人們常說(shuō)，一個(gè)好的審計(jì)師是一個(gè)很好的溝通者，在處理較小的組織時(shí)尤其如此。

中小型企業(yè)往往沒有能力在每個(gè)角色上雇用專家，而是依靠在組織中扮演許多角色的通才。

除非中小企業(yè)的業(yè)務(wù)是數(shù)據(jù)處理或?qū)儆谛枰獢?shù)據(jù)保護(hù)主任(DPO)的其他類別，否則我們很可能會(huì)與財(cái)務(wù)主管、IT經(jīng)理或人力資源經(jīng)理討論數(shù)據(jù)保護(hù)的問題。

ISACA為中小企業(yè)制定的新的GDPR審計(jì)計(jì)劃并沒有考慮到專業(yè)的IT審核員，而是被審核方。因此，它的語(yǔ)言從企業(yè)版本中得到了簡(jiǎn)化。

在與中小企業(yè)打交道時(shí)，我發(fā)現(xiàn)的最大問題之一是確保我的談話和問題都是針對(duì)聽眾設(shè)計(jì)的，而且沒有術(shù)語(yǔ)。只有調(diào)整敘述以適應(yīng)受眾，我們才能希望交付一個(gè)增值的審計(jì)產(chǎn)品。這對(duì)于中小企業(yè)領(lǐng)域的GDPR尤其重要。事實(shí)上，許多中小企業(yè)仍然沒有完全接受GDPR的核心主題——它完全是關(guān)于數(shù)據(jù)主題，而不是組織。

在審計(jì)中小企業(yè)時(shí)，教育和合規(guī)同樣重要。GDPR是關(guān)于如何遵循關(guān)于良好數(shù)據(jù)治理的一些基本規(guī)則，例如確保數(shù)據(jù)質(zhì)量，可以為中小企業(yè)增加價(jià)值，而不僅僅是成本。作為審核員，我們可以幫助業(yè)主和經(jīng)理接受這樣一個(gè)概念，即我們?cè)诤弦?guī)報(bào)告的基礎(chǔ)上增加價(jià)值。

同樣重要的是要意識(shí)到，許多中小企業(yè)在進(jìn)行GDPR之前不會(huì)得到最好的建議。許多人會(huì)搜索互聯(lián)網(wǎng)，與其他企業(yè)所有者交談，或者至多參加一兩次研討會(huì)——或者更糟的是，被吸引到花錢購(gòu)買通用的、不適合他們企業(yè)的軟件解決方案上。

在有經(jīng)驗(yàn)的審核員的手中，審計(jì)程序應(yīng)盡可能多地用于幫助制定補(bǔ)救計(jì)劃，以達(dá)成審計(jì)意見。畢竟，審計(jì)的目的是驗(yàn)證為管理風(fēng)險(xiǎn)和同意風(fēng)險(xiǎn)處理計(jì)劃而實(shí)施的控制。

2018年11月第二季度的一項(xiàng)調(diào)查顯示，41%的中小企業(yè)仍然不確定有關(guān)gpr的規(guī)章制度。此外，22%的受訪者表示，新興的網(wǎng)絡(luò)風(fēng)險(xiǎn)是他們最頭疼的問題，這為審計(jì)人員提供了一個(gè)機(jī)會(huì)，利用該項(xiàng)目為中小企業(yè)客戶提供真正的指導(dǎo)。

組織及其審計(jì)人員對(duì)以前的《數(shù)據(jù)保護(hù)法》的主要問題之一是，它主要被視為一個(gè)需要用技術(shù)解決的it問題。遵守GDPR是關(guān)于管理信息風(fēng)險(xiǎn)的，需要考慮三個(gè)風(fēng)險(xiǎn):人員、流程和技術(shù)。必須跨組織的所有方面考慮這些風(fēng)險(xiǎn)。

注：作者Steven Connors   編譯：牧荑