财政部和国家网信办发布的《会计师事务所数据安全管理暂行办法》(以下简称《暂行办法》)将于2024年10月1日施行,《暂行办法》的出台对贯彻落实《国务院办公厅关于进一步规范财务审计秩序促进注册会计师行业健康发展的意见》(国办发〔2021〕30号)有关要求,加强会计师事务所数据安全管理,规范会计师事务所的数据处理活动起到重要作用。本文首先对《暂行办法》中的数据安全要求进行梳理,分析目前面临的数据安全挑战,并根据数据安全治理体系框架,阐述会计师事务所如何做好数据安全治理。
适用条件和具体要求
第二条 在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的,适用本办法:
(一)为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的;(二)为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务的;
(三)为境内企业境外上市提供审计服务的。会计师事务所从事的审计业务不属于前款规定的范围,但涉及重要数据或者核心数据的,适用本办法。
《会计师事务所数据安全管理暂行办法》
这条明确了适用对象,除了从事前述三类业务的会计师事务所,审计涉及重要数据或者核心数据的,也应根据《暂行办法》进行数据处理活动。这里的数据在第三条解释为“会计师事务所执行审计业务过程中,从外部获取和内部生成的任何以电子或者其他方式对信息的记录。”第四条明确了会计师事务所承担本所的数据安全主体责任,第五条财政部和省级财政部门分别负责全国及本行政区域内会计师事务所数据安全监管工作,第六条强调了注册会计师协会应加强行业自律。
《暂行办法》第二章数据管理部分,第七条明确会计师事务所应当履行的数据安全管理责任,第八条明确会计师事务所的首席合伙人(主任会计师)是本所的数据安全负责人,第九、十条明确数据分类分级的确定和保护要求,第十一条日志留存要求,第十二条数据传输管理,第十三条审计工作底稿保护(境内存储,相关加密设备境内团队维护,密钥存储在境内),第十四条数据备份制度(因外部技术原因被停止使用、被限制使用等情况下,仍能访问、调取、使用相关审计工作底稿),第十五条业务约定书要求(不得包含向境外监管机构提供境内项目资料数据等类似条款),第十六条数据安全技术手段,第十七条数据安全应急处置机制(立即采取补救措施并及时向有关部门报告),第十八条出境管理有关规定,第十九条审计工作底稿出境管理(逐级复核机制、采取必要措施严格落实数据安全管控责任、出境按国家有关规定审批)。
相关的数据安全工作重点梳理如下:
(1)规范数据分类分级。《暂行办法》要求会计师事务所应按照相关法律法规的规定和被审计单位所处行业数据分类分级的标准,确定核心数据、重要数据和一般数据,并对核心数据和重要数据的存储、相关日志、传输等作出明确要求。被审计单位有义务通过业务约定书、确认函等方式告知会计师事务所审计资料中的核心数据和重要数据相关信息。在数据存储上,存储重要数据的信息系统要落实三级及以上网络安全等级保护要求,存储核心数据的信息系统要落实四级网络安全等级保护要求。在日志管理上,要求涉及核心数据的相关日志,留存时间不少于三年,涉及重要数据的相关日志,留存时间不少于一年,其中向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年。
(2)规范底稿管理。《暂行办法》规定,会计师事务所审计工作底稿应按相关规定存放在境内。会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。境外监管机构因监管需要确需调取境内审计工作底稿的,应通过相应的跨境监管合作机制依法依规获取,相应审计工作底稿出境应当办理审批手续。会计师事务所对审计工作底稿出境事项应当建立逐级复核机制,落实数据安全管控责任。
(3)建立数据安全管理和技术要求。数据安全管理要求方面,《暂行办法》第七条要求会计师事务所建立健全数据全生命周期安全管理制度,完善数据运营和管控机制;健全数据安全管理组织架构,明确数据安全管理权责机制。数据安全技术要求方面,《暂行办法》第十六条要求会计师事务所应当采用网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段,及时识别、阻断和溯源相关网络攻击和非法访问,保障数据安全。
(4)加强监督检查。在第二十六条中明确了省级以上财政部门在监督检查工作中予以重点关注、并持续加强日常监管的会计师事务所。第二十八条明确了影响或者可能影响国家安全的开展数据处理活动的会计师事务所,应当按照国家安全审查机制进行安全审查。
会计师事务所面临数据安全挑战
国际行业交流层面,截至目前,我国有35家会计师事务所加入或创建了28个国际会计网络,行业对外交流合作日益密切,前述的审计底稿数据跨境监管要求必然是个挑战。
地区信息化建设层面,以北京为例,截至2023年12月31日,北京地区共有835家会计师事务所。2023年1月,北京注册会计师协会公布的《北京地区中小会计师事务所发展状况与信息化建设调研报告》中显示,只有10%左右的中小事务所未使用审计软件或内部管理系统,且近70%的中小事务所在信息化方面的投入在5万元以下。在建立数据安全制度规范情况的调研结果,在提交调查问卷的136家中小会计师事务所中,建立数据安全制度规范的仅为24家,占17.65%,还有2家认为没有必要。中小会计师事务所落后的数据安全现状对《暂行办法》的落地执行是个挑战。
内部运维安全管控层面,《暂行办法》要求会计师事务所应当拥有其审计业务系统中网络设备、网络安全设备的自主管理权限,统一设置、维护系统管理员账户和工作人员账户,不得设置不受限制、不受监控的超级账户,不得将管理员账号交由第三方运维机构管理使用。比如:现有审计业务系统后台数据库有多少个运维账户,权限多大,在实际运维过程中,针对重要数据和核心数据是否有审批和记录,这对会计师事务所数据安全运维管控是个挑战。
《暂行办法》的推出,就是要督促会计师事务所全面落实《注册会计师法》《网络安全法》《数据安全法》等法律法规要求,是在注册会计师行业对国家网络和数据安全管理相关规定的细化,为会计师事务所开展数据安全管理活动提供依据,对于承接金融、能源、电信、交通、科技、国防科工等重要领域审计业务且符合《暂行办法》第二条规定范围的会计师事务所提出了数据安全挑战,当然这也是一个优胜劣汰的机遇。
数据安全治理体系框架建议
数据安全治理整体框架示意图
如上图所示,会计师事务所按照《暂行办法》进行数据安全建设,应当先将数据安全战略作为首要考虑的要素,目标中应涵盖国家法律法规、行业监管标准,同时应考虑符合经济学规律,以合适的安全成本实现良好的经济效益。落实数据安全治理理念,从多元共治、关注数据处理活动安全、重视管理与技术并举三个方面来设计,形成以数据分类分级为治理基石,数据安全管理制度体系、数据安全技术体系与数据安全运营体系为治理核心,数据安全监管体系为监督评价的一系列数据安全治理活动。
总之,会计师事务所做好数据安全治理工作是一个关键指标,除了能满足行业监管要求外,还能在激烈的市场竞争中脱颖而出,成为众多关键企业优先选择的财务审计单位。
(本文作者:北京安华金和科技有限公司 谭峻楠)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。