标准5.1

信息的使用

1要求

内部审计人员在使用信息时必须遵守相关政策、程序、法律和法规。信息不得用于谋取私利，也不得以违背或有损于组织合法和道德目标的方式使用。

2执行标准的考虑因素

内部审计人员不受限制地获取信息，以便不受干扰地提供内部审计服务。然而，恰当地使用和处理信息是每个 内部审计人员的责任。不当使用和处理保密、专有和/或个人身份信息可能会产生意想不到的后果，例如声誉   受损和因违反法律法规而被罚款。

组织和内部审计职能的政策和程序一般会对内部审计人员在信息的整个生命周期（从信息的访问到收集、传  输、存储和/或销毁）中处理和使用信息进行规范。此外，内部审计人员应该了解并遵守与他们可能访问的第三 方信息相关的任何政策和程序。

首席审计执行官应与内部审计人员讨论恰当使用信息访问的政策、程序和期望。首席审计执行官可以要求内 部审计人员通过签署承诺书或其他形式确认其理解。

在处理敏感和/或个人数据时，内部审计职能应采用适当的数字安全措施。有关示例包括自动控制，如密码和 加密。

不当使用或滥用信息的示例包括使用、出售或披露组织财务、战略或运营方面的信息，作为购买、出售股票或 开发竞争产品的决策依据。

3证明遵循性的示例

• 对访问和使用信息进行有效的设计和操作控制。

• 恰当使用信息相关的政策、程序和培训记录。

• 讨论恰当使用信息的会议纪要。

• 参加信息使用培训的记录。

• 内部审计人员确认其了解相关政策、程序法律和法规的证明材料。

• 证明遵守有关信息使用的政策、程序、法律和法规的绩效考核。