编者按
本文作者系天健数据共享总部总经理谭炼。原文刊发在《财务与会计》2024年第11期。
数据安全已成为事关国家安全与经济社会发展的重大问题。习近平总书记多次作出重要指示批示,提出加快法规制度建设、切实保障国家数据安全等明确要求。注册会计师行业是与数据打交道最密切的行业之一,或者说注册会计师行业的工作就是围绕数据展开,比如对数据进行鉴证提供审计服务,对数据进行分析、加工或处理等进而提供咨询服务等。《会计师事务所数据安全管理暂行办法》(财会[2024]6号,以下简称《暂行办法》)的出台是行业积极响应习近平总书记对行业提出的“要紧紧抓住服务国家建设这个主题和诚信建设这条主线”和发挥财会监督作用的重要指示批示精神,及时贯彻落实数据安全法、网络安全法等法律法规的有力举措,为注册会计师行业更好肩负起服务经济社会高质量发展和实现自身高质量发展的双重使命奠定了坚实基础。
会计师事务所在执业过程中会接触和汇聚大量的数据。从微观看,直接承担了对客户的保密义务,根据客户性质可能涉及国家秘密、商业秘密及个人隐私;从宏观看,具备维护国家数据安全的天然职能,承担保护国家数据安全的神圣职责。
数据安全法出台后,在注册会计师行业如何落地实施一直缺乏可操作的指引,业内按各自的理解和自身业务特点实施数据安全管理。《暂行办法》的出台很好地弥补了这一空白,在明确适用对象、规范数据分类分级、规范底稿管理、强化网络管理、聚焦安全可控、压实监管责任等六方面作出了清晰规定,为全面加强注册会计师行业数据安全管理和更好保障数据安全提供了更加明确的行动指南,为会计师事务所开展具体工作提供了更规范化、标准化的指导框架,标志着我国会计师事务所数据安全管理迈入了一个崭新的发展阶段。
(一)适用对象
《暂行办法》第二条规定,在我国境内依法设立的会计师事务所开展以下审计业务相关数据处理活动的:为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的;为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务的; 为境内企业境外上市提供审计服务的;以及会计师事务所从事的审计业务未涉及前述三类业务,但涉及重要数据或者核心数据的,均适用该办法。此外,《暂行办法》第二十六条指出,对于承接金融、能源、电信、交通、科技、国防科工等重要领域审计业务且符合第二条规定的会计师事务所,省级以上财政部门在监督检查工作中予以重点关注,并持续加强日常监管。《暂行办法》从数据分类角度和重要领域审计业务角度,对适用范围的主体进行了补充延伸,要求所有相关会计师事务所均需要做好数据安全管理,而不仅是根据会计师事务所规模和证券业务标准来划分。
(二)数据分类分级
《暂行办法》规定会计师事务所依据法规及被审计单位所处行业数据分类分级的标准,确定核心数据、重要数据和一般数据,为更精准的数据分类提供了充分依据。同时,全国网络安全标准化技术委员会制定发布的GB/T 43697-2024《数据安全技术 数据分类分级规则》也将于2024年10月1日生效,标准的发布为行业主管部门及行业相关主体自觉规范本行业、本领域的数据分类分级标准提供了科学指引。本次相关法规、标准同步配套执行,体现了国家在数据安全领域的系统化布局。
(三)数据存储及日志管理
《暂行办法》第十一条提出,会计师事务所应当对审计业务相关的信息系统、数据库、网络设备、网络安全设备等设置并启用访问日志记录功能,其中涉及核心数据的相关日志留存时间不少于三年。这个规定较其征求意见稿中“日志中的用户登录及访问日志保存期限不得少于十年”有所缩减,更充分地考虑到了会计师事务所实际的数据存储量及存储水平,提高了可操作性。
《暂行办法》规定,存储核心数据的信息系统要落实四级网络安全等级保护要求。据初步了解,目前能够达到这一标准的主要是金融、军工等核心行业、部门以及部分知名大型互联网公司,这对会计师事务所提出了前所未有的挑战,但也充分表明了会计师事务所数据安全工作的重要性,有利于织密总体数据安全防范网。
(四)底稿规范
《暂行办法》要求会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款,对相关法律法规等作出进一步细化,这就要求从事跨境服务的会计师事务所必须抓紧完善相关规范。
《暂行办法》的出台为推动行业高质量发展设定了安全新防线,明确了新的基本要求,将对注册会计师行业高质量发展产生深远影响。
(一)数字安全能力将成为决定会计师事务所生存与发展的关键因素
《暂行办法》对会计师事务所网络安全等管理提出了较高要求。目前行业内多数中小会计师事务所的数字化建设水平相对较低,在数据安全专业领域方面建设可能表现得更加明显,很难在短期内达到《暂行办法》的相关要求,数字化建设水平与数字安全能力成为影响其生存的关键因素。虽然中大型会计师事务所的数字化建设程度相对较高,但目前亟需具备《暂行办法》要求的网络安全管理能力和数据安全管理能力,否则其发展将会严重受到限制。
(二)数据分类的边界决定业务的边界
GB/T 43697-2024《数据安全技术 数据分类分级规则》中有一条“就高从严”的基本原则,即采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按可能造成的各个影响对象的最高影响程度确定数据级别。主管部门在后续指导规范本行业数据分类细化时也将遵循该原则。在《暂行办法》出台后,会计师事务所的业务结构中部分较有特色的业务会涉及《暂行办法》提到的重要领域,有可能接触到重要数据甚至核心数据,并且对于数据安全的要求很可能在不远的将来向审计业务以外的其他增值服务全面延伸。这就可能导致会计师事务所原来能做的业务因为不具备重要数据或核心数据的管理能力而被排除在外。
(三)公共数据的流动与开放更加成为可能
《暂行办法》的出台为相关数据的开放、相关系统的互联互通奠定了更坚实的基础,作出更充足的准备,将对以数据治理全面提升执业监督能力、促进提高国家治理能力现代化具有重大意义。此外,随着行业数字化水平的显著提升,也将逐步衍生出更多非鉴证类的增值服务,有利于广大执业人员创新服务领域、提升服务效能、延伸服务链条,努力推动行业向专业化和价值链高端延伸。
天健会计师事务所(以下简称天健)始终高度重视数据安全工作,首席合伙人王国海亲自主抓此项工作,他反复强调,“数据是会计师事务所乃至国家的基础性战略资源,没有数据安全就没有国家安全、没有会计师事务所的发展未来。全面做好数据安全工作是天健勇担服务经济高质量发展和实现自身高质量发展的双重使命,努力打造我国注会行业‘航空母舰’,向着‘百年天健、百亿天健’目标奋勇前进的基本要求和前提保障。我们必须提高政治站位,统一思想,狠抓落实,以安全保发展、以发展促安全”。
天健作为国内大型会计师事务所,一直将数据安全工作置于数字天健建设的首位,坚持自有民族品牌、自主构建国际网络,严格对照国家法律法规及相关标准要求,提前谋划、加大投入,通过心防、制防、技防、人防、物防逐步构筑起数据安全的全天候全覆盖立体防护网,为本所业务与管理活动提供有效保护,真正做到守土有责、守土尽责,坚决捍卫好数据主权。
天健设有专职负责网络和数据安全的管理部门,建立了数据安全与保密相关制度机制,所有服务器均设置在境内,审计工作底稿均存储在境内,采用较为先进的安全软件和安全技术,建立了多个数据备份并正在探索建立全新的灾备系统,网络核心系统通过了三级等保备案,达到ISO27001等认证标准等。目前天健的数字化团队已逾百人,其中多人具备华为认证ICT高级工程师(HCIP)、注册信息安全专业人员(CISP)等资格,加上与外部知名数据安全领域机构合作,在数据安全方面已经积累了一定资源,具备了较强的能力。同时,天健在每年分批分层组织的继续教育等培训中针对全所员工反复开展数据安全教育。此外,天健正在抓紧研制行业普惠数字化产品,并在数据安全方面作出更多考虑和安排,通过大所带小所,承担更多促进行业高质量发展的社会责任,为他们提供多一份专业、可信、可靠的数字化选择。
《暂行办法》的出台,不仅为会计师事务所提供了明确的指导框架,还将推动行业整体数据安全管理的规范化和标准化。通过广泛加强数据安全管理和实施保障措施,会计师事务所能够站在更高起点、更严标准上更好地服务和维护国家核心利益和客户合法权益,在护航国家经济信息安全、金融安全、“一带一路”建设等方面贡献更多注册会计师行业的专业力量。同时,希望尽快推出行业的数据分级分类指引,让行业更好地统一开展数据安全管理工作;畅通与网信部门的沟通渠道,获得网信部门的更多专业指导与支持。
▷作者:谭炼,天健会计师事务所数据共享总部总经理
▷来源:《财务与会计》2024年第11期
