Certificare ISO pentru cabinete de contabilitate

Două standarde ISO acoperă realitatea unui cabinet de contabilitate: ISO 9001 pentru sistemul de calitate al lucrărilor profesionale și ISO 27001 pentru protecția datelor financiare ale clienților. Restul au sens limitat pentru o activitate de birou cu hârtii, calculatoare și un server.

Activitatea de expertiză contabilă este reglementată prin OG 65/1994 și prin Regulamentul CECCAR privind auditul de calitate în domeniul serviciilor contabile, adoptat la 19 decembrie 2023. Acest audit periodic verifică modul în care cabinetul își organizează misiunile și își documentează lucrările. ISO 9001 nu înlocuiește auditul CECCAR, dar acoperă o parte importantă din ce se cere acolo.

Pașii pentru a alinia un cabinet la cerințele ISO

Pentru un cabinet care nu are un sistem documentat formal, drumul realist se desfășoară în șapte pași.

1. Definești domeniul de aplicare: ce tipuri de misiuni iei (ținere contabilitate, expertiză judiciară, consultanță fiscală, salarizare).
2. Faci un inventar al procedurilor existente, oricât de informale, și identifici ce documente lipsesc.
3. Scrii proceduri pentru fazele care apar la fiecare client: preluarea documentelor, verificarea, prelucrarea, depunerea declarațiilor, arhivarea.
4. Documentezi separat fluxul datelor personale (CNP, IBAN, state de plată) și controalele tehnice pe stațiile de lucru și pe backup.
5. Instruiești personalul pe procedurile noi și înregistrezi participarea.
6. Faci un audit intern și închizi neconformitățile găsite.
7. Soliciți auditul de certificare la un organism acreditat și treci de etapele 1 și 2.

Pentru un cabinet pregătit, întregul ciclu durează între 6 și 10 săptămâni. Pentru un cabinet fără nicio procedură scrisă, planifică 3 până la 5 luni, mai ales dacă reorganizezi și protecția datelor în paralel.

Documentația care se suprapune cu auditul de calitate CECCAR

Regulamentul CECCAR din 19.12.2023 împarte auditul de calitate pe trei faze: audit structural (cum este organizat cabinetul), audit tehnic (calitatea dosarelor de lucru) și audit de conformitate. ISO 9001 cere proceduri care acoperă două dintre aceste trei zone.

Audit structural CECCAR vs ISO 9001:

Cerință CECCAR	Echivalent ISO 9001
Organigramă, fișe de post, contracte de muncă	Cap. 7.1.2 Resurse umane și 7.2 Competență
Politica privind acceptarea clienților	Cap. 8.2 Determinarea cerințelor pentru servicii
Reguli interne de etică și independență	Cap. 5.2 Politica de calitate

Audit tehnic CECCAR vs ISO 9001:

Cerință CECCAR	Echivalent ISO 9001
Dosare de lucru pe misiune, cu liste de verificare	Cap. 8.5 Producția și furnizarea serviciilor
Înregistrarea revizuirii lucrărilor	Cap. 9.1 Monitorizare, măsurare, analiză
Trasabilitatea documentelor primite de la client	Cap. 7.5 Informații documentate

Dacă ai construit un sistem ISO 9001 funcțional, intri în auditul CECCAR cu jumătate din dosar deja organizat. Eficiența nu vine din certificat, ci din faptul că scrii procedurile o singură dată.

Datele clienților, ANSPDCP și de ce ISO 27001 devine relevant

Cabinetul procesează zilnic date cu caracter personal: CNP, conturi bancare, state de plată, declarații fiscale, date despre soți și copii din declarațiile 230. Este operator de date conform Regulamentului (UE) 2016/679 și Legii 190/2018.

ANSPDCP a aplicat o amendă de 10.000 EUR unei firme de contabilitate pentru o breșă de securitate. Atacul informatic a dus la dezvăluirea neautorizată a CNP-urilor, statelor de plată și documentelor financiare ale clienților. Cazul a fost publicat în lista de sancțiuni a autorității și a devenit referință pentru sectorul de servicii financiare conexe.

ISO 27001 impune controale concrete pe această zonă: criptarea backupurilor, autentificare cu factori multipli pe contul de email, segregarea datelor între clienți, proceduri de incident, audituri tehnice anuale. Ghidul nostru despre sistemul de management al securității informației explică structura standardului, iar comparația ISO 27001 cu GDPR arată ce cerințe GDPR sunt acoperite automat dacă implementezi standardul.

Bugetul realist pentru un cabinet de patru persoane

Ai un SRL cu profil de expertiză contabilă și ținere contabilitate în București, 4 persoane (1 expert contabil titular, 2 contabili, 1 asistent), aproximativ 35 de clienți SRL cu cifră de afaceri sub 5 milioane lei. Pornești fără sistem documentat formal și vrei ambele standarde înainte de următorul audit CECCAR.

Bugetul orientativ:

• ISO 9001 singular: 2.000-4.000 lei + TVA la organism acreditat, valabil 3 ani
• ISO 27001 singular: 2.500-4.500 lei + TVA, valabil 3 ani
• Pachet 9001 + 27001 (audit integrat): 4.000-6.500 lei + TVA
• Consultanță externă pentru documentație, dacă nu ai timp intern: 4.000-8.000 lei
• Audit anual de supraveghere, pentru două standarde: 1.500-2.500 lei
• Investiție tehnică minimă pentru ISO 27001: NAS cu backup criptat, MFA pe email, antivirus centralizat (5.000-8.000 lei one-time pentru un cabinet de această mărime)

Costul direct al certificării rămâne sub 7.000 lei + TVA pentru pachet. Costurile reale stau în pregătirea documentației și în partea tehnică pentru protecția datelor.

Este suficient un singur audit pentru ambele standarde?

Da, dacă alegi un organism care emite ambele certificate. Auditul integrat reduce timpul de evaluare cu aproximativ 30% față de două audituri separate, pentru că ISO 9001 și ISO 27001 împart cerințele generale (politică, conducere, contextul organizației), care se verifică o singură dată.

Standardele care nu merită urmărite la un cabinet de contabilitate

ISO 14001 (mediu) și ISO 45001 (sănătate și securitate în muncă) apar uneori în pachete promoționale. Pentru un cabinet care are activitate exclusiv de birou, ambele sunt supradimensionate.

ISO 14001 are sens când firma generează deșeuri industriale, transportă mărfuri sau influențează direct calitatea aerului sau a apei. Un cabinet de contabilitate generează maculatură reciclabilă și consum electric. Nu există o licitație publică sau un partener corporate care să ceară ISO 14001 unui cabinet de expertiză.

ISO 45001 protejează lucrătorii de riscuri ocupaționale. Pentru o activitate sedentară, principalele riscuri sunt postura și sănătatea ochilor. Obligația legală există oricum prin Legea 319/2006, fără să fie nevoie de standard internațional.

Excepție: dacă activezi și ca evaluator autorizat ANEVAR cu deplasări pe teren, sau dacă lucrezi cu clienți mari care impun lanț de furnizare certificat pe trei standarde, ISO 45001 poate apărea ca cerință externă.

Este obligatorie certificarea ISO pentru a profesa contabilitate?

Nu. Pentru a profesa, trebuie să fii membru CECCAR cu viză anuală și să respecți OG 65/1994. ISO este voluntar și aduce valoare doar în relația cu clienți care îl cer, cu programe de fonduri europene care punctează extra pentru certificare sau cu firme mari care impun lanț de furnizare conform.

Cadrul legal aplicabil

Cabinetul de contabilitate operează sub trei seturi de reguli paralele.

Activitatea profesională este organizată prin OG 65/1994 și prin reglementările CECCAR. Tabloul Corpului se publică anual în Monitorul Oficial, iar viza anuală este obligatorie pentru a presta servicii.

Auditul de calitate este reglementat prin Regulamentul CECCAR din 19.12.2023. Cele cinci principii fundamentale (universalitate, confidențialitate, adaptarea auditului la natura misiunilor, colegialitate, armonizare cu alte audituri externe) permit cabinetelor cu certificat ISO să propună un audit comun, dacă obiectivele se acoperă reciproc.

Protecția datelor se aplică prin Regulamentul (UE) 2016/679 și Legea 190/2018, iar autoritatea de control este ANSPDCP. Sancțiunile aplicate până acum cabinetelor sunt punctuale, dar arată că autoritatea verifică zona și aplică amenzi proporționale.

Pentru un cabinet care vrea să combine pașii de mai sus cu un buget minim, ghidul de certificare ISO pentru firmă mică acoperă varianta cu o singură procedură consolidată pentru întreaga companie. Dacă vrei o ofertă personalizată pe profilul cabinetului tău, scrie pe pagina de contact.