BAB I

Pendahuluan
Hampir semua perusahaan saat ini tidak dapat berfungsi tanpa sistem
teknologi informasi dan jaringan komunikasi pendukung, penyimpanan data, dan
infrastruktur TI secara keseluruhan. Namun, sistem TI yang sama bisa terkena
berbagai macam kegagalan. Perusahaan perlu memiliki fasilitas dan sumber daya
untuk mengembalikan dan memulihkan operasi TI secara cepat dan teratur. Ini disebut
perencanaan pemulihan bencana, dan penekanannya pada pemulihan sistem
komputer, aplikasi, dan file data.

Perusahaan secara teratur telah menyiapkan prosedur pemulihan bencana

untuk menyimpan versi cadangan file komputer lama dan program di lokasi yang
aman bersamaan dengan proses untuk memulihkan file cadangan tersebut. Sementara
proses backup sebelumnya sering didasarkan pada konfigurasi sistem yang cukup
sederhana, sistem terpadu berbasis jaringan hari ini telah membuat cadangan dan
pemulihan jauh lebih kompleks. Pada tahun-tahun sampai awal abad ini, auditor
internal sering meninjau prosedur backup yang telah ada dan mendapati mereka
lemah. Proses untuk perencanaan kesinambungan bisnis yang kuat seringkali sangat
terbatas dan tidak memiliki pengujian yang memadai. Namun, meski sering tertulis
dalam laporan audit internal selama bertahun-tahun, isu tersebut sering kali tidak
mendapat banyak perhatian manajemen dan audit tingkat tinggi.

11 September 2001, mengubah segalanya. Dua pesawat menabrak dua menara

bertingkat 100 + New York World Trade Center, menyebabkan bangunan runtuh.
Pesawat lain menabrak Pentagon di Virginia. Selain kehilangan kehidupan dan
properti, kejadian ini memicu aktivasi serangkaian rencana pemulihan bencana TI
perusahaan. World Trade Center dihuni dengan sejumlah besar lembaga keuangan
berbasis sistem TI, yang sebagian besar memiliki rencana pemulihan bencana TI yang
memadai, namun banyak dari mereka kemudian ditemukan menginginkannya. Segera
setelah terjadinya bencana 9/11, saluran telepon tersumbat, jembatan ke Manhattan
ditutup, dan maskapai penerbangan ditutup. Banyak rencana pemulihan bencana TI
yang ada tidak berhasil. Hanya beberapa perusahaan yang memiliki rencana
pemulihan bencana yang efektif.
 BAB II
Business Continuity Planning and IT Disaster Recovery
Business Continuity Planning (BCP) sangatlah penting bagi sebuah
perusahaan yang mengandalkan sistem IT, dan auditor internal harus dapat
menemukan area dimana yang memerlukan BCP dan keberadaan IT yang dapat di
perbaiki.
Auditor selalu memerhatikan keberadaan BCP, meskipun mereka melakukan
review terhadap pengendalian umum terhadap server kantor, sistem, operasi, jika
manajemen IT sadar akan beberapa level proses yang kuat, maka auditor biasanya
tidak akan menemukan masalah baru dalam mencari keberadaan prosedur BCP.
Biasanya prosedur tersebut tidak efektif, ketinggalan jaman, dan tidak teruji.
Prosedur BCP biasanya untuk sistem yang kecil, individual dan menjadi
sistem analisa keuangan dalam sistem computer manajer. Tujuannya agar menjamin
keberlanjutan proses. Auditor harus dapat memahami BCP dengan baik.
a) Internal Auditor Centralized Data Center BCP Reviews
Merupakan garis besar langkah langkah yang dapat membantu perusahaan
dalam memulihkan gangguan yang besar, kegagalan peralatan, cuaca, dan lain
lain. Tujuan BCP adalah mengurangi dampak dari hasil operasi, dan membawa
kondisi operasi menjadi normal kembali.
i) BCP Project Management, Risk Analysis, Business Impact Analysis
ii) Emergency Response Plan Operations
Respon respon keadaan darurat harus dilaksanakan dan dipiih dengan cepat,
auditor harus menilai rencana yang telah dibuat. Respon dapat dibagi menjadi
4 seksi :
(1) Aktifitas respon langsung
(2) Investigasi insiden
(3) Koreksi atau restorasi
(4) Pelaporan insiden darurat
b) Client-Server Continuity Planning Internal Audit Procedures
IT client-server dapat memiliki banyak sistem server yang meliputi aplikasi,
database dan operasi web. Karakteristik client-server dimana adanya keterbatasan
dukungan IT namun untuk keberlangsungan operasi sistem IT tersebut kritikal.
Aplikasi client-server biasanya provider dari luar yang memasang. Aktivitas
penting back up data penting dan aplikasi terus menerus.
 c) Continuity Planning for Desktop and Laptop Applications

Banyak perusahaan telah menetapkan beberapa bentuk rencana pemulihan

data akibat bencana untuk alasan bisnis dan pengendalian internal yang baik.
Perusahaan-perusahaan yang membentuk rencana semacam itu dan yang mengikuti
peraturan yang lama tersebut, mereka mungkin tidak memiliki BCP yang efektif di
masa sekarang. Jika perusahaan sudah memiliki BCP yang ada untuk sebagian atau
keseluruhan aktivitas bisnisnya, ini perlu ditinjau ulang untuk menentukan apakah
BCP dapat memenuhi kebutuhan kelangsungan bisnis yang diproyeksikan secara
efektif. BCP harus diperbarui secara berkala. BCP harus memiliki bagian terperinci
mengenai penilaian kejadian dan risiko yang mencakup semua aktivitas bisnis utama
dan mencakup strategi untuk pulih dari semua proses bisnis yang signifikan, termasuk
aplikasi, sumber komunikasi, dan aset TI lainnya. BCP harus berisi petunjuk
terperinci untuk proses pemulihan bisnis, termasuk pemberitahuan dan prosedur
pelaporan proyek secara keseluruhan.
Tujuan prinsip proyek BCP adalah untuk pengembangan dan pengujian
rencana terstruktur dan koheren yang memungkinkan perusahaan memulihkan operasi
bisnis secepat dan seefektif mungkin dari bencana atau keadaan darurat yang tidak
terduga yang mengganggu layanan TI. Tujuan lainnya adalah harus memastikan
bahwa semua karyawan memahami sepenuhnya tugas mereka dalam melaksanakan
BCP, bahwa kebijakan keamanan informasi dipatuhi dalam semua kegiatan yang
direncanakan, dan pengaturan bisnis yang hemat biaya.
BCP harus terdiri dari:
Analisis dampak dan resiko bisnis
Kegiatan yang terdokumentasi yang diperlukan untuk mempersiapkan
perusahaan menghadapi berbagai kemungkinan keadaan darurat
Kegiatan terperinci untuk tahap awal dalam menangani peristiwa bencana
Prosedur untuk mengelola proses pemulihan data, termasuk rencana pengujian
Rencana pelatihan BCP di berbagai tingkat di perusahaan
Prosedur untuk menjaga BCP tetap up to date
Tujuan utama di sini adalah untuk memungkinkan perusahaan mengembalikan
operasi bisnis secepat dan seefektif mungkin setelah peristiwa bencana. Kegiatan ini
membutuhkan partisipasi aktif di berbagai tingkatan. Auditor internal harus
memahami proses BCP untuk membuat rekomendasi yang sesuai untuk meningkatkan
efektivitas BCP perusahaan.
(A) Risiko, Analisis Dampak Bisnis, dan Dampak Potensi Keadaan Darurat
Analisis risiko atau analisis dampak bisnis sangat penting untuk menentukan
aplikasi dan proses apa yang harus disertakan dalam BCP. Di masa lalu, analis
pemulihan dan kadang auditor internal terlalu fokus pada probabilitas subjektif dari
beberapa peristiwa yang terjadi. Artinya, ada diskusi ekstensif yang mencakup
kemungkinan potensial terjadinya tornado, gempa bumi, atau kejadian bencana
lainnya di lokasi pusat data. Analisis tersebut berfokus pada hilangnya pusat data
terpusat namun tidak pada kontinuitas dan pemulihan aplikasi bisnis.BCP harus
mencakup daftar deskriptif dari area bisnis utama perusahaan, yang biasanya
diurutkan sesuai urutan kepentingan bisnis, serta deskripsi singkat tentang proses
bisnis dan ketergantungan utamanya pada sistem, komunikasi, personil, dan data.
Langkah selanjutnya adalah melihat proses bisnis utama tersebut dalam hal
dampak potensi kegagalan proses bisnis. Tampilan 22.5 menunjukkan analisis dampak
bisnis di lembar kerja Excel. Setiap kunci proses bisnis yang terpisah akan tercantum
di kolom di sebelah kiri dengan faktor risiko kegagalan yang dipertimbangkan untuk
setiap proses bisnis utama, seperti Faktor Dampak terhadap Layanan Pelanggan,
Kerugian atau Pelanggan, dan sejenisnya. Idenya di sini adalah menggunakan jadwal
ini untuk menganalisis risiko relatif berbasis waktu dari berbagai kategori eksposur
jika terjadi gangguan bisnis. Dalam masing-masing faktor risiko ini, dampak atau
kekritisan berbagai tingkat kegagalan harus dipertimbangkan. Berbagai faktor, seperti
kegagalan aplikasi yang ditentukan kurang dari dua jam yang akan berdampak pada
layanan pelanggan namun akan menyebabkan hilangnya pelanggan secara minimal
dan pada dasarnya tidak berisiko terkena litigasi yang mungkin terjadi, dapat
dijelaskan pada tabel.
Tabel analisis outage jenis ini dan langkah-langkah yang perlu dilakukan
untuk kembali beroperasi adalah komponen kunci dari apa yang biasa disebut analisis
dampak bisnis (BIA). BIA adalah proses untuk menentukan risiko proses bisnis utama
yang akan berdampak pada operasi bisnis sebagai akibat dari hilangnya layanan IT.
Jenis jadwal ini dapat membantu perusahaan melihat semua aplikasi atau proses
perusahaan yang signifikan dan menilai dampak kegagalan berbasis waktu mereka.
Berdasarkan risiko yang dipaksakan, tim BCP akan mempelajari dan
mendokumentasikan persyaratan pemulihan untuk proses bisnis utama mereka:
prosedur proses bisnis, sistem otomatis, dan perangkat keras ditambah persyaratan
perangkat lunak. Selain itu, tim harus mengevaluasi kembali prosedur cadangan dan
pemulihan yang ada.

(B) Preparing for Possible Contingencies

Ketika tim proyek BCP telah meninjau proses bisnis, menyelesaikan proses
awal, dan menilai risiko bisnis, langkah selanjutnya adalah meminimalkan dampak
potensi keadaan darurat. Tujuannya adalah untuk mengidentifikasi cara mencegah
situasi darurat agar tidak berubah menjadi bencana yang lebih parah lagi bagi
perusahaan karena kurangnya kesiapan. Tim proyek BCP harus berfokus pada
kegiatan yang penting untuk kelangsungan hidup bisnis dan harus mengembangkan
prosedur pencadangan dan pemulihan yang tepat untuk penerapan yang
teridentifikasi.
Auditor internal harus mempertimbangkan peninjauan ulang BCP perusahaan,
karena ulasan semacam itu hampir selalu mendapat nilai tinggi pada setiap latihan
perencanaan kekritisan risiko. Perusahaan memiliki berbagai pilihan untuk
membangun strategi cadangan. Perusahaan yang lebih besar sering memiliki sumber
daya untuk melakukan ini sendiri, walaupun juga banyak yang mengandalkan vendor
luar untuk menyediakan layanan pemrosesan cadangan data bagi perusahaannya.
Suatu perusahaan pada umumnya melakukan salah satu dari strategi ini:
Fully mirrored recovery operations. Pendekatan ini membutuhkan suatu
perangkat yang disebut situs fully mirrored duplicate dengan keterkaitan
antara situs langsung dan cadangan, fasilitas alternatif cermin. Namun,
perangkat keras dan perangkat lunak pengelolaan penyimpanan khusus hampir
selalu merupakan pilihan termahal. Strategi fully mirrored memberikan tingkat
pemulihan terbaik.

Switchable hot site facility. Di sini pengaturan dibuat dengan vendor yang
 akan menjamin untuk memelihara situs yang identik dengan komunikasi agar
memungkinkan pengalihan semua operasi pengolahan data ke situs ini dalam
jangka waktu yang disepakati, biasanya kurang dari satu sampai dua jam.

Traditional hot site. Di sini perusahaan melakukan kontrak dengan vendor

pemulihan akibat bencana dengan situs yang kompatibel untuk memungkinkan
peralihan operasi TI ke situs tersebut dalam jangka waktu yang disepakati,
biasanya kurang dari delapan jam setelah pemberitahuan.

Cold site facility. Ini adalah pendekatan yang lebih sering ketika situs
pemulihan akibat bencana dipandang sangat mahal dan manajemen
perusahaan TI menginginkan beberapa solusi yang mungkin. Strategi tersebut
melibatkan pembuatan situs darurat agar perusahaan dapat mulai memproses
dan juga pengaturan siaga dengan vendor untuk memberikan konfigurasi
perangkat keras minimum.

Relocate and restore. Ini adalah level terlemah strategi backup. Ini
melibatkan identifikasi lokasi, perangkat keras dan periferal yang sesuai, dan
pemasangan sistem dan perangkat lunak cadangan dan data setelah keadaan
darurat telah terjadi. Beberapa manajer telah bersalah karena menganjurkan
pendekatan ini. Mereka telah mencadangkan perangkat lunak dan data mereka
tanpa rencana tegas selain membuat pengaturan jika terjadi sesuatu. Strategi
ini tidak memadai untuk proses bisnis saat ini.
Tidak ada strategi. Hampir tidak pernah terdengar hari ini, beberapa
perusahaan masih belum memiliki strategi backup dan pemulihan untuk
sumber daya dan operasi TI mereka. Pendekatan ini membawa risiko tertinggi
dari semua. Jika terjadi bencana, strategi ini biasanya berakhir dengan
perusahaan yang gulung tikar. Auditor internal yang menghadapi situasi ini
harus membuat risiko bisnis yang kuat ini menjadi peringatan bagi komite
audit.

BCP harus memiliki tujuan prioritas tinggi untuk memberikan tingkat layanan
yang memadai kepada semua pelanggan selama suatu keadaan darurat. Kegiatan
layanan pelanggan yang kritis harus disertakan dalam BCP, diurutkan dalam urutan
prioritas dengan langkah-langkah restorasi yang diuraikan dalam beberapa tingkat
detail. Tidak peduli strategi cadangan apa yang digunakan, file dan dokumen penting
harus disimpan di lokasi yang aman di luar lokasi. Tim pemulihan bencana dan tim
pemulihan bisnis harus ditunjuk dan dilatih, dengan tes berkala untuk memastikan
keakraban mereka yang sedang berlangsung ketika proses sedang berjalan. Anggota
tim BCP tertentu harus tahu cukup banyak tentang rencana tersebut sehingga mereka
akan bereaksi hampir secara naluriah jika terjadi situasi darurat berat. Agar orang
bertindak tanpa harus membalik rencana yang diterbitkan untuk menentukan langkah
selanjutnya, anggota perusahaan harus dilatih. Tim proyek BCP harus meluncurkan
program pelatihan perencanaan kesinambungan bisnis.

Keempat tingkat pelatihan BCP ini disarankan:

Level 1: Ikhtisar manajemen umum. Pelatihan harus diberikan kepada berbagai orang,
dimulai dengan komite audit, untuk menjelaskan keseluruhan strategi pemulihan jika
terjadi kejadian darurat dan untuk menggambarkan harapan tentang bagaimana
perusahaan akan beroperasi di lingkungan bisnis yang berkesinambungan.
Level 2: Pengguna sistem aplikasi utama. Pelatihan di sini harus difokuskan pada
prosedur pemulihan untuk aplikasi kritis. Pelatihan ini harus berorientasi pada aplikasi
kritis yang ditunjuk dan bagaimana rencana mereka untuk beroperasi dan harus
beroperasi dalam mode analisis kasus.
Level 3: Operasi dan sistem staf TI. Staf TI, termasuk mereka yang memiliki
tanggung jawab atas operasi dan sistem infrastruktur, biasanya mereka yang paling
terpengaruh oleh acara bisnis yang berkesinambungan. Dalam beberapa kasus,
pelatihan ini dapat didasarkan pada tes BCP yang sebenarnya. Pada orang lain,
simulasi tipe permainan mungkin efektif.
Level 4: Anggota tim BCP. Tim yang membangun dan meluncurkan BCP harus
memiliki keakraban terbesar dengan prosedur BCP yang telah ditetapkan. Meski
begitu, pengetahuan mereka perlu disegarkan dan diperbarui secara berkelanjutan.
Program pelatihan yang efektif merupakan langkah terakhir untuk membangun BCP
yang efektif dan menyeluruh.
 Perusahaan dan fungsi TInya tidak dapat secara sembarangan menerbitkan dan
mengeluarkan BCP untuk area proses bisnis dan aplikasi. Harus ada buy-in yang kuat
dari pemilik aplikasi serta pemahaman bersama tentang harapan dan pengiriman
layanan. Jika seorang eksekutif senior di departemen pengguna tertentu merasa bahwa
beberapa proses bisnisnya harus selalu beroperasi dengan kemampuan full backup,
departemen tersebut harus bernegosiasi dengan TI untuk menyediakan tingkat layanan
kontinuitas bisnis tersebut; Departemen juga harus mengenali biaya tambahan di
setiap perangkat keras dan perangkat lunak tambahan yang dibutuhkan untuk
menyediakan kemampuan itu. Sebuah transaksi harus ditulis terlebih dahulu di sistem
utama dan database-nya kemudian disalin ke fasilitas backup. Selalu ada penundaan,
mulai dari file backup mingguan atau harian hingga pendekatan sistem real-time yang
hampir segera. Pendekatan manajemen penyimpanan mirroring yang lebih baru saat
ini dapat memberikan backup segera
Untuk membuat kerja BCP antara TI dan unit bisnis, mereka harus bersama-
sama menegosiasikan harapan pemulihan mereka melalui formal perjanjian tingkat
layanan (SLA). SLA adalah kontrak antara pemilik proses bisnis dan penyedia
layanan TI untuk tujuan layanan tertentu. SLA dibahas sebagai bagian dari praktik
pemberian layanan terbaik infrastruktur informasi (ITIL) dan sangat penting untuk
kegiatan kontinuitas bisnis. SLA menggambarkan tingkat layanan kontinuitas bisnis
yang diharapkan dan dijanjikan dan merupakan dasar untuk membangun BCP yang
efektif.
Semua organisasi TI harus membentuk SLA internal, namun yang paling
sering ditemukan adalah perusahaan melakukan kontrak untuk layanan penyedia TI
dari luar. Perusahaan membayar untuk layanan ini berdasarkan tingkat transaksi dan
mengenali penyesuaian jika standar waktu penyelesaian yang diharapkan tidak
terjawab. Pengaturan SLA serupa antara pengguna layanan dan TI harus dilakukan di
dalam perusahaan, namun biaya internal biasanya didasarkan pada jumlah anggaran
internal. Untuk SLA yang terkait dengan BCP, fungsi bisnis pengguna yang
diuntungkan akan menentukan kebutuhan cadangannya dan akan menerima biaya
anggaran periodik untuk sistem informasi dan layanan terkait tersebut. Jika target
SLA yang dijanjikan tidak terjawab, kredit anggaran akan dikeluarkan. SLA
menggambarkan komitmen fungsi TI untuk menyediakan layanan kesinambungan
bisnis yang disepakati. Bila area bisnis memiliki kebutuhan khusus, SLA khusus atau
unik harus dibuat. Auditor internal harus menyadari pentingnya SLA saat meninjau
perencanaan kesinambungan bisnis dan BCP perusahaan.

Saat meninjau sistem atau kontrol aplikasi, auditor internal biasanya

menanyakan apakah file-file kunci dicadangkan secara reguler. Namun, banyak
prosedur backup sistem untuk mendownload salinan transaksi penting tidak efektif di
dunia sekarang dari arus konstan transaksi real-time. Ketika sistem dimatikan karena
keadaan darurat, Anda perlu kembali ke backup database terbaru sebagai tolak ukur
atau titik awal dan kemudian memproses kembali semua transaksi yang dikirimkan
setelah cadangan terakhir sampai saat ini. Namun, ketika proses bisnis sangat aktif,
seperti untuk perdagangan atau pemesanan dengan volume tinggi, hampir tidak
mungkin untuk terjebak dalam memproses ulang transaksi masa lalu tanpa mematikan
aplikasi yang sebenarnya.
Mandat legal dan peraturan untuk kelangsungan bisnis menjadikan prioritas
tinggi ini menjadi prioritas utama, dan perusahaan perlu memindahkan dan menyalin
datanya agar dapat memulihkan operasi bisnis yang penting dengan cepat jika terjadi
kehilangan data, korupsi data, atau bencana. Banyak kemajuan teknologi baru selama
beberapa tahun terakhir memungkinkan backup yang cepat dan sering. Sebuah
teknologi yang dikenal sebagai RAID (Rapid Array of Independent Disks), misalnya,
sering digunakan; Data disalin secara simultan ke beberapa lokasi pada satu atau lebih
file disk untuk menciptakan redundansi. Kami menemukan RAID pada tingkat yang
sangat dasar pada komputer desktop dengan menggunakan sistem operasi Microsoft
XP, di mana, jika terjadi kegagalan daya atau sejenisnya, versi file disk yang
dipulihkan dipertahankan. Meskipun tidak membantu dalam disk crash total,
teknologi ini mungkin menyediakan tingkat cadangan dan pemulihan yang paling
efisien untuk sistem komputer desktop.

Mungkin strategi backup yang paling efisien saat ini adalah melalui apa yang
disebut mirroring. Mirroring adalah seperti namanya. Jika kita meletakkan dua cermin
kaca di atas meja di depan kita pada sudut 45 derajat, saat melihat mereka, kita akan
melihat dua gambar diri kita sekaligus. Mencerminkan data mencapai hasil yang
sama. Menekan tombol enter untuk transaksi komputer segera menuliskannya ke tiga
perangkat, yang asli dan cerminnya. Proses ini melibatkan pembuatan disk
"bayangan" yang diperbarui secara paralel dengan disk utama, menyediakan salinan
real-time atau hampir real-time dari disk utama. Pencetakan lokal memberikan
perlindungan data tingkat pertama dengan disk cermin yang terpasang pada sistem
lain di tempat lain, seringkali melalui koneksi Internet. Jika terjadi kehilangan data
pada disk utama, data dapat diambil secara mulus dari disk cermin.
Mirroring adalah metode baru dan sedang berkembang untuk pengambilan
data cadangan. Auditor internal tentu tidak perlu menjadi ahli dalam aplikasi atau
penggunaan metode backup retrieval, auditor internal hanya harus menyadari bahwa
prosedur cadangan instan semacam itu tersedia dan dapat dipasang untuk memperkuat
kelangsungan bisnis.
Audit internal seharusnya bisa memainkan peran penting di dalam
pengembangan BCP dan proses testing perusahaan. Audit internal mungkin dapat
menawarkan untuk mengobservasi dan memberikan pendapat terhadap hasil tes BCP,
menyarankan scenario pengujian, atau menawarkan konsultasi dalam proses
pengembangan BCP.

BAB III
Penutup
3.1 Kesimpulan
Semakin berkembangnya teknologi, perusahaanpun semakin tergantung
terhadap sistem bisnis otomatis yang mereka miliki, dan pentingnya prosedur untuk
menjaga operasi tersebut dapat berlanjut setelah insiden darurat atau bencana semakin
meningkat. Dikarenakan staf perusahaan tidak dapat melakukan proses backup
dengan manual secara keseluruhan. Dan sistem IT sekarang berhubungan erat dengan
complex in-house dan internet-based database. Sehingga prosedur prosedur lama
tidak lagi dapat diaplikasikan. Dikarenakan hal tersebut proses mirroring yang
dibahas diatas ditujukan untuk BCP. Dan aturan lama seperti Disaster Recovery juga
telah berganti dikarenakan kita tidak dapat lagi memindahkan lokasi operasi IT pada
lokasi backup dan memulai proses dan berasumsi perusahaan dapat kembali berjalan.
Proses harus fokus dalam memulihkan operasi bisnis sehubungan dengan gangguan
layanan IT. Perusahaan harus dapat memiliki kemampuan untuk mengembalikan
semua proses dalam operasi dengan delay seminim mungkin. Internal auditor
memiliki peran penting dalam membantu manajemen untuk mengimplementasikan
proses BCP yang efektif dan secara berkala mengukur dan menilai pengendalian dan
pengoperasian. Meskipun banyak variasi implementasi mana yang efektif, internal
auditor setidaknya harus memiliki pengetahuan akan kebutuhan BCP dan bagaimana
menilai proses tersebut,

3.2 Saran
Perusahaan yang memiliki ketergantungan terhadap sistem IT yang dimiliki
dalam menjalankan operasi suatu perusahaan, sangatlah penting sadarnya akan bahaya
bencana maupun darurat yang dapat menghentikan sistem dan mengganggu
keberlanjutan bisnis. Sehingga perusahaan harus memiliki prosedur BCP dimana
merupakan langkah langkah prosedur yang diambil oleh perusahaan ketika ada
terjadinya insiden darurat maupun bencana, sehingga operasi bisnis tidak berhenti dan
dapat dikembalikan dan berjalan normal dengan delay seminimum mungkin. BCP
merupakan hal yang penting didalam perusahaan dan harus dinilai dan dievaluasi oleh
auditor internal, dikarenakan fungsi BCP adalah meminimalisir dampat yang
ditimbulkan oleh insiden darurat maupun bencana terhadap proses bisnis perusahaan.
Internal auditor harus memiliki pengetahuan dalam pengembangan BCP dan
penilaian BCP, dimana fungsi auditor internal untuk membantu manajemen mencapai
tujuan yang telah ditetapkan.