个人信息保护合规审计的实践路径

　　《个保法》自2021年11月1日起刚刚开始施行，大部分企业尚缺少相关的细化制度和执行措施。因此，现阶段企业可以从以下两个方面开展相关工作：（1）营造重视个人信息保护的企业环境。《个保法》的实施涉及个人信息的收集存储、使用传输等各个方面。因此，开展个人信息保护合规审计需要领导的重视以及多部门的协同配合。企业应加强宣传教育，增强员工对《个保法》的重视。同时，决策层应及时组织专题小组，结合企业实际情况研究《个保法》的具体落实工作。（2）按照项目统筹方式开展个人信息保护合规审计。在缺少相关审计依据的现阶段，内部审计部门可以借鉴审计两统筹中项目统筹的做法，将个人信息保护合规审计的内容融入例如政策执行情况审计、内部控制审计、信息系统审计等审计项目中。这种做法不仅能扩大传统审计项目的覆盖面，还可为后续开展个人信息保护合规专项审计积累宝贵经验。在企业建立健全个人信息保护具体管理制度或实施细则后，内部审计部门就可以针对性地从设计和运行两个方面实施个人信息保护合规专项审计。

　　个人信息保护合规审计结果运用

　　2018年颁布的《审计署关于内部审计工作的规定》中第四章节着重强调了审计结果的运用。在尝试开展个人信息保护合规审计的同时，内部审计人员也需要思考如何运用该项审计结果。内部审计可以在企业个人信息保护方面发挥“免疫系统”的作用，这也是研究型审计的内在要求。

　　首先，建立完善个人信息保护相关制度。在《个保法》正式实施后，各企业开始逐步建立个人信息保护制度。此时开展个人信息保护合规审计，可以考察制度设立的完整性与合理性，如制度是否诠释了《个保法》中的全部法律精神、是否存在遗漏或缺陷等问题。同时，审计人员也可以评估个人信息保护制度的可操作性，以及它是否得到有效的实施。从设计和运行两个方面入手，相关管理层需要加大审计发现问题的整改力度，进一步建立完善个人信息保护的相关制度。

　　其次，定期发布个人信息保护风险提示清单。企业在持续运营过程中需要不断地收集、存储、使用和传输个人信息。因此，审计人员需要持续监督企业个人信息保护的合规情况。内部审计部门可以定期发布针对《个保法》实施情况的风险提示清单或问题清单，在企业适当范围内发布，提醒相关负责人提前做好风险应对并及时处理已存在的问题，将损失降到最低，从而实现内部审计治已病、防未病的功能。

　　最后，建立审计发现问题整改共同落实的工作机制。个人信息保护涉及到企业采购、研发、生产和经营等各个方面。因此，个人信息保护合规审计发现问题的整改工作往往需要多个部门之间的配合联动。内部审计部门可以尝试在企业内部建立个人信息保护审计的信息共享、结果共用、重要事项共同实施和问题整改共同落实的工作机制，在此基础上切实将个人信息保护的相关问题整改到位。

　　开展个人信息保护合规审计面临的挑战

　　首先，内部审计人员胜任能力有待提升。大数据时代，个人信息存储在数据库中，使用代码和命令进行操作。因此，审计团队中需要具有熟悉信息系统、大数据、信息安全等相关知识的人员，才能具有足够的胜任能力开展个人信息保护合规审计。而上述提到的信息技术知识也正是内部审计人员普遍欠缺的。企业需要加强对内部审计人员相关知识的培训工作，提升其审计专业技能。

　　其次，内部审计部门信息化水平不足。个人信息保护合规审计的有效开展，需要内部审计部门加快审计信息化平台建设。不同企业、不同部门存储处理个人信息的方式是不同的，数据的形式、规格不同降低了相关审计的效率。有条件的内部审计部门可以与信息部门合作建立数据中台，统一数据接口，开通不同数据库的权限，为开展个人信息合规审计铺平道路。

　　最后，迫切需要融入研究型审计的方法与思路。从资源环境合规性审计到大数据合规性审计，合规性审计根据国家治理的需求在不断地扩展其职能和边界。在开展个人信息保护合规审计时，需要积极落实《审计署关于印发全国审计机关2021年度工作要点的通知》中的要求，将研究型审计的方法与思路融入其中。审前阶段做好研究工作，在实施审计时就更能够抓住重点、识别重大风险。在审计结果运用方面，审计人员可以积极总结规律性的经验，分享成果，为同行开展个人信息保护合规审计提供借鉴。（作者单位：南京审计大学）