<span id="v5000"><sup id="v5000"></sup></span>
  • <track id="v5000"><i id="v5000"></i></track>
  • <legend id="v5000"><li id="v5000"></li></legend>

  • <optgroup id="v5000"></optgroup>
  • 
    <strong id="v5000"></strong>
    1. 當前位置:首頁 > IIA資訊 > 詳情

      風險聚焦——2018內部審計熱點問題(專題一)

      2018-06-01 17:00:40


      前言

      2016年,法國、意大利和西班牙內部審計師協會聯合推出了題為《2017內部審計熱點問題》的調查報告。2017年,歐洲六個國家——法國、意大利、荷蘭、西班牙、瑞士和英國的內部審計師協會就內部審計應該關注的關鍵問題對本國主要組織的首席審計執行官(CAE)進行了調查,探討內部審計如何降低風險,保護并增加組織價值。

      此次調查內容深刻、針對性強。受訪者所在組織均在行業內處于領導地位,而且受訪組織覆蓋面廣,所涉行業有建筑/基礎設施、金融服務、信息技術、制造業、公共部門、零售業、電商和能源/公共事業。這些組織市值總合超過7240億歐元,總收入逾4410億歐元,在全球173個國家有186萬名員工。僅在金融服務領域,受訪CAE所在公司的市值就高達3250億歐元,營業額約2070億歐元。

      這些受訪CAE為調查提供了歐洲地區內部審計最先進的知識和洞見,調查報告內容涵蓋了CAE們在制定2018審計計劃以及長期風險評估時十分重視的風險領域,其中包括數據保護、網絡安全、監管環境、科技創新、政治波動、廠商風險、企業文化和人事管理等內容,為內部審計從業人員、審計委員會和其他利益相關者提供了寶貴的資源。中國內部審計協會為了幫助國內的內部審計從業人員增強對國際內部審計職業發展環境的了解,特將報告編譯為專題,分期進行分享。

       

      熱點問題一:《通用數據保護條例》(GDPR)和數據保護帶來的挑戰

      歐盟議會于2016年4月通過了《通用數據保護條例》(GDPR),取代了之前的《數據保護指令》(DPD),旨在保護歐盟公民免受隱私和數據泄露的影響,并對組織處理隱私和數據保護方面的工作方式提出了全新的要求。

      GDPR雖已被納入合規以及其他有關網絡安全問題的范疇,但內部審計仍然需要特別關注GDPR帶來的相關問題。原因在于,首先,當今社會個人信息滲透程度極高,所有具有一定規模的組織都持有大量客戶和員工的信息,因此組織遵循GDPR監管要求的難度很大;其次, GDPR正式生效時間為2018年5月25日,時間非常緊迫,組織合規工作不容懈怠;此外,GDPR對信息泄露的懲罰相當嚴苛,罰金將上漲至組織收入的4%,或是2000萬歐元。這些因素使得歐盟范圍內的所有組織感到壓力倍增。

      一項涉及全球900位企業決策者的調查顯示,僅有31%的組織決策者認為所在組織能夠遵循GDPR的要求,但分析顯示其中只有2%的組織真正做到了這一點。由于違規將伴隨巨額的經濟處罰,想要達到合規標準,組織還有很多問題亟待解決,因此董事會更應該將合規問題作為工作重點,充分發揮內部審計的重要作用,在GDPR生效之前完成組織的合規工作。

      GDPR要求公司(數據的控制者)加固防火墻和其他加密技術,做好充分的防護準備;一旦發生個人數據泄露事件(包括數據處理者這樣的第三方發生數據泄露),公司必須在72小時之內向監管部門報告。這就要求公司在與供應商簽訂合同時,添加有關數據保護和治理措施的條款。

      但GDPR的監管范圍不僅僅局限于網絡安全,它一方面關注如何保護個人數據免受攻擊和泄露,另一方面也關注組織對數據的收集、存儲、使用和披露。它不僅為規范數據收集行為設立了更高的標準,要求組織在收集個人信息前取得信息所有者的明確許可,還進一步拓寬了對個人數據的定義,將一些可能出現的網絡標識符納入其中(如IP地址)。除此以外,治理也是GDPR重點關注的對象。組織需要在研發新產品的同時,有意識地保護組織每一位員工的個人數據安全;擁有250名以上員工的公司還需要記錄所有處理個人數據的活動,同時指定一位數據保護官(DPO),負責向CEO及其他高級管理層報告數據管理情況。最后,GDPR的適用范圍也是組織一項關鍵問題。GDPR不僅適用于歐盟地區的組織,也適用于歐盟以外對歐盟數據主體提供產品和服務或是進行監督的組織和機構。只有目的國實行的數據保護規定和GDPR保持統一標準,雙方才可以實現數據交互。

      以中國為例,2017年6月中國開始施行《中華人民共和國網絡安全法》(CSL),這項法律同歐盟的GDPR和網絡與信息安全(NIS)指令有異曲同工之效。CSL和GDPR都對數據收集做出了嚴格的規定,要求在對數據進行收集之前取得用戶的許可,保護數據安全,防范數據泄露。特別是為跨國公司中公共事業企業和銀行這類關鍵信息基礎設施的運營者帶來了巨大的挑戰,CLS要求這類組織將在中國境內收集到的個人信息存儲在中國,這就需要上述組織將存儲在海外服務器的相關數據轉移到中國境內。確需向境外提供數據的,應當向監管機構進行報備。

      GDPR于2018年生效,組織需要高度重視數據保密問題,不僅需要保證數據安全,也要對數據的處理、所有權和用途等方面進行管理。新條例的誕生有利于強化組織對數據安全問題的重視,不斷完善和提高組織數據安全性。

      對于內部審計部門而言,由于組織的法律和IT部門已經開始著手處理GDPR相關的合規問題,因此內部審計部門可以采取對合規行為進行自上而下的風險評估的方式為組織提供確認,通過分析組織現有的控制措施距離條例的要求還存在哪些差距,確定需要改善的關鍵領域,并對新的控制措施和流程提供咨詢服務。

      本文編譯自歐洲六國內部審計師協會共同出版的《風險聚焦——2018內部審計熱點問題》,詳情請參考:https://global.theiia.org/knowledge/Public%20Documents/Risk-in-Focus-Hot-Topics-2018.pdf 未經授權,不得轉載或用于商業性和盈利性用途。


      微信公眾號

      中國內部審計協會
      微信公眾號

      頂部
      網站投稿
      官方第一福利导航