合规审计专栏|会计师事务所数据安全合规之道

 

文/赋十七、熊建辉

      【编者按】在市场经济那波澜壮阔的海洋中，会计师事务所宛如一群忠诚的守望者，担当着“看门人”的重任。它们在执业的漫漫长路上，不可避免地与诸多核心数据、重要数据亲密接触，不妨想象一下，倘若中国排名前十的会计师事务所不慎发生核心数据或重要数据泄露事件，将会对国家的政治经济安全以及国计民生造成难以估量的冲击。因此，会计师事务所加强数据合规管理，不仅至关重要，更是迫在眉睫，犹如箭在弦上，不得不发。

 

      会计师事务所，作为行业和经济数据流动的重要节点，更是汇聚了重点行业和重要领域的重要数据，因此，会计师事务所必须高度重视数据安全治理与数据合规管理，维护客户利益和国家安全，保护自身权益。在此背景下，严格执行《会计师事务所数据安全管理暂行办法》（以下简称“《暂行办法》”），更加突显其重要性与紧迫性。但有了《暂行办法》并不意味着会计师事务所就知道怎么做。那么，会计师事务所如何跨越数据安全合规管理的雷区呢?我们认为至少需从以下几点提高认识，实现跨越。

 

   跨越一 

洞察有哪些审计数据

      会计师事务所在提供审计、咨询服务的过程中，必然会接触到海量的敏感数据。这些数据涵盖了从外部获取以及内部生成的各类信息记录，包括客户的财务信息、业务记录，甚至国家秘密、商业秘密以及个人隐私等。一旦这些数据不慎泄露，其后果不堪设想，犹如一颗重磅炸弹，可能导致服务对象遭受重大损失，损害个人利益，甚至在极端情况下，损害国家安全。这无疑会给会计师事务所自身造成生存危机，使其陷入不可估量的风险漩涡之中。

      《暂行办法》明确规定，境内依法设立的会计师事务所开展的审计业务相关数据处理活动，包括为上市公司以及非上市的国有金融机构或中央企业等提供审计服务；为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务；为境内企业境外上市提供审计服务。此外，即便会计师事务所未从事上述三类业务，但只要审计业务涉及重要数据或者核心数据，就必须予以高度重视。在开展这些审计业务数据处理活动时，需严格遵循《暂行办法》的规定，接受多重监管机构的严格检查，时刻保持警惕，谨防数据泄密的暗礁。

  

跨越二

厘清监管与责任脉络

      对于会计师事务所而言，履行好职责的前提，是清晰地认识到如何保护好自己。在履职的过程中，面对各种复杂的场景与角色，必须明确自己的行为边界，清楚哪些事情能做，哪些事情不能做，以及应该做些什么。

      《暂行办法》清晰地勾勒出财政部门、网信部门、公安机关、国家安全机关对会计师事务所数据安全的监管职责。省级以上财政部门、省级以上网信部门如同敏锐的观察者，对会计师事务所开展监督检查；公安机关、国家安全机关则依法在各自的职责范围内，承担起会计师事务所数据安全监管的重任。而会计师事务所，面对这些依法实施的数据安全监督检查，应当予以积极配合。

      多部门协同监管，关键在于深入了解每一个部门的职责权限。当然，会计师事务所自身也必须明确自己肩负的义务。面对依法实施的数据安全监督检查，绝不能有丝毫的拒绝、拖延或阻挠，而应积极主动地配合。此外，会计师事务所的首席合伙人（主任会计师）犹如一艘巨轮的船长，是本所数据安全的负责人。会计师事务所则如同这艘巨轮，承担着本所的数据安全主体责任，必须切实履行数据安全保护义务，确保航行的安全与稳定。

 

   跨越三

需要做好数据管理

      会计师事务所在为客户提供审计、咨询服务的过程中，犹如一位勤劳的收藏家，收集、使用、存储着大量的财务、非财务数据。包括ERP系统数据、财务软件数据、数据库信息、银行流水信息、客户和供应商信息、市场分析报告、行业比较数据、竞争对手信息等，其中蕴含着大量敏感数据。而会计师事务所能否妥善管理、使用这些数据，将直接决定其风险的高低。

      会计师事务所应精心构建数据安全管理的组织架构，明确数据安全管理的权责机制。同时，实施与业务特点相适应的数据分类分级管理，主要体现在以下几个方面：

      一、会计师事务所应当依据法律、行政法规的规定以及被审计单位所处行业的数据分类分级标准，精准确定核心数据、重要数据和一般数据。

      二、对于核心数据、重要数据的存储处理，必须符合国家相关规定。存储核心数据的信息系统，需落实四级网络安全等级保护要求；存储重要数据的信息系统，则需落实三级及以上网络安全等级保护要求。

      三、建立数据权限管理策略，按照最小授权原则设置数据访问和处理权限，定期复核并按有关规定保留数据访问记录。

      四、会计师事务所应当对审计业务相关的信息系统、数据库、网络设备、网络安全设备等设置并启用访问日志记录功能。涉及核心数据的，相关日志留存时间不少于三年；涉及重要数据的，相关日志留存时间不少于一年；涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年。

      五、会计师事务所和被审计单位应当通过业务约定书、确认函等方式，明确审计资料中核心数据和重要数据的性质、内容和范围等。

      六、组织开展数据安全教育培训，提高员工的数据安全意识和技能，如同为军队进行严格的训练，打造一支数据安全的“铁军”。

 

 跨越四

 守护审计底稿

      审计工作底稿，在会计师事务所的业务实践中，记录着审计过程和结果的重要信息，承载着客户的关键财务信息和审计证据。随着数据安全和隐私保护法规的日益严格，强化审计工作底稿的管理，变得尤为重要，特别是审计工作底稿的出境问题，更是牵一发而动全身。这不仅关系到客户信息的安全，也直接影响到事务所的合规性、信誉和法律责任。

      根据国际会计公报（IAB）发布的信息，到2024年9月我国有62家事务所加入或自创34家国际会计网络（联盟），行业对外交流合作日益密切。《暂行办法》明确规定，会计师事务所的审计工作底稿应按相关规定存放在境内，不得在业务约定书或类似合同中包含向境外监管机构提供境内项目资料数据等类似条款。若境外监管机构因监管需要确需调取境内审计工作底稿，应通过相应的跨境监管合作机制依法依规获取，相应审计工作底稿出境应当办理审批手续。会计师事务所对审计工作底稿出境事项应当建立逐级复核机制，落实数据安全管控责任，确保万无一失。

      2024年8月，在香港会计及财务汇报局的协同配合下，财政部对跨境审计监管工作中发现的内地注册会计师张某私自承办跨境审计业务、私存私带审计工作底稿等违法违规问题开展专项检查，并依法依规对相关注册会计师及境外会计师事务所实施追责，收回其2023年11月获得的“注册会计师诚信执业30年”荣誉证书。从业30余年积攒的荣誉，在瞬间如泡沫般消散，这无疑给整个行业敲响了沉重的警钟。

 

  跨越五

 编织网络安全防护网

       会计师事务所应严格遵循《暂行办法》的相关规定，建立内部网络安全管理制度，开展数据网络安全合规管理。

      首先，要搭建完善的网络安全管理治理架构，建立健全内部网络安全管理制度体系，打造内部决策、管理、执行和监督机制，确保网络安全管理能力与提供的专业服务相匹配，为数据安全管理工作营造安全的网络环境。

      其次，配备网络管理技术人员。会计师事务所应当根据业务活动规模及复杂程度，选拔具备相应职业技能水平的网络管理技术人员，确保合理的网络资源投入和资金投入，为数据安全提供人力和物力保障。

      再者，强化信息系统安全管理和技术保护措施。会计师事务所应当精心呵护信息系统安全，根据存储、处理数据的级别，采取相应的网络物理隔离或者逻辑隔离等措施，设置严格的访问控制策略，防范未经授权的访问行为。同时，应当采用网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段，及时识别、阻断和溯源相关网络攻击和非法访问，保障数据安全。

      此外，在网络账户权限设置及管理方面，会计师事务所应当拥有其审计业务系统中网络设备、网络安全设备的自主管理权限，统一设置、维护系统管理员账户和工作人员账户，不得设置不受限制、不受监控的超级账户，也不得将管理员账号交由第三方运维机构管理使用。对于加入国际网络的会计师事务所，使用所在国际网络的信息系统时，应当采取必要措施，使其符合国家数据安全法律、行政法规和《暂行办法》的规定，确保本所数据安全。

      同时，底稿及密钥境内存放至关重要。会计师事务所的审计工作底稿应当按照法律、行政法规和国家有关规定，安全地存储在境内，相关加密设备应当设置在境内并由境内团队负责运行维护，密钥也应当存储在境内。

      最后，建立数据备份制度。会计师事务所应当确保在审计相关应用系统因外部技术原因被停止使用、被限制使用等情况下，仍能访问、调取、使用相关审计工作底稿，确保业务的连续性和数据的可用性。

通过上述一系列措施，会计师事务所可以精心编织起一张严密的数据网络安全合规管理防护网，确保数据处理活动的规范性和安全性，有效防范、控制数据安全风险。

   

跨越六

 健全数据全生命周期合规管理制度

       会计师事务所作为数据汇聚方，管理、控制着海量敏感数据，而数据的安全性和合规性，是其业务运作的根本保障。随着《暂行办法》的出台，会计师事务所面临着全新的挑战和责任。会计师事务所必须建立和完善覆盖数据全生命周期的安全管理制度，这涉及到数据的收集、存储、使用、加工、传输、提供、公开和删除等环节。

      在数据收集环节，会计师事务所就应建立健全数据全生命周期安全管理制度，确保数据收集合法、合规。详细记录数据收集的来源、时间、类型等信息，确保数据来源的合法性，为后续数据管理奠定坚实基础。

      在数据存储环节，会计师事务所必须使核心数据和重要数据的存储处理符合国家相关规定，实施相应的网络安全等级保护要求，确保数据存储的安全。

      在数据使用和加工环节，会计师事务所应精准确定核心数据、重要数据和一般数据，并根据数据分类分级标准进行安全保护，确保数据在使用和加工过程中的安全。

      在数据传输环节，会计师事务所在数据传输过程中应采用加密技术，确保数据传输安全，防止数据在传输过程中被截获或篡改。

      在数据提供环节，会计师事务所对外提供数据时，应确保数据的合规性和安全性，对数据访问和使用进行严格控制，确保数据提供符合法律法规和合同约定。

      在数据公开环节，会计师事务所在公开数据前，应进行风险评估，对公开的数据要进行脱敏处理，保护个人隐私和商业秘密，避免泄露关键信息。

      在数据删除环节，会计师事务所应确保不再需要的数据被安全、彻底地删除，防止数据被恶意恢复或泄露，不留任何隐患。

      通过上述措施，会计师事务所可以确保数据在全生命周期中的安全性和合规性，保护客户数据免受泄露和滥用的风险，同时也能维护自身的声誉和业务的可持续发展。

 

 跨越七

 开展数据合规审计

      会计师事务所作为数据处理的重要参与者，在对外为客户提供数据合规审计服务时，不仅要确保客户数据管理和使用的合规性，同时也要定期对自身的数据合规性进行审计或评价，以强化数据风险控制。这一过程涉及内审和外审两种模式。

      内审模式，主要聚焦以下几个方面：一是制度建设，建立和完善内部审计制度，确保审计工作底稿的收集、存储、使用、加工、传输、提供、公开和删除等环节符合《会计师事务所数据安全管理暂行办法》的要求。二是技术保障，采用加密技术、访问控制和审计日志等技术手段，保护存储数据的安全，防止数据泄露。三是人员培训，定期对内部审计人员进行数据安全和合规培训，提升其专业能力。四是审计频率，根据数据的敏感性和业务需求，确定合理的内部审计频率，确保数据合规性。

      外审模式，主要是积极配合财政部、国家网信办等外部监管机构的专项审计，确保审计工作的独立性和客观性。

      第三方独立审计机构专项审计，需要委托具有专业资质的第三方独立审计机构进行数据合规审计，获取客观的审计意见，将外部审计结果向利益相关方公开，增强透明度和信任度。并根据外部审计结果，制定并实施整改措施，提升数据管理的合规性。

      通过这种内外结合的审计模式，会计师事务所能够全面审视和提升自身的数据合规性，有效管理和降低数据风险。这不仅有助于事务所遵守法律法规，保护客户数据安全，还能够增强市场对事务所专业能力的信任，提升事务所的整体声誉和竞争力。

      总之，会计师事务所按照全面落实“三法一条例”、《暂行办法》等要求，通过重点落实前述数据安全合规的具体措施，能够引导自身高效建立数据合规管理体系、正确开展数据分类分级工作等，从而提升数据风险的管控能力，维护国家安全、客户利益，促进自身的健康、稳定、可持续发展。

熊建辉 大信会计师事务所（特殊普通合伙）合伙人