7．部门政策应该解释以下内容：

组织内部由谁负责保证部门记录的控制和安全?

谁可以获得接触业务记录的授权？

如何处理对业务记录的接触要求?

8．授权接触业务记录的政策还应该处理以下问题： 考试资料 考 试 网

解决接触问题的过程；

每种工作成果的保留时间；

就接触工作成果所带来的风险和问题对内部审计人员进行教育和重新教育的过程；

在行业中进行定期调查、以确定谁可能在将来提出接触工作成果的要求。

9．政策应该指导内部审计师确定何时审计成为一种需要与律师一起开展的调查活动，并确定在与法律顾问沟通时内部审计师需要遵守哪些特殊程序。政策还应该规定签署恰当的留置函，以便使提供给律师的信息得到保密权的保护。

10．内部审计师还应该使董事会和管理层了解接触业务记录所带来的风险。关于谁可以得到授权接触业务记录，如何处理这些接触要求，在审计成为调查时应该遵守哪些程序等方面的政策都应该得到董事会审计委员会(或其他相应治理组织)的审查。具体政策则根据组织性质和法律规定的接触权利的不同而不同。

11．如果要求披露信息，那么，谨慎编制审计记录是非常重要的。可以考虑以下步骤：

只披露要求披露的具体文件。一般不提供带有意见和建议的业务记录。揭示律师思路或战略的文件一般得到保密权的保护，不能强迫它们披露。

保留原件，只提供复印件，当文件是用铅笔编写时更应如此。如果法院要求原件，内部审计部门应该保留复印件。

在每份文件上注明“保密”字样，并在每份文件上注明：未经同意，不得分发。