国际内审师(CIA)红皮书-实务公告(17)

　　实务公告2130-A1.1 信息的可靠性和完整性

　　主要相关标准：

　　2130.A1——内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性：

　　财务和运营信息的可靠性和有效性；

　　运营的效率和效果；

　　资产的安全；

　　对法律、法规及合同的遵循情况。

　　1、内部审计师确认高级管理层和董事会是否明确理解信息的可靠性和完整性是一项管理责任。这种管理责任包括组织的所有重要信息，而不论该信息是以何种方式储存的。

　　信息的可靠性和完整性包括准确、完整和安全。

　　2、首席审计执行官确认内部审计部门是否具备或有能力获取可用的审计资源，并对信息可靠性、完整性及相关风险暴露进行评估。风险暴露包括内、外部风险暴露以及关于组织于外部实体之间关系的风险暴露。

　　3、首席审计执行官确定对组织构成威胁的信息可靠性和完整性的缺陷与情况是否能迅速地告知高级管理层、董事会及内部审计部门。

　　4、内部审计师评估针对过去侵害行为和被认为即将发生的未来侵害企图或事件的预防性、检测性和减缓性措施是否有效。内部审计师确定是否已将此类威胁事件、漏洞和纠正措施适当地告知董事会。

　　5、内部审计师定期评估组织信息的可靠性和完整性，并酌情对改进或实施新的控制和安全保障提出建议。这种评估既可以作为独立的业务进行，也可以作为内部审计计划的一部分和其他审计业务一起进行。业务性质决定着向高级管理层和董事会报告的至适当程序。

　　实务公告2130.A1-2

　　主要相关标准：

　　2130.A1——内部审计活动必须评估下列针对组织内部治理、运营和信息系统等风险看控制的适当性和有效性：

　　财务和运营信息的可靠性和完整性；

　　运营的效率和效果；

　　资产的安全；对法律、法规及合同的遵循情况。

　　1、保护个人隐私的适当控制的失败会给组织带来严重后果。这种失败可能损害个人和\或组织的信誉，使组织面临包括法律责任在内的风险和破换消费者和\或员工信任的风险。

　　2、隐私的定义根据组织所在国家的文化、政治环境和法律制度而存在广泛差异。相关的风险隐私信息包括：个人隐私（生理的和心理的），空间隐私（不受监视），沟通隐私（不受监管），信息保密（他人收集、使用和公布个人信息）。个人信息通常是指与某个特定个人有关的信息，或结合他人与某个特定个人相关的信息而具备辨别特征的信息。个人信息包括任何实际的或主管推断的信息，不论其是否记载或以任何媒介形式记载。个人信息可能包括：

　　●姓名，地址，身份号码，家庭关系；

　　●员工档案，评价，意见，社会身份或违纪处分；

　　●信用记录，收入，经济地位；

　　●健康状况。

　　3、个人信息保护的有效控制是治理、风险管理和控制程序的一项基本内容。至终，董事会负责识别组织的主要风险并采取适当的控制程序降低风险，包括为组织建立必要的隐私制度并监督其实施。

　　4、内部审计部门可以通过评估管理层对隐私目标相关风险识别的适当性以及把这些风险降低到可接受水平的控制建立的适当性，帮助组织实现良好的治理和风险管理。内部审计师在组织者处于良好位置，能够评估隐私制度、识别重大风险并提出降低风险的适当建议。

　　5、内部审计部门鉴别组织所收集的有可能属于个人或隐私信息的类别适当性、采用的收集方法、组织对这些信息的使用是否符合原定用途满足相关法规的要求。

　　6、鉴于本公告具有很高的技术和法律方面的特性，内部审计部门需要具备适当的知识能力，以实施组织的隐私制度的风险和控制评估。

　　7、在指导组织的隐私制度管理的评估过程中，内部审计师应该：

　　●考虑组织所在管辖范围内的相关法律、法规和政策。

　　●与内部法律顾问联系，确定适用于组织和所在国家的法律、法规和其他标准及实务的确切性质。

　　●与信息技术专家联系，确定是否建立了信息安全和数据保护控制，并对其适当性进行定期检查和评估。

　　●考虑组织的隐私工作的水平或完备程度。根据情况，内部审计师可以起到不同作用。内部审计师可以推动隐私方案的制定和实施，评价管理层的隐私风险评估，确定组织的需要和风险暴露情况，或为组织的隐私政策、实务可控制的效果提供确认。如果内部审计师承担了任何制定和实施隐私方案的责任，则内部审计师的独立性将受到损害。

　　相关链接：国际内审师(CIA)红皮书2009年1月修订版汇总