《會計師事務所數據安全管理暫行辦法》的出臺,旨在全面落實網絡安全法、數據安全法、個人信息保護法等法律要求,為會計師事務所開展數據安全管理活動提供依據,同時加快推進注冊會計師行業基礎制度建設,并構建橫向協同、縱向聯動的行業數據安全監管機制。
為貫徹落實數據安全法、網絡安全法等相關法律的要求,加強會計師事務所數據安全管理,規范會計師事務所數據處理活動,近日,財政部、國家互聯網信息辦公室聯合印發《會計師事務所數據安全管理暫行辦法》(以下簡稱《暫行辦法》),提出會計師事務所應當建立完善的網絡安全管理治理架構,建立健全內部網絡安全管理制度體系,涉及核心數據的相關日志留存時間不少于3年,會計師事務所審計工作底稿應按相關規定存放在境內。
《暫行辦法》的出臺,旨在全面落實網絡安全法、數據安全法、個人信息保護法等法律要求,為會計師事務所開展數據安全管理活動提供依據,同時加快推進注冊會計師行業基礎制度建設,并構建橫向協同、縱向聯動的行業數據安全監管機制。據悉,《暫行辦法》自2024年10月1日起施行。
核心數據日志留存不少于3年
數據是數字經濟的關鍵要素。近年來,中國產業數字化程度顯著提高,數據資源對于企業特別是相關數據企業的價值創造日益發揮著重要作用。為此,和企業生產運營、國民經濟健康發展密切相關的會計數據信息安全問題亟須重視。
2021年7月,《國務院辦公廳關于進一步規范財務審計秩序促進注冊會計師行業健康發展的意見》強調,要加快推進注冊會計師行業基礎制度建設,及時跟進健全相關制度規定。此次兩部門印發的《暫行辦法》順應數字經濟發展趨勢,進一步完善注冊會計師行業基礎制度體系。
《暫行辦法》明確,會計師事務所應按照相關法律法規的規定和被審計單位所處行業數據分類分級的標準,確定核心數據、重要數據和一般數據,并對核心數據和重要數據的存儲、相關日志、傳輸等作出明確要求。被審計單位有義務通過業務約定書、確認函等方式告知會計師事務所審計資料中的核心數據和重要數據相關信息。
在數據存儲上,存儲重要數據的信息系統要落實三級及以上網絡安全等級保護要求,存儲核心數據的信息系統要落實四級網絡安全等級保護要求。
在日志管理上,要求涉及核心數據的相關日志留存時間不少于3年,涉及重要數據的相關日志留存時間不少于1年,其中向他人提供、委托處理、共同處理重要數據的相關日志留存時間不少于3年。涉及一般數據按照國家相關規定處理,《暫行辦法》不作特別要求。
《暫行辦法》規范的會計師事務所及數據行為,主要是指境內依法設立的會計師事務所及所開展的審計業務相關數據處理活動,包括為上市公司以及非上市的國有金融機構或中央企業等提供審計服務;為關鍵信息基礎設施運營者或者超過100萬用戶的網絡平臺運營者提供審計服務;為境內企業境外上市提供審計服務。
會計師事務所未從事前述3類業務,但審計業務涉及重要數據或者核心數據,也應根據《暫行辦法》進行數據處理活動。數據包括會計師事務所執行審計業務過程中從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。
財政部會計司有關負責人介紹說:“《暫行辦法》是注冊會計師行業對國家網絡和數據安全管理相關規定的細化,為會計師事務所開展數據安全管理活動提供依據。此舉有利于推動注冊會計師行業數據安全管理工作制度化、規范化。”
應建立完善網絡安全管理架構
信息時代,信息安全已經成為企業發展的重要保障之一。尤其對于財務數據這樣敏感的信息來說,保護其安全性顯得尤為重要。隨著我國近年來數字化技術的不斷發展和應用,財務數據安全問題日益引起人們的關注。會計師作為企業財務數據的管理者和報告者,肩負著保障財務數據安全的重要責任。
《暫行辦法》要求,會計師事務所應當建立完善的網絡安全管理治理架構,建立健全內部網絡安全管理制度體系,建立內部決策、管理、執行和監督機制,確保網絡安全管理能力與提供的專業服務相適應,為數據安全管理工作提供安全的網絡環境。
北京大學法學院教授劉劍文分析指出,會計信息安全不僅意味著保護企業的財務數據不被泄露,還包括保證其完整性、可靠性和可用性。企業的聲譽對其在市場競爭中的地位至關重要。財務數據的泄露或意外損壞可能導致企業聲譽受損。員工、客戶和投資者對企業的信任會受到財務數據安全事故的影響。因此,保護財務數據安全是維護企業聲譽的首要任務。
此外,隨著信息化發展的加快,對個人隱私和企業數據的保護要求也越來越高。各國都制定了相關法律法規保護個人和企業的隱私權益。作為企業,保護財務數據安全不僅是一種道德責任,也是一種法律責任。需要企業采取相應措施確保財務數據的安全。
為此,《暫行辦法》對會計師事務所在網絡管理資源投入、網絡安全技術防護、網絡管理賬戶權限等方面作出具體要求:
會計師事務所應當按照業務活動規模及復雜程度配置具備相應職業技能水平的網絡管理技術人員,確保合理的網絡資源投入和資金投入;做好信息系統安全管理和技術防護,根據存儲、處理數據的級別采取相應的網絡物理隔離或者邏輯隔離等措施,設置嚴格的訪問控制策略,防范未經授權的訪問行為;會計師事務所應當擁有其審計業務系統中網絡設備、網絡安全設備的自主管理權限,統一設置、維護系統管理員賬戶和工作人員賬戶,不得設置不受限制、不受監控的超級賬戶,不得將管理員賬號交由第三方運維機構管理使用。
“會計信息化在為企業財務管理工作提供便捷服務的同時,也給企業的財務風險監控管理帶來了巨大挑戰,需要財務管理工作人員了解會計信息化使用的利與弊,在企業發展過程中,以前瞻視角抓住機遇,以積極態度應對挑戰。”劉劍文說。
底稿出境應建立逐級復核機制
近年來,隨著我國境內企業到境外上市的數量增加,會計師事務所國際交流來往密切,截至目前,我國已有35家會計師事務所加入或創建了28個國際會計網絡,會計審計行業對外交流合作日益密切,而會計審計跨境交流業務中的數據信息安全監管規范,也越來越引起重視。
2022年8月,中國證券監督管理委員會、財政部與美國公眾公司會計監督委員會(PCAOB)簽署審計監管合作協議,中方提供協助的范圍涉及部分為中概股提供審計服務且審計底稿存放在內地的香港事務所;在協作方式上,美方須通過中方監管部門獲取審計底稿等文件,在中方參與和協助下對會計師事務所相關人員開展訪談和問詢。
2023年2月,證監會會同財政部、國家保密局、國家檔案局發布修訂后的《關于加強在境外發行證券與上市相關保密和檔案管理工作的規定》明確提出,為境內企業境外發行上市提供相應服務的證券公司、證券服務機構在境內形成的工作底稿應當存放在境內。需要出境的,按照國家有關規定辦理審批手續。
記者注意到,此次兩部門《暫行辦法》持續推進跨境審計監管工作,尤其在審計底稿方面進行多項明確:會計師事務所審計工作底稿應按相關規定存放在境內。會計師事務所不得在業務約定書或類似合同中包含會計師事務所向境外監管機構提供境內項目資料數據等類似條款。境外監管機構因監管需要確需調取境內審計工作底稿的,應通過相應的跨境監管合作機制依法依規獲取,相應審計工作底稿出境應當辦理審批手續。會計師事務所對審計工作底稿出境事項應當建立逐級復核機制,落實數據安全管控責任。
《暫行辦法》還聚焦會計數據信息的安全可控度,要求會計師事務所建立數據備份制度,確保在審計相關應用系統因外部技術原因被停止使用、被限制使用等情況下,仍能訪問、調取、使用相關審計工作底稿。加密設備應當設置在境內并由境內團隊負責運行維護,密鑰應當存儲在境內。會計師事務所應當擁有其審計業務系統中網絡設備、網絡安全設備的自主管理權限,統一設置、維護系統管理員賬戶和工作人員賬戶,不得設置不受限制、不受監控的超級賬戶,不得將管理員賬號交由第三方運維機構管理使用。
此外,《暫行辦法》進一步明確了財政部門、網信部門、公安機關、國家安全機關對會計師事務所數據安全的監管職責。省級以上財政部門、省級以上網信部門對會計師事務所開展監督檢查,公安機關、國家安全機關依法在職責范圍內承擔會計師事務所數據安全監管職責。會計師事務所對于依法實施的數據安全監督檢查,應當予以配合。
18703801652 0396-2196889
E-MAIL:121266200@qq.com
河南省鄭州市建設路與百花路交叉口東南角泰隆大廈1307房間
Copyright ? 2009-2011,www.mytaitai.com,All rights reserved 版權所有 ? 河南百源會計師事務所|鄭州百惠稅務師事務所
未經許可 嚴禁復制 豫ICP備17045268號-1
