國際內(nèi)審師考試內(nèi)部審計實務(wù)標準（紅皮書）(25)

實務(wù)公告 2100－8：內(nèi)部審計師在評價組織的隱私制度中的作用
    解釋《國際內(nèi)部審計專業(yè)實務(wù)標準》中的第2100條標準
    本實務(wù)公告性質(zhì)
    內(nèi)部審計師評價組織的有關(guān)保密制度時應(yīng)當考慮以下建議。本實務(wù)公告無意囊括涉及保密制度的綜合性確認或咨詢業(yè)務(wù)所需要的所有程序，僅推薦一毓高層次審計師的責任，以補充董事會和管理層的相關(guān)責任。
    1．信息技術(shù)和交流手段的改進，不斷地對隱私帶來新的風險和威脅，有關(guān)個人隱私保護的考慮更加明顯、集中和全球化。在世界大多數(shù)國家從事經(jīng)營活動，隱私控制是一項法律要求。
    2．隱私的定義根據(jù)國家、文化、政治環(huán)境和法律制度的不同而存在廣泛的差異。隱私可以包含個人秘密（身體的和心理的）；活動自由（不受監(jiān)視）；言論交流自由（不受監(jiān)督）；以及信息保密（由他人收集、使用、公布個人資料）。個人資料通常指與某個特定個人有關(guān)的信息，或具備辨識特征，有可能結(jié)合其他信息與特定個人相聯(lián)系的信息。個人資料包括任何客觀或主觀的信息，不論其是否記載或以何種形式或媒介記載，例如：
    姓名，地址，身份號碼，收入，血型； 評價，意見，社會地位，紀律措施； 雇員檔案，信用記錄，貸款記錄。
    3．隱私屬于風險管理內(nèi)容。未能通過適當?shù)目刂拼胧┍Ｗo隱私和個人資料可能對組織造成嚴重的影響。例如，可能損害個人或組織的聲譽，引起法律責任事項，引發(fā)客戶和雇員的猜疑。
    4．全球范圍內(nèi)已經(jīng)制定了一系列有關(guān)保護個人信息珠法律法規(guī)。同時，還可以適用相關(guān)的公認政策和實踐作法。
    5．有效的隱私保護實踐有助于良好的治理和責任。管理部門（例如，董事會，單位負責人，立法組織）有責任控制已確認的組織的重要風險，并實施適當?shù)拇胧┙档瓦@些風險，包括為組織建立必要的隱私制度并監(jiān)督其實施。
    6．內(nèi)部審計師通過幫助組織實現(xiàn)其保護隱私的目標，有助于保證有效的治理和責任。內(nèi)部審計師處于獨特的位置評價所在組織的隱私制度，確認重大風險同時對降低風險提出適當?shù)慕ㄗh。
    7．內(nèi)部審計師對隱私制度實施評價的過程中應(yīng)當考慮以下方面：
    不同管轄范圍關(guān)于隱私的不同法律、法規(guī)、政策（包括組織開展業(yè)務(wù)的所在的管轄范圍）； 與內(nèi)部法律顧問聯(lián)系，確定適用于組織或經(jīng)營活動所在國的上述法律、法規(guī)、其他標準實務(wù)的具體性質(zhì)； 與信息技術(shù)專家聯(lián)系，確保有適當?shù)男畔踩蛿?shù)據(jù)保護控制，并且定期對其適當性進行檢查和評價； 組織的隱私工作的水平和完備情況。根據(jù)不同的情況，內(nèi)部審計師可以起到不同的作用。內(nèi)部審計師可以協(xié)助制定和實施隱私計劃，開展隱私風險評估，決定組織的需要及風險暴露情況；或檢查組織現(xiàn)有的隱私方面的政策、實務(wù)和控制，對其有效性提供保證。如果內(nèi)部審計師承擔一部分制定和實施隱私計劃的責任，那么審計師的獨立性可能受到損害。
    8．內(nèi)部審計師在這方面的活動，有代表性的有，確認其所在組織收集的個人信息或私有信息的類型和適當性，采用的收集方法，組織對這些信息的使用是否符合原定的用途，是否遵守法律，是否限于信息收集、持有和使用的范圍。
    9．鑒于本專題具有很高的技術(shù)和法律方面的特性，內(nèi)部審計師應(yīng)當保證具備全面的相關(guān)知識和能力實施對隱私制度的評估，必要時，應(yīng)當聘用第三方專家。