BAB 2 AuditingITGovernanceControls

TUJUAN PEMBELAJARAN

Setelah sembuh bab ini, Anda harus:

 Fungsi yang tidak kompatibel dan fungsi
 Akrab dengan kontrol dan tindakan pencegahan yang
diperlukan untuk menjamin keamanan.
 Memahami unsur-unsur kunci dari.
 Jadilah akrab dengan manfaat, risiko, dan masalah audit yang
berhubungan dengan outsourcing IT.

Bab ini an risiko, kontrol, dan tes kontrol yang berhubungan dengan IT gover - nance. Ini
terbuka dengan mengutamakan tata kelola dan unsur - unsur tata kelola TI yang memiliki kontrol
internal dan implikasi. Pertama, itu ikhtisar eksposur yang bisa timbul dari tidak pantas penataan
fungsi IT. Berikutnya, bab review ancaman pusat komputer dan kontrol, yang mencakup
melindunginya dari kerusakan dan kehancuran dari bencana alam, kebakaran, suhu, dan
kelembaban. Bab ini kemudian menampilkan elemen kunci dari rencana pemulihan di-saster,
termasuk menyediakan cadangan kedua-situs, resep aplikasi, cara membuat cadangan, dan
rencana. Bagian akhir dari masalah bab pra-sents mengenai tren penggunaan outsourcing
IT. Logika di balik keputusan manajemen untuk melakukan outsourcing dieksplorasi. Bab ini juga
memiliki manfaat yang diharapkan dan risiko yang terkait dengan outsourcing. Bab ini diakhiri
dengan diskusi tentang masalah audit dalam lingkungan peran SAS 70 laporan.
TEKNOLOGI INFORMASI TATA KELOLA
Teknologi informasi (TI) tata kelola adalah bagian yang
relatif baru dari tata kelola perusahaan yang bergantung
pada manajemen dan penilaian sumber daya strategis
TI. Kunci penting dari tata kelola TI adalah untuk
mengurangi risiko dan efisiensi. Sebelum Sarbanes-Oxley
(SOX) Bertindak, praktik umum mengenai investasi IT
adalah untuk menunda semua keputusan untuk
perusahaan profesional TI.tata kelola TI modern,
bagaimanapun, mengikuti filosofi semua pemangku
kepentingan perusahaan, termasuk dewan direksi,
manajemen puncak, dan pengguna departemen (yaitu,
akuntansi dan keuangan) menjadi peserta aktif dalam
keputusan TI utama. Keterlibatan berbasis luas seperti
pengurangan risiko dan peningkatan kemungkinan
keputusan TI akan sesuai dengan kebutuhan pengguna,
kebijakan perusahaan, strategi strategis,

Tata Kelola TI

Meski semua masalah tata kelola TI yang penting bagi

organisasi, tidak semua dari mereka adalah masalah
pengendalian internal di bawah SOX yang sedang. Dalam bab
ini, kita membahas tiga isu tata kelola TI yang dikerjakan oleh
SOX dan. Ini adalah:
1. Fungsi strutur organisasi IT
2. pusat operasi komputer
3. perencanaan pemulihan bencana

Pembahasan pada masing-masing isu-isu pemerintahan

ini dimulai dengan penjelasan tentang sifat risiko dan ukuran
pengendalian yang diperlukan untuk mengurangi
risiko. Kemudian, tujuan audit disajikan, yang menetapkan
apa yang perlu diverifikasi mengenai fungsi kontrol di
tempat. Akhirnya, contoh tes kontrol yang ditawarkan yang
bisa dilihat audit. Tes-tes ini dapat dilakukan oleh auditor
eksternal sebagai bagian dari layanan atestasi mereka atau
oleh auditor internal (atau jasa konsultasi profesional) yang
memberikan bukti manajemen dengan SOX. Dalam hal ini,
kami tidak membuat perbedaan antara dua jenis layanan.

STRUKTUR INFORMASI TEKNOLOGI FUNGSI

 Fungsi yang telah memiliki implikasi untuk sifat dan efektif
pengendalian, memiliki implikasi untuk audit. Pada bagian
ini, beberapa masalah kontrol im - portant berhubungan
dengan struktur IT diperiksa. Ini diilustrasikan melalui dua
model-the organisasi ekstrim pendekatan sentralistik dan
pendekatan lintas. Risiko, kontrol, dan masalah audit yang
berhubungan dengan masing-masing model ini kemudian
dibahas. ...............................

Pengolahan Data terpusat

Berdasarkan model pengolahan data terpusat, semua data pengolahan

dilakukan oleh satu atau lebih komputer besar bertempat di sebuah situs
pusat yang melayani pengguna di seluruh organisasi. Gambar 2.1
mengilustrasikan pendekatan ini, di mana layanan TI kegiatan yang
terkonsentrasi dan dikelola sebagai organisasi bersama.pengguna akhir
bersaing untuk sumber daya ini. Layanan TI yang biasa digunakan sebagai
biaya operasional. Gambar 2.2 mengilustrasikan-kan pusat IT struktur
pelayanan dan menunjukkan area layanan utama: database administrasi,
pengolahan data, dan. Sebuah deskripsi fungsi kunci dari
masing-masing daerah berikut.

Database administrasi
perusahaan yang sedang terpusat mempertahankan sumber
daya data mereka yang berada di tengah lokasi yang dimiliki
oleh semua pengguna akhir. Dalam pengaturan data bersama
ini, sebuah kelompok independen yang dipimpin oleh database
administrator (DBA) bertanggung jawab atas keamanan dan
integritas database.

Pengolahan data
Kelompok pengolahan data. Untuk melakukan pengolahan
sehari-hari transaksi. Ini terdiri dari data - data, operasi
komputer, dan data perpustakaan.

Konversi data. Fungsi dari data sumber. Misalnya,

konversi data bisa-melibatkan keystroking order penjualan ke
dalam aplikasi agar dijual di sistem modern, atau data tran-cut
ke media media (tape atau disk) cocok untuk komputer.

Operasi komputer File-file elektronik yang

dihasilkan dalam konversi data kemudian diolah oleh
komputer pusat, yang dikelola oleh kelompok operasi
komputer. aplikasi akuntansi biasanya dilaksanakan sesuai
dengan jadwal yang ketat oleh.
Data perpustakaan Data perpustakaan adalah
ruangan yang bersebelahan dengan pusat komputer yang pro-
vides penyimpanan yang aman untuk data file off-line. File-
file bisa backup atau file data saat ini. Misalnya, data
perpustakaan yang bisa digunakan untuk menyimpan data
cadangan di DVD, CD-ROM, kaset, atau perangkat
penyimpanan lainnya. Hal ini juga dapat digunakan untuk
menyimpan data pada saat ini pada kaset magnetik dan paket
removable disk. Selain itu, data perpustakaan yang digunakan
untuk menyimpan perangkat lunak. Sebuah data
perpustakaan, yang bertanggung jawab untuk penerimaan,
penyimpanan, pencarian, dan hak asuh data file, kontrol akses
ke perpustakaan. Masalah-masalah pustakawan file data untuk
operator komputer sesuai dengan permintaan Program dan
pengambilan hak asuh file saat proses atau prosedur backup
selesai

Pengembangan sistem dan Maintenance

Sistem informasi kebutuhan. Sistem devel - ngunan dan
sistem. Kelompok pertama bertanggung jawab untuk
kebutuhan pengguna dan untuk menyusun sistem baru untuk
memenuhi kebutuhan tersebut. Para peserta dalam kegiatan
pengembangan sistem termasuk sistem profesional, pengguna
akhir, dan stakeholder.

Sistem profesional termasuk sistem analis, database

pengembang, dan program-mer yang menyusun dan
membangun sistem. Sistem profesional kumpulan fakta tentang
masalah pengguna, analisis fakta-fakta, dan merumuskan
solusi. Produk dari mereka ef-benteng adalah informasi yang
baru.
pengguna akhir untuk sistem ini. Mereka adalah manajer
yang kembali ceungsi laporan dari sistem dan personil
yang bekerja secara langsung dengan sistem sebagai
bagian dari tanggung jawab mereka sehari-hari.

Pemangku kepentingan adalah individu di dalam atau di

luar perusahaan yang memiliki kepentingan dalam sistem,
tidak pengguna akhir. Mereka termasuk akuntan, auditor
internal, auditor eksternal, dan lain - lain yang mengawasi.
 Setelah sistem baru dirancang dan diterapkan, kelompok
pemeliharaan sistem bertanggung jawab untuk
mempertahankannya saat ini dengan kebutuhan
pengguna. Istilah mainte-nance mengacu pada perubahan pada
logika program untuk mengakomodasi perubahan kebutuhan
pengguna dari waktu ke waktu. Selama perjalanan hidup sistem
(seringkali beberapa tahun), sebanyak 80 atau 90 persen dari
total biaya dapat dikeluarkan melalui kegiatan pemeliharaan.

Pemisahan Fungsi IT yang Tidak Sesuai

Bab sebelumnya menekankan pentingnya memisahkan tugas

yang tidak sesuai dalam aktivitas manual. Secara khusus, tugas
operasional harus dipisahkan menjadi:
1. Otorisasi transaksi terpisah dari proses transaksi.
2. Pencatatan terpisah dari penitipan aset.
3. Bagilah tugas pemrosesan transaksi di antara individu-
individu sedemikian rupa sehingga kekurangan kolusi
antara dua orang atau lebih penipuan tidak akan
mungkin dilakukan.
Lingkungan TI cenderung mengkonsolidasikan
aktivitas. Aplikasi tunggal dapat memberi otorisasi, memproses,
dan mencatat semua aspek transaksi. Dengan demikian, fokus
kontrol segregasi bergeser dari tingkat operasional (tugas
pemrosesan transaksi yang dilakukan komputer sekarang) ke
hubungan organisasi tingkat tinggi dalam fungsi layanan
komputer. Dengan menggunakan bagan organisasi pada Gambar
2.2 sebagai rujukan, keterkaitan antara pengembangan sistem,
pemeliharaan sistem, administrasi database, dan aktivitas operasi
komputer diperiksa selanjutnya.

Memisahkan Pengembangan Sistem dari Operasi Komputer

Pemisahan pengembangan sistem (baik pengembangan dan
pemeliharaan sistem baru) dan kegiatan operasi sangat
penting. Hubungan antara kelompok-kelompok ini harus
sangat formal, dan tanggung jawab mereka seharusnya tidak
dibaurkan. Profesional pengembangan dan pemeliharaan
sistem harus menciptakan (dan main-tain) sistem bagi
pengguna, dan seharusnya tidak terlibat dalam memasukkan
data, atau menjalankan aplikasi (misalnya, operasi
komputer). Staf operasi harus menjalankan sistem ini dan tidak
memiliki keterlibatan dalam desain mereka. Fungsi-fungsi ini
pada dasarnya tidak sesuai, dan mengkonsolidasikannya
 mengundang kesalahan dan kecurangan. Dengan pengetahuan
yang terperinci tentang logika dan parameter kontrol aplikasi
dan akses ke sistem operasi dan utilitas komputer, seseorang
dapat membuat perubahan yang tidak sah terhadap aplikasi
selama eksekusi. Perubahan semacam itu mungkin bersifat
sementara ("on the fly") dan akan hilang tanpa jejak saat
aplikasi berakhir.

Memisahkan Administrasi Database dari Fungsi Lain

Kontrol organisasi lain yang penting adalah pemisahan
database administra-tor (DBA) dari fungsi pusat komputer
lainnya. Fungsi DBA bertanggung jawab atas sejumlah tugas
penting yang berkaitan dengan keamanan database, termasuk
membuat skema database dan tampilan pengguna, menetapkan
otoritas akses database kepada pengguna, memantau
penggunaan basis data, dan merencanakan perluasan di masa
depan.Mendelegasikan tanggung jawab ini kepada orang lain
yang melakukan tugas yang tidak sesuai mengancam integritas
database. Jadi, kita lihat dari Gambar 2.2

bagaimana fungsi DBA secara organisasi tidak tergantung

pada operasi, pengembangan sistem, dan pemeliharaan.

Memisahkan Sistem Baru Pembangunan dari Pemeliharaan

Beberapa perusahaan mengatur fungsi pengembangan sistem
in-house mereka menjadi dua kelompok: analisis dan
pemrograman sistem (lihat Gambar 2.3). Kelompok analisis
sistem bekerja dengan pengguna untuk menghasilkan desain
terperinci dari sistem baru ini. Kelompok pemrograman
mengkodekan program sesuai dengan spesifikasi desain
ini. Dengan pendekatan ini, pemrogram yang mengkode
program asli juga memelihara sistem selama fase
pemeliharaan siklus pengembangan sistem (dibahas pada Bab
5). Meskipun pengaturan yang sama, pendekatan ini dikaitkan
dengan dua jenis masalah kontrol: dokumentasi yang tidak
memadai dan potensi kecurangan program.
Dokumentasi yang tidak memadai Dokumentasi
sistem yang berkualitas buruk adalah masalah TI yang kronis
dan tantangan yang signifikan bagi banyak organisasi yang
menginginkan kepatuhan SOX. Setidaknya ada dua
penjelasan untuk fenomena ini. Pertama, mendokumentasikan
sistem tidak semenarik merancang, menguji, dan
menerapkannya. Profesional sistem lebih memilih untuk
beralih ke proyek baru yang menarik daripada dokumen yang
baru saja selesai.
Alasan kedua untuk dokumentasi yang buruk adalah
keamanan kerja. Ketika sebuah sistem didokumentasikan
dengan buruk, sulit untuk menafsirkan, menguji, dan
melakukan debug. Oleh karena itu, program-mer yang
memahami sistem (yang mengkodenya) mempertahankan
kekuatan tawar-menawar dan menjadi sangat
diperlukan. Ketika programmer meninggalkan perusahaan,
seorang programmer baru mewarisi tanggung jawab
pemeliharaan terhadap sistem yang tidak
terdokumentasi. Bergantung pada kompleksitasnya, masa
transisi mungkin panjang dan mahal.
Program Penipuan Bila pemrogram asli dari suatu sistem
juga diberi tanggung jawab pemeliharaan, potensi kecurangan
meningkat.Kecurangan program melibatkan perubahan yang
tidak sah pada modul program untuk tujuan melakukan
tindakan ilegal. Pemrogram asli mungkin telah berhasil
menyembunyikan kode palsu di antara ribuan baris kode yang
sah dan ratusan modul yang membentuk sistem. Agar
kecurangan berhasil, programmer harus dapat mengendalikan
situasi melalui akses eksklusif dan tidak terbatas terhadap
program aplikasi.Pemrogram perlu melindungi kode palsu
dari deteksi yang tidak disengaja oleh pemrogram lain yang
melakukan perawatan atau oleh auditor yang menguji kontrol
aplikasi. Oleh karena itu, memiliki tanggung jawab penuh
untuk pemeliharaan merupakan elemen penting dalam skema
pemrogram duplikat. Melalui otoritas pemeliharaan ini,
pemrogram dapat dengan bebas mengakses sistem,
menonaktifkan kode penipuan selama audit dan kemudian
 mengembalikan kode saat pantai menjadi jelas. Penipuan
semacam ini bisa berlanjut bertahun-tahun tanpa deteksi.

Struktur Unggulan untuk Pengembangan Sistem

Gambar 2.2 menyajikan struktur organisasi yang unggul
dimana fungsi pengembangan sistem dipisahkan menjadi dua
kelompok yang berbeda: pengembangan sistem dan
pemeliharaan sistem baru. Kelompok pengembangan sistem
baru bertanggung jawab untuk merancang, pro-gramming, dan
mengimplementasikan proyek sistem baru. Setelah berhasil
diimplementasikan, tanggung jawab atas pemeliharaan
berkelanjutan sistem ini sampai pada kelompok pemeliharaan
sistem. Restrukturisasi ini memiliki implikasi yang secara
langsung menangani dua masalah kontrol yang baru saja
dijelaskan.
Pertama, standar dokumentasi ditingkatkan karena
kelompok pemeliharaan memerlukan dokumentasi untuk
melaksanakan tugas perawatannya. Tanpa dokumentasi lengkap
dan ade-quate, transfer formal tanggung jawab sistem dari
pengembangan sistem baru ke pemeliharaan sistem tidak dapat
terjadi.
Kedua, menolak akses programmer asli di masa depan
untuk mencegah program penipuan pro-gram. Bahwa kode
curang, yang pernah disembunyikan di dalam sistem, berada di
luar kendali pro-grammer dan kemudian dapat ditemukan
meningkatkan risiko yang terkait dengan kecurangan
program. Keberhasilan pengendalian ini bergantung pada
adanya kontrol lain yang membatasi, mencegah, dan
mendeteksi akses tidak sah ke program (seperti perpustakaan
sumber program kontra). Meskipun pemisahan organisasi saja
tidak dapat menjamin bahwa kecurangan komputer tidak akan
terjadi, namun penting untuk menciptakan lingkungan
pengendalian yang diperlukan.

Model Terdistribusi

Selama bertahun-tahun, skala ekonomi menyukai komputer

besar dan kuat dan pemrosesan terpusat. Namun sekarang,
sistem kecil, kuat, dan murah telah mengubah gambar ini secara
dramatis. Sebuah alternatif untuk model terpusat adalah konsep
disdik data pengolahan (DDP). Topik DDP cukup luas,
menyentuh topik terkait seperti komputasi pengguna akhir,
perangkat lunak komersial, jaringan, dan auto-mation
kantor. Secara sederhana, DDP melibatkan reorganisasi fungsi
TI pusat menjadi unit TI kecil yang berada di bawah kendali
pengguna akhir. Unit TI dapat didistribusikan sesuai dengan
fungsi bisnis, lokasi geografis, atau keduanya. Semua atau
fungsi TI yang ditunjukkan pada Gambar 2.2 dapat
didistribusikan. Tingkat di mana distribusinya akan bervariasi
tergantung pada filosofi dan tujuan manajemen
organisasi. Gambar 2.4 menyajikan dua pendekatan DDP
alternatif.
Alternatif A sebenarnya adalah varian dari model
terpusat; Perbedaannya adalah bahwa terminal (atau
mikrokomputer) didistribusikan ke pengguna akhir untuk
menangani input dan output. Ini menghilangkan kebutuhan
akan kelompok konversi data terpusat, karena pengguna
sekarang melakukan tugas ini. Namun, di bawah model ini,
pengembangan sistem, operasi komuter, dan administrasi basis
data tetap terpusat.
Alternatif B adalah keberangkatan yang signifikan dari
model terpusat. Alternatif ini mendistribusikan semua layanan
komputer kepada pengguna akhir, di mana mereka beroperasi
sebagai unit mandiri. Hasilnya adalah penghapusan fungsi TI
pusat dari struktur organisasi.Perhatikan interkoneksi antara
unit terdistribusi pada Gambar 2.4. Konektivitas ini mewakili
pengaturan jaringan yang memungkinkan komunikasi dan
transfer data antar unit. Gambar 2.5 menunjukkan struktur
organisasi yang mungkin mencerminkan distribusi semua tugas
pengolahan data tradisional ke area pengguna akhir.
 Resiko Terkait dengan DDP
Bagian ini membahas risiko organisasi yang perlu
dipertimbangkan saat menerapkan DDP. Diskusi berfokus
pada isu-isu penting yang membawa implikasi kontrol yang
harus diakui auditor. Masalah potensial meliputi penggunaan
sumber daya yang tidak efisien, penghancuran jalur audit,
pemisahan tugas yang tidak memadai, potensi peningkatan
kesalahan pemrograman dan kegagalan sistem, dan kurangnya
standar.

Penggunaan Sumber Daya yang tidak efisien. DDP dapat

mengekspos dan mengorganisir tiga jenis risiko yang terkait
dengan penggunaan sumber daya organisasi yang tidak
efisien. Ini diuraikan di bawah ini.
Pertama, adalah risiko salah urus sumber daya TI di
seluruh organisasi oleh pengguna akhir. Beberapa berpendapat
bahwa ketika sumber daya keseluruhan organisasi melebihi
ambang batas, misalnya 5 persen dari total anggaran operasi,
tata kelola TI yang efektif memerlukan pengelolaan pusat dan
pemantauan sumber daya semacam itu. Bagi banyak
organisasi, layanan TI mencakup operasi komputer,
pemrograman, konversi data, dan pengelolaan basis data
memenuhi atau melampaui ambang batas ini.
Kedua, DDP dapat meningkatkan risiko inefisiensi
operasional karena adanya tugas berlebihan yang dilakukan
dalam komite pengguna akhir. Inisiatif pengembangan sistem
otonom yang didistribusikan ke seluruh perusahaan dapat
menghasilkan setiap area pengguna yang ditemukan kembali

Bagan Organisasi untuk Lingkungan Pengolahan Data Terdistribusi

Presiden

VP VP Administrasi Operasi VP
Pemasaran Finance VP
 Manajer Manajer
Bendahara Pengontrol Pabrik Pabrik Y
X

Manajer
Layanan
TI
Perusahaan

Fungsi Fungsi IT Fungsi Fungsi

IT IT IT

Fungsi IT

roda daripada memanfaatkan hasil kerja orang lain. Misalnya,

progam aplikasi yang dibuat oleh satu pengguna, yang bisa
digunakan dengan sedikit atau tanpa perubahan oleh orang
lain, akan didesain ulang dari awal daripada dibagi. Demikian
juga, data yang umum bagi banyak pengguna dapat diciptakan
kembali untuk masing-masing, menghasilkan tingkat
redundansi data yang tinggi. Keadaan ini berimplikasi pada
akurasi data dan konsistensi.
Ketiga, lingkungan DDP menimbulkan risiko perangkat
keras dan perangkat lunak yang tidak kompatibel di antara
fungsi pengguna akhir.Mendistribusikan tanggung jawab untuk
pembelian TI kepada pengguna akhir dapat mengakibatkan
keputusan yang tidak terkoordinasi dan kurang
dipahami. Misalnya, keputusan ma-kers di unit organisasi yang
berbeda yang bekerja secara independen dapat menyelesaikan
sistem operasi, platform, spreadsheet, pengolah kata, dan paket
database yang berbeda dan tidak kompatibel. Perangkat keras
dan perangkat lunak tidak kompatibel dapat menurunkan dan
 mengganggu konektivitas antar unit, menyebabkan hilangnya
transaksi dan kemungkinan penghancuran jalur audit.
Penghancuran Jalur Audit. Jejak audit memberikan
keterkaitan antara aktivitas keuangan (transaksi) komersil dan
laporan keuangan yang melapor pada kegiatan
tersebut. Auditor menggunakan jejak audit untuk melacak
transaksi keuangan terpilih dari dokumen sumber yang
menangkap kejadian tersebut, melalui jurnal, buku besar
pembantu, dan akun buku besar yang mencatat kejadian
tersebut, dan akhirnya pada laporan keuangan itu sendiri. Jejak
audit sangat penting untuk layanan pengungkapan auditor.

Dalam sistem DDP, jalur audit terdiri dari serangkaian file

transaksi digital dan file-file mas-ter (Bab 6 membahas teknik
pemrosesan transaksi) yang berada sebagian atau seluruhnya
pada komputer pengguna akhir. Jika pengguna akhir secara
tidak sengaja menghapus salah satu file, jejak audit bisa
dihancurkan dan tidak terpulihkan. Demikian pula, jika
pengguna akhir secara inadver memasukkan kesalahan
transaksi ke dalam file jejak audit, itu bisa menjadi rusak.
Pemisahan tugas yang tidak memadai. Mencapai
pemisahan tugas yang memadai mungkin tidak dapat
dilakukan di beberapa lingkungan terdistribusi. Distribusi
layanan TI kepada pengguna dapat menghasilkan penciptaan
unit independen kecil yang tidak mengizinkan pemisahan
fungsi yang tidak sesuai yang diinginkan. Misalnya, dalam
satu unit orang yang sama dapat menulis program aplikasi,
melakukan perawatan program, memasukkan data transaksi
ke komputer, dan mengoperasikan peralatan
komputer. Situasi semacam itu akan menjadi pelanggaran
mendasar pengendalian internal.
Mempekerjakan Profesional Berkualitas. Manajer
pengguna akhir mungkin tidak memiliki pengetahuan TI untuk
mengevaluasi kredensial teknis dan pengalaman kandidat yang
relevan yang berlaku untuk posisi profesional TI. Juga, jika
unit organisasi yang menjadi tempat kerja karyawan baru
masih kecil, peluang untuk pertumbuhan pribadi, pendidikan
berkelanjutan, dan promo mungkin terbatas. Untuk alasan ini,
manajer mungkin mengalami kesulitan menarik personil
berkualifikasi tinggi. Risiko kesalahan pemrograman dan
kegagalan sistem meningkat secara langsung dengan tingkat
ketidakmampuan karyawan.
Kurangnya Standar. Karena distribusi tanggung
jawab di lingkungan DDP, standar untuk mengembangkan
dan mendokumentasikan sistem, memilih bahasa
pemrograman, memperoleh perangkat keras dan perangkat
lunak, dan mengevaluasi kinerja mungkin tidak rata
diterapkan atau bahkan tidak ada. Penentang DDP
berpendapat bahwa risiko yang terkait dengan perancangan
dan pengoperasian sistem DDP dapat dilakukan hanya jika
standar tersebut diterapkan secara konsisten.

KEUNTUNGAN DDP
Bagian ini mempertimbangkan keunggulan potensial DDP,
termasuk pengurangan biaya, pengendalian biaya yang lebih
baik, peningkatan kepuasan pengguna, dan cadangan.
Pengurangan Biaya. Selama bertahun-tahun,
mencapai skala ekonomi merupakan justifikasi utama untuk
pendekatan pengolahan data terpusat. Ilmu ekonomi
pengolahan data memanfatkan komputer besar, mahal, dan
bertenaga. Berbagai macam kebutuhan bahwa sistem terpusat
diharapkan dapat memuaskan juga menyerukan komputer
yang sangat umum dan menggunakan sistem operasi yang
kompleks. Biaya overhead yang terkait dengan menjalankan
sistem semacam itu, bagaimanapun, dapat mengurangi
keuntungan dari kekuatan pemrosesan mentahnya. Jadi, bagi
banyak pengguna, sistem terpusat yang besar
merepresentasikan jumlah berlebihan yang mahal sehingga
mereka harus melarikan diri.
Mikrokomputer canggih dan murah dan minicomputer
yang dapat melakukan fungsi khusus telah mengubah ekonomi
pengolahan data secara dramatis. Selain itu, biaya unit
penyimpanan data, yang dulunya merupakan pembenaran
untuk mengkonsolidasikan data di lokasi sentral, sudah tidak
menjadi pertimbangan utama. Selain itu, pindah ke DDP telah
mengurangi biaya di dua area lainnya: (1) data dapat diedit dan
dimasukkan oleh pengguna akhir, sehingga menghilangkan
tugas terpusat dari persiapan data; dan (2) kompleksitas
aplikasi dapat dikurangi, yang pada gilirannya mengurangi
biaya pengembangan dan pemeliharaan sistem.
Tanggung Jawab Kontrol Biaya yang Lebih
Baik. Manajer pengguna akhir bertanggung jawab
atas keberhasilan operasi mereka. Tanggung jawab ini
mengharuskan mereka diberi wewenang yang benar dengan
wewenang untuk membuat keputusan tentang sumber daya
yang mempengaruhi keberhasilan mereka secara
keseluruhan Ketika manajer dilarang membuat keputusan
yang diperlukan untuk mencapai tujuan mereka, kinerjanya
dapat terpengaruh secara negatif. Manajemen yang kurang
agresif dan kurang efektif dapat berkembang.
Pendukung DDP berpendapat bahwa manfaat dari
sikap manajemen yang lebih baik lebih besar daripada biaya
tambahan yang dikeluarkan untuk mendistribusikan sumber
daya ini. Mereka berpendapat bahwa jika kemampuan TI
memang penting bagi keberhasilan operasi bisnis, maka
manajemen harus diberi kontrol atas sumber daya
ini. Argumen ini membantah diskusi sebelumnya yang
mendukung sentralisasi sumber daya organisasi.
Peningkatan Kepuasan Pengguna. Mungkin
manfaat DDP yang paling sering dikutip adalah kepuasan
pengguna yang tidak terbukti. Pendukung DDP mengklaim
bahwa sistem distribusi kepada pengguna akhir memperbaiki
tiga area kebutuhan yang terlalu sering tidak terpuaskan pada
model terpusat: (1) seperti yang dinyatakan sebelumnya,
pengguna ingin mengendalikan sumber daya yang
mempengaruhi keuntungan mereka; (2) pengguna
menginginkan profesional sistem (analis, pemrogram, dan
operator komputer) untuk bersikap responsif terhadap situasi
spesifik mereka; dan (3) pengguna ingin lebih terlibat secara
aktif dalam mengembangkan dan menerapkan sistem mereka
sendiri.
Fleksibilitas Cadangan. Argumen terakhir yang
mendukung DDP adalah kemampuan untuk mendukung
fasilitas komputasi untuk melindungi dari potensi bencana
seperti kebakaran, banjir, sabotase, dan gempa bumi. Satu-
satunya cara untuk mendukung sebuah situs komputer utama
 melawan bencana tersebut adalah dengan menyediakan
fasilitas komputer kedua. Kemudian di bab ini kami
memeriksa perencanaan rekontruksi bencana untuk
kontinjensi semacam itu. Model terdistribusi menawarkan
fleksibilitas organisasi untuk menyediakan cadangan. Setiap
unit TI yang terpisah secara geografis dapat dirancang dengan
kapasitas berlebih. Jika bencana menghancurkan satu situs,
situs lain dapat menggunakan kelebihan kapasitas mereka
untuk memproses transaksi situs yang hancur. Tentu,
pengaturan ini memerlukan koordinasi yang erat antara
manajer pengguna akhir untuk memastikan bahwa mereka
tidak menerapkan perangkat keras dan perangkat lunak yang
tidak kompatibel.

Mengontrol Lingkungan DDP

DDP membawa nilai prestise mutakhir tertentu, yang selama

analisis pro dan kontranya, dapat membebani pertimbangan
penting mengenai manfaat ekonomi dan kewaspadaan
operasional. Beberapa organisasi telah beralih ke DDP tanpa
mempertimbangkan secara matang apakah struktur organisasi
terdistribusi akan mencapai tujuan bisnis mereka dengan lebih
baik. Banyak inisiatif DDP terbukti tidak efektif, dan bahkan
kontraproduktif, karena pengambil keputusan melihat kebajikan
sistem ini yang lebih simbolis daripada nyata. Sebelum
mengambil langkah yang tidak dapat dipulihkan, pengambil
keputusan harus menilai manfaat sebenarnya dari DDP untuk
organisasinya. Meskipun demikian, perencanaan dan
pelaksanaan pengendalian yang matang dapat mengurangi
beberapa risiko DDP yang telah dibahas sebelumnya. Bagian
ini mengulas beberapa perbaikan pada model DDP yang ketat.

Melaksanakan Fungsi IT Perusahaan

Model yang sepenuhnya terpusat dan model terdistribusi
mewakili posisi ekstrim pada rangkaian alternatif
struktural. Kebutuhan sebagian besar perusahaan jatuh ke suatu
tempat-tween titik akhir ini. Seringkali, masalah kontrol yang
telah dijelaskan sebelumnya dapat disesuaikan dengan
penerapan fungsi TI perusahaan seperti yang diilustrasikan
pada Gambar 2.5.
Fungsi ini sangat berkurang dalam ukuran dan status dari
model terpusat yang ditunjukkan pada Gambar 2.2. Kelompok
 TI perusahaan menyediakan pengembangan sistem dan
pengelolaan basis data untuk sistem keseluruhan entitas selain
saran teknis dan keahlian kepada komunitas TI
terdistribusi. Peran penasehat ini ditunjukkan oleh garis putus-
putus pada Gambar 2.5. Beberapa layanan yang diberikan
dijelaskan selanjutnya.

Pengujian Pusat Perangkat Lunak dan Perangkat Lunak

Komersial. Grup TI perusahaan yang terpusat lebih
siap daripada pengguna akhir untuk mengevaluasi manfaat
produk perangkat lunak dan perangkat keras komersil yang
bersaing yang sedang dipertimbangkan. Kelompok sentral,
teknis as-tute seperti ini dapat mengevaluasi fitur, kontrol,
dan kompatibilitas sistem dengan standar industri dan
organisasi. Hasil uji kemudian dapat didistribusikan ke area
pengguna sebagai standar untuk membimbing keputusan
akuisisi. Hal ini memungkinkan organisasi untuk secara
efektif memusatkan akuisisi, pengujian, dan implementasi
perangkat lunak dan perangkat keras dan menghindari banyak
masalah yang dibahas sebelumnya.

Layanan Pengguna. Fitur berharga dari grup

perusahaan adalah fungsi layanan penggunanya. Kegiatan ini
memberikan bantuan teknis kepada pengguna selama
pemasangan perangkat lunak baru dan dalam mengatasi
masalah masalah perangkat keras dan perangkat lunak.
Pembuatan papan timah elektronik untuk pengguna adalah
cara terbaik untuk mendistribusikan informasi tentang
masalah umum dan memungkinkan berbagi program yang
dikembangkan pengguna dengan orang lain di organisasi.
Selain itu, ruang obrolan bisa dibuat untuk memberikan
diskusi berulir, tanya jawab (FAQs), dan dukungan intranet.
Fungsi TI perusahaan juga dapat menyediakan meja bantuan,
di mana pengguna dapat menelepon dan mendapat tanggapan
cepat terhadap pertanyaan dan pertanyaan. Di banyak
organisasi, staf layanan pengguna mengajarkan kursus teknis
untuk pengguna akhir dan juga untuk petugas layanan
komputer. Hal ini meningkatkan tingkat kesadaran pengguna
dan mendorong peningkatan pendidikan tenaga teknis.
Standard-Setting Body. Lingkungan pengendalian yang relatif
buruk yang diberlakukan oleh model DDP dapat ditingkatkan
dengan menetapkan beberapa panduan utama. Kelompok
perusahaan dapat berkontribusi pada tujuan ini dengan
menetapkan dan mendistribusikan ke area pengguna sesuai
standar untuk pengembangan, pemrograman, dan
dokumentasi sistem.

Ulasan personalia Kelompok perusahaan seringkali

lebih siap daripada pengguna untuk mengevaluasi kredensial
teknis profesional sistem prospektif. Meskipun profesional
sistem sebenarnya akan menjadi bagian dari kelompok
pengguna akhir, keterlibatan kelompok perusahaan dalam
keputusan kerja dapat memberikan layanan yang berharga
bagi organisasi.

Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur
fungsi TI sedemikian rupa sehingga in-dividuals in
incompatible area dipisahkan sesuai dengan tingkat risiko
potensial dan dengan cara yang mendorong lingkungan
kerja. Ini adalah lingkungan di mana hubungan formal,
daripada santai, harus ada antara tugas yang tidak sesuai.

Prosedur Audit
Prosedur audit berikut akan berlaku untuk sebuah organisasi
dengan fungsi TI terpusat:
 Tinjaulah dokumentasi yang relevan, termasuk bagan
organisasi saat ini, pernyataan misi, dan uraian tugas
untuk fungsi utama, untuk menentukan apakah individu
atau kelompok melakukan fungsi yang tidak sesuai.
 Meninjau dokumentasi sistem dan catatan
pemeliharaan untuk contoh aplikasi. Verifikasi bahwa
pemrogram pemeliharaan yang ditugaskan untuk
proyek tertentu juga bukan programmer desain asli.
 Pastikan operator komputer tidak memiliki akses ke
rincian operasional logika internal sistem. Dokumentasi
sistem, seperti diagram alir sistem, diagram alur logika,
dan daftar kode program, seharusnya tidak menjadi
bagian dari kumpulan dokumentasi operasi.
 Melalui pengamatan, tentukan bahwa kebijakan
segregasi sedang diikuti dalam praktik. Tinjau log
 akses ruang operasi untuk menentukan apakah
pemrogram memasukkan fasilitas tersebut dengan
alasan selain kegagalan sistem.

Prosedur audit berikut akan berlaku untuk organisasi

dengan fungsi TI terdistribusi:
 Tinjau bagan organisasi saat ini, pernyataan misi, dan uraian
tugas untuk fungsi utama untuk menentukan apakah individu
atau kelompok melakukan tugas yang tidak sesuai.
 Verifikasi bahwa kebijakan dan standar perusahaan untuk
perancangan sistem, dokumentasi, dan akuisisi perangkat
keras dan perangkat lunak dipublikasikan dan diberikan
kepada unit TI terdistribusi.
 Verifikasi bahwa pengendalian kompensasi, seperti
pemantauan pengawasan dan manajemen, dipekerjakan bila
pemisahan tugas yang tidak sesuai secara ekonomi tidak
layak dilakukan.
 Tinjau dokumentasi sistem untuk memverifikasi bahwa
aplikasi, prosedur, dan database dirancang dan berfungsi
sesuai dengan standar perusahaan.

PUSAT KOMPUTER
Akuntan secara rutin memeriksa lingkungan fisik pusat
komputer sebagai bagian dari audit tahunan mereka. Tujuan
dari bagian ini adalah untuk menyajikan risiko pusat komputer
dan kontrol yang membantu mengurangi risiko dan
menciptakan lingkungan yang aman. Berikut ini adalah area
paparan potensial yang dapat mempengaruhi kualitas
informasi, catatan akuntansi, pemrosesan transaksi, dan
efektivitas pengendalian internal lainnya yang lebih
konvensional.

Lokasi fisik

Lokasi fisik pusat komputer secara langsung mempengaruhi

risiko kerusakan akibat bencana alam atau buatan manusia.
Sedapat mungkin, pusat komputer harus jauh dari bahaya
buatan manusia dan alam, seperti pabrik pengolahan, gas dan
air, bandara, daerah dengan tingkat kejahatan tinggi, dataran
banjir, dan kesalahan geologi. Pusat harus jauh dari lalu lintas
normal, seperti lantai atas sebuah bangunan atau di gedung
 terpisah yang terpisah. Menemukan komputer di gedung
bawah tanah meningkatkan risikonya terhadap banjir.

Konstruksi

Idealnya, pusat komputer harus berada di bangunan bertingkat

satu dengan konstruksi yang terkendali (dibahas
selanjutnya). Saluran utilitas (listrik dan telepon) harus berada
di bawah tanah. Jendela bangunan tidak boleh terbuka dan
sistem filtrasi udara harus ada yang mampu mengeluarkan
serbuk sari, debu, dan tungau debu.

Mengakses

Akses ke pusat komputer harus dibatasi oleh operator dan

karyawan lain yang bekerja di sana. Kontrol fisik, seperti pintu
terkunci, harus digunakan untuk membatasi akses ke
pusat. Akses harus dikontrol dengan papan tombol atau kartu
gesek, meski menyala Keluar dengan alarm diperlukan. Untuk
mencapai tingkat keamanan yang lebih tinggi, akses harus
dipantau dengan kamera sirkuit tertutup dan sistem perekaman
video. Pusat komputer juga harus menggunakan log masuk
untuk pemrogram dan analis yang memerlukan akses untuk
memperbaiki kesalahan program. Pusat komputer harus
menyimpan catatan akurat tentang semua lalu lintas tersebut.

AC

Komputer berfungsi paling baik di lingkungan ber-AC, dan

menyediakan pendingin ruangan yang memadai sering
menjadi persyaratan garansi vendor. Komputer beroperasi
paling baik pada kisaran suhu 70 sampai 75 derajat Fahrenheit
dan kelembaban relatif 50 persen. Kesalahan logika dapat
terjadi pada perangkat keras komputer saat suhu berangkat
secara signifikan dari kisaran optimal ini. Juga, risiko
kerusakan rangkaian dari listrik statis meningkat saat
kelembaban turun. Sebaliknya, kelembaban tinggi dapat
menyebabkan jamur tumbuh dan produk kertas (seperti
dokumen sumber) hingga peralatan membengkak dan selai.

Pemadam kebakaran
 Kebakaran adalah ancaman paling serius bagi peralatan
komputer perusahaan. Banyak perusahaan yang menderita
kebakaran di pusat komputer gulung tikar karena kehilangan
catatan kritis, seperti piutang usaha. Penerapan sistem
penindasan api yang efektif memerlukan konsultasi dengan
spesialis. Namun, beberapa fitur utama dari sistem seperti ini
adalah sebagai berikut:
1. Alarm otomatis dan manual harus ditempatkan di
lokasi strategis di sekitar stallation. Alarm ini harus
dihubungkan ke stasiun pemadam kebakaran
permanen.
2. Harus ada sistem pemadam kebakaran otomatis yang
mengeluarkan jenis penekan yang sesuai untuk
lokasi. Misalnya, penyemprotan air dan beberapa che-
mical di komputer bisa melakukan kerusakan
sebanyak api.
3. Pemadam api manual harus diletakkan di lokasi yang
strategis.
4. Bangunan itu harus konstruksi yang bagus untuk
menahan kerusakan air yang disebabkan oleh
peralatan penindas api.
5. Pintu keluar api harus ditandai dengan jelas dan
diterangi saat terjadi kebakaran.

Toleransi kesalahan

Toleransi kesalahan adalah kemampuan sistem untuk

melanjutkan operasinya saat sebagian sistem gagal karena
kegagalan perangkat keras, kesalahan program aplikasi, atau
kesalahan operator. Kontrol toleransi kesalahan im-
plementing memastikan tidak ada satu titik kegagalan sistem
potensial. Kegagalan total hanya bisa terjadi jika beberapa
komponen gagal. Dua contoh teknologi toleransi kesalahan
dibahas selanjutnya.
1. Array redundant disk independen (RAID). Serangan
melibatkan penggunaan disk paralel yang mengandung unsur
data dan aplikasi yang berlebihan. Jika satu disk gagal, data
yang hilang secara otomatis direkonstruksi dari komponen
berlebihan yang tersimpan pada disk lainnya.

Beberapa gas pemadam kebakaran, seperti halon, telah dilarang oleh pemerintah federal. Pastikan
gas yang digunakan tidak melanggar hukum federal.
 2. Uninterruptible power supplies. Tenaga listrik yang
diberikan secara komersial menghadirkan beberapa masalah
yang dapat mengganggu operasi pusat komputer, termasuk
kegagalan daya total, penurunan, fluktuasi daya, dan variasi
frekuensi. Peralatan yang digunakan untuk mengendalikan
masalah ini meliputi regulator tegangan, pelindung
gelombang, genera-tors, dan baterai cadangan. Jika terjadi
pemadaman listrik, perangkat ini menyediakan daya
cadangan untuk jangka waktu yang wajar agar
memungkinkan restorasi daya listrik komersial. Jika terjadi
pemadaman listrik yang berlebihan, daya cadangan akan
memungkinkan sistem komputer dimatikan dengan cara yang
terkendali dan mencegah kehilangan data dan korupsi yang
seharusnya diakibatkan oleh sistem yang tidak terkendali.

Tujuan Audit

Tujuan auditor adalah mengevaluasi kontrol yang mengatur

keamanan pusat komputer. Secara khusus, auditor harus
memverifikasi bahwa:
 Kontrol keamanan fisik cukup memadai untuk
melindungi organisasi secara fisik dari eksposur fisik
 Cakupan asuransi atas peralatan memadai untuk
memberi kompensasi kepada organisasi untuk
penghancuran, atau kerusakan pada pusat komputernya

Prosedur Audit

Berikut ini adalah tes kontrol keamanan fisik.

Pengujian Konstruksi Fisik. Auditor harus memperoleh
rencana arsitektural untuk memutuskan bahwa pusat komputer
kokoh dibangun dari bahan tahan api. Harus ada drainase yang
memadai di bawah lantai yang terangkat agar air mengalir jika
terjadi kerusakan air dari api di lantai atas atau dari sumber
lain. Selain itu, auditor harus menilai lokasi fisik pusat
komputer. Fasilitas ini harus ditempatkan di area yang
meminimalkan keterpaparannya terhadap kebakaran,
kerusuhan sipil, dan bahaya lainnya.
Pengujian Sistem Deteksi Kebakaran. Auditor harus
menetapkan alat deteksi kebakaran dan penindasan, baik
manual maupun otomatis, ada di tempat dan diuji secara regu-
larly. Sistem deteksi kebakaran harus mendeteksi asap, panas,
dan asap yang mudah terbakar. Buktinya dapat diperoleh
dengan meninjau catatan tes api resmi dari tes yang disimpan
di pusat komputer.

Pengujian Kontrol Akses. Auditor harus menetapkan bahwa

akses rutin ke pusat komuter terbatas pada pegawai yang
berwenang. Rincian tentang akses pengunjung (oleh pro-
grammers dan lain-lain), seperti waktu kedatangan dan
keberangkatan, tujuan, dan frekuensi akses, dapat diperoleh
dengan meninjau log akses. Untuk menetapkan kebenaran
dokumentasi ini, auditor dapat secara diam-diam mengamati
proses dimana akses diizinkan, atau meninjau rekaman video
dari kamera di jalur akses, jika digunakan.

Pengujian Raid. Sebagian besar sistem yang menggunakan

RAID menyediakan pemetaan grafis dari penyimpanan disk
mereka yang berlebihan. Dari pemetaan ini, auditor harus
menentukan apakah tingkat RAID yang ada memadai untuk
organisasi, mengingat tingkat risiko bisnis yang terkait dengan
kegagalan disk. Jika organisasi tidak menggunakan RAID,
potensi satu titik kegagalan sistem ada. Auditor harus meninjau
ulang dengan prosedur alternatif administrator sistem untuk
pemulihan dari kegagalan disk.

Pengujian Uninterruptible Power Supply. Pusat komputer

harus melakukan tes berkala terhadap catu daya cadangan
untuk memastikan kapasitasnya memadai untuk menjalankan
komputer dan pendingin ruangan. Ini adalah tes yang sangat
penting, dan hasilnya harus dicatat secara formal. Seiring
sistem komputer perusahaan berkembang, dan
ketergantungannya meningkat, kebutuhan daya cadangan
cenderung tumbuh secara proporsional. Memang, tanpa tes
semacam itu, sebuah organisasi mungkin tidak menyadari
bahwa hal itu telah melampaui kapasitas cadangannya sampai
terlambat.
 Pengujian untuk Cakupan Asuransi. Auditor setiap tahun
harus meninjau cakupan asuransi organisasi di perangkat keras
komputer, perangkat lunak, dan fasilitas fisiknya. Auditor
harus memverifikasi bahwa semua akuisisi baru tercantum
pada polis dan peralatan dan perangkat usang telah
dihapus. Polis asuransi harus mencerminkan kebutuhan
pengelolaan dalam hal cakupan. Misalnya, perusahaan
mungkin ingin diasuransikan sendiri dan memerlukan
pertanggungan minimum. Di sisi lain, perusahaan dapat
mencari cakupan biaya penggantian yang lengkap.

PERENCANAAN PEMULIHAN BENCANA

Bencana seperti gempa bumi, banjir, sabotase, dan bahkan
kegagalan listrik bisa menjadi bencana bagi pusat komputer
dan sistem informasi perusahaan. Gambar 2.6
menggambarkan tiga kategori bencana yang dapat merampok
sebuah organisasi sumber daya TI-nya:
bencana alam, bencana buatan manusia, dan kegagalan sistem.
Bencana alam seperti angin topan, banjir yang menyebar luas,
dan gempa bumi adalah yang paling berpotensi
menghancurkan tiga dari perspektif masyarakat karena secara
bersamaan dapat mempengaruhi banyak organisasi di wilayah
geografis yang terkena dampak. Bencana buatan manusia,
seperti sabo-tage atau kesalahan, bisa sama merusaknya
dengan organisasi individual, namun cenderung terbatas pada
lingkup dampaknya. Kegagalan sistem seperti pemadaman
listrik atau kegagalan hard drive umumnya kurang parah,
namun kemungkinan besar akan terjadi.
Semua bencana ini dapat menghilangkan sebuah
organisasi fasilitas pengolahan data, menghentikan fungsi
bisnis yang dilakukan atau dibantu oleh komputer, dan
mengganggu kemampuan organisasi untuk memberikan
produk atau layanannya. Dengan kata lain, perusahaan
kehilangan kemampuannya untuk berbisnis. Organisasi yang
lebih tergantung bergantung pada teknologiologi, semakin
rentan terhadap jenis risiko ini. Untuk bisnis seperti
Amazon.com atau eBay, kehilangan beberapa jam saja
kemampuan pemrosesan komputer bisa menjadi bencana
besar.
Bencana seperti yang diuraikan di atas biasanya tidak
dapat dicegah atau dihindari. Begitu tertimpa, kelangsungan
hidup perusahaan korban akan ditentukan oleh seberapa baik
dan seberapa cepat reaksi tersebut terjadi. Oleh karena itu,
dengan perencanaan kontinjensi yang cermat, dampak bencana
bisa diserap dan organisasi dapat pulih kembali. Untuk
bertahan dalam acara semacam itu, perusahaan
mengembangkan prosedur pemulihan dan memformalkannya
menjadi rencana pemulihan bencana (DRP). Ini adalah
pernyataan komprehensif dari semua tindakan yang harus
dilakukan sebelum, selama, dan setelah semua jenis
bencana. Meskipun rincian masing-masing rencana unik untuk
kebutuhan organisasi, semua rencana kerja memiliki empat
ciri umum:
1. Identifikasi aplikasi kritis
2. Buat tim pemulihan bencana
3. Sediakan cadangan situ
4. Tentukan prosedur penyimpanan cadangan dan off-site
 Sisa dari bagian ini dikhususkan untuk diskusi tentang elemen
penting dari DRP yang efektif.

Identifikasi Aplikasi Kritis

Elemen penting pertama dari DRP adalah untuk

mengidentifikasi aplikasi penting perusahaan dan file data
terkait. Upaya pemulihan harus berkonsentrasi pada
pemulihan aplikasi yang sangat penting bagi kelangsungan
hidup organisasi jangka pendek. Tentunya, dalam jangka
panjang, semua aplikasi harus dikembalikan ke tingkat
aktivitas bisnis predisaster. DRP, bagaimanapun, adalah
dokumen jangka pendek yang seharusnya tidak berusaha
mengembalikan fasilitas pengolahan data ke kapasitas penuh
segera setelah bencana terjadi. Untuk melakukannya akan
mengalihkan sumber daya dari area kritis dan menunda
pemulihan. Oleh karena itu, rencana tersebut harus berfokus
pada kelangsungan hidup jangka pendek, yang berisiko dalam
skenario bencana.
Bagi kebanyakan organisasi, kelangsungan hidup jangka
pendek memerlukan pemulihan fungsi-fungsi yang
menghasilkan arus kas yang cukup untuk memenuhi kewajiban
jangka pendek. Sebagai contoh, asumsikan bahwa fungsi
berikut mempengaruhi posisi arus kas perusahaan tertentu:
 Penjualan dan penjualan pelanggan (Customers
sales and service)
 Pemenuhan kewajiban hukum
 Pemeliharaan dan pengumpulan piutang produksi
 Keputusan produksi dan distribusi
 Fungsi pembelian
 Pencairan uang tunai (akun perdagangan dan gaji)

Aplikasi komputer yang mendukung fungsi bisnis ini secara

langsung sangat penting. Oleh karena itu, aplikasi ini harus
diidentifikasi dan diprioritaskan dalam rencana restorasi.
Prioritas aplikasi dapat berubah dari waktu ke waktu, dan
keputusan ini harus dinilai ulang secara teratur. Sistem terus
direvisi dan diperluas untuk mencerminkan perubahan dalam
persyaratan pengguna. Demikian pula, DRP harus diperbarui
untuk mencerminkan perkembangan baru dan
mengidentifikasi aplikasi penting. Prioritas terkini adalah
penting, karena hal itu mempengaruhi aspek lain dari rencana
strategis. Misalnya, perubahan dalam prioritas aplikasi dapat
 menyebabkan perubahan sifat dan tingkat persyaratan
cadangan kedua lokasi dan prosedur pencadangan spesifik,
yang akan dibahas nanti.
Tugas untuk mengidentifikasi item penting dan
memprioritaskan aplikasi memerlukan partisipasi aktif dari
departemen pengguna, akuntan, dan auditor. Terlalu sering,
tugas ini benar-benar dilihat sebagai masalah teknis komputer
dan oleh karena itu didelegasikan ke profesional
TI. Meskipun bantuan teknis profesional TI akan diperlukan,
tugas ini adalah keputusan bisnis dan harus dibuat oleh
mereka yang paling siap untuk memahami masalah bisnis.

Membuat Tim Pemulihan Bencana

Pemulihan dari bencana bergantung pada tindakan korektif

yang tepat waktu. Penundaan dalam melakukan tugas penting
memperpanjang masa pemulihan dan mengurangi prospek
pemulihan yang berhasil. Untuk menghindari kelalaian atau
duplikasi usaha yang serius selama pelaksanaan rencana
kontinjensi, tanggung jawab tugas harus didefinisikan secara
jelas dan dikomunikasikan kepada personil yang terlibat.
Gambar 2.7 menyajikan bagan organisasi yang
menggambarkan komposisi tim pemulihan bencana. Anggota
tim harus menjadi ahli di bidang mereka dan telah
menugaskan tugas. Setelah bencana, anggota tim akan
mendelegasikan subtugas ke bawahan mereka. Perlu dicatat
bahwa masalah kontrol tradisional tidak berlaku dalam situasi
ini. Lingkungan yang diciptakan oleh bencana mungkin perlu
untuk melanggar prinsip-prinsip pengendalian seperti
pemisahan tugas, kontrol akses, dan pengawasan.

Menyediakan Backup Situs Kedua

Bahan yang diperlukan dalam DRP adalah menyediakan

fasilitas pengolahan data duplikat setelah terjadi bencana. Di
antara pilihan yang tersedia, yang paling umum adalah pakta
bantuan bersama; situs kosong atau dingin; pusat operasi
pemulihan atau situs yang panas; dan cadangan internal pro-
vided. Masing-masing dibahas pada bagian berikut.
Pakta Reksa Dana. Pakta bantuan bersama adalah
kesepakatan antara dua atau lebih organisasi (dengan fasilitas
komputer yang kompatibel) untuk saling membantu dengan
kebutuhan pengolahan data mereka jika terjadi bencana.
Dalam acara seperti itu, perusahaan induk harus mengganggu
jadwal pemrosesannya untuk memproses transaksi penting
perusahaan yang dilanda bencana tersebut. Akibatnya,
perusahaan induk itu sendiri harus masuk ke mode operasi
darurat dan mengurangi pemrosesan aplikasi dengan prioritas
lebih rendah untuk mengakomodasi permintaan akan sumber
daya TI secara tiba-tiba.
Popularitas kesepakatan timbal balik ini didorong oleh
ekonomi; mereka bebas biaya untuk
diimplementasikan. Sebenarnya, pakta bantuan timbal balik
bekerja lebih baik dalam teori daripada dalam praktik. Jika
terjadi bencana, perusahaan yang tertekan tidak menjamin
bahwa perusahaan yang beroperasi akan memenuhi janjinya
untuk mendapatkan bantuan. Untuk mengandalkan
pengaturan semacam itu untuk bantuan substantif selama
bencana membutuhkan tingkat kepercayaan dan kepercayaan
yang belum teruji yang tidak khas dari manajemen yang
canggih dan auditornya.
Tujuan: Siapkan situs cadangan untuk operasi dan dapatkan perangkat keras dari vendor.

Tujuan: Menyediakan versi terkini dari semua aplikasi penting, file data, dan dokumentasi.

Tujuan: Membangkitkan kembali konversi data dan fungsi kontrol data yang diperlukan
untuk memproses aplikasi kritis.

Shell Kosong. Rencana lokasi shell atau cold shell yang

kosong adalah pengaturan dimana perusahaan membeli atau
menyewa bangunan yang akan dijadikan pusat data. Jika
terjadi bencana, cangkangnya tersedia dan siap menerima
perangkat keras apa pun yang dibutuhkan pengguna sementara
untuk menjalankan sistem penting. Pendekatan ini,
bagaimanapun, memiliki kelemahan mendasar. Pemulihan
tergantung pada ketersediaan perangkat keras komputer yang
diperlukan untuk mengembalikan fungsi pemrosesan data.
Manajemen harus mendapatkan jaminan melalui kontrak
dengan vendor perangkat keras yang, jika terjadi bencana,
vendor akan memberikan prioritas kebutuhan perusahaan.
Masalah pasokan perangkat keras yang tak terduga pada titik
kritis ini bisa menjadi pukulan fatal.
Pusat Operasi Pemulihan. Pusat operasi pemulihan (ROC)
atau situs yang panas adalah pusat data cadangan lengkap yang
dimiliki banyak perusahaan. Selain fasilitas perangkat keras
dan cadangan, penyedia layanan ROC menawarkan berbagai
layanan teknis untuk layanan klien mereka, yang membayar
iuran tahunan untuk hak akses. Jika terjadi bencana besar,
pelanggan dapat menempati lokasi dan, dalam beberapa jam,
melanjutkan pemrosesan aplikasi penting.
11 September 2001, adalah ujian yang benar untuk
keandalan dan efektivitas pendekatan ROC. Comdisco,
penyedia ROC utama, memiliki 47 klien yang menyatakan 93
bencana yang berbeda pada hari serangan tersebut. Semua 47
perusahaan pindah dan bekerja di pusat pemulihan Com-disko.
Pada satu titik, 3.000 karyawan klien bekerja di luar pusat
kegiatan. Ribuan komputer dikonfigurasi untuk kebutuhan klien
dalam 24 jam pertama, dan tim pemulihan sistem berada di
tempat di mana pun polisi mengizinkan akses. Pada tanggal 25
 September, hampir separuh klien dapat kembali ke fasilitas
mereka dengan sistem yang berfungsi penuh.
Meskipun cerita Comdisco menggambarkan kesuksesan
ROC, namun juga menunjukkan adanya masalah potensial
dengan pendekatan ini. Bencana alam yang meluas, seperti
banjir atau gempa bumi, dapat menghancurkan kemampuan
pemrosesan data beberapa anggota ROC yang berada di
wilayah geografis yang sama. Semua perusahaan korban akan
mendapati diri mereka bersaing untuk mendapatkan akses ke
fasilitas terbatas yang sama. Karena beberapa penyedia
layanan ROC memperluas kapasitas mereka dengan rasio 20:
1, situasinya serupa dengan kapal tenggelam yang memiliki
jumlah sekoci yang tidak memadai.
Masa kebingungan setelah bencana bukanlah waktu yang
ideal untuk menegosiasikan hak proporsional. Oleh karena itu,
sebelum masuk ke dalam pengaturan ROC, manajemen harus
mempertimbangkan potensi masalah kepadatan penduduk dan
pengelompokan geografis keanggotaan sewa.

Backup yang diberikan secara internal. Organisasi yang

lebih besar dengan banyak pusat pemrosesan data sering
memilih kemandirian yang menciptakan kapasitas kelebihan
internal. Ini memungkinkan perusahaan mengembangkan
konfigurasi perangkat keras dan perangkat lunak standar, yang
memastikan kompatibilitas fungsional di antara pusat
pemrosesan data dan meminimalkan masalah pemotongan jika
terjadi bencana.
Pershing, sebuah divisi dari Donaldson, Lufkin & Jenrette
Securities Corporation, memproses lebih dari 36 juta transaksi
per hari, sekitar 2.000 per detik. Pershing man- agement
mengakui bahwa seorang vendor ROC tidak dapat
memberikan waktu pemulihan yang mereka inginkan dan
butuhkan. Oleh karena itu, perusahaan membangun pusat data
cermin jarak jauh sendiri. Fasilitas ini dilengkapi dengan
perangkat penyimpanan berkapasitas tinggi yang mampu
menyimpan lebih dari 20 terabyte data dan dua mainframe
IBM yang menjalankan perangkat lunak salinan kecepatan
tinggi. Semua trans-tindakan yang proses sistem utama
ditransmisikan secara real time melalui kabel serat optik ke
fasilitas remote backup. Pada setiap titik waktu, pusat data
cermin mencerminkan kembali kejadian ekonomi saat ini dari
perusahaan. Sistem cermin telah mengurangi waktu
pemulihan data Pershing dari 24 jam menjadi 1 jam.

Backup dan Off-Site Storage Procedures

Semua file data, aplikasi, dokumentasi, dan persediaan yang
diperlukan untuk menjalankan fungsi penting harus
dicadangkan secara otomatis dan disimpan di lokasi yang
aman di luar lokasi. Personel pengolahan data harus secara
rutin melakukan prosedur backup dan penyimpanan untuk
mendapatkan dan mengamankan sumber daya kritis ini.

Cadangan Sistem Operasi. Jika perusahaan menggunakan

situs yang dingin atau metode pencadangan situs lainnya yang
tidak termasuk sistem operasi yang kompatibel (O / S),
prosedur untuk mendapatkan versi sistem operasi terkini harus
ditentukan secara jelas. Pustakawan data, jika ada, akan
menjadi orang kunci yang terlibat dalam melakukan tugas ini
sebagai tambahan terhadap aplikasi dan prosedur backup data
yang akan dibahas selanjutnya.

Cadangan Aplikasi Berdasarkan hasil yang diperoleh pada

tahap aplikasi kritis yang dibahas sebelumnya, DRP harus
mencakup prosedur pembuatan salinan versi aplikasi kritis
terkini. Dalam kasus perangkat lunak komersial, ini
melibatkan pembelian salinan cadangan dari upgrade
perangkat lunak terbaru yang digunakan oleh organisasi.
Untuk aplikasi de-veloped in-house, prosedur backup harus
menjadi langkah integral dalam proses pengembangan sistem
dan proses perubahan program, yang dibahas secara rinci
pada Bab 5.

File data cadangan Backup state-of-the-art dalam backup

database adalah situs mirror jarak jauh, yang menyediakan
data lengkap mata uang. Tidak semua organisasi bersedia atau
mampu menginvestasikan sumber daya cadangan tersebut.
Minimal, bagaimanapun, database harus disalin setiap hari ke
media berkapasitas tinggi dan berkecepatan tinggi, seperti
tape atau CD / DVD dan diamankan di luar lokasi. Jika terjadi
gangguan, rekonstruksi database dicapai dengan memperbarui
versi cadangan terbaru dengan data transaksi berikutnya.
Demikian juga, file master dan file transaksi harus dilindungi.

Dokumentasi cadangan Dokumentasi sistem untuk aplikasi

kritis harus dicadangkan dan disimpan di luar lokasi beserta
aplikasi. Dokumentasi sistem dapat merupakan jumlah
material yang signifikan dan proses backup semakin rumit
oleh perubahan aplikasi yang sering terjadi (lihat Bab 5).
Backup dokumentasi mungkin disederhanakan dan dibuat
lebih efisien melalui penggunaan alat dokumentasi Computer
Aided Software En-gineering (CASE). DRP juga harus
menyertakan ketentuan yang mendukung manual pengguna
akhir karena individu yang memproses transaksi dalam
kondisi bencana mungkin bukan staf biasa yang terbiasa
dengan sistem.

Persediaan Cadangan dan Dokumen Sumber. Organisasi

harus membuat persediaan cadangan persediaan dan dokumen
sumber yang digunakan dalam memproses transaksi penting.
Contoh persediaan kritis adalah cek saham, faktur, pesanan
pembelian, dan bentuk tujuan khusus lainnya yang tidak dapat
diperoleh dengan segera. DRP harus menentukan jenis dan
jumlah yang dibutuhkan dari barang-barang khusus ini.
Karena ini adalah rutinitas rutin dari operasi sehari-hari,
karena sering kali diabaikan oleh rencana kontinjensi
bencana. Pada titik ini, perlu dicatat bahwa salinan dokumen
DRP saat ini juga harus disimpan di luar lokasi di lokasi yang
aman.

Menguji DRP. Aspek perencanaan kontinjensi yang paling

diabaikan adalah menguji DRP. Meskipun demikian, tes DRP
penting dan harus dilakukan secara berkala. Pengujian
mengukur kesiapan personil dan mengidentifikasi kelalaian
atau kemacetan dalam rencana.
Tes yang paling berguna saat simulasi gangguan
adalah kejutan. Saat bencana tiruan diumumkan, status semua
pemrosesan yang terkena dampak harus
didokumentasikan. Pendekatan ini memberikan tolok ukur
untuk penilaian kinerja selanjutnya. Rencana tersebut harus
dilakukan sejauh memungkinkan secara ekonomi. Idealnya,
itu termasuk penggunaan fasilitas dan persediaan cadangan.
Kemajuan rencana harus dicatat pada poin-poin
kunci selama periode pengujian. Pada akhir pengujian,
hasilnya kemudian dapat dianalisis dan laporan kinerja DRP
disiapkan. Tingkat kinerja yang dicapai memberikan masukan
untuk keputusan untuk memodifikasi DRP atau
menjadwalkan tes tambahan. Manajemen organisasi harus
mencari ukuran kinerja di masing-masing bidang berikut: (1)
keefektifan personil tim DRP dan tingkat pengetahuan
mereka; (2) tingkat keberhasilan konversi (yaitu, jumlah
kehilangan catatan); (3) perkiraan kerugian finansial karena
kehilangan catatan atau fasilitas; dan (4) efektivitas prosedur
backup dan pemulihan program, data, dan dokumentasi.

Tujuan Audit
Auditor harus memverifikasi bahwa rencana pemulihan
bencana manajemen memadai dan layak untuk menghadapi
malapetaka yang dapat menghambat pengorganisasian sumber
daya komputasinya.

Prosedur Audit
Dalam memverifikasi bahwa DRP manajemen adalah solusi
realistis untuk menghadapi malapetaka, tes berikut dapat
dilakukan.

Backup Situs Auditor harus mengevaluasi kecukupan

pengaturan situs backup. Ketidakcocokan sistem dan sifat
manusia keduanya sangat mengurangi keefektifan pakta
bantuan bersama. Auditor harus skeptis terhadap pengaturan
semacam itu karena dua alasan. Pertama, kecanggihan sistem
komputer bisa menyulitkan mencari pasangan potensial
dengan konfigurasi yang kompatibel. Kedua, kebanyakan
perusahaan tidak memiliki kelebihan kapasitas yang
diperlukan untuk mendukung mitra yang mengalami bencana
dan juga memproses pekerjaan mereka sendiri. Ketika sampai
pada krisis, manajemen perusahaan yang tidak tersentuh oleh
bencana kemungkinan akan memiliki sedikit nafsu makan
untuk pengorbanan yang harus dilakukan untuk menghormati
kesepakatan tersebut.
 Pilihan yang lebih layak namun mahal adalah cangkang
kosong dan pusat operasi pemulihan. Ini juga harus diperiksa
dengan hati-hati. Jika organisasi klien menggunakan metode
shell kosong, maka auditor perlu memverifikasi adanya kontrak
yang valid dengan vendor perangkat keras yang menjamin
pengiriman perangkat keras komputer yang dibutuhkan dengan
penundaan minimum setelah bencana. Jika klien adalah anggota
ROC, auditor harus memperhatikan jumlah anggota ROC dan
penyebaran geografisnya. Bencana yang meluas dapat
menciptakan permintaan yang tidak dapat dipenuhi oleh
fasilitas ROC.

Daftar Aplikasi Kritis Auditor harus meninjau daftar aplikasi

kritis untuk memastikannya selesai. Aplikasi yang hilang bisa
mengakibatkan kegagalan untuk pulih. Hal yang sama juga
berlaku untuk mengembalikan aplikasi yang tidak
perlu. Untuk memasukkan aplikasi pada daftar kritis yang
tidak diperlukan untuk mencapai kelangsungan hidup jangka
pendek dapat salah mengarahkan sumber ulang dan
mengalihkan perhatian dari tujuan utama selama masa
pemulihan.

Backup Perangkat Lunak. Auditor harus memverifikasi

bahwa salinan aplikasi dan sistem operasi penting disimpan di
luar lokasi. Auditor juga harus memverifikasi bahwa aplikasi
yang tersimpan di luar lokasi saat ini dengan membandingkan
nomor versi mereka dengan aplikasi aktual yang
digunakan. Nomor versi aplikasi dijelaskan secara rinci pada
Bab 5.

Cadangan data. Auditor harus memverifikasi bahwa file data

penting didukung dengan bantuan DRP. Prosedur backup data
spesifik untuk kedua file flat dan database relasional dibahas
secara rinci pada Bab 4.

Persediaan Cadangan, Dokumen, dan

Dokumentasi. Dokumentasi sistem, persediaan, dan dokumen
sumber yang dibutuhkan untuk memproses transaksi penting
harus dicadangkan dan disimpan di luar lokasi. Auditor harus
memverifikasi bahwa jenis dan jumlah barang yang
ditentukan dalam DRP seperti persediaan cek, faktur, pesanan
 pembelian, dan formulir tujuan khusus ada di tempat yang
aman.

Tim Pemulihan Bencana. DRP harus secara jelas

mencantumkan nama, alamat, dan nomor telepon darurat
anggota tim pemulihan bencana. Auditor harus memverifikasi
bahwa anggota tim adalah karyawan saat ini dan menyadari
tanggung jawab mereka yang ditugaskan. Pada satu
kesempatan, saat meninjau ulang sebuah perusahaan DRP,
penulis mencabut bahwa seorang pemimpin tim yang terdaftar
dalam rencana tersebut telah meninggal dunia selama
sembilan bulan.

OUTSOURCING FUNGSI ITU

Biaya, risiko, dan tanggung jawab yang terkait dengan
pemeliharaan fungsi perusahaan yang efektif TI sangat
penting. Oleh karena itu, banyak eksekutif memilih untuk
melakukan outsourcing fungsi TI mereka kepada vendor pihak
ketiga yang mengambil alih tanggung jawab atas pengelolaan
aset dan staf TI dan untuk pengiriman layanan TI, seperti entri
data, operasi data center, pengembangan aplikasi,
pemeliharaan aplikasi, dan manajemen jaringan Seringkali
dikutip manfaat outsourcing TI mencakup peningkatan kinerja
bisnis inti, peningkatan kinerja TI (karena keahlian vendor),
dan mengurangi biaya TI. Dengan memindahkan fasilitas TI ke
luar negeri ke daerah dengan biaya tenaga kerja rendah dan /
atau melalui skala ekonomi (dengan menggabungkan beberapa
klien), vendor dapat melakukan fungsi alih daya lebih murah
daripada yang dapat dilakukan oleh perusahaan
klien.Penghematan biaya yang dihasilkan kemudian diteruskan
ke organisasi klien. Selanjutnya, banyak pengaturan
outsourcing TI yang memungkinkan penjualan aset TI
perusahaan klien - baik manusia maupun mesin - ke vendor,
yang kemudian disewa oleh perusahaan klien. Transaksi ini
menghasilkan infus tunai satu kali yang signifikan ke
perusahaan.
Logika yang mendasari TI outsourcing mengikuti teori
kompetensi inti, yang berpendapat bahwa sebuah organisasi
harus berfokus secara eksklusif pada kompetensi bisnis intinya,
sementara memungkinkan vendor outsourcing mengelola
wilayah non-inti secara efisien seperti fungsi TI. Premis ini,
bagaimanapun, mengabaikan perbedaan penting antara com-
modity dan aset TI yang spesifik.
Aset TI komoditi tidak unik untuk organisasi tertentu dan
dengan demikian mudah diperoleh di pasar. Ini mencakup hal-
hal seperti manajemen jaringan, operasi sistem, pemeliharaan
server, dan fungsi help desk. Aset TI spesifik, sebaliknya, unik
bagi organisasi dan mendukung tujuan strategisnya. Karena
sifatnya yang istimewa, aset tertentu memiliki nilai yang kecil di
luar penggunaan mereka saat ini. Aset semacam itu mungkin
berwujud (peralatan komputer), intelektual (program komputer),
atau manusia. Contoh aset spesifik meliputi pengembangan
sistem, pemeliharaan aplikasi, pergudangan data, dan karyawan
terampil yang terlatih untuk menggunakan perangkat lunak
khusus organisasi.
Teori Biaya Biaya Ekonomi (TCE) bertentangan dengan
sekolah kompetensi inti dengan menyarankan bahwa
perusahaan harus mempertahankan aset TI non-inti spesifik
tertentu di-rumah. Karena sifat esoteris mereka, aset spesifik
tidak dapat dengan mudah diganti begitu mereka menyerah
dalam pengaturan alih daya. Oleh karena itu, jika organisasi
harus memutuskan untuk membatalkan kontrak outsourcing
dengan vendornya, perusahaan tersebut mungkin tidak dapat
kembali ke negara bagian sebelum melakukan pembayaran. Di
sisi lain, teori TCE mendukung pengalihan aset komersil, yang
mudah diganti atau diperoleh dari vendor alternatif.
Tentu, persepsi CEO tentang apa yang merupakan
komoditas aset TI berperan penting dalam keputusan
outsourcing TI. Seringkali ini bermuara pada masalah definiisi
dan interpretasi. Sebagai contoh, kebanyakan CEO akan
mendefinisikan fungsi TI mereka sebagai komoditas non-inti,
kecuali jika mereka menjalankan bisnis untuk mengembangkan
dan menjual aplikasi IT. Akibatnya, keyakinan bahwa semua
TI dapat, dan seharusnya, dikelola oleh organisasi layanan
besar cenderung menang. Kesalahan persepsi semacam itu
mencerminkan, sebagian, keduanya tidak memiliki pendidikan
eksekutif dan penyebaran informasi yang salah mengenai
kebajikan dan keterbatasan TI outsourcing.
Risiko yang melekat pada IT Outsourcing

Kegiatan outsourcing IT skala besar adalah usaha yang

berisiko, sebagian karena ukuran semata dari kesepakatan
keuangan ini, tetapi juga karena sifatnya. Tingkat risiko terkait
dengan tingkat kekhususan aset dari fungsi alih daya. Bagian
berikut menguraikan beberapa masalah terdokumentasi
dengan baik.

Gagal tampil
Begitu perusahaan klien telah mengalihkan aset TI
spesifiknya, kinerjanya menjadi terkait dengan kinerja
vendor. Implikasi negatif dari ketergantungan tersebut
diilustrasikan dalam masalah keuangan yang telah melanda
vendor outsourcing besar Electronic Data Systems Corp.
(EDS). Dalam upaya pemotongan biaya, EDS menghentikan
tujuh ribu karyawan, yang berdampak pada kemampuannya
untuk melayani klien lain. Setelah harga saham terendah 11
tahun, pemegang saham EDS mengajukan gugatan class action
kepada perusahaan tersebut. Jelas, para ven-dors yang
mengalami masalah keuangan dan hukum yang serius juga
mengancam kelangsungan hidup klien mereka.

Eksploitasi Vendor
Pengalihan TI berskala besar melibatkan pemindahan ke
vendor "aset khusus", seperti perancangan, pengembangan,
dan pemeliharaan aplikasi bisnis unik yang penting bagi
kelangsungan hidup sebuah organisasi. Aset khusus, yang
bernilai bagi klien, tidak banyak berpengaruh pada vendor di
luar kontrak langsung dengan klien. Memang, mereka
mungkin tidak berutang jika organisasi klien gulung tikar.
Karena vendor mengasumsikan risiko dengan mengakuisisi
aset dan tidak dapat mencapai skala ekonomi dengan
mempekerjakan mereka lain-di mana, organisasi klien akan
membayar premi untuk mentransfer fungsi tersebut kepada
pihak ketiga. Selanjutnya, setelah perusahaan klien
melepaskan diri dari aset spesifik tersebut, hal itu menjadi
tergantung pada vendor. Vendor dapat memanfaatkan
ketergantungan ini dengan menaikkan tarif layanan ke tingkat
selangit. Sebagai klien 'Kebutuhan TI berkembang dari waktu
ke waktu di luar persyaratan kontrak originalnya, ia berisiko
bahwa layanan baru atau tambahan akan dinegosiasikan
dengan harga premium. Ketergantungan ini dapat mengancam
fleksibilitas jangka panjang klien, kelincahan, dan daya saing
dan mengakibatkan ketergantungan vendor yang lebih besar
lagi.

Biaya Outsourcing Melebihi Manfaat

IT outsourcing telah dikritik karena biaya tak terduga muncul
dan tingkat keuntungan yang diharapkan tidak
direalisasikan. Satu survei mengungkapkan bahwa 47 persen
dari 66 perusahaan yang disurvei melaporkan bahwa biaya
outsourcing TI melebihi manfaat dari outsourcing. Salah satu
alasannya adalah bahwa klien outsourcing sering gagal
mengantisipasi biaya pemilihan vendor, kontrak, dan transisi
operasi TI ke vendor.

Mengurangi keamanan
Informasi yang diserahkan ke vendor TI di luar negeri
menimbulkan pertanyaan unik dan serius seputar pengendalian
internal dan perlindungan data pribadi yang sensitif. Ketika
sistem keuangan perusahaan dikembangkan dan dihosting di
luar negeri, dan kode program dikembangkan melalui
antarmuka dengan jaringan perusahaan induk, perusahaan AS
berisiko kehilangan kendali atas informasi mereka. Untuk
tingkat besar, perusahaan AS bergantung pada langkah
keamanan vendor outsour-cing, kebijakan akses data, dan
undang-undang privasi negara tuan rumah. Sebagai contoh,
seorang wanita di Pakistan memperoleh data medis pasien-
sensitif dari University of California Medical Center di San
Francisco. Dia mendapatkan akses ke data dari seorang
penjual transkripsi medis untuk siapa dia bekerja. Wanita itu
mengancam untuk menerbitkan catatan di Internet jika dia
tidak mendapatkan kenaikan gaji.Terorisme di Indonesia Asia
dan Timur Tengah menimbulkan masalah keamanan
tambahan bagi perusahaan yang mengarsir teknologi lepas
pantai. Misalnya, pada tanggal 5 Maret 2005, polisi di Delhi,
India, menangkap sel dari tersangka teroris yang berencana
untuk menyerang perusahaan outsourcing di Bangalore, India.

Hilangnya Keuntungan Strategis

IT outsourcing dapat mempengaruhi ketidaksesuaian antara
perencanaan strategis TI perusahaan dan fungsi perencanaan
bisnisnya. Organisasi yang menggunakan TI strategis harus
menyelaraskan strategi bisnis dan strategi TI atau menjalankan
risiko penurunan kinerja bisnis. Untuk mempromosikan
 keselarasan tersebut, perusahaan membutuhkan manajer TI
dan chief information officer (CIO) yang memiliki
pengetahuan kerja yang kuat mengenai bisnis organisasi.
Sebuah survei terhadap 213 manajer TI di industri jasa
keuangan memastikan bahwa kepemimpinan TI perusahaan
harus disesuaikan dengan strategi persaingan perusahaan.
Memang, ada yang berpendapat bahwa bisnis CIO lebih
penting daripada kompetensi TI mereka dalam memfasilitasi
kongruensi strategis.
Untuk mencapai keselarasan tersebut, diperlukan
adanya hubungan kerja yang erat antara manajemen
perusahaan dan manajemen TI dalam pengembangan strategi
bisnis dan TI bersamaan. Namun, ini sulit dilakukan ketika
perencanaan TI dialihkan secara geografis ke luar negeri atau
bahkan di dalam negeri. Lebih jauh lagi, karena justifikasi
keuangan untuk IT outsourcing bergantung pada vendor yang
mencapai skala ekonomis, vendor secara alami didorong
untuk mencari solusi umum yang dapat digunakan oleh
banyak klien daripada menciptakan solusi unik untuk masing-
masing perusahaan. Dasar mendasar dari outsourcing TI ini
tidak sesuai dengan pencarian klien terhadap keunggulan
strategis di pasar.

Audit Implikasi IT Outsourcing

Manajemen dapat mengalihkan fungsi TI perusahaannya,

namun tidak dapat mengalihkan tanggung jawab
pengelolaannya di bawah SOX untuk memastikan pengendalian
internal TI yang memadai. PCAOB secara khusus menyatakan
dalam Standar Audit No. 2, "Penggunaan sebuah organisasi
layanan tidak mengurangi tanggung jawab manajemen untuk
mempertahankan pengendalian internal yang efektif atas
pelaporan keuangan. Sebaliknya, manajemen pengguna harus
mengevaluasi kontrol pada organisasi layanan, serta kontrol
terkait di perusahaan pengguna, saat membuat penilaian tentang
pengendalian internal atas pelaporan keuangan. "Oleh karena
itu, jika perusahaan audit mengalihkan fungsi TI-nya ke vendor
yang memproses transaksinya, menjadi tuan rumah data utama,
atau melakukan layanan penting lainnya, auditor perlu
melakukan evaluasi terhadap kontrol organisasi vendor,atau
sebagai alternatif memperoleh laporan auditor SAS No. 70 dari
organisasi vendor.
 Pernyataan Standar Audit No. 70 (SAS 70) adalah
standar definitif dimana auditor organisasi klien dapat
memperoleh pengetahuan bahwa kontrol pada vendor
pihak ketiga memadai untuk mencegah atau mendeteksi
kesalahan material yang dapat mempengaruhi laporan
keuangan klien. Laporan SAS 70, yang disiapkan oleh
auditor vendor, di-tes terhadap kecukupan kontrol internal
vendor. Ini adalah cara dimana vendor outsourcing dapat
memperoleh satu laporan audit yang dapat digunakan oleh
audiens kliennya dan dengan demikian menghalangi
kebutuhan setiap auditor perusahaan auditor untuk
melakukan audit sendiri terhadap pengendalian internal
organisasi vendor.
Gambar 2.8 mengilustrasikan bagaimana laporan SAS 70
bekerja dalam kaitannya dengan vendor, perusahaan klien, dan
auditor mereka masing-masing. Vendor outsourcing melayani
klien 1, 2, 3, dan 4 dengan berbagai layanan TI. Kontrol
internal atas layanan alih daya berada di lokasi vendor. Mereka
diaudit oleh auditor penjual, yang mengungkapkan pendapat
dan
 mengeluarkan SAS 70 laporan tentang kecukupan kontrol.
Masing-masing perusahaan klien diaudit oleh auditor berbeda
A, B, C, dan D, masing-masing, yang sebagai bagian dari
audit masing-masing, bergantung pada laporan SAS 70 vendor
dan karenanya tidak dipaksa untuk menguji secara terpisah
kendali vendor. Mengingat bahwa vendor mungkin memiliki
ratusan atau bahkan ribuan klien, pengujian individual di
bawah SOX akan sangat mengganggu operasi vendor, mahal
bagi klien, dan tidak praktis.
Auditor penyedia layanan mengeluarkan dua jenis laporan
SAS 70. Skema SAS 70 Type I adalah yang kurang ketat dari
keduanya dan hanya berkomentar mengenai kesesuaian desain
kontrol. Laporan SAS 70 Type II berjalan lebih jauh dan
menilai apakah pengendalian tersebut efektif secara efektif
berdasarkan tes yang dilakukan oleh auditor organisasi vendor.
Sebagian besar laporan SAS 70 yang diterbitkan adalah Tipe
II. Karena Bagian 404 memerlukan pengujian eksemplar
kontrol, SAS 70 Tipe I tidak bernilai sedikit di dunia pasca-
SOX.

RINGKASAN
Bab ini menyajikan risiko dan kontrol yang terkait dengan
tata kelola TI. Ini dimulai dengan definisi singkat tentang tata
kelola TI dan mengidentifikasi implikasinya terhadap
pengendalian internal dan pelaporan keuangan. Selanjutnya
disajikan eksposur yang bisa timbul dari penataan fungsi TI
yang tidak tepat dalam organisasi. Bab ini beralih ke ulasan
tentang ancaman dan kontrol pusat komputer, termasuk
melindunginya dari kerusakan dan kerusakan akibat bencana
alam, kebakaran, suhu, dan kelembaban. Bab ini kemudian
mempresentasikan elemen kunci dari rencana pemulihan
bencana. Beberapa faktor perlu dipertimbangkan dalam
rencana tersebut, termasuk menyediakan cadangan lokasi
kedua, mengidentifikasi aplikasi penting, melakukan prosedur
backup dan penyimpanan di luar lokasi, menciptakan tim
pemulihan bencana, dan menguji DRP.Bagian akhir bab ini
membahas masalah seputar pertumbuhan tren menuju IT
outsourcing. Secara khusus, ia meninjau logika yang
mendasari outsourcing dan manfaat yang diharapkannya. IT
outsourcing juga dikaitkan dengan risiko signifikan, yang
dibahas. Bab ini diakhiri dengan diskusi tentang masalah
audit di lingkungan luar negeri.
SYARAT KUNCI
pengolahan data terpusat operasi komputer
kompetensi inti Konversi data aset komoditas IT
perpustakaan data
rencana pemulihan bencana (DRP) pengolahan data terdistribusi (DDP)
cangkang kosong
toleransi kesalahan

REVIEW PERTANYAAN

1. Apa itu tata kelola TI?

2. Apa tujuan tata kelola TI?
3. Apa itu pengolahan data terdistribusi?
4. Apa kelebihan dan kekurangan dari pengolahan data terdistribusi?
5. Jenis tugas apa yang menjadi berlebihan dalam sistem pengolahan data yang dis-
tributed?
6. Jelaskan mengapa tugas-tugas tertentu yang dianggap tidak kompatibel dalam sistem
manual dapat digabungkan dalam lingkungan sistem informasi berbasis komputer
CBIS. Berikan contoh.
7. Apa tiga fungsi utama CBIS yang harus dipisahkan?
8. Apa eksposur yang dilakukan konsolidasi data di lingkungan CBIS?
9. Masalah apa yang mungkin terjadi sebagai akibat dari program aplikasi pemanduan dan
tugas pemeliharaan ke dalam satu posisi?
10. Mengapa dokumentasi sistem berkualitas buruk menjadi masalah umum?
11. Apa itu RAID?
12. Apa peran seorang pustakawan data?
13. Apa peran dari departemen layanan komputer korporat?
14. Bagaimana ini berbeda dari konfigurasi lainnya?
15. Apa lima risiko yang terkait dengan pengolahan data distribuen?
16. Cantumkan fitur kontrol yang secara langsung berkontribusi pada keamanan lingkungan
pusat komputer.
17. Apa itu konversi data?
18. Apa yang mungkin terdapat di dalam data library?
19. Apa itu ROC?
20. Apa itu situs yang dingin?
21. Apa toleransi kesalahan?
22. Apa saja manfaat IT outsourcing yang sering dikutip?
23. Tentukan aset komoditas IT.
24. Tentukan aset tertentu.
25. Buat daftar lima risiko yang terkait dengan IT outsourcing.
PERTANYAAN DISKUSI

1. Bagaimana tata kelola TI pre-SOX berbeda dengan tata kelola TI pasca-SOX?

2. Meskipun tata kelola TI adalah area yang luas, hanya tiga aspek tata kelola TI yang
dibahas di dalamnya dokumentasi yang tidak memadai Tata kelola teknologi informasi
IT outsourcing cermin pusat bantuan bersama pakta pusat operasi pemulihan (ROC)
array berlebihan disk independen (RAID) Spesifik aset TI Ekonomi Biaya Transaksi
(TCE) bab ini Nama mereka dan jelaskan mengapa topik ini dipilih.
3. Jenis aktivitas yang tidak sesuai cenderung dikonsolidasikan dalam bentuk terdistribusi
sistem pengolahan data Bagaimana ini bisa dicegah?
4. Mengapa seorang manajer operasional bersedia melakukan lebih banyak pekerjaan
dalam bentuk pengawasan fungsi TI?
5. Bagaimana data dapat dipusatkan dalam sistem pemrosesan data terdistribusi?
6. Haruskah standar dipusatkan pada lingkungan pemrosesan data
terdistribusi? Menjelaskan.
7. Bagaimana perilaku manusia dapat dianggap sebagai salah satu ancaman potensial
terbesar terhadap integritas sistem operasi?
8. Sebuah bank di California memiliki tiga belas cabang yang tersebar di seluruh utara
California, masing-masing dengan komputer mini miliknya dimana datanya
tersimpan. Bank lain memiliki sepuluh cabang yang tersebar di seluruh California,
dengan data disimpan di bingkai utama di San Francisco. Sistem manakah yang
menurut Anda lebih rentan terhadap akses yang tidak sah? Kerugian yang berlebihan
dari bencana?
9. Komputasi pengguna akhir telah menjadi sangat populer di organisasi pemrosesan data
terdistribusi. Pengguna akhir menyukainya karena mereka merasa bisa lebih mudah
merancang dan menerapkan aplikasinya sendiri. Apakah jenis lingkungan ini selalu
mendorong perkembangan aplikasi yang lebih efisien? Jelaskan jawabanmu.
10. Bandingkan dan kontras pilihan pemulihan bencana berikut ini: pakta bantuan bersama,
cangkang kosong, pusat operasi pemulihan, dan disediakan secara internal

MASALAH

1. Pengendalian Internal
Dalam meninjau proses, prosedur, dan pengendalian internal salah satu klien audit Anda,
Steeplechase Enter-prises, Anda memperhatikan praktik berikut ini. Stee-plechase baru-
baru ini memasang sistem komputer baru yang mempengaruhi catatan piutang,
penagihan, dan pengiriman. Operator komputer yang diidentifikasi secara khusus telah
ditugaskan secara permanen ke masing-masing fungsi piutang, penagihan, dan
pengiriman. Masing-masing operator komputer diberi tanggung jawab menjalankan
program untuk pemrosesan transaksi, membuat perubahan program, dan mendamaikan
log komputer. Untuk mencegah satu operator memiliki akses eksklusif ke kaset dan
dokumentasi, ketiga operator komuter ini secara acak memutar tugas hak asuh dan
kontrol setiap dua minggu melalui kaset magnetik dan dokumentasi sistem.Kontrol akses
 ke ruang komputer terdiri dari kartu magnetik dan kode digital untuk setiap operator.
Akses ke ruang komputer tidak beralasan baik bagi analis sistem atau supervisor op-erasi
komputer.

Dokumentasi untuk sistem EDP terdiri dari: rekam layout, daftar program, log,
dan daftar kesalahan.
Begitu barang dikirim dari salah satu dari tiga gudang Steeplechase, personil
gudang mengirimkan pemberitahuan kapal ke departemen akuntansi. Petugas penagihan
menerima pemberitahuan pengiriman dan mencatat urutan manual pemberitahuan
pengiriman. Setiap pemberitahuan yang hilang diselidiki. Petugas penagihan juga secara
manual memasukkan harga barang, dan menyiapkan total harian (didukung dengan
menambahkan kaset mesin) dari unit yang dikirim dan jumlah penjualan. Pemberitahuan
pengiriman dan penambahan kaset mesin dikirim ke komputer untuk entri data.
Output komputer yang dihasilkan terdiri dari faktur dua salinan dan saran
pengiriman uang dan daftar penjualan harian. Nasihat faktur dan pengiriman uang
ditujukan kepada petugas penagihan, yang mengirimkan satu salinan faktur dan saran
pengiriman uang ke pelanggan dan menyalin salinan lainnya dalam file faktur terbuka,
yang berfungsi sebagai dokumen piutang dagang. Penjualan harian
Daftar berisi jumlah unit yang dikirim dan jumlah penjualan. Operator komputer
menghitung jumlah yang dihasilkan komputer ke kaset mesin tambahan.

Wajib:
Identifikasi kelemahan kontrol yang ada dan buat rekomendasi khusus untuk mengoreksi
masing-masing.

Manajemen baru-baru ini mulai mencari alternatif lain untuk menampung server
sebagai pabrik yang akan ditutup. Manajemen memiliki perhatian utama tentang
kerahasiaan lokasi dan tindakan terkait. Ia ingin menggabungkan metode
perlindungan data fisik yang lebih baru. Auditor perusahaan juga menyatakan
kekhawatiran bahwa beberapa tindakan pada saat ini lo-

2. Pengendalian Internal
Gustave, CPA, selama tinjauan awal atas laporan keuangan Komet, Inc., menemukan
kurangnya pemisahan tugas yang tepat antara fungsi pemrograman dan operasi. Komet
memiliki fasilitas komputasi sendiri. Gustave, CPA, rajin mengintensifkan studi kontrol
dan penilaian in-ternal yang berkaitan dengan fasilitas komputer. Gustave menyimpulkan
dalam laporan akhir bahwa kontrol umum kompensasi yang memadai memberikan
keyakinan memadai bahwa tujuan pengendalian internal terpenuhi. kation tidak memadai
dan alternatif yang lebih baru harus ditemukan.
Wajib:
Mengapa auditor Avatar menekankan kebutuhan untuk memiliki lingkungan fisik yang
lebih baik untuk server? Jika Avatar memiliki kontrol perangkat lunak yang tepat,
apakah itu bukan en- Untuk mengamankan informasi?
 2. Sebutkan enam fitur kontrol penting yang berkontribusi secara langsung
terhadap keamanan server komputer
lingkungan Hidup.

Wajib:
Kontrol kompensasi apa yang paling mungkin terjadi?

3. Keamanan Fisik
Avatar Financials, Inc., yang berlokasi di Madison Avenue, New York City, adalah
perusahaan yang memberikan nasihat keuangan kepada individu dan usaha kecil hingga
menengah. Operasi utamanya adalah dalam pengelolaan kekayaan dan nasehat keuangan.
Setiap klien memiliki akun di mana informasi pribadi dasar disimpan di server di kantor
utama di New York City. Perusahaan juga menyimpan informasi tentang jumlah investasi
setiap klien di server terpisah di pusat data di Bethle-hem, Pennsylvania. Informasi ini
mencakup total nilai portofolio, jenis investasi yang dilakukan, struktur yang ada di masing-
masing klien, dan kewajiban pajak terkait.
Dalam beberapa tahun terakhir, bank komersial yang lebih besar mulai menyediakan
layanan semacam itu dan bersaing untuk set pelanggan yang sama. Avatar, yang
membanggakan diri dalam hubungan konsumen pribadi, sekarang berusaha untuk menyiapkan
layanan tambahan untuk mempertahankan pelanggannya saat ini. Ini baru saja mengupgrade
situs Web-nya, yang sebelumnya hanya al-lowed clients untuk memperbarui informasi pribadi
mereka. Sekarang klien dapat mengakses informasi tentang investasi, pendapatan, dan
kewajiban pajak mereka yang tersimpan di data cen-ter di Pennsylvania.
Sebagai hasil dari transaksi sebelumnya, Avatar telah diberi akses gratis untuk
menggunakan ruang komputer pabrik produksi yang lebih tua. Perusahaan merasa yakin
bahwa lokasi ini cukup aman dan akan menjaga data tetap utuh dari penyusup fisik. Server
ditempatkan di ruangan yang digunakan oleh pabrik produksi untuk menampung sistem
warisannya. Ruangan itu memiliki detektor untuk asap dan penyiram asesoris. Ini tertutup,
tanpa jendela, dan memiliki saluran udara yang dikontrol dengan suhu khusus.

4. Rencana Pemulihan Bencana

Markas Hill Crest Corporation, perusahaan swasta dengan $ 15,5 juta dalam
penjualan tahunan, berlokasi di California. Hill Crest menyediakan 150
kliennya layanan perangkat lunak legal online yang mencakup penyimpanan
data dan kegiatan administratif untuk kantor hukum. Perusahaan berkembang
pesat sejak awal 3 tahun yang lalu, dan departemen pengolahan data telah
berkembang untuk mengakomodasi pertumbuhan ini. Karena preseden Hill
Crest dan tenaga penjualan menghabiskan banyak waktu di luar kantor untuk
meminta klien baru, perencanaan fasilitas TI diserahkan kepada profesional
pengolahan data.
 Hill Crest baru-baru ini memindahkan kantor pusatnya ke sebuah gudang
direnovasi di pinggiran kota. Sementara merombak gudang, para arsitek
mempertahankan sebagian besar struktur aslinya, termasuk eksterior yang
dilapisi kayu dan balok kayu yang terbuka sepanjang terapinya. Perangkat keras
pengolahan distributif minicomputer terletak di area terbuka yang luas dengan
langit-langit tinggi dan skylight. Keterbukaan membuat area pengolahan data
dapat diakses oleh staf lainnya dan mendorong pendekatan tim untuk
memecahkan masalah. Sebelum menempati fasilitas baru tersebut, inspektur
kota menyatakan bahwa bangunan tersebut aman; Artinya, alat pemadam api
yang memadai, cukup keluar, dan sebagainya.
Dalam upaya untuk memberikan perlindungan lebih lanjut untuk database
informasi kliennya yang besar, Hill Crest melembagakan prosedur pencadangan
tape yang secara otomatis memback-up data base setiap hari Minggu malam,
menghindari gangguan dalam operasi dan prosedur sehari-hari. Semua kaset
kemudian diberi label dan disimpan dengan hati-hati di rak yang disediakan
untuk keperluan ini di bagian pengolahan data. Manual op-erator departemen
memiliki petunjuk bagaimana menggunakan kaset ini untuk mengembalikan
basis data, jika kebutuhan itu muncul. Daftar

Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi. Mungkin tidak bisa disalin,
dipindai, atau diduplikasi, seluruhnya atau sebagian.

Outsourcing Fungsi TI

nomor telepon rumah individu di departemen pemrosesan data tersedia jika terjadi keadaan
darurat. Hill Crest baru-baru ini meningkatkan asuransi pertanggungjawabannya untuk
kehilangan data dari $ 50.000 menjadi $ 100.000.
Sabtu yang lalu, gedung markas Hill Crest benar-benar hancur oleh api, dan
perusahaan sekarang harus memberi tahu kliennya bahwa semua informasi mereka telah
dihancurkan.

Wajib:
Sebuah. Jelaskan kelemahan keamanan komputer yang ada di Hill Crest Corporation yang
memungkinkan terjadinya kehilangan data bencana.
b. Buat daftar komponen yang seharusnya disertakan dalam rencana pemulihan bencana di
Hill Crest Corpora tion untuk memastikan pemulihan komputer dalam 72 jam.
 c. Faktor apa, selain yang termasuk dalam rencana itu sendiri, harus dipertimbangkan
perusahaan saat merumuskan rencana pemulihan bencana?

65

mikrokomputer dalam organisasi, ada tiga produsen perangkat keras yang berbeda. Selain
itu, ada empat sampai lima vendor perangkat lunak yang berbeda untuk spreadsheet,
pengolah kata, dan aplikasi database, bersama dengan beberapa aplikasi jaringan untuk
kelompok mikro komputer.
Mikrokomputer diperoleh di departemen operasi untuk memungkinkan karyawan di
setiap departemen melakukan analisis khusus. Banyak departemen juga menginginkan
kemampuan untuk mendownload data dari mainframe. Oleh karena itu, setiap departemen
operasi telah meminta bimbingan dan bantuan dari departemen proses data-
bernyanyi. Pengolahan data, bagaimanapun, menjawab bahwa kekurangan itu dan harus
mencurahkan seluruh usahanya untuk mengutamakan prioritasnya, sistem komputer
mainframe.
Menanggapi laporan audit internal, direc tor service pengolahan data, Stan Marten,
telah mengeluarkan memorandum berikut.

5. Pemisahan Tugas
Arcadia Plastics mengikuti filosofi mentransfer karyawan dari pekerjaan ke pekerjaan di
dalam perusahaan. Manajemen percaya bahwa rotasi pekerjaan menghalangi karyawan
dari perasaan bahwa mereka mengalami stagnasi dalam pekerjaan mereka dan
mendorong pemahaman perusahaan yang lebih baik. Seorang pegawai layanan
komputer biasanya bekerja selama enam bulan sebagai pustakawan data, satu tahun
sebagai devel operan, enam bulan sebagai administrator database, dan satu tahun dalam
pemeliharaan sistem. Pada saat itu, dia ditugaskan ke posisi permanen.

KEPADA: Semua Karyawan DARI: Stan Marten,

Direktur
REFERENSI: Standardisasi Mikrokomputer
Kebijakan harus segera dilembagakan untuk membakukan perolehan mikrokomputer
dan perangkat lunak aplikasi. Langkah pertama adalah menentukan soft ware spreadsheet
yang harus digunakan oleh semua personil. Mulai sekarang, semua orang akan
menggunakan Micromate. Semua perangkat keras mikro harus kompatibel dengan MS-
DOS. Selama bulan depan, kami juga akan memilih perangkat lunak standar untuk pengolah
kata dan aplikasi database. Kamu akan
 Wajib:
Diskusikan pentingnya pemisahan tugas di dalam departemen sistem
informasi. Bagaimana Arcadia Plastik memiliki rotasi pekerjaan dan tugas yang terpisah
dengan baik?
6. Risiko DDP
Tuliskan esai untuk membahas risiko utama yang terkait dengan lingkungan pemrosesan
terdistribusi.
7. Kunjungi situs Web SunGard, http://www.sungard.com, dan teliti layanan pemulihan yang
ditawarkan untuk kelas berikut: ketersediaan tinggi, pemulihan sistem, dan pemulihan
pengguna akhir.Tulis laporan temuan Anda.
8. Komputasi Pengguna Akhir CMA 1287 5-3
Bagian audit internal Perusahaan Manufaktur Hastone baru-baru ini menyelesaikan
pemeriksaan rutin terhadap fasilitas komputer perusahaan. Laporan auditor
mengidentifikasi sebagai kelemahan fakta bahwa tidak ada koordinasi oleh departemen
layanan pengolahan data dalam pembelian sistem komputer mikro untuk indi-
departemen vidual Hastone. Di antara dua belas

gunakan hanya paket pengguna yang ditentukan oleh departemen layanan pengolahan
data. Di masa depan, setiap pembelian mikrokomputer, perangkat keras, atau
perangkat lunak baru harus disetujui oleh direktur layanan pemrosesan data.
Beberapa manajer departemen operasi lain telah mengeluhkan nota
Marten. Rupanya, sebelum mengeluarkan memorandum ini, Marten tidak
berkonsultasi dengan pengguna komputer mikro apa pun mengenai kebutuhan
perangkat lunak mereka saat ini dan masa depan.

Wajib:
Sebuah. Saat mengakuisisi mikrokomputer untuk berbagai organisasi departmen
mentsinan, jelaskan mengenai faktor-faktor yang berkaitan dengan: i. Perangkat keras
komputer itu perlu diperhatikan
selama desain awal dan tahap penyiapan lingkungan mikro komputer.
ii. Prosedur operasi dan sistem kontrol yang perlu diperhatikan.
b. Diskusikan manfaat dari perangkat keras dan perangkat lunak standar untuk
mikrokomputer dalam sebuah organisasi.
c. Diskusikan kekhawatiran bahwa memorandum tersebut kemungkinan akan dibuat bagi
pengguna mikro di Hastone Manufacturing.
 Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi. Mungkin tidak bisa disalin,
dipindai, atau diduplikasi, seluruhnya atau sebagian.

66 Bab 2: Mengaudit Kontrol Tata Kelola TI

9. Komputasi Pengguna Akhir CMA Diadaptasi 688 5-Y6

Buat daftar masalah yang ada dalam penggunaan, oleh orang lain, model spreadsheet yang
dikembangkan oleh pengguna yang tidak terlatih dalam pengendalian prosedural rancangan
dan pengembangan sistem.
10. Pengendalian Internal dan Sistem Terdistribusi Sampai setahun yang lalu, Dagwood Printing
Company selalu beroperasi di lingkungan komputer yang terpusat. Kini, 75 persen pegawai kantor
memiliki PC. Pengguna telah dapat memilih paket perangkat lunak mereka sendiri, dan tidak ada
dokumentasi aplikasi yang dikembangkan pengguna akhir yang dibutuhkan. Bulan depan, setiap
PC akan dihubungkan ke jaringan area lokal dan ke mainframe perusahaan.

Wajib:
Sebuah. Buat garis besar rencana tindakan untuk Perusahaan Percetakan Dagwood untuk
memastikan bahwa kontrol yang tepat atas perangkat keras, perangkat lunak, data, orang,
prosedur, dan dokumentasi tersedia.
b. Diskusikan eksposur apa pun yang mungkin dihadapi perusahaan jika rencana yang
direncanakan tidak diterapkan.
11. Tanggung Jawab Pengendalian Internal untuk Outsourcing TI
Jelaskan mengapa manajer yang melakukan outsourcing fungsi TI mereka mungkin atau
mungkin juga tidak mengalihkan tanggung jawab untuk pengendalian TI. Pilihan apa yang
terbuka bagi auditor terkait dengan penekanan mantan opini mengenai kecukupan
pengendalian internal?
12. Sekolah Bersaing Pemikiran Mengenai Outsourcing
Jelaskan argumen kompetensi inti untuk outsourcing dan bandingkan / bandingkan dengan
teori TCE. Mengapa satu teori cenderung menangisi yang lain dalam membuat keputusan
outsourcing?
13. Pengendalian Internal dan Komputasi Pengguna Akhir Bank Umum Nasional memiliki lima
belas cabang dan memelihara sistem komputer mainframe di kantor pusatnya. Nasional baru-
baru ini menjalani pemeriksaan oleh pemeriksa perbankan negara bagian, dan pemeriksa
memiliki beberapa kekhawatiran tentang operasi komputer National.
Selama beberapa tahun terakhir, setiap cabang telah mengejar sejumlah mikrokomputer
untuk berkomunikasi dengan mainframe dalam mode emulasi. Emulasi terjadi ketika
 komputer mikro menempel pada komputer mainframe dan, dengan penggunaan perangkat
lunak yang sesuai,

dapat bertindak seolah-olah itu adalah salah satu terminal mainframe. Cabang
juga menggunakan mikrokomputer ini untuk mendownload informasi dari
mainframe dan, dalam mode lokal, memanipulasi data pelanggan untuk
membuat keputusan perbankan di tingkat cabang. Setiap komputer mikro pada
awalnya dilengkapi dengan paket aplikasi pengolah kata untuk merumuskan
korespondensi dengan pelanggan, paket spreadsheet untuk melakukan analisis
kredit dan analisis keuangan di luar paket analisis kredit dasar pada mainframe,
dan paket manajemen basis data untuk merumuskan pasar pelanggan dan
informasi sensitivitas. -tion. Departemen pengolahan data terpusat di negara
bagian hanya bertanggung jawab atas operasi mainframe; Keamanan
mikrokomputer merupakan tanggung jawab masing-masing cabang.
Karena pemeriksa bank percaya bahwa National beresiko, mereka telah
menyarankan bank tersebut untuk meninjau rekomendasi yang disarankan
dalam sebuah surat yang dikeluarkan oleh lembaga registrasi perbankan pada
tahun 2008. Surat ini menekankan risiko yang terkait dengan operasi pengguna
akhir dan mendorong manajemen perbankan untuk membangun kontrol suara
poli-cies. Lebih khusus lagi, operasi pengguna akhir komputer mikro telah
melampaui penerapan kontrol yang memadai dan telah melakukan kontrol
pemrosesan dari lingkungan terpusat, mengenalkan kerentanan di area baru di
bank.
Surat tersebut juga menekankan bahwa tanggung jawab untuk kebijakan
perusahaan yang mengidentifikasi praktik pengendalian manajemen untuk
semua area aktivitas pemrosesan informasi berada pada dewan
direksi. Keberadaan dan kecukupan kepatuhan terhadap kebijakan dan praktik
ini akan menjadi bagian dari tinjauan pemeriksa perbankan biasa. Ketiga
kelompok kontrol yang diperlukan untuk keamanan sistem informasi yang
memadai terkait dengan National adalah (1) kontrol pemrosesan, (2) kontrol
fisik dan lingkungan, dan (3) pengendalian program spreadsheet.

Wajib:
Untuk masing-masing dari tiga kelompok kontrol yang terdaftar
Sebuah. Identifikasi tiga jenis kontrol untuk operasi pengguna akhir komputer
mikro dimana Bank Umum Nasional berisiko.
b. Sarankan prosedur pengendalian khusus yang harus diterapkan Na-tional untuk
setiap jenis kontrol yang Anda identifikasi. Gunakan format berikut untuk
jawaban Anda.

Control Recommended Types Prosedur

Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi. Mungkin tidak bisa disalin,
dipindai, atau diduplikasi, seluruhnya atau sebagian.