راهنمای همکاری حسابرسان داخلی و متخصصان حریم خصوصی

با افزایش وابستگی سازمان‌های امروزی به فناوری دیجیتال و جمع‌آوری حجم روزافزون داده‌ها، ریسک‌های مرتبط با دسترسی غیرمجاز و نقض احتمالی حریم خصوصی همچنان در حال رشد است. در عین حال، محیط نظارتی پیرامون حفاظت از داده‌ها و حریم خصوصی در حال تحول است و دولت‌ها و سازمان‌های استانداردگذار، چارچوب‌های جامع‌تری برای حفاظت از اطلاعات قابل شناسایی شخصی (PII) تدوین می‌کنند. این مقاله به بررسی ابعاد مختلف همکاری حسابرسان داخلی و متخصصان حریم خصوصی برای مقابله با این چالش‌ها می‌پردازد.

برای حسابرسی داخلی، تأثیر این تحولات مداوم قابل توجه است، زیرا درک و ارزیابی ریسک‌های حفاظت از داده‌ها و حریم خصوصی برای مسئولیت حسابرسان داخلی در ارائه اطمینان‌بخشی و مشاوره مستقل و عینی در مورد کفایت و اثربخشی حاکمیت و مدیریت ریسک، حیاتی است.

با توجه به اهمیت پیمایش در این چشم‌انداز ریسک در حال تحول، از سال ۲۰۲۰، بنیاد حسابرسی داخلی (The Internal Audit Foundation) و Crowe در مجموعه‌ای از گزارش‌ها همکاری کردند. هدف این گزارش‌ها کمک به حسابرسان داخلی برای کسب درک عمیق‌تر از ریسک‌های حریم خصوصی و حفاظت از داده‌ها و توسعه یک چارچوب انعطاف‌پذیر برای مدیریت آنهاست.

توسعه رویکردی مشترک برای همکاری حسابرسان داخلی و متخصصان حریم خصوصی

صرف‌نظر از سوابق یا دیدگاه‌های فعلی، همه شرکت‌کنندگان در میزگرد مشترک بنیاد حسابرسی داخلی و Crowe بر یک نکته حیاتی توافق داشتند: همکاری بین حسابرسان داخلی و متخصصان حریم خصوصی برای ایجاد برنامه‌های قوی حفاظت از حریم خصوصی، امری ضروری است.

همکاری: عاملی حیاتی برای رشد

یکی از رهبران حوزه حریم خصوصی با اشاره به اهمیت تعامل متخصصان حریم خصوصی و امنیت داده با حسابرسان داخلی، بر لزوم دریافت نظرات آن‌ها در پیاده‌سازی کنترل‌ها، انجام فهرست‌برداری از داده‌ها و مدیریت سیاست‌ها و رویه‌های مرتبط با حریم خصوصی و امنیت تأکید کرد. او گفت: «اگر ما با هم صحبت نکنیم، رشد نخواهیم کرد.» در حالی که اجماع شرکت‌کنندگان بر نقش حیاتی ارتباطات برای رشد تأکید داشت، آن‌ها اشاره کردند که سطح این همکاری بسته به عوامل متعددی، به‌ویژه اندازه سازمان، بسیار متفاوت است.

تأثیر اندازه سازمان

یک رهبر حوزه حریم خصوصی که تجربه کار در شرکت‌های بزرگ جهانی و موقعیت فعلی خود به‌عنوان افسر حریم خصوصی داده در یک سازمان کوچک‌تر را داشت، تأکید کرد که تلاش‌های مشترک در سازمان فعلی او منجر به کاهش شکاف‌های دانشی شده است. در مقابل، در سازمان‌های بزرگ، حسابرسی داخلی عمداً از سایر بخش‌ها جدا است تا استقلال خود را حفظ کند، اما این دو واحد همچنان با یکدیگر همکاری می‌کنند و به یکدیگر کمک می‌کنند بدون آنکه استقلال حسابرسی داخلی به خطر بیفتد.

استراتژی‌هایی برای تعیین محدوده بهتر (Scoping)

یکی دیگر از افسران حریم خصوصی داده اشاره کرد که یکی از چالش‌های مهم حسابرسان، تعیین دامنه مناسب برای حسابرسی است. او اظهار داشت: «مهم است که حسابرسان داخلی دقیقاً بدانند چه نوع داده‌ای را قرار است حسابرسی کنند.» بدون تعاریف و محدوده‌بندی واضح، سوءتفاهم‌ها و نتایج نادرست حسابرسی به وجود می‌آید. از دیدگاه حسابرسی داخلی، تصمیم‌گیری مناسب در مورد دامنه نیازمند درک کافی از انواع داده‌ها و محیط نظارتی فعلی است.

پیمایش در محیط نظارتی

چالش‌های مربوط به حریم خصوصی و حفاظت از داده‌ها در یک محیط نظارتی پیچیده و در حال تحول وجود دارد. درک این محیط برای همکاری مؤثر ضروری است.

• چشم‌انداز در حال تحول حریم خصوصی: مقررات جدید به طور مداوم در حال ظهور هستند و سازمان‌ها باید خود را با آن‌ها تطبیق دهند.
• نقشه‌برداری داده‌ها: یک جزء ضروری برای درک جریان داده‌ها در سراسر سازمان و شناسایی ریسک‌های بالقوه است.
• نگرانی‌های فرامرزی: سازمان‌هایی که در چندین حوزه قضایی فعالیت می‌کنند با پیچیدگی‌های بیشتری در زمینه رعایت مقررات مواجه هستند.
• ریسک‌ها، نقش‌ها و مسئولیت‌ها: تعریف واضح نقش‌ها و مسئولیت‌ها برای مدیریت مؤثر ریسک‌های حریم خصوصی بسیار مهم است.

مشارکت حسابرسی داخلی در رهبری فکری حریم خصوصی

یک رهبر حسابرسی داخلی در بخش تولید، نقشی را که حسابرسی داخلی می‌تواند در کمک به ارتقای اهمیت حریم خصوصی در سازمان ایفا کند، برجسته کرد. او گفت: «من معتقدم برای حسابرسی داخلی فرصتی برای مشارکت در رهبری فکری وجود دارد. ما به‌عنوان متخصصانی با دانش گسترده، می‌توانیم به شرکت کمک کنیم تا به بلوغ لازم برسد و اهمیت حریم خصوصی را زودتر از موعد درک کند.»

مقابله با چالش‌های بالقوه

ادغام حریم خصوصی و حفاظت از داده‌ها در فعالیت‌های حسابرسی داخلی با چالش‌هایی همراه است که غلبه بر آن‌ها برای موفقیت حیاتی است.

تعامل با رهبری ارشد

جلب حمایت رهبران ارشد برای تخصیص منابع و اولویت‌بندی ابتکارات مربوط به حریم خصوصی ضروری است. حسابرسان داخلی می‌توانند با نشان دادن ارتباط بین ریسک‌های حریم خصوصی و اهداف استراتژیک سازمان، این حمایت را به دست آورند.

همسوسازی دیدگاه‌ها و اهداف

ممکن است بین تیم‌های حسابرسی داخلی و حریم خصوصی تفاوت دیدگاه وجود داشته باشد. حسابرسی داخلی بر ریسک و کنترل تمرکز دارد، در حالی که تیم حریم خصوصی ممکن است بیشتر بر انطباق قانونی متمرکز باشد. ایجاد یک زبان مشترک و اهداف مشترک برای غلبه بر این چالش کلیدی است.

سازگاری با تغییرات سازمانی

تغییرات سازمانی مانند ادغام‌ها، تملک‌ها یا معرفی فناوری‌های جدید می‌توانند ریسک‌های جدیدی را برای حریم خصوصی ایجاد کنند. همکاری نزدیک بین حسابرسی داخلی و متخصصان حریم خصوصی برای شناسایی و مدیریت پیشگیرانه این ریسک‌ها ضروری است.

نتیجه‌گیری

همکاری مؤثر بین حسابرسان داخلی و متخصصان حریم خصوصی دیگر یک گزینه نیست، بلکه یک ضرورت است. با ایجاد یک رویکرد مشترک، پیمایش در محیط نظارتی پیچیده و مقابله با چالش‌ها، سازمان‌ها می‌توانند چارچوب‌های حفاظت از داده خود را تقویت کرده و اعتماد ذینفعان را حفظ کنند.

منبع: The Internal Audit Foundation & Crowe – Privacy and Data Protection Part 3: Insights Into Effective Collaboration Between Internal Auditors and Data Privacy Professionals