NAMA ANGGOTA:
CELIA MAKKIYATUL BERLINNA 464849
SELVIN MANUPUTTY 464885
OKTA AMELIANA SIPAYUNG 464872
MAGISTER AKUNTANSI
FAKULTAS EKONOMIKA DAN BISNIS
UNIVERSITAS GADJAH MADA
2021
CHAPTER 23
KEAMANAN SIBER, RISIKO PERETASAN, DAN KONTROL PRIVASI
23.1 Dasar Keamanan Jaringan Hacking dan IT
Hacking merupakan suatu pelanggaran sistem oleh seseorang yang mencari dan
mengeksploitasi kelemahannya dalam sistem computer atau jaringan computer.
Auditor internal harus memiliki pemahaman tentang prosedur keamanan TI.
Kurangnya prosedur pengendalian internal yang tepat, perangkat keras sistem TI
perusahaan, perangkat lunak, dan data mungkin menghadapi salah satu atau keempat
kelas dasar ancaman TI berikut:
1. Interupsi. Asset sistem dapat menjadi hilang, tidak tersedia, atau tidak dapat
digunakan melalui penghancuran program yang berbahaya, pencurian
komponen perangkat keras, atau penggunaan sumber daya jaringan yang tidak
benar.
2. Intersepsi. Pihak luar, seperti orang, program, atau computer sistem
pembrontak, dapat memperoleh akses ke file TI atau asset lainnya. Interupsi
seringkali dapat terjadi dengan sedikit jejak dan bisa dalam jangka pendek
sulit dideteksi.
3. Modifikasi. Penyusup tidak sah tidak hanya mengakses tetapi juga membuat
perubahan data, program, atau bahkan komponen perangkat keras. Sering
terdeteksi dengan cepat, dan dapat terus berlangsung tanpa disadari.
4. Fabrikasi. Ancaman ini terjadi ketika orang yang tidak berwenang
memasukkan objek palsu ke dalam lingkungan TI.
Auditor internal mungkin tidak memiliki ketrampilan untuk menilai risiko keamanan
di banyak lingkungan TI dan untuk membuat rekomendasi teknis, tetapi auditor
internal harus memiliki pemahaman konsep dasar CBOK keamanan computer untuk
digunakan dalam berbagai tinjauan audit internal.
23.2 Konsep Keamanan Data
Perusahaan perlu menginstal firewall baik diantara jaringan sistemnya maupun di luar
dunia melalui internet atau sumber daya lainnya. Firewall memonitor lalu lintas,
mengarahkan beberapa ke lokasi jaringan yang ditentukan, dan memblokir lainnya.
Saat melakukan tinjauan keamanan data, auditor internal harus memahami lokasi dan
sifat firewall yang dipasang. Penting bahwa konfigurasi firewall memberikan
perlindungan yang memadai dan diperbarui secara berkala. Selain itu auditor internal
harus mencari tinjauan yang sesuai dan aktivitas tindak lanjut terkait laporan
pelanggaran firewall.
23.6 Teknik Sosial Risiko
Auditor internal harus menyadari bahwa risiko dan masalah social TI yang
berkembang saat ini. Meskipun merupakan tanggung jawab perusahaan untuk
mendidik computer, pengguna, dan memperingatkan orang untuk menghindari
penipuan seperti itu, auditor internal juga harus menyadari skema dan peringatan yang
sesuai saat ditanya. Rekayasa social sering menggunakan metode seperti:
Baiting
Phising
Pretexting
Quid pro quo
Shoulder surfing
Tailgating
Dari perspektif audit internal, beberapa masalah keamanan computer yang paling
penting berpusat pada kebutuhan untuk membangun dukungan manajemen yang kuat
untuk program keamanan TI yang ada dan program pendidikan pemangku
kepentingan secara keseluruhan mengenai ancaman dan kerentanan keamanan
jaringan TI.
23.7 Perhatian Privasi Sistem TI
Beberapa masalah privasi yang berkembang dimana jaringan masalah saat ini
menjelaskan beberapa masalah keamanan siber (meskipun masalah ini tidak selalu
merupakan masalah audit pengendalian internal):
Masalah privasi data. Data dikumpulkan dari individu dan perusahaan secara
berkala, tanpa persetujuan mereka dan seringkali tanpa mereka sadari.
Privasi online dan masalah E-commerce. Strategi peningkatan privasi dapat
dilakukan dengan Identifikasi Frekuensi Radio (RFID) dan hukum
perlindungan privasi federal US.
23.8 Kerangka Keamanan NIST Cyber
National institute for standards and technology (NIST) merilis kerangka kerja
keamanan, kompilasi pedoman berbasis risiko yang dirancang untuk membantu
perusahaan menilai kemampuan mereka saat ini dan menyusun peta jalan yang
diprioritaskan untuk meningkatkan keamanan. Sebagai arean dimana auditor internal
dapat membantu dalam kegiatan asesmennya, kerangka kerja NIST meminta TI dan
manajemen untuk awalnya menilai kualitas praktik keamanan siber. Setelah penilaian
ini selesai, perusahaan dapat menggunakan kriteria NIST untuk meingkatkan postur
keamanan sibernya dan mengembangkan profil target keamanan perusahaan. profil
target NIST dapat mengidentifikasi celah yang harus ditutup untuk meningkatkan
praktik keamanan siber dan memberikan dasar untuk peta jalan yang diprioritaskan
untuk mencapai peningkatan. Kerngka kerja NIST menambahkan fungsi:
1. Kebijakan. Kebijakan terdokumentasi formal dan terkini harus ada yang
tersedia untuk karyawan
2. Prosedur. Harus tersedia menerapkan control keamanan yang diidentifikasi
oleh kebijakan yang ditentukan.
3. Implementasi. Prosedur dikomunikasikan kepada individu yang dibutuhkan
untuk mengikuti mereka.
4. Test. Pengujian secara rutin dilakukan untuk mengevaluasi kecukupan dan
efektivitas implementasi dan memastikan bahwa prosedur, kebijakan, dan
control bertindak sebagaimana mestinya.
5. Integrasi. Mempertimbangkan kebijakan, prosedur, dan pengujian.
Kerangka NIST cybersecurity adalah seperangkat panduan keamanan yang
menyeimbangkan kepatuhan keamanan TI dengan standar manajemen risiko.
Meskipun kerangka kerjanya bersifat sukarela, perusahaan di banyak industry dapat
memperoleh manfaat yang signifikan dengan mengadopsi pedoman pada toleransi
risiko tingkat tinggi. Melakukannya tidak hanya membantu meningkatkan program
keamnaan siber, tetapi juga potensi memajukan kedudukan peraturan dan hukum
untuk masa depan. Berikut ilustrasi langkah implementasi kerangka kerja NIST:
Langkah pada ilustrasi diatas yang pertama yaitu dengan mengidentifikasi sponsor
dan yang terlibat, menilai postur keamanan siber saat ini, tentukan & jalankan profil
target, dan langkah yang terakhir yaitu memantau, berkomunikasi & berkolaborasi.
Auditor internal harus memiliki kesadaran umum tentang kerangka NIST dan
setidaknya harus berada dalam posisi untuk menanyakan baik TI dan manajemen
umum tentang rencana apapun untuk mengadopsinya.
23.9 Mengaudit Keamanan dan Privasi TI
Secara singkat berikut ini merupakan prosedur audit pengendalian internal
cybersecurity:
1. Mendokumentasikan dan memahami jaringan TI
2. Control keamanan konfigurasi jaringan
3. Control akses sistem jaringan
4. Pahami siapa yang memiliki akses ke jaringan
5. Meninjau tingkat dan arus prosedur cybersecurity
6. Control tindakan pencegahan-pencegahan keamanan
7. Teknik pemantauan dan investigasi insiden keamanan
8. Pelatihan keamanan cyber.
Gambar berikut ini menunjukkan prosedur audit pengendalian internal cybersecurity
secara rinci,
23.10 Dasar PCI DSS
Standar keamanan data atau standar cybersecurity PCI DSS harus digunakan oleh
siapa saja yang ingin menerima kartu kredit sebagai bentuk pembayaran. PCI DSS
telah dibentuk untuk memenuhi sejumlah besar local dan aturan pembayaran kartu
kredit nasional dan juga untuk mengikuti pedoman kredit kartu perusahaan utama.
Standar tersebut berisi konfigurasi dan pedoman audit, dan mencakup perangkat TI
apapun yang menerima kartu kredit sebagai pembayaran. Berikut 12 persyaratan dasar
implementasi PCI DSS:
1. Instal dan pertahankan konfigurasi firewall untuk dilindungi data pemegang
kartu
2. Jangan gunakan default yang disediakan vendor untuk sistem sandi dan
parameter keamanan lainnya
3. Lindungi data yang disimpan dan jangan simpan kartu dan transaksi data yang
tidak perlu
4. Mengenkripsi transmisi data pemegang kartu dan sensitive informasi di
seluruh jaringan publik
5. Gunakan dan perbarui perangkat lunak antivirus secara teratur
6. Mengmbangkan dan memelihara sistem dan aplikasi yang aman
7. Batasi akses ke data berdasarkan kebutuhan bisnis
8. Tetapkan ID unik untuk setiap orang yang memiliki akses computer
9. Batasi akses fisik ke data pemegang kartu
10. Lacak dan pantau semua akses ke sumber daya jaringan dan data pemegang
kartu
11. Menguji sistem dan proses keamanan secara teratur
12. Menetapkan dan memeliharan prinsip keamanan tingkat tinggi dan prosedur.
Auditor internal yang perusahaannya menggunakan transaksi pembayaran kartu kredit
mungkin terlibat dengan upaya kepatuhan PCI DSS, tetapi jika tidak, mereka harus
membuat komunikasi dalam organisasi mereka. Prosedur audit harus disesuaikan
untuk memastikan kepatuhan PCI DSS.
23.11 Keamanan dan Privasi dalam Departemen Audit Internal
Pada era pencatatan elektronik saat ini adanya risiko privasi dan keamanan audit
internal yang lebih besar. Audit internal selalu membawa laptop atau tabletnya saat
bekerja untuk mengaudit tugas dan membawanya ke lokasi auditee. Sedangkan di
dalam laptop tersebut terdapat data-data atau file dan informasi penting, laptop
tersebut juga memiliki nilai intrinsic, sedangkan laptop ini dapat hilang atau dicuri.
Berikut ini Teknik penting untuk melindungi laptop auditor:
Tetapkan tanggung jawab pribadi untuk laptop auditor
Memulai prosedur pencadangan file secraa berkala
Gunakan kunci fisik dan mekanisme keamanan
Gunakan sistem antivirus dan alat lainnya
Praktik untuk keamanan kertas kerja Audit Internal:
Tetapkan standar kertas kerja departemen audit internal, seperti menangkap
bukti audit, merekam volume bukti massal, dsb.
Kembangkan prosedur umum
Buat sistem pengindeksan atau penomoran umum untuk semua kertas kerja
yang mengidentifikasi unit
Bangun databse yang komperhensif untuk menghubungkan semua kertas kerja
ke audit, laporan selesai, dan temuan penting
Baik hard copy atau soft copy, buat praktik tinjauan kertas kerja yang
konsisten untuk mengidentifikasi waktu tinjauan pengawasan file dan sifat
setiap perubahan
Lakukan pengujian kualitas file kertas kerja audit lama untuk menentukan
aksesibilitas berkelanjutan.
Secara berkala 10 tahuan, tinjau sampel file kertas kerja lama untuk
menentukan kompatibel dengan versi perangkat lunak yang digunakan
23.12 Privasi Audit Internal dan Peran Keamanan Cyber
Seluruh auditor internal harus lebih memahami tentang risiko dan masalah keamanan
siber dan privasi yang telah dibahas, meskipun hal ini akan terus berkembang. Seluruh
pengguna computer saat ini telah menyadari risiko virus computer dan malware
lainnya, tetapi auditor internal harus melangkah lebih jauh dan memahami jenis
control yang dapat diterapkan untuk menghilangkan risiko tersebut dan kemudian
mengambil tindakan untuk mencegahnya.
CH 24: Business Continuity and Disaster Recovery Planning
Bab ini memperkenalkan beberapa praktik terbaik untuk kelangsungan bisnis TI yang efektif
dan perencanaan pemulihan bencana untuk digunakan auditor internal saat meninjau kontrol
internal di area kritis perusahaan ini. Bersama dengan grup lain seperti hukum dan keamanan
TI, auditor internal terus memiliki peran kunci dalam meninjau, menguji, dan mengevaluasi
proses perencanaan kelangsungan bisnis perusahaan mereka. Bab ini secara singkat
memperkenalkan beberapa alat teknis saat ini yang meningkatkan prosedur kelangsungan
bisnis. Sementara semua auditor internal seharusnya hanya memiliki pengetahuan umum
tentang standar manajemen kontinuitas TI, mereka harus memiliki keterampilan untuk
menilai dan merekomendasikan prosedur kesinambungan TI umum yang efektif, persyaratan
pengetahuan CBOK audit internal yang penting.
24.1 IT DISASTER AND BUSINESS CONTINUITY PLANNING TODAY
Sepanjang 1980-an dan awal 1990-an, solusi pemulihan bencana TI yang umum adalah
membuat pengaturan dengan fasilitas pemrosesan data pemulihan bencana jarak jauh untuk
menangani pemrosesan darurat apa pun. File dan program cadangan utama disimpan di lokasi
off-site, dengan rencana meminta staf TI untuk pindah ke fasilitas alternatif itu jika terjadi
peristiwa bencana. Para profesional memikirkan bencana TI hanya dalam kaitannya dengan
kebakaran, banjir, atau situasi cuaca buruk lainnya. Pada hari-hari sebelumnya, terutama
sistem mainframe, perusahaan rencana pemulihan bencana TI. Ini termasuk penandatanganan
"perjanjian timbal balik" dengan lokasi terdekat yang memiliki sumber daya TI serupa
sehingga masing-masing dapat pindah ke lokasi lain untuk diproses jika terjadi keadaan
darurat di satu lokasi. Kesepakatan timbal balik antara dua CIO kedengarannya bagus secara
teori, tetapi mereka tidak pernah benar-benar berhasil melampaui bantuan tingkat rendah,
hampir seperti bantuan kemanusiaan. Dengan era klien-server dan perangkat lunak sebagai
layanan aplikasi berbasis web saat ini, perusahaan saat ini menghadapi serangkaian risiko
baru seputar aset TI-nya. Untuk sebagian besar perusahaan, tidak ada lagi satu atau beberapa
fasilitas komputer utama atau pusat untuk menangani aplikasi TI utama melainkan berbagai
perangkat desktop, server, dan sistem komputer lain yang terhubung melalui komunikasi
yang sangat kompleks dan jaringan manajemen penyimpanan, dan ditautkan ke internet.
Perusahaan tidak memiliki semua sumber daya TI yang terikat pada satu atau beberapa pusat
data pusat, dan manajemen lebih tertarik untuk menjaga dan menjalankan TI daripada
mengkhawatirkan risiko kehilangan fasilitas sistem komputer pusat. Saat ini perusahaan perlu
membangun proses kesinambungan bisnis ketika menghadapi kejadian yang tidak terduga.
Para profesional saat ini lebih sering memikirkannya pentingnya rencana kesinambungan
bisnis, prosedur dan proses yang diperlukan memulihkan operasi bisnis secara keseluruhan.
Rencana kesinambungan bisnis yang tidak tepat atau tidak direncanakan dengan baik bisa
menjadi sangat mahal untuk perusahaan, dan auditor internal harus mengerti, meninjau, dan
menguji kepatuhan program ini saat melakukan aplikasi spesifik, TI umum, atau tinjauan
pengendalian internal lainnya. Kegagalan sistem akan mengganggu pemrosesan bisnis
normal, tetapi bencana yang menyebabkan hilangnya catatan kunci bisa bahkan lebih parah.
Pesannya di sini adalah ketersediaan sistem dan bisnis yang tinggi kesinambungan sangat
penting bagi suatu perusahaan, dan auditor internal harus memiliki pemahaman CBOK untuk
terus mencari area di mana mereka dapat menyarankan perencanaan kontinuitas bisnis dan
peningkatan ketersediaan TI. Bagian berikut menguraikan aktivitas dan prosedur audit
internal yang disarankan dalam bidang yang sangat penting ini yang disebut perencanaan
kesinambungan bisnis (BCP), proses yang lebih deskriptif dan penting daripada yang dikenal
sebagai konsep yang lebih lama dan lebih tradisional dari apa yang dulu kita sebut
perencanaan pemulihan bencana TI.
24.2 AUDITING BUSINESS CONTINUITY PLANNING PROCESSES
Auditor internal harus selalu mencari keberadaan BCP saat ini dan yang telah diuji, apakah
mereka melakukan peninjauan atas kontrol umum atas sistem server kantor, operasi TI utama,
atau aplikasi spreadsheet desktop yang digunakan untuk catatan kantor. Dengan kesadaran
manajemen TI yang kuat untuk memiliki beberapa tingkat proses di tempat, auditor internal
umumnya tidak akan membuat terobosan baru ketika mereka mencari keberadaan prosedur
BCP. Namun, mereka mungkin sering menemukannya kedaluwarsa, tidak diuji, atau terlalu
sering tidak efektif. Tujuan dari masing-masing lingkungan ini adalah untuk memastikan
bahwa proses kesinambungan bisnis ada. Meskipun ada ruang untuk jenis bantuan tersebut,
peran auditor internal dalam setiap deskripsi ini harus menilai kecukupan prosedur BCP dan
membuat rekomendasi yang efektif. Tidak peduli ukuran lingkungan TI dan area bisnis yang
dicakup, auditor internal harus mengembangkan pemahaman yang baik tentang risiko relatif
yang terkait dengan kehilangan atau gangguan tak terduga dalam layanan TI, teknologi yang
digunakan dan digunakan, serta sifat teknis dan bisnis dari lingkungan. Meskipun sebenarnya
tidak ada satu ukuran yang cocok untuk semua di sini, auditor internal perlu memahami
lingkungan BCP dan sifat pengujian dan evaluasi yang sedang berlangsung untuk membuat
rekomendasi audit internal yang sesuai.
Internal Auditor Centralized Server Center BCP Reviews
BCP adalah garis besar langkah-langkah
yang diperlukan untuk membantu
perusahaan pulih dari gangguan layanan
utama, baik dari kebakaran atau keadaan
darurat cuaca yang serius, kerusakan
peralatan komputer atau jaringan, atau
bentuk gangguan besar lainnya. Sasaran
BCP adalah membantu perusahaan
mengurangi dampak pemadaman akibat
bencana atau gangguan layanan yang
diperpanjang ke tingkat yang dapat
diterima dan menghidupkan kembali
operasi bisnis secara online. Seperti yang
telah dibahas, BCP mewakili perubahan
penekanan dari apa yang pernah disebut
oleh profesional TI sebagai rencana
pemulihan bencana. Penekanan utama
dari rencana lama tersebut adalah untuk
membuat sistem TI dan operasi
pemrosesan data bekerja sementara BCP
menekankan kebutuhan untuk operasi
unit bisnis yang berkelanjutan. BCP yang
efektif sangat penting bagi perusahaan,
dan manajemen bertanggung jawab atas kelangsungan dan keberlanjutan operasi total untuk
melayani pelanggan dan penerima layanan. Banyak perusahaan dan sebagian besar
perusahaan pemerintah diwajibkan oleh undang-undang untuk mengembangkan rencana
kesinambungan bisnis ini. Dalam kasus lain, undang-undang secara efektif membutuhkan
BCP. The Sarbanes ‐ Oxley Act (SOx), misalnya, mengharuskan perusahaan terdaftar untuk
dapat melaporkan hasil keuangan mereka secara tepat waktu. Kegagalan sistem bukanlah
alasan, dan BCP yang efektif akan membantu mendukung perusahaan di sini.
Prosedur Audit BCP, Manajemen Proyek, Analisis Risiko, dan Analisis Dampak
Saat meninjau BCP untuk unit TI, auditor
internal biasanya tidak terlibat dalam
proses manajemen proyek yang sangat
penting untuk membangun rencana
semacam itu. Kecuali audit internal
terlibat dalam proses pra-implementasi
BCP. Fungsi TI perusahaan, sering kali
bekerja sama dengan pemilik utama
aplikasi, biasanya akan terlibat dengan
peluncuran proyek untuk
mengembangkan BCP. Saat meninjau
kontrol internal BCP IT, terutama yang
baru diluncurkan, auditor internal harus
meminta untuk melihat rencana proyek
yang dibuat untuk membangun BCP
aplikasi mencakup aplikasi utama. Lebih
penting lagi, auditor internal harus
mencari bukti penilaian risiko untuk
menentukan mengapa aplikasi tertentu
membutuhkan perawatan pemulihan
penuh di BCP. Untuk memperjelas,
seluruh konfigurasi perangkat keras dan
perangkat lunak harus disiapkan
pemulihan penuh dalam program BCP. Setelah dipulihkan, semua perangkat keras dan
perangkat lunak TI harus beroperasi kembali. Namun, mungkin tidak perlu memulihkan
semua tindakan atau proses trans aplikasi untuk beberapa aplikasi berisiko rendah. Prosedur
kelangsungan bisnis mengacu pada prosedur yang menangkap setiap transaksi aktif yang
sedang dalam proses selama pemadaman system. Tampilan 24.2 berisi prosedur audit internal
BCP untuk meninjau audit internal pusat data utama atau terpusat. Bagian utama dari fasilitas
terpusat adalah rencana tanggap darurat. Ini adalah proses dalam mode seperti bor kebakaran
yang memungkinkan fasilitas TI bereaksi jika terjadi keadaan darurat tak terduga.
Operasi Rencana Tanggap Darurat
Perusahaan harus membuat rencana tanggap darurat dengan penekanan pada dua jenis insiden
darurat yang signifikan. Yang pertama adalah jenis keadaan darurat kebakaran di dalam
gedung di mana rencana tanggap darurat pendukung akan mencakup pintu keluar kebakaran
yang dipasang dan latihan kebakaran yang sering dilakukan. Jenis rencana tanggap darurat ini
harus mencakup semua operasi perusahaan, termasuk sumber daya TI, dan harus diuji secara
teratur. Tingkat kedua dari rencana tanggap darurat harus mencakup insiden individu tertentu
yang mungkin atau mungkin tidak menjadi signifikan, tetapi harus segera diperbaiki diikuti
dengan penyelidikan dan rencana tindakan korektif untuk mencegah insiden lebih lanjut. Ini
disebut insiden darurat, dan sering kali mencakup hal-hal seperti pelanggaran keamanan atau
pencurian perangkat keras atau perangkat lunak. Sebuah rencana tanggap darurat yang baik
harus segera ditindaklanjuti untuk meminimalkan efek pelanggaran lebih lanjut. Ini juga
harus diformulasikan untuk mengurangi publisitas negatif dan untuk memusatkan perhatian
pada waktu reaksi yang cepat. Rencana tanggap darurat insiden dapat dipisahkan menjadi
empat bagian:
1. Kegiatan tanggap langsung. Apakah insiden yang terjadi merupakan pelanggaran
keamanan, pencurian aset, atau gangguan fisik, sumber daya harus tersedia untuk
menyelidiki masalah tersebut dan segera mengambil tindakan korektif.
2. Investigasi insiden. Semua masalah yang dilaporkan harus diselidiki sepenuhnya
untuk menentukan situasi yang menyebabkan keadaan darurat tersebut dan
kemungkinan tindakan korektif di masa depan.
3. Koreksi atau restorasi. Sumber daya harus tersedia untuk memperbaiki atau
memulihkan hal-hal yang diperlukan. Karena insiden darurat dapat mencakup
berbagai area, sumber daya ini dapat mencakup spesialis keamanan sistem informasi,
keamanan gedung manajer, atau lainnya.
4. Pelaporan kejadian darurat. Seluruh kejadian darurat dan tindakan selanjutnya harus
didokumentasikan bersama dengan analisis pembelajaran dan rencana lebih lanjut
untuk tindakan korektif.
Client‐Server Continuity Planning Internal Audit Procedures
Lingkungan TI klien-server mungkin berisi
beberapa sistem server yang mencakup
aplikasi, database, dan operasi Web. Ini adalah
karakteristik perusahaan kecil di mana ada
dukungan TI terbatas untuk perusahaan tetapi
di mana sistem TI sangat penting untuk operasi
bisnis yang sedang berlangsung. Perusahaan
kecil atau menengah yang tidak memiliki BCP
yang efektif untuk operasi TI-nya menghadapi
risiko yang besar. Sumber daya audit internal di
perusahaan seperti itu sering kali dapat
berfungsi sebagai suara utama dalam
mengingatkan manajemen perusahaan akan
risiko kegagalan aplikasi utama dan perlunya
prosedur BCP yang efektif. Langkah-langkah
dasar untuk membangun BCP yang efektif
untuk perusahaan kecil atau menengah pada
dasarnya sama dengan membangun rencana
semacam itu untuk perusahaan besar. Aktivitas
utamanya adalah mencadangkan, mencadangkan, dan terus mencadangkan file dan aplikasi
utama, dan audit internal dapat menjadi sumber daya penting untuk meninjau proses BCP
yang ada dan membuat rekomendasi audit internal yang sesuai. Perusahaan kecil hingga
menengah seringkali tidak memiliki pengaturan hot site formal untuk pemrosesan backup
daruratnya, dengan alasan bahwa vendor perangkat keras dan perangkat lunak pendukung
dapat memasang fasilitas pengganti dalam waktu singkat. Proses ini relatif mudah saat ini
dengan banyaknya perangkat penyimpanan berbiaya rendah dan berkapasitas tinggi yang
tersedia. Audit internal harus peka terhadap kebutuhan BCP yang efektif.
Perencanaan Kontinuitas untuk
Aplikasi Desktop, Laptop, dan
Perangkat Genggam
Manajer kunci di banyak perusahaan
telah membangun file penting dan
tempat penyimpanan informasi
lainnya di laptop dan perangkat
desktop pribadi mereka. BCP yang efektif sama pentingnya, jika tidak lebih, untuk file data
ini daripada database pendukung untuk aplikasi bisnis. Auditor internal harus menyadari
risiko BCP seputar perangkat laptop khususnya. Banyak auditor internal saat ini
menggunakan komputer audit laptop untuk mencatat hasil mereka, menyimpan data
pengujian, dan membawa banyak data terkait laporan audit lainnya. Meskipun departemen
audit internal harus memiliki prosedur yang kuat secara teratur yang mengharuskan auditor
internal untuk mencadangkan pekerjaan mereka ke lokasi terpusat, insiden seperti komputer
audit yang dicuri atau rusak dapat memengaruhi kemajuan audit internal dan bahkan
merepresentasikan pelanggaran keamanan. Sama seperti fungsi audit internal yang harus
memiliki prosedur yang kuat untuk pencadangan dan penyimpanan pekerjaan pada perangkat
desktop dan laptop tunggal, perusahaan harus memiliki beberapa pencadangan di seluruh
perusahaan dan prosedur BCP yang kuat untuk semua pemangku kepentingan yang
menggunakan laptop dan perangkat portabel lainnya.
24.3 MEMBANGUN RENCANA KEBERLANJUTAN BISNIS TI
Tujuan utama proyek BCP haruslah pengembangan dan pengujian rencana yang terstruktur
dengan baik dan koheren yang akan memungkinkan perusahaan untuk memulihkan operasi
bisnis normal secepat dan seefektif mungkin dari bencana atau keadaan darurat tak terduga
yang mengganggu layanan TI normal. Juga harus ada sub-tujuan untuk memastikan bahwa
semua karyawan dan pemangku kepentingan terkait lainnya memahami sepenuhnya tugas
mereka dalam mengimplementasikan BCP, bahwa kebijakan keamanan informasi ditaati di
semua kegiatan yang direncanakan, dan bahwa pengaturan kesinambungan bisnis yang
diusulkan hemat biaya. Hasil BCP harus terdiri dari:
- Risiko bisnis dan analisis dampak
- Kegiatan terdokumentasi yang diperlukan untuk mempersiapkan usaha menghadapi
berbagai kemungkinan keadaan darurat
- Kegiatan rinci untuk menangani kejadian bencana pada awalnya
- Prosedur untuk mengelola proses pemulihan bisnis, termasuk rencana pengujian
- Rencana untuk pelatihan BCP di berbagai tingkatan di perusahaan
- Prosedur untuk selalu memperbarui BCP
Risiko, Analisis Dampak Bisnis, dan Dampak Potensi Keadaan Darurat
BCP hari ini harus menyertakan
daftar deskriptif dari area bisnis
utama perusahaan, biasanya diurutkan
berdasarkan kepentingannya bagi
bisnis, serta deskripsi singkat tentang
proses bisnis dan ketergantungan
utamanya pada sistem, komunikasi,
personel, dan data. Berdasarkan risiko
pemadaman, tim BCP harus
mempelajari dan mendokumentasikan
persyaratan pemulihannya untuk
proses bisnis utamanya. Ini termasuk
prosedur proses bisnis, sistem
otomatis, dan persyaratan perangkat
keras plus perangkat lunak. Selain itu,
prosedur pencadangan dan pemulihan
yang ada harus dievaluasi ulang. Di
perusahaan yang lebih besar, pengaturan seperti BCP terkadang dibuat oleh unit bisnis
individu yang mungkin tidak konsisten dengan pengaturan BCP di seluruh perusahaan secara
keseluruhan. Sekali lagi, penekanannya harus pada pemulihan operasi bisnis, tidak hanya
pada membuat sistem otomatis dimuat ulang dan beroperasi kembali.
Mempersiapkan Kemungkinan Kontinjensi
Tujuan di sini adalah untuk mengidentifikasi cara-cara mencegah situasi darurat berubah
menjadi bencana yang lebih parah bagi perusahaan karena kurangnya kesiapsiagaan.
Perusahaan sering memiliki sumber daya untuk melakukan banyak hal sendiri, meskipun
banyak yang bergantung pada vendor luar untuk menyediakan layanan pemrosesan cadangan.
Apa pun strategi pencadangan yang digunakan, file dan dokumen utama harus selalu
disimpan di lokasi off-site yang aman. Tim pemulihan bencana dan pemulihan bisnis harus
ditunjuk dan dilatih, dengan pengujian berkala untuk memastikan keakraban berkelanjutan
mereka dengan proses. Perusahaan harus mempertimbangkan untuk menerapkan salah satu
dari strategi berikut:
- Operasi pemulihan yang sepenuhnya dicerminkan.
- Fasilitas hot site yang dapat dialihkan.
- Situs populer tradisional.
- Fasilitas cold site
- Pindahkan dan pulihkan.
- Tidak ada strategi.
Pemulihan Bencana: Penanganan Darurat
Tujuan dari fase BCP ini adalah untuk mengembalikan operasi perusahaan TI. Ini hampir
selalu melibatkan menghubungi situs pemrosesan alternatif yang ditunjuk, mengaktifkan jalur
komunikasi, membuat pengaturan untuk membawa tim ke situs itu, dan sebaliknya
mengambil langkah untuk memulihkan operasi. Dengan asumsi tim menggunakan vendor
situs populer, tim pemulihan bencana harus tiba di situs cadangan, mendapatkan versi sistem
operasi dan basis data kunci, dan memulai operasi produksi. Agar BCP dan pemulihan yang
dihasilkannya efektif, tim pemulihan harus mempertimbangkan dengan cermat dan
merencanakan serangkaian aktivitas yang berpotensi kompleks yang diperlukan untuk pulih
dari keadaan darurat yang serius. Pendekatan terencana kemungkinan besar akan
menghasilkan pemulihan yang lebih koheren dan terstruktur. Kemungkinan kejadian
mengganggu yang serius akan menghasilkan hasil yang tidak diharapkan yang mungkin
berbeda dalam beberapa hal dari hasil yang diprediksi yang terkandung dalam rencana. Tim
pemulihan harus meninjau prosedur atau strategi yang telah ditetapkan sebelumnya
sehubungan dengan situasi aktual yang timbul setelah kejadian darurat dan memodifikasi
prosedur ini sebagaimana mestinya.
Business Continuity Plan Enterprise Training
Untuk bertindak tanpa harus membalik-balik rencana yang diterbitkan untuk memutuskan
langkah berikutnya, tim proyek BCP perlu meluncurkan program pelatihan perencanaan
kesinambungan bisnis untuk anggota perusahaan di banyak tingkat yang perlu diketahui,
dengan empat saran tingkat pelatihan BCP;
- Level 1: Gambaran umum manajemen.
- Level 2: Pengguna sistem aplikasi utama.
- Level 3: Staf operasi dan sistem TI.
- Level 4: Anggota tim BCP.
24.4 PERENCANAAN KEBERLANJUTAN BISNIS DAN PERJANJIAN TINGKAT
LAYANAN
Agar BCP berfungsi antara TI dan unit bisnis, mereka harus mempertimbangkan untuk
bersama-sama menegosiasikan ekspektasi pemulihan mereka melalui perjanjian tingkat
layanan (SLA) formal. SLA adalah kontrak antara pemilik proses bisnis dan penyedia
layanan TI untuk tujuan layanan yang ditentukan. SLA dibahas sebagai bagian dari praktik
terbaik penyampaian layanan ITIL® (Information Technology Infrastructure Library) yang
dapat menjadi dasar untuk aktivitas kelangsungan bisnis. Auditor internal harus menyadari
pentingnya SLA dan harus mencari penerapan SLA yang efektif. SLA adalah perjanjian
antara TI dan operasi bisnis untuk menentukan tingkat minimum cadangan dan pemulihan
sistem komputer yang diharapkan. Mereka secara efektif merupakan kontrak antara TI dan
area pengguna utama untuk mendukung operasi normal sehari-hari juga sebagai tindakan
yang harus diambil jika terjadi gangguan layanan yang serius. SLA menggambarkan tingkat
layanan kelangsungan bisnis yang diharapkan dan dijanjikan dan merupakan blok bangunan
dasar untuk menetapkan rencana kesinambungan bisnis yang efektif. Auditor internal harus
menyadari pentingnya SLA saat meninjau perencanaan kesinambungan bisnis dan BCP
perusahaan.
24.5 MENGAUDIT RENCANA KEBERLANJUTAN BISNIS
Audit internal dapat dan harus memainkan peran penting dalam pengembangan BCP
perusahaan serta proses pengujiannya. Audit internal mungkin menawarkan sumber dayanya
untuk mengamati dan mengomentari hasil pengujian BCP, menyarankan skenario pengujian,
atau menawarkan nasihat konsultatif tentang kemajuan pengembangan BCP. Meskipun audit
internal dapat menjadi bagian dari proses BCP ini, mereka harus mundur secara berkala,
menegaskan independensi mereka, dan menjadwalkan audit berkala mengenai kecukupan
proses BCP dan prosedur pemulihan bisnis secara umum. Audit harus direncanakan dan
dijadwalkan sebagai bagian dari penilaian risiko reguler audit internal dan proses
perencanaan audit. Meskipun audit internal dapat memainkan peran sebagai pengamat dalam
proses pengujian BCP, untuk audit internal mal harus dijadwalkan untuk menilai secara
berkala semua aspek kesiapan BCP dan proses kecukupan yang ada. Audit internal harus
berhati-hati terhadap garis tipis antara bertindak sebagai penasihat tim BCP dan mengaudit
proses mereka, di mana komite audit mungkin merupakan pihak yang berkepentingan dengan
kecukupan keseluruhan proses BCP untuk kelangsungan korporasi. Kajian audit internal atas
proses BCP perusahaan harus didasarkan pada hal-hal seperti kecukupan dan kemutakhiran
dokumentasi BCP-nya, hasil tes terjadwal, dan sejumlah masalah lainnya. Audit internal
harus mengkomunikasikan hasil tinjauannya di sini dengan manajemen perusahaan senior
serta komite audit. Hasil audit BCP harus dimasukkan dalam materi internal yang akan
menjadi bagian dari penilaian Pasal 404 pengendalian internal perusahaan.
24.6 PERENCANAAN KEBERLANJUTAN BISNIS SELANJUTNYA
Karena perusahaan menjadi semakin bergantung pada sistem bisnis otomatis TI mereka,
prosedur untuk menjaga proses tersebut tetap beroperasi dalam keadaan darurat atau bencana
lainnya menjadi semakin penting. Aturan lama "pemulihan bencana" juga telah berubah.
Bisnis membutuhkan kemampuan untuk menjalankan kembali semua prosesnya dengan
penundaan yang minimal. Auditor internal memiliki peran penting di sini dalam membantu
manajemen untuk menerapkan proses BCP yang efektif dan secara teratur menilai operasi
dan kontrol mereka. Meskipun ada banyak variasi dan pendekatan untuk implementasi yang
efektif, semuanya auditor internal harus memiliki setidaknya pengetahuan umum tentang
persyaratan BCP dan bagaimana menilai proses tersebut. Dalam dunia yang sangat otomatis
saat ini, pemahaman tentang persyaratan BCP dan praktik terbaik harus menjadi persyaratan
bagi CBOK seorang internal auditor.
Chapter 25
KOMUNIKASI DEWAN KOMITE AUDIT
25.1. PERAN KOMITE AUDIT
Langkah penting dalam mengatur fungsi audit internal yang efektif adalah
mendapatkan otorisasi dan persetujuan dari komite audit dewan direksi perusahaan.
Komite audit memberikan otorisasi yang luas ini untuk fungsi audit internal melalui
dokumen piagam audit formal. Komite audit perusahaan perusahaan juga menyetujui
rencana keseluruhan audit internal untuk melanjutkan kegiatan selama periode saat ini
dan seterusnya. Salah satu anggota komite audit tersebut harus ditunjuk sebagai pakar
keuangan sesuai aturan SOx. Untuk memenuhi tanggung jawabnya kepada dewan direksi
secara keseluruhan, kepada pemegang saham, dan publik, komite audit perlu
meluncurkan dan mengelola fungsi audit internal yang harus menjadi mata dan telinga
independen di dalam perusahaan, memberikan penilaian. pengendalian internal dan hal-
hal lain.