內(nèi)審師考試《內(nèi)部審計(jì)知識(shí)要素》知識(shí)點(diǎn)：環(huán)境和社會(huì)保障

本部分重要的知識(shí)點(diǎn)為：內(nèi)部審計(jì)人員和尊重隱私權(quán)。

（一）環(huán)境管理

人類在長(zhǎng)期的生產(chǎn)、生活活動(dòng)過程不可避免的對(duì)環(huán)境造成影響。一國(guó)的嚴(yán)重污染和生態(tài)破壞發(fā)展到區(qū)域性的大范圍污染和生態(tài)破壞，甚至演化為全球性的環(huán)境問題。環(huán)境問題也成為全世界面臨的重大危機(jī)之一。

1.國(guó)際環(huán)境問題的表現(xiàn)

（1）氣候變化；

（2）臭氧層破壞（耗損）

（3）酸雨污染；

（4）生物多樣性銳減；

（5）淡水短缺；

（6）森林破壞；

（7）荒漠化；

（8）海洋污染和破壞；

（9）有毒化學(xué)品和危險(xiǎn)廢物越境轉(zhuǎn)移。

2.全球范圍內(nèi)的環(huán)境管理

由于各個(gè)國(guó)家的法律法規(guī)不相同，組織至少須遵循其所在國(guó)家的環(huán)境、社會(huì)法律和要求。通常，組織會(huì)采取更嚴(yán)格的方針或政策，以及更嚴(yán)格的國(guó)家法律法規(guī)或組織的指導(dǎo)方針。

（1）關(guān)于ISO14000

ISO14000是國(guó)際標(biāo)準(zhǔn)化組織于1993年，在舉世矚目的聯(lián)合國(guó)環(huán)境與發(fā)展大會(huì)之后，決定開始制定的標(biāo)準(zhǔn)，這是國(guó)際標(biāo)準(zhǔn)化組織針對(duì)巴西里約環(huán)發(fā)大會(huì)通過的全球21世紀(jì)議程和可持續(xù)發(fā)展戰(zhàn)略，而采取的一項(xiàng)具體行動(dòng)措施。ISO14000系列標(biāo)準(zhǔn)包括環(huán)境管理體系、環(huán)境審計(jì)、環(huán)境評(píng)價(jià)、產(chǎn)品生態(tài)標(biāo)志、產(chǎn)品壽命周期分析和產(chǎn)品具體環(huán)境要求等各個(gè)方面，是目前世界上至為全面和系統(tǒng)的環(huán)境管理的國(guó)際化標(biāo)準(zhǔn)。它吸取了世界各國(guó)特別是歐洲聯(lián)盟的英國(guó)多年來(lái)在環(huán)境管理方面的經(jīng)驗(yàn)，是各ISO成員國(guó)對(duì)人類可持續(xù)發(fā)展的貢獻(xiàn)和結(jié)晶。

ISO14000主要由環(huán)境方針、規(guī)劃、實(shí)施與運(yùn)行、檢查與糾正措施、管理評(píng)審五大要素組成，每個(gè)大要素又可分成若干個(gè)小要素，構(gòu)成建立環(huán)境管理體系的基本要求。ISO14000系列標(biāo)準(zhǔn)是通用的，既可以應(yīng)用于制造業(yè)，又可用于服務(wù)業(yè)；既可用于公共部門，又可用于私營(yíng)部門。它本身并沒有規(guī)定環(huán)境保護(hù)的水平，而是指出了環(huán)境管理體系的要求。ISO14000系列標(biāo)準(zhǔn)主要關(guān)注組織怎樣使其活動(dòng)對(duì)環(huán)境產(chǎn)生的有害影響至小化，并實(shí)現(xiàn)其環(huán)境績(jī)效水平的持續(xù)提高。ISO14000環(huán)境管理系列標(biāo)準(zhǔn)已成為目前世界上至全面和至系統(tǒng)的環(huán)境管理國(guó)際化標(biāo)準(zhǔn)，并引起世界各國(guó)政府、企業(yè)界的普遍重視和積極響應(yīng)。

①ISO14000環(huán)境管理系列標(biāo)準(zhǔn)（了解）

ISO14001：2004《環(huán)境管理體系——規(guī)范與使用指南》

ISO14010：1996《環(huán)境審核指南——通用原則》

ISO14011：1996《環(huán)境審核指南一一審核程序一一環(huán)境管理體系審核》

ISO14012：1996《環(huán)境審核指南一一環(huán)境審核員資格要求》

ISO14020：1998《環(huán)境標(biāo)志和聲明——通用原則》

ISO14040：1997《生命周期分析——原則和指南》

ISO14041：1998《生命周期分析——目標(biāo)和范圍界定清單分析》

ISO14050：1998《環(huán)境管理詞匯》

ISO導(dǎo)則64：1997《產(chǎn)品標(biāo)準(zhǔn)中環(huán)境因素導(dǎo)則》

其中，組織依據(jù)ISO14001：2004《環(huán)境管理體系——規(guī)范與使用指南》建立環(huán)境管理體系（EMS），并已通過第三方認(rèn)證機(jī)構(gòu)的認(rèn)證成為打破國(guó)際綠色壁壘、進(jìn)入歐美市場(chǎng)的準(zhǔn)入證，逐漸成為組織進(jìn)行生產(chǎn)、經(jīng)營(yíng)活動(dòng)及貿(mào)易往來(lái)的必備條件之一。

②ISO14000環(huán)境管理體系包括以下內(nèi)容：

•—項(xiàng)高層管理當(dāng)局所支持的環(huán)境政策；

•環(huán)境因素和重大影響的確認(rèn)；

•法律要求和其他方面要求的確認(rèn)；

•支持環(huán)境政策的環(huán)境宗旨、目的和目標(biāo)；

•一套環(huán)境管理方案，作用、職責(zé)和權(quán)力的定義；

•培訓(xùn)并了解程序；

•EMS與所有利益相關(guān)者的交流過程；

•文件和操作控制過程；

•應(yīng)急反應(yīng)程序；

•監(jiān)督和測(cè)量對(duì)環(huán)境可能有重大影響的經(jīng)營(yíng)活動(dòng)的程序；

•糾正不符規(guī)定的行為；

•紀(jì)錄管理程序；

•一套審計(jì)及糾正措施的方案；

•管理當(dāng)局實(shí)施檢查的程序。

③ISO14000環(huán)境管理系列標(biāo)準(zhǔn)具有以下特點(diǎn)：

強(qiáng)調(diào)污染的預(yù)防。ISO14000系列標(biāo)準(zhǔn)體現(xiàn)了國(guó)際環(huán)境保護(hù)領(lǐng)域由“末端控制”到“污染預(yù)防”的發(fā)展趨勢(shì)。環(huán)境管理體系強(qiáng)調(diào)對(duì)組織的產(chǎn)品、活動(dòng)、服務(wù)中具有或可能具有潛在環(huán)境影響的環(huán)境因素加以管理，建立嚴(yán)格的操作控制程序，保證企業(yè)環(huán)境目標(biāo)的實(shí)現(xiàn)。生命周期分析和環(huán)境表現(xiàn)評(píng)價(jià)則將環(huán)境方面的考慮納入產(chǎn)品的至初設(shè)計(jì)階段和企業(yè)活動(dòng)的策劃過程，為決策提供支持，預(yù)防環(huán)境污染的發(fā)生。這種預(yù)防措施更徹底有效、更能對(duì)產(chǎn)品發(fā)揮影響力，從而帶動(dòng)相關(guān)產(chǎn)品和行業(yè)的改進(jìn)、提高。

可操作性強(qiáng)。ISO14000系列標(biāo)準(zhǔn)體現(xiàn)了可持續(xù)發(fā)展的戰(zhàn)略思想，將先進(jìn)的環(huán)境管理經(jīng)驗(yàn)加以提煉濃縮，轉(zhuǎn)化為標(biāo)準(zhǔn)化的、可操作的管理工具和手段。標(biāo)準(zhǔn)中沒有絕對(duì)量和具體的技術(shù)要求，使得各類組織能夠根據(jù)自身情況適度運(yùn)用。

標(biāo)準(zhǔn)的廣泛適用性。ISO14000系列標(biāo)準(zhǔn)應(yīng)用領(lǐng)域廣泛，它適用于任何類型、規(guī)模、文化和社會(huì)條件下的組織，包括企業(yè)、非營(yíng)利組織和政府部門。其內(nèi)容涵蓋了組織的各個(gè)管理層次，各類組織都可以按標(biāo)準(zhǔn)所要求的內(nèi)容建立并實(shí)施環(huán)境管理體系。

強(qiáng)調(diào)自愿性原則。ISO14000系列標(biāo)準(zhǔn)的應(yīng)用基于自愿原則。國(guó)際標(biāo)準(zhǔn)只能轉(zhuǎn)化為各個(gè)國(guó)家標(biāo)準(zhǔn)而不等同于各國(guó)法律法規(guī)，不可能強(qiáng)制要求組織實(shí)施，組織可以根據(jù)自己的經(jīng)濟(jì)技術(shù)等條件選擇采用。    

（二）隱私管理

很多企業(yè)在風(fēng)險(xiǎn)管理方面面臨一個(gè)極具挑戰(zhàn)性的問題，即如何保護(hù)客戶和雇員的隱私。如今，隱私保護(hù)已是一個(gè)全球性的議題。大多數(shù)企業(yè)都認(rèn)識(shí)到良好的隱私控制的重要性。

1.概述

（1）責(zé)任者

隱私管理往往是組織風(fēng)險(xiǎn)管理的一部分，其至終責(zé)任在于董事會(huì)和高層管理者。內(nèi)部審計(jì)師因工作關(guān)系在隱私管理中扮演了更直接的角色。

（2）隱私的定義及內(nèi)容

《實(shí)務(wù)公告》“評(píng)估組織的隱私制度”中規(guī)定“隱私的定義根據(jù)組織所在國(guó)家的文化、政治環(huán)境、法律制度存在廣泛的差異。相關(guān)的風(fēng)險(xiǎn)隱私信息包括：個(gè)人隱私（生理體和心理的空間隱私）不受監(jiān)控溝通隱私（不受監(jiān)管），信息隱私（通過其他人收集，使用和披露個(gè)人信息）”。

個(gè)人信息通常是指與某個(gè)特定個(gè)人相關(guān)的信息，或能結(jié)合其他信息而具備辨識(shí)特征的信息。個(gè)人信息包括任何實(shí)際的或主觀推斷的信息，不論其是否記載或以何種媒介形式記載。個(gè)人信息可能包括：姓名，地址，身份證號(hào)，家庭關(guān)系；員工檔案，評(píng)價(jià)，意見，社會(huì)身份地位或違紀(jì)處分；信用記錄，收入，經(jīng)濟(jì)地位；健康狀況。

（3）隱私漏洞

隱私是個(gè)風(fēng)險(xiǎn)管理問題，“保護(hù)個(gè)人隱私的適當(dāng)控制的失敗會(huì)給組織帶來(lái)嚴(yán)重的后果”。潛在漏洞普遍存在，因?yàn)殡[私跨越了組織設(shè)施的許多方面。組織的網(wǎng)站，網(wǎng)絡(luò)服務(wù)，信息技術(shù)系統(tǒng)，數(shù)據(jù)庫(kù)，應(yīng)用，以及與外部服務(wù)提供商和第三方的網(wǎng)絡(luò)聯(lián)系都構(gòu)成了隱私問題。

國(guó)際內(nèi)審師紅皮書——實(shí)務(wù)公告2130.A1-2信息的可靠性和完整性中針對(duì)此問題的相關(guān)標(biāo)準(zhǔn)：

內(nèi)部審計(jì)部門必須評(píng)估下列針對(duì)組織內(nèi)部治理、運(yùn)營(yíng)和信息系統(tǒng)等風(fēng)險(xiǎn)的控制的適當(dāng)性和有效性。

總結(jié)：獲取任何個(gè)人信息都會(huì)要求內(nèi)部審計(jì)師遵守關(guān)于獲取或使用個(gè)人信息的法律；內(nèi)部審計(jì)師有能力通過設(shè)計(jì)保護(hù)個(gè)人信息的審計(jì)程序來(lái)避免一些個(gè)人信息隱私風(fēng)險(xiǎn)。例如：在某些情況下，內(nèi)部審計(jì)師可以決定不將個(gè)人信息寫入業(yè)務(wù)記錄”。

（4）隱私法律、法規(guī)和指南

這些法律往往根據(jù)管轄權(quán)的不同而不同，應(yīng)咨詢法律顧問，以確保合規(guī)性。

《實(shí)務(wù)指南》“審計(jì)隱私風(fēng)險(xiǎn)”指出：良好的治理涉及識(shí)別組織的重大風(fēng)險(xiǎn)，例如，潛在個(gè)人信息的濫用、泄露和丟失，以及保證適當(dāng)?shù)目刂埔詼p小這些風(fēng)險(xiǎn)。

對(duì)企業(yè)來(lái)說，良好的隱私控制的益處包括：

①保護(hù)組織的公共形象和品牌；

②保護(hù)組織的客戶和員工的寶貴數(shù)據(jù)；

③獲取市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)；

④遵守適用的隱私保護(hù)法律和法規(guī)；

⑤提高公信力，促進(jìn)信任和信譽(yù)。

對(duì)公共部門和非營(yíng)利組織來(lái)說，良好的隱私控制的益處包括：

①維護(hù)公民和非公民的信任；

②通過尊重隱私保持與非營(yíng)利組織的捐贈(zèng)者的關(guān)系。

（5）消費(fèi)者隱私權(quán)的保護(hù)

隱私權(quán)信息交流中心（簡(jiǎn)稱PRC）是一個(gè)可以為消費(fèi)者的隱私提供相關(guān)問題幫助的組織。這是一個(gè)非營(yíng)利性消費(fèi)者組織，為消費(fèi)者提供信息和消費(fèi)者權(quán)益保護(hù)。PRC的目標(biāo)包括：

①提高保護(hù)個(gè)人隱私的警覺意識(shí)。

②提供保護(hù)隱私的實(shí)用技巧。

③讓消費(fèi)者采取行動(dòng)保護(hù)自己的個(gè)人信息。

④回應(yīng)消費(fèi)者具體的與隱私相關(guān)的投訴并酌情提供幫助。

⑤將消費(fèi)者的投訴記錄在報(bào)告、證詞和演講中，使它們能夠引起政策制定者、行業(yè)代表、消費(fèi)者保護(hù)團(tuán)體和媒體的重視。

⑥在公共政策程序中倡導(dǎo)保護(hù)消費(fèi)者隱私權(quán)，包括立法證詞、監(jiān)管機(jī)構(gòu)聽證會(huì)、工作小組以及研究委員會(huì)。

⑦在會(huì)議、員工培訓(xùn)以及公民和社區(qū)團(tuán)體會(huì)議中倡導(dǎo)保護(hù)消費(fèi)者權(quán)益。

（6）全球法律和指導(dǎo)

許多國(guó)家都有隱私法，但也有的國(guó)家沒有這類法律。由于國(guó)家之間的差異，諸如經(jīng)濟(jì)合作與發(fā)展組織（OECD）一類的機(jī)構(gòu)正在創(chuàng)建個(gè)人資料跨界流動(dòng)的一致性。經(jīng)濟(jì)合作與發(fā)展組織的“保護(hù)隱私和個(gè)人資料的跨界流動(dòng)的指導(dǎo)方針”包括八個(gè)核心原則：

①收集限制：建議限制對(duì)個(gè)人數(shù)據(jù)的收集量。提倡數(shù)據(jù)應(yīng)當(dāng)以合法公平的方式獲得，并在適當(dāng)?shù)那闆r下，取得當(dāng)事人的了解和贊同。

②數(shù)據(jù)質(zhì)量：建議個(gè)人數(shù)據(jù)應(yīng)當(dāng)與其使用目的相關(guān)。提倡數(shù)據(jù)應(yīng)當(dāng)準(zhǔn)確、完整和與時(shí)俱進(jìn)。

③規(guī)范目的：提倡應(yīng)當(dāng)在收集資料之前列出收集個(gè)人資料的目的。建議后續(xù)的使用限于滿足這些目的或其他兼容的目的。

④使用限制：主張個(gè)人資料的披露（指定目的除外）必須取得當(dāng)事人的同意和法律的批準(zhǔn)。

⑤安全保障：促進(jìn)個(gè)人資料的合理保障，減少風(fēng)險(xiǎn)（如丟失或未經(jīng)授權(quán)訪問，破壞，使用，修改或曝光）。

⑥開放：提倡對(duì)于個(gè)人資料應(yīng)當(dāng)有一個(gè)關(guān)于發(fā)展、實(shí)踐和政策的開放的總方針。

⑦個(gè)人參與：提倡資料主體可以以收費(fèi)方式方便合理地查閱個(gè)人資料，提倡數(shù)據(jù)主體可以對(duì)個(gè)人資料進(jìn)行質(zhì)疑，如果質(zhì)疑成功，要對(duì)數(shù)據(jù)進(jìn)行刪除、調(diào)整、完善和改進(jìn)。

⑧問責(zé)制。

4.內(nèi)部審計(jì)人員和尊重隱私權(quán)（重點(diǎn)）

（1）董事會(huì)的工作

個(gè)人信息保護(hù)的有效性是組織治理、風(fēng)險(xiǎn)管理和控制程序的一項(xiàng)基本內(nèi)容，董事會(huì)負(fù)責(zé)識(shí)別組織的主要風(fēng)險(xiǎn)并采取適當(dāng)?shù)目刂瞥绦蚪档惋L(fēng)險(xiǎn)，包括為組織建立必要的隱私制度并監(jiān)督其實(shí)施。

（2）內(nèi)部審計(jì)部門的工作

內(nèi)部審計(jì)部門可以通過評(píng)估管理層對(duì)與隱私目標(biāo)相關(guān)風(fēng)險(xiǎn)識(shí)別的適當(dāng)性，以及把這些風(fēng)險(xiǎn)降低到可接受水平的控制建立的適當(dāng)性，幫助組織實(shí)現(xiàn)良好的治理和風(fēng)險(xiǎn)管理。內(nèi)部審計(jì)師在組織中處于良好位置，能夠評(píng)估隱私制度、識(shí)別重大風(fēng)險(xiǎn)并提出降低風(fēng)險(xiǎn)的適當(dāng)建議。

在指導(dǎo)組織進(jìn)行隱私制度管理的評(píng)估時(shí)，《實(shí)務(wù)公告》2130.A -2 建議內(nèi)部審計(jì)師考慮以下項(xiàng)目：

①考慮組織所在管轄范圍內(nèi)的相關(guān)法律、法規(guī)和 政策。

②與內(nèi)部法律顧問聯(lián)系，確定適用于組織的國(guó)家/地區(qū)法律、法規(guī)和其他標(biāo)準(zhǔn)及實(shí)務(wù)的確切性質(zhì)。

③與信息技術(shù)專家聯(lián)系，確定是否建立了信息安全和數(shù)據(jù)保護(hù)控制，并對(duì)其適當(dāng)性進(jìn)行定期檢查和評(píng)估。

（3）內(nèi)部審計(jì)在組織的隱私管理中的作用

內(nèi)部審計(jì)師可推動(dòng)隱私方案的制定和實(shí)施，評(píng)價(jià)管理層的隱私風(fēng)險(xiǎn)評(píng)估，確定組織的需要和風(fēng)險(xiǎn)暴露情況，或?yàn)榻M織的隱私政策、實(shí)務(wù)和控制的效果提供確認(rèn)。

注意：如果內(nèi)部審計(jì)師承擔(dān)了任何制定實(shí)施隱私方案的責(zé)任，則內(nèi)部審計(jì)師的獨(dú)立性將受到損害。

（4）內(nèi)部審計(jì)人員被期望的工作

內(nèi)部審計(jì)部門應(yīng)鑒別組織所收集的有可能屬于個(gè)人或隱私信息的類別和適當(dāng)性、采用的收集方法、組織對(duì)這些信息的使用是否符合原定用途并滿足相關(guān)法規(guī)的要求。在合理范圍內(nèi)，內(nèi)部審計(jì)師通常被期望做如下工作：

①確認(rèn)組織收集的信息和其收集方法的類型和適當(dāng)性；

②評(píng)價(jià)組織對(duì)這些信息的使用是否符合其原定的用途，是否遵守法律，是否限于信息收集、持有和使用范圍；

③鑒于隱私內(nèi)容具有很高的技術(shù)和法律方面的特性，內(nèi)部審計(jì)部門需要具備適當(dāng)?shù)闹R(shí)和能力，以實(shí)施組織的隱私制度的風(fēng)險(xiǎn)和控制評(píng)估，內(nèi)部審計(jì)師可能必須尋求第三方專家的幫助來(lái)評(píng)估組織的隱私框架。

溫馨提醒：2016年內(nèi)審師備考已經(jīng)開始，歡迎廣大考生來(lái)試聽正保會(huì)計(jì)網(wǎng)校免費(fèi)試聽課程，關(guān)注網(wǎng)校課程。免費(fèi)試聽>> 輔導(dǎo)課程>>