组织审查第三方(如云服务提供商)的现有方式缺少了一个关键因素. 他们缺乏反映澳门赌场官方下载文化的晴雨表, 高层的语气或组织领导对内部控制的态度. 用于审查第三方组织的常用工具,例如审查文档化的信息安全和隐私政策和程序, 回顾该组织在公开披露中反映的过去的违规历史, 安全认证的回顾, 问卷调查结果回顾, 对问卷(有时)中提供的回答的审计和对参考资料的审查并不能表明组织领导是否真正致力于一个强大的信息安全和隐私计划.
高层的这种态度是至关重要的,因为它决定了组织其他成员的态度和方法, 及其附属机构, 将使用. 高层语气的重要性在2002年《澳门赌场官方软件》(由安然和世通丑闻引发)的美国国会听证会上得到了体现。. 独立的第三方可以通过合规性审计流程迅速审查高层的语气.
这种遵从性审计流程可以生成一种新的信任货币——一种快速而明确地让第三方对组织管理和治理信息安全和隐私的整体能力充满信心的方法. 这一审计过程涉及聘请独立律师. 这样的律师, 律师审计师, 首先汇编了所有法律的独立集合, 规定, 有关组织的董事和高级职员须遵守的法院判决和合同. 然后,该律师审计师确定被审计组织的董事和高级管理人员是否履行了法律和这一系列要求所要求的最低信义义务. 所审查的证据水平很高, 它通常包括危机管理系统, 第三方泄露相关通信系统, 内部合规报告制度和风险管理制度. 这种遵从性审核的结果, 我称之为职责审计, 一份一页的专业意见是否表明董事和高级职员是否在所有重要方面都遵守规定.
至少在第一次执行时是这样, 这种类型的遵从性报告可以严格用于内部目的, 例如,告知董事和高级职员,为了在未来获得完全合规的专业意见,仍需采取补救行动. 除了, 在内部使用这种审计程序可以产生证据,这些证据以后可能在法庭上用作证明组织或董事和高级职员无罪的证据.
然而,当与第三方共享时,这种类型的审计也是获得信任的有力方式. 对于任何高影响价值的交易(合并和收购),这种遵从性审计都是必要的, 重大资本注入和重大贷款), 重要关系的建立和更新(外包合同签订), 商业伙伴合同的签订和此类合同的年度续签)以及高后果的数据交换(在处理国家安全信息时向第三方披露商业秘密或将信息系统连接到外部组织). 这样的审计可以在几周内完成, 因此,它可以很容易地构建到完成重大交易的过程中, 例如,一家风险投资公司在考虑向一家澳门赌场官方下载投资数百万美元时,会将其纳入尽职调查程序.
这种审计过程是信任货币的绝佳候选——信任货币是一种得到广泛认可和标准化的令牌,通过它可以衡量特定组织中的信任. 因为它是按照注册会计师(cpa)审查上市澳门赌场官方下载财务状况时使用的现有流程设计的, 这一新流程得益于围绕财务审计流程的数十年实践经验, 因此,它可以立即投入使用.
这种责任审计也是普遍适用的. 每个组织都必须满足法律的最低要求,因此需要满足用于这种遵从性审核过程的审核标准. 这意味着结果可以用作决策目的的普遍阈值条件.g.(是否与某一组织签订或续签合同)。.
职责审计的结果也很容易理解,因为任何人都很容易理解遵守法律义务的概念. 所采用的评级系统(基本上是服从与不服从)很简单,不需要培训, 解释或补充说明.
在这一过程中进一步培养信任, 执行合规审计过程的律师审计师必须是真正独立的. 他们必须符合注册会计师和律师制定的最高独立性筛选标准. 由于律师审计师个人面临的风险如此之大.e., 如果违反职业道德,他们可能会被吊销律师执业执照。, 这种独立性很重要.
职责审计方法也标准化了,因为它使用了律师必须遵循的现有程序来提供专业意见书. 因为职责审核流程是标准化的, 收到报告的人可以很容易地确定采取了哪些步骤来产生专业意见. 这个标准化的过程, 并附有标准化的专业意见, 能够依赖专业意见作为智能合约的触发器,生成累积证明. 例如, 单个外包组织可以向其客户提供专业意见,其中包括来自其分包商和业务合作伙伴的类似专业意见,所有这些意见都汇总为法律遵从性的统一声明.
然而, 重要的是,这样的审计报告的生成不会危及业务决策或不适当地更改业务流程. 因为澳门赌场官方下载无论如何都应该遵守法律的最低要求, 这个审计过程所做的只是将第三方审查引入与合规性相关的内部活动. 尽管在执行这种遵从性审计之前可能会进行预期的更改, 无论如何,这些变更只会将被审核方组织带到应有的位置. 一个相关的有益副作用是,它激励董事和高级管理人员年复一年地保持完全合规, 在这方面, 帮助确保信息安全和隐私预算充足(至少从法律的角度来看). 这是因为审计过程的结果作为一个平衡因素,抑制了财务指标的主导力量.
这种信任货币审计过程还必须避免可能危及被审计组织系统或数据的活动. 例如, 审计活动不能使为组织产生收入的生产系统崩溃. 职责审计过程符合这一要求,因为所有围绕第三方风险评估的常规控制都适用(例如.g.、保密协议). 但是使用律师作为律师审计还有一些特殊的额外好处. 当律师做这项工作时, 他们还为项目带来律师-客户特权和律师工作产品原则, 这些作品可以结构化,这样法律保护就可以防止作品的细节被泄露给任何人, 即使是在法庭上.
出于这些原因, 将法律要求的最低限度作为对董事和高管在信息安全和隐私领域采取的行动进行合规审计的晴雨表,是一种新的信任货币的不错选择.
编者按: 想要进一步了解这个话题,请阅读查尔斯·克雷森·伍德最近在《澳门赌场官方软件》上发表的文章, “增加一项新的关键绩效指标,以确定董事和高级职员是否履行了他们的法律职责,” ISACA杂志,第6卷2022.
