随着《“十四五”数字化的经济发展规划》的出台,国家正式对“十四五”时期数字化的经济发展做出整体性布局,在数字化的经济时代背景下,中国企业纷纷以云计算、大数据、人工智能等新型信息技术为抓手,广泛赋能各行业及其细致划分领域,在国际市场的竞争力慢慢地加强。获取新市场、实现转变发展方式与经济转型以及提前布局成为中国企业走出去的重要动能,加速企业出海战略的升级。
随着网络安全及隐私保护成为当下全球发展的主议题之一,出海企业的安全能力受到企业利益相关方的关注,诸如数据跨境是不是满足当地国家与地区的监督管理要求等合规问题已被频繁提出,这类问题会使企业与利益相关方之间产生信任危机,甚至直接造成企业的损失。
为应对出海企业的安全信任危机,完善企业自身安全与隐私体系的建设,强化企业安全合规的能力,企业一定提前部署好安全战略规划,紧握安全合规生命线,通过第三方机构的评估助力安全合规能力提升。而《国际鉴证业务准则第3000号(修订版)——除历史财务信息审计或审阅之外的鉴证业务[1]》(以下简称“ISAE 3000”)第三方鉴证报告正是展示安全合规能力的最佳工具之一。早在2020年12月欧盟网络安全局[2](以下简称“ENISA”)发布的欧盟网络安全候选认证方案[3](以下简称“EUCS”)中就明确最高认证级别High为需要独立审计师出具的鉴证报告。
ISAE 3000是一套原则性的准则,由国际审计与鉴证准则理事会[4](以下简称“IAASB”)发布,适用于除历史财务信息审计或审阅之外的鉴证业务,其特殊的原则性是全球专业的审计师在执行该类项目时,可以遵循一套适用的准则以评估合规性、可持续性及内控有效性工作。审计师可以基于适当的目标标准或监督管理要求,例如新加坡银行协会[5](以下简称“ABS”)外包指南、德国联邦信息安全局[6](以下简称“BSI”)C5标准等,开展差距分析评估。继而基于ISAE 3000准则,依照相关目标标准或监督管理要求独立评估企业内部控制与安全措施系统的实施情况,并基于企业体系运行的真实的情况出具鉴证意见。此类鉴证报告可为企业外部利益相关方对公司的信息安全管控增加信心。
ISAE 3000鉴证报告的内容会明确企业在提供服务过程中,设计并实施了哪些内部控制和安全措施以满足目标标准,相关利益方能够最终靠阅读审计师签发的ISAE 3000鉴证报告,评估其所关注的内部控制及安全措施是否被企业有效实施。同时,对于任何在审计师评估过程中发现的控制缺陷及企业针对控制缺陷的回复,都会被详细记录在鉴证报告中,保证相关利益方知悉企业与目标标准的差异。
ISAE 3000鉴证报告可针对多个鉴证对象,包括内控有效性、可持续发展信息公开披露等。ISAE 3000鉴证报告适用于全球,并可依据需求区分使用报告的用户群体,同时针对不一样的服务或技术类型,可选用不同的目标标准或监督管理要求,以实现企业的不同鉴证需求。目前常见的基于ISAE 3000出具的鉴证报告可覆盖各大洲的不同标准、各国家或地区当地的监督管理要求。各服务领域中常见的SOC报告、德国C5报告以及新加坡OSPAR报告相关联的内容可在安永之前发布的《【安永观察】因为“透明”,所以“可信”——云服务商云安全规划》中来了解,本文不再赘述。
出海企业在当地提供服务时,除自身受所提供服务的行业监督管理要求外,某些特殊的行业对服务商也有特殊的合规要求。以金融行业为例,不同国家或地区对当地金融机构提出信息科技风险管理要求,尤其是外包业务风险。这些金融机构作为出海企业的客户,亦需要企业能满足当地金融监管的要求,而某些国家已将ISAE 3000鉴证报告作为向当地政府或金融机构提供服务的准入门槛,如新加坡的OSPAR报告[7],日本的ISMAP报告,均为官方指定由当地监管认可的审计师出具ISAE 3000鉴证报告后,政府或金融机构方可采用该企业的服务,相关鉴证报告结果需要在指定网站注册申请,所有目标客户均可以通过监管机构的官方网站进行查询,具有很高的认可度。
由于虚拟化、云计算和大数据技术的发展,人工智能 (以下简称“AI”)在各行业细分领域得到广泛应用,AI的环境可信度也成了迫切需要解决的问题。考虑到现有标准在衡量AI服务时有所限制,BSI基于C5,衍生出针对AI云服务的安全标准AI Cloud Service Compliance Criteria Catalogue(以下简称“AIC4”)。
AIC4涉及8个领域,41条标准,不仅考虑数据技术方面,还考虑AI服务的经济和政治意义。BSI希望为AI产品和服务的安全开发和使用提供可参考的基础的同时,利用人工智能和机器学习技术来制定密码学和其他网络安全领域的标准,提高数字化进程中的安全性,以增强对新技术和应用程序的信任。该标准设定了AI云服务安全的基线水平,允许通过ISAE 3000鉴证报告的形式由独立审计师针对企业的个性化产品进行安全评估。在独立审计师专业评估下,AI云服务商能充分地从开发、测试、验证、部署和监控等相关流程证明自己的技术水平与抗风险能力,从而增强客户的信任。
AI云服务商可通过获取针对AIC4标准的ISAE 3000鉴证报告来对自己产品的安全性进行全面复盘,其目标客户亦可通过该份报告知晓云服务商在AI领域的安全控制,对其安全控制的设计合理性与执行有效性进行快速全面的了解,有效减轻使用AI产品时对安全合规的顾虑。
ISAE 3000报告对出海企业及利益相关方的价值主要体现在以下六个方面:
(1)可信性:具有ISAE 3000报告的服务商,其可信度更高,客户更愿与其合作;
(2)审计性:提供对内部控制有效性的意见,指出与目标标准及监督管理要求的差距;
(3)针对性:可根据业务类型及市场,选择适用的目标标准及监管要求进行评估;
(4)遵从性:展现企业对当地目标客户须遵从监督管理要求的支持,协助客户满足当地监督管理要求;
(5)透明性:提供服务商详尽的内部控制、安全流程描述及客户须履行的安全责任说明;
出海企业打算开展ISAE 3000鉴证报告时,应聘请具有相关评估资质的第三方会计师事务所,并选定目标标准或监督管理要求,定义好评估范围。审计师对企业基于目标标准或监督管理要求所实施的内部控制进行设计有效性及运行有效性的评估,并最终签发ISAE 3000鉴证报告。
后疫情时代,中国企业出海,充满着机遇与挑战,随着安全与隐私保护正受到前所未有的持续关注,出海企业急需与客户之间搭建“信任的桥梁”,使企业安全内控透明化,运营管理合规化,优质服务可信化。而ISAE 3000鉴证报告作为全球高度认可的第三方评估方式之一,其可信度也将助力出海企业扬帆远航,为企业保驾护航。
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。返回搜狐,查看更加多
