中小企业的GDPR审计都是关于语言的

人们常说，一个好的审计师是一个很好的沟通者，在处理较小的组织时尤其如此。

中小型企业往往没有能力在每个角色上雇用专家，而是依靠在组织中扮演许多角色的通才。

除非中小企业的业务是数据处理或属于需要数据保护主任(DPO)的其他类别，否则我们很可能会与财务主管、IT经理或人力资源经理讨论数据保护的问题。

ISACA为中小企业制定的新的GDPR审计计划并没有考虑到专业的IT审核员，而是被审核方。因此，它的语言从企业版本中得到了简化。

在与中小企业打交道时，我发现的最大问题之一是确保我的谈话和问题都是针对听众设计的，而且没有术语。只有调整叙述以适应受众，我们才能希望交付一个增值的审计产品。这对于中小企业领域的GDPR尤其重要。事实上，许多中小企业仍然没有完全接受GDPR的核心主题——它完全是关于数据主题，而不是组织。

在审计中小企业时，教育和合规同样重要。GDPR是关于如何遵循关于良好数据治理的一些基本规则，例如确保数据质量，可以为中小企业增加价值，而不仅仅是成本。作为审核员，我们可以帮助业主和经理接受这样一个概念，即我们在合规报告的基础上增加价值。

同样重要的是要意识到，许多中小企业在进行GDPR之前不会得到最好的建议。许多人会搜索互联网，与其他企业所有者交谈，或者至多参加一两次研讨会——或者更糟的是，被吸引到花钱购买通用的、不适合他们企业的软件解决方案上。

在有经验的审核员的手中，审计程序应尽可能多地用于帮助制定补救计划，以达成审计意见。毕竟，审计的目的是验证为管理风险和同意风险处理计划而实施的控制。

2018年11月第二季度的一项调查显示，41%的中小企业仍然不确定有关gpr的规章制度。此外，22%的受访者表示，新兴的网络风险是他们最头疼的问题，这为审计人员提供了一个机会，利用该项目为中小企业客户提供真正的指导。

组织及其审计人员对以前的《数据保护法》的主要问题之一是，它主要被视为一个需要用技术解决的it问题。遵守GDPR是关于管理信息风险的，需要考虑三个风险:人员、流程和技术。必须跨组织的所有方面考虑这些风险。

注：作者Steven Connors   编译：牧荑