國(guó)際內(nèi)審師(CIA)紅皮書-實(shí)務(wù)公告(17)

　　實(shí)務(wù)公告2130-A1.1 信息的可靠性和完整性

　　主要相關(guān)標(biāo)準(zhǔn)：

　　2130.A1——內(nèi)部審計(jì)部門必須評(píng)估下列針對(duì)組織內(nèi)部治理、運(yùn)營(yíng)和信息系統(tǒng)等風(fēng)險(xiǎn)的控制的適當(dāng)性和有效性：

　　財(cái)務(wù)和運(yùn)營(yíng)信息的可靠性和有效性；

　　運(yùn)營(yíng)的效率和效果；

　　資產(chǎn)的安全；

　　對(duì)法律、法規(guī)及合同的遵循情況。

　　1、內(nèi)部審計(jì)師確認(rèn)高級(jí)管理層和董事會(huì)是否明確理解信息的可靠性和完整性是一項(xiàng)管理責(zé)任。這種管理責(zé)任包括組織的所有重要信息，而不論該信息是以何種方式儲(chǔ)存的。

　　信息的可靠性和完整性包括準(zhǔn)確、完整和安全。

　　2、首席審計(jì)執(zhí)行官確認(rèn)內(nèi)部審計(jì)部門是否具備或有能力獲取可用的審計(jì)資源，并對(duì)信息可靠性、完整性及相關(guān)風(fēng)險(xiǎn)暴露進(jìn)行評(píng)估。風(fēng)險(xiǎn)暴露包括內(nèi)、外部風(fēng)險(xiǎn)暴露以及關(guān)于組織于外部實(shí)體之間關(guān)系的風(fēng)險(xiǎn)暴露。

　　3、首席審計(jì)執(zhí)行官確定對(duì)組織構(gòu)成威脅的信息可靠性和完整性的缺陷與情況是否能迅速地告知高級(jí)管理層、董事會(huì)及內(nèi)部審計(jì)部門。

　　4、內(nèi)部審計(jì)師評(píng)估針對(duì)過去侵害行為和被認(rèn)為即將發(fā)生的未來侵害企圖或事件的預(yù)防性、檢測(cè)性和減緩性措施是否有效。內(nèi)部審計(jì)師確定是否已將此類威脅事件、漏洞和糾正措施適當(dāng)?shù)馗嬷聲?huì)。

　　5、內(nèi)部審計(jì)師定期評(píng)估組織信息的可靠性和完整性，并酌情對(duì)改進(jìn)或?qū)嵤┬碌目刂坪桶踩Ｕ咸岢鼋ㄗh。這種評(píng)估既可以作為獨(dú)立的業(yè)務(wù)進(jìn)行，也可以作為內(nèi)部審計(jì)計(jì)劃的一部分和其他審計(jì)業(yè)務(wù)一起進(jìn)行。業(yè)務(wù)性質(zhì)決定著向高級(jí)管理層和董事會(huì)報(bào)告的至適當(dāng)程序。

　　實(shí)務(wù)公告2130.A1-2

　　主要相關(guān)標(biāo)準(zhǔn)：

　　2130.A1——內(nèi)部審計(jì)活動(dòng)必須評(píng)估下列針對(duì)組織內(nèi)部治理、運(yùn)營(yíng)和信息系統(tǒng)等風(fēng)險(xiǎn)看控制的適當(dāng)性和有效性：

　　財(cái)務(wù)和運(yùn)營(yíng)信息的可靠性和完整性；

　　運(yùn)營(yíng)的效率和效果；

　　資產(chǎn)的安全；對(duì)法律、法規(guī)及合同的遵循情況。

　　1、保護(hù)個(gè)人隱私的適當(dāng)控制的失敗會(huì)給組織帶來嚴(yán)重后果。這種失敗可能損害個(gè)人和\或組織的信譽(yù)，使組織面臨包括法律責(zé)任在內(nèi)的風(fēng)險(xiǎn)和破換消費(fèi)者和\或員工信任的風(fēng)險(xiǎn)。

　　2、隱私的定義根據(jù)組織所在國(guó)家的文化、政治環(huán)境和法律制度而存在廣泛差異。相關(guān)的風(fēng)險(xiǎn)隱私信息包括：個(gè)人隱私（生理的和心理的），空間隱私（不受監(jiān)視），溝通隱私（不受監(jiān)管），信息保密（他人收集、使用和公布個(gè)人信息）。個(gè)人信息通常是指與某個(gè)特定個(gè)人有關(guān)的信息，或結(jié)合他人與某個(gè)特定個(gè)人相關(guān)的信息而具備辨別特征的信息。個(gè)人信息包括任何實(shí)際的或主管推斷的信息，不論其是否記載或以任何媒介形式記載。個(gè)人信息可能包括：

　　●姓名，地址，身份號(hào)碼，家庭關(guān)系；

　　●員工檔案，評(píng)價(jià)，意見，社會(huì)身份或違紀(jì)處分；

　　●信用記錄，收入，經(jīng)濟(jì)地位；

　　●健康狀況。

　　3、個(gè)人信息保護(hù)的有效控制是治理、風(fēng)險(xiǎn)管理和控制程序的一項(xiàng)基本內(nèi)容。至終，董事會(huì)負(fù)責(zé)識(shí)別組織的主要風(fēng)險(xiǎn)并采取適當(dāng)?shù)目刂瞥绦蚪档惋L(fēng)險(xiǎn)，包括為組織建立必要的隱私制度并監(jiān)督其實(shí)施。

　　4、內(nèi)部審計(jì)部門可以通過評(píng)估管理層對(duì)隱私目標(biāo)相關(guān)風(fēng)險(xiǎn)識(shí)別的適當(dāng)性以及把這些風(fēng)險(xiǎn)降低到可接受水平的控制建立的適當(dāng)性，幫助組織實(shí)現(xiàn)良好的治理和風(fēng)險(xiǎn)管理。內(nèi)部審計(jì)師在組織者處于良好位置，能夠評(píng)估隱私制度、識(shí)別重大風(fēng)險(xiǎn)并提出降低風(fēng)險(xiǎn)的適當(dāng)建議。

　　5、內(nèi)部審計(jì)部門鑒別組織所收集的有可能屬于個(gè)人或隱私信息的類別適當(dāng)性、采用的收集方法、組織對(duì)這些信息的使用是否符合原定用途滿足相關(guān)法規(guī)的要求。

　　6、鑒于本公告具有很高的技術(shù)和法律方面的特性，內(nèi)部審計(jì)部門需要具備適當(dāng)?shù)闹R(shí)能力，以實(shí)施組織的隱私制度的風(fēng)險(xiǎn)和控制評(píng)估。

　　7、在指導(dǎo)組織的隱私制度管理的評(píng)估過程中，內(nèi)部審計(jì)師應(yīng)該：

　　●考慮組織所在管轄范圍內(nèi)的相關(guān)法律、法規(guī)和政策。

　　●與內(nèi)部法律顧問聯(lián)系，確定適用于組織和所在國(guó)家的法律、法規(guī)和其他標(biāo)準(zhǔn)及實(shí)務(wù)的確切性質(zhì)。

　　●與信息技術(shù)專家聯(lián)系，確定是否建立了信息安全和數(shù)據(jù)保護(hù)控制，并對(duì)其適當(dāng)性進(jìn)行定期檢查和評(píng)估。

　　●考慮組織的隱私工作的水平或完備程度。根據(jù)情況，內(nèi)部審計(jì)師可以起到不同作用。內(nèi)部審計(jì)師可以推動(dòng)隱私方案的制定和實(shí)施，評(píng)價(jià)管理層的隱私風(fēng)險(xiǎn)評(píng)估，確定組織的需要和風(fēng)險(xiǎn)暴露情況，或?yàn)榻M織的隱私政策、實(shí)務(wù)可控制的效果提供確認(rèn)。如果內(nèi)部審計(jì)師承擔(dān)了任何制定和實(shí)施隱私方案的責(zé)任，則內(nèi)部審計(jì)師的獨(dú)立性將受到損害。

　　相關(guān)鏈接：國(guó)際內(nèi)審師(CIA)紅皮書2009年1月修訂版匯總