BAB26

HIPAA, GLBA, dan Lainnya

Persyaratan Kepatuhan

Sebagaimana yang dibahas dalam buku ini, Sarbanes-Oxley Act (SOx) telah menjadi yang
paling signifikan di AS. undang-undang akuntansi dan sekuritas sejak awal 1930-an. Sementara
SOx telah meluncurkan serangkaian aturan untuk tata kelola perusahaan dan audit laporan
keuangan, undang-undang terbaru lainnya juga telah memperkenalkan beberapa aturan baru
yang memiliki juga berdampak pada banyak perusahaan dan auditor internal mereka. Bab ini
memperkenalkan beberapa tindakan federal AS yang lebih baru yang telah meningkatkan
kontrol internal dan fokus perlindungan privasi; undang-undang ini dengan fokus AS
berdampak pada banyak perusahaan modern dan auditor internal mereka. Beberapa legislasi
kepatuhan memerlukan pengetahuan dan pemahaman tubuh auditor internal yang kuat (CBOK)
pengetahuan dan pemahaman ketika undang-undang berdampak pada industri auditor internal,
sementara yang lain membutuhkan auditor internal tingkat kesadaran dan pemahaman umum
CBOK.
Bab ini membahas tiga item undang-undang dengan dampak luas, terutama untuk auditor
internal yang berbasis di AS. Yang pertama adalah UU Kesehatan Portabilitas dan
Akuntabilitas (HIPAA). Auditor internal mungkin berpendapat, “Saya melakukan audit
internal untuk perusahaan manufaktur. Mengapa saya harus khawatir tentang undang-undang
yang terkait dengan asuransi kesehatan? ”Fokus HIPAA adalah pada penyedia layanan
kesehatan, tetapi membahas berbagai catatan privasi pribadi yang berdampak pada semua
perusahaan AS, dan telah menyebabkan perubahan di bidang-bidang seperti keamanan
teknologi informasi (TI) dan fungsi sumber daya manusia (SDM). Setiap perusahaan yang
membawa data asuransi kesehatan karyawan dalam catatan SDMnya harus mengetahui aturan
HIPAA, dan auditor internal sering kali dapat menjadi bantuan utama bagi manajemen dalam
menyoroti potensi kontrol dan pelanggaran HIPAA.
Judul deskriptif populer untuk undang-undang federal AS sering didasarkan pada nama-
nama sponsor legislatif aslinya. Misalnya, Senator Paul Sarbanes dan Perwakilan Michael
Oxley telah membawakan kami Undang-Undang Sarbanes-Oxley. Item legislatif lain tentang
periode yang sama adalah Undang-Undang Gramm-Leach-Bliley 1999 (GLBA) dinamai
Senator Phillip Gramm dan lainnya. Undang-undang ini mewajibkan lembaga keuangan untuk
lebih melindungi dan mengaudit data mereka dan untuk memberikan perhatian khusus ketika
berbagi data ini dengan orang lain. Sementara diarahkan pada lembaga keuangan, GLBA
memengaruhi banyak perusahaan, dan bab ini membahas komponen utamanya yang
memengaruhi auditor internal.
Melampaui aturan SOx dan GLBA yang dibahas dalam bab ini dan standar industri, seperti
aturan standar keamanan data enkripsi kunci publik (yaitu, Standar Keamanan Data Industri
Kartu Pembayaran [PCI-DSS]) yang dibahas dalam Bab 20, standar internal di seluruh dunia
menghadapi berbagai aturan kepatuhan yang sering kali khusus industri.

Banyak dari peraturan ini mencakup bidang-bidang seperti perbankan, sekuritas, dan
pembangkit tenaga listrik. Dalam kasus lain, aturan tata kelola internal khusus AS atau UE
memiliki implikasi yang menyebar di luar unit pemerintah yang besar saja. Contoh di sini
adalah pedoman pengendalian internal Departemen Manajemen dan Anggaran (OMB) A-123
Departemen Perdagangan AS, yang sering memiliki dampak yang sangat luas pada lembaga
pemerintah. Lapangan ini luas dan komprehensif; bab ini merangkum beberapa aturan yang
dapat memengaruhi banyak auditor internal.
Terkadang sulit untuk memprediksi kapan undang-undang yang lebih baru akan memiliki
dampak yang berkelanjutan dan berkelanjutan atau apakah itu hanya akan menjadi undang-
undang tentang buku-buku dengan sedikit aktivitas dampak kepatuhan yang sedang
berlangsung. Contoh AS di sini adalah Foreign Corrupt Practices Act (FCPA) akhir 1970-an.
Undang-undang itu memiliki beberapa persyaratan dokumentasi kontrol internal yang kuat,
dan pada awalnya banyak auditor internal berpikir bahwa menjaga perusahaan mereka sesuai
dengan ketentuan FCPA akan membuat mereka sangat sibuk. Undang-undang ini masih ada di
buku, tetapi ada tindakan penegakan hukum yang terbatas sejak diberlakukan, dan persyaratan
FCPA yang mencakup dokumentasi pengendalian internal telah dilupakan. Tidak mungkin
bahwa GLBA, HIPAA, dan SOx akan berjalan dengan cara yang sama seperti FCPA, tetapi
dampak dan tindakan penegakan hukum untuk undang-undang tersebut naik dan turun. Pada
saat ini, auditor internal perlu mengetahui undang-undang terkait privasi dan kepatuhan yang
dibahas dalam bab ini dan merencanakan tinjauan mereka dan kegiatan pengendalian internal
yang sesuai.
Secara khusus, auditor internal yang berbasis di AS harus memiliki pemahaman CBOK
umum tentang aturan GLBA dan HIPAA. Meskipun kedua perangkat peraturan ini berfokus
terutama pada keuangan konsumen dan masalah kesehatan yang tidak akan berdampak
langsung pada setiap auditor internal, keduanya memiliki ketentuan privasi penting yang
penting di banyak bidang lain yang lebih luas. Tentu saja, untuk auditor internal yang bekerja
di industri yang diberlakukan secara langsung, seperti perawatan kesehatan untuk aturan
HIPAA, pengetahuan CBOK yang kuat tentang aturan legislatif spesifik sangat penting.

26.1 HIPAA: Perawatan Kesehatan dan Banyak Lagi

Meskipun seperangkat aturan terkait perawatan kesehatan, HIPAA berisi seperangkat aturan
legislatif terkait privasi yang melampaui layanan kesehatan dan akan berdampak pada banyak
perusahaan dan auditor internal mereka. Misalnya, auditor internal yang berbasis di AS yang
mengunjungi dokter untuk pemeriksaan fisik tahunan atau prosedur lain akan diminta untuk
menandatangani perjanjian izin pengungkapan ketika memeriksa. Dokumen izin ini meminta
pasien untuk setuju untuk mengizinkan catatan medis mereka berpotensi menjadi dibagikan
 atau diungkapkan sebagai bagian dari kunjungan itu. Jika auditor-pasien menanyakan alasan
dokumen dan mengapa dokumen itu harus ditandatangani, jawabannya biasanya adalah
“persyaratan hukum HIPAA.” Pasien biasanya menandatangani dokumen dan melanjutkan,
tanpa mengajukan pertanyaan lebih lanjut.
Di mana pun auditor internal bekerja, mereka harus memiliki setidaknya pemahaman
umum tentang beberapa aturan HIPAA. Diundangkan pada tahun 1999 dengan aturan final
yang dirilis pada tahun-tahun berikutnya, HIPAA telah memiliki dampak besar di Amerika
Serikat pada privasi dan keamanan catatan medis pribadi dan banyak lainnya. Seperti yang
dibahas, orang-orang menemui HIPAA ketika mengunjungi kantor dokter atau untuk banyak
hal yang berhubungan dengan medis lainnya. Fungsi SDM di perusahaan juga melihat dampak
dari persyaratan HIPAA hari ini dalam administrasi rencana perawatan kesehatan karyawan
dan catatan medis. Tentu saja, HIPAA memiliki dampak yang besar dan terus berkembang
pada seluruh industri perawatan kesehatan dan semua penyedia pengiriman yang berafiliasi.
Yang lebih penting lagi, aturan HIPAA mencakup berbagai proses bisnis berdasarkan
perdagangan elektronik.
Undang-undang HIPAA yang asli memiliki empat tujuan utama:
1. Memastikan portabilitas kesehatan dengan menghilangkan kondisi perawatan
kesehatan yang sudah ada sebelumnya pembatasan.
Ini adalah motivasi asli yang menuntun pada jalannya HIPAA. Orang-orang yang
didiagnosis dengan suatu kondisi seringkali tidak dapat memperoleh perlindungan asuransi
kesehatan baru ketika berganti majikan karena kondisi yang sudah ada sebelumnya dibagi
dengan calon pemberi kerja baru, yang tidak ingin menanggung atau mengasuransikan
kondisi tersebut.
2. Mengurangi penipuan dan penyalahgunaan layanan kesehatan. Audiensi kongres yang
mengarah ke undang-undang mengutip contoh dugaan penipuan dan penyalahgunaan.
3. Menegakkan standar untuk informasi kesehatan. Penegakan ini dicakup oleh aturan
privasi dan keamanan HIPAA untuk diuraikan dalam bab ini.
4. Menjamin keamanan dan privasi informasi kesehatan. Tujuan keseluruhan HIPAA
adalah bahwa informasi kesehatan adalah masalah pribadi yang tidak boleh dibagikan secara
terbuka dengan orang lain.

Bagian ini memberikan gambaran singkat tentang tujuan HIPAA dan aturan yang
dihasilkannya yang mencakup privasi dan keamanan. Bagian-bagian yang akan datang
memperkenalkan HIPAA sebagai seperangkat aturan baru yang digerakkan secara legislatif
yang memengaruhi banyak auditor internal. Undang-undang HIPAA juga menggambarkan
bagaimana proses pembuatan peraturan yang disponsori pemerintah sering bekerja dan
memberi petunjuk tentang apa yang dapat kita harapkan dari Dewan Standar Pengawasan
Akuntansi Perusahaan Publik (PCAOB) yang baru, selain dari Standar Audit No. 5 (dibahas
pada Bab 4) . Aturan HIPAA awalnya dikeluarkan dalam bentuk draft. Draf tersebut
menghasilkan banyak komentar, draf yang direvisi dikeluarkan dengan lebih banyak komentar,
dan aturan final dikeluarkan lebih lambat dari yang direncanakan semula.

(a) Aturan Privasi Catatan Pasien HIPAA

Kekhawatiran tentang privasi pasien medis adalah alasan yang memotivasi Kongres AS yang
semula meloloskan HIPAA. Kami mengunjungi penyedia perawatan medis, mendiskusikan
beberapa masalah atau masalah, dan kemudian harus mengharapkan perawatan rahasia atau
pribadi mengenai kunjungan medis itu. Kami tidak ingin hasil kunjungan dikomunikasikan ke
departemen SDM perusahaan kami atau ke beberapa perusahaan asuransi yang tidak perlu
diketahui, atau dibiarkan di atas meja di kantor penyedia layanan kesehatan untuk diambil oleh
siapa pun. Lebih buruk lagi, kami tidak ingin masalah pribadi dan rahasia dibagikan dengan
cara yang dapat membatasi pilihan pekerjaan kami di masa depan. Masalah privasi informasi
pribadi ini adalah dasar bagi sebagian besar HIPAA. Namun, banyak pihak perlu memiliki
beberapa informasi tentang kondisi layanan kesehatan kami untuk memberikan cakupan atau
penggantian yang memadai, dan hampir semua operasi perawatan kesehatan memerlukan
sistem pendukung yang terperinci dan kompleks. Aturan privasi HIPAA mencakup lima area
umum, yang secara singkat diuraikan berikutnya. Komentar-komentar ini tidak memberikan
cakupan yang lengkap dan tidak dimaksudkan sebagai sumber referensi untuk aturan HIPAA;
mereka dimaksudkan untuk memberi para profesional nonmedis gambaran umum dari aturan
baru HIPAA ini:

1. Penggunaan dan pengungkapan catatan medis . Suatu perusahaan yang tunduk pada
peraturan HIPAA harus mengambil langkah-langkah untuk membatasi penggunaan dan
pengungkapan informasi medis pribadi hingga “minimum yang diperlukan untuk mencapai
tujuan penggunaan, pengungkapan, atau permintaan yang dimaksud” untuk hal-hal yang tidak
terkait dengan perawatan. Kami memulai ikhtisar peraturan HIPAA ini dengan mengutip
secara langsung beberapa kata yang terkandung dalam aturan ini. Menggunakan ungkapan
seperti "kebutuhan minimum," undang-undang ini memuat banyak pedoman seperti itu yang
akan tunduk pada praktik khusus perusahaan yang akan divalidasi melalui keputusan atau
litigasi lain dari waktu ke waktu.
Aturan HIPAA menetapkan bahwa informasi kesehatan seseorang kehilangan
perlindungan HIPAA-nya jika individu yang dicakup “tidak diidentifikasi” sedemikian rupa
sehingga informasi kesehatan ini tidak akan mengandung 18 pengidentifikasi khusus dari
individu dan kerabat, majikan, atau anggota rumah tangga. Persyaratan ini mengatakan
banyak tentang HIPAA. Untuk membuat sistem informasi yang terkait dengan kesehatan
memenuhi ketentuan HIPAA, undang-undang ini mengidentifikasi 18 faktor spesifik yang
mungkin digunakan spesialis dalam pengambilan basis data untuk mengidentifikasi
seseorang. Yaitu, informasi medis seseorang yang ditempatkan dalam beberapa jenis file
atau sistem informasi pada umumnya dilindungi dari pengungkapan umum kepada orang
lain, tetapi informasi itu dapat dibagikan jika memenuhi kondisi spesifik tertentu.
2. Persyaratan otorisasi. Ini adalah bagian dari HIPAA yang pertama kali ditemui oleh
banyak pengguna layanan kesehatan. Penyedia layanan kesehatan harus mendapatkan
persetujuan tertulis untuk mengungkapkan informasi layanan kesehatan dalam segala hal
kecuali dalam situasi darurat. Seorang individu memiliki hak untuk menolak pengungkapan
tersebut, dan penyedia layanan kesehatan harus memiliki persyaratan penyimpanan catatan
yang kuat untuk melacak semua pengungkapan ini. Ini adalah dokumen-dokumen, yang
disebutkan sebelumnya, yang diminta ditandatangani oleh individu ketika mengunjungi
kantor dokter.
3. Komunikasi praktik privasi. Penyedia layanan kesehatan harus mempublikasikan
praktik privasi yang harus mereka berikan kepada pengguna layanan kesehatan. Individu
kemudian memiliki hak untuk secara formal meminta pembatasan dalam kebijakan ini, dan
penyedia harus mengakomodasi permintaan yang masuk akal.
4. Akses rekam medis dan hak amandemen. Individu memiliki hak untuk memeriksa
dan menyalin semua atau sebagian informasi kesehatan pribadi mereka. Selain itu, individu
memiliki hak untuk meminta amandemen terhadap catatan layanan kesehatan tersebut.
Akhirnya, penyedia layanan kesehatan harus menyimpan catatan semua pihak lain yang
meminta akses ke catatan layanan kesehatan pribadi individu untuk jangka waktu enam
bulan.
 5. Administrasi HIPA Aprivacy. Melampaui catatan akses dan aturan penyingkapan,
HIPAA memiliki serangkaian persyaratan administrasi privasi yang luas yang berlaku untuk
apa yang disebut “entitas tertutup” - kantor medis, laboratorium, rumah sakit, dan semua
lainnya yang terlibat dengan perawatan kesehatan pribadi. Aturan administrasi privasi ini
meliputi:
■ Penyedia harus menunjuk "Pejabat Privasi" yang bertanggung jawab untuk
pengembangan dan implementasi kebijakan dan prosedur HIPAA ini.
■ Penyedia harus melatih anggota tenaga kerjanya tentang kebijakan dan prosedur terkait
privasi HIPAA ini dan harus memelihara dokumentasi untuk menunjukkan bahwa
pelatihan telah diberikan.
■ Penyedia layanan kesehatan harus memiliki pengamanan administratif, teknis, dan fisik
untuk melindungi privasi informasi kesehatan pribadi.
■ Penyedia layanan kesehatan harus menerapkan "sanksi yang sesuai" terhadap karyawan
yang gagal mematuhi kebijakan dan prosedur privasi ini.
■ Penyedia harus mengembangkan dan menerapkan kebijakan dan prosedur yang
dirancang untuk memenuhi unsur-unsur peraturan HIPAA, dan dokumentasi ini harus
disimpan dalam bentuk tertulis atau elektronik selama enam tahun.

Sementara aturan HIPAA terutama mencakup akses ke informasi kesehatan pribadi,

mereka juga mendefinisikan praktik operasi yang baik yang harus diterapkan di tempat lain
di perusahaan. Contohnya adalah persyaratan bahwa penyedia layanan kesehatan memiliki
dokumentasi yang mencakup program pelatihan mereka. Jenis aturan ini telah ada untuk
program medis atau obat-obatan Federal Drug Administration, sekarang menjadi bagian
dari HIPAA, dan merupakan ide yang bagus untuk sebagian besar program pelatihan
korporat. Perusahaan terkadang menghabiskan sumber daya dalam melatih karyawan
mereka tetapi seringkali tidak repot-repot mendokumentasikan kegiatan itu dengan sangat
baik.
Aturan HIPAA dalam bab ini sangat penting bagi auditor internal yang bekerja di
perusahaan yang terkait dengan perawatan kesehatan, seperti rumah sakit atau perusahaan
asuransi klaim medis. Namun, aturan tersebut meluas ke bidang lain, seperti pemrosesan klaim
asuransi kesehatan di departemen SDM perusahaan atau keselamatan lantai pabrik dan
pelaporan kecelakaan industri. Perusahaan yang terkait dengan kesehatan harus memiliki
aturan dan prosedur kepatuhan HIPAA yang kuat, tetapi uraian terperinci tentang aturan ini
berada di luar cakupan buku ini. Auditor internal akan menghadapi area di mana kepatuhan
HIPAA diperlukan di banyak lingkungan lainnya. Tampilan 26.1 menjelaskan beberapa
prosedur perawatan kesehatan HIPAA yang harus ada di perusahaan mana pun

(b) Kriptografi, PKI, dan Persyaratan Keamanan HIPAA

Selain izin rekam medis dan aturan privasi pelepasan, HIPAA memuat beberapa prosedur yang
sangat spesifik dan, untuk perusahaan kecil, sulit -untuk mengimplementasikan persyaratan
keamanan TI. Ini mendorong praktik keamanan ke tepi TI saat ini dan membutuhkan hal-hal
seperti tanda tangan elektronik yang aman, meskipun saat ini ada teknik teknis dewasa yang
terbatas untuk menyediakan keamanan tersebut pada jaringan terbuka seperti Internet. Kami
masih pada titik di mana seorang hacker komputer yang terampil dapat mencegat panggilan
telepon seluler; panggilan semacam itu yang mencakup hal-hal yang berkaitan dengan
perawatan kesehatan dapat menciptakan pelanggaran persyaratan keamanan HIPAA.
Teknologi akan berubah di masa depan, prosedur kontrol akan meningkat, peretas akan
semakin pintar, dan pelanggaran akan diselesaikan di pengadilan.
 Alasan dasar di balik aturan ini adalah bahwa keamanan banyak sistem administrasi
kesehatan pada masa pra-HIPAA seringkali tidak memadai. Perusahaan dapat meningkatkan
keamanan mereka tidak hanya dengan membeli dan menginstal perangkat lunak baru tetapi
dengan terlebih dahulu memperbaiki kebijakan yang digerakkan manusia. Aturan Standar
Keamanan HIPAA belum diselesaikan dan mulai berlaku hingga April 2003, dan kepatuhan
terhadap aturan ini tidak berlaku hingga 2006. Di antara area lain, aturan ini mencakup apa
yang HIPAA sebut “entitas tertutup” seperti:

■ Dokter dan layanan kesehatan lainnya penyedia yang memproses klaim perawatan
kesehatan secara elektronik
■ Rencana kesehatan, termasuk perusahaan yang
“mengasuransikan diri”
■ Lembaga kliring perawatan kesehatan — layanan penagihan dan lainnya yang
menyediakan layanan format data untuk pengajuan klaim elektronik

Dengan demikian, aturan keamanan HIPAA berlaku untuk semua perusahaan, apakah
kantor dokter tunggal, rumah sakit besar, atau kantor profesional kecil yang menangani
pemrosesan klaim perawatan kesehatannya sendiri melalui asuransi sendiri.
Keamanan adalah elemen kunci untuk menjaga informasi kesehatan pribadi tetap
pribadi, dan aturan HIPAA mencakup praktik keamanan yang baik untuk lebih dari sekadar
catatan medis,

PAMERAN 26.1 Audit Internal Prosedur Persyaratan HIPAA

1. Apakah perusahaan didefinisikan sebagai perusahaan yang terkait dengan perawatan
kesehatan dan tunduk pada HIPAA aturan?
(Jika tidak, tidak perlu menyelesaikan langkah-langkah.)
2. Apakah petugas keamanan informasi seluruh perusahaan telah ditunjuk
untukHIPAA
kepatuhan, dan apakah rencana implementasi umum telah dikembangkan?
3. Apakah kebijakan dan prosedur untuk melindungi informasi kesehatan pasien telah
dikembangkan dan
diimplementasikan?
4. Apakah ada proses untuk mendukung dan memantau peraturan danHIPAA yang
sedang berjalan
peraturan?
5. Apakah ada proses untuk mengembangkan kebijakan,privasi dan keamanan yang
komprehensif
prosedur, kontrol, dan teknologi?
6. Apakah perusahaan memiliki rencana kontingensi formal yang mencakup:
■ Analisis kritis aplikasi dan data
■ Perencanaan cadangan data
■ Rencana pemulihan bencana
■ Rencana operasi mode darurat
■ Pengujian berkala dan revisi rencana
7. Apakah ada kontrol akses informasi formal proses, termasuk otorisasi
akses, aturan pendirian akses, dan prosedur modifikasi akses?
8. Kontrol atas akses ke sistem sistem informasi media harus mencakup proses untuk:
■ Akuntabilitas
■ Cadangan data
■ Penyimpanan data
■ Pembuangan data
9. Kebijakan / prosedur keamanan personel harus:
■ Memastikan pengawasan personel pemeliharaan oleh orang yang berwenang dan
berpengetahuan luas
■ Menjaga catatan lengkap otorisasi akses
■ Memastikan bahwa personel operasi dan pemeliharaan memiliki otorisasi akses yang
tepat
■ Menetapkan prosedur pembersihan personel
10. Prosedur pemutusan formal harus ada, termasuk perubahan
kunci kombinasi yang sesuai dan penghapusan dari daftar akses.
11. Kontrol akses fisik di seluruh fasilitas harus mencakup:
■ Rencana operasi mode darurat
■ Kontrol peralatan masuk dan keluar fasilitas
■ Rencana keamanan fasilitas
■ Prosedur untuk memverifikasi otorisasi akses sebelum akses fisik
■ Catatan pemeliharaan
■ Prosedur yang perlu diketahui untuk akses personel
■ Masuk untuk pengunjung dan pendamping, jika
sesuai
■ Menguji dan merevisi rencana akses fisik
12. Semua jaringan dan komunikasi seharusnya dilindungi melalui:
■ Log-off otomatis
■ Identifikasi pengguna unik
■ Kata sandi dan nomor identifikasi pribadi.
■ Telepon balik.

seperti persyaratan untuk standar pemulihan bencana yang kuat. Aturan yang diterbitkan terdiri
dari aturan "wajib" dan apa yang disebut HIPAA "dapat dialamatkan". Yang terakhir adalah
aturan bahwa perusahaan tidak diwajibkan untuk menerapkan karena ukurannya yang kecil
dan sumber daya yang terbatas. Peraturan HIPAA yang “diwajibkan” mewakili banyak praktik
keamanan informasi yang baik yang sesuai untuk perusahaan mana pun. Area keamanan
HIPAA lainnya di sini adalah di luar ruang lingkup buku ini, seperti persyaratan untuk
infrastruktur Infrastruktur Kunci Publik (PKI) yang mencakup tanda tangan digital.

(c) Prosedur Administratif Keamanan

HIPAA HIPAA mensyaratkan prosedur administratif untuk menjaga integritas, kerahasiaan,
dan ketersediaan data. Prosedur-prosedur ini harus didokumentasikan dengan hati-hati sesuai
aturan HIPAA, dan Tampilan 26.2 mencantumkan beberapa dari prosedur administrasi “wajib”
ini. Pameran ini juga mencantumkan aturan implementasi dengan cara yang sangat umum;
aturan HIPAA yang diterbitkan cenderung sangat rinci. Banyak dari persyaratan ini, seperti
 persyaratan untuk rencana darurat yang terdokumentasi dan teruji atau kebijakan formal untuk
kontrol akses informasi, mirip dengan prosedur kontrol yang direkomendasikan oleh audiens
internal selama bertahun-tahun. Yang lain mewakili praktik-praktik baik yang

PAMERAN 26.2 Spesifikasi Implementasi yang Diperlukan

HIPAA
Ketentuan-ketentuan ini berlaku untuk apa yang disebut entitas atau perusahaan "tertutup"
di bawah aturan HIPAA dan harus menjadi bagian dari rencana keamanan dan kepatuhan
HIPAA perusahaan.

1. Analisis risiko. Perusahaan harus melakukan penilaian menyeluruh terhadap potensi risiko
kerahasiaan informasi, integritas, dan ketersediaan.
2. Manajemen risiko. Perusahaan yang dilindungi harus menerapkanwajar dan sesuai
langkah-langkah keamanan yanguntuk mengurangi risiko secara keseluruhan ke tingkat
yang dapat diterima.
3. Kebijakan sanksi. Sanksi atau hukuman terkait harus diterapkan kepadaangkatan
kerja anggotayang melanggar kebijakan keamanan perusahaan. Ini mungkin
diterjemahkan ke dalam beberapa jenis kebijakan tiga-teguran-dan-kau-keluar.
4. Pelaporan aktivitas keamanan sistem informasi. Catatan keamanan, laporan kejadian,
dan laporan kegiatan keamanan terkait harus dilaporkan dan ditinjau secara teratur.
5. Respon insiden. Proses harus ada untuk mengidentifikasi, menyelidiki, memitigasi,
dan mendokumentasikan insiden keamanan.
6. Prosedur pencadangan. Prosedur yang sesuai harus ada untuk memulihkan setiap
kehilangan data.
7. Pemulihan bencana. Setiap perusahaan yang dilindungi harus menetapkan prosedur
untuk menutupi kehilangan data.
8. Mode operasi darurat. Proses harus ada untuk memastikan keamanan
informasi pasien saat beroperasi dalam mode darurat.
9. Kontrak bisnis terkait. Suatu perusahaan harus memasukkan bahasa dalam kontrak
dengan
pemasok layanan terkait yang mengharuskan pemasok untuk mengadopsi langkah-
langkah keamanan yang memadai untuk melaporkan insiden keamanan kepada
perusahaan, untuk memastikan subkontraktor ini menerapkan langkah-langkah
keamanan yang sesuai, dan untuk menyediakan pemutusan kontrak dalam kasus
pelanggaran keamanan.
10. Pembuangan informasi pasien. Kebijakan dan prosedur harus ada mengatasi disposisi
akhir dari informasi pasien seperti perangkat disk daur ulang.
11. Penggunaan kembali media. Proses harus ada untuk memastikan penghapusan
informasi sensitif
dari media elektronik, seperti drive disk, sebelum digunakan kembali.
12. Identifikasi pengguna unik. Pengidentifikasi unik harus ditetapkan untuk semua
pengguna sistem
untuk mencegah akun bersama dan untuk melacak perilaku sistem.
13. Prosedur akses darurat. Prosedur harus ditetapkan untuk memungkinkan
pengaksesan informasi elektronik selama keadaan darurat.
14. Dokumentasi. Prosedur harus ditetapkan untuk menjamin keamanan informasi,
memelihara dokumentasi untuk jangka waktu enam tahun, dan meninjaunya secara
berkala.

harus ada di banyak perusahaan. Aturan 3 dalam pameran mengacu pada kebutuhan akan apa
yang disebut kebijakan sanksi — seperangkat aturan formal untuk orang yang melanggar
kebijakan keamanan. Ini adalah ide yang bagus untuk sebagian besar perusahaan. Hari ini,
sebagai aturan administratif, penyedia layanan kesehatan yang terkena dampak HIPAA yang
berbasis di AS akan menghadapi hukuman jika aturan dan prosedur yang ditetapkan tidak
memadai.
Persyaratan keamanan HIPAA juga mencakup beberapa aturan perlindungan fisik yang
mirip dengan kontrol akses fisik yang telah ada selama bertahun-tahun di pusat data TI.
Namun, di sini, HIPAA melampaui pusat operasi TI klasik dan menyerukan pedoman dan
dokumentasi yang kuat atas penggunaan dan lokasi workstation. Sementara auditor internal
biasanya belum mengemukakan bahwa banyak pengawasan internal terkait dengan kontrol
fisik untuk terminal jaringan di lingkungan bisnis, lingkungan perawatan kesehatan yang diatur
oleh HIPAA memperkenalkan masalah baru. Stasiun kerja lingkungan medis yang digunakan
oleh dokter, perawat, dan / atau anggota staf lainnya memerlukan kontrol logis dan fisik yang
kuat untuk melindungi privasi pribadi dari catatan pasien yang melewati stasiun kerja tersebut.

(d) Mekanisme dan Layanan Keamanan Teknis.

Aturan HIPAA mensyaratkan bahwa proses harus dilakukan untuk menjaga integritas,
kerahasiaan, dan ketersediaan data rekam medis ini dan untuk mencegah akses tidak sah ke
data apa pun yang ditransmisikan melalui jaringan komunikasi. Peraturan di sini memerlukan
kontrol keamanan sistem informasi yang seringkali lebih kuat daripada yang ditemukan di
beberapa perusahaan besar saat ini dan mencakup:

■ Kontrol akses. Mekanisme kontrol yang kuat berdasarkan konteks data atau peran / posisi
pengguna yang berwenang harus ditetapkan. Selain itu, proses kontrol harus selalu ada untuk
memungkinkan akses darurat dari operasi pusat data jika diperlukan.
■ Kontrol audit. Di sini dan di seluruh peraturan HIPAA adalah persyaratan untuk kontrol
audit yang kuat, termasuk hal-hal seperti proses revisi dokumentasi dan jalur audit
tradisional.
■ Otentikasi data. Diperlukan kontrol sistem yang kuat atas integritas data. Ini adalah
jenis kontrol aplikasi yang sama yang dibahas dalam Bab 19.
■ Otentikasi entitas. Kontrol harus ada sehingga ketika satu stasiun kerja mencoba
mengakses yang lain, itu harus diautentikasi. Proses ini dapat mencakup kata sandi,
panggilan balik telepon, atau bahkan kontrol biometrik. Persyaratan ini melampaui banyak
praktik perusahaan yang berlaku saat ini di mana informasi sering dibagikan secara bebas
melalui catatan email berisi lampiran.
■ Kontrol komunikasi dan jaringan. Berbagai macam kontrol disarankan di sini, termasuk
alarm, enkripsi, pelaporan peristiwa, otentikasi pesan, dan lainnya. Perusahaan yang terkena
dampak HIPAA harus menerapkan jaringan yang sangat aman.

HIPAA mensyaratkan bahwa kontrol tanda tangan elektronik dibuat yang akan
memberikan bobot hukum yang sama dengan tanda tangan data elektronik seperti yang terkait
dengan tanda tangan tradisional pada dokumen kertas. HIPAA menentukan integritas pesan
jaringan, tidak ada penolakan, dan otentikasi pengguna untuk pesan apa pun dengan tanda
tangan elektronik. Bagi banyak organisasi, ini bisa menjadi tantangan. Proses tanda tangan
digital yang ada saat ini sering kali agak rumit tetapi akan diperlukan sampai teknik lain yang
lebih baik dikembangkan. Ini adalah kasus klasik pemerintah AS menetapkan aturan ideal atau
yang diinginkan bahkan ketika tidak ada solusi praktis yang ada saat ini. Legislator kadang-
kadang berpikir bahwa jika mereka menetapkan standar tinggi, industri dan kelompok lain
akan dikenakan biaya di depan untuk mewujudkan sesuatu. Ini terkadang berhasil, tetapi jika
tidak, aturan perlu direvisi.

(e) Melangkah Maju: HIPAA dan E-Commerce

Meskipun dirancang untuk melindungi dan mengotentikasi informasi medis, aturan HIPAA
menguraikan beberapa pedoman yang kuat untuk semua proses perdagangan elektronik.
Persyaratan utama di sini adalah peningkatan standar dan proses untuk tanda tangan elektronik.
Lebih banyak yang harus dicapai sebelum proses menjadi umum dan tersedia secara komersial,
dan Institut Nasional Standar dan Teknologi (NIST) mengambil peran kepemimpinan dalam
pengembangan Infrastruktur Kunci Publik Federal yang mendukung tanda tangan digital dan
kunci publik lainnya yang diaktifkan dengan kunci. layanan keamanan. NIST saat ini
berkoordinasi dengan kelompok industri dan teknis yang mengembangkan teknologi PKI
untuk mendorong interoperabilitas produk dan proyek PKI. Seharusnya ada lebih banyak
perubahan di masa depan,
aturan HIPAA telah mendorong kemajuan di banyak bidang keamanan dan integritas TI.
Meskipun dikembangkan untuk perusahaan layanan kesehatan, peraturan ini berdampak pada
banyak perusahaan. Auditor internal harus berusaha untuk tetap menyadari aturan-aturan ini
dan standar yang disyaratkan bahkan jika mereka tidak bekerja secara langsung untuk
perusahaan layanan kesehatan. Selain hanya berkaitan dengan perusahaan layanan kesehatan,
aturan yang rumit dan penting ini berlaku setiap kali catatan terkait kesehatan dikelola oleh
fungsi SDM. Auditor internal dapat menemukan lebih banyak informasi HIPAA di Web dari
dua sumber penting:

1. Departemen Kesehatan dan Layanan Kemanusiaan AS. Salinan peraturan HIPAA

dan bahan referensi pendukung lainnya tersedia dari http://hhs.gov/ ocr / hipaa.

2. Penasihat HIPPA. Sebuah situs yang dikelola oleh Phoenix Health Systems sebagai
layanan publik adalah sumber yang baik untuk informasi HIPAA; lihat
www.hipaadvisory.com.

Kepatuhan HIPAA adalah persyaratan hukum AS. Sementara auditor pemerintah tidak
akan mengunjungi rumah sakit, fasilitas kesehatan besar, atau departemen SDM organisasi
komersial, seorang individu yang merasa telah terjadi pelanggaran dapat mengajukan
pengaduan ke Departemen Kehakiman AS (DOJ). Itu tentu bisa terjadi jika beberapa informasi
kunci dari catatan klaim asuransi kesehatan karyawan menjadi pengetahuan publik karena
gangguan keamanan catatan. DOJ memiliki pendekatan kepatuhan yang didorong oleh keluhan
/ sukarela.
Jika DOJ memutuskan untuk mengambil tindakan terkait beberapa keluhan, saat ini ia
memiliki kebijakan satu pelanggaran gratis. Dengan kata lain, pertama DOJ akan bekerja
dengan organisasi yang tidak mengeluh; jika tindakan korektif tidak tercapai, DOJ akan
mempertimbangkan pengenaan sanksi moneter sipil.
Auditor internal harus mengetahui aturan HIPAA, setidaknya pada level tinggi. Auditor
internal harus merekomendasikan kontrol keamanan dan kerahasiaan yang kuat atas area apa
pun yang dapat memengaruhi catatan kesehatan medis karyawan.
26.2 Undang-Undang Gramm-Leach-Bliley Aturan Audit Internal

Secara resmi dikenal sebagai Undang-Undang Modernisasi Keuangan tahun 1999, GLBA
adalah serangkaian persyaratan AS terkait privasi dengan tujuan untuk melindungipribadi
konsumen informasi keuanganyang dipegang oleh lembaga keuangan. Undang-undang ini
memiliki tiga bagian utama:
1. Aturan Privasi FinansialAturan
2. Safeguards
3. Apa yang disebut "ketentuan alasan"

GLBA memberikan wewenang kepada delapan lembaga federal AS dan negara bagian untuk
menjadi penasihat, dan menegakkan aturan baru. seperangkat aturan pelepasan privasi yang
berlaku untuk apa yang umumnya disebut "lembaga keuangan." Lembaga ini tidak hanya
mencakup bank tradisional, perusahaan sekuritas, dan perusahaan asuransi, tetapi juga
perusahaan yang menyediakan banyak jenis produk dan layanan keuangan lainnya kepada
konsumen. Diantaranya adalah peminjaman, perantara, dan melayani segala jenis pinjaman
konsumen, mentransfer atau melindungi uang, menyiapkan pengembalian pajak individu,
memberikan nasihat keuangan atau konseling kredit, layanan penyelesaian perumahan real
estat, menagih hutang konsumen, dan berbagai kegiatan lainnya . Dengan GLBA, “lembaga
keuangan” nontradisional ini sekarang diatur oleh Komisi Perdagangan Federal (FTC) baik
secara langsung atau melalui lembaga federal dan negara bagian lainnya.
Auditor internal yang bekerja untuk bank atau perusahaan asuransi mungkin telah terkena
dampak oleh GLBA dan ketentuan terkait privasi. Undang-undang ini juga dapat mencakup
banyak perusahaan lain karena definisi yang diperluas tentang apa yang disebut “lembaga
keuangan.” Misalnya, aturan GLBA juga berlaku untuk banyak lembaga keuangan yang diatur
oleh negara. Perusahaan-perusahaan asuransi di Amerika Serikat diatur berdasarkan negara-
oleh-negara dengan Asosiasi Nasional Komisaris Asuransi (NAIC) bertindak sebagai
kelompok pusat koordinasi dan penetapan standar. NAIC telah memberlakukan aturan GLBA
yang diamanatkan oleh federal pada masing-masing perusahaan asuransi yang diatur oleh
negara. Ini adalah contoh lain tentang bagaimana peraturan federal AS terkadang berpindah
dari otoritas AS ke aturan yang mencakup hukum negara serta beberapa aturan internasional
serupa. Meskipun pemeriksaan akuntan publik bersertifikat (CPA) dikelola oleh American
Institute of CPAs (AICPA), CPA dilisensikan secara individual berdasarkan negara bagian
melalui masing-masing dewan akuntansi. Melalui otoritas NAIC, badan koordinator aturan
negara, aturan GLBA diadopsi oleh sebagian besar negara bagian di Amerika Serikat.

(a) Aturan Privasi Keuangan GLBA

Konsumen AS sering menemui GLBA dan Peraturan Privasi Finansialnya saat ini ketika
mereka menerima catatan dari penyedia kartu kredit yang berbicara tentang aturan privasi
untuk kartu kredit itu. Aturan Privasi Keuangan GLBA mensyaratkan lembaga keuangan untuk
memberi pelanggan pemberitahuan privasi ini yang menjelaskan praktik pengumpulan dan
berbagi informasi lembaga keuangan. Pemberitahuan privasi ini harus merupakan pernyataan
yang jelas, mencolok, dan akurat dari praktik privasi perusahaan; itu harus mencakup informasi
apa yang dikumpulkan perusahaan tentang konsumen dan pelanggannya, dengan siapa ia
membagikan informasi kredit konsumen ini, dan bagaimana perusahaan itu melindungi atau
melindungi informasi tersebut. Pemberitahuan berlaku untuk "informasi pribadi non publik"
yang dikumpulkan dan diungkapkan perusahaan tentang konsumen dan pelanggannya; dalam
praktiknya, itu mungkin sebagian besar — atau semua — informasi yang dimiliki perusahaan
tentang pelanggannya. Misalnya, informasi pribadi nonpublik dapat mencakup informasi yang
diberikan konsumen atau pelanggan pada aplikasi kontrak kredit atau penjualan; informasi
tentang individu dari sumber lain, seperti biro kredit; atau informasi tentang transaksi antara
individu dan perusahaan, seperti saldo akun. Memang, bahkan fakta bahwa seseorang terdaftar
sebagai konsumen atau pelanggan dari lembaga keuangan tertentu diklasifikasikan di bawah
GLBA sebagai informasi pribadi nonpublik. Hal-hal yang menurut alasan perusahaan diyakini
sah untuk umum — seperti informasi pinjaman hipotek di yurisdiksi tempat informasi itu
dicatat secara publik — tidak dibatasi oleh GLBA.
Pemberitahuan privasi yang diamanatkan GLBA harus mengandung elemen-elemen
informasi ini:

■ Jenis-jenis informasi pribadi non publik yang dikumpulkan suatu perusahaan mengenai
pelanggannya
■ Jenis-jenis informasi pribadi non-publik yang akan diungkapkan perusahaan kepada
orang lain tentang pelanggan
■ Pihak-pihak yang kepadanya perusahaan mengungkapkan informasi ini , selain dari
pengecualian terhadap laranganrahasia
■ pengungkapanPelanggan atau hak klien untuk "memilih keluar" dari pengungkapan
tersebut bersama dengan aturan sederhana untuk memilih keluar
■ Kebijakan perusahaan sehubungan dengan berbagi informasi tentang seseorang yang
tidak lagi menjadi pelanggan atau klien
■ Praktik perusahaan untuk melindungi kerahasiaan dan keamanan pelanggan atau
informasi pribadi nonpublik klien

Banyak konsumen saat ini hanya sedikit memperhatikan pemberitahuan ini, meskipun
mereka dapat menyatakan bahwa perusahaan yang memiliki data akun mereka dapat
membagikan nama konsumen dengan orang lain. GLBA memberi pelanggan hak untuk
memilih keluar dari — atau mengatakan tidak — memiliki informasi pribadi konsumen ini
dibagikan kepada pihak ketiga tertentu. Pemberitahuan privasi harus menjelaskan bagaimana
— dan menawarkan cara yang masuk akal — mereka dapat menyisih. Misalnya, memberikan
nomor telepon bebas pulsa atau formulir yang dapat dilepas dengan alamat pracetak adalah
cara yang masuk akal bagi konsumen atau pelanggan untuk memilih keluar; mengharuskan
seseorang untuk menulis surat karena satu-satunya cara untuk memilih keluar adalah tidak.
Pemberitahuan privasi juga harus menjelaskan bahwa konsumen memiliki hak untuk
mengatakan tidak terhadap pembagian informasi tertentu, seperti laporan kredit atau informasi
aplikasi, dengan divisi atau afiliasi lembaga keuangan yang terpisah.
GLBA membatasi siapa pun yang menerima informasi pribadi nonpublik dari lembaga
keuangan dapat menggunakan atau mengungkapkan kembali informasi itu. Jika pemberi
pinjaman mengungkapkan informasi pelanggan kepada penyedia layanan yang bertanggung
jawab atas pernyataan akun pengiriman, di mana konsumen tidak memiliki hak untuk memilih
keluar, penyedia layanan tersebut dapat menggunakan informasi hanya untuk tujuan terbatas
— seperti untuk pernyataan akun pengiriman surat — dan mungkin tidak menjual informasi
atau menggunakannya untuk pemasaran.
Rincian Aturan Privasi Federal GLBA ini rumit. Namun, tujuan kami di sini adalah untuk
menjelaskan aturan privasi ini secara umum. Auditor internal harus mengakui bahwa semua
informasi keuangan pribadi sangat pribadi dan tidak dapat dijual atau didistribusikan secara
sewenang-wenang. Konsumen memiliki hak untuk memilih keluar dan mengatakan tidak, dan
perusahaan harus menyimpan catatan tindakan yang sesuai dan menghormati hak privasi
konsumen. Auditor internal yang bekerja dengan lembaga atau aplikasi keuangan apa pun, atau
untuk perusahaan apa pun yang memiliki fasilitas pemberian dan penagihan kredit yang terkait
dengan konsumen, harus mengetahui bagaimana privasi GLBA berlaku untuk perusahaan.
Perusahaan yang menganggap Aturan Privasi GLBA sebagai hal yang sepele dan mungkin
gagal untuk menghormati permintaan memilih-keluar atau menjual milis secara tidak patut,
dapat menemukan diri mereka menghadapi litigasi tindakan kelas untuk kerusakan karena
kegagalan untuk mematuhi.

(b) Aturan Perlindungan GLBA Undang

-undang tentang Perlindungan Tindakan ini mewajibkan lembaga keuangan untuk memiliki
rencana keamanan untuk melindungi kerahasiaan dan integritas informasi konsumen pribadi.
Ketika konsumen membuka akun atau membeli produk, mereka sering mengungkapkan
beberapa elemen informasi pribadi mereka — alamat, nomor telepon, atau nomor kartu kredit
— sebagai bagian dari proses transaksi aplikasi itu. Perusahaan harus memiliki rencana
keamanan untuk melindungi kerahasiaan dan integritas data pribadi yang dipasok oleh
konsumen tersebut. Rencana tersebut harus mencakup lebih dari sekadar risiko kesinambungan
bisnis yang dibahas dalam Bab 22 dan mencakup kontrol untuk mencegah peretas mengakses
file data, karyawan yang tidak puas mengakses informasi pelanggan, atau kecerobohan
sederhana. Aturan Perlindungan GLBA mensyaratkan bahwa setiap lembaga keuangan,
terlepas dari ukurannya, harus membuat dan mengimplementasikan rencana keamanan
informasi tertulis untuk perlindungan data pelanggan. Cakupan dan kompleksitas rencana
keamanan ini dapat disesuaikan dengan ukuran lembaga dan sensitivitas informasi yang
dipelihara. Rencana tersebut harus didasarkan pada analisis risiko yang mengidentifikasi
semua ancaman yang dapat diduga terhadap keamanan, kerahasiaan, dan integritas informasi
pelanggan. Berdasarkan analisis risiko itu, lembaga keuangan harus mendokumentasikan dan
menerapkan langkah-langkah keamanan yang mencakup langkah-langkah administratif seperti
pelatihan karyawan; perlindungan teknis termasuk kata sandi, kontrol enkripsi, dan firewall;
dan pengamanan fisik seperti kunci pintu dan komputer. Lembaga keuangan harus menunjuk
satu atau lebih dari karyawan mereka untuk mengoordinasikan perlindungan ini dan harus
melakukan tinjauan berkala untuk menentukan apakah program keamanan mereka
memerlukan pembaruan mengingat keadaan yang berubah.
Auditor internal harus menyadari bagaimana perusahaan yang berbasis di AS dapat
menunjukkan kepatuhan dengan aturan perlindungan GLBA melalui lima langkah:

1. Analisis risiko lingkungan. Perusahaan harus secara resmi mengidentifikasi risiko

internal dan eksternal terhadap keamanan, kerahasiaan, dan integritas semua informasi
pribadi pelanggan. Pendekatan analisis risiko dibahas dalam Bab 6. Proses ini harus
mencakup risiko kehilangan atau pengungkapan untuk semua sumber informasi pribadi,
baik pada sistem otomatis atau catatan manual.

2. Merancang dan mengimplementasikan perlindungan. Perlindungan ini pada dasarnya

adalah prosedur kontrol internal yang dibahas dalam Bab 3 sebagai bagian dari kerangka
kerja kontrol internal Komite Organisasi Sponsoring (COSO) dan di mana pun di seluruh
buku ini.

3. Pemantauan dan audit. Proses pemantauan jaminan audit berkelanjutan, seperti dibahas
pada Bab 29, harus ada. Audit internal dapat memainkan peran pemantauan dan audit yang
penting di sini dengan menjadwalkan ulasan secara memadai tentang kecukupan rencana
keamanan, ditambah dengan tes kepatuhan yang sesuai.
 4. Program peningkatan konstan. Perusahaan harus memiliki program untuk terus
meningkatkan rencana keamanannya. Program itu harus didokumentasikan dengan baik
untuk menggambarkan kemajuan rencana dalam meningkatkan kelemahan yang ditemukan.

5. Mengawasi penyedia dan mitra keamanan. Banyak mitra dan perusahaan lain mungkin
memiliki akses ke informasi pribadi yang sama ini atau ke koneksi jaringan sistem di mana
privasi pribadi dapat dilanggar. Kebijakan, kontrol, dan prosedur audit yang memadai juga
harus ada di sini.

Aturan Perlindungan GLBA berlaku untuk berbagai penyedia produk dan layanan
keuangan, termasuk broker hipotek, pemberi pinjaman nonblank, penilai, agen pelaporan
kredit, penyusun pajak profesional, dan pengecer yang mengeluarkan kartu kredit mereka
sendiri. Bank tidak tunduk pada Aturan Perlindungan tetapi harus mematuhi peraturan rekanan
serupa yang telah dikeluarkan oleh lembaga perbankan federal. Kegagalan untuk mematuhi
Peraturan Upaya Perlindungan dapat mengakibatkan denda atau tindakan penegakan hukum
lainnya oleh FTC.

(c) Ketentuan GLEX Pretexting

GLBA melarang "pretexting" - penggunaan pretensi palsu, termasuk pernyataan penipuan dan
peniruan identitas - untuk mendapatkan informasi keuangan pribadi konsumen, seperti saldo
bank, dengan alasan palsu. Pretexters menggunakan berbagai taktik untuk mendapatkan
informasi pribadi. Misalnya, seorang pretexter dapat menelepon, mengaku berasal dari
perusahaan survei, mengajukan beberapa pertanyaan untuk mungkin mendapatkan nama bank
seseorang, dan kemudian menggunakan informasi yang dikumpulkan untuk memanggil
lembaga keuangan orang yang dituju, berpura-pura menjadi sasaran orang atau seseorang
dengan akses resmi ke akun itu. Penelepon mungkin mengklaim telah melupakan buku ceknya
dan membutuhkan informasi tentang akun itu. Dengan cara ini, pretexter mungkin dapat
memperoleh informasi pribadi tentang target korban, seperti nomor Jaminan Sosial, nomor
rekening bank dan kartu kredit, informasi dalam laporan kredit, dan keberadaan dan ukuran
tabungan pribadi dan portofolio investasi.
Berdasarkan Ketentuan Dalih GLBA, adalah ilegal bagi siapa pun untuk:

■ Menggunakan pernyataan atau dokumen palsu, fiktif, atau menipu untuk mendapatkan
informasi pelanggan dari lembaga keuangan atau langsung dari pelanggan dari lembaga
keuangan.
■ Menggunakan dokumen palsu, palsu, hilang, atau dicuri untuk mendapatkan informasi
pelanggan dari lembaga keuangan atau langsung dari pelanggan dari lembaga keuangan.
■ Minta orang lain untuk mendapatkan informasi pelanggan orang lain menggunakan
pernyataan palsu, fiktif, atau menipu atau menggunakan dokumen palsu, fiktif, atau penipuan
atau memalsukan, memalsukan, kehilangan, atau mencuri dokumen.

Dalih menyebabkan risiko atau paparan keamanan dan privasi baru: pencurian identitas.
Ini terjadi ketika seseorang membajak informasi pengenal pribadi Anda untuk membuka
rekening tagihan baru, memesan barang dagangan, atau meminjam uang. Konsumen yang
ditargetkan oleh pencuri identitas biasanya tidak tahu bahwa mereka telah menjadi korban
sampai para pembajak gagal membayar tagihan atau membayar kembali pinjaman, dan agen
penagihan mulai mengelabui konsumen yang ditargetkan untuk pembayaran akun yang bahkan
mereka tidak tahu mereka miliki. Menurut FTC, bentuk pencurian identitas yang paling umum
adalah:

■ Penipuan kartu kredit. Akun kartu kredit dibuka atas nama konsumen atau akun kartu
kredit yang ada "diambil alih".
■ Penipuan layanan komunikasi. Pencuri identitas membuka telepon, seluler, atau
layanan utilitas lain atas nama konsumen.
■ Penipuan bank. Pencuri identitas membuka rekening giro atau tabungan atas nama
konsumen dan / atau menulis cek palsu.
■ Pinjaman penipuan. Pencuri identitas mendapat pinjaman, seperti kredit mobil, atas
nama konsumen.

Hukum AS yang terpisah terkait dengan GLBA adalah Undang-Undang Pencurian

Identitas dan Asumsi, yang menjadikannya kejahatan federal ketika seseorang “secara sadar
mentransfer atau menggunakan, tanpa wewenang yang sah, suatu cara mengidentifikasi
orang lain dengan maksud untuk melakukan, atau untuk membantu atau bersekongkol
dengan aktivitas apa pun yang melanggar hukum yang merupakan pelanggaran hukum
federal, atau yang merupakan tindak pidana berdasarkan hukum negara bagian atau lokal
yang berlaku. "Di sini, nama atau Nomor Jaminan Sosial dianggap sebagai" alat identifikasi,
"seperti halnya nomor kartu kredit, nomor seri elektronik telepon seluler, atau informasi lain
apa pun yang dapat digunakan sendiri atau bersama dengan informasi lain untuk
mengidentifikasi individu tertentu.
GLBA adalah aturan yang dapat memengaruhi banyak auditor internal, terutama yang
bekerja di semua jenis lembaga keuangan. Sementara banyak aspek GLBA dirancang
terutama untuk melindungi informasi keuangan konsumen, definisinya sangat luas sehingga
GLBA berpotensi berdampak pada berbagai perusahaan dan banyak auditor internal AS.
Auditor internal yang bekerja dengan perusahaan keuangan dan pemberi kredit harus lebih
menyadari aturan GLBA ini serta aturan privasi umum yang berlaku untuk banyak
perusahaan lain. Web adalah sumber yang baik untuk mendapatkan informasi tambahan yang
lebih terperinci dan terkini tentang tindakan dan ketentuannya. Dua sumber yang baik adalah:

1. Komisi Perdagangan Federal. Sumber pemerintah ini memberikan pandangan umum

tentang GLBA serta aturan terbaru di: www.ftc.gov/privacy/glbact.
2. Asosiasi Nasional Komisaris Asuransi. Ini adalah perusahaan pembuat peraturan negara
bagian yang memiliki informasi GLBA yang baik di: www.naic.org/GLBA.

Tampilan 26.3 memberikan beberapa aturan umum dan langkah-langkah untuk mengaudit
kepatuhan dengan kontrol dan prosedur GLBA. Sementara prosedur audit ini harus diperluas
untuk beberapa perusahaan, tujuan pameran ini adalah untuk memberikan beberapa langkah
audit umum untuk dipertimbangkan untuk tinjauan operasional audit internal lembaga
keuangan untuk menunjukkan kepatuhan GLBA.

26.3 Persyaratan Privasi dan Keamanan Pribadi Lainnya Legislatif

GLBA dan HIPAA adalah dua inisiatif legislatif privasi dan keamanan penting yang harus
tetap ada di layar radar auditor internal yang berbasis di AS. Ini di samping standar perawatan
PCI-DSS yang dibahas dalam Bab 20. Ada juga inisiatif federal AS terkait privasi lainnya
baru-baru ini, seperti Undang-Undang Perlindungan Privasi Daring Anak-anak (COPPA),
yang mengatur pengumpulan data pribadi anak-anak. informasi. Selain itu, sekitar 35 (dan
terus bertambah) negara bagian AS telah memperkenalkan tindakan perlindungan data mereka
sendiri. Karena aturan-aturan ini tidak selalu konsisten dari satu negara ke negara lain,
kepatuhan dapat menjadi tantangan utama. Penasihat hukum suatu perusahaan adalah pihak
yang paling mengetahui masalah-masalah ini, dan audit internal harus mengoordinasikan
kegiatan secara erat dengan penasihat hukumnya untuk memastikan bahwa tinjauan audit
internal mengenali dan mendukung aturan kepatuhan hukum ini.
Penggerak peraturan terkait lainnya ada di seluruh dunia dan termasuk standar
Perlindungan Data Uni Eropa, Perlindungan Informasi Pribadi Kanada dan Undang-Undang
Dokumen Elektronik, dan undang-undang Perlindungan Data Jepang. Masing-masing
memiliki persyaratan keamanan data yang umum untuk aturan keamanan data HIPAA. Standar
privasi dan keamanan internasional lainnya adalah Standar Internasional.

PAMERAN 26.3 Prosedur Audit Internal untuk Kepatuhan Gramm-Leach-

Bliley
Audit internal harus bertemu dengan manajemen keuangan dan penasihat perusahaan
untuk menilai apakah perusahaan dapat didefinisikan sebagai "lembaga keuangan"
berdasarkan ketentuan Gramm-Leach-Bliley Act (GLBA). Jika terkena dampak,
prosedur audit internal harus:

1. Menentukan perusahaan secara teratur mengirimkan pemberitahuan privasi finansial,

dan menilai prosedur tindak lanjut yang ada untuk memperbaiki surat yang dikembalikan
atau untuk memberikan jawaban kepada pelanggan mengenai pemberitahuan ini.

2. Menilai penyimpanan catatan dan kontrol-kontrol lain berkenaan dengan aturan

penolakan pemberitahuan privasi. Pilih sampel pelanggan yang telah meminta untuk
tidak ikut serta dan menentukan bahwa prosedur privasi ini beroperasi.
3. Tinjau privasi rekaman umum dan prosedur keamanan atas semuaterpengaruh GLBA
materi yang. Praktik yang baik di sini mencakup kontrol kata sandi sistem informasi
yang kuat dan prosedur kantor yang mencakup catatan yang berorientasi kertas.
4. Menentukan bahwa perusahaan mempunyai rencana keamanan formal untuk melindungi
keamanan
dan kerahasiaan informasi konsumen pribadi.
5. Menentukan bahwa ada analisis risiko lingkungan untuk mengidentifikasi secara formal
semuainternal
risikodan eksternal terhadap keamanan, kerahasiaan, integritas semua informasi pribadi
pelanggan.
6. Tinjau proses pemantauan berkelanjutan di sekitar kontrol ataspelanggan informasi
pribadi, dan nilai kecukupannya.
7. Tinjau kecukupan program peningkatan konstan seputar keamanan GLBAberikan
kontrol, dankomentar tentang kecukupannya.
8. Menilai kecukupan program informasi dalam perusahaan untuk memberi informasi
kepada semua
karyawan tentang persyaratan GLBA dan kebutuhan mereka untuk melindungi informasi
pribadi pelanggan.
9. Menentukan bahwa ada kontrol yang memadai untuk mencegah pelanggaranpretext
GLBA ketentuan.
10. Menentukan bahwa perusahaan telah mengambil langkah-langkah yang memadai
untuk memberi tahulain terkait organisasiketentuan GLBA.

Organisasi (ISO) no. 15408, kerangka kerja untuk mengevaluasi keamanan TI. Standar ISO
diperkenalkan secara singkat di Bab 30. Utas umum untuk inisiatif ini adalah perlindungan
privasi pribadi untuk informasi tentang seseorang yang disimpan dalam catatan sistem TI.
Undang-undang HIPAA dan GLBA yang dibahas dalam bab ini mungkin menunjuk ke
inisiatif legislatif lainnya di bidang-bidang di luar perlindungan kesehatan dan privasi finansial
pribadi. Selain itu, walaupun mungkin perlu waktu untuk berkembang sepenuhnya, model
risiko manajemen risiko perusahaan COSO yang dibahas dalam Bab 6 dapat segera
menyebabkan beberapa perubahan besar dalam cara kita memahami, mengelola, dan
melindungi risiko bisnis dan risiko lainnya. Akan ada banyak peluang bagi auditor internal di
organisasi saat ini dan di masa depan. Auditor internal, di semua tingkatan, harus memiliki
kesadaran CBOK tingkat tinggi terhadap aturan-aturan ini. Ketika auditor internal bekerja di
perusahaan layanan kesehatan atau keuangan yang terkena dampak langsung oleh aturan
HIPAA atau GLBA, pemahaman CBOK yang kuat tentang aturan ini dan bagaimana
dampaknya terhadap aktivitas audit internal sangat penting.