ISAE 3000第三方鉴证报告助力出海企业“扬帆远航”
理财鱼小提示:ISAE 3000第三方鉴证报告助力出海企业“扬帆远航”
随着《“十四五”数字经济发展规划》的出台,国家正式对“十四五”时期数字经济发展做出整体性布局,在数字经济时代背景下,中国企业纷纷以云计算、大数据、人工智能等新型信息技术为抓手,广泛赋能各行业及其细分领域,在国际市场的竞争力不断增强。获取新市场、实现转型升级以及提前布局成为中国企业走出去的重要动能,加速企业出海战略的升级。随着网络安全及隐私保护成为当下全球发展的主议题之一,出海企业的安全能力受到企业利益相关方的关注,诸如数据跨境是否满足当地国家与地区的监管要求等合规问题已被频繁提出,这类问题会使企业与利益相关方之间产生信任危机,甚至直接造成企业的损失。
为应对出海企业的安全信任危机,完善企业自身安全与隐私体系的建设,强化企业安全合规的能力,企业必须提前部署好安全战略规划,紧握安全合规生命线,通过第三方机构的评估助力安全合规能力提升。而《国际鉴证业务准则第3000号(修订版)——除历史财务信息审计或审阅之外的鉴证业务[1]》(以下简称“ISAE 3000”)第三方鉴证报告正是展示安全合规能力的最佳工具之一。早在2020年12月欧盟网络安全局[2](以下简称“ENISA”)发布的欧盟网络安全候选认证方案[3](以下简称“EUCS”)中就明确最高认证级别High为需要独立审计师出具的鉴证报告。
什么是ISAE 3000鉴证报告?ISAE 3000是一套原则性的准则,由国际审计与鉴证准则理事会[4](以下简称“IAASB”)发布,适用于除历史财务信息审计或审阅之外的鉴证业务,其特殊的原则性是全球专业的审计师在执行该类项目时,可以遵循一套适用的准则以评估合规性、可持续性及内控有效性工作。审计师可以基于适当的目标标准或监管要求,例如新加坡银行协会[5](以下简称“ABS”)外包指南、德国联邦信息安全局[6](以下简称“BSI”)C5标准等,开展差距分析评估。继而基于ISAE 3000准则,依照相关目标标准或监管要求独立评估企业内部控制与安全措施系统的实施情况,并基于企业体系运行的实际情况出具鉴证意见。此类鉴证报告可为企业外部利益相关方对公司的信息安全管控增加信心。
ISAE 3000鉴证报告的内容会明确企业在提供服务过程中,设计并实施了哪些内部控制和安全措施以满足目标标准,相关利益方可以通过阅读审计师签发的ISAE 3000鉴证报告,评估其所关注的内部控制及安全措施是否被企业有效实施。同时,对于任何在审计师评估过程中发现的控制缺陷及企业针对控制缺陷的回复,都会被详细记录在鉴证报告中,保证相关利益方知悉企业与目标标准的差异。
图一:什么是ISAE 3000鉴证报告
常见的ISAE 3000鉴证报告ISAE 3000鉴证报告可针对多个鉴证对象,包括内控有效性、可持续发展信息披露等。ISAE 3000鉴证报告适用于全球,并可根据需求区分使用报告的用户群体,同时针对不同的服务或技术类型,可选用不同的目标标准或监管要求,以实现企业的不同鉴证需求。目前常见的基于ISAE 3000出具的鉴证报告可覆盖各大洲的不同标准、各国家或地区当地的监管要求。各服务领域中常见的SOC报告、德国C5报告以及新加坡OSPAR报告相关内容可在安永之前发布的《【安永观察】因为“透明”,所以“可信”——云服务商云安全规划》中进行了解,本文不再赘述。
往期阅读:【安永观察】因为“透明”,所以“可信”——云服务商云安全规划
图二:常见ISAE 3000鉴证报告
1. 针对各国或地区当地监管要求的ISAE 3000报告
出海企业在当地提供服务时,除自身受所提供服务的行业监管要求外,某些特殊的行业对服务商也有特殊的合规要求。以金融行业为例,不同国家或地区对当地金融机构提出信息科技风险管理要求,尤其是外包业务风险。这些金融机构作为出海企业的客户,亦需要企业能满足当地金融监管的要求,而某些国家已将ISAE 3000鉴证报告作为向当地政府或金融机构提供服务的准入门槛,如新加坡的OSPAR报告[7],日本的ISMAP报告,均为官方指定由当地监管认可的审计师出具ISAE 3000鉴证报告后,政府或金融机构方可采用该企业的服务,相关鉴证报告结果需要在指定网站注册申请,所有目标客户均可以通过监管机构的官方网站进行查询,具有很高的认可度。
常见出现在ISAE 3000鉴证报告中的监管要求:
表一 常见出现在ISAE 3000鉴证报告中的监管要求
2. 针对特殊行业标准的ISAE 3000报告——以德国AIC4为例
由于虚拟化、云计算和大数据技术的发展,人工智能 (以下简称“AI”)在各行业细分领域得到广泛应用,AI的环境可信度也成了迫切需要解决的问题。考虑到现有标准在衡量AI服务时有所限制,BSI基于C5,衍生出针对AI云服务的安全标准AI Cloud Service Compliance Criteria Catalogue(以下简称“AIC4”)。
AIC4涉及8个领域,41条标准,不仅考虑数据技术方面,还考虑AI服务的经济和政治意义。BSI希望为AI产品和服务的安全开发和使用提供可参考的基础的同时,利用人工智能和机器学习技术来制定密码学和其他网络安全领域的标准,提高数字化进程中的安全性,以增强对新技术和应用程序的信任。该标准设定了AI云服务安全的基线水平,允许通过ISAE 3000鉴证报告的形式由独立审计师针对企业的个性化产品进行安全评估。在独立审计师专业评估下,AI云服务商能充分地从开发、测试、验证、部署和监控等相关流程证明自己的技术水平与抗风险能力,从而增强客户的信任。
>相关《 ISAE 3000第三方鉴证报告助力出海企业“扬帆远航”》内容:
1、 天风证券:公募基金行业成长性有望持续 建议关注东方财富(300059.SZ)等
智通财经APP获悉,4月28日,天风证券发布研究报告称,公募基金行业成长性有望持续,带动相关产业链机构业绩维持正增长。未来公募基金行业基于保有量的收入占比有望持续提升,行业周期敏感度将降低,建议关注受市场情绪影响较大,但长期增长逻辑不改的东方...【继续阅读】
2、 沪指失守3000点,投资者如何应对熊市? 思维播报
点击查看视频 4月25日, 上证指数跌破3000点整数关口,创出最近两年多最大单日跌幅,多只行业龙头股遭遇暴跌,甚至跌停。到26日,沪指开始2900点的拉锯战。最近几年,A股如此大跌的情形在实属少见,这也令许多投资者感到迷茫,在弱势行情之下,该如何应对...【继续阅读】
3、 3000点下众生相:有人买学区房逃过大跌,有人闭眼“价值投资”
中新经纬4月27日电 (高铂宁)看着账户里五只悉数腰斩乃至膝斩的股票,在北京某文化公司上班的白领樊影立马退出了软件。靠着这种“鸵鸟”心态,有将近八年炒股经验的樊影成功把自己熬成了一个“价值投资者”。 “刚开始进入股市时,想着靠短期波动挣点零花钱...【继续阅读】