중국 회계법인의 감사 자료에 대한 규제 강화와 그에 따른 영향

[힘힘]

중국 회계법인의 감사 자료에 대한 규제 강화와 그에 따른 영향

2024-24호 2024.12.02

홍지연다른 발간물

• 미국 PCAOB 감사품질 관리 기준 승인
• 해외 ESG 평가기관 규제 동향

바로보기다운로드

요약

□ 중국 정부는 자국 내 회계법인이 기업 감사 자료를 해외로 반출할 때 당국의 승인을 받도록 하는 ‘회계법인 데이터 보안 관리 임시 조치’를 발표하여 시행
□ 새로운 규제의 시행은 핵심 기업 및 대형 플랫폼 기업들의 민감한 정보를 보호하려는 목적
□ 중국은 최근 몇 년 동안 국가적으로 데이터 보호를 강화하기 위한 다양한 제도를 마련하여 대응해 옴
□ 이번 조치 역시 미국과의 갈등이 지속되고 있는 가운데 이루어진 것으로 중국 정부의 데이터 보호를 위한 강력한 의지를 반영한 한편, 다국적 기업의 운영과 중국 기업의 해외 진출에 영향이 있을 것으로 예상

□ 중국 정부는 자국 내 회계법인이 기업 감사 자료를 해외로 반출할 때 당국의 승인을 받도록 하는 새로운 규제를 발표하여 시행
— 중국 재무부 및 사이버 관리국은 회계법인의 데이터 처리 활동을 규제하고 데이터 보안을 위한 ‘회계법인 데이터 보안 관리 임시 조치(会计师事务所数据安全管理暂行办法)’를 시행
・이번 규제는 중국의 공인회계사법, 사이버보안법, 데이터보안법, 개인정보보호법 등 다양한 법률에 기반
— 새로운 규정은 상장기업뿐만 아니라 국유기업과 일정 규모 이상의 사용자를 보유한 플랫폼을 대상으로 감사 서비스를 제공하는 회계법인에 적용
・상장기업 및 비상장 국유 금융기관 및 중앙 관리 기업 등에 대한 감사 서비스를 제공하는 회계법인
・100만명 이상의 사용자를 보유한 네트워크 플랫폼 운영자나 중요 정보 인프라 운영자에게 감사 서비스를 제공하는 회계법인
・해외 상장을 위한 중국 기업에 대한 감사 서비스를 제공하는 회계법인
・규정한 범위 외에도 중요 데이터 또는 핵심 데이터를 포함하는 회계법인의 감사 업무에도 적용

□ ‘회계법인 데이터 보안 관리 임시 조치’의 주요 내용은 데이터 분류 및 등급 관리, 데이터 보관 및 보안 관리를 강화하는 내용1)
— 회계법인은 회계감사 수행 시 사용하는 감사 자료 관련 데이터를 기준에 따라 등급별로 분류하고 관리
・회계법인은 감사 대상 기업의 업종 데이터 분류 및 분류 기준에 따라 핵심 데이터(Core Data), 중요 데이터(Import Data), 일반 데이터(General Data)로 분류
・회계법인과 감사 대상은 계약서나 확인서를 통해 감사 자료의 데이터 성격, 범위 등을 명확히 해야 함
— 회계법인은 데이터 보안 관리 체계를 수립하여 안정적 네트워크 환경을 보장
・데이터 전송 절차를 명확히 해야 하며, 핵심 데이터와 중요 데이터를 전송할 때는 암호화 기술을 사용
・데이터 백업 제도를 구축하고 감사 관련 시스템이 외부 기술적 문제로 인해 사용이 중지되거나 제한되는 경우에도 관련 감사 작업 서류에 접근하고 이를 조회 및 사용할 수 있도록 해야 함
・네트워크 분리, 사용자 인증, 접근 제어, 데이터 암호화, 바이러스 방지, 불법 침입 탐지 등의 기술을 사용하여 관련 네트워크 공격과 불법 접근을 신속히 식별, 차단, 추적할 수 있도록 하여 데이터 보안을 보장
・데이터 보안에 대한 비상 대응 체계를 수립하고 보안 위험을 모니터링하며, 데이터 유출이나 보안 취약점 등의 위험이 발견되면 즉시 보완 및 조치하고 핵심 데이터 또는 중요 데이터가 유출, 손실, 도난, 변조된 경우 지체 없이 관련 감독 기관에 보고
・최소 권한 원칙에 따라 데이터 접근 및 처리 권한 설정 및 주기적 검토를 실시하고 데이터 보안 교육 및 훈련 실시
— 회계법인의 감사 작업 문서는 중국 내에 보관해야 하며 감사 계약에서 해외 규제 기관에 데이터를 제공한다는 내용을 포함하지 말아야 함
・감사 작업 서류와 관련 암호화 장비는 중국 내에 저장해야 하고 운영 및 유지 관리를 담당하며, 암호 키 역시 중국 내 저장
・중국 내에서 수집하거나 생성된 개인 정보 및 중요 데이터를 해외 다른 국가에 제공하는 경우, 국가 데이터 해외 이전 관리 규정을 준수
・감사 문서의 해외 제공과 관련하여 단계별 검토 체계를 마련하고, 다른 국가에 제공해야 하는 감사 문서에 대해서는 국가 관련 규정에 따라 승인 절차를 진행
・또한 회계법인의 업무 약정서 또는 유사한 계약에 해외 규제 기관에 국내 프로젝트 자료 데이터를 제공한다는 내용을 포함하는 것을 금지
— 회계법인은 네트워크 보안을 위한 체계적인 시스템을 구축하고 기술적 보호 및 접근을 제어함으로써 네트워크를 관리
・네트워크 보안 관리 시스템을 체계적으로 구축하고, 내부 관리, 실행 및 감독 메커니즘을 구축
・업무 활동의 규모와 복잡성에 따라 적합한 전문 기술 수준을 갖춘 네트워크 관리 기술 인력을 배치하고, 합리적인 네트워크 자원 및 자금 투입 보장
・정보 시스템의 보안 관리와 기술적 보호를 철저히 하고 저장 및 처리되는 데이터의 등급에 따라 적절한 네트워크 분리 조치를 취하고, 접근 제어 정책을 엄격하게 설정하여 비정상적인 접근 행위를 방지
・감사 업무 시스템의 네트워크 장비 및 네트워크 보안 장비에 대한 자율 관리 권한을 확보해야 하며, 시스템 관리자 계정과 직원 계정을 통합적으로 설정 및 유지 관리
・무제한적이고 모니터링되지 않는 관리자 계정을 설정하거나 관리자 계정을 제3자 운영 기관에 양도하여 관리 및 사용하는 것을 금지
・국제 네트워크에 가입한 회계법인이 해당 국제 네트워크의 정보 시스템을 사용할 경우, 국가 데이터 보안 법률 및 이 규정을 준수하도록 필요한 조치를 취해 데이터 보안을 확보
— 회계법인은 국가 기관의 법적 데이터 보안 감독 검사에 협조해야 하며 규정을 위반한 경우 관련 법률에 따라 처벌
・재정부는 국가 기관과 협력하여 회계법인의 데이터 보안 감독 정보 공유를 강화하고 회계법인의 데이터 보안 상황에 대한 감독 및 검사를 실시할 책임
・회계법인은 규정에 따라 실시되는 데이터 보안 감독 및 검사에 협조해야 하며, 회계법인의 데이터 처리 활동이 국가 안전에 영향을 미치는 경우 보안 심사 진행

□ 중국 당국의 새로운 규제 시행은 핵심 기업 및 대형 플랫폼 기업들의 민감한 정보를 보호하려는 목적
— 중국 회계법인의 국제적 제휴가 증가함에 따라 자국 감사문서 보호의 필요성도 증대
・중국 내 35개의 회계법인 중 28개 회계법인이 국제회계 네트워크와 관계가 있어 업계의 대외 교류 및 협력 범위가 확대되면서 더욱 긴밀해지고 있어 자국 감사문서의 보호가 필요한 상황2)
— 이번 조치는 중국 기업의 데이터 보안 및 국가 안보 보호를 강화하기 위한 정책의 일환으로 회계법인의 데이터 보안 관리에 대한 명확한 지침을 제공하고, 데이터 보안 관리를 강화하며, 업계의 건전한 발전을 촉진하는 것을 목표3)
・회계 관련 국가 네트워크 및 데이터 보안 관리 규정을 개선하고 회계법인의 데이터 보안 및 관리 체계를 확립하고 이를 바탕으로 회계 업계의 데이터 보안 관리 제도화 및 표준화를 추진
・또한 회계감사 기본 시스템 구축을 가속화할 필요성을 강조하며 회계 업계 및 관련 시스템 규정을 개선하여 디지털 경제의 발전 추세에 부응
・재무 및 회계 감독에 대한 관련 요구 사항을 구현하여 수평적 조정 및 수직적 연결을 통해 회계 업계 데이터 보안 감독 메커니즘을 구축하고, 재무 및 사이버 담당 기관, 국가 보안 기관 등 각 책임을 명확히 하며 효과적인 연결을 보장하여 감독 체계 확립

□ 중국은 최근 몇 년 동안 국가적으로 데이터 보호를 강화하기 위해 다양한 제도를 마련하여 대응해 옴
— 중국의 데이터 보호 규제 강화는 사이버 보안법 마련 후 꾸준히 진행되고 있는 가운데, 미국과의 갈등은 데이터 보호를 국가 안보와 연결하여 더욱 강화하게 된 계기
・2020년 데이터 저장 및 전송, 처리에 관한 사이버 보안법을 시행했고 2021년에는 기업 데이터를 중요도에 따라 분류하도록 요구하고 국경 간 전송을 제한하는 내용의 데이터 보안법과 개인정보보호법을 시행
・특히 미국이 2020년 외국기업책임법(HFCAA)을 근거로 미국에 상장된 중국 기업의 감사 투명성 강화를 위해 기업 데이터 제공을 요구하자 중국은 데이터 유출과 국가 기밀 보호를 이유로 반발하며 미중 갈등의 심화는 데이터 보호를 더욱 강화하는 계기
— 하지만 2022년에는 중국과 미국이 감사 감독 협력 협약을 통해 중국 기업에 대한 미국 감독당국의 감리가 가능하도록 합의4)
・미국 PCAOB가 조사 및 감사 대상 기업을 선정하여 재량권을 갖고 감리를 실행할 수 있고 감사 작업 서류를 볼 수 있으며 정보를 보관할 수 있고 감사와 관련된 모든 직원을 직접 인터뷰하고 증언을 들을 수 있는 권한을 갖는 것에 합의
— 하지만 이와 같은 합의 이후에도 이후에도 중국의 감사 자료 제공은 당국의 관여하에 제한적인 가운데,5) 꾸준히 자국 기업의 데이터 보호를 강화하는 기조를 이어감
— 2023년에는 중국 증권감독관리위원회(CSRC)가 상장기업의 기업 자료 보안 책임을 명확히 하는 ‘국내 기업의 해외 상장 관련 보안 및 기록 관리 업무 강화 규정’을 개정6)
・상장기업의 기밀유지책임과 회계 기록 관리 요건을 명확히 하고 중국 기업의 해외 상장과 관련된 업무 문서를 국내에 보관하고 해외로 반출하는 경우 승인을 받아야 함
— 또한 지난 9월에는 재무부가 외국 회계법인의 중국 내 사업 활동 관리를 위한 규정 초안을 발표7)
・2019년 가이드라인에 명시된 규제 프레임워크를 강화하여 외국 회계기관에 대한 감독 강화를 위한 것으로 외국 회계법인은 중국에서 사업을 영위하는 동안 중국의 법률과 규정을 준수해야 한다는 내용

□ 이번 조치 역시 미국과의 갈등이 지속되고 있는 가운데 이루어진 것으로 중국 정부의 데이터 보호를 위한 강력한 의지를 반영한 한편, 다국적 기업의 운영과 중국 기업의 해외 진출에 영향이 있을 것으로 예상
— 미국과 중국의 경제적, 기술 경쟁 등 갈등이 지속되고 있으며, 미국의 중국 기업에 대한 회계감독도 최근 몇 년 점점 더 적극적인 추세
・시행된 새로운 규정은 중국 내 회계법인이 감사한 감사 자료 반출에 관한 규정으로 특히, 미국 증시에 상장된 중국 기업들의 감사 자료 전송이 이번 규제의 주요 타겟 중 하나로 분석
・PCAOB는 2023년 미국에 상장된 중국 기업의 약 40%를 감사하고 있는 중국 KPMG Huazhen과 홍콩 PwC에 대한 감리를 실시하여 감사 업무에서 상당한 결함을 발견하고 벌금을 부과
— 이번 회계법인 데이터 보안 관리 임시 조치는 중국 기업의 데이터 보호를 위한 강력한 의지를 반영한 것으로 판단되지만 다국적기업의 데이터 전송 및 중국 기업의 해외 진출 등에 영향을 미칠 것으로 예상
・중국은 회계법인의 데이터 처리 활동, 특히 작업 감사 문서의 국경 간 전송을 규제하고 데이터 보안 관리를 강화하고자 함
・하지만 이번 데이터 보안 조치는 해외 데이터 전송 제한으로 인해 다국적 기업이 불편을 겪을 수 있고 중국 기업의 해외 진출이나 해외 자본 유치에도 부정적인 영향을 미칠 수 있음

---

1) 会计师事务所数据安全管理暂行办法
2) STCN, 2024. 5. 13, 审计底稿要放境内！会计师事务所新规来了，事关数据安全.
3) CQKZ, 2024. 7. 25, 制定《会计师事务所数据安全管理暂行办法》的背景与意义是什么？; Global Times, 2024. 5. 11, China releases interim measures for data security management by accounting firms.
4) PCAOB, 2022. 8. 26, Fact sheet: China agreement.
5) 중국전문가포럼, 2022. 9. 8, [이슈트렌드] 미ㆍ중 회계감사 합의...中 기업 증시 퇴출 면해.
6) 关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定
7) Reuters, 2024. 9. 5, China issues draft rules for foreign accounting firms’ domestic operations.

전