Facebook数据泄露为内部审计师提供了重要的经验教训
作者: 理查德 钱伯斯(Richard Chambers)IIA 总裁兼首席执行官
2019年4月8日
内部审计师 该内 容 由 中 审网 校 所属w w w .au ditc n.co m的博客反映了作者的个人观点和意见。 这些观点可能与内部审计师 该内 容 由 中 审网 校 所属w w w .au ditc n.co m协会及其委员会的政策和官方声明以及博主雇主或内部审计员编辑认可的意见不同。
在用户和投资者的眼中, Facebook是社交媒体的宠儿毫无疑问,最近,Facebook再遭遇挫折。一家网络安全公司的研究人员在亚马逊网站运营的云计算服务器上发现了Facebook用户信息。
这一消息传出大约一年后,Facebook因剑桥分析公司的丑闻而受到抨击,该公司的应用程序开发人员与一家政治咨询公司共享数百万Facebook用户的数据。尽管Facebook首席执行官马克扎克伯格保证该公司将采取更多措施保护用户数据,但涉及亚马逊的失误仍将继续曝光。
从内部审计的角度来看,Facebook的困境提供了一个明确而令人信服的教训:数据一度被视为一种可以杠杆化的资产,现在也必须被视为潜在的责任或风险。对数据的更大保护需求正在增长,或者更确切地说,保护个人身份信息,避免使这些信息成为营销人员、零售商、政治活动以及其他想要影响公众思考和行动的人的宝库。
越来越多的政府正在考虑立法,要求数据聚合器保护数据并确保隐私。 IBM商业价值协会最近的一项调查清楚地表明公众也在要求建立问责制。
IBM调查中有四分之三的受访者表示他们不信任公司的数据。 此外,87%的受访者表示政府应该对管理个人数据的公司进行监管,40%的受访者表示C级高管应该因未能做到这一点而被罚款或监禁(参见“消费者的数据焦虑”)。
简而言之,数据已经出现在杰奇(Jekyll)博士和海德(Hyde)先生身上。 挖掘和分析数据是战略业务决策的基本步骤。 它可以帮助企业和组织根据历史信息构建模型,以预测未来的行为。 但是,糟糕的数据管理以及无法理解数据告诉我们的是一种风险。 如果未能保护数据会损害组织的声誉,那么风险就会变得更加明显和复杂。 实际上,70%的首席审计执行官回应了IIA 2019年内部审计的脉搏调查,并将数据泄露引起的声誉损害列为其最大的网络安全问题。
内部审计师 该内 容 由 中 审网 校 所属w w w .au ditc n.co m必须培养并保持对其组织如何收集、管理、保护、使用和共享数据的敏锐理解。 他们还必须掌握过去和现在的数据使用和存储实践。 可以肯定的是,内部审计可以提供数据保证的领域清单是非常重要的。
monetize it, which heightens the risk of data breaches.
合规。 从欧洲的全球数据保护法规到将于明年生效的新的美国加州消费者隐私法案 ----新的数据保护法规正在迅速创建一个与数据保护相关的复杂的合规风险网络。 内部审计必须与这些法规以及任何潜在的新法规保持同步,并提供有关组织必须遵守的步骤的洞察力和远见。
运营。 解决数据收集、管理和保护方式的政策和流程提供了许多提供保证的机会。 与数据保护相关的一个关键领域是如何在内部和外部共享。 对于许多组织而言,旨在保护数据的策略和流程仅次于那些旨在通过其获利的策略,这会增加数据泄露的风险。
战略。 董事会和C级高管根据许多因素制定战略的业务决策,包括数据分析。 内部审计必须保证数据的准确性和分析过程本身。
文化。 这是数据风险的挑战性和最不明显的方面之一。 内部审计必须了解组织对数据的处理方法和决策如何影响日常运营。 更重要的是,审计人员需要掌握组织适应不断变化的数据需求的能力。 文化通常被定义为“我们如何在这里做事”。 如果“我们如何做事”无视保护数据的需要,那么我们也有文化问题。
2018年Gartner的调查发现,超过87%的组织被归类为商业智能和分析成熟度较低。 这不仅为希望提高数据资产价值和利用新兴分析技术的组织制造障碍,而且还表明对数据使用的法律和道德影响知之甚少。
显然,内部审计可以提供与数据相关的内容。 首席审计执执行官(CAE)应坦率地向董事会和执行管理层就上述概述的每个领域的保证价值发表意见,并准备好在机会出现时提供这种保证。
国际内空协会ICI中国总部 雅琴 翻译
上一篇:内部控制体系建设相关知识问答