内部审计的新挑战:隐私风险的内部审计,本文主要内容关键词为:内部审计论文,隐私论文,风险论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、隐私风险内部审计的由来
当今,许多企业在风险管理方面面临一个极具挑战性的问题,即如何保护客户和雇员的隐私。作为消费者,要关注企业和组织如何使用并且保护这些信息;作为企业的所有者或管理者,要符合客户和雇员的期望与需要,遵守任何以隐私政策或布告的形式形成的承诺,遵守适用于数据隐私和安全的法律和规则。如今,隐私保护已是一个全球的议题。大多数企业都认识到良好的隐私控制的重要性。良好的隐私控制,可以保护企业的公众形象和商誉,保护组织中客户和雇员有价值的数据,并能在市场中获得竞争优势。遵从适用隐私法规,可以提高企业可信度和商誉。然而,维持良好的隐私控制是一个挑战。技术的革新使个人数据如大多数数据库一样大量地被收集、使用、披露、保持和破坏。当数据被储存后,如何保护、如何安全处理,组织是很难识别的。而且,隐私项目的责任和义务不易清楚地区分,常会导致不一致和不确定。
正是由于个人隐私的重要性和控制风险的艰难性,国际内部审计师协会(ⅡA)于2006年6月发布了全球审计技术指南5(GTAG5):管理和审计隐私风险,帮助组织的内部审计人员理解个人隐私的审计风险。这个指南首先明确了隐私的定义,帮助读者理解隐私在不同法律框架下的含义,分清什么是隐私风险、什么不是隐私风险,解决了隐私风险难以辨别的问题,并提出了隐私审计的风险确定和处理框架,指导隐私审计的计划和执行。
二、隐私的定义
隐私具有多种含义。在大多数国家,隐私长期以来被视为一项基本人权,指不想被他人注意或免于被观察或监视的权利,也可以是不受侵扰或一国闭关锁国的权利。隐私被定义为“有权不被打扰”,通常包括通信隐私和资料隐私。(华伦、布兰代,1890)在不同国家的文化、政治环境和法律框架下,经营环境不同,隐私的定义也有所不同。许多国家将隐私与数据保护密切联系。隐私的定义不同(见图1),划分隐私的界限和控制的措施也不同。只有明确了隐私的定义,企业才能确定所拥有的信息是否属于隐私,是否需要给予保护和风险防范,并且针对不同的隐私风险,提出相应的防范措施。因此,隐私的定义常被企业用于指导隐私项目的建立。在业务方面,隐私往往是指个体自身和能力的资料,包括:知道如何处理个人信息、控制收集的资料、控制信息的使用、控制获取信息的人员以及修改、改正和删除这些资料。
三、隐私风险及其内部审计
隐私对于企业和非营利组织,是一个风险管理问题。失败的个人信息管理,会给组织带来一定风险,可能损害组织的公众形象和品牌、带来潜在的金融或投资损失。因此,公司的高层需对组织所面临的隐私风险提供足够的治理和监督,首席审计执行官应该鼓励行政机关将工作重心放在如何解决组织管理、控制和保护客户、员工与审计委员会的个人信息方面。GTAG5指出,组织有效实施的隐私方案的关键是隐私治理和问责制、隐私声明、书面政策及程序、控制和过程、角色和责任、培训和教育员工、监督和审计、信息安全实务、事件反馈计划、隐私法律和法规以及应对检测问题并采取纠正行动的计划。正如ⅡA的电子系统保证和电子系统控制模块(eSAC)和咨询报告在隐私方面所说明的那样,隐私和个人数据的保护为审计人员提供了一个强制的平台,参与帮助组织从事隐私关系和风险。内部审计人员的一个主要作用就是对组织隐私控制提供一个独立的评价。ⅡA内部审计实务公告“内部审计在评价组织隐私框架中的作用”中,概述了内部审计活动与组织保密框架的联系。认为在当今的商务环境下隐私控制是法律界和商业需求的结果,它被政策普遍接受,并且相互促进。组织有责任建立一个合适的隐私控制框架,而内部审计的作用就是评价组织的隐私框架,通过建议帮助组织满足目标,从而促进良好的治理和问责制。当评价一个组织的隐私框架时,GTAG5指出,内部审计部门应考虑以下因素:(1)业务是在法律和规章管辖下进行的。(2)内部隐私政策和指导方针。(3)隐私政策符合客户和公众的要求。(4)向内部法律顾问了解将会有的法律影响。(5)向信息技术专家、业务流程业主了解将会有的信息安全的影响。(6)成熟的组织隐私控制。
图1 隐私定义
图2 隐私风险和行为矩阵
内部审计师可以履行的具体工作包括:(1)与法律顾问确定适用于该组织的隐私的法律、法规有哪些。(2)与信息技术管理和业务流程的所有者,评估信息安全和数据保护的管制是否适合,并定期检查。(3)提供隐私风险评估咨询,检查整个组织的隐私政策、实务和控制。(4)确定个人信息收集的类型、收集的方法,并且检查组织是否按照其预定用途使用这些资料。(5)检查管理数据流向及处理保障个人隐私信息的程序设计的各项政策、程序和指南,并把整个组织的重点放在确定潜在机会、规范的数据保护措施上。(6)对服务提供商的相互作用进行评估,包括审查程序和对组织中管理识别信息或敏感数据的提供者进行管制。(7)回顾现行实务方法和材料,开发隐私意识和培训资料的可获得性和必要性。(8)遵循有关的政策法规和最佳实务,编制数据流向分析应用程序及处理程序。
由此可以看到,在隐私控制上,内部审计师的定位为:在其组织中评估隐私框架,确定重大风险,并给予适当的建议来降低风险。其中风险评估是非常关键的,内部审计师主要从以下四个方面评价风险,制定审计计划。
1、法律和组织风险。遵守所适用的法律法规是隐私控制的基础。这需要精通法律法规的律师协助设计符合规定的保密程序,审查与第三方的合同,确保适当的隐私控制,并针对隐私披露事件展开咨询。
2、基础设施风险。信息安全的一个基本原则是提供保密、完整、有用的信息数据。隐私控制依赖信息安全,但并非所有信息安全涉及隐私。隐私审计需要审查重要的信息安全管制,即确定如何保护信息在组织中的流入和流出。
3、应用风险。确定隐私风险时,不仅要确定由谁使用信息,还要明确如何处理信息。计算机软件的应用可以大大提高速度和准确性,减少人为错误。但不幸的是,软件系统也有复杂性、缺陷性且意外行为时有发生,而且确切地评价软件功能是否适合企业发展也绝非易事。
4、业务流程风险。不管技术人员如何防范、加密,信息数据还是要用于其预定目标的。数据使用时,最重要的是进行数据分类。内部审计师如何处理关键隐私风险的具体操作,可以从GTAG5“隐私风险和行为矩阵”中得以了解(见图2)。
四、我国隐私风险审计的现状与启示
目前,我国企业对于隐私的把握还局限在电子商务中隐私的安全保护问题和隐私权的法律思考,鲜有涉及隐私风险管理与审计。随着经济信息化的发展,隐私风险的控制与管理必将成为以后内部审计的重点。而此时全球审计技术指南5(GTAG5)——管理和审计隐私风险的制定,为我国内部审计人员和管理者理解隐私的概念、确定隐私风险提供了借鉴的标准和指引,使其能在变化莫测的经济环境中提出正确的隐私风险评估框架。
标签:信息安全论文; 内部审计论文; 数据与信息论文; 审计软件论文; 审计计划论文; 审计方法论文; 审计目标论文; 新挑战论文; 法律论文;