國際內(nèi)審師(CIA)紅皮書-實務(wù)公告(17)

　　實務(wù)公告2130-A1.1 信息的可靠性和完整性

　　主要相關(guān)標準：

　　2130.A1——內(nèi)部審計部門必須評估下列針對組織內(nèi)部治理、運營和信息系統(tǒng)等風險的控制的適當性和有效性：

　　財務(wù)和運營信息的可靠性和有效性；

　　運營的效率和效果；

　　資產(chǎn)的安全；

　　對法律、法規(guī)及合同的遵循情況。

　　1、內(nèi)部審計師確認高級管理層和董事會是否明確理解信息的可靠性和完整性是一項管理責任。這種管理責任包括組織的所有重要信息，而不論該信息是以何種方式儲存的。

　　信息的可靠性和完整性包括準確、完整和安全。

　　2、首席審計執(zhí)行官確認內(nèi)部審計部門是否具備或有能力獲取可用的審計資源，并對信息可靠性、完整性及相關(guān)風險暴露進行評估。風險暴露包括內(nèi)、外部風險暴露以及關(guān)于組織于外部實體之間關(guān)系的風險暴露。

　　3、首席審計執(zhí)行官確定對組織構(gòu)成威脅的信息可靠性和完整性的缺陷與情況是否能迅速地告知高級管理層、董事會及內(nèi)部審計部門。

　　4、內(nèi)部審計師評估針對過去侵害行為和被認為即將發(fā)生的未來侵害企圖或事件的預(yù)防性、檢測性和減緩性措施是否有效。內(nèi)部審計師確定是否已將此類威脅事件、漏洞和糾正措施適當?shù)馗嬷聲?/p>

　　5、內(nèi)部審計師定期評估組織信息的可靠性和完整性，并酌情對改進或?qū)嵤┬碌目刂坪桶踩Ｕ咸岢鼋ㄗh。這種評估既可以作為獨立的業(yè)務(wù)進行，也可以作為內(nèi)部審計計劃的一部分和其他審計業(yè)務(wù)一起進行。業(yè)務(wù)性質(zhì)決定著向高級管理層和董事會報告的至適當程序。

　　實務(wù)公告2130.A1-2

　　主要相關(guān)標準：

　　2130.A1——內(nèi)部審計活動必須評估下列針對組織內(nèi)部治理、運營和信息系統(tǒng)等風險看控制的適當性和有效性：

　　財務(wù)和運營信息的可靠性和完整性；

　　運營的效率和效果；

　　資產(chǎn)的安全；對法律、法規(guī)及合同的遵循情況。

　　1、保護個人隱私的適當控制的失敗會給組織帶來嚴重后果。這種失敗可能損害個人和\或組織的信譽，使組織面臨包括法律責任在內(nèi)的風險和破換消費者和\或員工信任的風險。

　　2、隱私的定義根據(jù)組織所在國家的文化、政治環(huán)境和法律制度而存在廣泛差異。相關(guān)的風險隱私信息包括：個人隱私（生理的和心理的），空間隱私（不受監(jiān)視），溝通隱私（不受監(jiān)管），信息保密（他人收集、使用和公布個人信息）。個人信息通常是指與某個特定個人有關(guān)的信息，或結(jié)合他人與某個特定個人相關(guān)的信息而具備辨別特征的信息。個人信息包括任何實際的或主管推斷的信息，不論其是否記載或以任何媒介形式記載。個人信息可能包括：

　　●姓名，地址，身份號碼，家庭關(guān)系；

　　●員工檔案，評價，意見，社會身份或違紀處分；

　　●信用記錄，收入，經(jīng)濟地位；

　　●健康狀況。

　　3、個人信息保護的有效控制是治理、風險管理和控制程序的一項基本內(nèi)容。至終，董事會負責識別組織的主要風險并采取適當?shù)目刂瞥绦蚪档惋L險，包括為組織建立必要的隱私制度并監(jiān)督其實施。

　　4、內(nèi)部審計部門可以通過評估管理層對隱私目標相關(guān)風險識別的適當性以及把這些風險降低到可接受水平的控制建立的適當性，幫助組織實現(xiàn)良好的治理和風險管理。內(nèi)部審計師在組織者處于良好位置，能夠評估隱私制度、識別重大風險并提出降低風險的適當建議。

　　5、內(nèi)部審計部門鑒別組織所收集的有可能屬于個人或隱私信息的類別適當性、采用的收集方法、組織對這些信息的使用是否符合原定用途滿足相關(guān)法規(guī)的要求。

　　6、鑒于本公告具有很高的技術(shù)和法律方面的特性，內(nèi)部審計部門需要具備適當?shù)闹R能力，以實施組織的隱私制度的風險和控制評估。

　　7、在指導(dǎo)組織的隱私制度管理的評估過程中，內(nèi)部審計師應(yīng)該：

　　●考慮組織所在管轄范圍內(nèi)的相關(guān)法律、法規(guī)和政策。

　　●與內(nèi)部法律顧問聯(lián)系，確定適用于組織和所在國家的法律、法規(guī)和其他標準及實務(wù)的確切性質(zhì)。

　　●與信息技術(shù)專家聯(lián)系，確定是否建立了信息安全和數(shù)據(jù)保護控制，并對其適當性進行定期檢查和評估。

　　●考慮組織的隱私工作的水平或完備程度。根據(jù)情況，內(nèi)部審計師可以起到不同作用。內(nèi)部審計師可以推動隱私方案的制定和實施，評價管理層的隱私風險評估，確定組織的需要和風險暴露情況，或為組織的隱私政策、實務(wù)可控制的效果提供確認。如果內(nèi)部審計師承擔了任何制定和實施隱私方案的責任，則內(nèi)部審計師的獨立性將受到損害。

　　相關(guān)鏈接：國際內(nèi)審師(CIA)紅皮書2009年1月修訂版匯總