BAB 26

HIPAA, GLBA, dan lain

Persyaratan kepatuhan
SEBUAH s dibahas dalam buku ini, Sarbanes-Oxley Act (SOX) telah paling signifikan
akuntansi dan sekuritas undang-undang AS sejak awal 1930-an.
Sementara SOx telah meluncurkan serangkaian aturan untuk tata kelola perusahaan dan
laporan audit keuangan, undang-undang baru lainnya juga telah memperkenalkan beberapa
aturan baru yang juga telah berdampak banyak perusahaan dan auditor internal mereka. Ini
chap-ter memperkenalkan beberapa ini baru US tindakan federal yang telah meningkatkan
kontrol internal dan perlindungan privasi berfokus; undang-undang ini dengan AS fokus
dampak banyak perusahaan modern dan auditor internal mereka. Beberapa undang-undang
kepatuhan membutuhkan tubuh yang umum auditor internal yang kuat dari pengetahuan
(CBOK) pengetahuan dan pemahaman ketika dampak undang-undang auditor internal di-
Pandanus conoideus Lamk, sementara yang lainnya memerlukan auditor tingkat CBOK
internal kesadaran dan pemahaman umum.

Bab ini membahas tiga item dari undang-undang dengan dampak yang luas, terutama
untuk auditor internal yang berbasis di AS. Yang pertama adalah Asuransi Portabilitas
Kesehatan dan Akuntabilitas Act (HIPAA). Internal auditor mungkin berpendapat, “Saya
melakukan audit internal untuk perusahaan manufaktur. Mengapa saya harus khawatir
tentang undang-undang asuransi terkait kesehatan?”Fokus HIPAA adalah pada penyedia
layanan kesehatan, tetapi membahas berbagai privasi pribadi mencatat bahwa dampak semua
perusahaan AS, dan telah menyebabkan perubahan dalam bidang-bidang seperti teknologi
informasi (TI) keamanan dan sumber daya manusia (SDM) fungsi. Setiap perusahaan yang
membawa data asuransi kesehatan karyawan dalam catatan SDM perlu menyadari aturan
HIPAA, dan auditor internal sering dapat menjadi bantuan besar untuk manajemen dalam
menyoroti potensi kontrol HIPAA dan pelanggaran.
judul deskriptif populer untuk undang-undang federal AS sering didasarkan pada nama-
nama sponsor legislatif aslinya. Misalnya, Senator Paul Sarbanes dan Repre-sentative Michael
Oxley telah membawa kita Undang-Undang Sarbanes-Oxley. Item legislatif lain tentang
periode yang sama adalah Gramm-Leach-Bliley 1999 (GLBA) dinamai Senator Phillip
Gramm dan lain-lain. Undang-undang ini mengharuskan lembaga keuangan untuk lebih
melindungi dan mengaudit data mereka dan untuk berhati-hati ketika berbagi data ini
dengan orang lain. Sementara diarahkan pada lembaga keuangan, dampak GLBA banyak
masuk-prises, dan bab ini membahas komponen utama yang mempengaruhi auditor internal.
Melampaui SOx dan aturan GLBA dibahas dalam bab dan industri ini standar, seperti
kunci standar keamanan enkripsi data aturan umum (yaitu, Industri Kartu Pembayaran
Keamanan Data Standard [PCI-DSS]) dibahas dalam Bab 20, intern au-ditors di seluruh
dunia menghadapi berbagai aturan kepatuhan sering industri-spesifik.

587
588 HIPAA, GLBA, dan Kepatuhan Lain

Banyak dari aturan ini meliputi bidang-bidang seperti perbankan, sekuritas, dan pembangkit
tenaga listrik. Dalam kasus lain, AS- atau Uni Eropa-spesifik aturan tata kelola internal
memiliki implikasi yang menyebar di luar unit pemerintah hanya besar. Contoh di sini adalah
Departemen Perdagangan AS Kantor Manajemen dan Anggaran (OMB) A-123 pedoman
pengendalian internal, yang sering memiliki dampak yang sangat luas pada instansi
pemerintah. bidang ini luas dan komprehensif; bab ini merangkum beberapa aturan yang
dapat mempengaruhi banyak auditor internal.
Kadang-kadang sulit untuk memprediksi kapan undang-undang yang lebih baru akan
memiliki dampak yang berkelanjutan dan abadi atau apakah itu akan hanya undang-undang
tentang buku dengan sedikit aktivitas dampak kepatuhan yang sedang berlangsung. Sebuah
contoh AS di sini adalah Foreign Corrupt Practices Act (FCPA) dari akhir 1970-an. undang-
undang yang memiliki beberapa pengendalian internal persyaratan dokumentasi yang kuat,
dan pada awalnya banyak auditor internal berpikir menjaga perusahaan mereka sesuai
dengan ketentuan FCPA akan membuat mereka sangat sibuk. undang-undang ini masih
pada buku, tapi ada telah tindakan penegakan hukum terbatas sejak tanggal ditetapkan, dan
persyaratan FCPA meliputi dokumentasi pengendalian internal telah semua tapi lupa. Hal ini
tidak mungkin bahwa GLBA, HIPAA, dan SOx akan pergi dengan cara yang sama seperti
FCPA, namun dampak dan tindakan penegakan hukum untuk kenaikan undang-undang
tersebut dan jatuh. Pada saat ini,

Secara khusus, auditor internal yang berbasis di AS harus memiliki CBOK umum di
bawah-berdiri dari GLBA dan HIPAA aturan. Meskipun dua set aturan berfokus terutama
pada isu-isu pembiayaan konsumen dan kesehatan yang tidak secara langsung akan
berdampak setiap di-ternal auditor, keduanya memiliki ketentuan privasi penting yang
penting di banyak lainnya, daerah yang lebih luas. Tentu saja, untuk internal auditor yang
bekerja di industri langsung im-pacted, seperti kesehatan untuk aturan HIPAA, pengetahuan
CBOK kuat aturan legislatif tertentu sangat penting.

26,1 HIPAA: Kesehatan dan Banyak Lagi

Meskipun set terkait kesehatan-aturan, HIPAA berisi seperangkat aturan legislatif terkait
privasi yang melampaui kesehatan dan akan berdampak banyak perusahaan dan auditor
internal mereka. Sebagai contoh, auditor internal yang berbasis di AS yang mengunjungi
dokter untuk fisik tahunan atau beberapa prosedur lainnya akan diminta untuk
menandatangani perjanjian izin pengungkapan ketika memeriksa. Dokumen izin ini meminta
pasien setuju untuk mengizinkan catatan medis mereka berpotensi menjadi bersama atau
diungkapkan sebagai bagian dari kunjungan itu. Jika auditor-pasien meminta alasan
dokumen dan mengapa harus ditandatangani, respon biasanya adalah bahwa itu adalah
“persyaratan hukum dari HIPAA.” Seorang pasien biasanya menandatangani dokumen dan
bergerak, tanpa bertanya pertanyaan lebih lanjut.
Tidak peduli di mana auditor internal bekerja, mereka harus memiliki setidaknya
pemahaman umum tentang beberapa aturan HIPAA. Ditetapkan pada tahun 1999 dengan
aturan final dirilis lebih tahun-tahun berikutnya, HIPAA telah memiliki dampak yang besar
di Amerika Serikat pada privasi dan keamanan catatan medis pribadi dan banyak lainnya.
Sebagai dis-mengumpat, individu menghadapi HIPAA ketika mengunjungi kantor dokter
atau untuk banyak hal-medis terkait lainnya. fungsi SDM di perusahaan-perusahaan juga
melihat im-pakta persyaratan HIPAA hari dalam administrasi mereka dari rencana kesehatan
karyawan dan catatan medis. Tentu saja, HIPAA memiliki dampak yang besar dan tumbuh
di industri kesehatan seluruh dan semua penyedia pengiriman berafiliasi. bahkan lebih
HIPAA: Kesehatan dan Banyak Lagi 589

secara signifikan, aturan HIPAA mencakup berbagai proses bisnis berdasarkan pada
perdagangan elec-Tronic.
Undang-undang HIPAA asli memiliki empat tujuan utama:

Pastikan portabilitas kesehatan dengan menghilangkan kondisi yang sudah ada

pembatasan kesehatan. Ini adalah motivasi asli yang menyebabkan berlalunya
HIPAA. Orang yang didiagnosis dengan beberapa kondisi yang sering tidak dapat
memperoleh cakupan asuransi kesehatan baru ketika mengubah majikan karena kondisi
yang sudah ada sebelumnya dibagikan dengan majikan baru yang potensial, yang tidak
ingin menutupi atau memastikan kondisi mereka.
Mengurangi penipuan kesehatan dan penyalahgunaan. Sidang kongres mengarah
ke undang-undang menyebutkan contoh-contoh dugaan penipuan dan penyalahgunaan.
Menegakkan standar untuk informasi kesehatan. penegakan ini ditutupi oleh
privasi HIPAA dan aturan keamanan untuk diuraikan dalam bab ini.
4. jaminan keamanan dan privasi informasi kesehatan. Tujuan keseluruhan HIPAA
adalah bahwa informasi kesehatan adalah masalah pribadi yang seharusnya tidak secara
terbuka berbagi dengan orang lain.

Bagian ini memberikan gambaran singkat dari tujuan HIPAA dan aturan resultan yang
meliputi privasi dan keamanan. Bagian untuk datang memperkenalkan HIPAA sebagai set
baru legislatif didorong aturan yang berdampak banyak auditor internal. Undang-undang
HIPAA juga menggambarkan bagaimana proses pembuatan aturan yang disponsori
pemerintah sering bekerja dan petunjuk apa yang bisa kita harapkan dari Perusahaan Umum
baru Akuntansi Pengawasan Dewan (PCAOB) standar auditing aturan, di luar Auditing
Standard No. 5 (dibahas dalam Bab 4) . Aturan HIPAA awalnya diterbitkan dalam bentuk
draft. Draft mengakibatkan banyak komentar, draft revisi diterbitkan dengan masih lebih
banyak komentar, dan aturan-aturan terakhir diterbitkan jauh kemudian dari yang
direncanakan.

(Sebuah) HIPAA Rekam Pasien Aturan Privasi

Kekhawatiran mengenai privasi pasien medis adalah alasan memotivasi untuk Kongres AS
awalnya lewat HIPAA. Kami mengunjungi penyedia perawatan medis, membahas beberapa
kekhawatiran atau masalah, dan kemudian harus mengharapkan perawatan pribadi atau
rahasia re-Garding bahwa kunjungan medis. Kami tidak ingin hasil kunjungan yang akan
dikomunikasikan kepada departemen HR majikan kita atau untuk beberapa perusahaan
asuransi yang memiliki tidak perlu tahu, atau dibiarkan di atas meja di kantor penyedia medis
bagi siapa saja untuk menjemput. Lebih buruk lagi, kita tidak ingin ada pribadi, hal-hal yang
bersifat rahasia untuk dibagikan dengan cara yang dapat membatasi pilihan pekerjaan masa
depan kita. kekhawatiran privasi informasi pribadi ini adalah dasar bagi banyak HIPAA.
Namun, banyak pihak perlu memiliki beberapa informasi tentang kondisi kesehatan kami
untuk menyediakan cakupan atau penggantian yang memadai, dan hampir semua operasi
kesehatan membutuhkan rinci dan kompleks sistem pendukung. aturan privasi HIPAA
mencakup lima bidang umum, yang secara singkat diuraikan berikutnya. Komentar ini tidak
memberikan cakupan yang lengkap dari dan tidak dimaksudkan untuk menjadi sumber
acuan bagi peraturan HIPAA; mereka dimaksudkan untuk memberikan profesional
nonmedis dengan gambaran dari HIPAA aturan baru ini:

catatan medis menggunakan dan pengungkapan . Perusahaan yang tunduk pada

aturan HIPAA harus mengambil langkah-langkah untuk membatasi penggunaan dan
pengungkapan medis pribadi di-formasi untuk “minimum yang diperlukan untuk
mencapai tujuan yang telah ditetapkan dari
590 HIPAA, GLBA, dan Kepatuhan Lain

penggunaan, pengungkapan, atau permintaan”untuk hal-hal yang berhubungan dengan

non-pengobatan. Kita mulai gambaran ini aturan HIPAA dengan langsung mengutip
beberapa kata-kata yang terkandung dalam aturan ini. Menggunakan ungkapan-
ungkapan seperti “minimum yang diperlukan,” tindakan con-tains banyak pedoman
seperti yang akan dikenakan praktek perusahaan-spesifik yang akan divalidasi melalui
putusan lain atau litigasi dari waktu ke waktu.
aturan HIPAA menentukan bahwa informasi kesehatan individu kehilangan
perlindungan HIPAA nya jika individu tertutup adalah “de-diidentifikasi” dengan cara
yang informasi kesehatan ini tidak akan mengandung dari 18 pengidentifikasi spesifik
dari individu dan keluarga, pengusaha, atau anggota rumah tangga. Persyaratan ini
mengatakan banyak tentang HIPAA. Dalam rangka untuk membuat sistem informasi
HIPAA yang berhubungan dengan kesehatan compliant, undang-undang
mengidentifikasi 18 faktor-faktor ini khusus yang spesialis dalam pengambilan database
mungkin menggunakan untuk mengidentifikasi individu. Artinya, informasi medis
individu yang ditempatkan di beberapa jenis file atau sistem informasi umumnya
dilindungi dari pengungkapan umum untuk orang lain, tetapi informasi yang bisa dibagi
jika memenuhi kondisi spesifik tertentu.

2. persyaratan otorisasi. Ini adalah bagian dari HIPAA bahwa banyak pengguna layanan
kesehatan pertemuan pertama. Penyedia layanan kesehatan harus memperoleh
persetujuan tertulis untuk mengungkapkan informasi kesehatan pada segala sesuatu
kecuali dalam situasi darurat. Seorang individu memiliki hak untuk menolak
pengungkapan tersebut, dan penyedia layanan kesehatan harus memiliki persyaratan
penyimpanan arsip yang kuat untuk melacak semua pengungkapan tersebut. Ini adalah
dokumen, disebutkan sebelumnya, bahwa individu diminta untuk menandatangani
ketika mengunjungi kantor dokter.
praktek privasi komunikasi. Penyedia layanan kesehatan harus diterbitkan praktik
privasi yang mereka harus menyediakan untuk pengguna kesehatan. Individu kemudian
memiliki hak untuk secara resmi meminta pembatasan dalam kebijakan ini, dan
penyedia harus mengakomodasi permintaan yang wajar.
rekam medis hak akses dan amandemen. Individu memiliki hak untuk memeriksa
dan menyalin semua atau sebagian dari informasi kesehatan pribadi mereka. Selain itu,
individu memiliki hak untuk meminta amandemen catatan kesehatan mereka. Akhirnya,
penyedia layanan kesehatan harus menyimpan catatan dari semua pihak lain yang
meminta akses ke catatan kesehatan pribadi seseorang untuk jangka waktu enam bulan.

5. administrasi privasi HIPAA. Melampaui akses catatan dan aturan disclo-yakin,

HIPAA memiliki serangkaian luas persyaratan privasi administrasi yang berlaku untuk
apa yang disebut “entitas tertutup” kantor Medis, laboratorium, rumah sakit, dan semua
orang lain yang terlibat dengan kesehatan pribadi. aturan privasi ad-pertolongan ini
meliputi:

Penyedia harus menunjuk “Resmi Privasi” yang bertanggung jawab untuk

pengembangan dan pelaksanaan kebijakan dan prosedur HIPAA ini.
Penyedia harus melatih anggota tenaga kerja pada kebijakan terkait privasi ini HIPAA
dan prosedur dan harus memelihara dokumentasi untuk setan-Strate bahwa pelatihan
yang telah disediakan.
Sebuah penyedia layanan kesehatan harus ada di tempat perlindungan administratif,
teknis, dan Phys-ical untuk melindungi privasi informasi kesehatan pribadi.
Penyedia layanan kesehatan harus menerapkan “sanksi yang sesuai” terhadap
karyawan yang gagal mematuhi kebijakan dan prosedur privasi ini.
 Penyedia harus mengembangkan dan menerapkan kebijakan dan prosedur yang
dirancang untuk memenuhi unsur-unsur peraturan HIPAA, dan dokumentasi ini
harus dipertahankan dalam bentuk tertulis atau elektronik selama enam tahun.
HIPAA: Kesehatan dan Banyak Lagi 591

Sementara aturan HIPAA terutama mencakup akses ke informasi kesehatan pribadi,

mereka juga menentukan praktek operasi yang baik yang harus dilaksanakan di tempat lain di
perusahaan. Sebuah contoh akan menjadi persyaratan bahwa penyedia layanan kesehatan
memelihara dokumentasi yang meliputi program pelatihan mereka. jenis aturan telah ada
selama program medis atau obat Federal Drug Administration, sekarang bagian dari
HIPAA, dan adalah ide yang baik untuk sebagian besar program pelatihan perusahaan.
Usaha kadang-kadang menghabiskan sumber daya dalam pelatihan karyawan mereka tetapi
sering tidak repot-repot untuk mendokumentasikan kegiatan yang sangat baik.

Aturan HIPAA dalam bab ini sangat penting untuk internal auditor yang bekerja di
sebuah perusahaan yang berhubungan dengan kesehatan, seperti perusahaan asuransi rumah
sakit atau klaim medis. Namun, aturan meluas ke daerah lain, seperti pengolahan klaim
asuransi kesehatan di suatu perusahaan departemen HR atau pabrik keselamatan lantai dan
kecelakaan industri pelaporan. perusahaan yang berhubungan dengan kesehatan harus
memiliki aturan kepatuhan HIPAA kuat dan prosedur, tetapi penjelasan rinci dari aturan ini
adalah di luar lingkup buku ini. auditor internal akan menemukan daerah di mana kepatuhan
HIPAA diperlukan di banyak lingkungan lainnya. Pameran 26,1 menjelaskan beberapa
prosedur kesehatan HIPAA yang harus di tempat di perusahaan apapun

(B) Kriptografi, PKI, dan Persyaratan HIPAA Keamanan

Selain otorisasi catatan medis dan melepaskan aturan privasi, HIPAA berisi beberapa sangat
spesifik dan, untuk perusahaan kecil, sulit-untuk-menerapkan persyaratan keamanan IT. Hal
ini mendorong praktek keamanan ke tepi IT hari ini dan membutuhkan hal-hal seperti tanda
tangan elektronik aman, meskipun saat ini ada terbatas teknik teknis yang matang untuk
memberikan keamanan seperti pada jaringan terbuka seperti Internet. Kami masih pada titik
di mana seorang hacker komputer yang terampil dapat mencegat panggilan telepon seluler;
panggilan tersebut mencakup hal-hal yang berhubungan dengan kesehatan bisa membuat
pelanggaran persyaratan keamanan HIPAA. Teknologi akan berubah di masa depan,
prosedur pengendalian akan meningkatkan, para hacker akan mendapatkan lebih cerdas
pernah, dan pelanggaran akan diselesaikan di pengadilan.

Alasan dasar di balik aturan ini adalah bahwa keamanan banyak sistem administrasi
kesehatan di hari pra-HIPAA sering tidak memadai. Perusahaan dapat meningkatkan
keamanan mereka tidak hanya dengan membeli dan menginstal perangkat lunak baru tapi
dengan terlebih dahulu memperbaiki kebijakan manusia-driven. Aturan Standar Keamanan
HIPAA tidak diselesaikan dan diberlakukan sampai April 2003, dan kepatuhan untuk aturan-
aturan ini tidak berlaku sampai 2006. Di antara daerah lain, aturan ini termasuk apa yang
HIPAA panggilan “entitas tertutup” seperti:

Dokter dan penyedia layanan kesehatan lain yang memproses klaim kesehatan elektron-
ically

rencana kesehatan, termasuk perusahaan-perusahaan yang “mengasuransikan diri”

jasa tempat transaksi-penagihan kesehatan dan lain-lain yang menyediakan layanan data
format ting untuk pengajuan klaim elektronik

Dengan demikian, peraturan keamanan HIPAA berlaku untuk semua perusahaan, baik
kantor dokter tunggal, sebuah rumah sakit besar, atau kantor profesional kecil yang
menangani pengolahan klaim kesehatan sendiri melalui self-asuransi.
 Keamanan merupakan elemen kunci dari menjaga informasi kesehatan pribadi swasta,
dan aturan HIPAA menutupi praktik keamanan yang baik untuk lebih dari sekedar catatan
medis,
592 HIPAA, GLBA, dan Kepatuhan Lain

EXHIBIT 26,1 Internal Audit Persyaratan HIPAA Prosedur

Adalah perusahaan didefinisikan sebagai perusahaan yang berhubungan dengan kesehatan dan
tunduk pada aturan HIPAA? (Jika tidak, tidak perlu menyelesaikan langkah-langkah.)
Telah suatu informasi petugas keamanan perusahaan-lebar telah ditunjuk untuk
HIPAA kepatuhan, dan telah rencana implementasi umum dikembangkan?
Telah kebijakan dan prosedur untuk melindungi informasi kesehatan pasien telah dikembangkan
dan diimplementasikan?
Apakah ada proses untuk dukungan yang berkelanjutan dan pemantauan aturan dan
peraturan HIPAA?
Apakah proses di tempat untuk mengembangkan privasi dan keamanan kebijakan yang
komprehensif, prosedur, kontrol, dan teknologi?
Apakah perusahaan memiliki rencana kontingensi resmi di tempat itu meliputi:
Aplikasi dan data analisis kekritisan
perencanaan backup data
rencana pemulihan bencana
Darurat rencana operasi modus
pengujian berkala dan revisi rencana
Apakah ada proses kontrol akses informasi formal, termasuk otorisasi akses, aturan pendirian
akses, dan prosedur modifikasi akses?
Kontrol atas akses ke media sistem informasi harus mencakup proses untuk:
Akuntabilitas
Penyimpanan
data cadangan
data
Pembuangan data
kebijakan keamanan personil / prosedur harus:
Pastikan pengawasan personil pemeliharaan oleh yang berwenang, orang berpengetahuan

Mempertahankan catatan lengkap otorisasi akses

Pastikan bahwa operasi dan pemeliharaan personil memiliki otorisasi akses yang tepat
Menetapkan prosedur personil izin
Prosedur penghentian formal harus berada di tempat, termasuk perubahan kunci
kombinasi yang tepat dan penghapusan dari daftar akses.
kontrol akses fisik seluruh fasilitas harus mencakup:
rencana modus operasi darurat
peralatan kontrol ke dalam dan keluar dari rencana
keamanan Fasilitas fasilitas
Prosedur untuk memverifikasi otorisasi akses sebelum akses fisik catatan
Pemeliharaan
prosedur perlu-untuk-tahu untuk personel
mengakses Sign-in bagi pengunjung dan
pengawalan, jika sesuai
Pengujian dan revisi rencana akses fisik
Semua jaringan dan komunikasi harus dilindungi melalui:
Otomatis log-off
identifikasi pengguna unik
Password dan nomor identifikasi pribadi. callback
telepon.

seperti persyaratan standar pemulihan bencana kuat. aturan yang diterbitkan terdiri dari
kedua “dibutuhkan” dan apa yang disebut HIPAA “dialamatkan” aturan. Yang terakhir
adalah aturan bahwa perusahaan tidak diperlukan untuk melaksanakan karena ukurannya
yang kecil dan sumber daya yang terbatas. The “diperlukan” HIPAA aturan mewakili banyak
praktik keamanan informasi yang baik yang sesuai dengan perusahaan apapun. daerah
keamanan HIPAA lain di sini
HIPAA: Kesehatan dan Banyak Lagi 593

di luar lingkup buku ini, seperti persyaratan untuk Infrastruktur (PKI) lingkungan Public
Key yang mencakup tanda tangan digital.

(C) HIPAA Keamanan Prosedur Administrasi

HIPAA memerlukan prosedur administratif berada di tempat untuk menjaga integritas data,
kerahasiaan, dan ketersediaan. Prosedur ini harus hati-hati didokumentasikan per aturan
HIPAA, dan Bukti 26,2 daftar beberapa “diperlukan” prosedur administrasi tersebut.
pameran juga mencantumkan aturan pelaksanaan dalam cara yang sangat umum; diterbitkan
aturan HIPAA cenderung sangat rinci. Banyak dari persyaratan ini, seperti persyaratan untuk
rencana kontingensi didokumentasikan dan diuji atau kebijakan formal untuk kontrol akses
informasi, mirip dengan prosedur pengendalian internal audi-tor telah merekomendasikan
selama bertahun-tahun. Lainnya mewakili praktek yang baik yang

EXHIBIT 26,2 HIPAA Diperlukan Implementasi Spesifikasi

Ketentuan ini berlaku untuk apa yang disebut “tertutup” entitas atau perusahaan di bawah aturan
HIPAA dan harus menjadi bagian dari HIPAA keamanan dan kepatuhan rencana suatu
perusahaan.

Analisis resiko. Perusahaan harus melakukan evaluasi menyeluruh terhadap potensi risiko
kerahasiaan informasi, integritas, dan ketersediaan.
Manajemen risiko. perusahaan tertutup harus menerapkan langkah-langkah keamanan yang
diperlukan untuk mengurangi risiko keseluruhan untuk tingkat yang dapat diterima.
Sanksi kebijakan. Sanksi atau hukuman terkait harus diterapkan kepada anggota angkatan
kerja yang melanggar kebijakan keamanan perusahaan. Ini mungkin diterjemahkan ke dalam
beberapa
jenis kebijakan tiga serangan-dan-kau-out.
4. Sistem informasi aktivitas keamanan pelaporan. Keamanan log, laporan kejadian, dan
laporan kegiatan keamanan terkait harus dilaporkan dan ditinjau secara teratur.
respon insiden. Proses harus di tempat untuk mengidentifikasi, menyelidiki, mengurangi, dan
mendokumentasikan insiden keamanan.
prosedur cadangan. prosedur yang tepat harus di tempat untuk memulihkan hilangnya data.

Pemulihan bencana. Setiap perusahaan tertutup harus menetapkan prosedur untuk menutup
kerugian data.
mode darurat operasi. Proses harus di tempat untuk memastikan keamanan informasi pasien
ketika beroperasi dalam mode darurat.
Terkait kontrak bisnis. Suatu perusahaan harus menyertakan bahasa dalam kontrak dengan
pemasok jasa terkait yang memerlukan pemasok untuk mengadopsi langkah-langkah keamanan
yang memadai untuk melaporkan insiden keamanan untuk perusahaan, untuk memastikan
subkontraktor tersebut menerapkan langkah-langkah keamanan yang sesuai, dan untuk
menyediakan pemutusan kontrak dalam kasus pelanggaran keamanan.
Pembuangan informasi pasien. Kebijakan dan prosedur harus di tempat untuk
menangani disposisi akhir dari informasi pasien seperti perangkat disc daur ulang.
Media reuse. Proses harus di tempat untuk memastikan penghapusan informasi sensitif dari
media elektronik, seperti drive disc, sebelum digunakan kembali.
identifikasi pengguna unik pengidentifikasi unik harus ditugaskan untuk semua pengguna
sistem untuk mencegah rekening bersama dan untuk melacak perilaku sistem.
prosedur akses darurat. Prosedur harus ditetapkan untuk memungkinkan untuk
mengakses informasi elektronik selama keadaan darurat.
Dokumentasi. Prosedur harus ditetapkan untuk menjamin keamanan informasi, menjaga
dokumentasi untuk jangka waktu enam tahun, dan meninjau secara berkala.
594 HIPAA, GLBA, dan Kepatuhan Lain

harus di tempat di banyak perusahaan. Aturan 3 di pameran mengacu pada kebutuhan untuk
apa yang disebut sanksi kebijakan-satu set formal aturan untuk orang-orang yang melanggar
kebijakan keamanan. Ini adalah ide yang baik untuk sebagian besar perusahaan. Hari ini,
sebagai aturan Administration-tive, penyedia layanan kesehatan HIPAA-dampak yang
berbasis di AS akan menghadapi hukuman jika aturan dan prosedur yang ditemukan tidak
memadai.
persyaratan keamanan HIPAA juga mencakup beberapa aturan perlindungan fisik yang
mirip dengan kontrol akses fisik yang telah ada selama bertahun-tahun lebih pusat data IT.
Namun, di sini HIPAA melampaui pusat operasi TI klasik dan panggilan untuk pedoman
yang kuat dan dokumentasi atas penggunaan workstation dan lokasi. Sementara auditor
internal biasanya tidak mengangkat banyak kekhawatiran pengendalian internal mengenai
kontrol fisik untuk terminal jaringan dalam lingkungan bisnis, lingkungan kesehatan
HIPAA-diatur memperkenalkan isu-isu baru. Sebuah workstation medis en-vironment yang
digunakan oleh dokter, perawat, dan / atau anggota staf lain membutuhkan kontrol logis
dan fisik yang kuat untuk melindungi privasi pribadi dari catatan pasien yang melewati
mereka workstation.

(D) Layanan Teknis Keamanan dan Mekanisme

aturan HIPAA mengharuskan proses harus diletakkan di tempat untuk menjaga integritas,
kerahasiaan, dan ketersediaan data rekam medis ini dan untuk mencegah akses unau-
thorized untuk data yang ditransmisikan melalui jaringan komunikasi. Aturan di sini
membutuhkan sistem informasi kontrol keamanan yang sering lebih kuat dari yang
ditemukan di beberapa perusahaan besar hari ini dan meliputi:

Kontrol akses. mekanisme kontrol yang kuat berdasarkan konteks data atau peran /
posisi pengguna yang berwenang harus ditetapkan. Selain itu, proses kontrol harus
selalu berada di tempat untuk memungkinkan akses darurat dari data center
operasi jika diperlukan.
kontrol audit. Sini dan di seluruh semua aturan HIPAA persyaratan untuk kontrol
audit yang kuat, termasuk hal-hal seperti proses revisi dokumentasi
dan audit tradisional.
Data otentikasi. kontrol sistem yang kuat atas integritas data yang diperlukan. Ini
adalah jenis yang sama dari pengendalian aplikasi dibahas dalam Bab 19.
otentikasi entitas. Kontrol harus di tempat sehingga ketika salah satu karya-stasiun
mencoba untuk mengakses lain, itu harus dikonfirmasi. Proses ini mungkin termasuk
password, callback telepon, atau bahkan kontrol biometrik. Persyaratan ini melampaui
banyak praktek perusahaan di tempat hari ini di mana informal
mation sering bebas dibagi melalui sebuah catatan e-mail dengan lampiran.
Komunikasi dan kontrol jaringan. Berbagai kontrol SUG-gested disini, termasuk
alarm, enkripsi, pelaporan acara, pesan authentica-tion, dan lain-lain. Perusahaan
HIPAA-dampak harus menerapkan jaringan yang sangat aman.

HIPAA mensyaratkan bahwa kontrol tanda tangan elektronik dibentuk yang akan
memberikan berat badan hukum yang sama dengan tanda tangan electronic data sebagai
dikaitkan dengan tanda tangan tradisional pada dokumen kertas. HIPAA mengatur integritas
jaringan pesan, tidak ada penolakan, dan otentikasi pengguna untuk setiap pesan dengan
tanda tangan elektronik. Bagi banyak organisasi, ini bisa menjadi suatu tantangan. proses
tanda tangan digital di tempat hari ini sering agak rumit tapi akan dibutuhkan sampai lainnya,
baik tech-tehnik yang dikembangkan. Ini adalah kasus klasik dari pemerintah AS
membangun yang ideal
Aturan Audit Gramm-Leach-Bliley Act internal 595

atau diinginkan aturan bahkan ketika tidak ada solusi praktis ada saat ini. Legislator kadang-
kadang berpikir bahwa jika mereka menetapkan standar yang tinggi, industri dan kelompok
lain akan mengenakan biaya depan untuk membuat sesuatu terjadi. Ini kadang-kadang tidak
bekerja, tetapi jika tidak, aturan akan perlu direvisi.

(E) Melangkah ke Depan: HIPAA dan E-Commerce

Meskipun dirancang untuk melindungi dan mengotentikasi informasi medis, aturan HIPAA
menguraikan beberapa pedoman yang kuat untuk semua proses perdagangan elektronik.
Sebuah re-quirement utama di sini akan ditingkatkan standar dan proses untuk tanda tangan
elektronik. Masih banyak yang harus diselesaikan sebelum proses menjadi umum dan
commer-cially tersedia, dan Institut Nasional Standar dan Teknologi (NIST) adalah
mengambil peran kepemimpinan dalam pengembangan infrastruktur federal Public Key
yang mendukung tanda tangan digital dan publik lainnya kunci-enabled layanan keamanan.
NIST saat ini berkoordinasi dengan industri dan teknis kelompok mengembangkan PKI
technol-ogy untuk mendorong interoperabilitas produk PKI dan proyek. Harus ada lebih
banyak perubahan ke depan,

aturan HIPAA telah mendorong kemajuan dalam banyak bidang keamanan IT dan
integritas. Meskipun dikembangkan untuk perusahaan kesehatan, aturan ini berdampak
banyak perusahaan. Auditor internal harus mencoba untuk tetap sadar aturan-aturan dan
standar yang dibutuhkan bahkan jika mereka tidak bekerja secara langsung untuk sebuah
perusahaan kesehatan. Sekedar berkaitan dengan perusahaan kesehatan, aturan-aturan yang
kompleks dan penting berlaku setiap kali catatan yang berhubungan dengan kesehatan yang
dikelola oleh fungsi SDM. Auditor internal dapat menemukan lebih banyak informasi
HIPAA di Web dari dua sumber penting:

AS Departemen Kesehatan dan Layanan Kemanusiaan. Salinan peraturan HIPAA

dan bahan referensi lain yang mendukung tersedia dari http://hhs.gov/ ocr / HIPAA.

HIPPA Advisories. Sebuah situs yang dikelola oleh Phoenix Sistem Kesehatan sebagai
layanan publik merupakan sumber yang baik untuk informasi HIPAA; melihat
www.hipaadvisory.com.

HIPAA kepatuhan merupakan persyaratan hukum AS. Sementara auditor pemerintah

tidak akan mengunjungi rumah sakit, fasilitas kesehatan besar, atau departemen HR dari
organisasi komersial, seorang individu yang merasa telah melanggar dapat mengajukan
keluhan dengan Departemen Kehakiman AS (DOJ). Yang pasti bisa terjadi jika beberapa
informasi penting dari catatan klaim asuransi kesehatan karyawan menjadi pengetahuan
umum karena kerusakan catatan keamanan. DOJ memiliki / pendekatan kepatuhan
sukarela-driven keluhan.
Jika DOJ memutuskan untuk mengambil tindakan mengenai beberapa keluhan, itu saat
ini memiliki kebijakan satu-bebas-pelanggaran. Dengan kata lain, pertama DOJ akan bekerja
dengan organisasi bintara-gugatan; jika tindakan korektif tidak tercapai, DOJ akan
mempertimbangkan pengenaan denda uang sipil.
auditor internal harus menyadari aturan HIPAA, setidaknya pada tingkat tinggi. auditor
internal harus merekomendasikan kuat kontrol keamanan dan kerahasiaan atas setiap daerah
yang mungkin berdampak catatan kesehatan medis karyawan.

26,2 Aturan Audit Gramm-Leach-Bliley Act internal

Secara resmi dikenal sebagai Undang-Undang Modernisasi Keuangan 1999, GLBA adalah
satu set terkait privasi persyaratan AS dengan tujuan untuk melindungi konsumen pribadi
596 HIPAA, GLBA, dan Kepatuhan Lain

informasi keuangan yang diselenggarakan oleh lembaga-lembaga keuangan. Undang-undang

ini memiliki tiga bagian utama:

Aturan Privasi Keuangan

The Perlindungan Aturan
Apa yang disebut nya “dalih ketentuan”

GLBA memberikan wewenang untuk delapan lembaga yang berbeda federal AS dan negara-
negara untuk iklan-menteri, dan itu memaksa satu set baru aturan privasi-rilis yang berlaku
untuk apa yang umumnya disebut “lembaga keuangan.” Lembaga-lembaga ini meliputi tidak
hanya bank tradisional, perusahaan sekuritas , dan perusahaan asuransi, tetapi juga
perusahaan yang menyediakan berbagai jenis produk dan jasa keuangan kepada konsumen.
Di antaranya adalah pinjaman, percaloan, dan servis semua jenis pinjaman konsumen,
mentransfer atau menjaga uang, mempersiapkan pengembalian pajak individu, memberikan
nasihat keuangan atau konseling kredit, layanan penyelesaian perumahan real estate,
mengumpulkan utang konsumen, dan berbagai kegiatan lainnya . Dengan GLBA,

auditor internal yang bekerja untuk bank atau perusahaan asuransi mungkin telah
dipengaruhi oleh GLBA dan ketentuan terkait privasi. Tindakan ini juga dapat mencakup
banyak perusahaan lain karena definisi diperluas apa yang disebut “lembaga keuangan.”
Sebagai contoh, aturan GLBA juga berlaku untuk banyak lembaga keuangan negara-diatur.
perusahaan asuransi di Amerika Serikat diatur secara negara-negara dengan National
Association of Asuransi Komisaris (NAIC) bertindak sebagai koordinasi dan standar-
pengaturan kelompok pusat. The NAIC telah memberlakukan aturan GLBA federal
diamanatkan pada asuransi compa-nies negara-diatur individu. Ini adalah contoh lain
bagaimana peraturan federal AS kadang-kadang bergerak dari otoritas AS untuk aturan yang
mencakup undang-undang negara serta beberapa aturan internasional yang serupa.
Meskipun pemeriksaan akuntan publik bersertifikat (CPA) ini dikelola oleh American
Institute of CPA (AICPA), CPA dilisensikan secara negara individu melalui papan individu
akuntansi. Melalui kewenangan NAIC, badan aturan negara koordinasi, aturan GLBA
sedang diadopsi oleh sebagian besar ke negara bagian di Amerika Serikat.

(Sebuah) GLBA Aturan Privasi Keuangan

konsumen AS sering menghadapi GLBA dan yang Aturan Privasi Keuangan-hari ketika
mereka menerima catatan dari penyedia kartu kredit berbicara tentang aturan privasi untuk
kartu kredit. The GLBA Aturan Privasi Keuangan membutuhkan keuangan Institu-tions
untuk memberikan pelanggan pemberitahuan privasi ini yang menjelaskan praktik
pengumpulan informasi dan berbagi lembaga keuangan ini. pemberitahuan privasi ini harus
menjadi pernyataan yang jelas, mencolok, dan akurat dari praktik privasi suatu perusahaan;
itu harus mencakup informasi apa perusahaan mengumpulkan tentang konsumen dan
pelanggan, dengan siapa ia berbagi informasi kredit konsumen ini, dan bagaimana
melindungi atau aman-menjaga informasi. pemberitahuan berlaku untuk “informasi pribadi
non publik” yang mengumpulkan perusahaan dan mengungkapkan tentang konsumen dan
pelanggan; dalam praktek, yang mungkin paling-atau semua-informasi suatu perusahaan
memiliki sekitar pelanggannya. Sebagai contoh, informasi pribadi non publik dapat
mencakup informasi bahwa konsumen atau pelanggan menempatkan pada aplikasi kredit
atau kontrak penjualan; informasi
Aturan Audit Gramm-Leach-Bliley Act internal 597

tentang individu dari sumber lain, seperti biro kredit; atau informasi tentang transaksi antara
individu dan perusahaan, seperti saldo rekening. Memang, bahkan fakta bahwa seorang
individu terdaftar sebagai konsumen atau pelanggan dari lembaga keuangan tertentu
diklasifikasikan di bawah GLBA sebagai non publik pribadi dalam formasi. Penting bahwa
perusahaan memiliki alasan untuk percaya adalah sah publik seperti informasi pinjaman
hipotek dalam yurisdiksi di mana informasi yang terbuka direkam-tidak dibatasi oleh GLBA.

GLBA mandat pemberitahuan privasi harus mengandung unsur informasi ini:

Jenis informasi pribadi bukan umum sebuah koleksu perusahaan mengenai pelanggan
Jenis informasi pribadi bukan umum perusahaan akan mengungkapkan kepada orang
lain tentang pelanggan
Para pihak kepada siapa perusahaan mengungkapkan informasi ini, selain di bawah
pengecualian terhadap larangan menjaga rahasia
Pelanggan atau hak klien untuk “keluar” dari pengungkapan bersama dengan aturan
sederhana untuk memilih keluar
kebijakan perusahaan sehubungan dengan berbagi informasi tentang seseorang yang
tidak lagi pelanggan atau klien
praktek perusahaan untuk melindungi kerahasiaan dan keamanan pelanggan atau
informasi pribadi bukan umum klien

Banyak konsumen saat ini membayar sedikit perhatian untuk pemberitahuan ini,
meskipun mereka mungkin menyatakan bahwa perusahaan yang memiliki data akun mereka
dapat berbagi nama konsumen dengan orang lain. GLBA memberikan pelanggan hak untuk
memilih keluar dari-atau mengatakan tidak untuk-memiliki informasi pribadi konsumen ini
dibagi dengan pihak ketiga tertentu. Pemberitahuan privasi harus menjelaskan bagaimana-
dan menawarkan cara-mereka yang wajar dapat memilih keluar. Misalnya, menyediakan
nomor telepon bebas pulsa atau bentuk dilepas dengan alamat pracetak adalah cara yang
masuk akal bagi konsumen atau pelanggan untuk memilih keluar; membutuhkan seseorang
untuk menulis surat sebagai satu-satunya cara untuk keluar tidak. Pemberitahuan privasi juga
harus menjelaskan bahwa konsumen memiliki hak untuk mengatakan tidak untuk berbagi
informasi tertentu, seperti laporan kredit atau informasi aplikasi, dengan divisi terpisah
lembaga keuangan atau afiliasi.

GLBA menempatkan batasan pada bagaimana orang yang menerima informasi pribadi
non publik dari lembaga keuangan dapat menggunakan atau redisclose informasi tersebut.
Jika pemberi pinjaman mengungkapkan informasi pelanggan untuk penyedia layanan
bertanggung jawab untuk laporan surat akun, di mana konsumen tidak memiliki hak untuk
memilih keluar, bahwa penyedia layanan dapat menggunakan informasi hanya untuk yang
terbatas tujuan-seperti untuk mailing akun pernyataan-dan mungkin tidak menjual informasi
atau menggunakannya untuk pemasaran.
Rincian Aturan Privasi federal GLBA ini sangat kompleks. niat kita di sini,
bagaimanapun, adalah untuk menjelaskan aturan privasi ini secara umum. Auditor internal
harus mengakui bahwa semua informasi keuangan pribadi sangat pribadi dan tidak dapat
hanya sewenang-wenang yang dijual atau didistribusikan. Konsumen memiliki hak untuk
memilih keluar dan mengatakan tidak, dan perusahaan harus menyimpan catatan yang tepat
dari tindakan ini dan hak-hak privasi hormat konsumen. auditor internal bekerja dengan
lembaga keuangan atau aplikasi, atau untuk perusahaan yang memiliki fasilitas pemberian
kredit dan penagihan terkait konsumen, harus menyadari bagaimana GLBA privasi berlaku
untuk perusahaan. Usaha yang menganggap Aturan GLBA Privasi sebagai masalah sepele
dan mungkin gagal
598 HIPAA, GLBA, dan Kepatuhan Lain

untuk menghormati permintaan opt-out atau tidak benar menjual milis, mungkin
menemukan diri mereka menghadapi class action litigasi untuk kerusakan karena kegagalan
untuk mematuhi.

(B) GLBA Perlindungan Aturan

Tindakan ini Perlindungan Peraturan mengharuskan lembaga keuangan untuk memiliki
rencana keamanan untuk melindungi kerahasiaan dan integritas informasi konsumen pribadi.
Ketika konsumen membuka rekening atau membeli produk, mereka sering mengungkapkan
beberapa unsur pribadi mereka informasi-alamat, nomor telepon, atau kartu kredit nomor-
sebagai bagian dari proses transaksi aplikasi. Suatu perusahaan harus memiliki rencana
keamanan untuk melindungi kerahasiaan dan integritas data pribadi konsumen disediakan.
Rencana tersebut harus mencakup lebih dari sekedar risiko kelangsungan bisnis dibahas
dalam Bab 22 dan termasuk kontrol untuk mencegah hacker mengakses file data, karyawan
yang tidak puas mengakses informasi pelanggan, atau sederhana ceroboh-ness. The GLBA
Perlindungan Peraturan mengharuskan setiap lembaga keuangan, terlepas dari ukuran, harus
membuat dan melaksanakan rencana keamanan informasi tertulis untuk pro-tection data
pelanggan. Ruang lingkup dan kompleksitas rencana keamanan ini dapat diperkecil dengan
ukuran lembaga dan sensitivitas informasi yang mempertahankan. Rencana harus didasarkan
pada analisis risiko yang mengidentifikasi semua ancaman mendatang terhadap keamanan,
kerahasiaan, dan integritas informasi pelanggan. Berdasarkan analisis risiko, lembaga
keuangan harus mendokumentasikan dan menerapkan langkah-langkah keamanan yang
mencakup langkah-langkah administratif seperti pelatihan karyawan; perlindungan teknis
termasuk password, kontrol enkripsi, dan firewall; dan pengamanan fisik seperti kunci pintu
dan komputer.

auditor internal harus menyadari kepatuhan bagaimana sebuah perusahaan berbasis di

AS dapat setan-Strate dengan perlindungan aturan GLBA melalui lima langkah:

analisis
1. lingkungan resiko. perusahaan harus secara resmi mengidentifikasi antar
risiko nal dan eksternal untuk keamanan, kerahasiaan, dan integritas dari semua
pelanggan
informasi pribadi. pendekatan analisis risiko yang dibahas dalam Bab 6. Ini
Proses harus mencakup risiko kehilangan atau pengungkapan untuk semua sumber
pribadi
informasi, apakah pada sistem otomatis atau catatan manual.
mengimpleme
2. merancang dan ntasikan pengamanan. pengamanan ini pada dasarnya
prosedur pengendalian internal dibahas dalam Bab 3 sebagai bagian dari Committee of
Sponsoring Organizations (COSO) kerangka pengendalian internal dan tempat lain di
seluruh buku ini.
Monitoring dan audit. Terus menerus proses monitoring jaminan audit, seperti
dibahas dalam Bab 29, harus di tempat. Audit internal dapat memainkan
pemantauan penting dan peran audit sini dengan menjadwalkan secara teratur ulasan
tentang
kecukupan rencana keamanan, ditambah dengan tes kepatuhan yang sesuai.
4. Program perbaikan terus-menerus. perusahaan harus memiliki program
di tempat untuk terus meningkatkan rencana keamanan. program yang harus baik
didokumentasikan untuk menggambarkan kemajuan rencana dalam meningkatkan
setiap kelemahan yang ditemukan.
5. Mengawasi penyedia keamanan dan mitra. Banyak mitra dan masukkan-lain
prises mungkin memiliki akses ke informasi pribadi yang sama atau sistem koneksi
jaringan di mana privasi pribadi dapat dilanggar. kebijakan yang memadai, con-Trols,
dan prosedur audit harus berada di tempat di sini juga.
Aturan Audit Gramm-Leach-Bliley Act internal 599

The GLBA Perlindungan Peraturan berlaku untuk berbagai penyedia produk keuangan
dan jasa, termasuk broker hipotek, pemberi pinjaman nonblank, penilai, agen pelaporan
kredit, preparers pajak profesional, dan pengecer yang mengeluarkan kartu kredit mereka
sendiri. Bank tidak tunduk pada Perlindungan Peraturan tetapi harus mematuhi peraturan
yang sama rekan yang telah dikeluarkan oleh instansi perbankan federal. Kegagalan untuk
mematuhi Perlindungan Peraturan dapat mengakibatkan denda atau tindakan penegakan
hukum lainnya oleh FTC.

(C) Ketentuan GLBA Dalih

GLBA melarang “dalih” -the penggunaan alasan palsu, termasuk penipuan negara-KASIH
dan peniruan-untuk mendapatkan informasi keuangan pribadi konsumen, seperti saldo
bank, dengan alasan palsu. Pretexters menggunakan berbagai taktik untuk mendapatkan
informasi per-sonal. Misalnya, pretexter mungkin panggilan, mengaku dari sebuah
perusahaan survei, mengajukan beberapa pertanyaan untuk mungkin mendapatkan nama
bank seseorang, dan kemudian menggunakan infor-masi berkumpul untuk memanggil
lembaga keuangan target seseorang, berpura-pura menjadi yang ditargetkan orang atau
seseorang dengan akses yang berwenang ke akun itu. Penelepon mungkin mengklaim telah
melupakan buku ceknya dan kebutuhan informasi tentang rekening. Dengan cara ini,
pretexter mungkin dapat memperoleh informasi pribadi tentang korban sasaran, seperti
nomor, perbankan dan rekening kartu kredit nomor Jaminan Sosial,

Di bawah Dalih Ketentuan GLBA ini, adalah ilegal bagi siapa saja untuk:

Gunakan pernyataan palsu, fiktif, atau penipuan atau dokumen untuk mendapatkan
informasi pelanggan dari lembaga keuangan atau langsung dari pelanggan dari lembaga
keuangan.
Gunakan ditempa, palsu, hilang, atau dicuri dokumen untuk mendapatkan informasi
pelanggan dari lembaga keuangan atau langsung dari pelanggan dari lembaga keuangan.
Meminta orang lain untuk mendapatkan informasi pelanggan orang lain menggunakan
pernyataan palsu, fiktif, atau penipuan atau menggunakan dokumen palsu, fiktif, atau
penipuan atau ditempa, palsu, hilang, atau dicuri dokumen.

Dalih mengarah ke keamanan dan privasi risiko atau paparan baru: pencurian identitas.
Hal ini terjadi ketika seseorang membajak informasi pribadi Anda untuk membuka rekening
baru biaya, memesan barang dagangan, atau meminjam uang. Konsumen yang ditargetkan
oleh pencuri identitas biasanya tidak tahu mereka telah menjadi korban sampai pembajak
gagal untuk membayar tagihan atau membayar kembali pinjaman, dan agen penagihan mulai
dunning ditargetkan konsumen untuk pembayaran rekening mereka bahkan tidak tahu
mereka punya. Menurut FTC, bentuk yang paling umum dari pencurian identitas adalah:

Penipuan kartu kredit. Sebuah account kartu kredit dibuka di nama konsumen atau
account kartu kredit yang ada adalah “mengambil alih.”
penipuan layanan komunikasi. Pencuri identitas membuka telepon, seluler, atau
layanan utilitas lainnya di nama konsumen.
penipuan bank. Pencuri identitas membuka pengecekan atau tabungan rekening atas
nama konsumen dan / atau menulis cek palsu.
pinjaman penipuan. Pencuri identitas mendapat pinjaman, seperti kredit mobil, nama
konsumen.
600 HIPAA, GLBA, dan Kepatuhan Lain

Sebuah undang-undang AS yang terpisah yang terkait dengan GLBA adalah Pencurian
Identitas dan Asumsi De-terrence Act, yang membuatnya menjadi kejahatan federal ketika
seseorang “sadar transfer atau penggunaan, tanpa kewenangan yang sah, alat identifikasi
orang lain dengan maksud untuk melakukan, atau untuk bantuan atau menghasut, kegiatan
yang melanggar hukum yang merupakan pelanggaran hukum federal, atau yang merupakan
kejahatan di bawah negara bagian atau lokal hukum yang berlaku.”Di sini, nama atau Nomor
Jaminan Sosial dianggap sebagai‘alat identifikasi,’seperti sebuah nomor kartu kredit, telepon
seluler nomor seri elektronik, atau bagian lain dari informasi yang dapat digunakan sendiri
atau bersama dengan informasi lain untuk mengidentifikasi individu tertentu.

GLBA adalah aturan yang dapat berdampak banyak auditor internal, terutama yang
bekerja-ing di setiap jenis lembaga keuangan. Sementara banyak aspek GLBA dirancang
terutama untuk melindungi informasi keuangan konsumen, definisi yang sangat luas yang
GLBA berpotensi dampak berbagai perusahaan dan banyak auditor internal AS.
auditor internal bekerja dengan perusahaan keuangan dan kredit-pemberian harus
menjadi lebih sadar aturan GLBA ini serta aturan privasi umum yang berlaku untuk banyak
perusahaan lainnya. Web adalah sumber yang baik untuk mendapatkan informasi tambahan
yang lebih rinci dan arus pada tindakan dan ketentuannya. Dua sumber yang baik adalah:

Federal Trade Commission. sumber pemerintah ini memberikan pandangan

gambaran GLBA serta aturan yang paling saat ini di: www.ftc.gov/privacy/glbact.
National Association of Asuransi Komisaris. Ini adalah perusahaan negara-negara
dengan peraturan yang memiliki informasi GLBA baik di: www.naic.org/GLBA.

Pameran 26,3 menyediakan beberapa aturan umum dan langkah-langkah untuk audit
kepatuhan dengan kontrol dan prosedur GLBA. Sementara prosedur audit ini harus
diperluas untuk beberapa perusahaan, tujuan dari pameran ini adalah untuk memberikan
beberapa langkah audit umum untuk mempertimbangkan untuk audit tinjauan operasional
internal lembaga keuangan untuk menunjukkan GLBA kepatuhan.

26,3 Lainnya Privasi Pribadi dan Persyaratan Keamanan Legislatif

GLBA dan HIPAA adalah dua privasi dan keamanan inisiatif legislatif penting yang harus
tetap di layar radar auditor internal yang berbasis di AS. Ini adalah di samping standar
perawatan karena dari PCI-DSS dibahas dalam Bab 20. Ada juga baru-baru ini terkait privasi
AS inisiatif federal lainnya, seperti Privasi Online Anak Undang-Undang Perlindungan
(COPPA), yang mengatur koleksi anak-anak pribadi informasi. Selain itu, beberapa 35 (dan
terus bertambah) negara bagian AS telah memperkenalkan tindakan perlindungan data
mereka sendiri. Karena aturan ini tidak selalu konsisten dari negara ke negara, kepatuhan
dapat menjadi tantangan besar. penasehat hukum suatu perusahaan adalah otoritas yang
paling menyadari masalah ini,

Driver peraturan terkait lainnya ada pada dasar di seluruh dunia dan termasuk standar
Perlindungan Data Uni Eropa, Perlindungan Informasi Pribadi Kanada dan Dokumen
Elektronik Undang-undang, dan hukum Perlindungan Data Jepang. Masing-masing memiliki
persyaratan keamanan data yang umum untuk aturan keamanan data HIPAA. internasional
privasi dan keamanan standar lain adalah Standar Internasional
Lainnya Privasi Pribadi dan Persyaratan Keamanan Legislatif 601

EXHIBIT 26,3 Prosedur Audit Internal Gramm-Leach-Bliley Kepatuhan

audit internal harus bertemu dengan manajemen keuangan dan penasihat perusahaan untuk menilai apakah perusahaan dapat
didefinisikan sebagai “lembaga keuangan” di bawah ketentuan UU Gramm-Leach-Bliley (GLBA). Jika terkena dampak,
prosedur audit internal harus:

Menentukan perusahaan secara teratur mengirimkan pemberitahuan privasi keuangan, dan menilai prosedur tindak lanjut
di tempat untuk memperbaiki surat kembali atau untuk memberikan jawaban kepada pelanggan mengenai
pemberitahuan ini.
Menilai pencatatan dan kontrol lain mengenai pemberitahuan privasi aturan opt-out. Pilih sampel dari pelanggan yang telah
diminta untuk memilih keluar dan menentukan bahwa prosedur privasi ini beroperasi.
Tinjau catatan privasi umum dan prosedur keamanan atas semua bahan GLBA-dampak. praktek yang baik di sini termasuk
kontrol sandi sistem informasi yang kuat dan prosedur kantor yang meliputi catatan kertas-berorientasi.
Menentukan bahwa perusahaan memiliki rencana keamanan formal dalam tempat untuk melindungi keamanan dan
kerahasiaan informasi konsumen pribadi.
Menentukan bahwa analisis risiko lingkungan di tempat untuk secara resmi mengidentifikasi semua risiko internal dan eksternal
untuk keamanan, kerahasiaan, integritas semua informasi pribadi pelanggan.

Meninjau proses pemantauan terus menerus di tempat kontrol atas informasi pribadi pelanggan sekitarnya, dan menilai
kecukupan mereka.
Tinjau kecukupan perbaikan terus-menerus program sekitarnya kontrol keamanan GLBA, dan mengomentari kecukupan
mereka.
Menilai kecukupan program informasi dalam perusahaan untuk menginformasikan semua karyawan pada kebutuhan GLBA
dan kebutuhan mereka untuk melindungi informasi pribadi pelanggan.

Menentukan bahwa kontrol yang memadai untuk mencegah pelanggaran ketentuan dalih GLBA.
Menentukan bahwa perusahaan telah mengambil langkah-langkah yang memadai untuk menginformasikan organisasi
terkait lainnya dari ketentuan GLBA.

Organisasi (ISO) tidak ada. 15.408, kerangka untuk mengevaluasi keamanan IT. standar ISO diperkenalkan secara
singkat dalam Bab 30. Sebuah benang merah untuk inisiatif ini adalah perlindungan privasi pribadi untuk informasi
tentang seorang individu disimpan dalam catatan sistem TI.

The HIPAA dan GLBA undang-undang yang dibahas dalam bab ini mungkin sangat baik menunjukkan inisiatif
legislatif lainnya di wilayah di luar kesehatan dan perlindungan privasi keuangan pribadi. Selain itu, meskipun mungkin
diperlukan beberapa waktu untuk berkembang sepenuhnya, model risiko manajemen risiko COSO perusahaan dibahas
dalam Bab 6 akan segera menyebabkan beberapa perubahan besar dalam cara kita memahami, mengatur, dan
melindungi bisnis dan risiko lainnya. Akan ada banyak kesempatan untuk auditor internal dalam organisasi saat ini dan
masa depan. auditor internal, di semua tingkatan, harus memiliki kesadaran CBOK tingkat tinggi aturan-aturan ini.
Ketika seorang auditor internal yang bekerja di pelayanan kesehatan atau perusahaan keuangan yang secara langsung
dipengaruhi oleh HIPAA atau GLBA aturan, pemahaman CBOK kuat aturan-aturan ini dan bagaimana mereka
mempengaruhi kegiatan audit internal sangat penting.