Projet de l’AICPA visant à modifier les critères des services Trust à l’égard de la sécurité, de l’accessibilité, de l’intégrité du traitement, de la confidentialité et de la protection des renseignements personnels [Terminé]

Publication :

Inclus dans l’édition de 2017 du guide intitulé Trust Services Criteria de l’AICPA

Trust Services Criteria Guide
Trust Services Criteria Guide

Date d'entrée en vigueur  :

Sans objet. Il n’existe pas d’obligation d’adopter les directives de l’AICPA au Canada

Dernière mise à jour :

Janvier 2017

Vue d’ensemble

Le 19 septembre 2016, l’AICPA a publié un exposé-sondage qui renferme un projet de modification des critères des services Trust à l'égard de la sécurité, de l’accessibilité, de l’intégrité du traitement, de la confidentialité et de la protection des renseignements personnels (en anglais). Il présente les critères révisés pour les services Trust de l’AICPA que doivent utiliser les cabinets d’experts-comptables qui fournissent des services-conseils ou des services d’attestation pour évaluer les contrôles dans le cadre d’un programme de gestion des cyberrisques d’une entité, ou des missions SOC 2. La direction peut aussi se servir des critères des services Trust pour évaluer la pertinence de la conception et l’efficacité du fonctionnement des contrôles.

En guise de contexte, la section 100 du TSP, Trust Services Principles and Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (la section sur les principes et critères des services Trust de l’AICPA), renferme les critères établis par le comité de direction des services de certification (Assurance Services Executive Committee – ASEC) de l’AICPA que doivent utiliser les professionnels pour fournir des services d'attestation ou de consultation aux fins de l’évaluation des contrôles pertinents pour la sécurité, l’accessibilité, l’intégrité du traitement d’un ou de plusieurs systèmes, la confidentialité ou la protection des renseignements personnels traités par un ou plusieurs systèmes mis en place par une entité. La direction d’une entité peut aussi se servir des critères des services Trust pour évaluer la pertinence de la conception et l’efficacité du fonctionnement de ces contrôles.

Pour permettre aux critères des services Trust d’être aussi utilisés lors des missions à l’échelle de l’ensemble de l’entité, l’ASEC restructure et révise les critères des services Trust existants afin de les harmoniser encore davantage avec les 17 principes du cadre intégré sur le contrôle interne, un cadre sur le contrôle interne révisé en 2013 par le Committee of Sponsoring Organizations of the Treadway Commission (le cadre du COSO de 2013). Il s’agit du cadre de référence pour l’évaluation de la conception et de l’efficacité du contrôle interne. Les entités s’en servent aussi souvent comme critères d’évaluation de l’efficacité de leur contrôle interne à l’égard de l’information financière (CIIF) et il est accepté par la plupart des utilisateurs des rapports sur le CIIF. Même s’il est généralement utilisé pour évaluer le CIIF, le cadre du COSO de 2013 a été conçu afin d’évaluer tous les objectifs du contrôle interne en ce qui a trait à la présentation de l’information, aux activités et à la conformité.

Les révisions des critères pour les services Trust proposées dans l’exposé-sondage découlent des principes du cadre du COSO de 2013 et incluent des critères supplémentaires qui s’appliquent aux missions qui utilisent les critères des services Trust à l’égard de la sécurité, de l’accessibilité, de l’intégrité du traitement, de la confidentialité et de la protection des renseignements. De plus, les critères sont structurés selon les cinq composantes du COSO : l’environnement de contrôle, l’information et la communication, l’évaluation des risques, les activités de contrôle, et les activités de suivi. Des points d’intérêt sont également associés à chaque critère.

Pour en savoir davantage, consulter le communiqué de presse et les renseignements connexes sur le site web de l’AICPA (en anglais). 

En janvier 2017, l’AICPA a publié l'édition 2017 de son guide intitulé Trust Services Criteria Guide qui a été mis à jour pour refléter la dernière version des révisions dont il est question ci-dessus. Il n’existe pas d'obligation d’adopter ces directives de l’AICPA au Canada. 

Autres dével­op­pements

Janvier 2017

En janvier 2017, l’AICPA a publié l’édition 2017 de son guide intitulé Trust Services Criteria Guide qui a été mis à jour pour refléter la dernière version des révisions dont il est question ci-dessus. ll n’existe pas d’obligation d’adopter ces directives de l’AICPA au Canada. 

Septembre 2016

Le 19 septembre 2016, l’AICPA a publié un exposé-sondage qui renferme un projet de modification des critères des services Trust à l’égard de la sécurité, de l’accessibilité, de l’intégrité du traitement, de la confidentialité et de la protection des renseignements personnels. Il présente les critères révisés pour les services Trust de l’AICPA que doivent utiliser les cabinets d’experts-comptables qui fournissent des services-conseils ou des services d’attestation pour évaluer les contrôles dans le cadre d’un programme de gestion des cyberrisques d’une entité, ou des missions SOC 2.

Correction list for hyphenation

These words serve as exceptions. Once entered, they are only hyphenated at the specified hyphenation points. Each word should be on a separate line.