Projet de critères de l’AICPA pour la description par la direction du programme de gestion des risques liés à la cybersécurité de l’entité [Terminé]

Date de publication :

26 avril 2017

Date d'entrée en vigueur :

Sans objet. Il n’existe pas d’obligation d’adopter cette documentation de l’AICPA au Canada

Dernière mise à jour :

Avril 2017

Vue d’ensemble

Le 19 septembre 2016, l’AICPA a publié un exposé-sondage renfermant un projet de critères pour la description par la direction du programme de gestion des risques liés à la cybersécurité de l’entité (en anglais). Il est conçu pour être utilisé par la direction aux fins de la conception et de la description de son programme de gestion des risques liés à la cybersécurité ainsi que par les cabinets d’experts-comptables aux fins du rapport sur la description de la direction.

Pour mettre ce projet en contexte, en réponse à la demande croissante du marché pour de l’information sur l’efficacité du programme de gestion des risques liés à la cybersécurité d’une entité, les professionnels d’audit aux États-Unis, par l’intermédiaire de l’AICPA, ont conçu un nouveau type de mission que les CPA peuvent réaliser pour aider les conseils d’administration, la haute direction et d’autres parties prenantes intéressées à évaluer l’efficacité du programme de gestion des risques liés à la cybersécurité d’une entité.

L’examen de la cybersécurité qui sera décrit dans le guide d’attestation de la cybersécurité sera réalisé conformément aux normes d’attestation. Selon ces normes, une mission d’attestation repose sur le concept qu’une partie autre que le professionnel en exercice formule une assertion pour conclure si l’objet considéré a été mesuré ou évalué conformément aux critères retenus. Les normes d’attestation indiquent que lors d’une mission d’audit, la partie responsable (généralement la direction lors d’une mission d’examen de la cybersécurité) assume la responsabilité de l’objet considéré.

Au cours de l’examen de la cybersécurité, la direction formule une assertion pour conclure si l’objet concerné est mesuré ou évalué conformément aux critères retenus. L’objet concerné dans l’examen de la cybersécurité inclut : i) une description du programme de gestion des risques liés à la cybersécurité de l’entité, conformément aux critères pour la description, et ii) une évaluation de l’efficacité des contrôles au sein de ce programme visant à atteindre les objectifs en matière de cybersécurité, conformément aux critères pour le contrôle.

Comme c’est la direction qui est ultimement responsable du programme de gestion des risques liés à la cybersécurité de l’entité et du fonctionnement des contrôles au sein de ce programme, il lui revient d’établir et de présenter, dans le rapport sur la cybersécurité, une description du programme de gestion des risques liés à la cybersécurité. Il lui revient aussi de sélectionner les critères pour la description et les contrôles à utiliser pendant la mission.

Cet exposé-sondage présente uniquement les critères à respecter pour préparer la description du programme de gestion des risques liés à la cybersécurité de l’entité. En plus de ces critères, l’exposé-sondage met également en évidence des éléments d’intérêt qui représentent les caractéristiques importantes des critères pour la description.

Pour en savoir davantage, consulter le communiqué de presse et les renseignements connexes sur le site web de l’AICPA (en anglais).

Le 26 avril 2017, l’AICPA a publié son cadre de gestion des risques liés à la cybersécurité qui contient la version définitive des critères à l’intention de la direction pour l’aider à expliquer le programme de gestion des risques de manière cohérente et à l’intention des CPA pour les aider à présenter l’information sur la description fournie par la direction. Se reporter à la norme connexe pour plus de détails : Cadre de gestion des risques liés à la cybersécurité de l’AICPA. Il n’existe pas d’obligation d’adopter cette documentation de l’AICPA au Canada.    

Autres dével­op­pements

Avril 2017

Le 26 avril 2017, l’AICPA a publié son Projet de critères pour la description par la direction du programme de gestion des risques liés à la cybersécurité de l’entité qui s'inscrit dans le Cadre de gestion des risques liés à la cybersécurité de l’AICPA. Il n’existe pas d'obligation d’adopter cette documentation de l’AICPA au Canada.

Septembre 2016

Le 19 septembre 2016, l’AICPA a publié un exposé-sondage qui porte sur un projet de critères pour la description par la direction du programme de gestion des risques liés à la cybersécurité de l’entité. Il est conçu pour être utilisé par la direction aux fins de la conception et de la description de son programme de gestion des risques liés à la cybersécurité ainsi que par les cabinets d’experts-comptables aux fins du rapport sur la description de la direction.

Correction list for hyphenation

These words serve as exceptions. Once entered, they are only hyphenated at the specified hyphenation points. Each word should be on a separate line.