نتیجه
حاکمیت داده می تواند یک حوزه ریسک بزرگ برای سازمان هارا پوشش می دهد و ممکن است تا حد زیادی توسط حسابرسان داخلی رسیدگی نشده باشد. با این حال، افزایش فعلی در مقررات، جریمه‌ها، و قرار گرفتن در معرض ریسک شهرت، آن را به حوزه‌ای حیاتی برای حسابرسان داخلی تبدیل می‌کند تا در سریع‌ترین زمان ممکن تحت پوشش قرار دهند

سوالات کلیدی در رسیدگی به حاکمیت داده

نقش حسابرسی داخلی شناسایی ارکان حاکمیتی مرتبط با اخلاق داده ها، سیاست ها و رویه ها و غیره در سازمان و ارزیابی اثربخشی آنهاست. حسابرسان داخلی باید بدانند که اخلاق داده ها ممکن است بخشی از یک رسیدگی حسابرسی بزرگتر باشد. حاکمیت داده‌ها ممکن است در فرآیندها، خط‌مشی‌ها و رویه‌های مختلفی تنیده باشد، بنابراین حسابرسان داخلی ممکن است مجبور شوند ابتدا اقداماتی را برای شناساییریسک‌ها و کنترل‌های حاکمیت داده‌ها، انجام دهند و سپس در سطحی عمیق‌تر ، زیرمجموعه‌های از رویه های مرتبط با اخلاق داده‌ها را برای رسیدگی های بیشتر انتخاب کنند.
برنامه های حسابرسی خوب حاکمیت داده نه تنها باید سازماندهی و اثربخشی عملکرد ارکان حاکمیت داده را همانطور که در بالا مورد بحث قرار گرفت پوشش دهد، بلکه باید حداقل انتظارات کنترلی را برای عوامل داده ارزیابی کنند مانند:
■ ذخیره سازی داده ها
■ کیفیت داده ها
■ انتقال داده ها
■ جمع آوری داده ها و گزارشگری
این موضوع به نقشه داده ها و مخزن داده بر می گردد. حسابرسان داخلی باید بدانند که داده ها به کجا می روند و چه قوانین و مقرراتی برای جمع آوری، استفاده و ذخیره سازی انها لازم است. حسابرسان داخلی باید نظارت مستمری را انجام دهند تا مطمئن شوند که این فرآیندها همانطور که انتظار می رود عمل می کنند. این چیزی نیست که حسابرسی داخلی بخواهد هر دو یا سه سال به آن نگاه کند. حاکمیت داده کاری است که سازمان هر روز انجام می دهد، بنابراین نظارت مداوم بر آن بسیار مهم است.
برخی از سوالات کلیدی که حسابرسان داخلی باید از ذینفعان در مرحله جمع آوری اطلاعات در رسیدگی بپرسند می تواند شامل موارد زیر باشد:
■ آیا مشتری ما می داند که ما در حال جمع آوری داده های آنها هستیم؟ آیا ما خروجی ها را شناسایی، تکمیل، و مستند می کنیم ؟
■ چگونه مشتریان خود را از داده هایی که از آنها جمع آوری می کنیم و موراد استفاده از داده های آنها آگاه می کنیم؟
■ چگونه حکمرانی را حول جمع آوری و مدیریت داده ها سازمان دهی کرده ایم؟
■ آیا محزنی از داده هایی که می گیریم داریم؟
■ آیا منشور اخلاقی توسط کارکنان در یک بازه زمانی منظم مورد بررسی و تایید کتبی قرار می گیرد؟ آیا منشور شامل مقاهیم مرتبط با داده می شود؟
■ آیا ما کارکنان را ملزم به تکمیل آموزش اخلاق می کنیم؟
ه هنگامی که ما به دنبال معرفی یک محصول یا خدمات جدید هستیم، آیا ارزیابی ریسک در رابطه با داده‌هایی که می‌توان جمع‌آوری کرد، انجام می‌شود و زمانی که محصول در جای خود قرار گرفت از آن برای چه چیزی استفاده خواهیم کرد؟ آیا این اطلاعات در گزارش ریسک به مدیریت اجرایی و هیئت مدیره گنجانده شده است؟ آیا فرآیندها و روش هایی برای به روز رسانی نقشه داده های خود دارید؟
در مرحله ارزیابی ریسک در رسیدگی، حسابرسان داخلی که با داده‌ها کار می‌کنند باید با مدیر اطلاعات سازمان (CIO) و سایر رهبران کلیدی برای درک بهتر ریسک ها از نظر جمع‌آوری داده‌ها، ذخیره‌سازی، تجزیه و تحلیل، امنیت و حریم خصوصی تعامل داشته باشند. در حال حاضر، بسیاری از سازمان ها تصویر روشنی از محل انباشت داده های خود ندارند. آنها داده های ناشناس، متناقض و متفاوتی دارند که در وظایف و واحدهای پخش شده اند. این یک مسئولیت امنیتی فراگیر را نشان می دهد و شرکت ها را در برابر نقض های امنیتی بالقوه پرهزینه آسیب پذیر می کند.
برخی از ریسک های کلی داده ها که باید در نظر گرفته شوند عبارتند از:
■ پروتکل های نامناسب جمع آوری داده ها
■ کیفیت پایینداده
■ پیکربندی‌ یا فناوری ناکافی.
■ ذخیره سازی ناکافی
■ امنیت ناکافی
■ شیوه های نابالغ حاکمیت داده
برخی از داده‌ها از شاخص‌های عملکرد کلیدی (KPI) و شاخص‌های ریسک کلیدی (KRIs) استفاده می‌کنند، حسابرسان داخلی باید از KPIها یا KRIهایی مانند موارد زیر آگاه باشند و در رسیدگی های خود از آنها بهره ببرند:
■ هیئت مدیره راهنماهایی را در مورد چگونگی استفاده اخلاقی سازمان از داده ها ایجاد کرده است.
■ مدیریت سیاست‌هایی را در مورد نحوه استفاده اخلاقی از داده‌ها ایجاد و/یا ابلاغ کرده است.
■ پوشش خبری نامطلوب رسانه های اجتماعی یا سنتی از نحوه استفاده سازمان یا سایر سازمان های مشابه از داده ها.
■ مقررات یا قوانین جدید یا پیشنهادی مربوط به داده های جمع آوری شده و مورد استفاده سازمان.
■ جریمه ها و جریمه های متحمل شده برای تخلفات مربوط به اخلاق داده ها.
■ تعداد کارکنانی که آموزش های اخلاقی را به موقع و با عملکرد رضایت بخش در آزمون مربوط به پایان رساندند.
■ تعداد کارمندانی که تایید بیانیه تضاد منافع انها تاریخش گذشته یا ناقص بوده است.
همانطور که ذکر شد، دامنه و اهداف حسابرسی برای رسیدگی به حاکمیت داده ها ممکن است شامل عناصری باشد که در ساختارهای حاکمیتی بزرگتر و شیوه های مدیریت داده گسترده تر تعبیه شده است. حسابرسان داخلی ممکن است بخواهند بازبینی موارد زیر را علاوه بر ملاحظات منشور اخلاقی، خط مشی های حفظ حریم خصوصی، فرآیندهای اطلاع رسانی به مشتری، و الزامات قانونی در نظر گرفته شده در بالا، در برنامه های کاری خود لحاظ کنند :
■ اسنادی که نشان‌دهنده شکایات اخلاقی، موقعیت‌های افشاگری اطلاعات محرمانه، یا سایر رویدادهای مربوط به اهیات مدیره یا مدیران است به سرعت و مطابق با خط‌مشی‌های اخلاقی سازمان، منشور اخلافی و غیره بررسی و رسیدگی می‌شوند.
■ ادراک یا شواهدی مبنی بر تلافی مدیریت یا سایر کارمندان با کسانی که گزارش می دهند
■ روند آماری شکایات، موقعیت‌های افشاگری یا سایر حوادث برای تعیین اثربخشی کنترل های موجود
■ نرخ تکمیل و نرخ قبولی برای برنامه های آموزشی الکترونیکی از جمله اخلاق، منشور اخلاقی، ارزش های اخلاقیو غیره.