适用场景
已在美国上市或计划赴美上市的中国企业,在面临或准备应对美国公众公司会计监督委员会(PCAOB)的审计底稿跨境审查时,需要重点关注信息安全与合规责任。
核心要点
1. 明确信息安全责任主体
根据中国证监会的新规,无论采用直接或间接方式在境外上市的中国企业,均被明确为信息安全的责任主体。企业需对其向第三方(如审计师、监管机构)提供的所有文件资料承担保密责任,范围较旧规大幅扩展。
2. 掌握涉密与敏感文件处理流程
企业向第三方提供文件时,若涉及国家秘密或工作秘密,必须事先报批备案。对于可能影响国家安全或公共利益的敏感文件,也需严格履行内部审查程序,并向接收方出具书面说明,明确文件性质。
3. 建立文件筛查与保密协议机制
企业需建立制度,主动筛查并界定涉密及敏感文件的范围。在提供此类文件前,必须与接收方(如境外会计师事务所)签订专门的保密协议,明确对方的保密义务与责任,这是合规的关键步骤。
4. 关注网络安全与行业特殊要求
对于网络平台或涉及关键信息基础设施的企业,还需额外考虑网络安全审查要求。同时,企业应审视自身所处行业(如金融、军工、地理信息等)是否有特殊的保密规定,并将其纳入整体合规框架。
实务建议
- 立即着手建立或完善内部信息安全保密制度,明确涉密及敏感文件的定义、识别标准和审查流程。
- 在向审计师、券商等第三方提供任何文件前,设立内部预审环节,对文件进行合规筛查与分类。
- 务必与需要接触潜在敏感信息的第三方机构(尤其是境外审计机构)签订书面保密协议。
- 设立泄密应急预案,确保一旦发生或可能发生信息泄露时,能立即采取补救措施并按规定报告。
- 确保在境内形成的工作底稿存放在境内,并管理好会计档案的提供与存取。
- 对于难以判断是否涉密的文件,建立与主管机关的有效咨询沟通渠道。
风险提示
- 切勿认为只有直接上市(H股)企业才需遵守新规,所有境外上市模式(包括VIE架构)均已覆盖。
- 避免对“国家安全与公共利益”做过于狭隘的理解,应结合法律法规进行审慎评估。
- 不要将文件筛查视为一次性工作,应建立长效、动态的审查机制以应对持续审计与监管要求。
- 警惕仅依赖第三方机构(如审计师)进行合规判断,企业自身始终是第一责任主体。
- 注意新规与《网络安全法》、《数据安全法》等法律法规的联动合规要求,避免顾此失彼。