Mengevaluasi Kerangka Privasi Organisasi

Dalam standar butir 2130.A1 disebutkan bahwa Aktivitas Audit Internal harus mengevaluasi kecukupan dan efektivitas pengendalian dalam merespons risiko dalam tata kelola organisasi, operasi, dan sistem informasi mengenai:

  • Keandalan dan integritas informasi keuangan dan operasional;
  • Efektivitas dan efisiensi operasi dan program;
  • Pengamanan aset, dan
  • Kepatuhan terhadap hukum, peraturan, kebijakan, prosedur, dan kontrak.
Terkait dengan informasi ini, organisasi harus benar-benar memperhatikan masalah privasi informasi. Prinsip-prinsipnya diberikan panduan oleh IIA sebagai berikut:

1. Kegagalan untuk memproteksi  informasi yang bersifat pribadi melalui pengendalian yang tepat bisa memiliki konsekuensi signifikan bagi suatu organisasi. Kegagalan tersebut bisa merusak reputasi baik individu ataupun organisasi, serta bisa membuat organisasi terekspos risiko kewajiban hukum dan menurunnya kepercayaan karyawan dan/atau konsumen.

2. Definisi ‘privasi’ sangat bervariasi tergantung pada budaya, lingkungan politik, dan kerangka hukum di masing-masing negara di mana organisasi beroperasi. Risiko yang terkait dengan privasi informasi mencakup privasi pribadi (fisik dan psikologis); privasi ruang (kebebasan dari pengawasan/surveillance); privasi komunikasi (kebebasan dari pemantauan), dan privasi informasi (pengumpulan, penggunaan, dan pengungkapan pribadi informasi oleh orang lain). Informasi pribadi biasanya mengacu pada informasi yang terkait dengan individu tertentu, atau sesuatu yang memiliki karakteristik tertentu, yang apabila digabungkan dengan informasi lainnya, dapat diasosiasikan dengan individu tertentu. Informasi ini meliputi baik informasi faktual ataupun subjektif , baik  tercatat ataupun tidak, dalam bentuk media. Informasi Pribadi bisa mencakup:

  • Nama, alamat, nomor identifikasi, hubungan keluarga;
  • File karyawan, beserta evaluasi, komentar, status sosial, atau tindakan disipliner;
  • Catatan kredit, pendapatan, status keuangan, atau
  • Rekam Medis.

3. Kontrol yang efektif atas perlindungan informasi pribadi merupakan komponen penting dari proses tata kelola, manajemen risiko, dan pengendalian suatu organisasi. Dewan merupakan penanggung jawab utama dalam mengidentifikasi risiko-risiko utama tersebut dan mengimplementasikan proses pengendalian yang tepat untuk memitigasinya. Tindakan pengendalian dari Dewan ini mencakup pula penetapan suatu kerangka privasi (privacy framework) beserta pengawasan implementasinya.

4. Aktivitas Audit Internal dapat memberikan kontribusi terhadap GCG dan manajemen risiko organisasi dengan menilai kecukupan identifikasi risiko yang dilakukan oleh manajemen dalam hal tujuan privasi serta kecukupan pengendalian yang dibentuk untuk mengurangi risiko tersebut ke tingkat yang dapat diterima. Auditor internal adalah posisi yang baik untuk mengevaluasi kerangka privasi organisasi dan memberikan rekomendasi yang diperlukan.

5. Aktivitas Audit Internal mengidentifikasi tipe dan ketepatan informasi yang dikumpulkan oleh organisasi yang dianggap pribadi atau privat, metodologi pengumpulan yang digunakan, serta mengidentifikasi apakah organisasi menggunakan informasi dimaksud sesuai dengan peruntukannya dan ketentuan perundang-undangan yang berlaku.

6. Mengingat masalah privasi ini masalah hukum dan sifatnya sangat teknis, Aktivitas Audit Internal perlu memiliki pengetahuan dan kompetensi yang sesuai untuk melakukan evaluasi risiko dan pengendalian dalam kerangka privasi organisasi.

7. Dalam melakukan evaluasi tersebut, auditor internal perlu:

  • Mempertimbangkan hukum, regulasi, dan kebijakan terkait masalah privasi dalam yurisdiksi negara di mana organisasi beroperasi;
  • Berhubungan dengan konsultan hukum internal organisasi untuk menentukan sifat yang tepat dari hukum, regulasi, serta standar dan praktik lainnya yang berlaku untuk organisasi dan negara di mana organisasi beroperasi;
  • Berhubungan dengan spesialis teknologi informasi untuk menentukan bahwa keamanan informasi dan pengendalian perlindungan data ada dan berjalan, serta direview dan dinilai kecukupannya secara teratur;
  • Mempertimbangkan tingkat atau kematangan praktik privasi organisasi. Auditor internal dapat memiliki peran yang berbeda-beda tergantung pada tingkat kematangan tersebut. Auditor dapat memfasilitasi pengembangan dan pelaksanaan program privasi, mengevaluasi penilaian risiko yang dilakukan manajemen, atau memberikan pemastian/assurance terhadap efektivitas kebijakan privasi, praktik, dan pengendaliannya di seluruh penjuru organisasi. Perlu diingat, apabila auditor internal bertanggung jawab dalam mengembangkan dan melaksanakan program privasi, tentunya, independensi auditor internal yang bersangkutan akan terganggu.

Referensi:

  • Practice Advisory 2130-A1-2: Evaluating an Organization’s Privacy Framework (January 2009)

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s