人們常說，一個好的審計師是一個很好的溝通者，在處理較小的組織時尤其如此。

中小型企業往往沒有能力在每個角色上雇用專家，而是依靠在組織中扮演許多角色的通才。

除非中小企業的業務是數據處理或屬于需要數據保護主任(DPO)的其他類別，否則我們很可能會與財務主管、IT經理或人力資源經理討論數據保護的問題。

ISACA為中小企業制定的新的GDPR審計計劃并沒有考慮到專業的IT審核員，而是被審核方。因此，它的語言從企業版本中得到了簡化。

在與中小企業打交道時，我發現的最大問題之一是確保我的談話和問題都是針對聽眾設計的，而且沒有術語。只有調整敘述以適應受眾，我們才能希望交付一個增值的審計產品。這對于中小企業領域的GDPR尤其重要。事實上，許多中小企業仍然沒有完全接受GDPR的核心主題——它完全是關于數據主題，而不是組織。

在審計中小企業時，教育和合規同樣重要。GDPR是關于如何遵循關于良好數據治理的一些基本規則，例如確保數據質量，可以為中小企業增加價值，而不僅僅是成本。作為審核員，我們可以幫助業主和經理接受這樣一個概念，即我們在合規報告的基礎上增加價值。

同樣重要的是要意識到，許多中小企業在進行GDPR之前不會得到最好的建議。許多人會搜索互聯網，與其他企業所有者交談，或者至多參加一兩次研討會——或者更糟的是，被吸引到花錢購買通用的、不適合他們企業的軟件解決方案上。

在有經驗的審核員的手中，審計程序應盡可能多地用于幫助制定補救計劃，以達成審計意見。畢竟，審計的目的是驗證為管理風險和同意風險處理計劃而實施的控制。

2018年11月第二季度的一項調查顯示，41%的中小企業仍然不確定有關gpr的規章制度。此外，22%的受訪者表示，新興的網絡風險是他們最頭疼的問題，這為審計人員提供了一個機會，利用該項目為中小企業客戶提供真正的指導。

組織及其審計人員對以前的《數據保護法》的主要問題之一是，它主要被視為一個需要用技術解決的it問題。遵守GDPR是關于管理信息風險的，需要考慮三個風險:人員、流程和技術。必須跨組織的所有方面考慮這些風險。

注：作者Steven Connors   編譯：牧荑