兩部門推動注冊會計師行業(yè)數(shù)據(jù)管理制度化規(guī)范化

會計師事務(wù)所審計工作底稿被要求存放在境內(nèi)

核心閱讀

《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法》的出臺，旨在全面落實網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法等法律要求，為會計師事務(wù)所開展數(shù)據(jù)安全管理活動提供依據(jù)，同時加快推進注冊會計師行業(yè)基礎(chǔ)制度建設(shè)，并構(gòu)建橫向協(xié)同、縱向聯(lián)動的行業(yè)數(shù)據(jù)安全監(jiān)管機制。

□　本報記者 萬靜

為貫徹落實數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等相關(guān)法律的要求，加強會計師事務(wù)所數(shù)據(jù)安全管理，規(guī)范會計師事務(wù)所數(shù)據(jù)處理活動，近日，財政部、國家互聯(lián)網(wǎng)信息辦公室聯(lián)合印發(fā)《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法》（以下簡稱《暫行辦法》），提出會計師事務(wù)所應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全管理治理架構(gòu)，建立健全內(nèi)部網(wǎng)絡(luò)安全管理制度體系，涉及核心數(shù)據(jù)的相關(guān)日志留存時間不少于3年，會計師事務(wù)所審計工作底稿應(yīng)按相關(guān)規(guī)定存放在境內(nèi)。

《暫行辦法》的出臺，旨在全面落實網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法等法律要求，為會計師事務(wù)所開展數(shù)據(jù)安全管理活動提供依據(jù)，同時加快推進注冊會計師行業(yè)基礎(chǔ)制度建設(shè)，并構(gòu)建橫向協(xié)同、縱向聯(lián)動的行業(yè)數(shù)據(jù)安全監(jiān)管機制。據(jù)悉，《暫行辦法》自2024年10月1日起施行。

核心數(shù)據(jù)日志留存不少于3年

數(shù)據(jù)是數(shù)字經(jīng)濟的關(guān)鍵要素。近年來，中國產(chǎn)業(yè)數(shù)字化程度顯著提高，數(shù)據(jù)資源對于企業(yè)特別是相關(guān)數(shù)據(jù)企業(yè)的價值創(chuàng)造日益發(fā)揮著重要作用。為此，和企業(yè)生產(chǎn)運營、國民經(jīng)濟健康發(fā)展密切相關(guān)的會計數(shù)據(jù)信息安全問題亟須重視。

2021年7月，《國務(wù)院辦公廳關(guān)于進一步規(guī)范財務(wù)審計秩序促進注冊會計師行業(yè)健康發(fā)展的意見》強調(diào)，要加快推進注冊會計師行業(yè)基礎(chǔ)制度建設(shè)，及時跟進健全相關(guān)制度規(guī)定。此次兩部門印發(fā)的《暫行辦法》順應(yīng)數(shù)字經(jīng)濟發(fā)展趨勢，進一步完善注冊會計師行業(yè)基礎(chǔ)制度體系。

《暫行辦法》明確，會計師事務(wù)所應(yīng)按照相關(guān)法律法規(guī)的規(guī)定和被審計單位所處行業(yè)數(shù)據(jù)分類分級的標(biāo)準，確定核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)，并對核心數(shù)據(jù)和重要數(shù)據(jù)的存儲、相關(guān)日志、傳輸?shù)茸鞒雒鞔_要求。被審計單位有義務(wù)通過業(yè)務(wù)約定書、確認函等方式告知會計師事務(wù)所審計資料中的核心數(shù)據(jù)和重要數(shù)據(jù)相關(guān)信息。

在數(shù)據(jù)存儲上，存儲重要數(shù)據(jù)的信息系統(tǒng)要落實三級及以上網(wǎng)絡(luò)安全等級保護要求，存儲核心數(shù)據(jù)的信息系統(tǒng)要落實四級網(wǎng)絡(luò)安全等級保護要求。

在日志管理上，要求涉及核心數(shù)據(jù)的相關(guān)日志留存時間不少于3年，涉及重要數(shù)據(jù)的相關(guān)日志留存時間不少于1年，其中向他人提供、委托處理、共同處理重要數(shù)據(jù)的相關(guān)日志留存時間不少于3年。涉及一般數(shù)據(jù)按照國家相關(guān)規(guī)定處理，《暫行辦法》不作特別要求。

《暫行辦法》規(guī)范的會計師事務(wù)所及數(shù)據(jù)行為，主要是指境內(nèi)依法設(shè)立的會計師事務(wù)所及所開展的審計業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動，包括為上市公司以及非上市的國有金融機構(gòu)或中央企業(yè)等提供審計服務(wù)；為關(guān)鍵信息基礎(chǔ)設(shè)施運營者或者超過100萬用戶的網(wǎng)絡(luò)平臺運營者提供審計服務(wù)；為境內(nèi)企業(yè)境外上市提供審計服務(wù)。

會計師事務(wù)所未從事前述3類業(yè)務(wù)，但審計業(yè)務(wù)涉及重要數(shù)據(jù)或者核心數(shù)據(jù)，也應(yīng)根據(jù)《暫行辦法》進行數(shù)據(jù)處理活動。數(shù)據(jù)包括會計師事務(wù)所執(zhí)行審計業(yè)務(wù)過程中從外部獲取和內(nèi)部生成的任何以電子或者其他方式對信息的記錄。

財政部會計司有關(guān)負責(zé)人介紹說：“《暫行辦法》是注冊會計師行業(yè)對國家網(wǎng)絡(luò)和數(shù)據(jù)安全管理相關(guān)規(guī)定的細化，為會計師事務(wù)所開展數(shù)據(jù)安全管理活動提供依據(jù)。此舉有利于推動注冊會計師行業(yè)數(shù)據(jù)安全管理工作制度化、規(guī)范化。”

應(yīng)建立完善網(wǎng)絡(luò)安全管理架構(gòu)

信息時代，信息安全已經(jīng)成為企業(yè)發(fā)展的重要保障之一。尤其對于財務(wù)數(shù)據(jù)這樣敏感的信息來說，保護其安全性顯得尤為重要。隨著我國近年來數(shù)字化技術(shù)的不斷發(fā)展和應(yīng)用，財務(wù)數(shù)據(jù)安全問題日益引起人們的關(guān)注。會計師作為企業(yè)財務(wù)數(shù)據(jù)的管理者和報告者，肩負著保障財務(wù)數(shù)據(jù)安全的重要責(zé)任。

《暫行辦法》要求，會計師事務(wù)所應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全管理治理架構(gòu)，建立健全內(nèi)部網(wǎng)絡(luò)安全管理制度體系，建立內(nèi)部決策、管理、執(zhí)行和監(jiān)督機制，確保網(wǎng)絡(luò)安全管理能力與提供的專業(yè)服務(wù)相適應(yīng)，為數(shù)據(jù)安全管理工作提供安全的網(wǎng)絡(luò)環(huán)境。

北京大學(xué)法學(xué)院教授劉劍文分析指出，會計信息安全不僅意味著保護企業(yè)的財務(wù)數(shù)據(jù)不被泄露，還包括保證其完整性、可靠性和可用性。企業(yè)的聲譽對其在市場競爭中的地位至關(guān)重要。財務(wù)數(shù)據(jù)的泄露或意外損壞可能導(dǎo)致企業(yè)聲譽受損。員工、客戶和投資者對企業(yè)的信任會受到財務(wù)數(shù)據(jù)安全事故的影響。因此，保護財務(wù)數(shù)據(jù)安全是維護企業(yè)聲譽的首要任務(wù)。

此外，隨著信息化發(fā)展的加快，對個人隱私和企業(yè)數(shù)據(jù)的保護要求也越來越高。各國都制定了相關(guān)法律法規(guī)保護個人和企業(yè)的隱私權(quán)益。作為企業(yè)，保護財務(wù)數(shù)據(jù)安全不僅是一種道德責(zé)任，也是一種法律責(zé)任。需要企業(yè)采取相應(yīng)措施確保財務(wù)數(shù)據(jù)的安全。

為此，《暫行辦法》對會計師事務(wù)所在網(wǎng)絡(luò)管理資源投入、網(wǎng)絡(luò)安全技術(shù)防護、網(wǎng)絡(luò)管理賬戶權(quán)限等方面作出具體要求：

會計師事務(wù)所應(yīng)當(dāng)按照業(yè)務(wù)活動規(guī)模及復(fù)雜程度配置具備相應(yīng)職業(yè)技能水平的網(wǎng)絡(luò)管理技術(shù)人員，確保合理的網(wǎng)絡(luò)資源投入和資金投入；做好信息系統(tǒng)安全管理和技術(shù)防護，根據(jù)存儲、處理數(shù)據(jù)的級別采取相應(yīng)的網(wǎng)絡(luò)物理隔離或者邏輯隔離等措施，設(shè)置嚴格的訪問控制策略，防范未經(jīng)授權(quán)的訪問行為；會計師事務(wù)所應(yīng)當(dāng)擁有其審計業(yè)務(wù)系統(tǒng)中網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備的自主管理權(quán)限，統(tǒng)一設(shè)置、維護系統(tǒng)管理員賬戶和工作人員賬戶，不得設(shè)置不受限制、不受監(jiān)控的超級賬戶，不得將管理員賬號交由第三方運維機構(gòu)管理使用。

“會計信息化在為企業(yè)財務(wù)管理工作提供便捷服務(wù)的同時，也給企業(yè)的財務(wù)風(fēng)險監(jiān)控管理帶來了巨大挑戰(zhàn)，需要財務(wù)管理工作人員了解會計信息化使用的利與弊，在企業(yè)發(fā)展過程中，以前瞻視角抓住機遇，以積極態(tài)度應(yīng)對挑戰(zhàn)。”劉劍文說。

底稿出境應(yīng)建立逐級復(fù)核機制

近年來，隨著我國境內(nèi)企業(yè)到境外上市的數(shù)量增加，會計師事務(wù)所國際交流來往密切，截至目前，我國已有35家會計師事務(wù)所加入或創(chuàng)建了28個國際會計網(wǎng)絡(luò)，會計審計行業(yè)對外交流合作日益密切，而會計審計跨境交流業(yè)務(wù)中的數(shù)據(jù)信息安全監(jiān)管規(guī)范，也越來越引起重視。

2022年8月，中國證券監(jiān)督管理委員會、財政部與美國公眾公司會計監(jiān)督委員會（PCAOB）簽署審計監(jiān)管合作協(xié)議，中方提供協(xié)助的范圍涉及部分為中概股提供審計服務(wù)且審計底稿存放在內(nèi)地的香港事務(wù)所；在協(xié)作方式上，美方須通過中方監(jiān)管部門獲取審計底稿等文件，在中方參與和協(xié)助下對會計師事務(wù)所相關(guān)人員開展訪談和問詢。

2023年2月，證監(jiān)會會同財政部、國家保密局、國家檔案局發(fā)布修訂后的《關(guān)于加強在境外發(fā)行證券與上市相關(guān)保密和檔案管理工作的規(guī)定》明確提出，為境內(nèi)企業(yè)境外發(fā)行上市提供相應(yīng)服務(wù)的證券公司、證券服務(wù)機構(gòu)在境內(nèi)形成的工作底稿應(yīng)當(dāng)存放在境內(nèi)。需要出境的，按照國家有關(guān)規(guī)定辦理審批手續(xù)。

記者注意到，此次兩部門《暫行辦法》持續(xù)推進跨境審計監(jiān)管工作，尤其在審計底稿方面進行多項明確：會計師事務(wù)所審計工作底稿應(yīng)按相關(guān)規(guī)定存放在境內(nèi)。會計師事務(wù)所不得在業(yè)務(wù)約定書或類似合同中包含會計師事務(wù)所向境外監(jiān)管機構(gòu)提供境內(nèi)項目資料數(shù)據(jù)等類似條款。境外監(jiān)管機構(gòu)因監(jiān)管需要確需調(diào)取境內(nèi)審計工作底稿的，應(yīng)通過相應(yīng)的跨境監(jiān)管合作機制依法依規(guī)獲取，相應(yīng)審計工作底稿出境應(yīng)當(dāng)辦理審批手續(xù)。會計師事務(wù)所對審計工作底稿出境事項應(yīng)當(dāng)建立逐級復(fù)核機制，落實數(shù)據(jù)安全管控責(zé)任。

《暫行辦法》還聚焦會計數(shù)據(jù)信息的安全可控度，要求會計師事務(wù)所建立數(shù)據(jù)備份制度，確保在審計相關(guān)應(yīng)用系統(tǒng)因外部技術(shù)原因被停止使用、被限制使用等情況下，仍能訪問、調(diào)取、使用相關(guān)審計工作底稿。加密設(shè)備應(yīng)當(dāng)設(shè)置在境內(nèi)并由境內(nèi)團隊負責(zé)運行維護，密鑰應(yīng)當(dāng)存儲在境內(nèi)。會計師事務(wù)所應(yīng)當(dāng)擁有其審計業(yè)務(wù)系統(tǒng)中網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備的自主管理權(quán)限，統(tǒng)一設(shè)置、維護系統(tǒng)管理員賬戶和工作人員賬戶，不得設(shè)置不受限制、不受監(jiān)控的超級賬戶，不得將管理員賬號交由第三方運維機構(gòu)管理使用。

此外，《暫行辦法》進一步明確了財政部門、網(wǎng)信部門、公安機關(guān)、國家安全機關(guān)對會計師事務(wù)所數(shù)據(jù)安全的監(jiān)管職責(zé)。省級以上財政部門、省級以上網(wǎng)信部門對會計師事務(wù)所開展監(jiān)督檢查，公安機關(guān)、國家安全機關(guān)依法在職責(zé)范圍內(nèi)承擔(dān)會計師事務(wù)所數(shù)據(jù)安全監(jiān)管職責(zé)。會計師事務(wù)所對于依法實施的數(shù)據(jù)安全監(jiān)督檢查，應(yīng)當(dāng)予以配合。