Bab ini membahas tiga item dari undang-undang dengan dampak yang luas, terutama
untuk auditor internal yang berbasis di AS. Yang pertama adalah Asuransi Portabilitas
Kesehatan dan Akuntabilitas Act (HIPAA). Internal auditor mungkin berpendapat, “Saya
melakukan audit internal untuk perusahaan manufaktur. Mengapa saya harus khawatir
tentang undang-undang asuransi terkait kesehatan?”Fokus HIPAA adalah pada penyedia
layanan kesehatan, tetapi membahas berbagai privasi pribadi mencatat bahwa dampak semua
perusahaan AS, dan telah menyebabkan perubahan dalam bidang-bidang seperti teknologi
informasi (TI) keamanan dan sumber daya manusia (SDM) fungsi. Setiap perusahaan yang
membawa data asuransi kesehatan karyawan dalam catatan SDM perlu menyadari aturan
HIPAA, dan auditor internal sering dapat menjadi bantuan besar untuk manajemen dalam
menyoroti potensi kontrol HIPAA dan pelanggaran.
judul deskriptif populer untuk undang-undang federal AS sering didasarkan pada nama-
nama sponsor legislatif aslinya. Misalnya, Senator Paul Sarbanes dan Repre-sentative Michael
Oxley telah membawa kita Undang-Undang Sarbanes-Oxley. Item legislatif lain tentang
periode yang sama adalah Gramm-Leach-Bliley 1999 (GLBA) dinamai Senator Phillip
Gramm dan lain-lain. Undang-undang ini mengharuskan lembaga keuangan untuk lebih
melindungi dan mengaudit data mereka dan untuk berhati-hati ketika berbagi data ini
dengan orang lain. Sementara diarahkan pada lembaga keuangan, dampak GLBA banyak
masuk-prises, dan bab ini membahas komponen utama yang mempengaruhi auditor internal.
Melampaui SOx dan aturan GLBA dibahas dalam bab dan industri ini standar, seperti
kunci standar keamanan enkripsi data aturan umum (yaitu, Industri Kartu Pembayaran
Keamanan Data Standard [PCI-DSS]) dibahas dalam Bab 20, intern au-ditors di seluruh
dunia menghadapi berbagai aturan kepatuhan sering industri-spesifik.
587
588 HIPAA, GLBA, dan Kepatuhan Lain
Banyak dari aturan ini meliputi bidang-bidang seperti perbankan, sekuritas, dan pembangkit
tenaga listrik. Dalam kasus lain, AS- atau Uni Eropa-spesifik aturan tata kelola internal
memiliki implikasi yang menyebar di luar unit pemerintah hanya besar. Contoh di sini adalah
Departemen Perdagangan AS Kantor Manajemen dan Anggaran (OMB) A-123 pedoman
pengendalian internal, yang sering memiliki dampak yang sangat luas pada instansi
pemerintah. bidang ini luas dan komprehensif; bab ini merangkum beberapa aturan yang
dapat mempengaruhi banyak auditor internal.
Kadang-kadang sulit untuk memprediksi kapan undang-undang yang lebih baru akan
memiliki dampak yang berkelanjutan dan abadi atau apakah itu akan hanya undang-undang
tentang buku dengan sedikit aktivitas dampak kepatuhan yang sedang berlangsung. Sebuah
contoh AS di sini adalah Foreign Corrupt Practices Act (FCPA) dari akhir 1970-an. undang-
undang yang memiliki beberapa pengendalian internal persyaratan dokumentasi yang kuat,
dan pada awalnya banyak auditor internal berpikir menjaga perusahaan mereka sesuai
dengan ketentuan FCPA akan membuat mereka sangat sibuk. undang-undang ini masih
pada buku, tapi ada telah tindakan penegakan hukum terbatas sejak tanggal ditetapkan, dan
persyaratan FCPA meliputi dokumentasi pengendalian internal telah semua tapi lupa. Hal ini
tidak mungkin bahwa GLBA, HIPAA, dan SOx akan pergi dengan cara yang sama seperti
FCPA, namun dampak dan tindakan penegakan hukum untuk kenaikan undang-undang
tersebut dan jatuh. Pada saat ini,
Secara khusus, auditor internal yang berbasis di AS harus memiliki CBOK umum di
bawah-berdiri dari GLBA dan HIPAA aturan. Meskipun dua set aturan berfokus terutama
pada isu-isu pembiayaan konsumen dan kesehatan yang tidak secara langsung akan
berdampak setiap di-ternal auditor, keduanya memiliki ketentuan privasi penting yang
penting di banyak lainnya, daerah yang lebih luas. Tentu saja, untuk internal auditor yang
bekerja di industri langsung im-pacted, seperti kesehatan untuk aturan HIPAA, pengetahuan
CBOK kuat aturan legislatif tertentu sangat penting.
secara signifikan, aturan HIPAA mencakup berbagai proses bisnis berdasarkan pada
perdagangan elec-Tronic.
Undang-undang HIPAA asli memiliki empat tujuan utama:
Bagian ini memberikan gambaran singkat dari tujuan HIPAA dan aturan resultan yang
meliputi privasi dan keamanan. Bagian untuk datang memperkenalkan HIPAA sebagai set
baru legislatif didorong aturan yang berdampak banyak auditor internal. Undang-undang
HIPAA juga menggambarkan bagaimana proses pembuatan aturan yang disponsori
pemerintah sering bekerja dan petunjuk apa yang bisa kita harapkan dari Perusahaan Umum
baru Akuntansi Pengawasan Dewan (PCAOB) standar auditing aturan, di luar Auditing
Standard No. 5 (dibahas dalam Bab 4) . Aturan HIPAA awalnya diterbitkan dalam bentuk
draft. Draft mengakibatkan banyak komentar, draft revisi diterbitkan dengan masih lebih
banyak komentar, dan aturan-aturan terakhir diterbitkan jauh kemudian dari yang
direncanakan.
2. persyaratan otorisasi. Ini adalah bagian dari HIPAA bahwa banyak pengguna layanan
kesehatan pertemuan pertama. Penyedia layanan kesehatan harus memperoleh
persetujuan tertulis untuk mengungkapkan informasi kesehatan pada segala sesuatu
kecuali dalam situasi darurat. Seorang individu memiliki hak untuk menolak
pengungkapan tersebut, dan penyedia layanan kesehatan harus memiliki persyaratan
penyimpanan arsip yang kuat untuk melacak semua pengungkapan tersebut. Ini adalah
dokumen, disebutkan sebelumnya, bahwa individu diminta untuk menandatangani
ketika mengunjungi kantor dokter.
praktek privasi komunikasi. Penyedia layanan kesehatan harus diterbitkan praktik
privasi yang mereka harus menyediakan untuk pengguna kesehatan. Individu kemudian
memiliki hak untuk secara resmi meminta pembatasan dalam kebijakan ini, dan
penyedia harus mengakomodasi permintaan yang wajar.
rekam medis hak akses dan amandemen. Individu memiliki hak untuk memeriksa
dan menyalin semua atau sebagian dari informasi kesehatan pribadi mereka. Selain itu,
individu memiliki hak untuk meminta amandemen catatan kesehatan mereka. Akhirnya,
penyedia layanan kesehatan harus menyimpan catatan dari semua pihak lain yang
meminta akses ke catatan kesehatan pribadi seseorang untuk jangka waktu enam bulan.
Aturan HIPAA dalam bab ini sangat penting untuk internal auditor yang bekerja di
sebuah perusahaan yang berhubungan dengan kesehatan, seperti perusahaan asuransi rumah
sakit atau klaim medis. Namun, aturan meluas ke daerah lain, seperti pengolahan klaim
asuransi kesehatan di suatu perusahaan departemen HR atau pabrik keselamatan lantai dan
kecelakaan industri pelaporan. perusahaan yang berhubungan dengan kesehatan harus
memiliki aturan kepatuhan HIPAA kuat dan prosedur, tetapi penjelasan rinci dari aturan ini
adalah di luar lingkup buku ini. auditor internal akan menemukan daerah di mana kepatuhan
HIPAA diperlukan di banyak lingkungan lainnya. Pameran 26,1 menjelaskan beberapa
prosedur kesehatan HIPAA yang harus di tempat di perusahaan apapun
Alasan dasar di balik aturan ini adalah bahwa keamanan banyak sistem administrasi
kesehatan di hari pra-HIPAA sering tidak memadai. Perusahaan dapat meningkatkan
keamanan mereka tidak hanya dengan membeli dan menginstal perangkat lunak baru tapi
dengan terlebih dahulu memperbaiki kebijakan manusia-driven. Aturan Standar Keamanan
HIPAA tidak diselesaikan dan diberlakukan sampai April 2003, dan kepatuhan untuk aturan-
aturan ini tidak berlaku sampai 2006. Di antara daerah lain, aturan ini termasuk apa yang
HIPAA panggilan “entitas tertutup” seperti:
Dokter dan penyedia layanan kesehatan lain yang memproses klaim kesehatan elektron-
ically
Dengan demikian, peraturan keamanan HIPAA berlaku untuk semua perusahaan, baik
kantor dokter tunggal, sebuah rumah sakit besar, atau kantor profesional kecil yang
menangani pengolahan klaim kesehatan sendiri melalui self-asuransi.
Keamanan merupakan elemen kunci dari menjaga informasi kesehatan pribadi swasta,
dan aturan HIPAA menutupi praktik keamanan yang baik untuk lebih dari sekedar catatan
medis,
592 HIPAA, GLBA, dan Kepatuhan Lain
Adalah perusahaan didefinisikan sebagai perusahaan yang berhubungan dengan kesehatan dan
tunduk pada aturan HIPAA? (Jika tidak, tidak perlu menyelesaikan langkah-langkah.)
Telah suatu informasi petugas keamanan perusahaan-lebar telah ditunjuk untuk
HIPAA kepatuhan, dan telah rencana implementasi umum dikembangkan?
Telah kebijakan dan prosedur untuk melindungi informasi kesehatan pasien telah dikembangkan
dan diimplementasikan?
Apakah ada proses untuk dukungan yang berkelanjutan dan pemantauan aturan dan
peraturan HIPAA?
Apakah proses di tempat untuk mengembangkan privasi dan keamanan kebijakan yang
komprehensif, prosedur, kontrol, dan teknologi?
Apakah perusahaan memiliki rencana kontingensi resmi di tempat itu meliputi:
Aplikasi dan data analisis kekritisan
perencanaan backup data
rencana pemulihan bencana
Darurat rencana operasi modus
pengujian berkala dan revisi rencana
Apakah ada proses kontrol akses informasi formal, termasuk otorisasi akses, aturan pendirian
akses, dan prosedur modifikasi akses?
Kontrol atas akses ke media sistem informasi harus mencakup proses untuk:
Akuntabilitas
Penyimpanan
data cadangan
data
Pembuangan data
kebijakan keamanan personil / prosedur harus:
Pastikan pengawasan personil pemeliharaan oleh yang berwenang, orang berpengetahuan
seperti persyaratan standar pemulihan bencana kuat. aturan yang diterbitkan terdiri dari
kedua “dibutuhkan” dan apa yang disebut HIPAA “dialamatkan” aturan. Yang terakhir
adalah aturan bahwa perusahaan tidak diperlukan untuk melaksanakan karena ukurannya
yang kecil dan sumber daya yang terbatas. The “diperlukan” HIPAA aturan mewakili banyak
praktik keamanan informasi yang baik yang sesuai dengan perusahaan apapun. daerah
keamanan HIPAA lain di sini
HIPAA: Kesehatan dan Banyak Lagi 593
di luar lingkup buku ini, seperti persyaratan untuk Infrastruktur (PKI) lingkungan Public
Key yang mencakup tanda tangan digital.
Ketentuan ini berlaku untuk apa yang disebut “tertutup” entitas atau perusahaan di bawah aturan
HIPAA dan harus menjadi bagian dari HIPAA keamanan dan kepatuhan rencana suatu
perusahaan.
Analisis resiko. Perusahaan harus melakukan evaluasi menyeluruh terhadap potensi risiko
kerahasiaan informasi, integritas, dan ketersediaan.
Manajemen risiko. perusahaan tertutup harus menerapkan langkah-langkah keamanan yang
diperlukan untuk mengurangi risiko keseluruhan untuk tingkat yang dapat diterima.
Sanksi kebijakan. Sanksi atau hukuman terkait harus diterapkan kepada anggota angkatan
kerja yang melanggar kebijakan keamanan perusahaan. Ini mungkin diterjemahkan ke dalam
beberapa
jenis kebijakan tiga serangan-dan-kau-out.
4. Sistem informasi aktivitas keamanan pelaporan. Keamanan log, laporan kejadian, dan
laporan kegiatan keamanan terkait harus dilaporkan dan ditinjau secara teratur.
respon insiden. Proses harus di tempat untuk mengidentifikasi, menyelidiki, mengurangi, dan
mendokumentasikan insiden keamanan.
prosedur cadangan. prosedur yang tepat harus di tempat untuk memulihkan hilangnya data.
Pemulihan bencana. Setiap perusahaan tertutup harus menetapkan prosedur untuk menutup
kerugian data.
mode darurat operasi. Proses harus di tempat untuk memastikan keamanan informasi pasien
ketika beroperasi dalam mode darurat.
Terkait kontrak bisnis. Suatu perusahaan harus menyertakan bahasa dalam kontrak dengan
pemasok jasa terkait yang memerlukan pemasok untuk mengadopsi langkah-langkah keamanan
yang memadai untuk melaporkan insiden keamanan untuk perusahaan, untuk memastikan
subkontraktor tersebut menerapkan langkah-langkah keamanan yang sesuai, dan untuk
menyediakan pemutusan kontrak dalam kasus pelanggaran keamanan.
Pembuangan informasi pasien. Kebijakan dan prosedur harus di tempat untuk
menangani disposisi akhir dari informasi pasien seperti perangkat disc daur ulang.
Media reuse. Proses harus di tempat untuk memastikan penghapusan informasi sensitif dari
media elektronik, seperti drive disc, sebelum digunakan kembali.
identifikasi pengguna unik pengidentifikasi unik harus ditugaskan untuk semua pengguna
sistem untuk mencegah rekening bersama dan untuk melacak perilaku sistem.
prosedur akses darurat. Prosedur harus ditetapkan untuk memungkinkan untuk
mengakses informasi elektronik selama keadaan darurat.
Dokumentasi. Prosedur harus ditetapkan untuk menjamin keamanan informasi, menjaga
dokumentasi untuk jangka waktu enam tahun, dan meninjau secara berkala.
594 HIPAA, GLBA, dan Kepatuhan Lain
harus di tempat di banyak perusahaan. Aturan 3 di pameran mengacu pada kebutuhan untuk
apa yang disebut sanksi kebijakan-satu set formal aturan untuk orang-orang yang melanggar
kebijakan keamanan. Ini adalah ide yang baik untuk sebagian besar perusahaan. Hari ini,
sebagai aturan Administration-tive, penyedia layanan kesehatan HIPAA-dampak yang
berbasis di AS akan menghadapi hukuman jika aturan dan prosedur yang ditemukan tidak
memadai.
persyaratan keamanan HIPAA juga mencakup beberapa aturan perlindungan fisik yang
mirip dengan kontrol akses fisik yang telah ada selama bertahun-tahun lebih pusat data IT.
Namun, di sini HIPAA melampaui pusat operasi TI klasik dan panggilan untuk pedoman
yang kuat dan dokumentasi atas penggunaan workstation dan lokasi. Sementara auditor
internal biasanya tidak mengangkat banyak kekhawatiran pengendalian internal mengenai
kontrol fisik untuk terminal jaringan dalam lingkungan bisnis, lingkungan kesehatan
HIPAA-diatur memperkenalkan isu-isu baru. Sebuah workstation medis en-vironment yang
digunakan oleh dokter, perawat, dan / atau anggota staf lain membutuhkan kontrol logis
dan fisik yang kuat untuk melindungi privasi pribadi dari catatan pasien yang melewati
mereka workstation.
Kontrol akses. mekanisme kontrol yang kuat berdasarkan konteks data atau peran /
posisi pengguna yang berwenang harus ditetapkan. Selain itu, proses kontrol harus
selalu berada di tempat untuk memungkinkan akses darurat dari data center
operasi jika diperlukan.
kontrol audit. Sini dan di seluruh semua aturan HIPAA persyaratan untuk kontrol
audit yang kuat, termasuk hal-hal seperti proses revisi dokumentasi
dan audit tradisional.
Data otentikasi. kontrol sistem yang kuat atas integritas data yang diperlukan. Ini
adalah jenis yang sama dari pengendalian aplikasi dibahas dalam Bab 19.
otentikasi entitas. Kontrol harus di tempat sehingga ketika salah satu karya-stasiun
mencoba untuk mengakses lain, itu harus dikonfirmasi. Proses ini mungkin termasuk
password, callback telepon, atau bahkan kontrol biometrik. Persyaratan ini melampaui
banyak praktek perusahaan di tempat hari ini di mana informal
mation sering bebas dibagi melalui sebuah catatan e-mail dengan lampiran.
Komunikasi dan kontrol jaringan. Berbagai kontrol SUG-gested disini, termasuk
alarm, enkripsi, pelaporan acara, pesan authentica-tion, dan lain-lain. Perusahaan
HIPAA-dampak harus menerapkan jaringan yang sangat aman.
HIPAA mensyaratkan bahwa kontrol tanda tangan elektronik dibentuk yang akan
memberikan berat badan hukum yang sama dengan tanda tangan electronic data sebagai
dikaitkan dengan tanda tangan tradisional pada dokumen kertas. HIPAA mengatur integritas
jaringan pesan, tidak ada penolakan, dan otentikasi pengguna untuk setiap pesan dengan
tanda tangan elektronik. Bagi banyak organisasi, ini bisa menjadi suatu tantangan. proses
tanda tangan digital di tempat hari ini sering agak rumit tapi akan dibutuhkan sampai lainnya,
baik tech-tehnik yang dikembangkan. Ini adalah kasus klasik dari pemerintah AS
membangun yang ideal
Aturan Audit Gramm-Leach-Bliley Act internal 595
atau diinginkan aturan bahkan ketika tidak ada solusi praktis ada saat ini. Legislator kadang-
kadang berpikir bahwa jika mereka menetapkan standar yang tinggi, industri dan kelompok
lain akan mengenakan biaya depan untuk membuat sesuatu terjadi. Ini kadang-kadang tidak
bekerja, tetapi jika tidak, aturan akan perlu direvisi.
aturan HIPAA telah mendorong kemajuan dalam banyak bidang keamanan IT dan
integritas. Meskipun dikembangkan untuk perusahaan kesehatan, aturan ini berdampak
banyak perusahaan. Auditor internal harus mencoba untuk tetap sadar aturan-aturan dan
standar yang dibutuhkan bahkan jika mereka tidak bekerja secara langsung untuk sebuah
perusahaan kesehatan. Sekedar berkaitan dengan perusahaan kesehatan, aturan-aturan yang
kompleks dan penting berlaku setiap kali catatan yang berhubungan dengan kesehatan yang
dikelola oleh fungsi SDM. Auditor internal dapat menemukan lebih banyak informasi
HIPAA di Web dari dua sumber penting:
HIPPA Advisories. Sebuah situs yang dikelola oleh Phoenix Sistem Kesehatan sebagai
layanan publik merupakan sumber yang baik untuk informasi HIPAA; melihat
www.hipaadvisory.com.
GLBA memberikan wewenang untuk delapan lembaga yang berbeda federal AS dan negara-
negara untuk iklan-menteri, dan itu memaksa satu set baru aturan privasi-rilis yang berlaku
untuk apa yang umumnya disebut “lembaga keuangan.” Lembaga-lembaga ini meliputi tidak
hanya bank tradisional, perusahaan sekuritas , dan perusahaan asuransi, tetapi juga
perusahaan yang menyediakan berbagai jenis produk dan jasa keuangan kepada konsumen.
Di antaranya adalah pinjaman, percaloan, dan servis semua jenis pinjaman konsumen,
mentransfer atau menjaga uang, mempersiapkan pengembalian pajak individu, memberikan
nasihat keuangan atau konseling kredit, layanan penyelesaian perumahan real estate,
mengumpulkan utang konsumen, dan berbagai kegiatan lainnya . Dengan GLBA,
auditor internal yang bekerja untuk bank atau perusahaan asuransi mungkin telah
dipengaruhi oleh GLBA dan ketentuan terkait privasi. Tindakan ini juga dapat mencakup
banyak perusahaan lain karena definisi diperluas apa yang disebut “lembaga keuangan.”
Sebagai contoh, aturan GLBA juga berlaku untuk banyak lembaga keuangan negara-diatur.
perusahaan asuransi di Amerika Serikat diatur secara negara-negara dengan National
Association of Asuransi Komisaris (NAIC) bertindak sebagai koordinasi dan standar-
pengaturan kelompok pusat. The NAIC telah memberlakukan aturan GLBA federal
diamanatkan pada asuransi compa-nies negara-diatur individu. Ini adalah contoh lain
bagaimana peraturan federal AS kadang-kadang bergerak dari otoritas AS untuk aturan yang
mencakup undang-undang negara serta beberapa aturan internasional yang serupa.
Meskipun pemeriksaan akuntan publik bersertifikat (CPA) ini dikelola oleh American
Institute of CPA (AICPA), CPA dilisensikan secara negara individu melalui papan individu
akuntansi. Melalui kewenangan NAIC, badan aturan negara koordinasi, aturan GLBA
sedang diadopsi oleh sebagian besar ke negara bagian di Amerika Serikat.
tentang individu dari sumber lain, seperti biro kredit; atau informasi tentang transaksi antara
individu dan perusahaan, seperti saldo rekening. Memang, bahkan fakta bahwa seorang
individu terdaftar sebagai konsumen atau pelanggan dari lembaga keuangan tertentu
diklasifikasikan di bawah GLBA sebagai non publik pribadi dalam formasi. Penting bahwa
perusahaan memiliki alasan untuk percaya adalah sah publik seperti informasi pinjaman
hipotek dalam yurisdiksi di mana informasi yang terbuka direkam-tidak dibatasi oleh GLBA.
Jenis informasi pribadi bukan umum sebuah koleksu perusahaan mengenai pelanggan
Jenis informasi pribadi bukan umum perusahaan akan mengungkapkan kepada orang
lain tentang pelanggan
Para pihak kepada siapa perusahaan mengungkapkan informasi ini, selain di bawah
pengecualian terhadap larangan menjaga rahasia
Pelanggan atau hak klien untuk “keluar” dari pengungkapan bersama dengan aturan
sederhana untuk memilih keluar
kebijakan perusahaan sehubungan dengan berbagi informasi tentang seseorang yang
tidak lagi pelanggan atau klien
praktek perusahaan untuk melindungi kerahasiaan dan keamanan pelanggan atau
informasi pribadi bukan umum klien
Banyak konsumen saat ini membayar sedikit perhatian untuk pemberitahuan ini,
meskipun mereka mungkin menyatakan bahwa perusahaan yang memiliki data akun mereka
dapat berbagi nama konsumen dengan orang lain. GLBA memberikan pelanggan hak untuk
memilih keluar dari-atau mengatakan tidak untuk-memiliki informasi pribadi konsumen ini
dibagi dengan pihak ketiga tertentu. Pemberitahuan privasi harus menjelaskan bagaimana-
dan menawarkan cara-mereka yang wajar dapat memilih keluar. Misalnya, menyediakan
nomor telepon bebas pulsa atau bentuk dilepas dengan alamat pracetak adalah cara yang
masuk akal bagi konsumen atau pelanggan untuk memilih keluar; membutuhkan seseorang
untuk menulis surat sebagai satu-satunya cara untuk keluar tidak. Pemberitahuan privasi juga
harus menjelaskan bahwa konsumen memiliki hak untuk mengatakan tidak untuk berbagi
informasi tertentu, seperti laporan kredit atau informasi aplikasi, dengan divisi terpisah
lembaga keuangan atau afiliasi.
GLBA menempatkan batasan pada bagaimana orang yang menerima informasi pribadi
non publik dari lembaga keuangan dapat menggunakan atau redisclose informasi tersebut.
Jika pemberi pinjaman mengungkapkan informasi pelanggan untuk penyedia layanan
bertanggung jawab untuk laporan surat akun, di mana konsumen tidak memiliki hak untuk
memilih keluar, bahwa penyedia layanan dapat menggunakan informasi hanya untuk yang
terbatas tujuan-seperti untuk mailing akun pernyataan-dan mungkin tidak menjual informasi
atau menggunakannya untuk pemasaran.
Rincian Aturan Privasi federal GLBA ini sangat kompleks. niat kita di sini,
bagaimanapun, adalah untuk menjelaskan aturan privasi ini secara umum. Auditor internal
harus mengakui bahwa semua informasi keuangan pribadi sangat pribadi dan tidak dapat
hanya sewenang-wenang yang dijual atau didistribusikan. Konsumen memiliki hak untuk
memilih keluar dan mengatakan tidak, dan perusahaan harus menyimpan catatan yang tepat
dari tindakan ini dan hak-hak privasi hormat konsumen. auditor internal bekerja dengan
lembaga keuangan atau aplikasi, atau untuk perusahaan yang memiliki fasilitas pemberian
kredit dan penagihan terkait konsumen, harus menyadari bagaimana GLBA privasi berlaku
untuk perusahaan. Usaha yang menganggap Aturan GLBA Privasi sebagai masalah sepele
dan mungkin gagal
598 HIPAA, GLBA, dan Kepatuhan Lain
untuk menghormati permintaan opt-out atau tidak benar menjual milis, mungkin
menemukan diri mereka menghadapi class action litigasi untuk kerusakan karena kegagalan
untuk mematuhi.
analisis
1. lingkungan resiko. perusahaan harus secara resmi mengidentifikasi antar
risiko nal dan eksternal untuk keamanan, kerahasiaan, dan integritas dari semua
pelanggan
informasi pribadi. pendekatan analisis risiko yang dibahas dalam Bab 6. Ini
Proses harus mencakup risiko kehilangan atau pengungkapan untuk semua sumber
pribadi
informasi, apakah pada sistem otomatis atau catatan manual.
mengimpleme
2. merancang dan ntasikan pengamanan. pengamanan ini pada dasarnya
prosedur pengendalian internal dibahas dalam Bab 3 sebagai bagian dari Committee of
Sponsoring Organizations (COSO) kerangka pengendalian internal dan tempat lain di
seluruh buku ini.
Monitoring dan audit. Terus menerus proses monitoring jaminan audit, seperti
dibahas dalam Bab 29, harus di tempat. Audit internal dapat memainkan
pemantauan penting dan peran audit sini dengan menjadwalkan secara teratur ulasan
tentang
kecukupan rencana keamanan, ditambah dengan tes kepatuhan yang sesuai.
4. Program perbaikan terus-menerus. perusahaan harus memiliki program
di tempat untuk terus meningkatkan rencana keamanan. program yang harus baik
didokumentasikan untuk menggambarkan kemajuan rencana dalam meningkatkan
setiap kelemahan yang ditemukan.
5. Mengawasi penyedia keamanan dan mitra. Banyak mitra dan masukkan-lain
prises mungkin memiliki akses ke informasi pribadi yang sama atau sistem koneksi
jaringan di mana privasi pribadi dapat dilanggar. kebijakan yang memadai, con-Trols,
dan prosedur audit harus berada di tempat di sini juga.
Aturan Audit Gramm-Leach-Bliley Act internal 599
The GLBA Perlindungan Peraturan berlaku untuk berbagai penyedia produk keuangan
dan jasa, termasuk broker hipotek, pemberi pinjaman nonblank, penilai, agen pelaporan
kredit, preparers pajak profesional, dan pengecer yang mengeluarkan kartu kredit mereka
sendiri. Bank tidak tunduk pada Perlindungan Peraturan tetapi harus mematuhi peraturan
yang sama rekan yang telah dikeluarkan oleh instansi perbankan federal. Kegagalan untuk
mematuhi Perlindungan Peraturan dapat mengakibatkan denda atau tindakan penegakan
hukum lainnya oleh FTC.
Di bawah Dalih Ketentuan GLBA ini, adalah ilegal bagi siapa saja untuk:
Gunakan pernyataan palsu, fiktif, atau penipuan atau dokumen untuk mendapatkan
informasi pelanggan dari lembaga keuangan atau langsung dari pelanggan dari lembaga
keuangan.
Gunakan ditempa, palsu, hilang, atau dicuri dokumen untuk mendapatkan informasi
pelanggan dari lembaga keuangan atau langsung dari pelanggan dari lembaga keuangan.
Meminta orang lain untuk mendapatkan informasi pelanggan orang lain menggunakan
pernyataan palsu, fiktif, atau penipuan atau menggunakan dokumen palsu, fiktif, atau
penipuan atau ditempa, palsu, hilang, atau dicuri dokumen.
Dalih mengarah ke keamanan dan privasi risiko atau paparan baru: pencurian identitas.
Hal ini terjadi ketika seseorang membajak informasi pribadi Anda untuk membuka rekening
baru biaya, memesan barang dagangan, atau meminjam uang. Konsumen yang ditargetkan
oleh pencuri identitas biasanya tidak tahu mereka telah menjadi korban sampai pembajak
gagal untuk membayar tagihan atau membayar kembali pinjaman, dan agen penagihan mulai
dunning ditargetkan konsumen untuk pembayaran rekening mereka bahkan tidak tahu
mereka punya. Menurut FTC, bentuk yang paling umum dari pencurian identitas adalah:
Penipuan kartu kredit. Sebuah account kartu kredit dibuka di nama konsumen atau
account kartu kredit yang ada adalah “mengambil alih.”
penipuan layanan komunikasi. Pencuri identitas membuka telepon, seluler, atau
layanan utilitas lainnya di nama konsumen.
penipuan bank. Pencuri identitas membuka pengecekan atau tabungan rekening atas
nama konsumen dan / atau menulis cek palsu.
pinjaman penipuan. Pencuri identitas mendapat pinjaman, seperti kredit mobil, nama
konsumen.
600 HIPAA, GLBA, dan Kepatuhan Lain
Sebuah undang-undang AS yang terpisah yang terkait dengan GLBA adalah Pencurian
Identitas dan Asumsi De-terrence Act, yang membuatnya menjadi kejahatan federal ketika
seseorang “sadar transfer atau penggunaan, tanpa kewenangan yang sah, alat identifikasi
orang lain dengan maksud untuk melakukan, atau untuk bantuan atau menghasut, kegiatan
yang melanggar hukum yang merupakan pelanggaran hukum federal, atau yang merupakan
kejahatan di bawah negara bagian atau lokal hukum yang berlaku.”Di sini, nama atau Nomor
Jaminan Sosial dianggap sebagai‘alat identifikasi,’seperti sebuah nomor kartu kredit, telepon
seluler nomor seri elektronik, atau bagian lain dari informasi yang dapat digunakan sendiri
atau bersama dengan informasi lain untuk mengidentifikasi individu tertentu.
GLBA adalah aturan yang dapat berdampak banyak auditor internal, terutama yang
bekerja-ing di setiap jenis lembaga keuangan. Sementara banyak aspek GLBA dirancang
terutama untuk melindungi informasi keuangan konsumen, definisi yang sangat luas yang
GLBA berpotensi dampak berbagai perusahaan dan banyak auditor internal AS.
auditor internal bekerja dengan perusahaan keuangan dan kredit-pemberian harus
menjadi lebih sadar aturan GLBA ini serta aturan privasi umum yang berlaku untuk banyak
perusahaan lainnya. Web adalah sumber yang baik untuk mendapatkan informasi tambahan
yang lebih rinci dan arus pada tindakan dan ketentuannya. Dua sumber yang baik adalah:
Pameran 26,3 menyediakan beberapa aturan umum dan langkah-langkah untuk audit
kepatuhan dengan kontrol dan prosedur GLBA. Sementara prosedur audit ini harus
diperluas untuk beberapa perusahaan, tujuan dari pameran ini adalah untuk memberikan
beberapa langkah audit umum untuk mempertimbangkan untuk audit tinjauan operasional
internal lembaga keuangan untuk menunjukkan GLBA kepatuhan.
Driver peraturan terkait lainnya ada pada dasar di seluruh dunia dan termasuk standar
Perlindungan Data Uni Eropa, Perlindungan Informasi Pribadi Kanada dan Dokumen
Elektronik Undang-undang, dan hukum Perlindungan Data Jepang. Masing-masing memiliki
persyaratan keamanan data yang umum untuk aturan keamanan data HIPAA. internasional
privasi dan keamanan standar lain adalah Standar Internasional
Lainnya Privasi Pribadi dan Persyaratan Keamanan Legislatif 601
audit internal harus bertemu dengan manajemen keuangan dan penasihat perusahaan untuk menilai apakah perusahaan dapat
didefinisikan sebagai “lembaga keuangan” di bawah ketentuan UU Gramm-Leach-Bliley (GLBA). Jika terkena dampak,
prosedur audit internal harus:
Menentukan perusahaan secara teratur mengirimkan pemberitahuan privasi keuangan, dan menilai prosedur tindak lanjut
di tempat untuk memperbaiki surat kembali atau untuk memberikan jawaban kepada pelanggan mengenai
pemberitahuan ini.
Menilai pencatatan dan kontrol lain mengenai pemberitahuan privasi aturan opt-out. Pilih sampel dari pelanggan yang telah
diminta untuk memilih keluar dan menentukan bahwa prosedur privasi ini beroperasi.
Tinjau catatan privasi umum dan prosedur keamanan atas semua bahan GLBA-dampak. praktek yang baik di sini termasuk
kontrol sandi sistem informasi yang kuat dan prosedur kantor yang meliputi catatan kertas-berorientasi.
Menentukan bahwa perusahaan memiliki rencana keamanan formal dalam tempat untuk melindungi keamanan dan
kerahasiaan informasi konsumen pribadi.
Menentukan bahwa analisis risiko lingkungan di tempat untuk secara resmi mengidentifikasi semua risiko internal dan eksternal
untuk keamanan, kerahasiaan, integritas semua informasi pribadi pelanggan.
Meninjau proses pemantauan terus menerus di tempat kontrol atas informasi pribadi pelanggan sekitarnya, dan menilai
kecukupan mereka.
Tinjau kecukupan perbaikan terus-menerus program sekitarnya kontrol keamanan GLBA, dan mengomentari kecukupan
mereka.
Menilai kecukupan program informasi dalam perusahaan untuk menginformasikan semua karyawan pada kebutuhan GLBA
dan kebutuhan mereka untuk melindungi informasi pribadi pelanggan.
Menentukan bahwa kontrol yang memadai untuk mencegah pelanggaran ketentuan dalih GLBA.
Menentukan bahwa perusahaan telah mengambil langkah-langkah yang memadai untuk menginformasikan organisasi
terkait lainnya dari ketentuan GLBA.
Organisasi (ISO) tidak ada. 15.408, kerangka untuk mengevaluasi keamanan IT. standar ISO diperkenalkan secara
singkat dalam Bab 30. Sebuah benang merah untuk inisiatif ini adalah perlindungan privasi pribadi untuk informasi
tentang seorang individu disimpan dalam catatan sistem TI.
The HIPAA dan GLBA undang-undang yang dibahas dalam bab ini mungkin sangat baik menunjukkan inisiatif
legislatif lainnya di wilayah di luar kesehatan dan perlindungan privasi keuangan pribadi. Selain itu, meskipun mungkin
diperlukan beberapa waktu untuk berkembang sepenuhnya, model risiko manajemen risiko COSO perusahaan dibahas
dalam Bab 6 akan segera menyebabkan beberapa perubahan besar dalam cara kita memahami, mengatur, dan
melindungi bisnis dan risiko lainnya. Akan ada banyak kesempatan untuk auditor internal dalam organisasi saat ini dan
masa depan. auditor internal, di semua tingkatan, harus memiliki kesadaran CBOK tingkat tinggi aturan-aturan ini.
Ketika seorang auditor internal yang bekerja di pelayanan kesehatan atau perusahaan keuangan yang secara langsung
dipengaruhi oleh HIPAA atau GLBA aturan, pemahaman CBOK kuat aturan-aturan ini dan bagaimana mereka
mempengaruhi kegiatan audit internal sangat penting.