隐私管理

　　很多企业在风险管理方面面临一个极具挑战性的问题，即如何保护客户和雇员的隐私。如今，隐私保护已是一个全球性的议题。大多数企业都认识到良好的隐私控制的重要性。

　　1.概述

　　(1)责任者

　　隐私管理往往是组织风险管理的一部分，其最终责任在于董事会和高层管理者。内部审计师因工作关系在隐私管理中扮演了更直接的角色。

　　(2)隐私的定义及内容

　　《实务公告》“评估组织的隐私制度”中规定“隐私的定义根据组织所在国家的文化、政治环境、法律制度存在广泛的差异。相关的风险隐私信息包括：个人隐私(生理体和心理的空间隐私)不受监控沟通隐私(不受监管)，信息隐私(通过其他人收集，使用和披露个人信息)”。

　　个人信息通常是指与某个特定个人相关的信息，或能结合其他信息而具备辨识特征的信息。个人信息包括任何实际的或主观推断的信息，不论其是否记载或以何种媒介形式记载。个人信息可能包括：姓名，地址，身份证号，家庭关系;员工档案，评价，意见，社会身份地位或违纪处分;信用记录，收入，经济地位;健康状况。

　　(3)隐私漏洞

　　隐私是个风险管理问题，“保护个人隐私的适当控制的失败会给组织带来严重的后果”。潜在漏洞普遍存在，因为隐私跨越了组织设施的许多方面。组织的网站，网络服务，信息技术系统，数据库，应用，以及与外部服务提供商和第三方的网络联系都构成了隐私问题。

　　国际内审师红皮书——实务公告2130.A1-2信息的可靠性和完整性中针对此问题的相关标准：

　　内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性。

　　总结：获取任何个人信息都会要求内部审计师遵守关于获取或使用个人信息的法律;内部审计师有能力通过设计保护个人信息的审计程序来避免一些个人信息隐私风险。例如：在某些情况下，内部审计师可以决定不将个人信息写入业务记录”。

　　(4)隐私法律、法规和指南

　　这些法律往往根据管辖权的不同而不同，应咨询法律顾问，以确保合规性。

　　《实务指南》“审计隐私风险”指出：良好的治理涉及识别组织的重大风险，例如，潜在个人信息的滥用、泄露和丢失，以及保证适当的控制以减小这些风险。

　　对企业来说，良好的隐私控制的益处包括：

　　①保护组织的公共形象和品牌;

　　②保护组织的客户和员工的宝贵数据;

　　③获取市场竞争优势;

　　④遵守适用的隐私保护法律和法规;

　　⑤提高公信力，促进信任和信誉。

　　对公共部门和非营利组织来说，良好的隐私控制的益处包括：

　　①维护公民和非公民的信任;

　　②通过尊重隐私保持与非营利组织的捐赠者的关系。