开展每个具体的个人信息保护合规审计项目前，审计人员应结合审计对象和审计方式，识别法律、 行政法规等合规要求的变更，及时更新补充审计合规要求，编制审计方案。审计人员编制项目审计方案时， 应充分借鉴个人信息保护相关法律、行政法规、国家标准和行业规范，并考虑下列因素：

 a) 高度依赖个人信息处理的关键流程；

 b) 个人信息处理者的组织架构和战略目标；

 c) 个人信息保护的长期规划和近期计划；

 d) 与个人信息处理活动密切相关的业务形态、业务流程和变更情况；

 e) 近三年个人信息合规审计所发现的问题及整改情况；

 f) 近三年发生的个人信息安全事件；

 g) 个人信息相关投诉举报情况； GB/T XXXXX—XXXX 42

 h) 个人信息处理活动相关特定技术；

i) 涉及特殊群体的个人信息；

 j) 其他影响个人信息保护合规审计结论的因素。 审计方案是审计人员在实施审计时需要执行的一系列既定步骤，对每一步审计行动作出具体规定， 以确保审计目标的实现。针对大部分常规审计活动可制定通用的审计方案，针对特殊场景可根据具体情况 制定单独的审计方案。

审计方案应包括下列基本内容：

 a) 被审计单位、审计对象的名称；

 b) 审计目标和范围；

c) 审计依据和内容；

d) 审计流程和方法；

 e) 审计组成员的组成及分工；

 f) 审计起止日期；

g) 审计进度安排；

 h) 对专家和外部审计工作结果的利用；

 i) 审计实施所需资源；

 j) 审计风险管理措施；

 k) 其他有关内容。

审计方案编制完成后，审计组长和被审计方应对审计方案进行评审。审计方案评审应重点考虑以下 事项：

a) 结合以往开展的审计工作，审计方案是否可以改进；

 b) 审计工作的过程和输出物是否符合

相关的法律法规、标准规范等的要求；

c) 与审计工作有关的保密和安全事宜；

CCRC-PIPCA个人信息保护合规审计认证马老师: 135-2173-0416/133-9150-9126

 d) 相关方对审计工作进一步的需求和期望。 审计目标、审计对象、审计依据等发生变化时，应重新编制审计方案。