审计底稿要放境内!会计师事务所新规来了,事关数据安全

2024-05-14 11:24

图片





会计师事务所也要落实数据安全管理。





近日,财政部、国家网信办联合印发《会计师事务所数据安全管理暂行办法》(以下简称《办法》)。


尽管我国有35家会计师事务所加入或创建了28个国际会计网络,行业对外交流合作日益密切,但《办法》强调,审计工作底稿应存放在境内,会计师事务所也不得在业务约定书或类似合同中包含向境外监管机构提供境内项目资料数据等类似条款。


近年来,监管为推动跨境审计监管合作、维护国家信息安全,已采取多项举措。比如2022年证监会、财政部与美国公众公司会计监督委员会(PCAOB)签署审计监管合作协议,明确美方须通过中方监管部门获取审计底稿等文件。又如2023年证监会会同财政部、国家保密局、国家档案局修订发布《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》,明确上市公司保密责任、明确会计档案管理要求、优化跨境监管合作机制等。


从事三类业务的审计机构适用《办法》


5月10日,财政部、国家网信办联合印发《会计师事务所数据安全管理暂行办法》,旨在全面落实网络安全法、数据安全法、个人信息保护法等法律要求,为会计师事务所开展数据安全管理活动提供依据,同时加快推进注册会计师行业基础制度建设,并构建横向协同、纵向联动的行业数据安全监管机制。据悉《办法》自2024年10月1日起施行。


对于哪些类型的审计机构需要落实数据安全管理,《办法》进行了明确。据悉,在我国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的,适用《办法》:

为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的;


为关键信息基础设施运营者或者超过 100 万用户的网络平台运营者提供审计服务的;


为境内企业境外上市提供审计服务的。


会计师事务所若未从事前述三类业务,但审计业务涉及重要数据或者核心数据,也应根据《办法》进行数据处理活动。


对于承接金融、能源、电信、交通、科技、国防科工等重要领域审计业务且符合上述规定范围的会计师事务所,《办法》称,财政部和省级财政部门在监督检查工作中要予以重点关注,并持续加强日常监管。


据悉,会计师事务所要承担本所的数据安全主体责任,履行数据安全保护义务,而首席合伙人(主任会计师)则是本所数据安全负责人。


那么,数据如何进行区分和管理。为此,《办法》提出要规范“数据分类分级”,要求会计师事务所应当按照相关法律法规的规定和被审计单位所处行业数据分类分级标准确定“核心数据”“重要数据”和“一般数据”。


在数据存储上,存储重要数据的信息系统要落实三级及以上网络安全等级保护要求,存储核心数据的信息系统要落实四级网络安全等级保护要求。在日志管理上,要求涉及核心数据的相关日志,留存时间不少于3年,涉及重要数据的相关日志,留存时间不少于1年,其中向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于3年。涉及一般数据,按照国家相关规定处理,《办法》不作特别要求。


审计底稿存储境内


上述文件另一大看点在于,规范了底稿管理。近年来,随着境内企业到境外上市的数量增加,会计师事务所国际交流来往密切等,监管有必要对审计工作底稿信息安全管理进行规范。


截至目前,我国有35家会计师事务所加入或创建了28个国际会计网络,行业对外交流合作日益密切。《办法》明确,应当按照法律、行政法规和国家有关规定存储在境内。相关加密设备应当设置在境内并由境内团队负责运行维护,密钥应当存储在境内。


同时,会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。


如果境外监管机构因监管需要确需调取境内审计工作底稿的,应通过相应的跨境监管合作机制依法依规获取,相应审计工作底稿出境应当办理审批手续。据《办法》,会计师事务所向境外提供其在境内运营中收集和产生的个人信息和重要数据的,应当遵守国家数据出境管理有关规定。


《办法》强调,会计师事务所对于审计工作底稿出境事项应当建立逐级复核机制,采取必要措施严格落实数据安全管控责任。对于需要出境的审计工作底稿,按照国家有关规定办理审批手续。


券商中国记者注意到,近年来,监管层持续推进跨境审计监管工作,尤其在审计底稿方面进行多项明确。


比如,在2022年证监会、财政部与美国公众公司会计监督委员会(PCAOB)签署审计监管合作协议,中方提供协助的范围涉及部分为中概股提供审计服务且审计底稿存放在内地的香港事务所;在协作方式上,美方须通过中方监管部门获取审计底稿等文件,在中方参与和协助下对会计师事务所相关人员开展访谈和问询。


又如,2023年证监会会同财政部、国家保密局、国家档案局发布修订后的《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》,其中明确,为境内企业境外发行上市提供相应服务的证券公司、证券服务机构在境内形成的工作底稿应当存放在境内。需要出境的,按照国家有关规定办理审批手续。


实现跨地区、跨部门、跨层级协同监管


《办法》还落实财会监督要求,构建横向协同、纵向联动的行业数据安全监管机制,明确财政部门、网信部门、公安机关、国家安全机关等各方职责,确保有效衔接,加强信息共享。


具体来看,财政部和省级财政部门(以下统称“省级以上财政部门”)与同级网信部门、公安机关、国家安全机关加强会计师事务所数据安全监管信息共享。


省级以上财政部门、省级以上网信部门对会计师事务所数据安全情况开展监督检查。公安机关、国家安全机关依法在职责范围内承担会计师事务所数据安全监管职责。


会计师事务所开展数据处理活动,影响或者可能影响国家安全的,应当按照国家安全审查机制进行安全审查。


相关部门在履行数据安全监管职责中,发现会计师事务所开展数据处理活动存在相关较大安全风险的,可以对会计师事务所及其责任人采取约谈、责令限期整改等监管措施,消除隐患。


如果会计师事务所及相关人员违反《办法》规定的,应当按照《中华人民共和国注册会计师法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处理处罚;涉及其他部门职责权限的,依法移送有关主管部门处理;构成犯罪的,移送司法机关依法追究刑事责任。