适用场景
计划或正在为以下企业提供审计服务的会计师事务所,以及聘用此类事务所的中国出海企业:1. 上市公司、国有金融机构、中央企业;2. 关键信息基础设施运营者或超百万用户的平台企业;3. 为境内企业境外上市提供审计服务。涉及重要或核心数据处理的其他审计业务也需关注。
核心要点
1. 明确适用范围与主体责任
新规主要规范为特定重要实体(如上市公司、大型国企、关键信息基础设施运营者)及境外上市提供审计服务的会计师事务所。会计师事务所是数据安全的责任主体,首席合伙人(主任会计师)为第一责任人,必须建立健全全生命周期的数据安全管理体系。
2. 实施数据分类分级与存储本地化
会计师事务所必须根据法规及行业标准,对审计数据(含从外部获取和内部生成的数据)进行核心、重要和一般数据的分类分级。核心与重要数据的存储和处理需满足相应等级的网络安全保护要求,且审计工作底稿必须存储在境内,相关加密设备和密钥也需境内管理。
3. 强化技术防护与跨境传输管控
需采取网络隔离、访问控制、数据加密、入侵检测等技术保障数据安全。核心与重要数据传输必须加密。严禁在业务合同中承诺向境外监管机构提供境内项目资料。数据出境(含个人信息和重要数据)必须遵守国家规定,审计工作底稿出境需建立复核机制并依法办理审批。
4. 建立应急机制并接受协同监管
会计师事务所必须建立数据安全应急处置与风险监测机制,发生重大数据安全事件需立即补救并报告。财政、网信、公安、国安等部门将协同开展监督检查,对重点领域事务所加强日常监管。事务所需配合检查,违规将面临多法联动的严厉处罚。
实务建议
- 立即自查业务约定书,删除或修改任何可能包含‘向境外监管机构提供境内资料’的条款。
- 尽快依据法规和行业标准,建立并实施审计数据的分类分级管理制度,明确核心、重要数据范围。
- 确保审计工作底稿及相关信息系统完全部署在境内,并检查加密设备、密钥的境内管理情况。
- 对存储和处理核心、重要数据的系统,按要求落实相应等级(三级或四级)的网络安全等级保护。
- 建立数据出境(尤其是审计工作底稿)的逐级内部复核与审批流程,确保符合国家出境安全评估要求。
- 配置专职网络管理人员,确保对审计业务系统网络设备的自主管理权,杜绝超级账户或交由第三方无条件管理。
- 定期开展数据安全教育培训,并确保访问日志(核心数据不少于3年,重要数据不少于1-3年)的完整留存。
风险提示
- 误区:认为只有大型会计师事务所才需遵守。实际上,只要审计业务涉及重要或核心数据,无论规模大小均适用。
- 误区:将数据存储在境外或使用境外加密服务。新规明确要求审计底稿及加密设备、密钥必须存储在境内并由境内团队维护。
- 注意事项:与客户(被审计单位)签订业务约定书时,必须明确审计资料中核心和重要数据的性质、内容和范围。
- 注意事项:加入国际会计网络使用其系统时,必须采取额外措施确保其符合中国数据安全法规,不能因使用外部系统而豁免责任。
- 重大风险:未经批准向境外提供审计工作底稿,或合同中存在违规条款,可能引发国家安全审查和严厉处罚。