人们常说,一个好的审计师是一个很好的沟通者,在处理较小的组织时尤其如此。
中小型企业往往没有能力在每个角色上雇用专家,而是依靠在组织中扮演许多角色的通才。
除非中小企业的业务是数据处理或属于需要数据保护主任(DPO)的其他类别,否则我们很可能会与财务主管、IT经理或人力资源经理讨论数据保护的问题。
ISACA为中小企业制定的新的GDPR审计计划并没有考虑到专业的IT审核员,而是被审核方。因此,它的语言从企业版本中得到了简化。
在与中小企业打交道时,我发现的最大问题之一是确保我的谈话和问题都是针对听众设计的,而且没有术语。只有调整叙述以适应受众,我们才能希望交付一个增值的审计产品。这对于中小企业领域的GDPR尤其重要。事实上,许多中小企业仍然没有完全接受GDPR的核心主题——它完全是关于数据主题,而不是组织。
在审计中小企业时,教育和合规同样重要。GDPR是关于如何遵循关于良好数据治理的一些基本规则,例如确保数据质量,可以为中小企业增加价值,而不仅仅是成本。作为审核员,我们可以帮助业主和经理接受这样一个概念,即我们在合规报告的基础上增加价值。
同样重要的是要意识到,许多中小企业在进行GDPR之前不会得到最好的建议。许多人会搜索互联网,与其他企业所有者交谈,或者至多参加一两次研讨会——或者更糟的是,被吸引到花钱购买通用的、不适合他们企业的软件解决方案上。
在有经验的审核员的手中,审计程序应尽可能多地用于帮助制定补救计划,以达成审计意见。毕竟,审计的目的是验证为管理风险和同意风险处理计划而实施的控制。
2018年11月第二季度的一项调查显示,41%的中小企业仍然不确定有关gpr的规章制度。此外,22%的受访者表示,新兴的网络风险是他们最头疼的问题,这为审计人员提供了一个机会,利用该项目为中小企业客户提供真正的指导。
组织及其审计人员对以前的《数据保护法》的主要问题之一是,它主要被视为一个需要用技术解决的it问题。遵守GDPR是关于管理信息风险的,需要考虑三个风险:人员、流程和技术。必须跨组织的所有方面考虑这些风险。
注:作者Steven Connors 编译:牧荑