2130.A1——内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性:
财务和运营信息的可靠性和有效性;
运营的效率和效果;
资产的安全;考试资料 考 试 网
对法律、法规及合同的遵循情况。
1、内部审计师确认高级管理层和董事会是否明确理解信息的可靠性和完整性是一项管理责任。这种管理责任包括组织的所有重要信息,而不论该信息是以何种方式储存的。
信息的可靠性和完整性包括准确、完整和安全。
2、首席审计执行官确认内部审计部门是否具备或有能力获取可用的审计资源,并对信息可靠性、完整性及相关风险暴露进行评估。风险暴露包括内、外部风险暴露以及关于组织于外部实体之间关系的风险暴露。
3、首席审计执行官确定对组织构成威胁的信息可靠性和完整性的缺陷与情况是否能迅速地告知高级管理层、董事会及内部审计部门。
4、内部审计师评估针对过去侵害行为和被认为即将发生的未来侵害企图或事件的预防性、检测性和减缓性措施是否有效。内部审计师确定是否已将此类威胁事件、漏洞和纠正措施适当地告知董事会。
5、内部审计师定期评估组织信息的可靠性和完整性,并酌情对改进或实施新的控制和安全保障提出建议。这种评估既可以作为独立的业务进行,也可以作为内部审计计划的一部分和其他审计业务一起进行。业务性质决定着向高级管理层和董事会报告的最适当程序。
实务公告2130.A1-2
主要相关标准:
2130.A1——内部审计活动必须评估下列针对组织内部治理、运营和信息系统等风险看控制的适当性和有效性:
财务和运营信息的可靠性和完整性;
运营的效率和效果;
资产的安全;对法律、法规及合同的遵循情况。
1、保护个人隐私的适当控制的失败会给组织带来严重后果。这种失败可能损害个人和/或组织的信誉,使组织面临包括法律责任在内的风险和破换消费者和/或员工信任的风险。
2、隐私的定义根据组织所在国家的文化、政治环境和法律制度而存在广泛差异。相关的风险隐私信息包括:个人隐私(生理的和心理的),空间隐私(不受监视),沟通隐私(不受监管),信息保密(他人收集、使用和公布个人信息)。个人信息通常是指与某个特定个人有关的信息,或结合他人与某个特定个人相关的信息而具备辨别特征的信息。个人信息包括任何实际的或主管推断的信息,不论其是否记载或以任何媒介形式记载。个人信息可能包括:
