparación del informe de los profesionales

En 2018, la AICPA tiene previsto introducir un nuevo servicio de examen – Controles del sistema y de la organización (SOC) para las cadenas de suministro de los proveedores – y una guía de certificación conexa para proporcionar orientación sobre la aplicación a los profesionales que se dedican a examinar e informar sobre los controles a nivel del sistema en la cadena de suministro.

El propósito del examen es permitir a las entidades comprender y gestionar mejor los riesgos externos, incluida la seguridad cibernética, que se relacionan con sus proveedores y redes de distribución.

“En la AICPA, vimos la necesidad del mercado emergente hace varios años”, escribió Susan Coffey, CPA, CGMA, vicepresidenta ejecutiva de la práctica pública de la AICPA, en una reciente entrada de blog. “Reconocimos que no ha habido un lenguaje consistente y común para describir e informar sobre los programas de gestión de riesgos de seguridad cibernética que las organizaciones han puesto en marcha”.

Esa falta de transparencia, a su vez, dificultaba a las partes interesadas la determinación de si el plan de gestión de riesgos de seguridad cibernética de una organización abordaba eficazmente las posibles amenazas, añadió.

La nueva guía está disponible en línea e impresa.

Artículo relacionado:

Marco para la presentación de informes sobre gestión de riesgos en materia de ciberseguridad presentado por la AICPA