Auditor harus memverifikasi bahwa rencana pemulihan bencana manajemen memadai dan layak
dilakukan untuk mengatasi bencana yang dapat menghambat pengorganisasian sumber daya
komputasi.
Prosedur Audit (Audit Procedures)
Dalam memverifikasi DRP, manajemen adalah solusi yang realistis untuk menangani bencana,
pengujian berikut dapat dilakukan.
Site Backup. Auditor harus mengevaluasi kecukupan pengaturan situs cadangan.
Ketidakcocokan sistem dan sifat manusia sangat mengurangi efektivitas mutual aid pact. Auditor
harus skeptis dari pengaturan tersebut karena dua alasan. Pertama, kecanggihan sistem komputer
dapat membuat sulit untuk menemukan pasangan potensial dengan konfigurasi yang kompatibel.
Kedua, sebagian besar perusahaan tidak memiliki kelebihan kapasitas yang diperlukan untuk
mendukung pasangan yang terkena bencana sementara mereka juga memproses pekerjaan mereka
sendiri. Pilihan yang lebih layak tapi mahal adalah empty shell dan recovery operation centre. Ini
juga harus diperiksa dengan teliti. Jika organisasi klien menggunakan metode empty shell, maka
auditor perlu memverifikasi keberadaan kontrak yang sah dengan vendor hardware yang menjamin
pengiriman perangkat keras komputer yang dibutuhkan dengan delay minimal setelah bencana. Jika
klien adalah anggota dari ROC, auditor harus peduli tentang jumlah anggota ROC dan dispersi
geografis mereka. Bencana luas dapat menciptakan permintaan yang tidak bisa dipenuhi oleh
fasilitas ROC.
Critical Application List. Auditor meninjau daftar aplikasi kritis.
Kehilangan aplikasi dapat mengakibatkan kegagalan untuk pemulihan. Dengan menyertakan aplikasi
yang tidak diperlukan dalam daftar kritis untuk mencapai kelangsungan hidup jangka pendek, maka
hal ini dapat menjadi kesalahan dalam kelalaian memprioritaskan sumber daya dan mengalihkan
perhatian dari tujuan utama selama periode pemulihan.
Software Backup. Auditor harus memverifikasi bahwa salinan aplikasi dan sistem operasi kritis
disimpan off-site. Auditor juga harus memverifikasi antara aplikasi yang saat ini yang disimpan off-
site dengan membandingkan nomor versi aplikasi dengan orang-orang yang menggunakan aplikasi.
Data backup. Auditor harus memverifikasi bahwa file data penting yang didukung sesuai dengan
DRP.
Back up Supplies, Documents, and Documentation. Dokumentasi sistem, perlengkapan, dan
dokumen sumber yang diperlukan untuk memproses transaksi penting harus didukung dan disimpan
off-site. Auditor harus memverifikasi bahwa jenis dan jumlah barang yang ditentukan dalam DRP
seperti saham, faktur, pesanan pembelian, dan bentuk-bentuk tujuan khusus ada di lokasi yang
aman.
Disaster Recovery Team. DRP harus jelas mencantumkan nama, alamat, dan nomor telepon darurat
dari anggota tim pemulihan bencana. Auditor harus memverifikasi bahwa anggota tim adalah
karyawan saat ini dan menyadari tanggung jawab tugas mereka.
Gambar 2.8 menggambarkan bagaimana sebuah SAS 70 bekerja dalam kaitannya dengan vendor,
klien perusahaan, dan auditor mereka masing-masing. Vendor Outsourcing melayani klien 1, 2, 3,
dan 4 dengan berbagai layanan IT. Pengendalian internal atas jasa outsourcing berada di lokasi
penjual. Mereka diaudit oleh auditor vendor, yang mengungkapkan pendapat dan mengeluarkan
laporan SAS 70 tentang kecukupan kontrol. Setiap perusahaan klien diaudit oleh auditor yang
berbeda A, B, C, dan D, masing-masing, yang sebagai bagian dari audit masing-masing,
mengandalkan SAS 70 laporan vendor dan dengan demikian tidak dipaksa untuk individual menguji
kontrol vendor. Mengingat bahwa vendor mungkin memiliki ratusan atau bahkan ribuan klien,
pengujian individu di bawah SOX akan sangat mengganggu operasi vendor, mahal untuk klien, dan
tidak praktis.
Layanan penyedia auditor menerbitkan dua jenis laporan SAS 70 . Tipe I melaporkan kurang ketatnya
pengendalian kontrol dan komentar hanya pada kesesuaian kontrol desain. Tipe II berjalan lebih
lanjut dan menilai apakah kontrol beroperasi efektif berdasarkan tes yang dilakukan oleh auditor
organisasi vendor. Sebagian besar dari SAS 70 laporan yang dikeluarkan adalah Tipe II. Karena Pasal
404 memerlukan eksplisit pengujian kontrol.