《会计师事务所数据安全管理暂行办法》的出台，旨在全面落实网络安全法、数据安全法、个人信息保护法等法律要求，为会计师事务所开展数据安全管理活动提供依据，同时加快推进注册会计师行业基础制度建设，并构建横向协同、纵向联动的行业数据安全监管机制。

为贯彻落实数据安全法、网络安全法等相关法律的要求，加强会计师事务所数据安全管理，规范会计师事务所数据处理活动，近日，财政部、国家互联网信息办公室联合印发《会计师事务所数据安全管理暂行办法》（以下简称《暂行办法》），提出会计师事务所应当建立完善的网络安全管理治理架构，建立健全内部网络安全管理制度体系，涉及核心数据的相关日志留存时间不少于3年，会计师事务所审计工作底稿应按相关规定存放在境内。

《暂行办法》的出台，旨在全面落实网络安全法、数据安全法、个人信息保护法等法律要求，为会计师事务所开展数据安全管理活动提供依据，同时加快推进注册会计师行业基础制度建设，并构建横向协同、纵向联动的行业数据安全监管机制。据悉，《暂行办法》自2024年10月1日起施行。

核心数据日志留存不少于3年

数据是数字经济的关键要素。近年来，中国产业数字化程度显著提高，数据资源对于企业特别是相关数据企业的价值创造日益发挥着重要作用。为此，和企业生产运营、国民经济健康发展密切相关的会计数据信息安全问题亟须重视。

2021年7月，《国务院办公厅关于进一步规范财务审计秩序促进注册会计师行业健康发展的意见》强调，要加快推进注册会计师行业基础制度建设，及时跟进健全相关制度规定。此次两部门印发的《暂行办法》顺应数字经济发展趋势，进一步完善注册会计师行业基础制度体系。

《暂行办法》明确，会计师事务所应按照相关法律法规的规定和被审计单位所处行业数据分类分级的标准，确定核心数据、重要数据和一般数据，并对核心数据和重要数据的存储、相关日志、传输等作出明确要求。被审计单位有义务通过业务约定书、确认函等方式告知会计师事务所审计资料中的核心数据和重要数据相关信息。

在数据存储上，存储重要数据的信息系统要落实三级及以上网络安全等级保护要求，存储核心数据的信息系统要落实四级网络安全等级保护要求。

在日志管理上，要求涉及核心数据的相关日志留存时间不少于3年，涉及重要数据的相关日志留存时间不少于1年，其中向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于3年。涉及一般数据按照国家相关规定处理，《暂行办法》不作特别要求。

《暂行办法》规范的会计师事务所及数据行为，主要是指境内依法设立的会计师事务所及所开展的审计业务相关数据处理活动，包括为上市公司以及非上市的国有金融机构或中央企业等提供审计服务；为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务；为境内企业境外上市提供审计服务。

会计师事务所未从事前述3类业务，但审计业务涉及重要数据或者核心数据，也应根据《暂行办法》进行数据处理活动。数据包括会计师事务所执行审计业务过程中从外部获取和内部生成的任何以电子或者其他方式对信息的记录。

财政部会计司有关负责人介绍说：“《暂行办法》是注册会计师行业对国家网络和数据安全管理相关规定的细化，为会计师事务所开展数据安全管理活动提供依据。此举有利于推动注册会计师行业数据安全管理工作制度化、规范化。”

应建立完善网络安全管理架构

信息时代，信息安全已经成为企业发展的重要保障之一。尤其对于财务数据这样敏感的信息来说，保护其安全性显得尤为重要。随着我国近年来数字化技术的不断发展和应用，财务数据安全问题日益引起人们的关注。会计师作为企业财务数据的管理者和报告者，肩负着保障财务数据安全的重要责任。

《暂行办法》要求，会计师事务所应当建立完善的网络安全管理治理架构，建立健全内部网络安全管理制度体系，建立内部决策、管理、执行和监督机制，确保网络安全管理能力与提供的专业服务相适应，为数据安全管理工作提供安全的网络环境。

北京大学法学院教授刘剑文分析指出，会计信息安全不仅意味着保护企业的财务数据不被泄露，还包括保证其完整性、可靠性和可用性。企业的声誉对其在市场竞争中的地位至关重要。财务数据的泄露或意外损坏可能导致企业声誉受损。员工、客户和投资者对企业的信任会受到财务数据安全事故的影响。因此，保护财务数据安全是维护企业声誉的首要任务。

此外，随着信息化发展的加快，对个人隐私和企业数据的保护要求也越来越高。各国都制定了相关法律法规保护个人和企业的隐私权益。作为企业，保护财务数据安全不仅是一种道德责任，也是一种法律责任。需要企业采取相应措施确保财务数据的安全。

为此，《暂行办法》对会计师事务所在网络管理资源投入、网络安全技术防护、网络管理账户权限等方面作出具体要求：

会计师事务所应当按照业务活动规模及复杂程度配置具备相应职业技能水平的网络管理技术人员，确保合理的网络资源投入和资金投入；做好信息系统安全管理和技术防护，根据存储、处理数据的级别采取相应的网络物理隔离或者逻辑隔离等措施，设置严格的访问控制策略，防范未经授权的访问行为；会计师事务所应当拥有其审计业务系统中网络设备、网络安全设备的自主管理权限，统一设置、维护系统管理员账户和工作人员账户，不得设置不受限制、不受监控的超级账户，不得将管理员账号交由第三方运维机构管理使用。

“会计信息化在为企业财务管理工作提供便捷服务的同时，也给企业的财务风险监控管理带来了巨大挑战，需要财务管理工作人员了解会计信息化使用的利与弊，在企业发展过程中，以前瞻视角抓住机遇，以积极态度应对挑战。”刘剑文说。

底稿出境应建立逐级复核机制

近年来，随着我国境内企业到境外上市的数量增加，会计师事务所国际交流来往密切，截至目前，我国已有35家会计师事务所加入或创建了28个国际会计网络，会计审计行业对外交流合作日益密切，而会计审计跨境交流业务中的数据信息安全监管规范，也越来越引起重视。

2022年8月，中国证券监督管理委员会、财政部与美国公众公司会计监督委员会（PCAOB）签署审计监管合作协议，中方提供协助的范围涉及部分为中概股提供审计服务且审计底稿存放在内地的香港事务所；在协作方式上，美方须通过中方监管部门获取审计底稿等文件，在中方参与和协助下对会计师事务所相关人员开展访谈和问询。

2023年2月，证监会会同财政部、国家保密局、国家档案局发布修订后的《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》明确提出，为境内企业境外发行上市提供相应服务的证券公司、证券服务机构在境内形成的工作底稿应当存放在境内。需要出境的，按照国家有关规定办理审批手续。

记者注意到，此次两部门《暂行办法》持续推进跨境审计监管工作，尤其在审计底稿方面进行多项明确：会计师事务所审计工作底稿应按相关规定存放在境内。会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。境外监管机构因监管需要确需调取境内审计工作底稿的，应通过相应的跨境监管合作机制依法依规获取，相应审计工作底稿出境应当办理审批手续。会计师事务所对审计工作底稿出境事项应当建立逐级复核机制，落实数据安全管控责任。

《暂行办法》还聚焦会计数据信息的安全可控度，要求会计师事务所建立数据备份制度，确保在审计相关应用系统因外部技术原因被停止使用、被限制使用等情况下，仍能访问、调取、使用相关审计工作底稿。加密设备应当设置在境内并由境内团队负责运行维护，密钥应当存储在境内。会计师事务所应当拥有其审计业务系统中网络设备、网络安全设备的自主管理权限，统一设置、维护系统管理员账户和工作人员账户，不得设置不受限制、不受监控的超级账户，不得将管理员账号交由第三方运维机构管理使用。

此外，《暂行办法》进一步明确了财政部门、网信部门、公安机关、国家安全机关对会计师事务所数据安全的监管职责。省级以上财政部门、省级以上网信部门对会计师事务所开展监督检查，公安机关、国家安全机关依法在职责范围内承担会计师事务所数据安全监管职责。会计师事务所对于依法实施的数据安全监督检查，应当予以配合。

文/万静

编辑/倪家宁