您好! [免费注册] | 热线:4008-000-428 | 收藏本站
热门搜索:内部审计 审计 协会

行业新闻

风险聚焦——2018内部审计热点问题(专题一)

文章来源:中内协网站 发布时间:2019年04月23日 点击数: 字体:

前言
 
2016年,法国、意大利和西班牙内部审计师协会联合推出了题为《2017内部审计热点问题》的调查报告。2017年,欧洲六个国家——法国、意大利、荷兰、西班牙、瑞士和英国的内部审计师协会就内部审计应该关注的关键问题对本国主要组织的首席审计执行官(CAE)进行了调查,探讨内部审计如何降低风险,保护并增加组织价值。
 
此次调查内容深刻、针对性强。受访者所在组织均在行业内处于领导地位,而且受访组织覆盖面广,所涉行业有建筑/基础设施、金融服务、信息技术、制造业、公共部门、零售业、电商和能源/公共事业。这些组织市值总合超过7240亿欧元,总收入逾4410亿欧元,在全球173个国家有186万名员工。仅在金融服务领域,受访CAE所在公司的市值就高达3250亿欧元,营业额约2070亿欧元。
 
这些受访CAE为调查提供了欧洲地区内部审计最先进的知识和洞见,调查报告内容涵盖了CAE们在制定2018审计计划以及长期风险评估时十分重视的风险领域,其中包括数据保护、网络安全、监管环境、科技创新、政治波动、厂商风险、企业文化和人事管理等内容,为内部审计从业人员、审计委员会和其他利益相关者提供了宝贵的资源。中国内部审计协会为了帮助国内的内部审计从业人员增强对国际内部审计职业发展环境的了解,特将报告编译为专题,分期进行分享。
 
 
 
热点问题一:《通用数据保护条例》(GDPR)和数据保护带来的挑战
 
欧盟议会于2016年4月通过了《通用数据保护条例》(GDPR),取代了之前的《数据保护指令》(DPD),旨在保护欧盟公民免受隐私和数据泄露的影响,并对组织处理隐私和数据保护方面的工作方式提出了全新的要求。
 
GDPR虽已被纳入合规以及其他有关网络安全问题的范畴,但内部审计仍然需要特别关注GDPR带来的相关问题。原因在于,首先,当今社会个人信息渗透程度极高,所有具有一定规模的组织都持有大量客户和员工的信息,因此组织遵循GDPR监管要求的难度很大;其次, GDPR正式生效时间为2018年5月25日,时间非常紧迫,组织合规工作不容懈怠;此外,GDPR对信息泄露的惩罚相当严苛,罚金将上涨至组织收入的4%,或是2000万欧元。这些因素使得欧盟范围内的所有组织感到压力倍增。
 
一项涉及全球900位企业决策者的调查显示,仅有31%的组织决策者认为所在组织能够遵循GDPR的要求,但分析显示其中只有2%的组织真正做到了这一点。由于违规将伴随巨额的经济处罚,想要达到合规标准,组织还有很多问题亟待解决,因此董事会更应该将合规问题作为工作重点,充分发挥内部审计的重要作用,在GDPR生效之前完成组织的合规工作。
 
GDPR要求公司(数据的控制者)加固防火墙和其他加密技术,做好充分的防护准备;一旦发生个人数据泄露事件(包括数据处理者这样的第三方发生数据泄露),公司必须在72小时之内向监管部门报告。这就要求公司在与供应商签订合同时,添加有关数据保护和治理措施的条款。
 
但GDPR的监管范围不仅仅局限于网络安全,它一方面关注如何保护个人数据免受攻击和泄露,另一方面也关注组织对数据的收集、存储、使用和披露。它不仅为规范数据收集行为设立了更高的标准,要求组织在收集个人信息前取得信息所有者的明确许可,还进一步拓宽了对个人数据的定义,将一些可能出现的网络标识符纳入其中(如IP地址)。除此以外,治理也是GDPR重点关注的对象。组织需要在研发新产品的同时,有意识地保护组织每一位员工的个人数据安全;拥有250名以上员工的公司还需要记录所有处理个人数据的活动,同时指定一位数据保护官(DPO),负责向CEO及其他高级管理层报告数据管理情况。最后,GDPR的适用范围也是组织一项关键问题。GDPR不仅适用于欧盟地区的组织,也适用于欧盟以外对欧盟数据主体提供产品和服务或是进行监督的组织和机构。只有目的国实行的数据保护规定和GDPR保持统一标准,双方才可以实现数据交互。
 
以中国为例,2017年6月中国开始施行《中华人民共和国网络安全法》(CSL),这项法律同欧盟的GDPR和网络与信息安全(NIS)指令有异曲同工之效。CSL和GDPR都对数据收集做出了严格的规定,要求在对数据进行收集之前取得用户的许可,保护数据安全,防范数据泄露。特别是为跨国公司中公共事业企业和银行这类关键信息基础设施的运营者带来了巨大的挑战,CLS要求这类组织将在中国境内收集到的个人信息存储在中国,这就需要上述组织将存储在海外服务器的相关数据转移到中国境内。确需向境外提供数据的,应当向监管机构进行报备。
 
GDPR于2018年生效,组织需要高度重视数据保密问题,不仅需要保证数据安全,也要对数据的处理、所有权和用途等方面进行管理。新条例的诞生有利于强化组织对数据安全问题的重视,不断完善和提高组织数据安全性。
 
对于内部审计部门而言,由于组织的法律和IT部门已经开始着手处理GDPR相关的合规问题,因此内部审计部门可以采取对合规行为进行自上而下的风险评估的方式为组织提供确认,通过分析组织现有的控制措施距离条例的要求还存在哪些差距,确定需要改善的关键领域,并对新的控制措施和流程提供咨询服务。
 
本文编译自欧洲六国内部审计师协会共同出版的《风险聚焦——2018内部审计热点问题》,详情请参考:https://global.theiia.org/knowledge/Public%20Documents/Risk-in-Focus-Hot-Topics-2018.pdf
分享到:
上一篇:没有了!