在指导组织进行隐私制度管理的评估时，《实务公告》2130.A -2 建议内部审计师考虑以下项目：

①考虑组织所在管辖范围内的相关法律、法规和政策。

②与内部法律顾问联系，确定适用于组织的国家/地区法律、法规和其他标准及实务的确切性质。

③与信息技术专家联系，确定是否建立了信息安全和数据保护控制，并对其适当性进行定期检查和评估。

（3）内部审计在组织的隐私管理中的作用

内部审计师可推动隐私方案的制定和实施，评价管理层的隐私风险评估，确定组织的需要和风险暴露情况，或为组织的隐私政策、实务和控制的效果提供确认。

注意：如果内部审计师承担了任何制定实施隐私方案的责任，则内部审计师的独立性将受到损害。

（4）内部审计人员被期望的工作

内部审计部门应鉴别组织所收集的有可能属于个人或隐私信息的类别和适当性、采用的收集方法、组织对这些信息的使用是否符合原定用途并满足相关法规的要求。在合理范围内，内部审计师通常被期望做如下工作：

①确认组织收集的信息和其收集方法的类型和适当性；

②评价组织对这些信息的使用是否符合其原定的用途，是否遵守法律，是否限于信息收集、持有和使用范围；

③鉴于隐私内容具有很高的技术和法律方面的特性，内部审计部门需要具备适当的知识和能力，以实施组织的隐私制度的风险和控制评估，内部审计师可能必须寻求第三方专家的帮助来评估组织的隐私框架。