ÎNREGISTRAT:
Ministerul Justiţiei al
Republicii Moldova
nr.1395 din 19 decembrie 2018
Ministru____ Victoria IFTODI

    În temeiul prevederilor art.62 alin.(2) lit.f), art.83 alin.(2) lit.e), art.87 alin.(2) lit.e) și art.143 alin.(1) din Legea nr.171/2012 privind piața de capital (Monitorul Oficial al Republicii Moldova, 2012, nr.193–197, art.665), pct.12 alin.9) din Regulamentul privind serviciile și activitățile de investiții, aprobat prin Hotărârea CNPF nr.49/3 din 26.08.2015 (Monitorul Oficial al Republicii Moldova, 2015, nr.324–329, art.2295),

    1. Se aprobă Regulamentul privind auditul persoanelor licențiate și autorizate pe piaţa de capital, conform anexei.
    2. Prezenta Hotărâre intră în vigoare la data de 1 februarie 2019, cu excepția prevederilor Secțiunii 1 și Secțiunii 2 din Capitolul IV al Regulamentului, care se vor aplica începând cu data de 1 ianuarie 2020.

    PREȘEDINTELE COMISIEI
    NAȚIONALE A PIEȚEI FINANCIARE                         Valeriu CHIȚAN

    Nr. 54/6. Chișinău, 10 decembrie 2018.

Anexă
la Hotărârea CNPF
nr.54/6 din 10.12.2018

    1. Regulamentul privind auditul persoanelor licențiate sau autorizate pe piaţa de capital (în continuare – Regulament) stabileşte condiții privind efectuarea auditului potrivit pct.2, cerințe față de auditori, cerințe de informare privind entitatea de audit și cerințe de raportare față de Comisia Națională a Pieței Financiare (în continuare – CNPF) și entitățile auditate.
    2. Prevederile prezentului Regulament se răsfrâng asupra următoarelor tipuri de audit exercitat la persoana licențiată sau autorizată pe piața de capital (în continuare – entitate auditată):
    1) auditul situațiilor financiare (în continuare – audit SF);
    2) auditul tehnic al sistemelor informaționale (în continuare – audit IT);
    3) auditul serviciilor și activităților desfășurate (în continuare – audit SAD);
    3. Prevederile prezentului Regulament se aplică entităților auditate, precum și auditorilor și entităților de audit care desfășoară activitate de audit la entitățile auditate.
    4. CNPF este autoritatea competentă care aplică dispozițiile prezentului Regulament prin exercitarea atribuțiilor sale de supraveghere stabilite de Legea nr.192/1998 privind Comisia Națională a Pieței Financiare și Legea nr.171/2012 privind piața de capital (în continuare – Legea nr.171/2012).
    5. Entitatea de audit efectuează auditul SF conform legislaţiei din domeniul auditului.
    6. Raporturile dintre entitatea de audit şi entitatea auditată se reglementează prin contractul de audit, încheiat conform legislaţiei civile şi care va conţine cel puţin următoarele:
    1) obiectivul şi sfera de aplicare a auditului;
    2) obligaţia entității de audit de a elabora raportul auditorului, precum şi scrisoarea adresată conducerii, pe care entitatea de audit este responsabilă să le prezinte entității auditate;
    3) perioada de gestiune pentru care se efectuează auditul;
    4) obligaţia entității de audit de a transmite CNPF informaţia obţinută în cadrul misiunii de audit în situaţiile prevăzute la art.143 alin.(4) din Legea nr.171/2012, pct.16 din prezentul Regulament şi faptul că aceasta nu constituie o încălcare a obligaţiei de respectare a confidenţialităţii informaţiei referitoare la activitatea entității auditate, care revine entității de audit potrivit legislaţiei sau clauzelor contractuale, şi nu poate atrage răspunderea de orice natură a acesteia.
    7. Auditul la o entitate auditată poate fi efectuat atât de către o entitate de audit care deține auditori certificați pentru toate tipurile de audit, cât și de către entități de audit separate.
    8. Termenii utilizați în prezentul Regulament au semnificația atribuită acestora de Legea nr.171/2012 și Legea nr.271/2017 privind auditul situațiilor financiare (în continuare – Legea nr.271/2017).
    9. În sensul prezentului Regulament, se definesc următoarele noțiuni:
    auditor - persoana fizică care deţine certificarea corespunzătoare efectuării auditului specificat la pct.2;
    audit IT - activitatea de colectare și evaluare a unor probe pentru a determina dacă sistemul informatic este securizat, a menține integritatea datelor prelucrate și stocate, a permite atingerea obiectivelor operaționale ale entității și utilizarea eficientă a resurselor informaționale;
    audit SAD - activitatea de verificare și evaluare a corespunderii serviciilor și activităților desfășurate cerințelor legislației;
    entitate de audit – entitate, precum este definită în Legea nr.271/2017, sau altă entitate care dispune de specialiști calificați în auditul IT;
    raport de audit IT – instrumentul prin care se comunică scopul auditării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, întinderea, procedurile, constatările şi concluziile auditului, precum şi orice rezervă pe care auditorul IT o are asupra sistemului informatic auditat;
    sistem informatic - orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic;
    standard de audit IT - standarde internaționale de audit în domeniul tehnologiei informaționale, aplicabile pentru organizarea, desfăşurarea şi raportarea auditului sistemului informatic, conform bunelor practici în domeniu.
    10. CNPF are acces la orice documente sau informații ce țin de activitatea entității auditate și rapoarte întocmite de entitatea de audit pe parcursul misiunii de audit. CNPF asigură confidenţialitatea informaţiilor conţinute în raportul de audit, precum şi a altor informaţii primite pe parcursul misiunii de audit.
    11. Transmiterea către CNPF a informaţiilor prevăzute la pct.10 nu constituie o încălcare a restricţiilor contractuale sau legale privind divulgarea informaţiei de către auditor şi nu implică responsabilitatea sau sancţionarea acestuia.
    12. Entitatea auditată, la selectarea entității de audit, va ține cont de următoarele condiţii față de echipa misiunii de audit, în funcție de tipul de audit solicitat:
    1) să nu se afle într-o situaţie de încălcare a cerinței de independență prevăzute de legislaţie și prezentul Regulament;
    2) să dispună de minimum o persoană cu certificat de calificare al auditorului participanţilor profesionişti la piaţa de capital sau, după caz, cu certificat de calificare a auditorului instituțiilor financiare – în cazul auditului SF;
    3) să dispună de minimum o persoană certificată în efectuarea auditului IT și cel puțin o persoană să dețină certificat de calificare al auditorului participanţilor profesionişti la piaţa de capital sau certificat de calificare al specialistului în domeniul pieței de capital – în cazul auditului IT;
    4) să dispună de minimum o persoană cu certificat de calificare al auditorului participanţilor profesionişti la piaţa de capital sau certificat de calificare al specialistului în domeniul pieței de capital – în cazul auditului SAD.
    13. Entitatea auditată, în termen de 10 zile lucrătoare de la semnarea contractului cu entitatea de audit, va prezenta CNPF o înștiințare completată şi semnată, în forma prezentată în Anexa nr.1, cu anexarea următoarele documente:
    1) extrasul din procesul-verbal al ședinței organului de conducere abilitat prin lege sau statut, la care a fost luată decizia privind confirmarea entității de audit pentru desfăşurarea auditului prevăzut la pct.2;
    2) contractul de audit încheiat între entitatea auditată și entitatea de audit;
    3) copiile certificatelor de calificare ale persoanelor certificate în efectuarea auditului IT incluse în echipa misiunii de audit, confirmate prin semnătura persoanei responsabile a entității auditate - în cazul auditului IT;
    4) declaraţia pe propria răspundere, sub semnătură olografă, în forma prezentată în Anexa nr.2;
    5) în cazul auditului SAD, suplimentar la documentele şi informaţiile specificate în prezentul punct se anexează şi scrisoarea de misiune a entității de audit, întocmită conform ISRS 4400 „Servicii conexe”.
    14. Auditorii trebuie să respecte următoarele cerințe:
    1) să fie în măsură să identifice cazurile de nerespectare a prevederilor actelor normative de către entitatea auditată la întocmirea situațiilor financiare, în cadrul activităților și serviciilor desfășurate, precum și în cadrul utilizării sistemelor informaționale;
    2) să notifice entitatea auditată despre denaturările semnificative depistate şi despre acţiunile recomandate în urma efectuării auditului;
    3) să renunţe la efectuarea auditului dacă se încalcă principiul independenţei activităţii auditorului.
    15. Cerinţa de independenţă a auditorului pentru auditul SF și auditul SAD este încălcată în situația prevăzută la art.21 din Legea nr.271/2017, iar pentru auditul IT în cazul:
    a) implicării, directe sau indirecte a acestuia în activitatea entităţii auditate în calitate de acționar, persoană cu funcţie de răspundere;
    b) acceptării de către acesta a unor bunuri şi servicii în calitate de cadouri, precum şi a unei cordialităţi şi ospitalităţi exagerate din partea entităţii auditate;
    c) efectuării a mai mult de 3 auditări consecutive de către auditor la aceeaşi entitate auditată. Un alt audit la aceeași entitate poate fi efectuat doar după expirarea a 4 ani de la ultimul audit;
    d) existenţei unor relaţii de rudenie sau afinitate de până la gradul al III-lea ale auditorului cu fondatorii/acţionarii şi cu membrii organului de conducere al entităţii auditate.
    16. Auditorul care efectuează auditul potrivit pct.2 este obligat să informeze imediat CNPF în cazul când, la exercitarea atribuţiilor sale, identifică situaţii ce ar putea:
    1) constitui o încălcare de către entitatea auditată a actelor normative în domeniul auditat;
    2) afecta funcţionarea continuă a entității auditate;
    3) duce la oricare dintre situaţiile stabilite la alin.1) și 2) în legătură cu persoanele juridice care au legături strânse cu entitatea auditată;
    4) conduce la exprimarea unei opinii de audit cu rezerve, a unei opinii contrare/negative sau la imposibilitatea exprimării unei opinii de audit.
    17. La apariția situațiilor prevăzute la pct.16, auditorul este obligat să prezinte CNPF o astfel de informație indiferent de:
    1) faptul dacă problema a fost trimisă spre examinare CNPF de către alte părți (inclusiv entitatea auditată, fie de către persoane de conducere);
    2) existența oricărei obligații pe care o are față de alte părți, inclusiv față de persoanele cu funcții de conducere din entitatea auditată și acționarii acesteia (sau persoanele echivalente).
    18. Entitatea de audit nu trebuie să permită ca relația auditor - entitate auditată și obligația de confidențialitate față de aceasta să ducă la depășirea îndatoririlor pe care le are față de CNPF.
    19. Auditorul și entitatea de audit, la solicitarea scrisă a CNPF, au obligaţia să prezinte în termen de 5 zile:
    1) orice raport sau document ce a fost adus la cunoştinţa entităţii auditate;
    2) orice detalii, clarificări, explicaţii, inclusiv rapoarte referitoare la activitatea de audit desfăşurată pentru entitatea auditată;
    3) o declaraţie scrisă care să indice motivele de încetare a contractului de audit, indiferent de natura acestora;
    4) orice alte informaţii sau documente solicitate ce ţin de activitatea entității auditate.
    20. În situația în care auditul este efectuat de o echipă formată din mai mulți auditori, aceștia răspund solidar pentru asigurarea derulării procesului de audit în conformitate cu legislația în domeniu și prezentul Regulament.
    21. În cazul constatării unor deficienţe semnificative în activitatea profesională desfăşurată de auditor în legătură cu prestarea serviciilor conform prezentului Regulament, CNPF este în drept să sesizeze organele competente în vederea adoptării unor măsuri corective şi, după caz, disciplinare corespunzătoare.
    22. Entitățile auditate au obligația, cel puțin o dată la 2 ani, de a efectua auditul IT a următoarelor sisteme:
    1) sistemelor informatice pentru evidenţa deţinătorilor de valori mobiliare;
    2) sistemelor informatice pentru evidența activelor clienților custozilor;
    3) sistemelor de tranzacţionare şi de finalizare a tranzacţiilor cu instrumente financiare;
    4) altor sisteme informatice utilizate / deținute obligatoriu aferente activității pe piața de capital.
    23. Contractul de audit IT cuprinde în mod obligatoriu, pe lângă clauzele indicate la pct.6, clauze cu privire la obligația entității de audit de a prezenta CNPF informațiile conform pct.19 și de a respecta cerințele necesare efectuării auditului sistemului informatic, în conformitate cu prevederile prezentului Regulament și cu bunele practici în domeniu.
    24. Respectarea prevederilor pct.23 nu constituie o încălcare a restricțiilor privind divulgarea de informații și nu va atrage răspunderea asupra entității de audit în cauză. Clauza de confidențialitate nu este opozabilă CNPF.
    25. Entitatea de audit IT are obligația de a întocmi și de a prezenta conducerii entității auditate o situație a deficiențelor și vulnerabilităților identificate.
    26. La finalizarea auditului IT, entitatea de audit IT are obligația de a întocmi un Raport de audit IT însoțit de anexe, care va conține opinia auditorului asupra sistemului informaţional evaluat și care va cuprinde cel puțin următoarele elemente:
    1) titlul raportului;
    2) un paragraf introductiv care va include: identificarea (denumirea, IDNO, adresa) și descrierea entității auditate, respectiv beneficiarul raportului, includerea afirmației că sistemele informatice au fost auditate ca urmare a obligației legale impuse de Legea nr.171/2012 și prezentul Regulament;
    3) destinatarii raportului și orice restricții privind conținutul și circulația raportului;
    4) asumarea responsabilității conducerii entității auditate privind auditul efectuat asupra sistemelor informatice;
    5) obiectivele activității de audit IT și perioada auditată;
    6) natura, cronologia și gradul de acoperire a procedurilor de audit efectuate;
    7) orice calificare de opinie sau limitare a ariei acoperite de audit;
    8) datele de identificare ale membrilor echipei de audit, care cuprind cel puțin numele și prenumele, telefon, fax, e-mail și adresa unde își desfășoară activitatea;
    9) semnătura persoanelor care dețin certificat în efectuarea auditului IT, certificat de calificare al specialistului în domeniul pieței de capital, după caz, certificat de calificare al auditorului participanţilor profesionişti la piaţa de capital și semnătura conducătorului entității de audit IT;
    10) locul auditării;
    11) data întocmirii raportului;
    12) descrierea ariei auditului, incluzând:
    a) descrierea sistemelor auditate;
    b) măsurile organizatorice: politicile aplicabile și procedurile implementate;
    c) identificarea aplicațiilor utilizate și a persoanelor implicate;
    d) componentele sistemelor informatice utilizate;
    e) un sumar conținând analiza riscurilor aferente activității, a posibilelor deficiențe ale sistemului informatic auditat și a măsurilor de reducere a riscurilor asociate;
    13) afirmația de conformitate, reflectată prin „opinia pozitivă” cu privire la conformarea parțială/totală referitoare la obiectivele auditului, indicând punctele care trebuie îmbunătățite, reflectate prin „opinia cu rezerve/calificată”, sau de neîndeplinire a obiectivelor testate/auditate, reflectată prin „opinia negativă”;
    14) referiri cu privire la implementarea planului de acțiuni asumat de entitatea auditată rezultat în urma activității de audit IT anterioare, dacă este cazul (verificarea modului de implementare a măsurilor și respectarea termenelor asumate);
    15) o anexă la raportul de audit IT, recepționată de entitatea auditată prin semnarea acesteia de către administratorul entității auditate, conținând:
    a) constatările și concluziile;
    b) neconformitățile, lipsa controalelor interne sau controale ineficiente;
    c) importanța neconformității sau deficienței de control;
    d) probabilitatea ca aceste constatări să aibă un impact semnificativ și riscuri asociate;
    e) recomandările pentru acțiuni corective și răspunsul conducerii entității auditate pentru fiecare constatare din raport, inclusiv termenul de aplicare;
    16) declarația pe proprie răspundere a entității de audit IT cu privire la faptul că auditul a fost efectuat în conformitate cu prezentul Regulament, precum și cu standardele de audit în vigoare la momentul realizării auditului, cu menționarea acestora;
    17) declarația pe propria răspundere a entității de audit IT cu privire la faptul că aceasta nu se află în relații cu entitatea auditată sau cu angajații entității, care ar putea să îi afecteze independența sau obiectivitatea activității de audit.
    27. Auditul serviciilor și activităților desfășurate reprezintă o sarcină specifică de verificare şi evaluare, solicitată de către CNPF, cu privire la unul sau mai multe din următoarele aspecte, fără a se limita la acestea:
    1) adecvarea cadrului de administrare și desfășurare a activităţii entității auditate conform actelor normative ale CNPF;
    2) veridicitatea şi plenitudinea rapoartelor prezentate la CNPF de către entitatea auditată în partea ce ține de serviciile și activitățile prestate și veniturile aferente obținute;
    3) adecvarea şi implementarea programelor proprii ale entității auditate în domeniul prevenirii şi combaterii spălării banilor şi finanţării terorismului.
    28. În cazul verificării aspectului privind adecvarea cadrului de administrare, evaluând structura internă a entității auditate, entitatea de audit va descrie constatările efective privind:
    1) componența și funcționalitatea organelor de conducere,
    2) gestiunea riscurilor,
    3) mecanismul de control intern și raportare internă,
    4) organizarea și funcționalitatea funcțiilor de conformitate, de audit intern și de gestiune a riscurilor.
    29. Entitatea de audit va descrie constatările efective privind corespunderea activității entității auditate la cerințele Legii nr.171/2012 aferente normelor de prudență față de serviciile și activitățile desfășurate în conformitate cu actele normative ale CNPF aferente fiecărui gen de activitate în parte și cu licențele și autorizațiile deținute de entitățile auditate.
    30. Auditul SAD poate fi desfăşurat concomitent cu auditul SF sau separat de acesta, precum şi de aceeaşi entitate de audit sau de o altă entitate de audit.
    31. Auditul SAD nu face parte din auditul SF, dar este o verificare şi evaluare specifică pe anumite arii solicitate de a fi verificate şi se va face în baza unui contract de audit extern încheiat între entitatea auditată şi entitatea de audit.
    32. CNPF poate solicita iniţierea unui audit SAD pentru fiecare entitate auditată individual cu indicarea ariei de verificare şi evaluare. CNPF poate înainta cerinţe privind modul, forma, perioada, condiţiile de desfăşurare a verificării şi evaluării şi data limită de prezentare a raportului auditorului SAD.
    33. Ca urmare a auditului SAD, echipa misiunii de audit emite raportul auditorului asupra constatărilor efective aferente procedurilor convenite, conform legislaţiei din domeniul auditului, inclusiv ISRS 4400 „Servicii conexe”.
    34. Entitatea de audit va prezenta în original conducerii entității auditate, dar nu mai târziu de 30 aprilie al anului următor celui auditat, raportul auditorului cu privire la auditul SF, precum şi scrisoarea adresată conducerii, cu anexarea situaţiilor financiare, care sunt semnate în numele entității de audit de către conducătorul acesteia şi şeful echipei misiunii de audit.
    35. În situaţia în care nu a fost emisă o astfel de scrisoare adresată conducerii entității auditate, entitatea de audit va transmite CNPF în termenul prevăzut la pct.34 o comunicare scrisă în acest sens, cu prezentarea motivelor pentru care aceasta nu a fost emisă.
    36. Entitatea auditată va prezenta CNPF o copie a raportului auditorului SF, autentificată prin semnătura persoanei responsabile din cadrul societăţii de audit, dar nu mai târziu la 30 aprilie al anului următor celui auditat.
    37. Entitatea auditată are obligaţia de a informa CNPF cu privire la planul de măsuri adoptat, care va cuprinde modalităţi şi termene concrete pentru realizarea recomandărilor formulate de către entitatea de audit în scrisoarea către conducere, prevăzută la pct.34, în termen de 30 de zile de la emiterea recomandărilor.
    38. În cazul auditului SAD solicitat de către CNPF potrivit pct.27, entitatea de audit prezintă conducerii entității auditate raportul asupra constatărilor efective aferente procedurilor convenite, care este semnat de către conducătorul entității de audit, şeful echipei misiunii de audit și persoana certificată în domeniul pieței de capital.
    39. În cazul auditului IT, entitatea de audit prezintă conducerii entității auditate raportul auditorului cu privire la auditul IT, care este semnat de către conducătorul echipei misiunii de audit, persoana care deține certificat în efectuarea auditului IT, persoana care deține certificat de calificare al specialistului în domeniul pieței de capital, după caz, certificat de calificare al auditorului participanţilor profesionişti la piaţa de capital, și conducătorul entității de audit IT.
    40. Entitatea auditată va prezenta CNPF copia raportului auditorului SAD și copia raportului auditorului cu privire la auditul IT, autentificate prin semnătura persoanei responsabile din cadrul societăţii de audit, în termen de 5 zile calendaristice de la recepționarea acestora.
    41. Auditorul și entitatea de audit sunt responsabili de formarea şi de exprimarea opiniei de audit și răspund faţă de entitatea auditată conform legislaţiei civile, contravenţionale şi penale.
    42. Entitatea auditată este responsabilă de autenticitatea şi plenitudinea informațiilor prezentate auditorului în scop de efectuare a auditului potrivit prezentului Regulament.
    43. Entitatea auditată care se eschivează de la efectuarea auditului obligatoriu răspunde conform prevederilor legale.

    anexa nr.1

    anexa nr.2