当前位置:首页 > IIA资讯 > 详情

极速赛车单双 www.396my.cn 风险聚焦——2018内部审计热点问题(专题一)

2018-06-01 17:00:40


前言

2016年,法国、意大利和西班牙内部审计师协会联合推出了题为《2017内部审计热点问题》的调查报告。2017年,欧洲六个国家——法国、意大利、荷兰、西班牙、瑞士和英国的内部审计师协会就内部审计应该关注的关键问题对本国主要组织的首席审计执行官(CAE)进行了调查,探讨内部审计如何降低风险,?;げ⒃黾幼橹壑?。

此次调查内容深刻、针对性强。受访者所在组织均在行业内处于领导地位,而且受访组织覆盖面广,所涉行业有建筑/基础设施、金融服务、信息技术、制造业、公共部门、零售业、电商和能源/公共事业。这些组织市值总合超过7240亿欧元,总收入逾4410亿欧元,在全球173个国家有186万名员工。仅在金融服务领域,受访CAE所在公司的市值就高达3250亿欧元,营业额约2070亿欧元。

这些受访CAE为调查提供了欧洲地区内部审计最先进的知识和洞见,调查报告内容涵盖了CAE们在制定2018审计计划以及长期风险评估时十分重视的风险领域,其中包括数据?;?、网络安全、监管环境、科技创新、政治波动、厂商风险、企业文化和人事管理等内容,为内部审计从业人员、审计委员会和其他利益相关者提供了宝贵的资源。中国内部审计协会为了帮助国内的内部审计从业人员增强对国际内部审计职业发展环境的了解,特将报告编译为专题,分期进行分享。

 

热点问题一:《通用数据?;ぬ趵罚℅DPR)和数据?;ご吹奶粽?/span>

欧盟议会于2016年4月通过了《通用数据?;ぬ趵罚℅DPR),取代了之前的《数据?;ぶ噶睢罚―PD),旨在?;づ访斯衩馐芤胶褪菪孤兜挠跋?,并对组织处理隐私和数据?;し矫娴墓ぷ鞣绞教岢隽巳碌囊?。

GDPR虽已被纳入合规以及其他有关网络安全问题的范畴,但内部审计仍然需要特别关注GDPR带来的相关问题。原因在于,首先,当今社会个人信息渗透程度极高,所有具有一定规模的组织都持有大量客户和员工的信息,因此组织遵循GDPR监管要求的难度很大;其次, GDPR正式生效时间为2018年5月25日,时间非常紧迫,组织合规工作不容懈??;此外,GDPR对信息泄露的惩罚相当严苛,罚金将上涨至组织收入的4%,或是2000万欧元。这些因素使得欧盟范围内的所有组织感到压力倍增。

一项涉及全球900位企业决策者的调查显示,仅有31%的组织决策者认为所在组织能够遵循GDPR的要求,但分析显示其中只有2%的组织真正做到了这一点。由于违规将伴随巨额的经济处罚,想要达到合规标准,组织还有很多问题亟待解决,因此董事会更应该将合规问题作为工作重点,充分发挥内部审计的重要作用,在GDPR生效之前完成组织的合规工作。

GDPR要求公司(数据的控制者)加固防火墙和其他加密技术,做好充分的防护准备;一旦发生个人数据泄露事件(包括数据处理者这样的第三方发生数据泄露),公司必须在72小时之内向监管部门报告。这就要求公司在与供应商签订合同时,添加有关数据?;ず椭卫泶胧┑奶蹩?。

但GDPR的监管范围不仅仅局限于网络安全,它一方面关注如何?;じ鋈耸菝馐芄セ骱托孤?,另一方面也关注组织对数据的收集、存储、使用和披露。它不仅为规范数据收集行为设立了更高的标准,要求组织在收集个人信息前取得信息所有者的明确许可,还进一步拓宽了对个人数据的定义,将一些可能出现的网络标识符纳入其中(如IP地址)。除此以外,治理也是GDPR重点关注的对象。组织需要在研发新产品的同时,有意识地?;ぷ橹恳晃辉惫さ母鋈耸莅踩?;拥有250名以上员工的公司还需要记录所有处理个人数据的活动,同时指定一位数据?;す伲―PO),负责向CEO及其他高级管理层报告数据管理情况。最后,GDPR的适用范围也是组织一项关键问题。GDPR不仅适用于欧盟地区的组织,也适用于欧盟以外对欧盟数据主体提供产品和服务或是进行监督的组织和机构。只有目的国实行的数据?;す娑ê虶DPR保持统一标准,双方才可以实现数据交互。

以中国为例,2017年6月中国开始施行《中华人民共和国网络安全法》(CSL),这项法律同欧盟的GDPR和网络与信息安全(NIS)指令有异曲同工之效。CSL和GDPR都对数据收集做出了严格的规定,要求在对数据进行收集之前取得用户的许可,?;な莅踩?,防范数据泄露。特别是为跨国公司中公共事业企业和银行这类关键信息基础设施的运营者带来了巨大的挑战,CLS要求这类组织将在中国境内收集到的个人信息存储在中国,这就需要上述组织将存储在海外服务器的相关数据转移到中国境内。确需向境外提供数据的,应当向监管机构进行报备。

GDPR于2018年生效,组织需要高度重视数据保密问题,不仅需要保证数据安全,也要对数据的处理、所有权和用途等方面进行管理。新条例的诞生有利于强化组织对数据安全问题的重视,不断完善和提高组织数据安全性。

对于内部审计部门而言,由于组织的法律和IT部门已经开始着手处理GDPR相关的合规问题,因此内部审计部门可以采取对合规行为进行自上而下的风险评估的方式为组织提供确认,通过分析组织现有的控制措施距离条例的要求还存在哪些差距,确定需要改善的关键领域,并对新的控制措施和流程提供咨询服务。

本文编译自欧洲六国内部审计师协会共同出版的《风险聚焦——2018内部审计热点问题》,详情请参考:https://global.theiia.org/knowledge/Public%20Documents/Risk-in-Focus-Hot-Topics-2018.pdf 未经授权,不得转载或用于商业性和盈利性用途。


没有了 后一篇
微信公众号

中国内部审计协会
微信公众号

极速赛车单双
网站投稿
  • 上海医疗机构携手日喀则人民医院造福藏地民众 2019-02-23
  • 【萍乡天气】最新萍乡今天天气,实时提供萍乡气温、空气质量、24小时天气预报、生活指数查询 2019-02-23
  • 端午小长假昌吉市将启动百日文化旅游活动 2019-02-23
  • 国家人社部“支持鄱阳湖生态经济区建设专家服务上饶行”活动启动 雷平出席活动并致辞 2019-02-23
  • 一种酵母菌会“投硬币”随机决定基因表达 2019-02-22
  • 5月份70个大中城市商品住宅销售情况:一线城市商品房价格同比持续下降 2019-02-22
  • 打房主分房子,而必逼成! 2019-02-22
  • 牵手中东,日照谱写“开放活市”新篇章 2019-02-21
  • 远离医院和药物:法国建立第一个阿尔兹海默村 2019-02-21
  • 用青春书写智能码头奇迹——记振华重工洋山港项目团队 2019-02-20
  • 张靓颖晒短发照少女感爆棚 女星长短发造型大PK 2019-02-20
  • 紫光阁中共中央国家机关工作委员会 2019-02-20
  • 2018暑假欧洲亲子游适合去哪?适合暑假旅游的欧洲国家推荐 2019-02-20
  • 浙江宁波:全国失信被执行人将面临联合信用惩戒 2019-02-19
  • 工信部:523家企业纳入电信业务经营不良名单 2019-02-19
  • 717| 797| 160| 161| 985| 320| 101| 369| 68| 490|