人們常說，一個好的審計師是一個很好的溝通者，在處理較小的組織時尤其如此。

中小型企業(yè)往往沒有能力在每個角色上雇用專家，而是依靠在組織中扮演許多角色的通才。

除非中小企業(yè)的業(yè)務是數(shù)據(jù)處理或屬于需要數(shù)據(jù)保護主任(DPO)的其他類別，否則我們很可能會與財務主管、IT經(jīng)理或人力資源經(jīng)理討論數(shù)據(jù)保護的問題。

ISACA為中小企業(yè)制定的新的GDPR審計計劃并沒有考慮到專業(yè)的IT審核員，而是被審核方。因此，它的語言從企業(yè)版本中得到了簡化。

在與中小企業(yè)打交道時，我發(fā)現(xiàn)的最大問題之一是確保我的談話和問題都是針對聽眾設計的，而且沒有術語。只有調整敘述以適應受眾，我們才能希望交付一個增值的審計產品。這對于中小企業(yè)領域的GDPR尤其重要。事實上，許多中小企業(yè)仍然沒有完全接受GDPR的核心主題——它完全是關于數(shù)據(jù)主題，而不是組織。

在審計中小企業(yè)時，教育和合規(guī)同樣重要。GDPR是關于如何遵循關于良好數(shù)據(jù)治理的一些基本規(guī)則，例如確保數(shù)據(jù)質量，可以為中小企業(yè)增加價值，而不僅僅是成本。作為審核員，我們可以幫助業(yè)主和經(jīng)理接受這樣一個概念，即我們在合規(guī)報告的基礎上增加價值。

同樣重要的是要意識到，許多中小企業(yè)在進行GDPR之前不會得到最好的建議。許多人會搜索互聯(lián)網(wǎng)，與其他企業(yè)所有者交談，或者至多參加一兩次研討會——或者更糟的是，被吸引到花錢購買通用的、不適合他們企業(yè)的軟件解決方案上。

在有經(jīng)驗的審核員的手中，審計程序應盡可能多地用于幫助制定補救計劃，以達成審計意見。畢竟，審計的目的是驗證為管理風險和同意風險處理計劃而實施的控制。

2018年11月第二季度的一項調查顯示，41%的中小企業(yè)仍然不確定有關gpr的規(guī)章制度。此外，22%的受訪者表示，新興的網(wǎng)絡風險是他們最頭疼的問題，這為審計人員提供了一個機會，利用該項目為中小企業(yè)客戶提供真正的指導。

組織及其審計人員對以前的《數(shù)據(jù)保護法》的主要問題之一是，它主要被視為一個需要用技術解決的it問題。遵守GDPR是關于管理信息風險的，需要考慮三個風險:人員、流程和技術。必須跨組織的所有方面考慮這些風險。

注：作者Steven Connors   編譯：牧荑