解释《国际内部审计专业实务标准》中的第2100条标准

本实务公告性质

内部审计师评价组织的有关保密制度时应当考虑以下建议。本实务公告无意囊括涉及保密制度的综合性确认或咨询业务所需要的所有程序，仅推荐一毓高层次审计师的责任，以补充董事会和管理层的相关责任。

1．信息技术和交流手段的改进，不断地对隐私带来新的风险和威胁，有关个人隐私保护的考虑更加明显、集中和全球化。在世界大多数国家从事经营活动，隐私控制是一项法律要求。

2．隐私的定义根据国家、文化、政治环境和法律制度的不同而存在广泛的差异。隐私可以包含个人秘密（身体的和心理的）；活动自由（不受监视）；言论交流自由（不受监督）；以及信息保密（由他人收集、使用、公布个人资料）。个人资料通常指与某个特定个人有关的信息，或具备辨识特征，有可能结合其他信息与特定个人相联系的信息。个人资料包括任何客观或主观的信息，不论其是否记载或以何种形式或媒介记载，例如：

姓名，地址，身份号码，收入，血型； 评价，意见，社会地位，纪律措施； 雇员档案，信用记录，贷款记录。

3．隐私属于风险管理内容。未能通过适当的控制措施保护隐私和个人资料可能对组织造成严重的影响。例如，可能损害个人或组织的声誉，引起法律责任事项，引发客户和雇员的猜疑。

4．全球范围内已经制定了一系列有关保护个人信息珠法律法规。同时，还可以适用相关的公认政策和实践作法。

5．有效的隐私保护实践有助于良好的治理和责任。管理部门（例如，董事会，单位负责人，立法组织）有责任控制已确认的组织的重要风险，并实施适当的措施降低这些风险，包括为组织建立必要的隐私制度并监督其实施。

6．内部审计师通过帮助组织实现其保护隐私的目标，有助于保证有效的治理和责任。内部审计师处于独特的位置评价所在组织的隐私制度，确认重大风险同时对降低风险提出适当的建议。

7．内部审计师对隐私制度实施评价的过程中应当考虑以下方面： 考试资料网(www．PPkao。com)

不同管辖范围关于隐私的不同法律、法规、政策（包括组织开展业务的所在的管辖范围）； 与内部法律顾问联系，确定适用于组织或经营活动所在国的上述法律、法规、其他标准实务的具体性质； 与信息技术专家联系，确保有适当的信息安全和数据保护控制，并且定期对其适当性进行检查和评价； 组织的隐私工作的水平和完备情况。根据不同的情况，内部审计师可以起到不同的作用。内部审计师可以协助制定和实施隐私计划，开展隐私风险评估，决定组织的需要及风险暴露情况；或检查组织现有的隐私方面的政策、实务和控制，对其有效性提供保证。如果内部审计师承担一部分制定和实施隐私计划的责任，那么审计师的独立性可能受到损害。

8．内部审计师在这方面的活动，有代表性的有，确认其所在组织收集的个人信息或私有信息的类型和适当性，采用的收集方法，组织对这些信息的使用是否符合原定的用途，是否遵守法律，是否限于信息收集、持有和使用的范围。

9．鉴于本专题具有很高的技术和法律方面的特性，内部审计师应当保证具备全面的相关知识和能力实施对隐私制度的评估，必要时，应当聘用第三方专家。