Pentingnya Jejak Audit untuk Elektronik

Pentingnya Jejak Audit untuk Elektronik

Bukan rahasia lagi bahwa sistem I-9 dan E-Verify elektronik dapat menawarkan banyak manfaat bagi organisasi yang ingin meningkatkan dan merampingkan proses verifikasi kelayakan pekerjaan mereka. Ada banyak alasan kuat untuk menggunakan elektronik, salah satunya adalah kemampuan untuk merobek semua formulir kertas yang berantakan itu setelah catatan Anda diaudit dan diubah menjadi format elektronik. Apa yang banyak organisasi lupakan, bagaimanapun, adalah bahwa tujuan pemerintah di balik elektronik I-9 tidak hanya untuk memfasilitasi kepatuhan majikan, tetapi juga untuk meningkatkan penegakan hukum. Jadi, meskipun merupakan ide bagus untuk merampingkan operasi Anda (melalui sistem I-9 elektronik yang cerdas), sama pentingnya untuk melakukan tinjauan menyeluruh terhadap solusi I-9 elektronik https://swissbaru.com potensial untuk memastikannya.

Jejak Audit

Ada sejumlah faktor yang harus Anda pertimbangkan dalam memilih sistem elektronik I-9. Faktor-faktor ini termasuk keamanan, kegunaan, efisiensi biaya, dan kemampuan untuk melacak penggunaan atau “kemampuan audit”. Beberapa faktor ini didorong oleh pemberi kerja, sedangkan yang lain berasal dari persyaratan hukum yang dijabarkan dalam peraturan final sementara ICE yang mencakup I-9 elektronik (yang akan segera dibuat final).

Salah satu ketentuan yang lebih tegas dalam peraturan menyatakan bahwa ICE pada dasarnya dapat “membatalkan” I-9 elektronik (berpura-pura majikan tidak melakukannya) jika salah satu “standar pencatatan” belum terpenuhi. Mengapa ada ketentuan yang begitu kejam untuk apa yang oleh banyak orang dianggap sebagai kesalahan administratif yang tidak bersalah? Pada dasarnya, itu semua bermuara pada kepercayaan dari catatan elektronik. Di dunia kertas, auditor dapat memeriksa tinta pada formulir, tulisan tangan, bukti perubahan, dll. Sebaliknya, formulir elektronik (dalam PDF sederhana) tidak memberikan petunjuk ini untuk diperiksa oleh pemeriksa.

Untuk mengatasi masalah ini, ICE memasukkan persyaratan yang cukup luas namun signifikan untuk sistem I-9 elektronik: ia harus dapat menghasilkan “Formulir I-9 yang disimpan secara elektronik, dokumen pendukung, dan jejak audit terkait, laporan, dan lainnya data yang digunakan untuk menjaga keaslian, integritas, dan keandalan arsip.” Apa artinya? Di tempat lain dalam peraturan, ICE mengklarifikasi bahwa jejak audit adalah catatan yang menunjukkan siapa yang telah mengakses sistem komputer dan tindakan yang dilakukan di dalam atau di komputer – yang berarti bahwa segala sesuatu yang terjadi dalam sistem harus dicatat, dapat dilacak, dan dapat ditinjau oleh agen resmi.

Kedengarannya cukup sederhana, bukan? Sistem komputer sudah memantau setiap gerakan kita di Internet; seharusnya tidak menjadi masalah besar bagi sistem elektronik I-9 untuk melakukannya. Yah, ya dan tidak.

Ya, adalah mungkin bagi sistem I-9 elektronik untuk mencapai tingkat kecanggihan ini melalui kerangka kerja yang komprehensif dan terencana dengan baik yang menggabungkan peristiwa terperinci dan pelacakan pengguna dan kontrol internal untuk memastikan integritas proses. Menerapkan sistem seperti itu, bagaimanapun, membutuhkan pilihan desain (dari pihak vendor) yang sulit untuk diterapkan dan mahal untuk dipelihara. Banyak aplikasi perangkat lunak gagal dalam hal ini, hanya menawarkan jejak audit standar “perubahan material data” yang hanya menunjukkan perubahan kunci yang relevan (atau tonggak) pada catatan I-9. Sayangnya, ini tidak benar-benar menceritakan keseluruhan cerita, dan jika Anda berada dalam posisi yang tidak menyenangkan untuk berbicara dengan auditor forensik ICE, keseluruhan cerita adalah yang Anda butuhkan.

Misalnya, sebuah perusahaan kecil beralih ke sistem elektronik I-9 sekitar 2 tahun yang lalu. Sistem ini ditawarkan oleh perusahaan penggajian mereka, dan dijual kepada perusahaan dengan teori bahwa perusahaan penggajian akan menangani semua kebutuhan karyawan mereka yang terkait dengan pekerjaan. Ini bukan tawaran yang buruk, terutama bagi pengusaha kecil yang umumnya tidak memiliki kapasitas untuk sepenuhnya menjadi staf departemen SDM. Sayangnya untuk perusahaan ini, setahun kemudian ICE datang dan meminta untuk mengaudit semua catatan I-9 untuk sekitar 50 karyawannya. Selama satu tahun I-9, perusahaan telah memasukkan sekitar 100 I-9 ke dalam sistem, termasuk 30 karyawan baru. Namun, tidak ada sistem pelacakan elektronik untuk I-9, tidak ada cara untuk mengetahui apakah I-9 telah selesai tepat waktu, dan tidak ada cara untuk mengetahui apakah I-9 telah dimodifikasi dengan cara apa pun.

Dalam audit sistem elektronik I-9, penyelidik ICE mengambil pendekatan bahwa setiap aspek sistem elektronik itu harus “dapat diaudit,” Dengan kata lain, ICE ingin dapat memverifikasi siapa yang memasukkan setiap bagian data, apa yang dimasukkan, dan ketika mereka melakukannya.

Praktik Terbaik untuk Jejak Audit I-9 yang Tak Terbantahkan

Tujuan akhir dari perangkat lunak I-9 Anda (dari perspektif manajemen risiko) adalah untuk memastikan bahwa catatan elektronik I-9 secara akurat mewakili pengesahan yang dibuat oleh karyawan dan pemberi kerja dan menjamin kepercayaan penuh pada integritas sistem yang digunakan untuk memfasilitasi proses itu. Jaminan integritas data I-9 dicapai melalui teknologi yang digabungkan dengan kebijakan dan prosedur internal untuk memastikan bahwa:

Transaksi I-9 (melihat, menambah, memperbarui, menghapus, dll.) terbatas pada pengguna yang berwenang. Data I-9 tidak dikompromikan dengan cara yang tidak sah atau resmi. Semua perubahan pada data I-9 dipantau. Untuk mencapai tingkat kerumitan ini, keamanan harus diterapkan baik di tingkat perimeter maupun aplikasi, serta melalui jejak audit data dan logging yang terperinci. Tiga poin “praktik terbaik” berikut menjelaskan bagaimana hal ini dapat direalisasikan (dan yang lebih penting) apa yang harus diwaspadai saat meninjau kemampuan jejak audit elektronik I-9.

1. Jejak audit harus dihasilkan secara independen dari sistem I-9. Banyak sistem hanya memiliki jejak audit “tingkat aplikasi” bawaan (yaitu, itu hanya akan melacak apa yang Anda lakukan di antarmuka), yang tidak memberikan jaminan yang masuk akal bahwa data belum diubah oleh sumber eksternal (mis. memperbarui pekerjaan, mengimpor data melalui HRIS, dll). Metode yang lebih baik adalah menghasilkan jejak audit lengkap dari semua perubahan yang dibuat pada I-9, mencatat “siapa, apa, kapan, dan di mana” perubahan itu, di mana pun itu terjadi. Sistem audit yang beroperasi di tingkat basis data, bukan di tingkat aplikasi, adalah satu-satunya cara untuk memastikan audit semua perubahan data I-9 yang dibuat dengan cara apa pun yang memungkinkan.

2. Jejak audit harus merekam semua aktivitas yang terjadi dalam sistem untuk mengungkapkan seluruh kehidupan I-9 dengan detail yang tidak dapat disangkal. Minimal, sistem harus mencatat:

Nama karyawan/rekaman yang datanya diubah

Jenis acara (yaitu penambahan, pembaruan, dll.) Cap tanggal dan waktu (sampai detik) Nama pengguna yang membuat perubahan serta alamat IP Tombol yang diklik (atau tindakan yang diambil untuk membuat catatan ini menjadi peristiwa) Bidang yang diubah Data lama (jika ada) Data baru (jika ada yang ditambahkan) Selain itu, pembacaan peraturan yang konservatif menyatakan bahwa sistem I-9 juga harus melacak setiap kali catatan “diakses atau dilihat ” dan catat identitas pengguna, tanggal akses, dan halaman yang dilihat.

3. I-9 Catatan harus secara tak terbantahkan terkait dengan tanda tangan elektronik dan dokumen pendukung lainnya. Komponen penting lainnya adalah metode di mana perangkat lunak menempelkan tanda tangan elektronik ke catatan I-9. Meskipun tanda tangan elektronik bersifat netral terhadap teknologi, Anda tetap harus menunjukkan keterpercayaan dari proses yang menciptakan dan melestarikan arsip yang bersangkutan. Untuk membuat penilaian ini, ICE dapat mengevaluasi keseluruhan kekuatan tanda tangan dengan memeriksa metode otentikasi sambil mencari potensi masalah keamanan. Banyak pakar industri merekomendasikan penggunaan proses tanda tangan multi-faktor yang menggabungkan persetujuan afirmatif ditambah identifikasi tingkat kedua untuk membuktikan kepengarangan baik melalui penggunaan PIN yang dibuat secara acak, pemindaian biometrik, kartu ID aman, atau tanda tangan digital.

 

 

Leave a Reply