2023-08-04 05:37:06 来源 : KPMG
又是跟着涨知识的一天! 在上一期文章中我们针对上市监管关注核心问题进行了分享。这一期小P将针对 数据安全与数据质量问题 ,与小K进行分享,让我们看看从中能得到怎么样的收获。
-Hello 小P,终于又到新一期的“威观核查”了。前几期“威观核查——技术篇”中,我们探讨了信息系统核查关注事项。今天又将带来什么内容呀?
(资料图)
-小K,今天让我们来聊聊数据的话题吧。在《监管规则适用指引——发行类第5号》中,一共提到 60次 “数据”字样,核查工作要求的第一段和第二段即明确提到“数据安全”和“数据质量”。可以说,数据在信息系统核查中的重要性不断上升,监管机构对数据的关注程度也不断提高。今天,我们就从“数据安全”和“数据质量”两个维度一起讨论讨论吧。
-好的,小P,那我们先说说数据安全吧。近年来,越来越多的发行人开始重视数据安全问题,许多发行人部署了大量安全设备以防范数据安全问题。为什么数据安全如此受重视呢?
-这个呀,可以从内部驱动和外部环境两方面说起。
内部驱动主要包括 保护商业机密和核心竞争力 ,以及 维护投资者和消费者信任 两方面。一方面,保护商业机密、研发信息等核心数据对发行人价值至关重要,直接影响到发行人的市场核心竞争力;另一方面,保护消费者数据安全成为了发行人不可推卸的责任,这些信息一旦泄露,将严重影响公众对发行人的信任。
外部环境主要包括 监管要求 和 外部威胁 两方面。一方面,《网络安全法》、《个人信息保护法》等法规要求企业必须建立数据安全管理制度,并具备保护数据安全的能力;另一方面,近年来黑客攻击和数据安全事件屡见不鲜,也为发行人数据安全敲响了警钟。
因此,越来越多的拟上市发行人开始高度重视数据安全,将其作为发行人发展战略的重要一环。
-哇,看来上市核查时真的需要好好了解发行人的数据安全能力,评估发行人能否有效应对来自外部的各种威胁呢~
-是的呢。不过需要纠正小K一点哦,数据安全不仅仅是“对外”的数据安全,也包括“对内”的数据安全,即不仅限于防范外部黑客攻击,也应避免来自于发行人内部人员的非授权访问和对外泄露。
-哈哈,了解了。那么在上市信息系统核查过程中,我们需要关注哪些数据的安全呢?
- 通常来说,发行人关键业务和财务数据都是需要被保护的 ,这些数据的泄露可能给发行人造成不必要的损失。这就是为什么IT审计师需要了解发行人整体层面数据安全能力的原因。除此以外,发行人系统中可能还存储了一些人事相关的信息,例如员工的个人身份信息,薪资报酬等,这些数据也是发行人数据安全保护应该覆盖的范围。
进一步讲 ,针对 高度敏感的数据,需要采取更加严格的数据安全保护机制 。例如,平台电商、在线教育等企业所掌握的用户姓名、手机号、地址、身份证号等 用户个人信息 ;软件公司、医药研发企业等高新研发企业所掌握的研发成果、专利技术、关键参数等 研发信息 ;物流公司等交通运输企业所记录的道路交通定位等 社会基础信息 。这些数据都需要采取严格的存储、访问和传输控制,以保障其安全。
-让我们用一张图来简要列举一下吧。
-原来如此呀。那我们该如何评估发行人针对这些数据的安全保护措施是否有效呢?
-我们可以从时间跨度和覆盖广度两方面对发行人数据安全能力进行评估。
从时间跨度来看,我们不仅要关注发行人当前的数据安全现状,也需要关注发行人在报告期内曾经发生的数据安全问题和整改情况,以及未来可能面临的数据安全挑战和风险。
-从覆盖广度来看,我们需要对发行人的数据安全能力进行全方位的了解和评估。下面我列示了几个值得引起关注的领域,给小K做个参考吧。
-哇哦,原来数据安全涉及这么多方面呢!
-是的,小K。我再补充一下,当赴境外上市时,若发行人属于关键信息基础设施运营者,涉及公共通信和信息服务、能源、交通、水利、金融等重要行业和领域,或掌握超过100万用户个人信息的网络平台运营者,亦或网络安全审查工作机制成员单位认为发行人存在影响或者可能影响国家安全的网络产品和服务以及数据处理活动的,需遵照《网络安全审查办法》向网络安全审查办公室申报网络安全审查。
- 我们再说说数据质量吧,监管机构发文有明确提到了这个要求呢。
-是的。《监管规则适用指引——发行类第5号》明确提出,“基础数据质量探查:包括但不限于基础运营数据及财务数据在系统中记录和保存的准确性、完整性;基础数据直接生成或加工生成的主要披露数据的真实性、准确性及完整性;重点关注是否存在数据缺失、指标口径错误导致披露数据失实等事项。”
-我们会从哪些方面来执行基础数据质量探查呢?
-这个可以从两方面来说。一方面,我们需要对与数据修改、系统变更相关的信息系统一般控制执行测试,这个我们在之前几次分享时已经多次提到啦~~另一方面,我们需要对数据库中的数据表进行基础的质量分析,对明细数据记录的准确性和完整性等方面形成初步的判断。
-具体从哪些维度对数据的准确性和完整性等进行初步判断呢?
-方法很多,结合数据表和字段的不同可以从不同的角度切入。我举几个常见的例子吧!通过综合运用这些方法,可以有助于全面评估发行人的数据质量。
-小P,结合我们发现过的数据质量问题,我们可以给一些建议,帮助发行人提高基础数据质量吗?
-数据质量问题通常是外在的表现,其背后潜藏的往往是发行人在整体数据质量管理体系以及在具体数据质量管理措施上的缺漏。因此,我们还需要 深入了解出现数据质量问题的根本原因 ,“对症下药”,为发行人提供真正有效的改进经验。
-具体来看,通过深入分析数据质量问题所反映的具体管控措施缺陷,发行人可以进行有针对性的补强。
例如,实践中,以下两类管控措施缺陷通常会导致数据质量问题:
数据库操作权限管理不当 ,人员误操作导致部分数据或数据表被错误修改或删除; 系统开发变更未充分考虑数据结构或特殊业务场景 ,导致部分数据记录错误。针对这两种常见情形,发行人可以采取以下针对性措施:
加强数据库数据操作权限管理 ,严格控制具有数据修改权限的人员范围,限制数据修改的方式;并定期对数据修改记录进行审阅; 加强系统开发变更管理 ,对各类业务场景进行 充分测试 。-太棒了!感谢小P今天又跟我分享了这么多经验故事,让我对上市核查需要关注的要点有了更进一步的理解。
-下次见哦~
本文内容仅供一般参考用,并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。
©2023毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所,均是与英国私营担保有限公司— 毕马威国际有限公司(“毕马威国际”)相关联。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体,其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所;毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司;毕马威会计师事务所 — 香港合伙制事务所。版权所有,不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。
标签: