Temat: Czy wymagane jest CGAP?
Tak mówimy o tej samej interpretacji.
Jak napewno Pan zauważył są w niej wskazane 2 drogi. Przy wyborze odrzucającym ISO zostaje tylko Uofp. Z tego wnioskowania wyłączam oczywiście hierarchię aktów prawnych: Rozporządzenie, a Ustawa.
Przytoczony fragment znajduje się w punkcie 2, rozpoczynającym się od "...Jednostki,które nie wdrożyły systemu zarządzania bezpieczeństwem informacji, zgodnie z normami..."
Wraz ze stanowiskiem zostały wydane wytyczne odnoszące się do sytuacji w której audyt bezpieczeństwa informacji został powierzony audytorom wewnętrznym. Poniżej link aby każdy samodzielnie mógł wyrobić sobie zdanie w tym temacie (w razie problemów z linkiem dokumenty znajdują się w zakładce AKTUALNOŚCI, Kontrola zarządcza i audyt wewnętrzny). A tu część istotna w temacie:
"...W opinii Ministerstwa Finansów audyt w zakresie bezpieczeństwa informacji powinien być prowadzony w formie zadań zapewniających.
Realizacja audytu bezpieczeństwa informacji jako zadania zapewniającego następowałaby z uwzględnieniem wymogów określonych w ustawie o finansach publicznych, rozporządzeniu w sprawie przeprowadzania i dokumentowania audytu wewnętrznego oraz w Standardach audytu wewnętrznego . Wymogi te dotyczą w szczególności..."
Chciałbym również zwrócić uwagę, że zgodnie ze standardami AW, w sytuacji w której audytor wewnętrzny nie jest kompetentny do przeprowadzenia zadania - odmawia jego wykonania i korzysta z pomocy specjalisty.
Myślę, że całe zamieszanie powstało z nazewnictwem "audyt wewnętrzny". Jako bliższa mi Uofp posługuje się tym terminem, natomiast w odnośnikach do ISO zawsze były kontrowersje z tłumaczeniem audyt, audit... Standardy poprawnej legislacji wręcz zabraniają w normach prawnych nadawania tym samym zwrotom różnego znaczenia.
Mam nadzieję, że jednak choć trochę zdołałem Pana przekonać.
http://www.mf.gov.pl/ministerstwo-finansow/dzialalnosc...