PEND AHULU AN

Pada saat ini, Teknologi Inf ormasi (TI) merupakan bagian

yang tidak bisa ter pisahkan dari suatu perusahaan. Ilmu dan
teknologi yang berg erak maju dan ber kembang ternyata t idak
sedikit menimbulkan masalah, t erutama dalam menghadapi
kompleksitas dan intensitas tantangan yang semakin berat.
Pimpinan dan para pembuat kebijakan perusahaan dit untut
berpikir kreatif untuk menemukan berbagai terobosan strategi
yang mampu menciptakan sinergi, yang memberi kontribusi
optimal dalam pencapaian tujuan perusahaan. Namun,
kenyataannya sering kita jumpai bahwa pemanf aatan TI itu justru
menghabiskan sumber daya, sementara hasil yang diharapkan
tidak tercapai. Untuk itu, perlu dilakukan manajemen inf ormasi
ef ektif dan pemanf a atan teknologi secar a ef isien. Hal ini sudah
sering dikemukakan dan dibahas. Dari pembahasan itu, makin
disadar i pent ingnya “ IT Governance”.

Teknologi inf ormasi adalah suatu aset yang sangat

berharga dalam suatu perusahaan, dimana peranan teknologi
inf ormasi (TI) telah mampu mengubah pola pekerjaan, kinerja
karyawan bahkan sistem manajemen dalam mengelola sebuah
organisasi. Teknologi inf ormasi bisa memiliki peranan penting
menggantikan peran manusia secara ot omatis terhadap suatu
siklus sistem mulai dari input, proses dan output di dalam
melaksanakan aktivitas pekerjaan serta telah menjadi f asilit ator
utama bagi kegiatan -kegiatan bisnis yang mem berikan andil
besar terhadap perkembangan organisasi.
 PEMB AH AS AN

2.1. Information Technology (IT) Governance

IT Governance merupakan suatu komitmen, kesadar an dan

proses pengendalian manajemen organisasi terhadap sumber
daya teknologi inf ormasi atau sistem inf ormasi yang dibeli
dengan harga mahal, yang mencakup mulai dari sumber daya
komputer ( software, brainware, database dan sebagainya),
hingga ke teknologi inf ormasi dan jaringan LAN atau internet.

“Governance” merupakan turunan dari kata “ government ”,

yang artinya membuat kebijakan ( policies) yang sejalan atau
selaras dengan keinginan atau aspirasi masyarakat. Sedangkan
penggunaan penger tian “ governance” t erhadap IT Governance
maksudnya adalah, penerapan kebijakan TI di dalam organisasi
agar pemakaian TI (berikut pengadaan dan pelayanannya)
diar ahkan sesuai dengan tujuan organisasi tersebut.

2.2. Struktur dari Fungsi TI

2.2.1. Centralized Dat a Processing (CDP)

Centrali zed data processing adalah mer upakan suat u

gambaran tentang pengolahan data, sekelompok unit
komputer menjalankan semua proses data yang lebih
besar pada sebuah central site yang akan membantu
para pemakainya dalam org anisasi.

Keunt ungan dalam penerapan Centralized Data

Processing ialah:

a) Dari segi biaya, lebih hemat dalam peralatan dan

personil, karena peralatan dan per sonil yang dipakai
relat if lebih sedikit.

b) Dengan hanya satu pusat atau pangkalan data,

konsistensi data dapat lebih terjamin dar i duplikasi.
 c) Dengan adanya satu pangkalan dat a, langkah -
langkah pengamanan data dapat diambil dengan
mudah. Dengan kata lain, mudah dalam menegakkan
standar dan keamanan.

Di sisi lain centrali zed data pr ocessing juga memiliki

kekurangan, antara lain:

a) Timbulnya kesan bahwa para pemilik data merasa

kehilangan hak memiliki dat a yang diperlukan untuk
penyelenggaraan f ungsinya karena apabila data
tertentu diperlukannya, ia harus meminta kepada
pusat pengolahan data.

b) Resiko yang ting gi terhadap pusat at au pangkalan

data berdampak pada keberlangsungan aktivitas pada
seluruh f ungsi di dalam sebuah organisasi.

2.2.2. Segregation of Incompatible IT Functions

2.2.2.1. Separating System Devel opment from Comput er

Operation

Pemisahan proses pengembangan sis t em dan

kegiatan operasional merupakan hal yang perlu
dilakukan. Proses pengembangan sistem harus
dapat menentukan hak akses dari setiap user
mana yang dapat memasukkan data dan
menjalankan program.

Bagian operasional harus dapat menj alankan

sistem terseb ut dan tidak berhubungan langsung
selama proses pembuatan sistem. Jika bagian
operasional mengetahui logika dasar
pemrograman aplikasi komputer yang
dijalankannya, maka bagian operasional tersebut
 dapat mengubah dengan sengaja cara kerja
aplikasi selama me nj alankan aplikasi tersebut.

2.2.2.2. Separating Database Administration from other

Function

Fungsi dari database adm inistration adalah

membuat skema database, member ikan hak akses
database ke user, mengawasi penggunaan
database, merencanakan pengembangan dari
database it u sendir i.

2.2.2.3. Separating New Systems Devel opment from

Maintenance

Dalam pengembangan sistem, perusahaan

mengatur sistemnya ke dalam 2 kelompok yaitu:

System analyst bertugas untuk menentukan

desain dari sistem yang baru dengan melakukan
pendekatan dengan user yang akan menggunakan
sistem yang baru ter sebut dengan cara melakukan
wawancara atau membagikan kuesioner

Tim programming membuat program atau

aplikasi yang ak an digunakan dalam sistem
dengan menggunakan source code yang sesuai
dengan aplikasi yang diinginkan. Selain membuat
program. Tim programming juga harus melakukan
perbaikan atau mainteneance secar a berkala
terhadap aplikasi yang dibuatnya, agar aplikasi
tersebut dapat berjalan sebagaimana mestinya.

Cara ini j uga dapat menimbulkan kerugian

dalam pelaksanaannya di antara lain :

a) Inadequate Documentation
 Proses mendokumentasikan biasanya
tidak terlalu diper hatikan oleh programmer ,
karena hal ini tidak terlalu menarik perhatian
programmer . Mereka lebih senang mengerjakan
proyek baru, daripada untuk membuat sebuah
laporan pada saat satu proyek telah selesai

Job Secur ity . Ket ika dokumen tidak

dicatat dengan baik, maka akan susah untuk
dilakukan interpr etasi, pengetesan, dan
menjalankan program atau aplikasi yang sudah
dibuat. Terlebih lagi jika programmer yang
sudah membuat program meninggalkan
perusahaan, akan menjadi sebuah kesulitan
yang sangat bes ar bagi programmer bar u yang
menggantikannya untuk menangani program
tersebut.

b) Program Fraud

Ketika programmer yang membuat

aplikasi juga melakukan maintenance ter hadap
program yang dibuatnya sendiri, maka potensi
terjadinya kecurangan akan semakin besar.
Programmer dapat secara sengaja melakukan
perubahan hal- hal yang menimbulkan program
menjadi err or sehingga tidak dapat digunakan.

Pada saat proses maintenance,

programmer dapat dengan bebas mengakses
sistem, dan m embetulkan source code yang
sebenarnya sen gaja dibuat salah pada proses
pembuatan program. Hal ini tentu sangat
merugikan perusahaan yang harus
mengeluarkan biaya tambahan untuk membayar
jasa programmer ter sebut.
2.2.3. Distributed Data Processing (DDP)

Distr ibut ed data processing ( DDP) merupakan bent uk

yang sering digunakan akhir -akhir ini sebagai
perkembangan dar i time shar ing syst em . Bila beberapa
sistem komputer yang bebas tersebar yang masing -
masing dapat memproses data sendiri dan dihubungkan
dengan jaringan telekomunikasi, m aka istilah time
sharing sudah t idak tepat lagi. DDP dapat didef inisikan
sebagai suatu sistem komputer int eraktif yang terpencar
secara geograf is dan dihubungkan dengan jalur
telekomunikasi dan seitap komputer mampu memproses
data secara mandir i dan mempun yai kemampuan
berhubungan dengan komputer lain dalam suatu sistem.

Model distributed data processing memiliki beberapa

keuntungan, antara lain:

a) Pengawasan distribusi dan pengambilan data. Jika

beberapa site yang berbeda dihubungkan, seorang
pemakai yang berada pada satu site dapat
mengakses data pada site lain. Contoh: sistem
distr ibusi pada sebuah bank memungkinkan seorang
pemakai pada salah satu cabang dapat mengakses
data cabang lain.

b) Reliability dan availability. Sistem dist ribusi dapat

terus menerus berf ungsi dalam menghadapi
kegagalan dari site sendir i atau mata rantai
komunikasi antar sit e.

c) Kecepatan pemrosesan query. Contoh: jika site-site

gagal dalam sebuah sistem terdistribusi, site lainnya
dapat me lanjutkan operasi jika data telah direplikasi
pada beber apa site.

d) Otonomi lokal. Pendistr ibusian sistem mengijinkan

sekelompok individu dalam sebuah perusahaan unt uk
 melat ih pengawasan lokal melalui data mereka
sendiri. Dengan kemampuan ini dapat mengurang i
ketergantungan pada pusat pemrosesan.

e) Ef isiensi dan f leksibel. Data dalam sist em distr ibusi

dapat disimpan dekat dengan titik dimana data
tersebut dipergunakan. Dat a dapat secara dinam ik
bergerak atau disain, atau salinannya dapat dihapus.

Di sisi lain distr ibut ed data processing juga memiliki

kekurangan, antara lain:

a) Harga mahal. Hal ini disebabkan sang at sulit untuk

membuat sistem database distr ibusi.

b) Kompleksitas. Site- site beroperasi secara paralel

sehingga lebih sulit untuk menjamin kebenaran dan
algoritma. Adanya kesalahan mungkin tak dapat
diketahui.

c) Biaya pemrosesan tinggi. Perubahan pesan dan

penambahan perhit ungan dibutuhkan untuk mencapai
koordinasi antar site .

d) Redudansi data. Berbagai data diolah di berbagai

site, hal tersebut dapat menimbulkan adanya data
yang berulang atar site atau redudansi.

e) Sulit menjaga keutuhan data. Banyaknya

pengaksesan data membuat kurangnya sekuritas
terhadap data yang telah terdistribusi.

f ) Perancangan basis data lebih kompleks. Sebelumnya

menjadi keuntung an. Tetapi ka rena distribusi
menyebabkan masalah sinkronisasi dan koordinasi,
kontrol terdistr ibusi menjadi kerugian atau
kekurangan di masalah ini.
 2.2.4. Controlling the DDP Environment

Distr ibut ed dat a processing memang memiliki banyak

keunggulan terlebih untuk struktur o rganisasi saat ini.
Namun diantara keunggulan itu, distributed data
processing juga memungkinkan suatu sistem menjadi
lebih kompleks, karena banyaknya database yang
tersebar dan jumlah data yang banyak dan terus
meningkat didalam suatu organisasi maupun
perusahaan.

Kompleksitas dar i model ini menuntut perusahaan

untuk meningkatkan kontrolnya. Kontrol pada tata kelola
TI dengan model distributed data processing merupakan
tantangan besar sebuah perusahaan, bagaimana aset
yang terkait dengan model tersebut, yang menyebar di
berbagai area dapat terus dikontrol keberadaan serta
terjamin f ungsionalitasnya. Perusahaan harus
menetapkan beberapa orang diberbagai area di stribusi
untuk secara rutin mengontrol hal ini.

2.3. Comput er Center

2.3.1. Physi cal Location

Lokasi f isik yang harus diatur agar tidak terjadi

kerusakan yg diakibatkan oleh bencana alam ataupun
kesalahan yang dilakukan oleh manusia. Contoh:
Perusahaan diusahakan me ncar i at au memilih lokasi
tempat yang tepat untuk menghindar i terjadi bencana
alam seperti gempa bumi atau banj ir.

2.3.2. Construction

Kondisi bangunan tempat dimana komputer atau

pusat data harus dalam keadaan bagus dan kokoh agar
tidak mudah rubuh dan diusahaka n listrik jangan sampai
 terputus. Supply listr ik harus diperhatikan dan bangunan
harus selalu dalam keadaan bersih dijauhkan dari debu -
debu agar pada saat mengakses data tidak terjadi
gangguan pada server.

2.3.3. Access

Keamanan pada pusat server har us diperketat, dapat

dilakukan dengan cara pintu dikunci at au menggunakan
kartu pada saat pekerja masuk ruangan agar tidak
semua orang bisa m asuk kedalam ruang an server untuk
menjaga keamanan pada penyimpanan data. Dan pada
pintu darurat juga diperhat i kan, serta ruangan dipasang
kamera perekam (CCTV) agar pada setiap kegiatan
dapat diketahui dan tidak menimbulk an kasus -kasus
yang tidak baik dalam ruangan ser ver.

2.3.4. Air Conditioning

Suhu pada ruangan server harus diper hatikan harus

sesuai dengan kebutuhan k omputer kar ena bisa terjadi
error atau pemrosesan yang lamban akibat suhu yang
panas. Jadi udara diusahakan agar tetap dingin supaya
komputer tidak terganggu pada saat bekerja.

2.3.5. Fire Suppression

Penyedia layanan penuh terhadap sistem, termasuk

pencegahan k ebakaran harus terstruktur dengan baik.
Contoh: Perusahaan harus bisa mem ilih penempatan
yang tepat untuk meletakkan alat tabung kebakaran atau
alarm kebakaran dan melakukan pelatihan j ika terjadi
musibah kebakaran maka user atau pekerja agar mereka
tidak panik.

2.3.6. Fault Tolerance

 Fault tolerance adalah kemampuan sistem untuk
melanjutkan operasinya ketika sebagian dar i sist em
tersebut gagal karena adanya kegagalan peranti keras,
kesalahan dalam program aplikasi, atau kesalahan
operator.

Cara di mana sist em o perasi merespon keras atas

kegagalan perangkat lunak. Istilah ini pada dasarnya
mengacu pada kemampuan sistem untuk memungkinkan
kegagalan atau kerusakan, dan kemampuan ini dapat
disediakan oleh per angkat lunak, perangkat keras atau
kombinasi keduanya. Unt uk menangani kesalahan ini,
beberapa sistem komputer diharapkan memiliki dua atau
lebih sist em data duplikat. Contoh: Perusahaan
sebaiknya membuat sistem bayangan. Jadi membuat
data duplikat yang disimpan di tempat lain j ika terjadi
kesalahan pada data per tama masih memiliki data
duplikat. Dan cara kedua dengan menggunakan Unit
Power Supply (UPS), agar pada saat supply listr ik ke
server terputus, terdapat jeda sebelum komputer mati,
jadi masih memiliki waktu unt uk menyimpan atau
menyelamatkan data.

2.3.7. Audit Objectives

Audit Object ive dari IT governance khususnya data

center adalah untuk memastikan bahwa kontrol -kontrol
yang ada terhadap data cent er tersedia keberadaanya
dan berf ungsi serta di maintain dengan baik.

2.3.8. Audit Procedures

Rincian untuk memperoleh bukti audit yang cukup

tepat dengan melakukan pengecekan ulang atau
obser vasi, apakah sudah sesuai dengan prosedur sistem
audit. Contohnya dengan melakukan pengecekan pada
area-area terkait, sebagai ber ikut:
a) Construction

Melakukan pengecekan pada bangunan apakah sudah

terjamin kokoh dan pem ilihan ruangan atau
penempatan computer cent er ( yang lebih baik
ditempatkan di lant ai atas), serta apakah instalasi
listrik sudah dipasang dengan baik agar tidak terjadi
korsleting atau listrik putus pada saat melakukan
proses pada server.

b) Access

Melakukan pengecekan pada alat tapping kartu,

apakah alat tersebut sudah dapat bekerja dengan
baik dan t idak terj adi kerusakan, atau keberadaan
CCTV yang berf ungsi dengan baik.

c) Air Condit ioning

Melakukan pengecekan pada suhu pendingin, apakah

sudah sesuai dengan kebutuhan suhu yang
dibutuhkan oleh komputer agar tidak terjadi err or.

d) Fire Suppr ession

Melakukan pengecekan pada tabung alat pemadam

kebakaran, apakah tabung masih terisi dan dapat
digunakan j ika terjadi kebakaran. Dan melakuka n
pengecekan pada alarm kebakaran, apakah alarm
berf ungsi dengan baik jika ada tanda - tanda terjadi
kebakaran.

e) Fault toler ance

Melakukan pengecekan pada cara -car a mengatasi

toleransi kesalahan, apakah data yang diduplikat
sudah terduplikasi dan tersimpan de ngan baik pada
ser ver yang lainnya. Dan melakukan pengecekan
pada alat UPS apakah bater ai pada UPS masih dapat
 menyimpan energi listrik yang digunakan pada saat
terjadi pemadaman listrik.

f ) Asuransi

Melakukan pendaf taran asuransi pada data server

agar jika t erjadi hal -hal yang tidak diinginkan, maka
tidak terlalu merugikan perusahaan, serta dicek
apakah asur ansi tersebut diperpanjang tiap tahunnya.

2.4. Disaster Recovery Planning

Menurut Maiwald -Sieglein (2002), suatu bencana ( disaster)

dapat didef inisikan sebagai kejadian tentang segala per ist iwa
yang menyebabkan suatu gangguan penting pada kemam puan
teknologi inf ormasi. Itu adalah suatu peristiwa yang mengganggu
yang proses bisnis normal dan mengakibatkan kerugian
keuangan yang dapat diukur. Bencana itu sendiri ada yang
berasal dari alam, sepert i banjir dan gempa, bencana yang
bersumber dari manusia, seperti sabotase atau human error ,
maupun bencana yang berasal dari sistem itu sendiri, seperti
kegagalan drive, kehilangan power, atau crash pada sistem
operasi.

Disaster recovery plan adalah sebuah proses atau

kemampuan dari or ganisasi untuk menanggapi bencana atau
gangguan dalam pelayanan melalui implement asi rencana
pemulihan bencana untuk menstabilkan dan memulihkan f ungsi
kritis organ isasi. Rencana ini dibuat untuk membantu
mengembalikan proses bisnis dar i perusahaan serta mengur angi
dampak bila terjadi bencana yang mengakibatkan kerusakan atau
kehilangan data elektronik yang mendukung proses bisnis
perusahaan.

Disaster recovery plan terdiri atas tiga perencanaan yaitu

perencanaan proteksi, perencanaan pengatasan bencana dan
perencanaan pemulihan. Per encanaan proteksi adalah
perencanaan yang dibuat untuk mencegah terjadinya bencana.
Perencanaan pengatasan bencana adalah perencanaan yang
dibuat untuk mengurangi dampak dari bencana ter hadap
perusahaan. Perencanaan pemulihan adalah perencanaan yang
dibuat untuk membantu per usahaan dalam melakukan pemulihan
agar proses bisnis dapat berjalan kembali. Spesif ikasi dari
disaster rocover y plan it u sendiri, terdiri dari tiga aktivitas dasar,
yakni:

a) Mengidektif ikasi aplikasi pent ing

b) Membangun tim penanganan bencana

c) Menyediakan situs back -up cadangan

Tujuan audit pada fungsi DRP adalah untuk memverif ikasi

bahwa rencana pemulihan bencana perusahaan cu kup untuk
memenuhi kebutuhan perusahaan dan bahwa implementasinya
dapat dilakukan serta praktis. Prosedur auditnya, yakni
memver if ikasi bahwa DRP pihak manajemen adalah solusi yang
realist is untuk menangani suatu bencana yang dapat meniadakan
sumber daya k omputer perusahaan. Berbagai pengujian
dilakukan, sepert i pengecekan atau obser vasi terkait keberadaan
tim penanganan bencana, daf tar aplikasi -aplikasi penting
perusahaan, dan back-upsoftware, serta data master.

2.4.1. Identify Critical Applications

Usaha pemulih an harus terkonsentrasi pada f itur yang

sangat penting agar perusahaan dapat bertahan dalam
waktu pendek. Pada komponen ini, perusahaan atau
organisasi harus m enentukan daf tar aplikasi pent ing
yang menunjang operasional perusahaan. Dalam hal ini
auditor harus juga mengkaji daf tar aplikasi penting untuk
memastikan bahwa daf tar tersebut lengkap. Aplikasi
yang terlewat dapat mengakibatkan kegagalan
pemulihan. Akan t etapi, hal yang sam a juga ber laku
untuk pemulihan aplikasi yang tidak pent ing.
 Memasukkan suatu aplikasi ke dalam daf tar aplikasi
penting padahal tidak terlalu dibutuhkan untuk mencapai
tujuan bertahan hidup jangka pendek dapat memecah
perhat ian dari tuj uan yang utama selama masa
pemulihan.

2.4.2. Creating a Disaster Recovery Team

DRP harus dengan jelas me ncantumkan nama,

alamat, dan nomor telepon darurat para anggota tim
pemulihan dari bencana. Auditor harus memver if ikasi
bahwa para anggota tim adalah karyawan yang masih
bekerja dan menyadari tanggung jawab yang diber ikan
kepada mereka. Para anggota tim ha ruslah para ahli
dalam bidang masing -masing dan memiliki pekerjaan
tertentu yang ditugaskan padanya. Setelah terjadinya
bencana, anggota tim akan mendelegasikan ber bagai
subpekerjaan ke bawahan mereka. Lingkungan yang
terbentuk akibat rencana mungkin mengh aruskan
dilakukannya pelanggaran atas teknik pengendalian,
seperti pemisahan pekerjaan, pengendalian akses, dan
pengawasan.

2.4.3. Providing Second-Site Backup

Bahan yang pent ing dalam sebuah DRP adalah

rencana tersebut memungkinkan adanya f asilitas
pemrosesan dat a duplikat setelah terjadi suatu bencana.
Di antara berbagai pilihan yang tersedia adalah hot site
(pusat operasi pem ulihan), cold site ( ruang kosong),
perjanjian silang yang saling menguntungkan, cadangan
yang disediakan secara internal, dan lain -lainnya. Disini,
seorang audit or harus mengevaluasi kecukupan
pengaturan lokasi cadangan.
2.5. Outsourcing Fungsi TI

Dalam iklim persaingan usaha yang semakin ketat,

perusahaan berusaha untuk melakukan ef isiensi biaya produksi
(cost of production ). Salah sat u solusinya adalah dengan sistem
outsourcing, dimana dengan sistem ini perusahaan diharapkan
dapat menghemat pengeluaran dalam membiayai sumber daya
manusia (SDM) yang bekerja di perusahaan yang bersangkutan.
Outsourcing atau contracting out adalah pemindahan pekerjaan
dari sat u perusahaan ke perusahaan lain.

IT outsour cing sendiri t idak berbeda jauh dengan def inisi

outsourcing secara umum. IT outsourcing adalah penyediaan
tenaga ahli yang prof esional dibidang teknologi inf ormasi untuk
mendukung dan memberikan solusi guna meningkatkan kinerja
perusahaan.

Salah satu bidang yang menjadi obyek outsourcing pada

berbagai perusahaan adalah f ungsi TI. Bagi perusa haan, f ungsi
TI merupakan bidang penunjang ( support funct ion ) untuk
mendukung operasional perusahaan yang lebih ef ektif dan
ef isien. Sebagai support function f ungsi IT di-outsource pada
perusahaan outsourcing TI, dengan pertimbangan untuk
meningkatkan ef is iensi dan agar perusahaan dapat lebih
memf okuskan diri pada bidang usaha yang ditekuninya. Melalui
outsourcing, perusahaan dapat memf okuskan segenap
sumberdaya yang dimilikinya untuk mencapai misi organisasi,
sehingga perusahaan mampu memberikan layanan te rbaik pada
konsumen. Selain itu, dengan outsourcing, perusahaan j uga
dapat meningkatkan ef isiensinya karena dikerjakan oleh pemberi
jasa yang mempunyai spesialisasi pada bidangnya dan
perusahaan dapat mengurangi biaya langsung dan biaya
overhead pada bidan g yang di-outsource.

Terdapat keuntungan -keuntungan yang dirasakan per usahaan

apabila melakukan IT outsourcing, antar a lain:
a) Perusahaan dapat f okus pada core business -nya dengan t etap
menikmati nilai -nilai positif dari sistem dan teknologi
inf ormasi.

b) Teknologi yang maju. IT outsourcing member ikan akses

kepada organisasi klien berupa kemajuan teknologi dan
pengalaman personil.

c) W aktu yang digunakan menjadi lebih singkat untuk pengadaan

sumber daya TI

d) Mengurangi biaya dari pengadaan f ungsi TI di perusahaan

e) Jasa yang diberik an oleh outsourcer lebih berkualitas

dibandingkan dikerjakan sendir i secara internal, karena
outsourcer memang spesialisasi dan ahli di bidang tersebut.

2.5.1. Risks Inherent to IT Outsourcing

W alau demikian penerapan strategi outsourcing

f ungsi TI bukan berarti tanpa kendala. Ada resiko -resiko
yang mungkin terjadi bila perusahaan meng -outsource
f ungsi TI-nya, ant ara lain:

a) Perf orma dari sumber daya IT dapat gagal karena itu

semua bergantung pada vendor at au penyedia
layanan

b) Dapat terjadi ketidakseimbangan biaya dengan

manf aat yang dir asakan

c) Resiko terhadap keamanan data perusahaan, dimana

IT outsource sangat berhubungan dengan data
perusahaan

d) Rentan dapat dit iru oleh pesaing lain bila aplikasi

yang dioutsourcingkan adalah aplikasi st rategi k
 e) Kegagalan dalam keselarasan str ategi antara
perencanaan TI dengan per encanaan bisnis
perusahaan secar a keseluruhan

f ) Adanya kecenderungan outsourcer untuk

merahasiakan sist em yang digunakan dalam
membangun sistem inf ormasi bagi pelanggannya agar
jasanya tetap digunakan.

2.5.2. Audit Implications of IT Outsourcing

Dalam situasi dimana perusahaan melakukan

outsourcing terhadap sumber daya TI yang dimiliki,
auditor harus mampu melakukan audit, dimana tujuan
audit dan metodologinya tetap sama, outsourcing tidak
memperkenalkan unsur -unsur baru tertentu yang perlu
dipertimbangkan. Area -area yang ber hubungan dengan
audit pada IT oursourcing , seperti: software
development , application support and maintenance ,
infrastructur e management services. T ujuan dar i audit
ini sendir i, antara lain:

a) Menilai resiko yang terkait dengan outsourcing,

seperti ketersediaan kelanjutan dar i jasa, tingkat
layanan dan keamanan inf ormasi

b) Menelaah apakah tuj uan dar i outsourcing tercapai

c) Menilai strategi TI apakah telah dimodif ikasi

sehingga sesua i dengan rencana IToutsourcing

Seorang auditor dapat membuat checklist mengenai

hal- hal pent ing selama mengaudit IToutsourcing, seperti:

a) Contract

Kebanyakan pengaturan outsourcing diberlakukan

setelah proses rinci evaluasi, due diligence dan
 negosiasi, dengan pertukaran komunikasi antara
perusahaan dan penyedia layanan selama periode
waktu. Pent ing bagi kedua belah pihak untuk memiliki
dokumen kontrak yang memiliki kekuatan hukum dan
merinci harapan yang disepakati mengenai berbagai
aspek peng aturan. Untuk auditor, titik awal yang baik
dalam mengaudit adalah dar i kontrak outsourcing.
Auditor har us membuat pengawasan menyeluruh
terhadap kontrak, seperti yang akan dilakukan untuk
setiap kontrak komersial besar, dan mengevaluasi
semua r isiko seper ti yang dilakukan dalam
pemeriksaan kontrak.

b) Statement of work

Inf ormasi penting berikutnya dar i sebuah kontrak

adalah st atement of work atau laporan kerja yang
berisi daf tar pekerjaan yang harus dilakukan oleh
penyedia layanan. Auditor har us memeriksa apa kah
proyek pekerjaan benar -benar dilakukan oleh
penyedia layanan dan sama dengan yang disebutkan
dalam kontrak.

c) Data security

Berbagai tingkat akses ke aplikasi dan sistem harus

diberikan kepada personil penyedia layanan untuk
memungkinkan mereka melaksana kan pekerjaan.
Prosedur yang tepat harus ditentukan untuk
menentukan bagaim ana akses tersebut diberikan dan
dipelihara. Keamanan berkaitan deng an menjaga
kerahasiaan, integritas dan ketersediaan inf ormasi.
Auditor har us memer iksa apakah kebijakan keamanan
dan pr oses dar i penyedia layanan sinkron dengan
orang -orang dari perusahaan. Auditor harus
memeriksa apakah mekanisme telah dit etapkan untuk
pemantauan keamanan dan proses yang terkait.
 Dalam beberapa kasus, tergantung pada sif at dari
pekerjaan outsour cing, personil dari penyedia
layanan bahkan mungkin diber i akses superuser ke
beberapa sistem.

d) Impact on IT strategy

IT outsourcing sering dilakukan dalam skala yang

cukup besar. Outsourcing perlu dimasukkan ke dalam
bisnis dan strategi TI perusahaan. Dalam p roses
outsourcing, perusahaan tidak boleh melupakan
kenyataan bahwa TI berdampak pada bisnis secara
signif ikan dan bermanf aat bagi perusahaan. Auditor
harus melakukan cek dari keselur uhan skenario TI
perusahaan setelah outsourcing.

2.6. Audit IT Governance

Meskipun semua masalah tata kelola IT penting bagi

organisasi, t idak semua dar i masalah t ersebut adalah mengenai
hal pengendalian internal di bawah SOX yang berpotensi dapat
mempengaruhi proses laporan keuangan. Dalam bab ini, kita
mempertimbangkan tiga isu t ata kelola TI yang ditangani oleh
SOX dan kerangka pengendalian internal COSO. yaitu:

a) Struktur organisasi fungsi IT

b) Pusat Operasi Komputer

c) Perencanaan pemulihan bencana

Pembahasan pada masing -masing masalah ini, tata kelola

dimulai dengan penjelasan tentan g sif at risiko dan deskripsi
pengendalian yang diperlukan untuk mengurangi risiko tersebut.
Kemudian, tujuan audit disaj ikan, yang menetapkan apa yang
perlu diver if ikasi m engenai f ungsi kont rol di tempat. Akhir nya,
contoh tes kontrol yang ditawarkan yang m enggambarkan
bagaimana auditor dapat mengumpulkan bukti untuk memenuhi
tujuan audit.

Tes ini dapat dilakukan oleh auditor eksternal sebagai

bagian dari layanan atestasi mereka atau dengan auditor inter nal
(atau jasa konsultasi prof esional) yang menyediakan bukti
kepatuhan manajem en dengan SOX. Dalam hal ini , kita t idak
membeda-bedakan dua jenis layanan.

Pada bagan di atas, melalui pengendalian IT governance

suatu auditor dapat menilai inherent risk dan control risk yang
terdapat di dalam suatu perusahaan, inherent risk merupakan
resiko bawaan yang melekat dengan m enganggap bahwa suatu
perusahaan tidak memiliki pengendalian inter nal, sedangkan
control r isk merupakan resiko yang timbul dari kesalahan -
kesalahan yang tidak terdeteksi oleh pengendalian inter nal dan
detection risk adalah resiko bahwa auditor tidak mendet eksi
salah saji yang terjadi. Ket ika auditor menilai pengendalian IT
governance suat u perusahaan baik maka inherent r isk dan
control risk pada suatu IT governance perusahaan r endah, maka
detection r isk yang timbul akan t inggi karena auditor merasa
bahwa pengendalian IT governance per usahaan tersebut sudah
cukup baik sehing ga auditor merasa tidak per lu melakukan
pemeriksaan secara detail.

Terdapat gejala -gejala t idak terkontrolnya TI yang dapat

diidentif ikasi sebagai ber ikut:

a) Manajemen bisnis dan manajemen TI jarang atau tidak saling

berkomunikasi

b) Pimpinan unit TI tidak memahami kebutuhan bisnis

c) Pimpinan unit bisnis tidak memahami pot ensi inovasi berbasis

TI

d) Pimpinan unit bisnis tidak memiliki rasa memiliki terhadap

inisiatif TI
e) Pengelolaan TI terlalu bir okratis dan lambat untuk
mengakomodasi kebutuhan bisnis

f) Implementasi- implementasi TI sering gagal dalam memenuhi

kebutuhan bisnis at au terlambat dalam penyelesaiannya dan
melampaui anggaran yang dise diakan

g) Risiko pemanf aatan TI tidak dipahami atau dikelola secara

ef ektif sebagai bagian dari r isiko bisnis

h) Kegagalan unit TI organisasi unt uk mematuhi ketentuan

regulator atau kontrak dengan penggunanya

i) Tolok ukur keberhasilan unit TI dipandang tidak ada a rtinya

bagi unit bisnis pengguna.

Kurangnya kontrol terhadap pengelolaan TI dapat

diakibatkan oleh keengganan eksekutif bisnis yang memandang
bahwa TI adalah bagian terpisah dar i f ungsi bisnis, yaitu hanya
dianggap sebagai dukungan teknis terhadap proses b isnis; atau
dapat pula dianggap terlalu teknis untuk dibahas oleh level
eksekutif bisnis. Per lu disadari bahwa pemanf aatan TI akan sulit
berhasil tanpa adanya komitmen dari pim pinan bisnis. Lima f okus
utama dalam tata kelola TI adalah:

a) Strategic Alignment : harmonisasi ant ara kemampuan TI

organisasi dengan tuntutan bisnis organisasi.

b) Value Delivery : penciptaan solusi TI yang bernilai tambah

bagi organisasi.

c) Risk Management : pengelolaan r isiko penerapan TI sebag ai

risiko bisnis organisasi.

d) Resource Management : pengelolaan aset TI organisasi secar a

tepat guna.

e) Performance Measurement : penyempurnaan layanan melalui

pengukuran kinerja layanan TI.
 KESIMPUL AN

Dari penulisan ini, dapat disimpulkan :

a) Audit SI sangat penting untuk mencapai t ujuan per usahaan.

b) IT sangat dibutuhkan untuk keuntungan kompetitif dan
pertumbuhan per usahaan.
c) Manajemen bertanggung jawab unt uk kontrol IT.
d) Tanggung jawab itu memerlukan suatu kerangka
o Kebut uhan bisnis dapat dinyatakan sebagai kriteria
inf ormasi.
o IT biasanya diorganisir dalam seper angkat proses.
o IT memerlukan sejumlah sumber daya
 REFERENSI

1. James A. Hall. 2011. Inf ormation Technology Audit ing and

Assurance. Cengage Learning