(一)环境管理

　　人类在长期的生产、生活活动过程不可避免的对环境造成影响。一国的严重污染和生态破坏发展到区域性的大范围污染和生态破坏，甚至演化为全球性的环境问题。环境问题也成为全世界面临的重大危机之一。

　　1.国际环境问题的表现

　　(1)气候变化;

　　(2)臭氧层破坏(耗损)

　　(3)酸雨污染;

　　(4)生物多样性锐减;

　　(5)淡水短缺;

　　(6)森林破坏;

　　(7)荒漠化;

　　(8)海洋污染和破坏;

　　(9)有毒化学品和危险废物越境转移。

　　2.全球范围内的环境管理

　　由于各个国家的法律法规不相同，组织至少须遵循其所在国家的环境、社会法律和要求。通常，组织会采取更严格的方针或政策，以及更严格的国家法律法规或组织的指导方针。

　　(1)关于ISO14000

　　ISO14000是国际标准化组织于1993年，在举世瞩目的联合国环境与发展大会之后，决定开始制定的标准，这是国际标准化组织针对巴西里约环发大会通过的全球21世纪议程和可持续发展战略，而采取的一项具体行动措施。ISO14000系列标准包括环境管理体系、环境审计、环境评价、产品生态标志、产品寿命周期分析和产品具体环境要求等各个方面，是目前世界上最为全面和系统的环境管理的国际化标准。它吸取了世界各国特别是欧洲联盟的英国多年来在环境管理方面的经验，是各ISO成员国对人类可持续发展的贡献和结晶。

　　ISO14000主要由环境方针、规划、实施与运行、检查与纠正措施、管理评审五大要素组成，每个大要素又可分成若干个小要素，构成建立环境管理体系的基本要求。ISO14000系列标准是通用的，既可以应用于制造业，又可用于服务业;既可用于公共部门，又可用于私营部门。它本身并没有规定环境保护的水平，而是指出了环境管理体系的要求。ISO14000系列标准主要关注组织怎样使其活动对环境产生的有害影响最小化，并实现其环境绩效水平的持续提高。ISO14000环境管理系列标准已成为目前世界上最全面和最系统的环境管理国际化标准，并引起世界各国政府、企业界的普遍重视和积极响应。

　　①ISO14000环境管理系列标准(了解)

　　ISO14001：2004《环境管理体系——规范与使用指南》

　　ISO14010：1996《环境审核指南——通用原则》

　　ISO14011：1996《环境审核指南一一审核程序一一环境管理体系审核》

　　ISO14012：1996《环境审核指南一一环境审核员资格要求》

　　ISO14020：1998《环境标志和声明——通用原则》

　　ISO14040：1997《生命周期分析——原则和指南》

　　ISO14041：1998《生命周期分析——目标和范围界定清单分析》

　　ISO14050：1998《环境管理词汇》

　　ISO导则64：1997《产品标准中环境因素导则》

　　其中，组织依据ISO14001：2004《环境管理体系——规范与使用指南》建立环境管理体系(EMS)，并已通过第三方认证机构的认证成为打破国际绿色壁垒、进入欧美市场的准入证，逐渐成为组织进行生产、经营活动及贸易往来的必备条件之一。

　　②ISO14000环境管理体系包括以下内容：

　　•—项高层管理当局所支持的环境政策;

　　•环境因素和重大影响的确认;

　　•法律要求和其他方面要求的确认;

　　•支持环境政策的环境宗旨、目的和目标;

　　•一套环境管理方案，作用、职责和权力的定义;

　　•培训并了解程序;

　　•EMS与所有利益相关者的交流过程;

　　•文件和操作控制过程;

　　•应急反应程序;

　　•监督和测量对环境可能有重大影响的经营活动的程序;

　　•纠正不符规定的行为;

　　•纪录管理程序;

　　•一套审计及纠正措施的方案;

　　•管理当局实施检查的程序。

　　③ISO14000环境管理系列标准具有以下特点：

　　强调污染的预防。ISO14000系列标准体现了国际环境保护领域由“末端控制”到“污染预防”的发展趋势。环境管理体系强调对组织的产品、活动、服务中具有或可能具有潜在环境影响的环境因素加以管理，建立严格的操作控制程序，保证企业环境目标的实现。生命周期分析和环境表现评价则将环境方面的考虑纳入产品的最初设计阶段和企业活动的策划过程，为决策提供支持，预防环境污染的发生。这种预防措施更彻底有效、更能对产品发挥影响力，从而带动相关产品和行业的改进、提高。

　　可操作性强。ISO14000系列标准体现了可持续发展的战略思想，将先进的环境管理经验加以提炼浓缩，转化为标准化的、可操作的管理工具和手段。标准中没有绝对量和具体的技术要求，使得各类组织能够根据自身情况适度运用。

　　标准的广泛适用性。ISO14000系列标准应用领域广泛，它适用于任何类型、规模、文化和社会条件下的组织，包括企业、非营利组织和政府部门。其内容涵盖了组织的各个管理层次，各类组织都可以按标准所要求的内容建立并实施环境管理体系。

　　强调自愿性原则。ISO14000系列标准的应用基于自愿原则。国际标准只能转化为各个国家标准而不等同于各国法律法规，不可能强制要求组织实施，组织可以根据自己的经济技术等条件选择采用。

　　(二)隐私管理

　　很多企业在风险管理方面面临一个极具挑战性的问题，即如何保护客户和雇员的隐私。如今，隐私保护已是一个全球性的议题。大多数企业都认识到良好的隐私控制的重要性。

　　1.概述

　　(1)责任者

　　隐私管理往往是组织风险管理的一部分，其最终责任在于董事会和高层管理者。内部审计师因工作关系在隐私管理中扮演了更直接的角色。

　　(2)隐私的定义及内容

　　《实务公告》“评估组织的隐私制度”中规定“隐私的定义根据组织所在国家的文化、政治环境、法律制度存在广泛的差异。相关的风险隐私信息包括：个人隐私(生理体和心理的空间隐私)不受监控沟通隐私(不受监管)，信息隐私(通过其他人收集，使用和披露个人信息)”。

　　个人信息通常是指与某个特定个人相关的信息，或能结合其他信息而具备辨识特征的信息。个人信息包括任何实际的或主观推断的信息，不论其是否记载或以何种媒介形式记载。个人信息可能包括：姓名，地址，身份证号，家庭关系;员工档案，评价，意见，社会身份地位或违纪处分;信用记录，收入，经济地位;健康状况。

　　(3)隐私漏洞

　　隐私是个风险管理问题，“保护个人隐私的适当控制的失败会给组织带来严重的后果”。潜在漏洞普遍存在，因为隐私跨越了组织设施的许多方面。组织的网站，网络服务，信息技术系统，数据库，应用，以及与外部服务提供商和第三方的网络联系都构成了隐私问题。

　　国际内审师红皮书——实务公告2130.A1-2信息的可靠性和完整性中针对此问题的相关标准：

　　内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性。

　　总结：获取任何个人信息都会要求内部审计师遵守关于获取或使用个人信息的法律;内部审计师有能力通过设计保护个人信息的审计程序来避免一些个人信息隐私风险。例如：在某些情况下，内部审计师可以决定不将个人信息写入业务记录”。

　　(4)隐私法律、法规和指南

　　这些法律往往根据管辖权的不同而不同，应咨询法律顾问，以确保合规性。

　　《实务指南》“审计隐私风险”指出：良好的治理涉及识别组织的重大风险，例如，潜在个人信息的滥用、泄露和丢失，以及保证适当的控制以减小这些风险。

　　对企业来说，良好的隐私控制的益处包括：

　　①保护组织的公共形象和品牌;

　　②保护组织的客户和员工的宝贵数据;

　　③获取市场竞争优势;

　　④遵守适用的隐私保护法律和法规;

　　⑤提高公信力，促进信任和信誉。

　　对公共部门和非营利组织来说，良好的隐私控制的益处包括：

　　①维护公民和非公民的信任;

　　②通过尊重隐私保持与非营利组织的捐赠者的关系。

　　(5)消费者隐私权的保护

　　隐私权信息交流中心(简称PRC)是一个可以为消费者的隐私提供相关问题帮助的组织。这是一个非营利性消费者组织，为消费者提供信息和消费者权益保护。PRC的目标包括：

　　①提高保护个人隐私的警觉意识。

　　②提供保护隐私的实用技巧。

　　③让消费者采取行动保护自己的个人信息。

　　④回应消费者具体的与隐私相关的投诉并酌情提供帮助。

　　⑤将消费者的投诉记录在报告、证词和演讲中，使它们能够引起政策制定者、行业代表、消费者保护团体和媒体的重视。

　　⑥在公共政策程序中倡导保护消费者隐私权，包括立法证词、监管机构听证会、工作小组以及研究委员会。

　　⑦在会议、员工培训以及公民和社区团体会议中倡导保护消费者权益。

　　(6)全球法律和指导

　　许多国家都有隐私法，但也有的国家没有这类法律。由于国家之间的差异，诸如经济合作与发展组织(OECD)一类的机构正在创建个人资料跨界流动的一致性。经济合作与发展组织的“保护隐私和个人资料的跨界流动的指导方针”包括八个核心原则：

　　①收集限制：建议限制对个人数据的收集量。提倡数据应当以合法公平的方式获得，并在适当的情况下，取得当事人的了解和赞同。

　　②数据质量：建议个人数据应当与其使用目的相关。提倡数据应当准确、完整和与时俱进。

　　③规范目的：提倡应当在收集资料之前列出收集个人资料的目的。建议后续的使用限于满足这些目的或其他兼容的目的。

　　④使用限制：主张个人资料的披露(指定目的除外)必须取得当事人的同意和法律的批准。

　　⑤安全保障：促进个人资料的合理保障，减少风险(如丢失或未经授权访问，破坏，使用，修改或曝光)。

　　⑥开放：提倡对于个人资料应当有一个关于发展、实践和政策的开放的总方针。

　　⑦个人参与：提倡资料主体可以以收费方式方便合理地查阅个人资料，提倡数据主体可以对个人资料进行质疑，如果质疑成功，要对数据进行删除、调整、完善和改进。

　　⑧问责制。

　　4.内部审计人员和尊重隐私权(重点)

　　(1)董事会的工作

　　个人信息保护的有效性是组织治理、风险管理和控制程序的一项基本内容，董事会负责识别组织的主要风险并采取适当的控制程序降低风险，包括为组织建立必要的隐私制度并监督其实施。

　　(2)内部审计部门的工作

　　内部审计部门可以通过评估管理层对与隐私目标相关风险识别的适当性，以及把这些风险降低到可接受水平的控制建立的适当性，帮助组织实现良好的治理和风险管理。内部审计师在组织中处于良好位置，能够评估隐私制度、识别重大风险并提出降低风险的适当建议。

　　在指导组织进行隐私制度管理的评估时，《实务公告》2130.A -2 建议内部审计师考虑以下项目：

　　①考虑组织所在管辖范围内的相关法律、法规和 政策。

　　②与内部法律顾问联系，确定适用于组织的国家/地区法律、法规和其他标准及实务的确切性质。

　　③与信息技术专家联系，确定是否建立了信息安全和数据保护控制，并对其适当性进行定期检查和评估。

　　(3)内部审计在组织的隐私管理中的作用

　　内部审计师可推动隐私方案的制定和实施，评价管理层的隐私风险评估，确定组织的需要和风险暴露情况，或为组织的隐私政策、实务和控制的效果提供确认。

　　注意：如果内部审计师承担了任何制定实施隐私方案的责任，则内部审计师的独立性将受到损害。

　　(4)内部审计人员被期望的工作

　　内部审计部门应鉴别组织所收集的有可能属于个人或隐私信息的类别和适当性、采用的收集方法、组织对这些信息的使用是否符合原定用途并满足相关法规的要求。在合理范围内，内部审计师通常被期望做如下工作：

　　①确认组织收集的信息和其收集方法的类型和适当性;

　　②评价组织对这些信息的使用是否符合其原定的用途，是否遵守法律，是否限于信息收集、持有和使用范围;

　　③鉴于隐私内容具有很高的技术和法律方面的特性，内部审计部门需要具备适当的知识和能力，以实施组织的隐私制度的风险和控制评估，内部审计师可能必须寻求第三方专家的帮助来评估组织的隐私框架。