Manajemen Aset Operasi bisnis Keberlanjutan

Apa itu audit kepatuhan?

Seorang wanita menggunakan tablet berdiri di balkon yang menghadap ke lantai pabrik.

Penyusun

Alice Gomstyn

Staff Writer

IBM Think

Alexandra Jonker

Staff Editor

IBM Think

Apa itu audit kepatuhan?

Audit kepatuhan adalah peninjauan yang tidak memihak atas aktivitas dan catatan organisasi untuk memverifikasi kepatuhan terhadap kebijakan, standar, dan peraturan internal maupun eksternal. Hal ini dapat mencakup bidang seperti keamanan siber, privasi data, pelaporan keuangan, serta kesehatan dan keselamatan.

 

Audit kepatuhan sering dilakukan sebagai bagian dari sistem manajemen kepatuhan organisasi. Sistem manajemen kepatuhan (CMS) adalah sistem terintegrasi yang digunakan untuk memenuhi persyaratan peraturan, kebijakan internal, dan standar industri.

Selain audit kepatuhan reguler, CMS yang efektif juga dapat mencakup dewan direksi yang berfokus pada menciptakan budaya kepatuhan di perusahaan; kepala pejabat kepatuhan atau manajer untuk menetapkan atau menerapkan kebijakan dan prosedur kepatuhan; dan pemantauan kepatuhan, yang memerlukan operasi pengawasan untuk mengidentifikasi area ketidakpatuhan.

Praktik audit memperoleh posisi yang penting dalam masyarakat selama Revolusi Industri Pertama, seiring dengan perkembangan korporasi dan upaya investor untuk memastikan kesehatan keuangan mereka melalui audit atas catatan keuangan. Pada pertengahan abad ke-19, Inggris menetapkan undang-undang yang mewajibkan audit perusahaan, membantu Lanjutkan pengembangan peraturan kepatuhan yang Initiate hari ini.1

Persyaratan kepatuhan saat ini tidak hanya terbatas pada pemeriksaan laporan keuangan, tetapi juga mencakup berbagai bidang, seperti perlindungan informasi sensitif atau kepatuhan suatu organisasi terhadap peraturan lingkungan.

Mengapa audit kepatuhan itu penting?

Untuk memahami pentingnya audit kepatuhan, sebaiknya terlebih dahulu mempertimbangkan lingkungan kepatuhan saat ini.

Di seluruh dunia, pemerintah dan organisasi industri memberlakukan berbagai persyaratan kepatuhan untuk melindungi konsumen, pekerja, investor, dan pemangku kepentingan lainnya. Pelanggaran terhadap persyaratan ini dapat mengakibatkan penalti besar, sanksi, dan kerusakan reputasi.

Misalnya, perusahaan yang terbukti melakukan pelanggaran berat terhadap Peraturan Perlindungan Data Umum Uni Eropa dapat menghadapi denda hingga 20 juta EUR  atau 4% dari pendapatan tahunan mereka di seluruh dunia, mana yang lebih tinggi.

Audit kepatuhan dapat membantu organisasi mencapai tujuan bisnis mereka sambil menghindari konsekuensi mahal seperti itu. Mereka dapat memberdayakan organisasi untuk menentukan apakah mereka mengikuti praktik terbaik manajemen risiko mereka sendiri, mengidentifikasi apakah mereka berisiko tidak mematuhi peraturan, dan mengungkapkan kapan tindakan korektif diperlukan. Audit juga memberikan jaminan kepada pemangku kepentingan mengenai upaya kepatuhan terhadap peraturan oleh organisasi.

Audit internal vs audit eksternal: Apa bedanya?

Istilah audit kepatuhan sering digunakan untuk merujuk secara khusus pada audit eksternal yang dilakukan oleh auditor eksternal independen. Namun, audit internal—yang dilakukan oleh auditor internal atau tim audit di dalam perusahaan—juga dapat termasuk dalam kategori audit kepatuhan.

Audit kepatuhan internal sering kali berfokus pada kepatuhan perusahaan terhadap kebijakan dan prosedur internalnya, serta peningkatan efisiensi dalam proses bisnis dan aktivitas manajemen risiko. Audit eksternal biasanya dilakukan untuk meyakinkan pemangku kepentingan eksternal bahwa bisnis mematuhi standar eksternal, seperti peraturan pemerintah.

Dalam kedua kasus tersebut, proses audit harus dilakukan secara imparsial agar hasil (temuan dan rekomendasi yang tertuang dalam laporan audit) dapat digunakan untuk membantu organisasi dan petugas kepatuhan dalam mempertahankan kepatuhan berkelanjutan dan mengidentifikasi potensi risiko kepatuhan.

Apa saja jenis audit kepatuhan yang berbeda?

Prosedur audit dapat menilai keselarasan perusahaan dengan standar kepatuhan untuk berbagai bidang dan disiplin ilmu. Yaitu antara lain:

  • Cyber security
  • Privasi data dan perlindungan
  • Pelaporan keuangan dan keamanan
  • Lingkungan, Sosial dan Tata Kelola (ESG)
  • Kesehatan dan Keselamatan

Keamanan siber

Audit terhadap praktik keamanan siber organisasi membantu memastikan adanya langkah yang tepat untuk mengelola dan merespons ancaman siber, mulai dari phishing hingga malware.

Salah satu standar yang umum digunakan untuk audit keamanan siber adalah US National Institute of Standards and Technology Cybersecurity Framework (NIST CSF). Standar ini memberikan panduan dan praktik terbaik yang dapat diikuti oleh organisasi sektor swasta untuk meningkatkan keamanan informasi dan manajemen risiko keamanan siber. Kerangka kerja ini mencakup berbagai tindakan keamanan siber termasuk penilaian risiko, manajemen identitas, kontrol akses, perencanaan respons dan kegiatan pemulihan.

Standar utama lain yang mendasari audit keamanan siber adalah ISO/IEC 27001, juga dikenal sebagai ISO 27001. Standar keamanan informasi global, yang dikembangkan secara bersama-sama oleh Organisasi Internasional untuk Standardisasi (ISO) dan Komisi Elektroteknika Internasional (IEC), merupakan serangkaian persyaratan untuk sistem manajemen keamanan informasi di dalam suatu organisasi. Pada dasarnya, hal ini menyediakan kerangka kerja bagi organisasi untuk mengelola dan melindungi data sensitif serta informasi lainnya, sehingga mengurangi risiko pelanggaran data, serangan siber, dan insiden keamanan lainnya.

Selain itu, ada audit keamanan siber yang dirancang khusus untuk penyedia layanan. Laporan Service Organization Control (SOC) adalah laporan pihak ketiga independen yang diterbitkan oleh penilai yang disertifikasi oleh American Institute of Certified Public Accountants (AICPA), yang membahas risiko terkait dengan layanan yang dialihdayakan. Laporan SOC 2 mengevaluasi kontrol internal yang telah diterapkan oleh organisasi untuk melindungi data milik pelanggan dan memberikan perincian tentang sifat kontrol internal tersebut.

Privasi dan perlindungan data

Meskipun audit keamanan siber umumnya mencakup pemeriksaan terhadap langkah-langkah perlindungan data suatu organisasi, audit yang didasarkan pada undang-undang dan peraturan tertentu fokus secara khusus pada bidang ini. Metode ini mencakup audit yang mematuhi undang-undang perlindungan informasi konsumen dan privasi data kesehatan.

Undang-undang yang berlaku secara umum bagi konsumen meliputi Peraturan Perlindungan Data Umum Uni Eropa (GDPR) dan California Consumer Privacy Act (CCPA). Untuk kepatuhan GDPR, perusahaan diwajibkan untuk menggunakan metode yang sah dan disetujui secara hukum untuk mentransfer dan memproses data pribadi; melindungi data pribadi saat disimpan dan saat ditransmisikan; serta menghormati hak-hak warga negara UE—seperti yang ditetapkan oleh undang-undang—terkait pengumpulan, penggunaan, dan kepemilikan data pribadi.

Untuk kepatuhan CCPA, perusahaan harus mematuhi pedoman yang mencakup beberapa jenis data pribadi untuk penduduk California, termasuk tanggal lahir, nomor driver's license, nomor paspor, informasi rekening bank, dan nomor kartu kredit atau kartu debit.

Salah satu jenis kunci audit kepatuhan dalam privasi kesehatan adalah audit Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA). Entitas yang dicakup oleh undang-undang AS ini—termasuk penyedia layanan kesehatan seperti dokter dan rumah sakit, serta perusahaan asuransi kesehatan—dan rekan bisnis afiliasinya diharuskan untuk menerapkan dan memelihara serangkaian kontrol teknis, administratif dan fisik yang dirancang untuk melindungi informasi kesehatan yang dilindungi (PHI).

Pelaporan keuangan dan keamanan

Audit laporan keuangan organisasi dan kontrol keamanan dapat mengevaluasi kepatuhan mereka terhadap undang-undang seperti Sarbanes-Oxley Act (SOX) dan peraturan industri seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).

SOX Act adalah undang-undang AS yang bertujuan mencegah penipuan perusahaan. Perusahaan publik harus menerapkan kontrol internal untuk melindungi data keuangan dari gangguan, mengajukan laporan rutin ke Securities and Exchange Commission (SEC) yang membuktikan efektivitas kontrol keamanan dan keakuratan pengungkapan keuangan, serta lulus audit independen tahunan atas laporan keuangan dan kontrol mereka.

PCI DSS adalah serangkaian persyaratan keamanan untuk melindungi data pemegang kartu—seperti nomor rekening utama (PAN), nama, tanggal kedaluwarsa, kode layanan—serta informasi sensitif lainnya sepanjang siklus hidupnya.

Kepatuhan PCI DSS memerlukan pelaporan tahunan oleh merchant dan penyedia layanan, dan pelaporan tambahan setelah perubahan signifikan pada lingkungan data pemegang kartu. Memvalidasi kepatuhan juga melibatkan penilaian berkelanjutan terhadap postur keamanan organisasi, dan remediasi berkelanjutan untuk mengatasi kesenjangan dalam kebijakan, teknologi, atau prosedur keamanan.

Lingkungan, sosial, dan tata kelola (ESG)

Audit lingkungan, sosial, dan tata kelola (ESG) dapat menentukan apakah perusahaan mematuhi undang-undang dan kerangka kerja sukarela yang terkait dengan dampak lingkungan dan sosial. Ini termasuk Arahan Pelaporan Keberlanjutan Perusahaan (CSRD) Uni Eropa, peraturan Badan Perlindungan Lingkungan AS, Inisiatif Pelaporan Global (GRI), dan Standar Dewan Standar Akuntansi Keberlanjutan (SASB).

Kesehatan dan Keselamatan

Audit keselamatan mengevaluasi apakah organisasi mematuhi aturan dan regulasi yang dirancang untuk melindungi kesehatan dan keselamatan pekerja. Standar utama termasuk ISO 45001, standar kesehatan dan keselamatan global yang dikembangkan oleh Organisasi Internasional untuk Standardisasi, dan, di AS, aturan keselamatan tempat kerja yang ditetapkan dan ditegakkan oleh Administrasi Keselamatan dan Kesehatan Kerja (OSHA). 

Apa saja langkah audit kepatuhan?

Sifat audit kepatuhan dapat bervariasi menurut jenis audit, program kepatuhan, organisasi, dan industri. Namun, ada langkah-langkah yang biasanya diambil auditor kepatuhan selama proses audit kepatuhan. Yaitu antara lain:

Langkah 1: Merencanakan audit

Tentukan ruang lingkup audit, tujuannya, dan sumber daya yang dibutuhkan. Daftar periksa audit kepatuhan yang memetakan proses dapat terbukti bermanfaat.

Langkah 2: Meninjau dokumen

Periksa kebijakan dan prosedur perusahaan serta dokumen-dokumen lain yang relevan, seperti berbagai catatan dan kontrak.

Langkah 3: Melakukan penelitian tambahan

Wawancara karyawan dan/atau manajer. Jika relevan, amati operasi dan proses internal.

Langkah 4: Menyusun laporan audit kepatuhan

Dokumentasikan hasil, temuan, dan rekomendasi untuk perbaikan berkelanjutan atau tindakan korektif.

Langkah 5: Terlibat dalam tindak lanjut

Memantau kemajuan pelaksanaan tindakan atau tindakan yang direkomendasikan.

Apa itu perangkat lunak kepatuhan?

Solusi perangkat lunak dapat membantu organisasi memantau kepatuhan terhadap persyaratan yang berlaku dan mempersiapkan audit kepatuhan. Solusi terkemuka menawarkan kemampuan seperti:

Pemantauan

Pemantauan real-time untuk keamanan data dan postur regulasi.
Dasbor

Dasbor komprehensif memberikan pandangan terpadu tentang aktivitas kepatuhan.
Otomatisasi

Pencatatan data otomatis dan pelaporan membantu mempermudah audit kepatuhan.
Templat

Templat siap pakai yang diperbarui secara berkala mempermudah pengaturan kebijakan kepatuhan.
Solusi terkait
Solusi keamanan dan perlindungan data

Lindungi data di berbagai lingkungan, penuhi peraturan privasi, dan sederhanakan kompleksitas operasional.

         Jelajahi solusi keamanan data
    IBM® Guardium

    Temukan IBM Guardium, rangkaian perangkat lunak keamanan data yang melindungi data sensitif di lokasi dan cloud.

     

             Jelajahi IBM Guardium
      Layanan keamanan data

      IBM menyediakan layanan keamanan data yang komprehensif untuk melindungi data perusahaan, aplikasi, dan AI.

             Jelajahi layanan keamanan data
      Ambil langkah selanjutnya

      Lindungi data organisasi Anda di seluruh hybrid cloud dan sederhanakan persyaratan kepatuhan dengan solusi keamanan data.

             Jelajahi solusi keamanan data Pesan demo langsung
      Catatan kaki

      1 Why change over time the fundamental purpose of auditing?” International Journal of Business and Management Invention. September 2023.