浅谈目前互联网企业内审职能的热点问题.PDF

浅浅谈目前互联网企业谈目前互联网企业 内内审职能的热点问题审职能的热点问题 随着经济环境逐步回暖，企业都有新一轮的投资计划，以寻找业绩增长机会，把握“先行者”优势， 抢占市场先机。这对于以技术为资产的互联网企业而言尤为重要。在瞬息万变、日新月异的环境中， 质量、变通力和创造力都是互联网企业不可或缺的成功要素。 然而，目前市场仍存在很多不确定因素，互联网企业在迈向成功的道路上仍会面临相关风险所带来的 种种挑战，比如如何保障互联网信息的数据安全等。这使得企业在寻求业绩增长的同时，必须小心谨 慎，在成本管理、增加收入以及风险应对能力上取得适当平衡，这是企业能否傲视同侪的关键所在， 而内部审计职能将在协助其管理未来变化中发挥关键作用。内部审计能为企业提供保障，确保现存的 以及新兴风险能够得到识别、监控和管理，从而让企业安心实施其业务战略。 本文针对若干互联网企业内审职能目前所遇到的几个热点问题予以探讨，重点在于内部审计在其中所 扮演的角色和能够发挥的作用。 一一、内审部门在数据安全与隐私保护方面的主要职责、内审部门在数据安全与隐私保护方面的主要职责 谷歌在为其谷歌地图街景服 据《福布斯》杂志报道，过去 Facebook推出的个人化功能 务拍摄街道照片时，使用的 一年维基解密（WikiLeaks ） 让用户能直接从Facebook链 软件可截获附近无线网络用 总共披露了76,000份阿富汗 接各大媒体及其他第三方合 户电子邮件账户名和密码等 战争的机密文件和392,000 作网站，但同时也将用户个 敏感个人信息，从而在全球 份伊拉克战争的文件，这被 人资料一并分享到第三方网 超过30个国家通过未加密的 视为史上最大宗的军事泄密 站，Facebook用户因担心隐 无线网络收集了个人数据， 事件。 私问题，发起抗议。 引起众怒。 随着互联网和日常生活的联系日渐紧密，互联网公司的数据安全和隐私保护成为公众关注的焦点。数 据的安全与隐私的保护不再仅仅是单纯技术的问题，而是互联网公司面临的商业发展与业务经营的关 键问题。互联网行业因其自身业务性质以及不断创新的商业模式，引起公众的广泛关注，随着广大用 户的安全意识、隐私观念的提高，互联网公司也被推向数据安全和隐私保护的风口浪尖。数据安全和 隐私保护方面的风险也因此成为互联网企业面临的重大风险之一。 数据安全和隐私保护的风险存在于信息生命周期的各个环节，包括信息的收集、使用、传递、更改、 存储和销毁。目前，企业在互联网中遭到泄露的信息包括 -- 企业信息：商业机密、知识产权、财务信 息、企业战略、薪酬信息和企业兼并信息等；个人信息：身份证号、银行账户信息、联系方式及其他 非公开信息等；第三方信息：交易信息、报价信息和客户文档等。 1 实际上，敏感信息存在于企业各业务单元和业务流程中，敏感信息泄露所造成的危害和影响往往波及 整个公司，因此，包括CISO （首席信息安全官）、CIO （首席信息官）、首席法务官、人力资源总 监、IT安全总监/经理、内审总监、内控总监，以及涉及敏感信息处理的业务单元负责人均应对企业 数据安全和隐私保护负责。数据安全与隐私保护是整个企业的职责。企业各个层面的决策者、管理 者、执行者都应有数据安全与隐私保护的意识，并将这种意识贯彻到日常的工作中，大到一个公司商 业决策、产品开发，小到日常工作中的一个细节操作环节都应注意对于数据安全与隐私保护的执行。 数据不是静止于某一点或某一个部门，在数据与隐私内容处理的各个环节都可能存在保护不力、泄 露、滥用的威胁，因此需要通过清醒的认识、明确的方法、有力的执行，对数据安全与隐私保护的风 险进行控制。 根据内审的职责，结合以风险为导向的内部审计工作，我们认为，在现阶段，内部审计在数据安全和 隐私保护方面的主要职责包括识别、分析与数据安全和隐私保护相关的风险，评估企业在数据安全与 隐私保护方面控制的设计、执行效率、效果，并对这些方面持续监