掃碼下載APP
及時接收考試資訊及
備考信息
實務公告2130-A1.1 信息的可靠性和完整性
主要相關標準:
2130.A1——內部審計部門必須評估下列針對組織內部治理、運營和信息系統(tǒng)等風險的控制的適當性和有效性:
財務和運營信息的可靠性和有效性;
運營的效率和效果;
資產的安全;
對法律、法規(guī)及合同的遵循情況。
1、內部審計師確認高級管理層和董事會是否明確理解信息的可靠性和完整性是一項管理責任。這種管理責任包括組織的所有重要信息,而不論該信息是以何種方式儲存的。
信息的可靠性和完整性包括準確、完整和安全。
2、首席審計執(zhí)行官確認內部審計部門是否具備或有能力獲取可用的審計資源,并對信息可靠性、完整性及相關風險暴露進行評估。風險暴露包括內、外部風險暴露以及關于組織于外部實體之間關系的風險暴露。
3、首席審計執(zhí)行官確定對組織構成威脅的信息可靠性和完整性的缺陷與情況是否能迅速地告知高級管理層、董事會及內部審計部門。
4、內部審計師評估針對過去侵害行為和被認為即將發(fā)生的未來侵害企圖或事件的預防性、檢測性和減緩性措施是否有效。內部審計師確定是否已將此類威脅事件、漏洞和糾正措施適當?shù)馗嬷聲?/p>
5、內部審計師定期評估組織信息的可靠性和完整性,并酌情對改進或實施新的控制和安全保障提出建議。這種評估既可以作為獨立的業(yè)務進行,也可以作為內部審計計劃的一部分和其他審計業(yè)務一起進行。業(yè)務性質決定著向高級管理層和董事會報告的至適當程序。
實務公告2130.A1-2
主要相關標準:
2130.A1——內部審計活動必須評估下列針對組織內部治理、運營和信息系統(tǒng)等風險看控制的適當性和有效性:
財務和運營信息的可靠性和完整性;
運營的效率和效果;
資產的安全;對法律、法規(guī)及合同的遵循情況。
1、保護個人隱私的適當控制的失敗會給組織帶來嚴重后果。這種失敗可能損害個人和\或組織的信譽,使組織面臨包括法律責任在內的風險和破換消費者和\或員工信任的風險。
2、隱私的定義根據(jù)組織所在國家的文化、政治環(huán)境和法律制度而存在廣泛差異。相關的風險隱私信息包括:個人隱私(生理的和心理的),空間隱私(不受監(jiān)視),溝通隱私(不受監(jiān)管),信息保密(他人收集、使用和公布個人信息)。個人信息通常是指與某個特定個人有關的信息,或結合他人與某個特定個人相關的信息而具備辨別特征的信息。個人信息包括任何實際的或主管推斷的信息,不論其是否記載或以任何媒介形式記載。個人信息可能包括:
●姓名,地址,身份號碼,家庭關系;
●員工檔案,評價,意見,社會身份或違紀處分;
●信用記錄,收入,經濟地位;
●健康狀況。
3、個人信息保護的有效控制是治理、風險管理和控制程序的一項基本內容。至終,董事會負責識別組織的主要風險并采取適當?shù)目刂瞥绦蚪档惋L險,包括為組織建立必要的隱私制度并監(jiān)督其實施。
4、內部審計部門可以通過評估管理層對隱私目標相關風險識別的適當性以及把這些風險降低到可接受水平的控制建立的適當性,幫助組織實現(xiàn)良好的治理和風險管理。內部審計師在組織者處于良好位置,能夠評估隱私制度、識別重大風險并提出降低風險的適當建議。
5、內部審計部門鑒別組織所收集的有可能屬于個人或隱私信息的類別適當性、采用的收集方法、組織對這些信息的使用是否符合原定用途滿足相關法規(guī)的要求。
6、鑒于本公告具有很高的技術和法律方面的特性,內部審計部門需要具備適當?shù)闹R能力,以實施組織的隱私制度的風險和控制評估。
7、在指導組織的隱私制度管理的評估過程中,內部審計師應該:
●考慮組織所在管轄范圍內的相關法律、法規(guī)和政策。
●與內部法律顧問聯(lián)系,確定適用于組織和所在國家的法律、法規(guī)和其他標準及實務的確切性質。
●與信息技術專家聯(lián)系,確定是否建立了信息安全和數(shù)據(jù)保護控制,并對其適當性進行定期檢查和評估。
●考慮組織的隱私工作的水平或完備程度。根據(jù)情況,內部審計師可以起到不同作用。內部審計師可以推動隱私方案的制定和實施,評價管理層的隱私風險評估,確定組織的需要和風險暴露情況,或為組織的隱私政策、實務可控制的效果提供確認。如果內部審計師承擔了任何制定和實施隱私方案的責任,則內部審計師的獨立性將受到損害。
Copyright © 2000 - odtgfuq.cn All Rights Reserved. 北京正保會計科技有限公司 版權所有
京B2-20200959 京ICP備20012371號-7 出版物經營許可證 京公網(wǎng)安備 11010802044457號