內(nèi)審師考試《內(nèi)部審計知識要素》知識點：環(huán)境和社會保障

本部分重要的知識點為：內(nèi)部審計人員和尊重隱私權(quán)。

（一）環(huán)境管理

人類在長期的生產(chǎn)、生活活動過程不可避免的對環(huán)境造成影響。一國的嚴重污染和生態(tài)破壞發(fā)展到區(qū)域性的大范圍污染和生態(tài)破壞，甚至演化為全球性的環(huán)境問題。環(huán)境問題也成為全世界面臨的重大危機之一。

1.國際環(huán)境問題的表現(xiàn)

（1）氣候變化；

（2）臭氧層破壞（耗損）

（3）酸雨污染；

（4）生物多樣性銳減；

（5）淡水短缺；

（6）森林破壞；

（7）荒漠化；

（8）海洋污染和破壞；

（9）有毒化學品和危險廢物越境轉(zhuǎn)移。

2.全球范圍內(nèi)的環(huán)境管理

由于各個國家的法律法規(guī)不相同，組織至少須遵循其所在國家的環(huán)境、社會法律和要求。通常，組織會采取更嚴格的方針或政策，以及更嚴格的國家法律法規(guī)或組織的指導方針。

（1）關(guān)于ISO14000

ISO14000是國際標準化組織于1993年，在舉世矚目的聯(lián)合國環(huán)境與發(fā)展大會之后，決定開始制定的標準，這是國際標準化組織針對巴西里約環(huán)發(fā)大會通過的全球21世紀議程和可持續(xù)發(fā)展戰(zhàn)略，而采取的一項具體行動措施。ISO14000系列標準包括環(huán)境管理體系、環(huán)境審計、環(huán)境評價、產(chǎn)品生態(tài)標志、產(chǎn)品壽命周期分析和產(chǎn)品具體環(huán)境要求等各個方面，是目前世界上至為全面和系統(tǒng)的環(huán)境管理的國際化標準。它吸取了世界各國特別是歐洲聯(lián)盟的英國多年來在環(huán)境管理方面的經(jīng)驗，是各ISO成員國對人類可持續(xù)發(fā)展的貢獻和結(jié)晶。

ISO14000主要由環(huán)境方針、規(guī)劃、實施與運行、檢查與糾正措施、管理評審五大要素組成，每個大要素又可分成若干個小要素，構(gòu)成建立環(huán)境管理體系的基本要求。ISO14000系列標準是通用的，既可以應用于制造業(yè)，又可用于服務(wù)業(yè)；既可用于公共部門，又可用于私營部門。它本身并沒有規(guī)定環(huán)境保護的水平，而是指出了環(huán)境管理體系的要求。ISO14000系列標準主要關(guān)注組織怎樣使其活動對環(huán)境產(chǎn)生的有害影響至小化，并實現(xiàn)其環(huán)境績效水平的持續(xù)提高。ISO14000環(huán)境管理系列標準已成為目前世界上至全面和至系統(tǒng)的環(huán)境管理國際化標準，并引起世界各國政府、企業(yè)界的普遍重視和積極響應。

①ISO14000環(huán)境管理系列標準（了解）

ISO14001：2004《環(huán)境管理體系——規(guī)范與使用指南》

ISO14010：1996《環(huán)境審核指南——通用原則》

ISO14011：1996《環(huán)境審核指南一一審核程序一一環(huán)境管理體系審核》

ISO14012：1996《環(huán)境審核指南一一環(huán)境審核員資格要求》

ISO14020：1998《環(huán)境標志和聲明——通用原則》

ISO14040：1997《生命周期分析——原則和指南》

ISO14041：1998《生命周期分析——目標和范圍界定清單分析》

ISO14050：1998《環(huán)境管理詞匯》

ISO導則64：1997《產(chǎn)品標準中環(huán)境因素導則》

其中，組織依據(jù)ISO14001：2004《環(huán)境管理體系——規(guī)范與使用指南》建立環(huán)境管理體系（EMS），并已通過第三方認證機構(gòu)的認證成為打破國際綠色壁壘、進入歐美市場的準入證，逐漸成為組織進行生產(chǎn)、經(jīng)營活動及貿(mào)易往來的必備條件之一。

②ISO14000環(huán)境管理體系包括以下內(nèi)容：

•—項高層管理當局所支持的環(huán)境政策；

•環(huán)境因素和重大影響的確認；

•法律要求和其他方面要求的確認；

•支持環(huán)境政策的環(huán)境宗旨、目的和目標；

•一套環(huán)境管理方案，作用、職責和權(quán)力的定義；

•培訓并了解程序；

•EMS與所有利益相關(guān)者的交流過程；

•文件和操作控制過程；

•應急反應程序；

•監(jiān)督和測量對環(huán)境可能有重大影響的經(jīng)營活動的程序；

•糾正不符規(guī)定的行為；

•紀錄管理程序；

•一套審計及糾正措施的方案；

•管理當局實施檢查的程序。

③ISO14000環(huán)境管理系列標準具有以下特點：

強調(diào)污染的預防。ISO14000系列標準體現(xiàn)了國際環(huán)境保護領(lǐng)域由“末端控制”到“污染預防”的發(fā)展趨勢。環(huán)境管理體系強調(diào)對組織的產(chǎn)品、活動、服務(wù)中具有或可能具有潛在環(huán)境影響的環(huán)境因素加以管理，建立嚴格的操作控制程序，保證企業(yè)環(huán)境目標的實現(xiàn)。生命周期分析和環(huán)境表現(xiàn)評價則將環(huán)境方面的考慮納入產(chǎn)品的至初設(shè)計階段和企業(yè)活動的策劃過程，為決策提供支持，預防環(huán)境污染的發(fā)生。這種預防措施更徹底有效、更能對產(chǎn)品發(fā)揮影響力，從而帶動相關(guān)產(chǎn)品和行業(yè)的改進、提高。

可操作性強。ISO14000系列標準體現(xiàn)了可持續(xù)發(fā)展的戰(zhàn)略思想，將先進的環(huán)境管理經(jīng)驗加以提煉濃縮，轉(zhuǎn)化為標準化的、可操作的管理工具和手段。標準中沒有絕對量和具體的技術(shù)要求，使得各類組織能夠根據(jù)自身情況適度運用。

標準的廣泛適用性。ISO14000系列標準應用領(lǐng)域廣泛，它適用于任何類型、規(guī)模、文化和社會條件下的組織，包括企業(yè)、非營利組織和政府部門。其內(nèi)容涵蓋了組織的各個管理層次，各類組織都可以按標準所要求的內(nèi)容建立并實施環(huán)境管理體系。

強調(diào)自愿性原則。ISO14000系列標準的應用基于自愿原則。國際標準只能轉(zhuǎn)化為各個國家標準而不等同于各國法律法規(guī)，不可能強制要求組織實施，組織可以根據(jù)自己的經(jīng)濟技術(shù)等條件選擇采用。    

（二）隱私管理

很多企業(yè)在風險管理方面面臨一個極具挑戰(zhàn)性的問題，即如何保護客戶和雇員的隱私。如今，隱私保護已是一個全球性的議題。大多數(shù)企業(yè)都認識到良好的隱私控制的重要性。

1.概述

（1）責任者

隱私管理往往是組織風險管理的一部分，其至終責任在于董事會和高層管理者。內(nèi)部審計師因工作關(guān)系在隱私管理中扮演了更直接的角色。

（2）隱私的定義及內(nèi)容

《實務(wù)公告》“評估組織的隱私制度”中規(guī)定“隱私的定義根據(jù)組織所在國家的文化、政治環(huán)境、法律制度存在廣泛的差異。相關(guān)的風險隱私信息包括：個人隱私（生理體和心理的空間隱私）不受監(jiān)控溝通隱私（不受監(jiān)管），信息隱私（通過其他人收集，使用和披露個人信息）”。

個人信息通常是指與某個特定個人相關(guān)的信息，或能結(jié)合其他信息而具備辨識特征的信息。個人信息包括任何實際的或主觀推斷的信息，不論其是否記載或以何種媒介形式記載。個人信息可能包括：姓名，地址，身份證號，家庭關(guān)系；員工檔案，評價，意見，社會身份地位或違紀處分；信用記錄，收入，經(jīng)濟地位；健康狀況。

（3）隱私漏洞

隱私是個風險管理問題，“保護個人隱私的適當控制的失敗會給組織帶來嚴重的后果”。潛在漏洞普遍存在，因為隱私跨越了組織設(shè)施的許多方面。組織的網(wǎng)站，網(wǎng)絡(luò)服務(wù)，信息技術(shù)系統(tǒng)，數(shù)據(jù)庫，應用，以及與外部服務(wù)提供商和第三方的網(wǎng)絡(luò)聯(lián)系都構(gòu)成了隱私問題。

國際內(nèi)審師紅皮書——實務(wù)公告2130.A1-2信息的可靠性和完整性中針對此問題的相關(guān)標準：

內(nèi)部審計部門必須評估下列針對組織內(nèi)部治理、運營和信息系統(tǒng)等風險的控制的適當性和有效性。

總結(jié)：獲取任何個人信息都會要求內(nèi)部審計師遵守關(guān)于獲取或使用個人信息的法律；內(nèi)部審計師有能力通過設(shè)計保護個人信息的審計程序來避免一些個人信息隱私風險。例如：在某些情況下，內(nèi)部審計師可以決定不將個人信息寫入業(yè)務(wù)記錄”。

（4）隱私法律、法規(guī)和指南

這些法律往往根據(jù)管轄權(quán)的不同而不同，應咨詢法律顧問，以確保合規(guī)性。

《實務(wù)指南》“審計隱私風險”指出：良好的治理涉及識別組織的重大風險，例如，潛在個人信息的濫用、泄露和丟失，以及保證適當?shù)目刂埔詼p小這些風險。

對企業(yè)來說，良好的隱私控制的益處包括：

①保護組織的公共形象和品牌；

②保護組織的客戶和員工的寶貴數(shù)據(jù)；

③獲取市場競爭優(yōu)勢；

④遵守適用的隱私保護法律和法規(guī)；

⑤提高公信力，促進信任和信譽。

對公共部門和非營利組織來說，良好的隱私控制的益處包括：

①維護公民和非公民的信任；

②通過尊重隱私保持與非營利組織的捐贈者的關(guān)系。

（5）消費者隱私權(quán)的保護

隱私權(quán)信息交流中心（簡稱PRC）是一個可以為消費者的隱私提供相關(guān)問題幫助的組織。這是一個非營利性消費者組織，為消費者提供信息和消費者權(quán)益保護。PRC的目標包括：

①提高保護個人隱私的警覺意識。

②提供保護隱私的實用技巧。

③讓消費者采取行動保護自己的個人信息。

④回應消費者具體的與隱私相關(guān)的投訴并酌情提供幫助。

⑤將消費者的投訴記錄在報告、證詞和演講中，使它們能夠引起政策制定者、行業(yè)代表、消費者保護團體和媒體的重視。

⑥在公共政策程序中倡導保護消費者隱私權(quán)，包括立法證詞、監(jiān)管機構(gòu)聽證會、工作小組以及研究委員會。

⑦在會議、員工培訓以及公民和社區(qū)團體會議中倡導保護消費者權(quán)益。

（6）全球法律和指導

許多國家都有隱私法，但也有的國家沒有這類法律。由于國家之間的差異，諸如經(jīng)濟合作與發(fā)展組織（OECD）一類的機構(gòu)正在創(chuàng)建個人資料跨界流動的一致性。經(jīng)濟合作與發(fā)展組織的“保護隱私和個人資料的跨界流動的指導方針”包括八個核心原則：

①收集限制：建議限制對個人數(shù)據(jù)的收集量。提倡數(shù)據(jù)應當以合法公平的方式獲得，并在適當?shù)那闆r下，取得當事人的了解和贊同。

②數(shù)據(jù)質(zhì)量：建議個人數(shù)據(jù)應當與其使用目的相關(guān)。提倡數(shù)據(jù)應當準確、完整和與時俱進。

③規(guī)范目的：提倡應當在收集資料之前列出收集個人資料的目的。建議后續(xù)的使用限于滿足這些目的或其他兼容的目的。

④使用限制：主張個人資料的披露（指定目的除外）必須取得當事人的同意和法律的批準。

⑤安全保障：促進個人資料的合理保障，減少風險（如丟失或未經(jīng)授權(quán)訪問，破壞，使用，修改或曝光）。

⑥開放：提倡對于個人資料應當有一個關(guān)于發(fā)展、實踐和政策的開放的總方針。

⑦個人參與：提倡資料主體可以以收費方式方便合理地查閱個人資料，提倡數(shù)據(jù)主體可以對個人資料進行質(zhì)疑，如果質(zhì)疑成功，要對數(shù)據(jù)進行刪除、調(diào)整、完善和改進。

⑧問責制。

4.內(nèi)部審計人員和尊重隱私權(quán)（重點）

（1）董事會的工作

個人信息保護的有效性是組織治理、風險管理和控制程序的一項基本內(nèi)容，董事會負責識別組織的主要風險并采取適當?shù)目刂瞥绦蚪档惋L險，包括為組織建立必要的隱私制度并監(jiān)督其實施。

（2）內(nèi)部審計部門的工作

內(nèi)部審計部門可以通過評估管理層對與隱私目標相關(guān)風險識別的適當性，以及把這些風險降低到可接受水平的控制建立的適當性，幫助組織實現(xiàn)良好的治理和風險管理。內(nèi)部審計師在組織中處于良好位置，能夠評估隱私制度、識別重大風險并提出降低風險的適當建議。

在指導組織進行隱私制度管理的評估時，《實務(wù)公告》2130.A -2 建議內(nèi)部審計師考慮以下項目：

①考慮組織所在管轄范圍內(nèi)的相關(guān)法律、法規(guī)和 政策。

②與內(nèi)部法律顧問聯(lián)系，確定適用于組織的國家/地區(qū)法律、法規(guī)和其他標準及實務(wù)的確切性質(zhì)。

③與信息技術(shù)專家聯(lián)系，確定是否建立了信息安全和數(shù)據(jù)保護控制，并對其適當性進行定期檢查和評估。

（3）內(nèi)部審計在組織的隱私管理中的作用

內(nèi)部審計師可推動隱私方案的制定和實施，評價管理層的隱私風險評估，確定組織的需要和風險暴露情況，或為組織的隱私政策、實務(wù)和控制的效果提供確認。

注意：如果內(nèi)部審計師承擔了任何制定實施隱私方案的責任，則內(nèi)部審計師的獨立性將受到損害。

（4）內(nèi)部審計人員被期望的工作

內(nèi)部審計部門應鑒別組織所收集的有可能屬于個人或隱私信息的類別和適當性、采用的收集方法、組織對這些信息的使用是否符合原定用途并滿足相關(guān)法規(guī)的要求。在合理范圍內(nèi)，內(nèi)部審計師通常被期望做如下工作：

①確認組織收集的信息和其收集方法的類型和適當性；

②評價組織對這些信息的使用是否符合其原定的用途，是否遵守法律，是否限于信息收集、持有和使用范圍；

③鑒于隱私內(nèi)容具有很高的技術(shù)和法律方面的特性，內(nèi)部審計部門需要具備適當?shù)闹R和能力，以實施組織的隱私制度的風險和控制評估，內(nèi)部審計師可能必須尋求第三方專家的幫助來評估組織的隱私框架。

溫馨提醒：2016年內(nèi)審師備考已經(jīng)開始，歡迎廣大考生來試聽正保會計網(wǎng)校免費試聽課程，關(guān)注網(wǎng)校課程。免費試聽>> 輔導課程>>