GDPR pasa a la siguiente fase y las necesidades de auditoría interna

 

GDPR pasa a la siguiente fase y las necesidades de auditoría internaEl Reglamento general de protección de datos de Europa entró en vigencia el 25 de mayo de 2018 después de un enorme esfuerzo por parte de organizaciones de toda Europa y más allá para prepararse para la fecha de lanzamiento. Las regulaciones brindan una mayor protección a las personas sobre cómo se pueden recopilar, procesar y retener sus datos.

Si bien los auditores internos en muchas organizaciones habrán estado ayudando a sus organizaciones a prepararse para los nuevos requisitos, ahora que la legislación está vigente, es más probable que brinden garantías. Es fundamental que las organizaciones no pierdan ímpetu después de todo el arduo trabajo que ha llevado a despegar sus procesos.

«Ahora que GDPR está en vivo, los auditores internos deberán asegurarse de que las personas de todas sus organizaciones no se vuelvan complacientes porque las nuevas reglas están aquí para quedarse», dice el presidente de ECIIA, Farid Aractingi. «Es probable que los auditores internos pasen de un rol más de consultoría a proporcionar seguridad sobre los procesos que ahora están en su lugar».

Las áreas típicas en las que la auditoría puede proporcionar seguridad incluyen:

¿Cuán adecuadas y efectivas son las políticas y procesos establecidos como controles?

¿Cuán robusto es el gobierno de datos de la organización?

¿Están las personas adecuadas en los roles adecuados para promover el control y el procesamiento de datos sólidos?

¿Cuán riguroso y oportuno es el informe de violaciones de datos?

¿Somos totalmente compatibles?

¿Cómo aprendemos de los incidentes?

Los auditores deberán considerar cómo se refleja el GDPR en su planificación anual de auditoría. Por ejemplo, ¿debería el GDPR ser considerado para cada trabajo de auditoría, en la forma en que la cultura debería ser ahora? ¿La auditoría del marco de control GDPR también es algo que debería suceder en toda la organización cada dos o tres años?

Es probable que los auditores internos presten mayor atención a áreas específicas después de la implementación. Los programas de cambio específicos de TI y GDPR son ejemplos obvios, pero las comunicaciones de toda la organización deberán garantizar que GDPR se mantenga vigente incluso después de la actividad inicial. Eso podría significar garantizar que los recursos humanos y los equipos de aprendizaje y desarrollo tengan planes de enmendar la capacitación para el personal existente y los nuevos miembros. El RGPD debe seguir siendo un tema importante para la inducción y la capacitación de actualización.

Actualmente hay lagunas en la orientación disponible, pero esto se desarrollará a medida que todos se familiaricen con GDPR. Los auditores internos deben estar al tanto de cualquier cambio en la legislación, orientación y buenas prácticas.

Leave a Comment!