《数据合规审计指南》团体标准发布

《数据合规审计指南》团体标准发布

随着数字经济的快速发展，数据合规成为企业必须面对的重要课题。近日，中国电子信息行业联合会正式发布《数据合规审计指南》团体标准，为数据合规审计提供了权威的指导和规范。本文将为您详细介绍这一指南的核心内容和具体要求。

当前，以数据为核心要素的数字经济，成为世界经济发展的新引擎。围绕数据要素的供给、流通和应用的全过程，传统的产业结构、技术架构、商业逻辑均有重大改变。与此同时，随着数据泄露、数据贩卖、个人隐私被侵犯等恶性事件频发，数据合规逐渐成为关注重点。2024年，财政部发布的《关于加强数据资产管理的指导意见》中明确指出，为有效识别和管控数据资产化、数据资产资本化以及证券化的潜在风险，要求加强监督检查，对涉及公共数据资产运营的重大事项开展审计。

日前，中国电子信息行业联合会正式发布《数据合规审计 指南》（以下简称《指南》）团体标准及其编制说明。

根据《指南》及其编制说明，数据合规审计是审计机构根据商定的法律法规要求，对被审计单位数据合规义务履行情况进行的审查和评价的监督活动，形成审计意见，并出具审计报告。

本文件以全面数据合规审计的鉴证业务为核心，规范了审计计划、审计实施、沟通与报告、期后事项各阶段的内容、步骤和要求；明确了数据合规审计领域中各项审计要素的内容和要求，为数据合规审计人员提供执行标准，同时为数据合规审计报告和结果的使用者提供必要的参考信息。

《指南》以全面数据合规审计的鉴证业务为核心，其主要内容分为审计分类、审计要素、审计事项及审计流程共四个部分，并在附录中提供了审计报告参考模板和外部审计的参考路径。

《指南》将数据合规审计项目分为外部审计、内部审计及专项审计三种类型，其中专项审计是指仅针对部分审计对象、特定审计主体或仅执行个别的审计程序，例如企业数据安全合规专项审计、电子商务企业个人信息合规审计、互联网运营服务商数据合规制度审阅、金融机构数据安全合规评估、医疗机构个人健康信息合规审计、政府部门数据合规政策制定项目等。

《指南》提出了数据合规审计工作的审计要素架构，覆盖审计计划、实施以及报告三个阶段，并对各审计要素进行详细展开。

【审计依据】作为审计要素之一，《指南》所明确的审计依据较为广泛，除国内外法律法规规章以及各类标准文件外，还包括组织内部的管理规定、被审计单位与相关方签订的合同，以及社会公德和商业道德等。

【审计范围】《指南》指出数据合规审计应明确审计范围，包括五个基本方面：数据和数据资产、数据环境、数据处理行为、数据合规管理以及数据安全。

【数据合规义务模型架构】《指南》将被审计单位履行的合规义务分为合规管理体系的建立及运行、合规风险的识别及评估、数据合规治理、保障与应急四个大类，并区分应做类义务、禁止类义务和契约类义务。

《指南》列举了若干方面的审计事项：

《指南》所提出的审计流程如下图所示：