【安永洞察】ISAE 3000第三方鉴证报告助力出海企业“扬帆远航”

随着《“十四五”数字经济发展规划》的出台，国家正式对“十四五”时期数字经济发展做出整体性布局，在数字经济时代背景下，中国企业纷纷以云计算、大数据、人工智能等新型信息技术为抓手，广泛赋能各行业及其细分领域，在国际市场的竞争力不断增强。获取新市场、实现转型升级以及提前布局成为中国企业走出去的重要动能，加速企业出海战略的升级。随着网络安全及隐私保护成为当下全球发展的主议题之一，出海企业的安全能力受到企业利益相关方的关注，诸如数据跨境是否满足当地国家与地区的监管要求等合规问题已被频繁提出，这类问题会使企业与利益相关方之间产生信任危机，甚至直接造成企业的损失。

为应对出海企业的安全信任危机，完善企业自身安全与隐私体系的建设，强化企业安全合规的能力，企业必须提前部署好安全战略规划，紧握安全合规生命线，通过第三方机构的评估助力安全合规能力提升。而《国际鉴证业务准则第3000号（修订版）——除历史财务信息审计或审阅之外的鉴证业务1》（以下简称“ISAE 3000”）第三方鉴证报告正是展示安全合规能力的最佳工具之一。早在2020年12月欧盟网络安全局2（以下简称“ENISA”）发布的欧盟网络安全候选认证方案3（以下简称“EUCS”）中就明确最高认证级别High为需要独立审计师出具的鉴证报告。

什么是ISAE 3000鉴证报告？

ISAE 3000是一套原则性的准则，由国际审计与鉴证准则理事会4（以下简称“IAASB”）发布，适用于除历史财务信息审计或审阅之外的鉴证业务，其特殊的原则性是全球专业的审计师在执行该类项目时，可以遵循一套适用的准则以评估合规性、可持续性及内控有效性工作。审计师可以基于适当的目标标准或监管要求，例如新加坡银行协会5（以下简称“ABS”）外包指南、德国联邦信息安全局6（以下简称“BSI”）C5标准等，开展差距分析评估。继而基于ISAE 3000准则，依照相关目标标准或监管要求独立评估企业内部控制与安全措施系统的实施情况，并基于企业体系运行的实际情况出具鉴证意见。此类鉴证报告可为企业外部利益相关方对公司的信息安全管控增加信心。

ISAE 3000鉴证报告的内容会明确企业在提供服务过程中，设计并实施了哪些内部控制和安全措施以满足目标标准，相关利益方可以通过阅读审计师签发的ISAE 3000鉴证报告，评估其所关注的内部控制及安全措施是否被企业有效实施。同时，对于任何在审计师评估过程中发现的控制缺陷及企业针对控制缺陷的回复，都会被详细记录在鉴证报告中，保证相关利益方知悉企业与目标标准的差异。

图一：什么是ISAE 3000鉴证报告

常见的ISAE 3000鉴证报告

ISAE 3000鉴证报告可针对多个鉴证对象，包括内控有效性、可持续发展信息披露等。ISAE 3000鉴证报告适用于全球，并可根据需求区分使用报告的用户群体，同时针对不同的服务或技术类型，可选用不同的目标标准或监管要求，以实现企业的不同鉴证需求。目前常见的基于ISAE 3000出具的鉴证报告可覆盖各大洲的不同标准、各国家或地区当地的监管要求。各服务领域中常见的SOC报告、德国C5报告以及新加坡OSPAR报告相关内容可在安永之前发布的《【安永观察】因为“透明”，所以“可信”——云服务商云安全规划》中进行了解，本文不再赘述。

往期阅读

【安永观察】因为“透明”，所以“可信”——云服务商云安全规划

图二：常见ISAE 3000鉴证报告

1. 针对各国或地区当地监管要求的ISAE 3000报告

出海企业在当地提供服务时，除自身受所提供服务的行业监管要求外，某些特殊的行业对服务商也有特殊的合规要求。以金融行业为例，不同国家或地区对当地金融机构提出信息科技风险管理要求，尤其是外包业务风险。这些金融机构作为出海企业的客户，亦需要企业能满足当地金融监管的要求，而某些国家已将ISAE 3000鉴证报告作为向当地政府或金融机构提供服务的准入门槛，如新加坡的OSPAR报告7，日本的ISMAP报告，均为官方指定由当地监管认可的审计师出具ISAE 3000鉴证报告后，政府或金融机构方可采用该企业的服务，相关鉴证报告结果需要在指定网站注册申请，所有目标客户均可以通过监管机构的官方网站进行查询，具有很高的认可度。

常见出现在ISAE 3000鉴证报告中的监管要求：  

 

表一 ：常见出现在ISAE 3000鉴证报告中的监管要求

2. 针对特殊行业标准的ISAE 3000报告——以德国AIC4为例

由于虚拟化、云计算和大数据技术的发展，人工智能 (以下简称“AI”)在各行业细分领域得到广泛应用，AI的环境可信度也成了迫切需要解决的问题。考虑到现有标准在衡量AI服务时有所限制，BSI基于C5，衍生出针对AI云服务的安全标准AI Cloud Service Compliance Criteria Catalogue（以下简称“AIC4”）。

AIC4涉及8个领域，41条标准，不仅考虑数据技术方面，还考虑AI服务的经济和政治意义。BSI希望为AI产品和服务的安全开发和使用提供可参考的基础的同时，利用人工智能和机器学习技术来制定密码学和其他网络安全领域的标准，提高数字化进程中的安全性，以增强对新技术和应用程序的信任。该标准设定了AI云服务安全的基线水平，允许通过ISAE 3000鉴证报告的形式由独立审计师针对企业的个性化产品进行安全评估。在独立审计师专业评估下，AI云服务商能充分地从开发、测试、验证、部署和监控等相关流程证明自己的技术水平与抗风险能力，从而增强客户的信任。

AI云服务商可通过获取针对AIC4标准的ISAE 3000鉴证报告来对自己产品的安全性进行全面复盘，其目标客户亦可通过该份报告知晓云服务商在AI领域的安全控制，对其安全控制的设计合理性与执行有效性进行快速全面的了解，有效减轻使用AI产品时对安全合规的顾虑。

表二：AIC4中涉及的8个领域及其目标

ISAE 3000报告的价值

ISAE 3000报告对出海企业及利益相关方的价值主要体现在以下六个方面：

（1）可信性：具有ISAE 3000报告的服务商，其可信度更高，客户更愿与其合作；

（2）审计性：提供对内部控制有效性的意见，指出与目标标准及监管要求的差距；

（3）针对性：可根据业务类型及市场，选择适用的目标标准及监管要求进行评估；

（4）遵从性：展现企业对当地目标客户须遵从监管要求的支持，协助客户满足当地监管要求；

（5）透明性：提供服务商详尽的内部控制、安全流程描述及客户须履行的安全责任说明；

（6）成本性：降低自身的合规成本及对服务商定制化监控活动的投入。

图三：ISAE 3000报告的价值

ISAE 3000鉴证报告实施流程

出海企业打算开展ISAE 3000鉴证报告时，应聘请具有相关评估资质的第三方会计师事务所，并选定目标标准或监管要求，定义好评估范围。审计师对企业基于目标标准或监管要求所实施的内部控制进行设计有效性及运行有效性的评估，并最终签发ISAE 3000鉴证报告。

图四：ISAE 3000鉴证报告实施流程

图五：ISAE 3000鉴证报告实施流程（续）

结语

图六：安永如何提供帮助?

//  结语 //

后疫情时代，中国企业出海，充满着机遇与挑战，随着安全与隐私保护正受到前所未有的持续关注，出海企业急需与客户之间搭建“信任的桥梁”，使企业安全内控透明化，运营管理合规化，优质服务可信化。而ISAE 3000鉴证报告作为全球高度认可的第三方评估方式之一，其可信度也将助力出海企业扬帆远航，为企业保驾护航。

如需进一步了解安永ISAE 3000鉴证服务，敬请联系安永科技风险咨询团队。

欢迎联系我们。

李敏敏 Estella Li

大中华区科技风险咨询服务主管合伙人

安永（中国）企业咨询有限公司

+86 21 2228 2383

estella.li@cn.ey.com

赵剑澐 Eric Zhao

科技风险咨询服务合伙人

安永（中国）企业咨询有限公司

+86 21 2228 3692

eric-j.zhao@cn.ey.com

冯恺雅 Alice Feng

科技风险咨询服务业务合伙人

安永（中国）企业咨询有限公司

+86 20 2838 1356

alice-ky.feng@cn.ey.com

朱超 Tomas Zhu

科技风险咨询服务经理

安永（中国）企业咨询有限公司

+86 20 2881 2818

tomas.zhu@cn.ey.com

杨国豪 David Yang

科技风险咨询服务顾问

安永（中国）企业咨询有限公司

+86 20 3252 8376

david.gh.yang@cn.ey.com

李昭颖 Ivy Li

科技风险咨询服务顾问

安永（中国）企业咨询有限公司

+86 20 2881 2888

ivy.zy.li@cn.ey.com

注：

1 ISAE 3000：International Standard On Assurance Engagements ISAE 30000 (Revised), Assurance Engagements Other than Audits or Reviews of Historical Financial Information

2 EUISA：European Union Agency for Network and Information Security

3 EUCS：European Union Cybersecurity Certification Scheme on Cloud Services

4 IAASB：International Auditing and Assurance Standards Board

5 ABS：Association of Banks in Singapore

6 BSI：Federal Office for Information Security

7 OSPAR报告使用基于ISAE 3000准则的SINGAPORE STANDARD ON ASSURANCE ENGAGEMENTS 3000(Revised)出具

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

如欲转载本文，务必原文转载，不得修改，且标注转载来源为：安永中国海外投资业务部官方微信公众号。如需修改内容，需要获得安永的书面确认。