Sebagaimana yang dibahas dalam buku ini, Sarbanes-Oxley Act (SOx) telah menjadi yang
paling signifikan di AS. undang-undang akuntansi dan sekuritas sejak awal 1930-an. Sementara
SOx telah meluncurkan serangkaian aturan untuk tata kelola perusahaan dan audit laporan
keuangan, undang-undang terbaru lainnya juga telah memperkenalkan beberapa aturan baru
yang memiliki juga berdampak pada banyak perusahaan dan auditor internal mereka. Bab ini
memperkenalkan beberapa tindakan federal AS yang lebih baru yang telah meningkatkan
kontrol internal dan fokus perlindungan privasi; undang-undang ini dengan fokus AS
berdampak pada banyak perusahaan modern dan auditor internal mereka. Beberapa legislasi
kepatuhan memerlukan pengetahuan dan pemahaman tubuh auditor internal yang kuat (CBOK)
pengetahuan dan pemahaman ketika undang-undang berdampak pada industri auditor internal,
sementara yang lain membutuhkan auditor internal tingkat kesadaran dan pemahaman umum
CBOK.
Bab ini membahas tiga item undang-undang dengan dampak luas, terutama untuk auditor
internal yang berbasis di AS. Yang pertama adalah UU Kesehatan Portabilitas dan
Akuntabilitas (HIPAA). Auditor internal mungkin berpendapat, “Saya melakukan audit
internal untuk perusahaan manufaktur. Mengapa saya harus khawatir tentang undang-undang
yang terkait dengan asuransi kesehatan? ”Fokus HIPAA adalah pada penyedia layanan
kesehatan, tetapi membahas berbagai catatan privasi pribadi yang berdampak pada semua
perusahaan AS, dan telah menyebabkan perubahan di bidang-bidang seperti keamanan
teknologi informasi (TI) dan fungsi sumber daya manusia (SDM). Setiap perusahaan yang
membawa data asuransi kesehatan karyawan dalam catatan SDMnya harus mengetahui aturan
HIPAA, dan auditor internal sering kali dapat menjadi bantuan utama bagi manajemen dalam
menyoroti potensi kontrol dan pelanggaran HIPAA.
Judul deskriptif populer untuk undang-undang federal AS sering didasarkan pada nama-
nama sponsor legislatif aslinya. Misalnya, Senator Paul Sarbanes dan Perwakilan Michael
Oxley telah membawakan kami Undang-Undang Sarbanes-Oxley. Item legislatif lain tentang
periode yang sama adalah Undang-Undang Gramm-Leach-Bliley 1999 (GLBA) dinamai
Senator Phillip Gramm dan lainnya. Undang-undang ini mewajibkan lembaga keuangan untuk
lebih melindungi dan mengaudit data mereka dan untuk memberikan perhatian khusus ketika
berbagi data ini dengan orang lain. Sementara diarahkan pada lembaga keuangan, GLBA
memengaruhi banyak perusahaan, dan bab ini membahas komponen utamanya yang
memengaruhi auditor internal.
Melampaui aturan SOx dan GLBA yang dibahas dalam bab ini dan standar industri, seperti
aturan standar keamanan data enkripsi kunci publik (yaitu, Standar Keamanan Data Industri
Kartu Pembayaran [PCI-DSS]) yang dibahas dalam Bab 20, standar internal di seluruh dunia
menghadapi berbagai aturan kepatuhan yang sering kali khusus industri.
Banyak dari peraturan ini mencakup bidang-bidang seperti perbankan, sekuritas, dan
pembangkit tenaga listrik. Dalam kasus lain, aturan tata kelola internal khusus AS atau UE
memiliki implikasi yang menyebar di luar unit pemerintah yang besar saja. Contoh di sini
adalah pedoman pengendalian internal Departemen Manajemen dan Anggaran (OMB) A-123
Departemen Perdagangan AS, yang sering memiliki dampak yang sangat luas pada lembaga
pemerintah. Lapangan ini luas dan komprehensif; bab ini merangkum beberapa aturan yang
dapat memengaruhi banyak auditor internal.
Terkadang sulit untuk memprediksi kapan undang-undang yang lebih baru akan memiliki
dampak yang berkelanjutan dan berkelanjutan atau apakah itu hanya akan menjadi undang-
undang tentang buku-buku dengan sedikit aktivitas dampak kepatuhan yang sedang
berlangsung. Contoh AS di sini adalah Foreign Corrupt Practices Act (FCPA) akhir 1970-an.
Undang-undang itu memiliki beberapa persyaratan dokumentasi kontrol internal yang kuat,
dan pada awalnya banyak auditor internal berpikir bahwa menjaga perusahaan mereka sesuai
dengan ketentuan FCPA akan membuat mereka sangat sibuk. Undang-undang ini masih ada di
buku, tetapi ada tindakan penegakan hukum yang terbatas sejak diberlakukan, dan persyaratan
FCPA yang mencakup dokumentasi pengendalian internal telah dilupakan. Tidak mungkin
bahwa GLBA, HIPAA, dan SOx akan berjalan dengan cara yang sama seperti FCPA, tetapi
dampak dan tindakan penegakan hukum untuk undang-undang tersebut naik dan turun. Pada
saat ini, auditor internal perlu mengetahui undang-undang terkait privasi dan kepatuhan yang
dibahas dalam bab ini dan merencanakan tinjauan mereka dan kegiatan pengendalian internal
yang sesuai.
Secara khusus, auditor internal yang berbasis di AS harus memiliki pemahaman CBOK
umum tentang aturan GLBA dan HIPAA. Meskipun kedua perangkat peraturan ini berfokus
terutama pada keuangan konsumen dan masalah kesehatan yang tidak akan berdampak
langsung pada setiap auditor internal, keduanya memiliki ketentuan privasi penting yang
penting di banyak bidang lain yang lebih luas. Tentu saja, untuk auditor internal yang bekerja
di industri yang diberlakukan secara langsung, seperti perawatan kesehatan untuk aturan
HIPAA, pengetahuan CBOK yang kuat tentang aturan legislatif spesifik sangat penting.
Meskipun seperangkat aturan terkait perawatan kesehatan, HIPAA berisi seperangkat aturan
legislatif terkait privasi yang melampaui layanan kesehatan dan akan berdampak pada banyak
perusahaan dan auditor internal mereka. Misalnya, auditor internal yang berbasis di AS yang
mengunjungi dokter untuk pemeriksaan fisik tahunan atau prosedur lain akan diminta untuk
menandatangani perjanjian izin pengungkapan ketika memeriksa. Dokumen izin ini meminta
pasien untuk setuju untuk mengizinkan catatan medis mereka berpotensi menjadi dibagikan
atau diungkapkan sebagai bagian dari kunjungan itu. Jika auditor-pasien menanyakan alasan
dokumen dan mengapa dokumen itu harus ditandatangani, jawabannya biasanya adalah
“persyaratan hukum HIPAA.” Pasien biasanya menandatangani dokumen dan melanjutkan,
tanpa mengajukan pertanyaan lebih lanjut.
Di mana pun auditor internal bekerja, mereka harus memiliki setidaknya pemahaman
umum tentang beberapa aturan HIPAA. Diundangkan pada tahun 1999 dengan aturan final
yang dirilis pada tahun-tahun berikutnya, HIPAA telah memiliki dampak besar di Amerika
Serikat pada privasi dan keamanan catatan medis pribadi dan banyak lainnya. Seperti yang
dibahas, orang-orang menemui HIPAA ketika mengunjungi kantor dokter atau untuk banyak
hal yang berhubungan dengan medis lainnya. Fungsi SDM di perusahaan juga melihat dampak
dari persyaratan HIPAA hari ini dalam administrasi rencana perawatan kesehatan karyawan
dan catatan medis. Tentu saja, HIPAA memiliki dampak yang besar dan terus berkembang
pada seluruh industri perawatan kesehatan dan semua penyedia pengiriman yang berafiliasi.
Yang lebih penting lagi, aturan HIPAA mencakup berbagai proses bisnis berdasarkan
perdagangan elektronik.
Undang-undang HIPAA yang asli memiliki empat tujuan utama:
1. Memastikan portabilitas kesehatan dengan menghilangkan kondisi perawatan
kesehatan yang sudah ada sebelumnya pembatasan.
Ini adalah motivasi asli yang menuntun pada jalannya HIPAA. Orang-orang yang
didiagnosis dengan suatu kondisi seringkali tidak dapat memperoleh perlindungan asuransi
kesehatan baru ketika berganti majikan karena kondisi yang sudah ada sebelumnya dibagi
dengan calon pemberi kerja baru, yang tidak ingin menanggung atau mengasuransikan
kondisi tersebut.
2. Mengurangi penipuan dan penyalahgunaan layanan kesehatan. Audiensi kongres yang
mengarah ke undang-undang mengutip contoh dugaan penipuan dan penyalahgunaan.
3. Menegakkan standar untuk informasi kesehatan. Penegakan ini dicakup oleh aturan
privasi dan keamanan HIPAA untuk diuraikan dalam bab ini.
4. Menjamin keamanan dan privasi informasi kesehatan. Tujuan keseluruhan HIPAA
adalah bahwa informasi kesehatan adalah masalah pribadi yang tidak boleh dibagikan secara
terbuka dengan orang lain.
Bagian ini memberikan gambaran singkat tentang tujuan HIPAA dan aturan yang
dihasilkannya yang mencakup privasi dan keamanan. Bagian-bagian yang akan datang
memperkenalkan HIPAA sebagai seperangkat aturan baru yang digerakkan secara legislatif
yang memengaruhi banyak auditor internal. Undang-undang HIPAA juga menggambarkan
bagaimana proses pembuatan peraturan yang disponsori pemerintah sering bekerja dan
memberi petunjuk tentang apa yang dapat kita harapkan dari Dewan Standar Pengawasan
Akuntansi Perusahaan Publik (PCAOB) yang baru, selain dari Standar Audit No. 5 (dibahas
pada Bab 4) . Aturan HIPAA awalnya dikeluarkan dalam bentuk draft. Draf tersebut
menghasilkan banyak komentar, draf yang direvisi dikeluarkan dengan lebih banyak komentar,
dan aturan final dikeluarkan lebih lambat dari yang direncanakan semula.
1. Penggunaan dan pengungkapan catatan medis . Suatu perusahaan yang tunduk pada
peraturan HIPAA harus mengambil langkah-langkah untuk membatasi penggunaan dan
pengungkapan informasi medis pribadi hingga “minimum yang diperlukan untuk mencapai
tujuan penggunaan, pengungkapan, atau permintaan yang dimaksud” untuk hal-hal yang tidak
terkait dengan perawatan. Kami memulai ikhtisar peraturan HIPAA ini dengan mengutip
secara langsung beberapa kata yang terkandung dalam aturan ini. Menggunakan ungkapan
seperti "kebutuhan minimum," undang-undang ini memuat banyak pedoman seperti itu yang
akan tunduk pada praktik khusus perusahaan yang akan divalidasi melalui keputusan atau
litigasi lain dari waktu ke waktu.
Aturan HIPAA menetapkan bahwa informasi kesehatan seseorang kehilangan
perlindungan HIPAA-nya jika individu yang dicakup “tidak diidentifikasi” sedemikian rupa
sehingga informasi kesehatan ini tidak akan mengandung 18 pengidentifikasi khusus dari
individu dan kerabat, majikan, atau anggota rumah tangga. Persyaratan ini mengatakan
banyak tentang HIPAA. Untuk membuat sistem informasi yang terkait dengan kesehatan
memenuhi ketentuan HIPAA, undang-undang ini mengidentifikasi 18 faktor spesifik yang
mungkin digunakan spesialis dalam pengambilan basis data untuk mengidentifikasi
seseorang. Yaitu, informasi medis seseorang yang ditempatkan dalam beberapa jenis file
atau sistem informasi pada umumnya dilindungi dari pengungkapan umum kepada orang
lain, tetapi informasi itu dapat dibagikan jika memenuhi kondisi spesifik tertentu.
2. Persyaratan otorisasi. Ini adalah bagian dari HIPAA yang pertama kali ditemui oleh
banyak pengguna layanan kesehatan. Penyedia layanan kesehatan harus mendapatkan
persetujuan tertulis untuk mengungkapkan informasi layanan kesehatan dalam segala hal
kecuali dalam situasi darurat. Seorang individu memiliki hak untuk menolak pengungkapan
tersebut, dan penyedia layanan kesehatan harus memiliki persyaratan penyimpanan catatan
yang kuat untuk melacak semua pengungkapan ini. Ini adalah dokumen-dokumen, yang
disebutkan sebelumnya, yang diminta ditandatangani oleh individu ketika mengunjungi
kantor dokter.
3. Komunikasi praktik privasi. Penyedia layanan kesehatan harus mempublikasikan
praktik privasi yang harus mereka berikan kepada pengguna layanan kesehatan. Individu
kemudian memiliki hak untuk secara formal meminta pembatasan dalam kebijakan ini, dan
penyedia harus mengakomodasi permintaan yang masuk akal.
4. Akses rekam medis dan hak amandemen. Individu memiliki hak untuk memeriksa
dan menyalin semua atau sebagian informasi kesehatan pribadi mereka. Selain itu, individu
memiliki hak untuk meminta amandemen terhadap catatan layanan kesehatan tersebut.
Akhirnya, penyedia layanan kesehatan harus menyimpan catatan semua pihak lain yang
meminta akses ke catatan layanan kesehatan pribadi individu untuk jangka waktu enam
bulan.
5. Administrasi HIPA Aprivacy. Melampaui catatan akses dan aturan penyingkapan,
HIPAA memiliki serangkaian persyaratan administrasi privasi yang luas yang berlaku untuk
apa yang disebut “entitas tertutup” - kantor medis, laboratorium, rumah sakit, dan semua
lainnya yang terlibat dengan perawatan kesehatan pribadi. Aturan administrasi privasi ini
meliputi:
■ Penyedia harus menunjuk "Pejabat Privasi" yang bertanggung jawab untuk
pengembangan dan implementasi kebijakan dan prosedur HIPAA ini.
■ Penyedia harus melatih anggota tenaga kerjanya tentang kebijakan dan prosedur terkait
privasi HIPAA ini dan harus memelihara dokumentasi untuk menunjukkan bahwa
pelatihan telah diberikan.
■ Penyedia layanan kesehatan harus memiliki pengamanan administratif, teknis, dan fisik
untuk melindungi privasi informasi kesehatan pribadi.
■ Penyedia layanan kesehatan harus menerapkan "sanksi yang sesuai" terhadap karyawan
yang gagal mematuhi kebijakan dan prosedur privasi ini.
■ Penyedia harus mengembangkan dan menerapkan kebijakan dan prosedur yang
dirancang untuk memenuhi unsur-unsur peraturan HIPAA, dan dokumentasi ini harus
disimpan dalam bentuk tertulis atau elektronik selama enam tahun.
■ Dokter dan layanan kesehatan lainnya penyedia yang memproses klaim perawatan
kesehatan secara elektronik
■ Rencana kesehatan, termasuk perusahaan yang
“mengasuransikan diri”
■ Lembaga kliring perawatan kesehatan — layanan penagihan dan lainnya yang
menyediakan layanan format data untuk pengajuan klaim elektronik
Dengan demikian, aturan keamanan HIPAA berlaku untuk semua perusahaan, apakah
kantor dokter tunggal, rumah sakit besar, atau kantor profesional kecil yang menangani
pemrosesan klaim perawatan kesehatannya sendiri melalui asuransi sendiri.
Keamanan adalah elemen kunci untuk menjaga informasi kesehatan pribadi tetap
pribadi, dan aturan HIPAA mencakup praktik keamanan yang baik untuk lebih dari sekadar
catatan medis,
seperti persyaratan untuk standar pemulihan bencana yang kuat. Aturan yang diterbitkan terdiri
dari aturan "wajib" dan apa yang disebut HIPAA "dapat dialamatkan". Yang terakhir adalah
aturan bahwa perusahaan tidak diwajibkan untuk menerapkan karena ukurannya yang kecil
dan sumber daya yang terbatas. Peraturan HIPAA yang “diwajibkan” mewakili banyak praktik
keamanan informasi yang baik yang sesuai untuk perusahaan mana pun. Area keamanan
HIPAA lainnya di sini adalah di luar ruang lingkup buku ini, seperti persyaratan untuk
infrastruktur Infrastruktur Kunci Publik (PKI) yang mencakup tanda tangan digital.
1. Analisis risiko. Perusahaan harus melakukan penilaian menyeluruh terhadap potensi risiko
kerahasiaan informasi, integritas, dan ketersediaan.
2. Manajemen risiko. Perusahaan yang dilindungi harus menerapkanwajar dan sesuai
langkah-langkah keamanan yanguntuk mengurangi risiko secara keseluruhan ke tingkat
yang dapat diterima.
3. Kebijakan sanksi. Sanksi atau hukuman terkait harus diterapkan kepadaangkatan
kerja anggotayang melanggar kebijakan keamanan perusahaan. Ini mungkin
diterjemahkan ke dalam beberapa jenis kebijakan tiga-teguran-dan-kau-keluar.
4. Pelaporan aktivitas keamanan sistem informasi. Catatan keamanan, laporan kejadian,
dan laporan kegiatan keamanan terkait harus dilaporkan dan ditinjau secara teratur.
5. Respon insiden. Proses harus ada untuk mengidentifikasi, menyelidiki, memitigasi,
dan mendokumentasikan insiden keamanan.
6. Prosedur pencadangan. Prosedur yang sesuai harus ada untuk memulihkan setiap
kehilangan data.
7. Pemulihan bencana. Setiap perusahaan yang dilindungi harus menetapkan prosedur
untuk menutupi kehilangan data.
8. Mode operasi darurat. Proses harus ada untuk memastikan keamanan
informasi pasien saat beroperasi dalam mode darurat.
9. Kontrak bisnis terkait. Suatu perusahaan harus memasukkan bahasa dalam kontrak
dengan
pemasok layanan terkait yang mengharuskan pemasok untuk mengadopsi langkah-
langkah keamanan yang memadai untuk melaporkan insiden keamanan kepada
perusahaan, untuk memastikan subkontraktor ini menerapkan langkah-langkah
keamanan yang sesuai, dan untuk menyediakan pemutusan kontrak dalam kasus
pelanggaran keamanan.
10. Pembuangan informasi pasien. Kebijakan dan prosedur harus ada mengatasi disposisi
akhir dari informasi pasien seperti perangkat disk daur ulang.
11. Penggunaan kembali media. Proses harus ada untuk memastikan penghapusan
informasi sensitif
dari media elektronik, seperti drive disk, sebelum digunakan kembali.
12. Identifikasi pengguna unik. Pengidentifikasi unik harus ditetapkan untuk semua
pengguna sistem
untuk mencegah akun bersama dan untuk melacak perilaku sistem.
13. Prosedur akses darurat. Prosedur harus ditetapkan untuk memungkinkan
pengaksesan informasi elektronik selama keadaan darurat.
14. Dokumentasi. Prosedur harus ditetapkan untuk menjamin keamanan informasi,
memelihara dokumentasi untuk jangka waktu enam tahun, dan meninjaunya secara
berkala.
harus ada di banyak perusahaan. Aturan 3 dalam pameran mengacu pada kebutuhan akan apa
yang disebut kebijakan sanksi — seperangkat aturan formal untuk orang yang melanggar
kebijakan keamanan. Ini adalah ide yang bagus untuk sebagian besar perusahaan. Hari ini,
sebagai aturan administratif, penyedia layanan kesehatan yang terkena dampak HIPAA yang
berbasis di AS akan menghadapi hukuman jika aturan dan prosedur yang ditetapkan tidak
memadai.
Persyaratan keamanan HIPAA juga mencakup beberapa aturan perlindungan fisik yang
mirip dengan kontrol akses fisik yang telah ada selama bertahun-tahun di pusat data TI.
Namun, di sini, HIPAA melampaui pusat operasi TI klasik dan menyerukan pedoman dan
dokumentasi yang kuat atas penggunaan dan lokasi workstation. Sementara auditor internal
biasanya belum mengemukakan bahwa banyak pengawasan internal terkait dengan kontrol
fisik untuk terminal jaringan di lingkungan bisnis, lingkungan perawatan kesehatan yang diatur
oleh HIPAA memperkenalkan masalah baru. Stasiun kerja lingkungan medis yang digunakan
oleh dokter, perawat, dan / atau anggota staf lainnya memerlukan kontrol logis dan fisik yang
kuat untuk melindungi privasi pribadi dari catatan pasien yang melewati stasiun kerja tersebut.
■ Kontrol akses. Mekanisme kontrol yang kuat berdasarkan konteks data atau peran / posisi
pengguna yang berwenang harus ditetapkan. Selain itu, proses kontrol harus selalu ada untuk
memungkinkan akses darurat dari operasi pusat data jika diperlukan.
■ Kontrol audit. Di sini dan di seluruh peraturan HIPAA adalah persyaratan untuk kontrol
audit yang kuat, termasuk hal-hal seperti proses revisi dokumentasi dan jalur audit
tradisional.
■ Otentikasi data. Diperlukan kontrol sistem yang kuat atas integritas data. Ini adalah
jenis kontrol aplikasi yang sama yang dibahas dalam Bab 19.
■ Otentikasi entitas. Kontrol harus ada sehingga ketika satu stasiun kerja mencoba
mengakses yang lain, itu harus diautentikasi. Proses ini dapat mencakup kata sandi,
panggilan balik telepon, atau bahkan kontrol biometrik. Persyaratan ini melampaui banyak
praktik perusahaan yang berlaku saat ini di mana informasi sering dibagikan secara bebas
melalui catatan email berisi lampiran.
■ Kontrol komunikasi dan jaringan. Berbagai macam kontrol disarankan di sini, termasuk
alarm, enkripsi, pelaporan peristiwa, otentikasi pesan, dan lainnya. Perusahaan yang terkena
dampak HIPAA harus menerapkan jaringan yang sangat aman.
HIPAA mensyaratkan bahwa kontrol tanda tangan elektronik dibuat yang akan
memberikan bobot hukum yang sama dengan tanda tangan data elektronik seperti yang terkait
dengan tanda tangan tradisional pada dokumen kertas. HIPAA menentukan integritas pesan
jaringan, tidak ada penolakan, dan otentikasi pengguna untuk pesan apa pun dengan tanda
tangan elektronik. Bagi banyak organisasi, ini bisa menjadi tantangan. Proses tanda tangan
digital yang ada saat ini sering kali agak rumit tetapi akan diperlukan sampai teknik lain yang
lebih baik dikembangkan. Ini adalah kasus klasik pemerintah AS menetapkan aturan ideal atau
yang diinginkan bahkan ketika tidak ada solusi praktis yang ada saat ini. Legislator kadang-
kadang berpikir bahwa jika mereka menetapkan standar tinggi, industri dan kelompok lain
akan dikenakan biaya di depan untuk mewujudkan sesuatu. Ini terkadang berhasil, tetapi jika
tidak, aturan perlu direvisi.
2. Penasihat HIPPA. Sebuah situs yang dikelola oleh Phoenix Health Systems sebagai
layanan publik adalah sumber yang baik untuk informasi HIPAA; lihat
www.hipaadvisory.com.
Kepatuhan HIPAA adalah persyaratan hukum AS. Sementara auditor pemerintah tidak
akan mengunjungi rumah sakit, fasilitas kesehatan besar, atau departemen SDM organisasi
komersial, seorang individu yang merasa telah terjadi pelanggaran dapat mengajukan
pengaduan ke Departemen Kehakiman AS (DOJ). Itu tentu bisa terjadi jika beberapa informasi
kunci dari catatan klaim asuransi kesehatan karyawan menjadi pengetahuan publik karena
gangguan keamanan catatan. DOJ memiliki pendekatan kepatuhan yang didorong oleh keluhan
/ sukarela.
Jika DOJ memutuskan untuk mengambil tindakan terkait beberapa keluhan, saat ini ia
memiliki kebijakan satu pelanggaran gratis. Dengan kata lain, pertama DOJ akan bekerja
dengan organisasi yang tidak mengeluh; jika tindakan korektif tidak tercapai, DOJ akan
mempertimbangkan pengenaan sanksi moneter sipil.
Auditor internal harus mengetahui aturan HIPAA, setidaknya pada level tinggi. Auditor
internal harus merekomendasikan kontrol keamanan dan kerahasiaan yang kuat atas area apa
pun yang dapat memengaruhi catatan kesehatan medis karyawan.
26.2 Undang-Undang Gramm-Leach-Bliley Aturan Audit Internal
Secara resmi dikenal sebagai Undang-Undang Modernisasi Keuangan tahun 1999, GLBA
adalah serangkaian persyaratan AS terkait privasi dengan tujuan untuk melindungipribadi
konsumen informasi keuanganyang dipegang oleh lembaga keuangan. Undang-undang ini
memiliki tiga bagian utama:
1. Aturan Privasi FinansialAturan
2. Safeguards
3. Apa yang disebut "ketentuan alasan"
GLBA memberikan wewenang kepada delapan lembaga federal AS dan negara bagian untuk
menjadi penasihat, dan menegakkan aturan baru. seperangkat aturan pelepasan privasi yang
berlaku untuk apa yang umumnya disebut "lembaga keuangan." Lembaga ini tidak hanya
mencakup bank tradisional, perusahaan sekuritas, dan perusahaan asuransi, tetapi juga
perusahaan yang menyediakan banyak jenis produk dan layanan keuangan lainnya kepada
konsumen. Diantaranya adalah peminjaman, perantara, dan melayani segala jenis pinjaman
konsumen, mentransfer atau melindungi uang, menyiapkan pengembalian pajak individu,
memberikan nasihat keuangan atau konseling kredit, layanan penyelesaian perumahan real
estat, menagih hutang konsumen, dan berbagai kegiatan lainnya . Dengan GLBA, “lembaga
keuangan” nontradisional ini sekarang diatur oleh Komisi Perdagangan Federal (FTC) baik
secara langsung atau melalui lembaga federal dan negara bagian lainnya.
Auditor internal yang bekerja untuk bank atau perusahaan asuransi mungkin telah terkena
dampak oleh GLBA dan ketentuan terkait privasi. Undang-undang ini juga dapat mencakup
banyak perusahaan lain karena definisi yang diperluas tentang apa yang disebut “lembaga
keuangan.” Misalnya, aturan GLBA juga berlaku untuk banyak lembaga keuangan yang diatur
oleh negara. Perusahaan-perusahaan asuransi di Amerika Serikat diatur berdasarkan negara-
oleh-negara dengan Asosiasi Nasional Komisaris Asuransi (NAIC) bertindak sebagai
kelompok pusat koordinasi dan penetapan standar. NAIC telah memberlakukan aturan GLBA
yang diamanatkan oleh federal pada masing-masing perusahaan asuransi yang diatur oleh
negara. Ini adalah contoh lain tentang bagaimana peraturan federal AS terkadang berpindah
dari otoritas AS ke aturan yang mencakup hukum negara serta beberapa aturan internasional
serupa. Meskipun pemeriksaan akuntan publik bersertifikat (CPA) dikelola oleh American
Institute of CPAs (AICPA), CPA dilisensikan secara individual berdasarkan negara bagian
melalui masing-masing dewan akuntansi. Melalui otoritas NAIC, badan koordinator aturan
negara, aturan GLBA diadopsi oleh sebagian besar negara bagian di Amerika Serikat.
■ Jenis-jenis informasi pribadi non publik yang dikumpulkan suatu perusahaan mengenai
pelanggannya
■ Jenis-jenis informasi pribadi non-publik yang akan diungkapkan perusahaan kepada
orang lain tentang pelanggan
■ Pihak-pihak yang kepadanya perusahaan mengungkapkan informasi ini , selain dari
pengecualian terhadap laranganrahasia
■ pengungkapanPelanggan atau hak klien untuk "memilih keluar" dari pengungkapan
tersebut bersama dengan aturan sederhana untuk memilih keluar
■ Kebijakan perusahaan sehubungan dengan berbagi informasi tentang seseorang yang
tidak lagi menjadi pelanggan atau klien
■ Praktik perusahaan untuk melindungi kerahasiaan dan keamanan pelanggan atau
informasi pribadi nonpublik klien
Banyak konsumen saat ini hanya sedikit memperhatikan pemberitahuan ini, meskipun
mereka dapat menyatakan bahwa perusahaan yang memiliki data akun mereka dapat
membagikan nama konsumen dengan orang lain. GLBA memberi pelanggan hak untuk
memilih keluar dari — atau mengatakan tidak — memiliki informasi pribadi konsumen ini
dibagikan kepada pihak ketiga tertentu. Pemberitahuan privasi harus menjelaskan bagaimana
— dan menawarkan cara yang masuk akal — mereka dapat menyisih. Misalnya, memberikan
nomor telepon bebas pulsa atau formulir yang dapat dilepas dengan alamat pracetak adalah
cara yang masuk akal bagi konsumen atau pelanggan untuk memilih keluar; mengharuskan
seseorang untuk menulis surat karena satu-satunya cara untuk memilih keluar adalah tidak.
Pemberitahuan privasi juga harus menjelaskan bahwa konsumen memiliki hak untuk
mengatakan tidak terhadap pembagian informasi tertentu, seperti laporan kredit atau informasi
aplikasi, dengan divisi atau afiliasi lembaga keuangan yang terpisah.
GLBA membatasi siapa pun yang menerima informasi pribadi nonpublik dari lembaga
keuangan dapat menggunakan atau mengungkapkan kembali informasi itu. Jika pemberi
pinjaman mengungkapkan informasi pelanggan kepada penyedia layanan yang bertanggung
jawab atas pernyataan akun pengiriman, di mana konsumen tidak memiliki hak untuk memilih
keluar, penyedia layanan tersebut dapat menggunakan informasi hanya untuk tujuan terbatas
— seperti untuk pernyataan akun pengiriman surat — dan mungkin tidak menjual informasi
atau menggunakannya untuk pemasaran.
Rincian Aturan Privasi Federal GLBA ini rumit. Namun, tujuan kami di sini adalah untuk
menjelaskan aturan privasi ini secara umum. Auditor internal harus mengakui bahwa semua
informasi keuangan pribadi sangat pribadi dan tidak dapat dijual atau didistribusikan secara
sewenang-wenang. Konsumen memiliki hak untuk memilih keluar dan mengatakan tidak, dan
perusahaan harus menyimpan catatan tindakan yang sesuai dan menghormati hak privasi
konsumen. Auditor internal yang bekerja dengan lembaga atau aplikasi keuangan apa pun, atau
untuk perusahaan apa pun yang memiliki fasilitas pemberian dan penagihan kredit yang terkait
dengan konsumen, harus mengetahui bagaimana privasi GLBA berlaku untuk perusahaan.
Perusahaan yang menganggap Aturan Privasi GLBA sebagai hal yang sepele dan mungkin
gagal untuk menghormati permintaan memilih-keluar atau menjual milis secara tidak patut,
dapat menemukan diri mereka menghadapi litigasi tindakan kelas untuk kerusakan karena
kegagalan untuk mematuhi.
3. Pemantauan dan audit. Proses pemantauan jaminan audit berkelanjutan, seperti dibahas
pada Bab 29, harus ada. Audit internal dapat memainkan peran pemantauan dan audit yang
penting di sini dengan menjadwalkan ulasan secara memadai tentang kecukupan rencana
keamanan, ditambah dengan tes kepatuhan yang sesuai.
4. Program peningkatan konstan. Perusahaan harus memiliki program untuk terus
meningkatkan rencana keamanannya. Program itu harus didokumentasikan dengan baik
untuk menggambarkan kemajuan rencana dalam meningkatkan kelemahan yang ditemukan.
5. Mengawasi penyedia dan mitra keamanan. Banyak mitra dan perusahaan lain mungkin
memiliki akses ke informasi pribadi yang sama ini atau ke koneksi jaringan sistem di mana
privasi pribadi dapat dilanggar. Kebijakan, kontrol, dan prosedur audit yang memadai juga
harus ada di sini.
Aturan Perlindungan GLBA berlaku untuk berbagai penyedia produk dan layanan
keuangan, termasuk broker hipotek, pemberi pinjaman nonblank, penilai, agen pelaporan
kredit, penyusun pajak profesional, dan pengecer yang mengeluarkan kartu kredit mereka
sendiri. Bank tidak tunduk pada Aturan Perlindungan tetapi harus mematuhi peraturan rekanan
serupa yang telah dikeluarkan oleh lembaga perbankan federal. Kegagalan untuk mematuhi
Peraturan Upaya Perlindungan dapat mengakibatkan denda atau tindakan penegakan hukum
lainnya oleh FTC.
■ Menggunakan pernyataan atau dokumen palsu, fiktif, atau menipu untuk mendapatkan
informasi pelanggan dari lembaga keuangan atau langsung dari pelanggan dari lembaga
keuangan.
■ Menggunakan dokumen palsu, palsu, hilang, atau dicuri untuk mendapatkan informasi
pelanggan dari lembaga keuangan atau langsung dari pelanggan dari lembaga keuangan.
■ Minta orang lain untuk mendapatkan informasi pelanggan orang lain menggunakan
pernyataan palsu, fiktif, atau menipu atau menggunakan dokumen palsu, fiktif, atau penipuan
atau memalsukan, memalsukan, kehilangan, atau mencuri dokumen.
Dalih menyebabkan risiko atau paparan keamanan dan privasi baru: pencurian identitas.
Ini terjadi ketika seseorang membajak informasi pengenal pribadi Anda untuk membuka
rekening tagihan baru, memesan barang dagangan, atau meminjam uang. Konsumen yang
ditargetkan oleh pencuri identitas biasanya tidak tahu bahwa mereka telah menjadi korban
sampai para pembajak gagal membayar tagihan atau membayar kembali pinjaman, dan agen
penagihan mulai mengelabui konsumen yang ditargetkan untuk pembayaran akun yang bahkan
mereka tidak tahu mereka miliki. Menurut FTC, bentuk pencurian identitas yang paling umum
adalah:
■ Penipuan kartu kredit. Akun kartu kredit dibuka atas nama konsumen atau akun kartu
kredit yang ada "diambil alih".
■ Penipuan layanan komunikasi. Pencuri identitas membuka telepon, seluler, atau
layanan utilitas lain atas nama konsumen.
■ Penipuan bank. Pencuri identitas membuka rekening giro atau tabungan atas nama
konsumen dan / atau menulis cek palsu.
■ Pinjaman penipuan. Pencuri identitas mendapat pinjaman, seperti kredit mobil, atas
nama konsumen.
Tampilan 26.3 memberikan beberapa aturan umum dan langkah-langkah untuk mengaudit
kepatuhan dengan kontrol dan prosedur GLBA. Sementara prosedur audit ini harus diperluas
untuk beberapa perusahaan, tujuan pameran ini adalah untuk memberikan beberapa langkah
audit umum untuk dipertimbangkan untuk tinjauan operasional audit internal lembaga
keuangan untuk menunjukkan kepatuhan GLBA.
GLBA dan HIPAA adalah dua inisiatif legislatif privasi dan keamanan penting yang harus
tetap ada di layar radar auditor internal yang berbasis di AS. Ini di samping standar perawatan
PCI-DSS yang dibahas dalam Bab 20. Ada juga inisiatif federal AS terkait privasi lainnya
baru-baru ini, seperti Undang-Undang Perlindungan Privasi Daring Anak-anak (COPPA),
yang mengatur pengumpulan data pribadi anak-anak. informasi. Selain itu, sekitar 35 (dan
terus bertambah) negara bagian AS telah memperkenalkan tindakan perlindungan data mereka
sendiri. Karena aturan-aturan ini tidak selalu konsisten dari satu negara ke negara lain,
kepatuhan dapat menjadi tantangan utama. Penasihat hukum suatu perusahaan adalah pihak
yang paling mengetahui masalah-masalah ini, dan audit internal harus mengoordinasikan
kegiatan secara erat dengan penasihat hukumnya untuk memastikan bahwa tinjauan audit
internal mengenali dan mendukung aturan kepatuhan hukum ini.
Penggerak peraturan terkait lainnya ada di seluruh dunia dan termasuk standar
Perlindungan Data Uni Eropa, Perlindungan Informasi Pribadi Kanada dan Undang-Undang
Dokumen Elektronik, dan undang-undang Perlindungan Data Jepang. Masing-masing
memiliki persyaratan keamanan data yang umum untuk aturan keamanan data HIPAA. Standar
privasi dan keamanan internasional lainnya adalah Standar Internasional.
Organisasi (ISO) no. 15408, kerangka kerja untuk mengevaluasi keamanan TI. Standar ISO
diperkenalkan secara singkat di Bab 30. Utas umum untuk inisiatif ini adalah perlindungan
privasi pribadi untuk informasi tentang seseorang yang disimpan dalam catatan sistem TI.
Undang-undang HIPAA dan GLBA yang dibahas dalam bab ini mungkin menunjuk ke
inisiatif legislatif lainnya di bidang-bidang di luar perlindungan kesehatan dan privasi finansial
pribadi. Selain itu, walaupun mungkin perlu waktu untuk berkembang sepenuhnya, model
risiko manajemen risiko perusahaan COSO yang dibahas dalam Bab 6 dapat segera
menyebabkan beberapa perubahan besar dalam cara kita memahami, mengelola, dan
melindungi risiko bisnis dan risiko lainnya. Akan ada banyak peluang bagi auditor internal di
organisasi saat ini dan di masa depan. Auditor internal, di semua tingkatan, harus memiliki
kesadaran CBOK tingkat tinggi terhadap aturan-aturan ini. Ketika auditor internal bekerja di
perusahaan layanan kesehatan atau keuangan yang terkena dampak langsung oleh aturan
HIPAA atau GLBA, pemahaman CBOK yang kuat tentang aturan ini dan bagaimana
dampaknya terhadap aktivitas audit internal sangat penting.