Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Dalam dunia ini, dominasi sistem TI serta komunikasi jaringan dan nirkabel yang lebih
kompleks dan nirkabel, keamanan dan kontrol privasi atas data dan informasi penting bagi
perusahaan serta sistem individu pengguna. Hampir setiap hari kita mendengar tentang, atau
kadang-kadang mengalami sendiri, situasi di mana file sistem kunci kita dan data telah diakses
secara tidak benar atau diretas, atau file dan catatan pribadi yang vital telah dicuri, diubah, atau
diberikan kepada pihak yang tidak berwenang. Beberapa dari ini, apa yang kita sebut
pelanggaran cybersecurity, sering hanya hasil dari pengendalian internal yang buruk, tetapi
yang lain adalah produk dari skema penyimpanan data yang sangat canggih. Sementara
pelanggaran cybersecurity kompleks seperti itu berada di luar keterampilan teknis banyak
orang untuk mencegah, yang lain dapat dicegah dengan kontrol keamanan cyber yang kuat,
yang membentuk area yang sangat penting dari audit internal yang mengendalikan
kekhawatiran TI.
Bab ini menjelaskan beberapa masalah dan risiko cybersecurity yang lebih signifikan
hari ini dan membahas keamanan sosio-dunia IT dan kontrol privasi di dua area yang luas.
Pertama, kami akan fokus pada beberapa dari sekian banyak ancaman keamanan cyber dan
privasi yang harus dipertimbangkan oleh auditor internal dalam ulasan mereka tentang sistem
dan proses berbasis IT. Bab ini akan membahas beberapa proses kontrol cybersecurity yang
efektif yang dapat diperiksa dan direkomendasikan oleh auditor internal dalam pekerjaan
mereka. Kami juga akan memperkenalkan kerangka kerja keamanan maya NIST (Institut
Nasional Standar dan Teknologi), alat yang efektif untuk membantu mengelola isu-isu
keamanan dunia maya. Cybersecurity saat ini melampaui empat dinding tradisional di sekitar
pusat operasi TI dan mencakup hal-hal seperti manajemen vendor yang efektif di mana
kontraktor luar atau entitas lain mungkin menggunakan sumber daya TI perusahaan dan dapat
menimbulkan risiko keamanan siber tambahan.
Bab ini akan diakhiri dengan diskusi tentang keamanan dunia maya dan kontrol
kerahasiaan yang harus menjadi bagian dari departemen audit internal dan prosedur operasi.
Mengikuti pepatah lama bahwa “anak-anak pembuat sepatu tidak memiliki sepatu,” fungsi
audit internal terkadang gagal untuk menerapkan perlindungan keamanan dan perlindungan
privasi yang tepat atas proses audit internal mereka sendiri. Ini termasuk kontrol yang memadai
atas bahan bukti audit, kertas kerja audit internal, sumber daya komputer laptop auditor, dan
banyak lainnya. Meskipun setiap departemen audit berbeda, bab ini akan menyarankan praktik
terbaik untuk fungsi audit internal.
Karena ada tingkat kerumitan yang besar terhadap praktik cybersecurity TI, sebagian
besar auditor internal mungkin tidak memandang diri mereka sebagai ahli teknis di banyak
bidang ini. Namun, banyak dari kekhawatiran ini hanya membutuhkan pemahaman yang baik
tentang proses kontrol internal yang efektif seperti yang dibahas di seluruh buku ini. Semua
auditor internal harus mendapatkan pengetahuan tingkat tinggi tentang pengetahuan umum
(CBOK) tentang risiko keamanan siber, kontrol internal yang terkait, dan mekanisme
pencegahan. Juga, auditor internal harus memahami kapan dia perlu mencari bantuan dan saran
ahli keamanan berpengalaman saat melakukan audit internal.
Saat meninjau kontrol internal aplikasi TI, auditor internal harus selalu mencari
penggunaan kata sandi yang efektif. Literatur keamanan IT diisi dengan panduan tentang
penggunaan kata sandi, dan beberapa praktik terbaik dalam penggunaan kata sandi TI meliputi:
Kata sandi adalah tanggung jawab pengguna untuk membuat, tetapi aturan administratif
harus dibuat untuk membuat mereka sulit untuk ditebak oleh orang lain. Misalnya,
kontrol dan bimbingan harus dilakukan untuk mencegah penggunaan tanggal lahir atau
nama panggilan karyawan sebagai kata sandi.
Kata sandi harus disusun sedemikian rupa sehingga sulit untuk ditebak. Misalnya,
keamanan TI dapat menetapkan aturan yang membutuhkan campuran huruf dan angka
dalam huruf besar dan kecil dalam kata sandi.
Proses harus dilakukan untuk meminta penggantian kata sandi yang sering. Terkadang
sistem operasi komputer mengatur kontrol ini, jika tidak, prosedur harus ada di tempat
yang membutuhkan perubahan kata sandi secara teratur.
Proses harus dilakukan untuk memantau kata sandi, menolak akses setelah dua atau tiga
upaya kata sandi tidak valid, dan memungkinkan kata sandi disetel ulang melalui
prosedur administratif. Proses-proses ini juga harus memungkinkan pengguna untuk
menerima pengganti jika kata sandi telah dilupakan.
Sistem yang menghasilkan atau memerlukan kata sandi yang sangat panjang atau rumit
tidak boleh dipasang. Jika kata sandi terlalu rumit dan sulit untuk diingat, pengguna
akan menuliskannya dan mempostingnya sebagai pengingat, dan tujuan sandi rahasia
akan hilang.
Prosedur yang berorientasi pada perusahaan yang kuat harus diterapkan pada
penggunaan kata sandi. Artinya, panduan harus melarang berbagi kata sandi atau
menyimpannya di tempat-tempat yang mudah dilihat.
Penggunaan kata sandi yang efektif adalah kontrol otentikasi keamanan TI yang
penting. Ada sistem otentikasi lain, seperti sidik jari atau bahkan scanners iris untuk beberapa
aplikasi yang sangat sensitif, tetapi sistem kata sandi yang efektif mungkin yang terbaik untuk
aplikasi bisnis biasa. Auditor internal harus menyadari persyaratan untuk kontrol kata sandi
yang baik dan harus mencari sistem kata sandi yang efektif sebagai bagian dari banyak tinjauan
mereka tentang kontrol internal aplikasi IT. Auditor internal harus selalu mengingat bahwa
kata sandi adalah garis pertahanan pertama untuk melindungi sumber daya TI. Mereka harus
dijaga tetap aman dan pribadi, sering berubah, dan penggunaan mereka dan upaya akses yang
tidak benar dipantau.
Auditor internal harus mengakui bahwa virus perangkat lunak adalah ancaman konstan
dan mencari penerapan perangkat lunak antivirus yang efektif untuk setiap sistem komputer
yang ditinjau, baik itu sistem TI pusat tingkat perusahaan atau laptop bisnis. Auditor internal
harus menentukan bahwa versi terkini dari perangkat lunak perlindungan perangkat lunak
diinstal, yang secara teratur diperbarui, dan tindakan yang diambil ketika virus terdeteksi.
Kebijakan dan kontrol perangkat lunak harus diberlakukan untuk membatasi perangkat lunak
tidak sah agar tidak diperkenalkan ke dalam operasi sistem TI, baik dalam bentuk upaya untuk
mengunduh program tidak sah dari internet atau flash drive dan CD yang ingin dimuat oleh
karyawan di laptop rumah mereka.
Ada liputan media yang luas tentang masalah ini, dengan kesadaran publik yang
semakin besar tentang masalah privasi online. Beberapa undang-undang privasi Internet A.S.
diperkirakan akan diteruskan di tahun-tahun mendatang yang akan memberikan perlindungan
konsumen yang kuat di bidang ini. Meskipun komentar kami bersifat spekulatif, undang-
undang tersebut dapat mengamanatkan bahwa setiap situs web komersial memberikan
kebijakan privasi, menjelaskan dengan jelas praktik pengumpulan datanya, dan memberikan
cara yang berarti bagi pengunjung untuk mencegah data pribadi mereka diambil dan dijual ke
perusahaan lain.
Penjahat sering mencari cara rekayasa sosial untuk menipu pengguna dan mencuri
identitas pengguna itu. Kontrol yang efektif tidak selalu sangat rumit. Misalnya, pengguna
harus berhati-hati terhadap pesan e-mail dengan alamat URL di dalamnya meminta penerima
untuk menghubungi pengirim melalui tautan internet tersebut. Kontrol yang sangat sederhana
adalah selalu memanggil pengirim yang seharusnya, menggunakan nomor dari buku telepon
atau online, untuk mengkonfirmasi bahwa mereka mengirim pesan sebelum menanggapi
melalui internet. Kegagalan untuk merespons dengan cara itu mengurangi kemungkinan
memiliki identitas dan informasi autentikasi yang dicuri atau rekening bank yang dirampas.
Auditor internal harus sadar bahwa risiko dan masalah sosial TI yang terus berkembang
ini menjadi perhatian yang semakin besar. Meskipun merupakan tanggung jawab perusahaan
untuk mendidik komunitas pengguna mereka dan memperingatkan orang-orang untuk
menghindari penipuan seperti itu, auditor internal harus menyadari skema tersebut dan mencari
peringatan yang tepat ketika diminta. Banyak dari kerentanan ini dapat dipicu oleh karyawan
perusahaan individu hanya mencoba melakukan hal yang benar dengan menanggapi, misalnya,
ke email yang tampak sah yang meminta bantuan. Ada kebutuhan untuk program pendidikan
perusahaan yang kuat yang menguraikan risiko di sini dan langkah-langkah yang harus diambil
untuk melaporkan aktivitas yang mencurigakan.
Kode berbahaya, kata sandi, dan firewalls hanyalah beberapa dari sekian banyak
masalah keamanan yang dihadapi sistem dan jaringan TI saat ini. Lainnya termasuk kontrol
akses yang rumit, kebutuhan untuk menggunakan enkripsi ketika mentransmisikan data,
keamanan bertingkat dalam administrasi basis data, dan banyak lagi. Dari perspektif audit
internal, beberapa masalah keamanan komputer yang paling penting berpusat pada kebutuhan
untuk menetapkan dukungan manajemen yang kuat untuk program keamanan TI di tempat dan
pada program pendidikan pemangku kepentingan secara keseluruhan mengenai ancaman
keamanan jaringan IT dan kerentanan.
Apakah itu program aktif untuk memantau perangkat lunak malware, penempatan
firewall, atau masalah lainnya, auditor internal harus memiliki pemahaman umum CBOK yang
baik tentang jaringan dan prosedur pengendalian cybersecurity dalam tinjauan kontrol internal
TI yang sedang berlangsung. Dalam banyak hal, karena masalah ini menjadi lebih kompleks
secara teknis, risiko keamanan TI meningkat. Auditor internal mungkin bukan spesialis
keamanan TI yang kuat, dan mereka harus selalu dapat meminta bantuan dari spesialis
keamanan organisasi IT perusahaan.
Perlindungan hukum untuk privasi data bervariasi di seluruh dunia. Di Amerika Serikat
mereka lemah, dan pengumpulan data tak terbatas dari berbagai sumber, di lingkungan di mana
ada beberapa pembatasan hukum tentang bagaimana data dapat digunakan dan digabungkan,
dapat melanggar privasi dan menginjak-injak kebebasan sipil. Ada beberapa pembatasan di
Amerika Serikat tentang bagaimana data dapat dikumpulkan dan digabungkan, meskipun
hukum yang lebih kuat ada di negara-negara UE, Kanada, Selandia Baru, dan Australia.
Auditor internal harus memiliki pemahaman umum tentang masalah ini.
Kerangka kerja NIST ini telah menciptakan bahasa yang sama untuk memfasilitasi
percakapan tentang proses cybersecurity, kebijakan, dan teknologi, baik secara internal
maupun dengan entitas eksternal seperti penyedia layanan pihak ketiga dan mitra. NIST
mendorong organisasi untuk berbagi informasi terkini tentang kerentanan, informasi ancaman,
dan strategi tanggap.
Meskipun akan memerlukan beberapa pendidikan awal, manfaat potensial dari bahasa
cybersecurity umum dan peningkatan kolaborasi sangat kuat untuk audit internal, TI, dan
manajemen operasi. Kerangka kerja NIST memberikan diskusi tentang cybersecurity dalam
kosa kata manajemen risiko. Dalam konteks itu, para pemimpin eksekutif dan anggota dewan,
yang biasanya lebih paham dalam manajemen risiko, harus dapat lebih efektif
mengartikulasikan pentingnya dan tujuan cybersecurity. Ini juga dapat membantu perusahaan
untuk lebih memprioritaskan dan memvalidasi investasi berdasarkan manajemen risiko.
Kerangka kerja cybersecurity NIST adalah kumpulan panduan keamanan sosio global
pemerintah AS yang baru yang menyeimbangkan kepatuhan keamanan TI dengan standar
manajemen risiko. Meskipun kerangka ini bersifat sukarela, perusahaan di banyak industri
dapat memperoleh manfaat signifikan dengan mengadopsi pedoman pada tingkat toleransi
risiko tertinggi. Melakukannya seharusnya tidak hanya membantu meningkatkan program
cybersecurity, tetapi juga berpotensi memajukan peraturan dan kedudukan hukum untuk masa
depan. Exhibit 23.7 menggambarkan proses implementasi kerangka NIST ini.
Urutan eksekutif yang semula menciptakan kerangka NIST menetapkan bahwa badan
pengatur akan menentukan aspek mana dari kerangka kerja yang harus dimasukkan ke dalam
mandat peraturan yang ada di seluruh sektor industri. Akibatnya, kerangka ini dapat menjadi
standar de facto untuk peraturan keamanan dunia maya dan privasi dan dapat berdampak pada
definisi hukum dan pedoman pelaksanaan untuk keamanan dunia maya yang bergerak maju.
Akibatnya, perusahaan yang mengadopsi kerangka kerja pada tingkat toleransi risiko tertinggi
mungkin lebih baik diposisikan untuk mematuhi peraturan keamanan dunia maya dan privasi
masa depan.
Minimal, bisnis yang beroperasi dalam industri yang diatur harus mulai memantau
bagaimana regulator, penguji, dan entitas sektor-spesifik lainnya mengubah proses peninjauan
mereka sebagai tanggapan terhadap kerangka kerja ini. Kerangka kerja NIST juga dapat
menetapkan standar keamanan dunia maya untuk keputusan hukum di masa depan, dan di masa
depan pengadilan dapat mengidentifikasi kerangka NIST sebagai dasar untuk standar
keamanan siber yang “masuk akal”. Perusahaan yang belum mengadopsi kerangka kerja NIST
ke tingkat yang cukup (Tier 3 atau Tier 4), dapat dianggap lalai dan dapat dimintai
pertanggungjawaban atas denda dan kerusakan lainnya.
Auditor internal harus memiliki kesadaran umum tentang kerangka NIST dan
setidaknya harus berada dalam posisi untuk menanyakan baik IT dan manajemen umum
tentang rencana untuk mengadopsinya. Aturan panduan yang dikeluarkan pemerintah memiliki
kecenderungan untuk menjadi wajib seiring berjalannya waktu dan mereka menjadi lebih
diakui.
Tak satu pun dari pertanyaan-pertanyaan ini benar-benar membutuhkan auditor internal
untuk memiliki tingkat pengetahuan teknis yang super kuat. Sebaliknya, auditor internal
mengakui di sini bahwa firewall adalah kontrol keamanan yang efektif, secara umum, cara
pemasangannya untuk konfigurasi nirkabel perusahaan. Tentu saja, auditor internal selalu
menghadapi risiko menerima jawaban techno-mengoceh dari orang IT yang benar-benar ingin
mengesankan auditor atau membenci proses audit internal. Dalam hal ini, solusi terbaik adalah
menuliskan tanggapan dan menindaklanjuti nanti dengan beberapa personel sumber daya
teknis perusahaan lainnya. Namun, tanggapan umum terhadap pertanyaan-pertanyaan ini
mungkin menunjukkan beberapa kekuatan kontrol dan kelemahan di daerah yang ditinjau.
Langkah pertama audit internal yang baik dalam tinjauan cybersecurity apa pun adalah
memahami jaringan TI untuk ditinjau. Seiring waktu, jaringan TI tumbuh, dan bahkan anggota
manajemen dapat kehilangan jejak dari banyak interkoneksi yang dapat dilampirkan ke
jaringan. Ada berbagai perangkat lunak komersial dan bahkan perangkat internet freeware yang
tersedia untuk melihat keseluruhan jaringan dan mengidentifikasi semua perangkat dan
koneksi jaringannya. Audit internal harus bekerja dengan manajemen TI untuk menjalankan
alat analisis tersebut melalui jaringan TI mereka dan mengajukan pertanyaan yang sesuai untuk
mendapatkan pemahaman tentang lingkungan ini.
Banyak masalah kontrol internal cybersecurity lebih terkait dengan masalah
pengendalian internal yang baik daripada hanya natters teknis berat. Pelanggaran data Target
2013, yang dibahas sebelumnya dalam bab ini, terutama disebabkan oleh prosedur manajemen
yang buruk yang mencakup vendor pihak ketiga yang diizinkan mengakses tetapi tidak
diperiksa atau ditinjau secara memadai. Audit internal harus merencanakan dan menjadwalkan
tinjauan prosedur keamanan dunia maya perusahaan mereka. Jika fungsi audit internal tidak
memiliki keterampilan teknis yang diperlukan dalam lingkungan teknis yang rumit,
pertimbangan harus diberikan kepada kontrak dengan bantuan konsultan teknis dari luar.
Exhibit 23.8 berisi beberapa prosedur audit pengendalian internal cybersecurity.
Prosedur ini mungkin tidak memberikan cakupan lengkap dari semua masalah keamanan dunia
maya yang dihadapi perusahaan dan tidak mencakup beberapa masalah privasi yang
berkembang. Dengan demikian, auditor internal harus mengembangkan pemahaman tingkat
tinggi tentang risiko dan kontrol di bidang yang penting ini. Pemahaman umum auditor internal
tentang risiko dan masalah kontrol di bidang ini akan membantu membuatnya menjadi bantuan
yang lebih efektif untuk manajemen perusahaan.
23.10 PCI DSS FUNDAMENTALS
PCI DSS adalah standar cybersecurity yang diluncurkan tahun 2007 oleh Dewan
Standar Keamanan Industri Kartu Pembayaran, grup industri dunia yang dipimpin oleh
American Express, Discover, MasterCard, Visa, dan lainnya. Standar keamanan data PCI DSS
harus digunakan oleh siapa pun yang ingin menerima kartu kredit sebagai bentuk pembayaran.
Kartu kredit semacam ini sangat meluas dalam perdagangan perusahaan di seluruh dunia, dan
kegagalan untuk mematuhi standar dapat mengakibatkan berbagai denda dan berpotensi
kehilangan hak perusahaan untuk menerima kartu kredit sama sekali.
PCI DSS telah ditetapkan untuk mematuhi sejumlah besar aturan pembayaran kartu
kredit lokal dan nasional dan juga mengikuti pedoman dari perusahaan kartu kredit utama.
Standar ini berisi pedoman konfigurasi dan audit, dan standar ini mencakup semua perangkat
TI yang menerima kartu kredit sebagai pembayaran. Ungkapan "perangkat TI apa pun" cukup
luas, karena di luar sistem komputer yang lebih standar, itu berlaku untuk perangkat titik
penjualan yang ditemukan di toko ritel, situs apa pun yang menerima pembayaran e-mail,
meteran parkir perumahan, dan berbagai macam lainnya .
Exhibit 23.9 menunjukkan 12 persyaratan dasar untuk implementasi PCI DSS.
Sementara tingkat yang sangat tinggi dan berorientasi pada industri kartu kredit, banyak dari
ini berlaku untuk keamanan jaringan umum yang baik dan mencakup banyak bidang, seperti
menginstal firewalls yang efektif, penggunaan perangkat lunak antivirus, dan pentingnya
kebijakan keamanan.
Penggunaan yang efektif dari persyaratan ini berarti akan sedikit lebih jauh dalam
memahami kebutuhan kontrol cybersecurity. Misalnya, Persyaratan 11 dalam Exhibit 23.9
adalah kebutuhan untuk menguji sistem dan proses keamanan secara teratur. Ini mungkin
mengharuskan perusahaan untuk:
Uji kontrol keamanan setiap tahun
Jalankan pemindaian data internal dan eksternal setiap tiga bulan
Melakukan tes penetrasi tahunan pada sistem dan aplikasi
Gunakan alat untuk deteksi intrusi jaringan dan host
Menerapkan prosedur pemantauan integritas file
Banyak perusahaan di seluruh dunia terlibat dengan transaksi kartu kredit dan bekerja
untuk mencapai kepatuhan PCI DSS. Ini adalah campuran hibrida dari suatu standar, seperti
Standar Internal Institusi Auditor Internasional dan peraturan pemerintah, di mana aturan
hukum mensyaratkan kepatuhan. Ini juga merupakan contoh yang baik tentang semakin
pentingnya masalah cybersecurity.
Auditor internal yang perusahaannya menggunakan transaksi pembayaran kartu kredit
mungkin terlibat dengan upaya kepatuhan di sini, tetapi jika tidak, mereka harus membuat
komunikasi yang sesuai dalam organisasi mereka. Prosedur audit harus disesuaikan untuk
memastikan kepatuhan PCI DSS.
23.11 SECURITY AND PRIVACY IN THE INTERNAL AUDIT DEPARTMENT
Auditor internal sebagai fungsi operasi di perusahaan dan sebagai auditor internal
individu perlu menetapkan prosedur keamanan dan privasi mereka sendiri dan praktik terbaik.
Auditor internal secara teratur mengunjungi situs dan menangkap informasi dan data, baik
dalam format soft atau hard copy, mencakup kegiatan peninjauan ulang mereka serta informasi
pendukung dari situs yang diaudit. Bergantung pada sifat peninjauan, materi bukti audit yang
ditangkap harus dijaga dengan aman dan rahasia.
Dalam beberapa tahun terakhir, auditor internal terus bekerja dalam pengerjaan kertas
tebal, dan setelah audit individual selesai, kertas kerja yang disetujui diajukan ke perpustakaan
departemen audit yang cukup aman. Selalu ada risiko bahwa pengikat kertas kerja bisa hilang,
tetapi dalam era pencatatan elektronik hari ini di tablet dan laptop, mungkin ada risiko audit
internal dan risiko keamanan yang lebih tinggi. Beberapa teknik penting untuk melindungi
laptop auditor meliputi:
Tetapkan tanggung jawab pribadi untuk laptop auditor. Melalui pelatihan, standar
departemen audit, dan hanya panduan yang baik, semua auditor internal yang telah
diberi tablet atau sistem laptop harus diingatkan bahwa mereka memiliki tanggung
jawab yang kuat untuk keamanan sistem mereka. Ini dapat mencakup panduan
sederhana seperti menyimpannya di bagasi mobil mereka daripada di kursi belakang,
untuk tidak membiarkannya duduk tanpa pengawasan, dan tidak mengizinkan anggota
keluarga menggunakannya untuk mencegah file terhapus atau rusak.
Memulai prosedur backup file periodik. Apakah menggunakan situs cadangan di
kantor audit internal markas atau drive USB khusus, komputer laptop auditor harus
secara teratur dicadangkan. Perangkat penyimpanan telah menjadi alat yang sangat
murah dan perangkat lunak untuk pencadangan sudah tersedia saat ini. Prosedur harus
ditetapkan untuk auditor internal untuk melakukan pencadangan harian 100% dari
sistem mereka. Tidak perlu menyimpan beberapa versi, tetapi salinan cadangan saat ini
dapat menggantikan versi hari ini.
Gunakan kunci fisik dan mekanisme keamanan. Ada banyak perangkat kecil yang
mirip dengan kunci sepeda kabel di mana laptop dapat dihubungkan ke meja atau
benda-benda sulit untuk dipindahkan lainnya. Karena ini adalah perangkat yang relatif
tidak eksklusif, fungsi audit internal harus mengadopsinya untuk penggunaan auditor
internal. Sistem tablet atau smartphone yang digunakan dalam pekerjaan audit harus
selalu diamankan juga.
Gunakan sistem antivirus dan alat lainnya. Bab ini sebelumnya membahas malware
komputer dan perlunya perlindungan antivirus. Jenis alat perangkat lunak yang sama
harus dipasang di semua laptop auditor internal juga.
Komputer laptop auditor internal sering menjadi tempat penyimpanan untuk narasi
auditor, salinan dokumen, dan barang-barang bukti audit lainnya. Prosedur keamanan yang
baik harus ditetapkan untuk melindungi sumber daya audit internal yang penting ini. Bahkan
ketika fungsi audit internal tidak menggunakan laptop dan bergantung pada mesin desktop,
praktik keamanan yang serupa harus diinstal.
Workpaper Security
Kertas Kerja adalah dokumen kunci yang membawa bukti dan hasil pekerjaan
penugasan audit internal. Keamanan departemen audit atas kertas kerja itu sangat penting.
Aturan Sarbanes-Oxley Act mensyaratkan bahwa, sebagai bukti audit, file kertas kerja harus
disimpan untuk periode tujuh tahun. Dalam situasi litigasi, kertas kerja audit internal dapat
menjadi bukti hukum dalam proses pengadilan perdata atau bahkan pidana.
Dalam lingkungan hari ini, dokumentasi audit internal kertas kerja dapat berupa
kombinasi file otomatis soft-copy dan dokumen hard copy. Audit internal membutuhkan
prosedur yang kuat untuk membuat katalog, menyimpan, dan mengamankan kertas kerja audit
internalnya. Fungsi audit internal harus mengembangkan semacam skema penomoran untuk
katalog workpapers-nya. Tidak ada satu pun pendekatan terbaik di sini, tetapi eksekutif audit
kepala dalam meluncurkan program semacam itu harus menyadari bahwa tujuh tahun adalah
waktu yang lama dan akan ada banyak perubahan dalam perusahaan dan unit operasinya.
Keamanan kertas kerja selalu menjadi perhatian, dan apakah dalam format hard copy
atau lunak, prosedur harus dipasang untuk mencadangkan dan melindungi file kertas kerja.
Untuk dokumen hard copy, mereka harus disimpan di fasilitas yang aman dan terkunci dengan
akses terbatas. Karena akumulasi tujuh tahun dapat membuat cukup banyak materi, pengaturan
harus dilakukan untuk mengamankan kertas kerja lama dengan salah satu layanan repositori
dokumen aman yang umum dalam lingkungan bisnis saat ini. Workpaper soft copy juga harus
di-back up. Namun, ada kekhawatiran khusus di sini, karena hal-hal seperti format file dapat
berubah. File floppy disk dan versi sebelumnya dari perangkat lunak pengolah kata, dan
penyimpanan cadangan dari perangkat yang lebih tua akan menghadirkan masalah saat ini jika
diperlukan. Kami tidak dapat memprediksi masa depan, tetapi jika perubahan teknologi
tampaknya membuat versi lama salinan lunak sulit digunakan, pengaturan harus dilakukan
untuk mengkonversinya sebelum menjadi terlambat.
Sebagai dokumentasi penting yang menggambarkan kegiatan audit internal, keamanan
kertas kerja itu penting. Meskipun selalu perlu untuk memperbolehkan anggota tim audit lain
untuk meninjau kertas kerja lama untuk prosedur berikut dan sejenisnya, perhatian yang
ekstrem harus diberikan untuk mencegah perubahan dari kertas kerja ini setelah penugasan
audit telah selesai dan dokumentasi disetujui. Selalu ada bahaya dari anggota nakal tim audit
internal yang membuat setelah-fakta perubahan pada bukti yang dikumpulkan melalui kertas
kerja audit, karena salah satu dari beberapa alasan, sering kali dari perlindungan diri. Ini dapat
dicegah melalui kontrol read-only yang diinstal pada versi soft-copy, tetapi sulit untuk
dikontrol dengan versi hard-copy.