AICPA komt met criteria voor Cybersecurity Risk Management
Gisteren nog meldden wij dat het Center for Audit Quality voorstelt om een aparte accountantscontrole voor cyber-security in te voeren. Vandaag komt de Assurance Services Executive Committee van AICPA, het American Institute of CPAs, met liefst twee sets criteria, waarop deze cyber-security gecontroleerd zou kunnen worden.
AICPA vraagt belanghebbenden en belangstellenden om feedback op de voorgestelde criteria, en hoopt hiermee het fundament te leggen voor een nieuwe vorm van ‘assurance’- dienstverlening.
Het eerste voorgelegde document, Proposed Description Criteria for Management’s Description of an Entity’s Cybersecurity Risk Management Program, is bedoeld voor directies die een cyber-security risicomanagementprogramma willen ontwikkelen, en voor accountants die daarover een oordeel willen uitspreken en rapporteren.
Het andere stuk, Proposed Revision of Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy, schetst de contouren van ‘trust services’ criteria waarop controlerend accountants nieuwe audit- dan wel adviesdiensten zouden kunnen baseren, door de controls te beoordelen van het cyber-riskmanagementbeleid en -programma van een organisatie, ofwel SOC 2 opdrachten. En natuurlijk kan ook het management van de organisaties zelf deze criteria gebruiken, bij het ontwerpen en testen van de eigen controls.
AICPA vraagt om feedback op de voorstellen in te dienen voor 5 december aanstaande, via Mimi Blanco-Best, mblancobest@aicpa.org voor de eerste set en via Erin Mackler, emackler@aicpa.org voor de tweede.