TUGAS RINGKASAN MATERI KULIAH (RMK)

PENGAUDITAN KEPATUHAN DAN PENGENDALIAN INTERNAL

MATERI 1
CH 23, CH 24, DAN CH 25

NAMA ANGGOTA:
CELIA MAKKIYATUL BERLINNA 464849
SELVIN MANUPUTTY 464885
OKTA AMELIANA SIPAYUNG 464872

MAGISTER AKUNTANSI
FAKULTAS EKONOMIKA DAN BISNIS
UNIVERSITAS GADJAH MADA
2021
 CHAPTER 23
KEAMANAN SIBER, RISIKO PERETASAN, DAN KONTROL PRIVASI
23.1 Dasar Keamanan Jaringan Hacking dan IT
Hacking merupakan suatu pelanggaran sistem oleh seseorang yang mencari dan
mengeksploitasi kelemahannya dalam sistem computer atau jaringan computer.
Auditor internal harus memiliki pemahaman tentang prosedur keamanan TI.
Kurangnya prosedur pengendalian internal yang tepat, perangkat keras sistem TI
perusahaan, perangkat lunak, dan data mungkin menghadapi salah satu atau keempat
kelas dasar ancaman TI berikut:
1. Interupsi. Asset sistem dapat menjadi hilang, tidak tersedia, atau tidak dapat
digunakan melalui penghancuran program yang berbahaya, pencurian
komponen perangkat keras, atau penggunaan sumber daya jaringan yang tidak
benar.
2. Intersepsi. Pihak luar, seperti orang, program, atau computer sistem
pembrontak, dapat memperoleh akses ke file TI atau asset lainnya. Interupsi
seringkali dapat terjadi dengan sedikit jejak dan bisa dalam jangka pendek
sulit dideteksi.
3. Modifikasi. Penyusup tidak sah tidak hanya mengakses tetapi juga membuat
perubahan data, program, atau bahkan komponen perangkat keras. Sering
terdeteksi dengan cepat, dan dapat terus berlangsung tanpa disadari.
4. Fabrikasi. Ancaman ini terjadi ketika orang yang tidak berwenang
memasukkan objek palsu ke dalam lingkungan TI.
Auditor internal mungkin tidak memiliki ketrampilan untuk menilai risiko keamanan
di banyak lingkungan TI dan untuk membuat rekomendasi teknis, tetapi auditor
internal harus memiliki pemahaman konsep dasar CBOK keamanan computer untuk
digunakan dalam berbagai tinjauan audit internal.
23.2 Konsep Keamanan Data

Gambar diatas mengilustrasikan beberapa konsep keamanan data dasar, menunjukkan

empat cara seharusnya data TI berguna untuk memikirkan keamanan data. Dalam
beberapa kasus, data mungkin membutuhkan beberapa perlindungan kerahasiaan
dasar. Sebagai pemeran menggambarkan, penekanan control di sini bukan pada
 ancaman kerahasiaan (confidentially) dan integritas, sebaliknya control ketersediaan
(availability) diperlukan untuk melindungi program dan data. Pada kasus secure data
atau mengamankan data, menggabungkan tiga strategi lainnya ke dalam lingkungan
data yang aman. Auditor internal harus memikirkan keamanan computer dalam tiga
konsep yaitu kerahasiaan, ketersediaan, dan integritas.
23.3 Pentingnya Kata Sandi TI
Saat meninjau control internal aplikasi TI, auditor internal harus selalu cari
penggunaan kata sandi yang efektif. berikut ini termasuk praktik terbaik dalam
penggunaan TI:
 Kata sandi harus susah ditebak oleh orang lain
 Kata sandi harus sering di ubah
 Proses harus ada untuk memantau kata sandi, menolak akses setelah percobaan
yang tidak valid sebanyak dua sampai 3 kali, dan diperbolehkan distel ulang
melalui prosedur administrasi
 Sistem dalam pembuatan kata sandi harus simple dan tidak boleh terlalu rumit
dan panjang
 Prosedur berorientasi bahwa perusahaan yang kuat harus ada kata sandinya
Penggunaan kata sandi yang efektif adalah control otentikasi keamanan TI yang
penting. Auditor internal harus selalu ingat, bahwa kata sandi merupakan pertahanan
pertama untuk melindungi sumber daya TI, mereka harus dijaga agar tetap aman dan
pribadi, sering diubah, dan penggunaan serta upaya akses yang tidak tepat dipantau.
23.4 Virus dan Kode Program Berbahaya
Auditor internal harus menyadari bahwa virus perangkat lunak adalah ancaman
konstan dan mencari implementasi perangkat lunak anti-virus yang efektif untuk
setiap sistem computer yang di tinjau, apakah itu sistem TI pusat tingkat perusahaan
atau laptop bisnis. Auditor internal harus menentukan bahwa versi terbaru dari
perlindungan perangkat lunak diinstal, diperbarui secara teratur, dan mengambil
tindakan saat virus terdeteksi. Berikut jenis kode program berbahaya:
Kode jenis Karakteristik
Virus Melampirkan dirinya ke program dan menyebarkan Salinan dirinya
sendiri ke program lain
Trojan Berisi fungsionalitas tak terduga yang kemudian melakukan
Horse penyamaran fungsi
Bom Program yang hanya terpicu ketika beberapa peristiwa terjadi
Logika
Bom Waktu Program yang hanya terpicu ketika periode waktu tertentu lainnya
bertemu
Trapdoor Titik masuk perangkat lunak tidak berdokumen yang mengelak dari
sistem perlindungan
Worm Menyebarkan Salinan dirinya sendiri melalui jaringan
Rabbit Kode perangkat lunak yang mereplikasi dirinya sendiri berulang kali
menghabiskan sumber daya tanpa batas
Scareware Terkadang disebut ransomeware, kemudian dapat mengunci
perangkat lunak menuntut adanya tebusan.
23.5 Sistem Kontrol Firewall
Jenis umum keamanan perangkat lunak TI disebut firewall sistem, proses perangkat
lunak yang memfilter lalu lintas “di dalam” dan “di luar” yang kurang terlindungi atau
lingkungan tidak terpercaya. Berikut merupakan contoh gambar firewall yang sangat
sederhana:

Perusahaan perlu menginstal firewall baik diantara jaringan sistemnya maupun di luar
dunia melalui internet atau sumber daya lainnya. Firewall memonitor lalu lintas,
mengarahkan beberapa ke lokasi jaringan yang ditentukan, dan memblokir lainnya.
Saat melakukan tinjauan keamanan data, auditor internal harus memahami lokasi dan
sifat firewall yang dipasang. Penting bahwa konfigurasi firewall memberikan
perlindungan yang memadai dan diperbarui secara berkala. Selain itu auditor internal
harus mencari tinjauan yang sesuai dan aktivitas tindak lanjut terkait laporan
pelanggaran firewall.
23.6 Teknik Sosial Risiko
Auditor internal harus menyadari bahwa risiko dan masalah social TI yang
berkembang saat ini. Meskipun merupakan tanggung jawab perusahaan untuk
mendidik computer, pengguna, dan memperingatkan orang untuk menghindari
penipuan seperti itu, auditor internal juga harus menyadari skema dan peringatan yang
sesuai saat ditanya. Rekayasa social sering menggunakan metode seperti:
 Baiting
 Phising
 Pretexting
 Quid pro quo
 Shoulder surfing
 Tailgating
Dari perspektif audit internal, beberapa masalah keamanan computer yang paling
penting berpusat pada kebutuhan untuk membangun dukungan manajemen yang kuat
untuk program keamanan TI yang ada dan program pendidikan pemangku
kepentingan secara keseluruhan mengenai ancaman dan kerentanan keamanan
jaringan TI.
23.7 Perhatian Privasi Sistem TI
Beberapa masalah privasi yang berkembang dimana jaringan masalah saat ini
menjelaskan beberapa masalah keamanan siber (meskipun masalah ini tidak selalu
merupakan masalah audit pengendalian internal):
 Masalah privasi data. Data dikumpulkan dari individu dan perusahaan secara
berkala, tanpa persetujuan mereka dan seringkali tanpa mereka sadari.
 Privasi online dan masalah E-commerce. Strategi peningkatan privasi dapat
dilakukan dengan Identifikasi Frekuensi Radio (RFID) dan hukum
perlindungan privasi federal US.
23.8 Kerangka Keamanan NIST Cyber
National institute for standards and technology (NIST) merilis kerangka kerja
keamanan, kompilasi pedoman berbasis risiko yang dirancang untuk membantu
perusahaan menilai kemampuan mereka saat ini dan menyusun peta jalan yang
diprioritaskan untuk meningkatkan keamanan. Sebagai arean dimana auditor internal
dapat membantu dalam kegiatan asesmennya, kerangka kerja NIST meminta TI dan
manajemen untuk awalnya menilai kualitas praktik keamanan siber. Setelah penilaian
ini selesai, perusahaan dapat menggunakan kriteria NIST untuk meingkatkan postur
keamanan sibernya dan mengembangkan profil target keamanan perusahaan. profil
target NIST dapat mengidentifikasi celah yang harus ditutup untuk meningkatkan
praktik keamanan siber dan memberikan dasar untuk peta jalan yang diprioritaskan
untuk mencapai peningkatan. Kerngka kerja NIST menambahkan fungsi:
1. Kebijakan. Kebijakan terdokumentasi formal dan terkini harus ada yang
tersedia untuk karyawan
2. Prosedur. Harus tersedia menerapkan control keamanan yang diidentifikasi
oleh kebijakan yang ditentukan.
3. Implementasi. Prosedur dikomunikasikan kepada individu yang dibutuhkan
untuk mengikuti mereka.
4. Test. Pengujian secara rutin dilakukan untuk mengevaluasi kecukupan dan
efektivitas implementasi dan memastikan bahwa prosedur, kebijakan, dan
control bertindak sebagaimana mestinya.
5. Integrasi. Mempertimbangkan kebijakan, prosedur, dan pengujian.
Kerangka NIST cybersecurity adalah seperangkat panduan keamanan yang
menyeimbangkan kepatuhan keamanan TI dengan standar manajemen risiko.
Meskipun kerangka kerjanya bersifat sukarela, perusahaan di banyak industry dapat
memperoleh manfaat yang signifikan dengan mengadopsi pedoman pada toleransi
risiko tingkat tinggi. Melakukannya tidak hanya membantu meningkatkan program
keamnaan siber, tetapi juga potensi memajukan kedudukan peraturan dan hukum
untuk masa depan. Berikut ilustrasi langkah implementasi kerangka kerja NIST:
 Langkah pada ilustrasi diatas yang pertama yaitu dengan mengidentifikasi sponsor
dan yang terlibat, menilai postur keamanan siber saat ini, tentukan & jalankan profil
target, dan langkah yang terakhir yaitu memantau, berkomunikasi & berkolaborasi.
Auditor internal harus memiliki kesadaran umum tentang kerangka NIST dan
setidaknya harus berada dalam posisi untuk menanyakan baik TI dan manajemen
umum tentang rencana apapun untuk mengadopsinya.
23.9 Mengaudit Keamanan dan Privasi TI
Secara singkat berikut ini merupakan prosedur audit pengendalian internal
cybersecurity:
1. Mendokumentasikan dan memahami jaringan TI
2. Control keamanan konfigurasi jaringan
3. Control akses sistem jaringan
4. Pahami siapa yang memiliki akses ke jaringan
5. Meninjau tingkat dan arus prosedur cybersecurity
6. Control tindakan pencegahan-pencegahan keamanan
7. Teknik pemantauan dan investigasi insiden keamanan
8. Pelatihan keamanan cyber.
Gambar berikut ini menunjukkan prosedur audit pengendalian internal cybersecurity
secara rinci,
23.10 Dasar PCI DSS
Standar keamanan data atau standar cybersecurity PCI DSS harus digunakan oleh
siapa saja yang ingin menerima kartu kredit sebagai bentuk pembayaran. PCI DSS
telah dibentuk untuk memenuhi sejumlah besar local dan aturan pembayaran kartu
kredit nasional dan juga untuk mengikuti pedoman kredit kartu perusahaan utama.
Standar tersebut berisi konfigurasi dan pedoman audit, dan mencakup perangkat TI
apapun yang menerima kartu kredit sebagai pembayaran. Berikut 12 persyaratan dasar
implementasi PCI DSS:
1. Instal dan pertahankan konfigurasi firewall untuk dilindungi data pemegang
kartu
2. Jangan gunakan default yang disediakan vendor untuk sistem sandi dan
parameter keamanan lainnya
3. Lindungi data yang disimpan dan jangan simpan kartu dan transaksi data yang
tidak perlu
4. Mengenkripsi transmisi data pemegang kartu dan sensitive informasi di
seluruh jaringan publik
5. Gunakan dan perbarui perangkat lunak antivirus secara teratur
6. Mengmbangkan dan memelihara sistem dan aplikasi yang aman
7. Batasi akses ke data berdasarkan kebutuhan bisnis
8. Tetapkan ID unik untuk setiap orang yang memiliki akses computer
 9. Batasi akses fisik ke data pemegang kartu
10. Lacak dan pantau semua akses ke sumber daya jaringan dan data pemegang
kartu
11. Menguji sistem dan proses keamanan secara teratur
12. Menetapkan dan memeliharan prinsip keamanan tingkat tinggi dan prosedur.
Auditor internal yang perusahaannya menggunakan transaksi pembayaran kartu kredit
mungkin terlibat dengan upaya kepatuhan PCI DSS, tetapi jika tidak, mereka harus
membuat komunikasi dalam organisasi mereka. Prosedur audit harus disesuaikan
untuk memastikan kepatuhan PCI DSS.
23.11 Keamanan dan Privasi dalam Departemen Audit Internal
Pada era pencatatan elektronik saat ini adanya risiko privasi dan keamanan audit
internal yang lebih besar. Audit internal selalu membawa laptop atau tabletnya saat
bekerja untuk mengaudit tugas dan membawanya ke lokasi auditee. Sedangkan di
dalam laptop tersebut terdapat data-data atau file dan informasi penting, laptop
tersebut juga memiliki nilai intrinsic, sedangkan laptop ini dapat hilang atau dicuri.
Berikut ini Teknik penting untuk melindungi laptop auditor:
 Tetapkan tanggung jawab pribadi untuk laptop auditor
 Memulai prosedur pencadangan file secraa berkala
 Gunakan kunci fisik dan mekanisme keamanan
 Gunakan sistem antivirus dan alat lainnya
Praktik untuk keamanan kertas kerja Audit Internal:
 Tetapkan standar kertas kerja departemen audit internal, seperti menangkap
bukti audit, merekam volume bukti massal, dsb.
 Kembangkan prosedur umum
 Buat sistem pengindeksan atau penomoran umum untuk semua kertas kerja
yang mengidentifikasi unit
 Bangun databse yang komperhensif untuk menghubungkan semua kertas kerja
ke audit, laporan selesai, dan temuan penting
 Baik hard copy atau soft copy, buat praktik tinjauan kertas kerja yang
konsisten untuk mengidentifikasi waktu tinjauan pengawasan file dan sifat
setiap perubahan
 Lakukan pengujian kualitas file kertas kerja audit lama untuk menentukan
aksesibilitas berkelanjutan.
 Secara berkala 10 tahuan, tinjau sampel file kertas kerja lama untuk
menentukan kompatibel dengan versi perangkat lunak yang digunakan
23.12 Privasi Audit Internal dan Peran Keamanan Cyber
Seluruh auditor internal harus lebih memahami tentang risiko dan masalah keamanan
siber dan privasi yang telah dibahas, meskipun hal ini akan terus berkembang. Seluruh
pengguna computer saat ini telah menyadari risiko virus computer dan malware
lainnya, tetapi auditor internal harus melangkah lebih jauh dan memahami jenis
control yang dapat diterapkan untuk menghilangkan risiko tersebut dan kemudian
mengambil tindakan untuk mencegahnya.
 CH 24: Business Continuity and Disaster Recovery Planning
Bab ini memperkenalkan beberapa praktik terbaik untuk kelangsungan bisnis TI yang efektif
dan perencanaan pemulihan bencana untuk digunakan auditor internal saat meninjau kontrol
internal di area kritis perusahaan ini. Bersama dengan grup lain seperti hukum dan keamanan
TI, auditor internal terus memiliki peran kunci dalam meninjau, menguji, dan mengevaluasi
proses perencanaan kelangsungan bisnis perusahaan mereka. Bab ini secara singkat
memperkenalkan beberapa alat teknis saat ini yang meningkatkan prosedur kelangsungan
bisnis. Sementara semua auditor internal seharusnya hanya memiliki pengetahuan umum
tentang standar manajemen kontinuitas TI, mereka harus memiliki keterampilan untuk
menilai dan merekomendasikan prosedur kesinambungan TI umum yang efektif, persyaratan
pengetahuan CBOK audit internal yang penting.
24.1 IT DISASTER AND BUSINESS CONTINUITY PLANNING TODAY
Sepanjang 1980-an dan awal 1990-an, solusi pemulihan bencana TI yang umum adalah
membuat pengaturan dengan fasilitas pemrosesan data pemulihan bencana jarak jauh untuk
menangani pemrosesan darurat apa pun. File dan program cadangan utama disimpan di lokasi
off-site, dengan rencana meminta staf TI untuk pindah ke fasilitas alternatif itu jika terjadi
peristiwa bencana. Para profesional memikirkan bencana TI hanya dalam kaitannya dengan
kebakaran, banjir, atau situasi cuaca buruk lainnya. Pada hari-hari sebelumnya, terutama
sistem mainframe, perusahaan rencana pemulihan bencana TI. Ini termasuk penandatanganan
"perjanjian timbal balik" dengan lokasi terdekat yang memiliki sumber daya TI serupa
sehingga masing-masing dapat pindah ke lokasi lain untuk diproses jika terjadi keadaan
darurat di satu lokasi. Kesepakatan timbal balik antara dua CIO kedengarannya bagus secara
teori, tetapi mereka tidak pernah benar-benar berhasil melampaui bantuan tingkat rendah,
hampir seperti bantuan kemanusiaan. Dengan era klien-server dan perangkat lunak sebagai
layanan aplikasi berbasis web saat ini, perusahaan saat ini menghadapi serangkaian risiko
baru seputar aset TI-nya. Untuk sebagian besar perusahaan, tidak ada lagi satu atau beberapa
fasilitas komputer utama atau pusat untuk menangani aplikasi TI utama melainkan berbagai
perangkat desktop, server, dan sistem komputer lain yang terhubung melalui komunikasi
yang sangat kompleks dan jaringan manajemen penyimpanan, dan ditautkan ke internet.
Perusahaan tidak memiliki semua sumber daya TI yang terikat pada satu atau beberapa pusat
data pusat, dan manajemen lebih tertarik untuk menjaga dan menjalankan TI daripada
mengkhawatirkan risiko kehilangan fasilitas sistem komputer pusat. Saat ini perusahaan perlu
membangun proses kesinambungan bisnis ketika menghadapi kejadian yang tidak terduga.
Para profesional saat ini lebih sering memikirkannya pentingnya rencana kesinambungan
bisnis, prosedur dan proses yang diperlukan memulihkan operasi bisnis secara keseluruhan.
Rencana kesinambungan bisnis yang tidak tepat atau tidak direncanakan dengan baik bisa
menjadi sangat mahal untuk perusahaan, dan auditor internal harus mengerti, meninjau, dan
menguji kepatuhan program ini saat melakukan aplikasi spesifik, TI umum, atau tinjauan
pengendalian internal lainnya. Kegagalan sistem akan mengganggu pemrosesan bisnis
normal, tetapi bencana yang menyebabkan hilangnya catatan kunci bisa bahkan lebih parah.
Pesannya di sini adalah ketersediaan sistem dan bisnis yang tinggi kesinambungan sangat
penting bagi suatu perusahaan, dan auditor internal harus memiliki pemahaman CBOK untuk
terus mencari area di mana mereka dapat menyarankan perencanaan kontinuitas bisnis dan
peningkatan ketersediaan TI. Bagian berikut menguraikan aktivitas dan prosedur audit
internal yang disarankan dalam bidang yang sangat penting ini yang disebut perencanaan
kesinambungan bisnis (BCP), proses yang lebih deskriptif dan penting daripada yang dikenal
sebagai konsep yang lebih lama dan lebih tradisional dari apa yang dulu kita sebut
perencanaan pemulihan bencana TI.
24.2 AUDITING BUSINESS CONTINUITY PLANNING PROCESSES
Auditor internal harus selalu mencari keberadaan BCP saat ini dan yang telah diuji, apakah
mereka melakukan peninjauan atas kontrol umum atas sistem server kantor, operasi TI utama,
atau aplikasi spreadsheet desktop yang digunakan untuk catatan kantor. Dengan kesadaran
manajemen TI yang kuat untuk memiliki beberapa tingkat proses di tempat, auditor internal
umumnya tidak akan membuat terobosan baru ketika mereka mencari keberadaan prosedur
BCP. Namun, mereka mungkin sering menemukannya kedaluwarsa, tidak diuji, atau terlalu
sering tidak efektif. Tujuan dari masing-masing lingkungan ini adalah untuk memastikan
bahwa proses kesinambungan bisnis ada. Meskipun ada ruang untuk jenis bantuan tersebut,
peran auditor internal dalam setiap deskripsi ini harus menilai kecukupan prosedur BCP dan
membuat rekomendasi yang efektif. Tidak peduli ukuran lingkungan TI dan area bisnis yang
dicakup, auditor internal harus mengembangkan pemahaman yang baik tentang risiko relatif
yang terkait dengan kehilangan atau gangguan tak terduga dalam layanan TI, teknologi yang
digunakan dan digunakan, serta sifat teknis dan bisnis dari lingkungan. Meskipun sebenarnya
tidak ada satu ukuran yang cocok untuk semua di sini, auditor internal perlu memahami
lingkungan BCP dan sifat pengujian dan evaluasi yang sedang berlangsung untuk membuat
rekomendasi audit internal yang sesuai.
Internal Auditor Centralized Server Center BCP Reviews
BCP adalah garis besar langkah-langkah
yang diperlukan untuk membantu
perusahaan pulih dari gangguan layanan
utama, baik dari kebakaran atau keadaan
darurat cuaca yang serius, kerusakan
peralatan komputer atau jaringan, atau
bentuk gangguan besar lainnya. Sasaran
BCP adalah membantu perusahaan
mengurangi dampak pemadaman akibat
bencana atau gangguan layanan yang
diperpanjang ke tingkat yang dapat
diterima dan menghidupkan kembali
operasi bisnis secara online. Seperti yang
telah dibahas, BCP mewakili perubahan
penekanan dari apa yang pernah disebut
oleh profesional TI sebagai rencana
pemulihan bencana. Penekanan utama
dari rencana lama tersebut adalah untuk
membuat sistem TI dan operasi
pemrosesan data bekerja sementara BCP
menekankan kebutuhan untuk operasi
unit bisnis yang berkelanjutan. BCP yang
efektif sangat penting bagi perusahaan,
dan manajemen bertanggung jawab atas kelangsungan dan keberlanjutan operasi total untuk
melayani pelanggan dan penerima layanan. Banyak perusahaan dan sebagian besar
perusahaan pemerintah diwajibkan oleh undang-undang untuk mengembangkan rencana
kesinambungan bisnis ini. Dalam kasus lain, undang-undang secara efektif membutuhkan
BCP. The Sarbanes ‐ Oxley Act (SOx), misalnya, mengharuskan perusahaan terdaftar untuk
dapat melaporkan hasil keuangan mereka secara tepat waktu. Kegagalan sistem bukanlah
alasan, dan BCP yang efektif akan membantu mendukung perusahaan di sini.
Prosedur Audit BCP, Manajemen Proyek, Analisis Risiko, dan Analisis Dampak
Saat meninjau BCP untuk unit TI, auditor
internal biasanya tidak terlibat dalam
proses manajemen proyek yang sangat
penting untuk membangun rencana
semacam itu. Kecuali audit internal
terlibat dalam proses pra-implementasi
BCP. Fungsi TI perusahaan, sering kali
bekerja sama dengan pemilik utama
aplikasi, biasanya akan terlibat dengan
peluncuran proyek untuk
mengembangkan BCP. Saat meninjau
kontrol internal BCP IT, terutama yang
baru diluncurkan, auditor internal harus
meminta untuk melihat rencana proyek
yang dibuat untuk membangun BCP
aplikasi mencakup aplikasi utama. Lebih
penting lagi, auditor internal harus
mencari bukti penilaian risiko untuk
menentukan mengapa aplikasi tertentu
membutuhkan perawatan pemulihan
penuh di BCP. Untuk memperjelas,
seluruh konfigurasi perangkat keras dan
perangkat lunak harus disiapkan
pemulihan penuh dalam program BCP. Setelah dipulihkan, semua perangkat keras dan
perangkat lunak TI harus beroperasi kembali. Namun, mungkin tidak perlu memulihkan
semua tindakan atau proses trans aplikasi untuk beberapa aplikasi berisiko rendah. Prosedur
kelangsungan bisnis mengacu pada prosedur yang menangkap setiap transaksi aktif yang
sedang dalam proses selama pemadaman system. Tampilan 24.2 berisi prosedur audit internal
BCP untuk meninjau audit internal pusat data utama atau terpusat. Bagian utama dari fasilitas
terpusat adalah rencana tanggap darurat. Ini adalah proses dalam mode seperti bor kebakaran
yang memungkinkan fasilitas TI bereaksi jika terjadi keadaan darurat tak terduga.
Operasi Rencana Tanggap Darurat
Perusahaan harus membuat rencana tanggap darurat dengan penekanan pada dua jenis insiden
darurat yang signifikan. Yang pertama adalah jenis keadaan darurat kebakaran di dalam
gedung di mana rencana tanggap darurat pendukung akan mencakup pintu keluar kebakaran
yang dipasang dan latihan kebakaran yang sering dilakukan. Jenis rencana tanggap darurat ini
harus mencakup semua operasi perusahaan, termasuk sumber daya TI, dan harus diuji secara
teratur. Tingkat kedua dari rencana tanggap darurat harus mencakup insiden individu tertentu
yang mungkin atau mungkin tidak menjadi signifikan, tetapi harus segera diperbaiki diikuti
dengan penyelidikan dan rencana tindakan korektif untuk mencegah insiden lebih lanjut. Ini
disebut insiden darurat, dan sering kali mencakup hal-hal seperti pelanggaran keamanan atau
pencurian perangkat keras atau perangkat lunak. Sebuah rencana tanggap darurat yang baik
harus segera ditindaklanjuti untuk meminimalkan efek pelanggaran lebih lanjut. Ini juga
harus diformulasikan untuk mengurangi publisitas negatif dan untuk memusatkan perhatian
pada waktu reaksi yang cepat. Rencana tanggap darurat insiden dapat dipisahkan menjadi
empat bagian:
 1. Kegiatan tanggap langsung. Apakah insiden yang terjadi merupakan pelanggaran
keamanan, pencurian aset, atau gangguan fisik, sumber daya harus tersedia untuk
menyelidiki masalah tersebut dan segera mengambil tindakan korektif.
2. Investigasi insiden. Semua masalah yang dilaporkan harus diselidiki sepenuhnya
untuk menentukan situasi yang menyebabkan keadaan darurat tersebut dan
kemungkinan tindakan korektif di masa depan.
3. Koreksi atau restorasi. Sumber daya harus tersedia untuk memperbaiki atau
memulihkan hal-hal yang diperlukan. Karena insiden darurat dapat mencakup
berbagai area, sumber daya ini dapat mencakup spesialis keamanan sistem informasi,
keamanan gedung manajer, atau lainnya.
4. Pelaporan kejadian darurat. Seluruh kejadian darurat dan tindakan selanjutnya harus
didokumentasikan bersama dengan analisis pembelajaran dan rencana lebih lanjut
untuk tindakan korektif.
Client‐Server Continuity Planning Internal Audit Procedures
Lingkungan TI klien-server mungkin berisi
beberapa sistem server yang mencakup
aplikasi, database, dan operasi Web. Ini adalah
karakteristik perusahaan kecil di mana ada
dukungan TI terbatas untuk perusahaan tetapi
di mana sistem TI sangat penting untuk operasi
bisnis yang sedang berlangsung. Perusahaan
kecil atau menengah yang tidak memiliki BCP
yang efektif untuk operasi TI-nya menghadapi
risiko yang besar. Sumber daya audit internal di
perusahaan seperti itu sering kali dapat
berfungsi sebagai suara utama dalam
mengingatkan manajemen perusahaan akan
risiko kegagalan aplikasi utama dan perlunya
prosedur BCP yang efektif. Langkah-langkah
dasar untuk membangun BCP yang efektif
untuk perusahaan kecil atau menengah pada
dasarnya sama dengan membangun rencana
semacam itu untuk perusahaan besar. Aktivitas
utamanya adalah mencadangkan, mencadangkan, dan terus mencadangkan file dan aplikasi
utama, dan audit internal dapat menjadi sumber daya penting untuk meninjau proses BCP
yang ada dan membuat rekomendasi audit internal yang sesuai. Perusahaan kecil hingga
menengah seringkali tidak memiliki pengaturan hot site formal untuk pemrosesan backup
daruratnya, dengan alasan bahwa vendor perangkat keras dan perangkat lunak pendukung
dapat memasang fasilitas pengganti dalam waktu singkat. Proses ini relatif mudah saat ini
dengan banyaknya perangkat penyimpanan berbiaya rendah dan berkapasitas tinggi yang
tersedia. Audit internal harus peka terhadap kebutuhan BCP yang efektif.
Perencanaan Kontinuitas untuk
Aplikasi Desktop, Laptop, dan
Perangkat Genggam
Manajer kunci di banyak perusahaan
telah membangun file penting dan
tempat penyimpanan informasi
lainnya di laptop dan perangkat
desktop pribadi mereka. BCP yang efektif sama pentingnya, jika tidak lebih, untuk file data
ini daripada database pendukung untuk aplikasi bisnis. Auditor internal harus menyadari
risiko BCP seputar perangkat laptop khususnya. Banyak auditor internal saat ini
menggunakan komputer audit laptop untuk mencatat hasil mereka, menyimpan data
pengujian, dan membawa banyak data terkait laporan audit lainnya. Meskipun departemen
audit internal harus memiliki prosedur yang kuat secara teratur yang mengharuskan auditor
internal untuk mencadangkan pekerjaan mereka ke lokasi terpusat, insiden seperti komputer
audit yang dicuri atau rusak dapat memengaruhi kemajuan audit internal dan bahkan
merepresentasikan pelanggaran keamanan. Sama seperti fungsi audit internal yang harus
memiliki prosedur yang kuat untuk pencadangan dan penyimpanan pekerjaan pada perangkat
desktop dan laptop tunggal, perusahaan harus memiliki beberapa pencadangan di seluruh
perusahaan dan prosedur BCP yang kuat untuk semua pemangku kepentingan yang
menggunakan laptop dan perangkat portabel lainnya.
24.3 MEMBANGUN RENCANA KEBERLANJUTAN BISNIS TI
Tujuan utama proyek BCP haruslah pengembangan dan pengujian rencana yang terstruktur
dengan baik dan koheren yang akan memungkinkan perusahaan untuk memulihkan operasi
bisnis normal secepat dan seefektif mungkin dari bencana atau keadaan darurat tak terduga
yang mengganggu layanan TI normal. Juga harus ada sub-tujuan untuk memastikan bahwa
semua karyawan dan pemangku kepentingan terkait lainnya memahami sepenuhnya tugas
mereka dalam mengimplementasikan BCP, bahwa kebijakan keamanan informasi ditaati di
semua kegiatan yang direncanakan, dan bahwa pengaturan kesinambungan bisnis yang
diusulkan hemat biaya. Hasil BCP harus terdiri dari:
- Risiko bisnis dan analisis dampak
- Kegiatan terdokumentasi yang diperlukan untuk mempersiapkan usaha menghadapi
berbagai kemungkinan keadaan darurat
- Kegiatan rinci untuk menangani kejadian bencana pada awalnya
- Prosedur untuk mengelola proses pemulihan bisnis, termasuk rencana pengujian
- Rencana untuk pelatihan BCP di berbagai tingkatan di perusahaan
- Prosedur untuk selalu memperbarui BCP
Risiko, Analisis Dampak Bisnis, dan Dampak Potensi Keadaan Darurat
BCP hari ini harus menyertakan
daftar deskriptif dari area bisnis
utama perusahaan, biasanya diurutkan
berdasarkan kepentingannya bagi
bisnis, serta deskripsi singkat tentang
proses bisnis dan ketergantungan
utamanya pada sistem, komunikasi,
personel, dan data. Berdasarkan risiko
pemadaman, tim BCP harus
mempelajari dan mendokumentasikan
persyaratan pemulihannya untuk
proses bisnis utamanya. Ini termasuk
prosedur proses bisnis, sistem
otomatis, dan persyaratan perangkat
keras plus perangkat lunak. Selain itu,
prosedur pencadangan dan pemulihan
yang ada harus dievaluasi ulang. Di
perusahaan yang lebih besar, pengaturan seperti BCP terkadang dibuat oleh unit bisnis
individu yang mungkin tidak konsisten dengan pengaturan BCP di seluruh perusahaan secara
keseluruhan. Sekali lagi, penekanannya harus pada pemulihan operasi bisnis, tidak hanya
pada membuat sistem otomatis dimuat ulang dan beroperasi kembali.
Mempersiapkan Kemungkinan Kontinjensi
Tujuan di sini adalah untuk mengidentifikasi cara-cara mencegah situasi darurat berubah
menjadi bencana yang lebih parah bagi perusahaan karena kurangnya kesiapsiagaan.
Perusahaan sering memiliki sumber daya untuk melakukan banyak hal sendiri, meskipun
banyak yang bergantung pada vendor luar untuk menyediakan layanan pemrosesan cadangan.
Apa pun strategi pencadangan yang digunakan, file dan dokumen utama harus selalu
disimpan di lokasi off-site yang aman. Tim pemulihan bencana dan pemulihan bisnis harus
ditunjuk dan dilatih, dengan pengujian berkala untuk memastikan keakraban berkelanjutan
mereka dengan proses. Perusahaan harus mempertimbangkan untuk menerapkan salah satu
dari strategi berikut:
- Operasi pemulihan yang sepenuhnya dicerminkan.
- Fasilitas hot site yang dapat dialihkan.
- Situs populer tradisional.
- Fasilitas cold site
- Pindahkan dan pulihkan.
- Tidak ada strategi.
Pemulihan Bencana: Penanganan Darurat
Tujuan dari fase BCP ini adalah untuk mengembalikan operasi perusahaan TI. Ini hampir
selalu melibatkan menghubungi situs pemrosesan alternatif yang ditunjuk, mengaktifkan jalur
komunikasi, membuat pengaturan untuk membawa tim ke situs itu, dan sebaliknya
mengambil langkah untuk memulihkan operasi. Dengan asumsi tim menggunakan vendor
situs populer, tim pemulihan bencana harus tiba di situs cadangan, mendapatkan versi sistem
operasi dan basis data kunci, dan memulai operasi produksi. Agar BCP dan pemulihan yang
dihasilkannya efektif, tim pemulihan harus mempertimbangkan dengan cermat dan
merencanakan serangkaian aktivitas yang berpotensi kompleks yang diperlukan untuk pulih
dari keadaan darurat yang serius. Pendekatan terencana kemungkinan besar akan
menghasilkan pemulihan yang lebih koheren dan terstruktur. Kemungkinan kejadian
mengganggu yang serius akan menghasilkan hasil yang tidak diharapkan yang mungkin
berbeda dalam beberapa hal dari hasil yang diprediksi yang terkandung dalam rencana. Tim
pemulihan harus meninjau prosedur atau strategi yang telah ditetapkan sebelumnya
sehubungan dengan situasi aktual yang timbul setelah kejadian darurat dan memodifikasi
prosedur ini sebagaimana mestinya.
Business Continuity Plan Enterprise Training
Untuk bertindak tanpa harus membalik-balik rencana yang diterbitkan untuk memutuskan
langkah berikutnya, tim proyek BCP perlu meluncurkan program pelatihan perencanaan
kesinambungan bisnis untuk anggota perusahaan di banyak tingkat yang perlu diketahui,
dengan empat saran tingkat pelatihan BCP;
- Level 1: Gambaran umum manajemen.
- Level 2: Pengguna sistem aplikasi utama.
- Level 3: Staf operasi dan sistem TI.
- Level 4: Anggota tim BCP.
24.4 PERENCANAAN KEBERLANJUTAN BISNIS DAN PERJANJIAN TINGKAT
LAYANAN
Agar BCP berfungsi antara TI dan unit bisnis, mereka harus mempertimbangkan untuk
bersama-sama menegosiasikan ekspektasi pemulihan mereka melalui perjanjian tingkat
layanan (SLA) formal. SLA adalah kontrak antara pemilik proses bisnis dan penyedia
layanan TI untuk tujuan layanan yang ditentukan. SLA dibahas sebagai bagian dari praktik
terbaik penyampaian layanan ITIL® (Information Technology Infrastructure Library) yang
dapat menjadi dasar untuk aktivitas kelangsungan bisnis. Auditor internal harus menyadari
pentingnya SLA dan harus mencari penerapan SLA yang efektif. SLA adalah perjanjian
antara TI dan operasi bisnis untuk menentukan tingkat minimum cadangan dan pemulihan
sistem komputer yang diharapkan. Mereka secara efektif merupakan kontrak antara TI dan
area pengguna utama untuk mendukung operasi normal sehari-hari juga sebagai tindakan
yang harus diambil jika terjadi gangguan layanan yang serius. SLA menggambarkan tingkat
layanan kelangsungan bisnis yang diharapkan dan dijanjikan dan merupakan blok bangunan
dasar untuk menetapkan rencana kesinambungan bisnis yang efektif. Auditor internal harus
menyadari pentingnya SLA saat meninjau perencanaan kesinambungan bisnis dan BCP
perusahaan.
24.5 MENGAUDIT RENCANA KEBERLANJUTAN BISNIS
Audit internal dapat dan harus memainkan peran penting dalam pengembangan BCP
perusahaan serta proses pengujiannya. Audit internal mungkin menawarkan sumber dayanya
untuk mengamati dan mengomentari hasil pengujian BCP, menyarankan skenario pengujian,
atau menawarkan nasihat konsultatif tentang kemajuan pengembangan BCP. Meskipun audit
internal dapat menjadi bagian dari proses BCP ini, mereka harus mundur secara berkala,
menegaskan independensi mereka, dan menjadwalkan audit berkala mengenai kecukupan
proses BCP dan prosedur pemulihan bisnis secara umum. Audit harus direncanakan dan
dijadwalkan sebagai bagian dari penilaian risiko reguler audit internal dan proses
perencanaan audit. Meskipun audit internal dapat memainkan peran sebagai pengamat dalam
proses pengujian BCP, untuk audit internal mal harus dijadwalkan untuk menilai secara
berkala semua aspek kesiapan BCP dan proses kecukupan yang ada. Audit internal harus
berhati-hati terhadap garis tipis antara bertindak sebagai penasihat tim BCP dan mengaudit
proses mereka, di mana komite audit mungkin merupakan pihak yang berkepentingan dengan
kecukupan keseluruhan proses BCP untuk kelangsungan korporasi. Kajian audit internal atas
proses BCP perusahaan harus didasarkan pada hal-hal seperti kecukupan dan kemutakhiran
dokumentasi BCP-nya, hasil tes terjadwal, dan sejumlah masalah lainnya. Audit internal
harus mengkomunikasikan hasil tinjauannya di sini dengan manajemen perusahaan senior
serta komite audit. Hasil audit BCP harus dimasukkan dalam materi internal yang akan
menjadi bagian dari penilaian Pasal 404 pengendalian internal perusahaan.
24.6 PERENCANAAN KEBERLANJUTAN BISNIS SELANJUTNYA
Karena perusahaan menjadi semakin bergantung pada sistem bisnis otomatis TI mereka,
prosedur untuk menjaga proses tersebut tetap beroperasi dalam keadaan darurat atau bencana
lainnya menjadi semakin penting. Aturan lama "pemulihan bencana" juga telah berubah.
Bisnis membutuhkan kemampuan untuk menjalankan kembali semua prosesnya dengan
penundaan yang minimal. Auditor internal memiliki peran penting di sini dalam membantu
manajemen untuk menerapkan proses BCP yang efektif dan secara teratur menilai operasi
dan kontrol mereka. Meskipun ada banyak variasi dan pendekatan untuk implementasi yang
efektif, semuanya auditor internal harus memiliki setidaknya pengetahuan umum tentang
persyaratan BCP dan bagaimana menilai proses tersebut. Dalam dunia yang sangat otomatis
saat ini, pemahaman tentang persyaratan BCP dan praktik terbaik harus menjadi persyaratan
bagi CBOK seorang internal auditor.
 Chapter 25
KOMUNIKASI DEWAN KOMITE AUDIT
25.1. PERAN KOMITE AUDIT
Langkah penting dalam mengatur fungsi audit internal yang efektif adalah
mendapatkan otorisasi dan persetujuan dari komite audit dewan direksi perusahaan.
Komite audit memberikan otorisasi yang luas ini untuk fungsi audit internal melalui
dokumen piagam audit formal. Komite audit perusahaan perusahaan juga menyetujui
rencana keseluruhan audit internal untuk melanjutkan kegiatan selama periode saat ini
dan seterusnya. Salah satu anggota komite audit tersebut harus ditunjuk sebagai pakar
keuangan sesuai aturan SOx. Untuk memenuhi tanggung jawabnya kepada dewan direksi
secara keseluruhan, kepada pemegang saham, dan publik, komite audit perlu
meluncurkan dan mengelola fungsi audit internal yang harus menjadi mata dan telinga
independen di dalam perusahaan, memberikan penilaian. pengendalian internal dan hal-
hal lain.

25.2. ORGANISASI DAN PIAGAM KOMITE AUDIT

Komite audit adalah komponen operasi dari dewan direksi dengan tanggung jawab
untuk pengendalian internal dan pengawasan pelaporan keuangan. Karena tanggung
jawab pengawasan ini, anggota komite audit harus merupakan direktur independen yang
tidak ada hubungannya dengan manajemen perusahaan. Semua anggota dewan dapat
dimintai pertanggungjawaban secara hukum melalui tindakan mereka pada masalah apa
pun, dan dewan serta komitenya memberlakukan sebagian besar bisnis formal melalui
resolusi, yang menjadi masalah catatan perusahaan. Perusahaan dari berbagai komite
dewan, termasuk komite audit, ditetapkan melalui resolusi tersebut.
Meskipun bukan persyaratan yang diperlukan, fungsi audit internal perusahaan secara
teratur beroperasi melalui piagam audit internal formal, dokumen yang disetujui oleh
komite audit untuk menguraikan peran dan tanggung jawab audit internal. Tujuan dari
piagam komite audit dewan adalah untuk menentukan tanggung jawab komite audit
mengenai:
 Identifikasi, penilaian, dan pengelolaan risiko dan ketidakpastian keuangan
 Perbaikan sistem keuangan yang berkelanjutan
 Integritas laporan keuangan dan pengungkapan keuangan
 Kepatuhan terhadap persyaratan hukum dan peraturan
 Kualifikasi, independensi, dan kinerja auditor luar independen
 Kapabilitas, sumber daya, dan kinerja departemen audit internal
 Komunikasi penuh dan terbuka dengan dan di antara akuntan independen,
manajemen, auditor internal, penasihat, karyawan, komite audit, dan dewan
Meskipun formatnya bervariasi dari satu perusahaan ke perusahaan lainnya, piagam
komite audit umumnya mencakup:
1. Tujuan dan kewenangan komite audit
2. Komposisi komite audit
3. Jadwal rapat
4. Prosedur komite audit
5. Kegiatan utama komite audit:
a. Tata kelola perusahaan
b. Pelaporan publik
c. Akuntan independen
 d. Audit dan akuntansi
e. Aktifitas lain
6. Kegiatan diskresioner:
a. Akuntan independen
b. Audit internal
c. Akuntansi
d. Kontrol dan sistem
e. Pelaporan publik
f. Tanggung jawab pengawasan kepatuhan
g. Penilaian risiko
h. Tanggung jawab pengawasan keuangan
i. Tanggung jawab fidusia investasi rencana tunjangan karyawan
7. Batasan komite audit

25.3. AHLI KEUANGAN KOMITE AUDIT DAN AUDIT INTERNAL

SOx sekarang mensyaratkan bahwa setidaknya salah satu direktur independen
komite audit haruslah apa yang disebut pakar keuangan dengan beberapa persyaratan
yang cukup spesifik untuk peran tersebut. SOx telah menyebabkan banyak perubahan
pada tata kelola perusahaan, dewan direksi, dan tentunya komite audit. Dalam banyak
situasi, CAE dan audit internal dapat menjadi benang merah keberlanjutan tata kelola
perusahaan, dan audit internal dapat membantu komite audit di era baru ini melalui
pendekatan tiga langkah:
1. Melalui laporan dan presentasi, memberikan ringkasan rinci proses audit internal
saat ini untuk penilaian risiko, perencanaan dan pelaksanaan audit, dan pelaporan
hasil melalui laporan audit.
2. Bekerja dengan sumber daya manusia dan sumber daya lainnya,
mempresentasikan rencana kepada komite audit untuk membantu meluncurkan
program etika dan whistleblower yang disyaratkan Sox.
3. Mengembangkan rencana rinci untuk meninjau dan menilai pengendalian internal
di perusahaan. Ini adalah komponen kunci dari SOx Bagian 404, persyaratan
penilaian pengendalian internal.

25.4. TANGGUNG JAWAB KOMITE AUDIT UNTUK AUDIT INTERNAL

Komite audit dewan direksi memiliki tanggung jawab utama untuk fungsi audit
internal perusahaan. Fungsi audit internal modern harus memiliki hubungan sangat aktif
yang ditentukan oleh piagam dengan komite audit perusahaan. Piagam ini seringkali
sangat spesifik mengenai hubungan dengan audit internal dan biasanya mengharuskan
komite audit untuk:
1. Meninjau sumber daya, rencana, kegiatan, kepegawaian, dan struktur organisasi
audit internal.
2. Review pengangkatan, kinerja, dan penggantian CAE.
3. Meninjau semua audit dan laporan yang disiapkan oleh audit internal bersama
dengan tanggapan manajemen.
4. Meninjau dengan manajemen, CAE, dan akuntan independen tentang kecukupan
pelaporan keuangan dan sistem pengendalian internal. Kajian tersebut harus
mencakup ruang lingkup dan hasil program audit internal dan kerja sama yang
diberikan atau batasan, jika ada, yang diberlakukan oleh manajemen atas
pelaksanaan program audit internal.
Pengangkatan Kepala Eksekutif Audit
Komite audit bertanggung jawab atas perekrutan dan pemberhentian eksekutif
audit internal ini. Partisipasi sebenarnya dari komite audit dalam pemilihan CAE
dapat terjadi dalam beberapa bentuk tetapi biasanya melibatkan peninjauan
kredensial direktur yang diusulkan diikuti dengan wawancara formal. Manajemen
perusahaan — seringkali terutama CFO — biasanya berkonsultasi dengan ketua
komite audit mengenai calon CAE potensial, memberikan waktu kepada komite audit
untuk meninjau dan berkomentar, dan terkadang wawancara, sebelum perubahan apa
pun benar-benar dilakukan.
Komite audit biasanya tidak terlibat dalam urusan administrasi sehari-hari
terkait CAE dan seluruh fungsi audit internal tetapi harus berhati-hati untuk
memastikan kualitas berkelanjutan dari fungsi audit internal. Masalah keseluruhan di
sini adalah bahwa komite audit memiliki kemampuan untuk mempekerjakan atau
memecat CAE, tetapi harus ada tingkat kerja sama yang berkelanjutan di sini. Komite
audit tidak berada di tempat setiap hari untuk memberikan pengawasan audit internal
yang terperinci dan harus mengandalkan manajemen untuk beberapa dukungan
terperinci.
CAE biasanya bekerja sama dengan ketua komite audit untuk menyusun
dokumen ini untuk persetujuan komite audit dan dewan secara keseluruhan.
Diterimanya piagam audit internal dan ketentuan terkait oleh semua pihak yang
berkepentingan berarti bahwa audit internal terbebas dari hambatan yang mungkin
mencegahnya untuk melakukan pengungkapan yang diperlukan kepada komite audit,
bahkan yang bersifat sangat sensitif.

Persetujuan Piagam Audit Internal

Piagam audit internal berfungsi sebagai dasar atau otorisasi untuk setiap
program audit internal yang efektif. Piagam yang memadai sangat penting untuk
mendefinisikan peran dan tanggung jawab audit internal dan tanggung jawabnya
untuk melayani komite audit dengan baik. Di sinilah misi audit internal harus secara
jelas memberikan layanan kepada komite audit serta manajemen senior. Piagam audit
internal adalah dokumen yang luas namun umum yang menjelaskan tanggung jawab
audit internal dalam perusahaan, menjelaskan standar yang diikuti, dan menjelaskan
hubungan antara komite audit dan audit internal
Komite audit bertanggung jawab untuk menyetujui piagam audit internal ini,
sebagaimana dewan komisaris bertanggung jawab penuh untuk menyetujui piagam
komite audit.

Persetujuan Rencana dan Anggaran Audit Internal

Komite audit bertanggung jawab untuk meninjau dan menyetujui semua rencana
dan anggaran audit internal di tingkat yang lebih tinggi. Tanggung jawab komite audit
ini konsisten dengan perannya sebagai koordinator utama dari keseluruhan upaya
audit.
 Komite audit harus menjalankan peran koordinasi tingkat tinggi. Meskipun
terdapat batasan praktis tentang seberapa aktif komite audit dapat terlibat dalam
proses perencanaan rinci, beberapa keterlibatan terbukti bernilai tinggi. Biasanya,
ketua komite audit adalah orang yang paling aktif dalam peninjauan rencana ini, tetapi
orang ini pun tunduk pada batasan waktu. Audit internal harus menyiapkan
seperangkat dokumen perencanaan tahunan yang komprehensif untuk komite yang
memberikan rencana rinci untuk tahun mendatang serta rencana jangka panjang untuk
masa depan. Selain itu, audit internal harus menyiapkan laporan ringkasan aktivitas
audit masa lalu dan penilaian ulang atas cakupannya agar komite audit dapat
memahami area signifikan yang dicakup dalam tinjauan sebelumnya. Meskipun audit
internal harus melaporkan aktivitasnya kepada komite audit secara teratur, ringkasan
pelaporan aktivitas masa lalu ini memberikan gambaran umum tentang area masa lalu
untuk penekanan audit serta menyoroti potensi celah dalam cakupan audit. CAE akan
mempresentasikan jenis laporan ini kepada komite audit, membuat daftar rincian
untuk setiap audit yang direncanakan, dengan rincian pendukung untuk menjawab
pertanyaan dan mendiskusikan rincian pendukung.

25.5. TINJAUAN DAN TINDAKAN KOMITE AUDIT TERHADAP TEMUAN

AUDIT PENTING
Tanggung jawab komite audit yang paling penting adalah meninjau dan mengambil
tindakan atas temuan audit signifikan yang dilaporkan yang dilaporkan kepada mereka
oleh auditor internal dan eksternal, manajemen, dan lain-lain. Bereaksi terhadap temuan
audit yang signifikan memerlukan kombinasi pemahaman, kompetensi, dan kerja sama
oleh semua pihak utama yang berkepentingan — audit internal, manajemen, auditor
eksternal, dan komite audit itu sendiri. Gambar 25.5 adalah contoh laporan temuan yang
signifikan dari perusahaan contoh Produk Komputer Global kami.

25.6. KOMITE AUDIT DAN AUDITOR EKSTERNALNYA

Komite audit memiliki tanggung jawab besar untuk menyewa firma audit eksternal,
menyetujui anggaran yang diusulkan dan rencana audit, dan merilis laporan keuangan
yang telah diaudit. SOx mensyaratkan bahwa komite audit menyetujui semua layanan
 audit eksternal, termasuk surat kenyamanan, serta layanan non-audit yang diberikan oleh
auditor eksternal. Auditor eksternal masih diperbolehkan memberikan jasa perpajakan
serta pengecualian jasa de Minimus tertentu, tetapi mereka dilarang memberikan jasa
non-audit berikut secara bersamaan dengan audit laporan keuangannya:
 Pembukuan dan layanan lain yang terkait dengan catatan akuntansi atau laporan
keuangan klien audit
 Desain dan implementasi TI keuangan
 Layanan penilaian atau penilaian, opini keadilan, atau laporan kontribusi sejenis
 Jasa outsourcing audit internal
 Fungsi manajemen atau kegiatan pendukung sumber daya manusia
 Layanan broker atau dealer, penasihat investasi, atau perbankan investasi
 Layanan hukum dan layanan ahli lainnya yang tidak terkait dengan audit
 Layanan lain yang menurut Dewan Pengawas Akuntansi Perusahaan Publik tidak
diizinkan
Meskipun auditor eksternal mereka dilarang melakukan aktivitas ini, perusahaan
masih perlu mengontrak dan memperoleh banyak jenis layanan ini. Ini harus
diperlakukan sebagai pengaturan kontrak khusus, yang dilaporkan sebagai bagian dari
laporan keuangan tahunan.

25.7. PROGRAM WHISTLEBLOWER DAN PEDOMAN PERILAKU

SOx menyatakan bahwa komite audit harus menetapkan prosedur untuk penerimaan,
retensi, dan penanganan keluhan mengenai akuntansi, kontrol akuntansi internal, atau
masalah audit, termasuk prosedur untuk penyerahan rahasia dan anonim oleh karyawan
mengenai masalah terkait masalah akuntansi atau audit yang meragukan. Ini bisa menjadi
tantangan dokumentasi karena banyak dari materi ini harus disimpan dengan cara yang
aman dan rahasia. Audit internal harus menawarkan jasanya kepada komite audit —
seringkali kepada ahli keuangan yang ditunjuk — untuk menetapkan prosedur
dokumentasi dan komunikasi di bidang berikut:
 Dokumentasi mencatat panggilan pelapor. SOx mengamanatkan bahwa komite
audit menetapkan program whistleblower formal di mana karyawan dapat
menyampaikan kekhawatiran mereka tentang masalah audit dan kontrol yang
tidak tepat tanpa takut akan pembalasan.
 Disposisi masalah whistleblower. dokumentasi harus disimpan untuk mencatat
sifat investigasi tindak lanjut dan disposisi terkait. Dalam tradisi menangani
masalah rahasia, audit internal harus menawarkan untuk menyediakan layanan
yang aman dan rahasia.
 Kode etik. SOx memberi komite audit tanggung jawab untuk menerapkan kode
etik untuk pejabat senior perusahaan seperti CEO dan CFO. Konsepnya adalah
menguraikan seperangkat aturan untuk perilaku yang benar dan meminta pejabat
senior ini mengakui bahwa mereka telah membaca, memahami, dan setuju untuk
mematuhinya.

25.8. PERAN KOMITE AUDIT LAINNYA

Komite audit mungkin sering menerima pertanyaan dan pertanyaan tentang berbagai
masalah akuntansi dan audit, dan audit internal dapat menawarkan untuk bertindak
sebagai sekretaris komite audit dalam mendokumentasikan dan menangani hal-hal
tersebut.
Komite audit dan tentunya ahli keuangan yang ditunjuk telah diberikan serangkaian
tanggung jawab baru. Audit internal adalah sumber yang sangat baik untuk membantu
anggota komite audit memenuhi tanggung jawab terkait SOx mereka melalui komunikasi
yang erat serta dengan menawarkan untuk mengambil tugas dokumentasi komite audit
tertentu.
Auditor internal harus memahami kebutuhan layanan yang diamanatkan SOx ini dan
secara aktif melayani dan bekerja dengan komite audit mereka sebagai bagian dari tujuan
keseluruhan untuk memberikan layanan maksimal kepada perusahaan.