Global IA Standar: Standar 5.2 Perlindungan Informasi

Leave a Comment / By /

Tulisan ini membahas Standar 5.2 Perlindungan Informasi, Prinsip 5 Menjaga Kerahasiaan, Domain II Etik dan Profesionalisme. Sebagaimana dalam Global Internal Audit Standar (GIAS) yang diterbitkan oleh The Institute of Internal Auditors (IIA) pada tahun 2024.

Dalam pelaksanaan tugasnya, auditor internal sering kali memperoleh akses ke berbagai informasi penting, termasuk data rahasia, data pribadi, dan informasi hak milik organisasi. Perlindungan terhadap informasi tersebut menjadi sangat krusial untuk menjaga kepercayaan, integritas, serta mematuhi peraturan yang berlaku. Standar 5.2 Perlindungan Informasi memberikan panduan dan persyaratan agar auditor internal melindungi kerahasiaan, privasi, dan kepemilikan informasi yang diperoleh selama menjalankan jasa audit internal.

Photo by Gemini

Persyaratan

  • Auditor Internal harus menyadari tanggung jawab mereka untuk melindungi informasi dan menjaga kerahasiaan, privasi, serta kepemilikan informasi yang diperoleh selama pelaksanaan jasa audit internal atau hubungan profesional.
  • Memahami dan mematuhi undang-undang, peraturan, kebijakan, dan prosedur terkait kerahasiaan, privasi, dan keamanan informasi yang berlaku di organisasi.
  • Menerapkan pengamanan terhadap:
    • Retensi dan pemusnahan catatan penugasan,
    • Pemberian catatan penugasan kepada pihak internal maupun eksternal,
    • Penanganan atau penyimpanan informasi rahasia yang sudah tidak diperlukan.
  • Tidak mengungkapkan informasi rahasia kepada pihak yang tidak berwenang kecuali terdapat tanggung jawab hukum atau profesional untuk melakukannya.
  • Mengelola risiko pengungkapan informasi secara tidak sengaja.
  • Chief Audit Executive (CAE) harus memastikan bahwa seluruh anggota fungsi audit internal dan pihak yang terlibat mematuhi persyaratan perlindungan informasi yang sama.

Pertimbangan Penerapan

Dalam penerapan standar ini, auditor internal dan CAE perlu memperhatikan hal-hal berikut:

  • Informasi yang diperoleh, digunakan, dan dihasilkan oleh fungsi audit internal harus dilindungi sesuai peraturan perundang-undangan, kebijakan, dan prosedur organisasi.
  • Perlindungan mencakup keamanan fisik dan digital, akses terbatas, penyimpanan aman, serta pemusnahan informasi yang tepat.
  • CAE sebaiknya berkonsultasi dengan penasihat hukum untuk memahami implikasi hukum seperti hak istimewa hukum atau pengacara-klien.
  • Akses terhadap informasi perlu dipantau untuk memastikan metodologi dan kontrol keamanan dijalankan secara konsisten.
  • Perlindungan informasi dapat dilakukan melalui mekanisme berikut:
    • Enkripsi data dan perlindungan kata sandi,
    • Pembatasan distribusi email dan penggunaan media sosial,
    • Kontrol akses fisik terhadap ruang atau perangkat penyimpanan,
    • Pencabutan izin digital serta pemusnahan salinan fisik saat data tidak lagi diperlukan.
  • CAE sebaiknya melakukan penilaian berkala atas kebutuhan akses informasi dan meninjau efektivitas pengendalian yang berlaku.
  • Informasi rahasia yang dilindungi dapat mencakup data gaji individu, catatan personalia, atau informasi strategis perusahaan.

Contoh Bukti Kesesuaian

Bukti penerapan Standar 5.2 dapat berupa:

  • Dokumentasi penerapan metodologi perlindungan informasi.
  • Catatan implementasi mekanisme pembatasan akses informasi dan mitigasi risiko pelanggaran pengendalian.
  • Daftar kehadiran pelatihan tentang perlindungan dan keamanan informasi.
  • Dokumen yang menunjukkan auditor telah menandatangani pernyataan pemahaman atas kebijakan dan peraturan yang berlaku.
  • Dokumentasi distribusi terbatas terhadap kertas kerja dan komunikasi hasil audit.
  • Catatan pengungkapan informasi resmi yang disetujui oleh penasihat hukum  (jika ada), dewan, atau manajemen senior.
  • Perjanjian kerahasiaan yang ditandatangani auditor internal dan pihak terkait.
  • Laporan reviu kinerja yang menunjukkan kepatuhan terhadap kebijakan perlindungan informasi.

Penutup

Standar 5.2 Perlindungan Informasi menegaskan pentingnya peran auditor internal dalam menjaga kerahasiaan, privasi, dan kepemilikan informasi yang diperoleh selama pelaksanaan tugas. Kepatuhan terhadap standar ini tidak hanya melindungi organisasi dari risiko hukum dan reputasi, tetapi juga memperkuat kepercayaan pemangku kepentingan terhadap fungsi audit internal. Dengan menerapkan kebijakan, prosedur, serta pengendalian yang memadai, auditor internal dapat memastikan bahwa informasi yang dikelola tetap aman dan hanya diakses oleh pihak yang berwenang.

Salam sukses bermanfaat…

*) Referensi: GIAS IIA

*) Dielaborasi dengan bantuan GenAI

Related Posts

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top