AUDIT KONTROL TATA KELOLA TI

Tugas Mata Kuliah

Auditing EDP

Oleh:
KELOMPOK 6

1. Diah Dwi Utami NIM. 150810301104

2. Yuni Citra Andini NIM. 150810301054
3. Aprilina Dyah Anggraeni NIM. 150810301050
4. Erfita Mutiara Citra NIM. 150810301017
5. Intan Anizurrahmah NIM. 150810301037

Program Studi Strata Satu Akuntansi

Fakultas Ekonomi dan Bisnis
Universitas Jember
Tahun 2018
 PENDAHULUAN

Bab ini menyajikan risiko, kontrol, dan tes kontrol yang terkait dengan tata
kelola TI. Ini terbuka dengan mendefinisikan tata kelola TI dan elemen tata kelola TI
yang memiliki pengendalian internal dan implikasi pelaporan keuangan. Pertama,
menyajikan eksposur yang bisa timbul dari penataan fungsi TI yang tidak tepat.
Selanjutnya, bab ini mengulas ancaman dan kontrol pusat komputer, termasuk
melindunginya dari kerusakan dan kerusakan akibat bencana alam, kebakaran, suhu,
dan kelembaban. Bab ini kemudian menyajikan elemen kunci dari rencana pemulihan
bencana, termasuk menyediakan cadangan situs kedua, mengidentifikasi aplikasi
penting, melakukan prosedur penyimpanan cadangan dan off-side, menciptakan tim
pemulihan bencana, dan menguji rencana tersebut. Bagian akhir bab ini menyajikan
isu-isu mengenai tren yang berkembang terhadap outsourcing TI. Logika di balik
keputusan manajemen untuk melakukan outsourcing dieksplorasi. Bab ini juga
mengungkapkan manfaat yang diharapkan dan risiko yang terkait dengan outsourcing.
Bab ini diakhiri dengan diskusi tentang masalah audit di lingkungan outsourcing dan
peran laporan $ AS 70.

1
 PEMBAHASAN

TATA KELOLA TEKNIS INFORMASI

Tata kelola Teknologi Informasi (TI)

Merupakan subset yang relatif baru dari tata kelola perusahaan yang
berfokus pada pengelolaan dan penilaian sumber daya TI strategis. Tujuan utama tata
kelola TI adalah mengurangi risiko dan memastikan bahwa investasi sumber daya TI
memberi nilai tambah bagi korporasi. Sebelum Undang-Undang Sarbanes-Oxley
(SOX), praktik umum mengenai investasi TI adalah untuk menunda semua keputusan
terhadap profesional TI perusahaan. Tata kelola TI modern, bagaimanapun, mengikuti
filosofi bahwa semua pemangku kepentingan perusahaan, termasuk dewan direksi,
manajemen puncak, dan pengguna departemen (yaitu, akuntansi dan keuangan)
menjadi peserta aktif dalam keputusan TI utama. Keterlibatan berbasis dewan tersebut
mengurangi risiko dan meningkatkan kemungkinan keputusan TI sesuai dengan
kebutuhan penggunaan, kebijakan perusahaan, inisiatif strategis, dan persyaratan
pengendalian internal di bawah SOX.
Kontrol Tata Kelola TI
Meskipun semua masalah tata kelola TI penting bagi organisasi, tidak
semuanya merupakan masalah pengendalian internal di bawah SOX yang berpotensi
mempengaruhi proses pelaporan keuangan. Dalam bab ini, kami mempertimbangkan
tiga masalah tata kelola TI yang ditangani oleh SOX dan kerangka pengendalian
internal COSO. Ini adalah:
1. Struktur organisasi fungsi TI
2. Operasi di pusat komputer
3. Perencanaan pemulihan bencana
Diskusi mengenai masing-masing masalah tata kelola ini dimulai dengan
penjelasan tentang sifat risiko dan deskripsi kontrol yang diperlukan untuk mengurangi
risiko. Kemudian, tujuan audit disajikan, yang menetapkan apa yang perlu diverifikasi
mengenai fungsi kontrol di tempat. Akhirnya, contoh tes kontrol ditawarkan yang
menjelaskan bagaimana auditor dapat mengumpulkan bukti untuk memenuhi tujuan
audit. Tes ini dapat dilakukan oleh auditor eksternal sebagai bagian dari layanan
pengabdian mereka atau oleh auditor internal (atau profesional penasehat layanan)

2
yang memberikan bukti kepatuhan manajemen SOX. Dalam hal ini, kami tidak
membedakan antara dua jenis layanan.
STRUKTUR FUNGSI TEKNOLOGI INFORMASI
Organisasi fungsi TI memiliki implikasi untuk sifat dan efektivitas
pengendalian internal, yang pada gilirannya, memiliki komplikasi untuk audit. Pada
bagian ini, beberapa masalah kontrol penting yang terkait dengan struktur TI diperiksa.
Ini diilustrasikan melalui dua model organisasi ekstrim - pendekatan terpusat dan
pendekatan terdistribusi. Risiko, kontrol, dan masalah audit yang terkait dengan
masing-masing model kemudian dibahas. Pembaca harus menyadari, bagaimanapun,
bahwa sebagian besar struktur organisasi mencakup elemen dari kedua model.
Pengolahan data terpusat
Di bawah model pemrosesan data terpusat, semua pemrosesan data oleh
satu atau lebih komputer besar ditempatkan di lokasi utama yang melayani pengguna
di seluruh organisasi. Gambar 2.1 mengilustrasikan pendekatan ini, di mana aktivitas
layanan TI dikonsolidasikan dan dikelola sebagai sumber organisasi bersama.
Pengguna akhir bersaing untuk mendapatkan sumber daya ini berdasarkan kebutuhan.
Fungsi layanan TI biasanya diperlakukan sebagai pusat biaya yang biaya operasinya
dibebankan kembali ke pengguna akhir. Gambar 2.2 menggambarkan struktur layanan
TI terpusat dan menunjukkan area layanan utamanya: administrasi database,
pengolahan data, dan pengembangan dan pemeliharaan sistem. Deskripsi fungsi kunci
dari masing-masing bidang berikut.

3
Administrasi Database
Perusahaan yang dikelola secara sentral mempertahankan sumber data
mereka di lokasi sentral yang dimiliki oleh semua pengguna akhir. Dalam pengaturan
data bersama ini, sebuah kelompok independen yang dipimpin oleh administrator
database (DBA) bertanggung jawab atas keamanan dan integritas database.
Pengolahan data
Kelompok pengolahan data mengelola sumber daya komputer yang
digunakan untuk melakukan pemrosesan transaksi sehari-hari. Ini terdiri dari fungsi
organisasi berikut: konversi data, operasi komputer, dan perpustakaan data.
Konversi data
Fungsi konversi data mentranskripsikan data transaksi dari dokumen sumber
hard copy menjadi input komputer. Misalnya, konversi data bisa melibatkan aplikasi
penjualan keystroking order dalam sistem modern, atau dalam sistem tipe legacy.
Operasi Komputer
File elektronik yang dihasilkan dalam konversi data kemudian diproses oleh
komputer pusat, yang dikelola oleh kelompok operasi komputer. Aplikasi akuntansi
biasanya dijalankan sesuai jadwal yang ketat yang dikontrol oleh sistem operasi
komputer pusat.
Perpustakaan Data
Perpustakaan data adalah ruangan yang berdekatan dengan pusat komputer
yang menyediakan penyimpanan yang aman untuk file data off-line. File-file itu bisa
berupa backup atau file data saat ini. Misalnya, perpustakaan data dapat digunakan
untuk menyimpan data cadangan pada DVD, CD-ROM, kaset, atau perangkat
penyimpanan lainnya. Ini juga bisa digunakan untuk menyimpan file data operasional
saat ini pada kaset magnetik dan paket disk yang dapat dilepas. Selain itu,
perpustakaan data digunakan untuk menyimpan salinan asli perangkat lunak komersial
dan lisensi mereka untuk penyimpanan. Seorang pustakawan data, yang bertanggung
jawab atas penerimaan, penyimpanan, pengambilan, dan penyimpanan file data,
mengendalikan akses ke perpustakaan. Pustakawan mengeluarkan file data ke
operator komputer sesuai dengan permintaan program dan mengambil hak asuh file
saat prosedur pemrosesan atau pencadangan selesai dilakukan. Tren dalam beberapa
tahun terakhir menuju pemrosesan real-time dan peningkatan penggunaan file akses
langsung telah mengurangi atau bahkan menghilangkan peran pustakawan data di
banyak organisasi.

4
Pengembangan dan Pemeliharaan Sistem
Sistem informasi kebutuhan pengguna dipenuhi oleh dua fungsi terkait:
pengembangan dan pemeliharaan sistem. Untuk kelompok terdahulu bertanggung
jawab untuk menganalisis kebutuhan pengguna dan merancang sistem baru untuk
memenuhi kebutuhan tersebut. Peserta dalam kegiatan pengembangan sistem
meliputi profesional sistem profesional, pengguna akhir, dan pemangku kepentingan.
Sistem profesional meliputi analis sistem, perancang basis data, dan
pemrogram yang merancang dan membangun sistem. Sistem profesional
mengumpulkan fakta tentang masalah pengguna, menganalisis fakta, dan
merumuskan solusi. Produk dari usaha mereka adalah sebuah sistem informasi baru.
Pengguna akhir adalah mereka yang sistemnya dibangun. Mereka adalah
manajer yang menerima laporan dari sistem dan personil operasi yang bekerja secara
langsung dengan sistem sebagai bagian dari tanggung jawab harian mereka.
Pemangku kepentingan adalah individu di dalam atau di luar perusahaan
yang memiliki kepentingan dalam sistem, namun bukan pengguna akhir. Mereka
termasuk akuntan, auditor internal, auditor eksternal, dan pihak lain yang mengawasi
pengembangan sistem.
Setelah sistem baru dirancang dan diterapkan, kelompok pemeliharaan
sistem bertanggung jawab untuk menjaga agar tetap sesuai dengan kebutuhan
pengguna. Pemeliharaan tern mengacu pada perubahan program logika untuk
mengakomodasi pergeseran kebutuhan pengguna dari waktu ke waktu. Selama
perjalanan hidup sistem (sering beberapa tahun), sebanyak 80 atau 90 persen dari
total biaya dapat dikeluarkan melalui kegiatan pemeliharaan.

Segregasi fungsi TI yang tidak kompatibel

Secara khusus, tugas operasional harus menjadi:
1. pemisahan otorisasi transaksi dari proses transaksi,
2. pencatatan terpisah dari penitipan aset,
3. pembagian tugas antar rekening di antara individu-individu karena rupa kekurangan
kolusi antara dua atau lebih penipuan individu tidak akan mungkin dilakukan.
Lingkungan TI cenderung mengkonsolidasikan aktivitas. Aplikasi tunggal
mungkin autho Lingkungan TI cenderung mengkonsolidasikan aktivitas. Aplikasi
tunggal dapat memberi otorisasi, memproses, dan mencatat semua aspek transaksi.
Dengan demikian, fokus kontrol segregasi bergeser dari tingkat operasional (tugas
pemrosesan transaksi yang dilakukan komputer sekarang) ke hubungan organisasi

5
tingkat tinggi dalam fungsi layanan komputer. Dengan menggunakan bagan organisasi
pada Gambar 2.2 sebagai rujukan, keterkaitan antara pengembangan sistem,
pemeliharaan sistem, administrasi database, dan aktivitas operasi komputer diperiksa
selanjutnya.
Memisahkan Pengembangan Sistem dari Operasi Komputer
Pemisahan pengembangan sistem (baik pengembangan dan pemeliharaan
sistem baru) dan kegiatan operasi sangat penting. Hubungan antara kelompok-
kelompok ini harus sangat formal, dan tanggung jawab mereka seharusnya tidak
digabungkan. Profesional pengembangan dan pemeliharaan sistem harus
menciptakan (dan memelihara) sistem bagi pengguna, dan seharusnya tidak terlibat
dalam memasukkan data, atau menjalankan aplikasi (misalnya, operasi komputer).
Staf operasi harus menjalankan sistem ini dan tidak memiliki keterlibatan dalam desain
mereka. Fungsi-fungsi ini pada dasarnya tidak sesuai, dan mengkonsolidasikannya
mengundang kesalahan dan kecurangan. Dengan pengetahuan yang terperinci dari
parameter logika dan kontrol aplikasi dan akses ke sistem operasi dan utilitas
komputer, seseorang dapat membuat perubahan yang tidak sah pada aplikasi selama
eksekusi. Perubahan semacam itu mungkin bersifat sementara ("on the fly") dan akan
hilang tanpa jejak saat aplikasi berakhir.
Memisahkan Administrasi Database dari Fungsi Lain
Kontrol organisasi penting lainnya adalah pemisahan administrator database
(DBA) dari fungsi pusat komputer lainnya. Fungsi DBA bertanggung jawab atas
sejumlah tugas penting yang berkaitan dengan keamanan database, termasuk
membuat skema database dan tampilan pengguna, menetapkan otoritas akses
database kepada pengguna, memantau penggunaan basis data, dan merencanakan
perluasan di masa depan. Mendelegasikan tanggung jawab ini kepada orang lain yang
melakukan tugas yang tidak sesuai mengancam integritas database. Jadi, kita lihat dari
Gambar 2.2 Bagaimana cara kerja DBA secara organisasi tidak tergantung pada
operasi, pengembangan sistem, dan pemeliharaan.
Memisahkan pengembangan sistem baru dari perawatan
Beberapa perusahaan mengatur fungsi pengembangan sistem in-house
mereka menjadi dua kelompok; analisis sistem dan pemrograman (lihat gambar 2.3).
kelompok analisis sistem bekerja dengan pengguna untuk menghasilkan desain rinci
dari sistem baru. Kelompok pemrograman mengkodekan program sesuai dengan
spesifikasi desain ini. Dengan pendekatan ini, pemrogram yang mengkode program
asli juga memelihara sistem selama fase pemeliharaan siklus pengembangan sistem

6
(dibahas di Bab 5). Meskipun ada pengaturan yang sama, pendekatan ini dikaitkan
dengan dua jenis masalah kontrol: dokumentasi yang tidak memadai dan potensi
kecurangan program.
Dokumentasi yang tidak memadai
Dokumentasi sistem yang berkualitas buruk adalah masalah TI yang kronis dan
tantangan yang signifikan bagi banyak organisasi yang menginginkan kepatuhan SOX.
Setidaknya ada dua penjelasan untuk fenomena ini. Pertama, mendokumentasikan
sistem tidak semenarik merancang, menguji, dan menerapkannya. Profesional sistem
lebih memilih untuk beralih ke proyek baru yang menarik daripada dokumen yang baru
saja selesai.
Alasan kedua untuk dokumentasi yang buruk adalah keamanan kerja. Ketika
sebuah sistem didokumentasikan dengan buruk, sulit untuk menafsirkan, menguji, dan
melakukan debug. Oleh karena itu, pemrogram yang memahami sistem (orang yang
mengodeinya) mempertahankan kekuatan tawar menawar dan menjadi sangat
diperlukan. Ketika programmer meninggalkan perusahaan, seorang programmer baru
mewarisi tanggung jawab pemeliharaan terhadap sistem yang tidak terdokumentasi.
Bergantung pada kompleksitasnya, masa transisi mungkin panjang dan mahal.
Program Penipuan
Bila pemrogram asli dari suatu sistem juga diberi tanggung jawab
pemeliharaan, potensi penipuan meningkat. Kecurangan program melibatkan
perubahan yang tidak sah pada modul program untuk tujuan melakukan tindakan
ilegal. Pemrogram asli mungkin telah berhasil menyembunyikan kode penipuan di
antara ribuan baris kode yang sah dan ratusan modul yang membentuk sebuah sistem.
Agar kecurangan berhasil, programmer harus bisa mengendalikan situasi melalui
akses eksklusif dan tidak terbatas ke program aplikasi. Pemrogram perlu melindungi
kode palsu dari deteksi yang tidak disengaja oleh pemrogram lain yang melakukan
perawatan atau oleh auditor yang menguji kontrol aplikasi. Oleh karena itu, memiliki
tanggung jawab atau pemeliharaan sepenuhnya merupakan elemen penting dalam
skema pemrogram duplikat. Melalui otoritas pemeliharaan ini, pemrogram dapat
dengan bebas mengakses sistem, menonaktifkan kode penipuan selama audit dan
kemudian mengembalikan kode saat pantai menjadi jelas. Penipuan semacam ini bisa
berlanjut bertahun-tahun tanpa deteksi.
Struktur superior untuk pengembangan sistem
Kelompok pengembangan sistem baru bertanggung jawab untuk merancang,
memprogram, dan mengimplementasikan proyek sistem baru. Setelah berhasil

7
diimplementasikan, tanggung jawab atas pemeliharaan berkelanjutan sistem ini sampai
pada kelompok pemeliharaan sistem. Restrukturisasi ini memiliki implikasi yang secara
langsung menangani dua masalah kontrol yang baru saja dijelaskan.
Pertama, standar dokumentasi ditingkatkan karena kelompok pemeliharaan
memerlukan dokumentasi untuk melaksanakan tugas perawatannya. Tanpa
dokumentasi yang lengkap dan memadai, transfer formal tanggung jawab sistem dari
pengembangan sistem baru ke pemeliharaan sistem tidak dapat terjadi.
Kedua, menolak akses programmer asli di masa depan untuk mencegah program
penipuan program. Bahwa kode curang, yang dulu disembunyikan dengan sistem,
tidak sesuai dengan kontrol programmer dan nantinya dapat ditemukan meningkatkan
risiko yang terkait dengan kecurangan program. Keberhasilan pengendalian ini
bergantung pada adanya kontrol lain yang membatasi, mencegah, dan mendeteksi
akses tidak sah ke program (seperti kontrol perpustakaan program sumber). Meskipun
pemisahan organisasi saja tidak dapat menjamin bahwa kecurangan komputer tidak
akan terjadi, namun penting untuk menciptakan lingkungan pengendalian yang
diperlukan.

Model Terdistribusi
Selama bertahun-tahun, skala ekonomi menyukai komputer besar dan kuat dan
pemrosesan terpusat. Namun sekarang, sistem kecil, kuat, dan murah telah mengubah
gambar ini secara dramatis. Alternatif model terpusat adalah konsep distributed data
processing (DDP). Topik DDP cukup luas, menyentuh topik terkait seperti komputasi
pengguna akhir, perangkat lunak komersial, jaringan, dan otomasi kantor. Secara
sederhana, DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI kecil yang
berada di bawah kendali pengguna akhir. Unit TI dapat didistribusikan sesuai dengan
fungsi bisnis, lokasi geografis, atau keduanya. Semua atau fungsi TI yang ditunjukkan
pada Figura 2.2 dapat didistribusikan. Tingkat dimana mereka didistribusikan akan
bervariasi tergantung pada filosofi dan tujuan manajemen organisasi. Gambar 2.4
menyajikan dua alternatif pendekatan DPP. Alternatif A sebenarnya adalah varian dari
model terpusat; Perbedaannya adalah bahwa terminal (atau mikrokomputer)
didistribusikan ke pengguna akhir untuk menangani input dan output. Ini
menghilangkan kebutuhan akan kelompok konversi data terpusat, karena pengguna
sekarang melakukan tugas ini. Namun, di bawah model ini, pengembangan sistem,
operasi komputer, dan administrasi basis data tetap terpusat.
Alternatif B adalah keberangkatan yang signifikan dari model terpusat. Alternatif ini

8
mendistribusikan semua layanan komputer kepada pengguna akhir, di mana mereka
beroperasi sebagai standalone
Alternatif B adalah keberangkatan yang signifikan dari model terpusat. Alternatif
ini mendistribusikan semua layanan komputer kepada pengguna akhir, di mana
mereka beroperasi sebagai unit mandiri. Hasilnya adalah penghapusan fungsi TI pusat
dari struktur organisasi. Perhatikan interkoneksi antara unit terdistribusi pada Gambar
2.4. Koneksi ini mewakili pengaturan jaringan yang memungkinkan komunikasi dan
transfer data antar unit. Gambar 2.5 menunjukkan struktur organisasi yang mungkin
mencerminkan distribusi semua tugas pengolahan data tradisional ke area pengguna
akhir.
Resiko yang terkait dengan DDP
Bagian ini membahas risiko organisasi yang perlu dipertimbangkan saat
menerapkan DDP. Disscusion berfokus pada isu-isu penting yang membawa implikasi
pengendalian yang harus diakui auditor. Masalah potensial meliputi penggunaan
sumber daya yang tidak efisien, penghancuran jalur audit, pemisahan tugas yang tidak
memadai, potensi kesalahan pemrograman dan kegagalan sistem yang meningkat,
dan kurangnya standars.
Penggunaan sumber daya yang tidak efisien
DDP dapat mengekspos dan mengorganisir tiga jenis risiko yang terkait dengan
penggunaan sumber daya organisasi yang tidak efisien. Ini diuraikan di bawah ini.
Pertama, adalah risiko salah urus sumber daya TI di seluruh organisasi oleh pengguna
akhir. Beberapa berpendapat bahwa ketika sumber daya keseluruhan organisasi
melebihi ambang batas, misalnya 5 persen dari total anggaran operasi, tata kelola TI
yang efektif memerlukan pengelolaan pusat dan pemantauan sumber daya semacam
itu. Bagi banyak organisasi, layanan TI mencakup operasi komputer, pemrograman,
konversi data, dan pengelolaan basis data memenuhi atau melampaui ambang batas
ini.
Kedua, DDP dapat meningkatkan risiko inefisiensi operasional karena adanya
tugas berlebihan yang dilakukan dengan komite pengguna akhir. Inisiatif
pengembangan sistem otonom yang didistribusikan melalui perusahaan dapat
mengakibatkan setiap pengguna tidak memanfaatkan roda daripada mendapatkan
manfaat dari pekerjaan orang lain. Misalnya, program aplikasi yang dibuat oleh satu
pengguna, yang bisa digunakan dengan sedikit atau tanpa perubahan oleh orang lain,
akan didesain ulang dari awal daripada dibagi. Demikian juga, data yang umum bagi
banyak pengguna dapat diciptakan kembali untuk masing-masing, menghasilkan

9
tingkat redundansi data yang tinggi. Keadaan ini berimplikasi pada akurasi data dan
konsistensi.
Ketiga, lingkungan DDP menimbulkan risiko perangkat keras dan perangkat
lunak yang tidak kompatibel di antara fungsi pengguna akhir. Mendistribusikan
responbilitas untuk pembelian TI kepada pengguna akhir dapat mengakibatkan
keputusan yang tidak terkoordinasi dan kurang dipahami. Misalnya, pengambil
keputusan di unit organisasi defferent yang bekerja secara independen dapat
menyesuaikan diri dengan sistem operasi, platform teknologi, spreadsheet, pengolah
kata, dan paket database yang berbeda dan tidak kompatibel. Perangkat keras dan
perangkat lunak tidak kompatibel dan kemungkinan penghancuran jalur audit.

Pemusnahan jalur audit. Jejak audit memberikan keterkaitan antara aktivitas

keuangan (transaksi) perusahaan dan laporan keuangan yang melaporkan kegiatan
tersebut. Auditor menggunakan jejak audit untuk melacak transaksi keuangan terpilih
dari dokumen sumber yang menangkap kejadian tersebut, melalui jurnal, buku besar
pembantu, dan akun buku besar yang mencatat kejadian tersebut, pada akhirnya ke
laporan keuangan itu sendiri. Jejak audit sangat penting bagi auditor untuk
membuktikan layanannya.
Dalam sistem DDP, jalur audit terdiri dari file transaksi digital dan file induk
yang sebagian berada pada komputer pengguna akhir. Jika pengguna akhir secara
tidak sengaja menghapus salah satu file, jejak audit bisa dihancurkan dan tidak
terpulihkan. Demikian pula, jika pengguna akhir secara tidak sengaja memasukkan
kesalahan transaksi ke dalam file jejak audit, itu bisa menjadi rusak.
Pemisahan tugas yang tidak memadai. Mencapai pemisahan tugas yang memadai
mungkin tidak dapat dilakukan di beberapa lingkungan terdistribusi. Distribusi layanan
TI kepada pengguna dapat menghasilkan penciptaan unit independen kecil yang tidak
mengizinkan pemisahan fungsi yang tidak sesuai yang diinginkan. Misalnya, dalam
satu unit orang yang sama dapat menulis program aplikasi, melakukan perawatan
program, memasukkan data transaksi ke komputer, dan mengoperasikan peralatan
komputer. Situasi seperti itu akan menjadi pelanggaran mendasar pengendalian
internal.
Mempekerjakan Profesional Berkualitas. Manajer pengguna akhir mungkin tidak
memiliki pengetahuan TI untuk mengevaluasi kredensial teknis dan pengalaman
kandidat yang relevan yang berlaku untuk posisi profesional TI. Juga, jika unit
organisasi yang masuk ke karyawan baru kecil, peluang untuk pertumbuhan pribadi,

10
pendidikan lanjutan, dan promosi mungkin terbatas. Untuk alasan ini, manajer mungkin
mengalami kesulitan menarik personil berkualifikasi tinggi. Risiko kesalahan
pemrograman dan kegagalan sistem meningkat secara langsung dengan tingkat
ketidakmampuan karyawan.
Kurangnya Standar. Karena distribusi tanggung jawab di lingkungan DDP, standar
untuk mengembangkan dan mendokumentasikan sistem, memilih bahasa
pemrograman, memperoleh perangkat keras dan perangkat lunak, dan mengevaluasi
kinerja mungkin tidak rata diterapkan atau bahkan tidak ada. Penentang DDP
berpendapat bahwa risiko yang terkait dengan perancangan dan pengoperasian sistem
DDP hanya dapat ditolerir, standar tersebut diterapkan secara konsisten.
KEUNTUNGAN DDP
Pengurangan biaya. Selama bertahun-tahun, mencapai skala ekonomi merupakan
justifikasi utama untuk pendekatan pengolahan data terpusat. Perekonomian
pemrosesan data disukai komputer besar, mahal, dan kuat. Berbagai kebutuhan
bahwa sistem terpusat diharapkan dapat memuaskan juga meminta komputer yang
sangat umum dan menggunakan sistem operasi yang kompleks. Biaya overhead yang
terkait dengan menjalankan sistem semacam itu, bagaimanapun, dapat mengurangi
keuntungan dari kekuatan pemrosesan mentahnya. Jadi, bagi banyak pengguna,
sistem terpusat yang besar merepresentasikan jumlah berlebihan yang mahal
sehingga mereka harus melarikan diri.
Mikrokomputer canggih dan mahal dan minicomputer yang bisa melakukan
fungsi khusus telah mengubah ekonomi pengolahan data secara dramatis. Selain itu,
biaya unit penyimpanan data, yang dulunya merupakan pembenaran untuk
mengkonsolidasikan data di lokasi sentral, sudah tidak menjadi pertimbangan utama.
Selain itu, kepindahan ke DDP telah mengurangi biaya di dua area lainnya; (1) data
dapat diedit dan dimasukkan oleh pengguna akhir, sehingga menghilangkan tugas
penyusunan data terpusat dan (2) kerumitan aplikasi dapat dikurangi, yang pada
gilirannya mengurangi biaya pengembangan dan pemeliharaan sistem.
Tanggung Jawab Kontrol Biaya yang Lebih Baik. Manajer pengguna akhir
bertanggung jawab atas keberhasilan operasi mereka. Tanggung jawab ini
mengharuskan mereka diberi wewenang yang benar dengan wewenang untuk
membuat keputusan tentang sumber daya yang mempengaruhi keseluruhan
kesuksesan mereka. Ketika manajer dilarang membuat keputusan yang diperlukan
untuk mencapai tujuan mereka, kinerjanya dapat terpengaruh secara negatif.
Manajemen yang kurang agresif dan kurang efektif dapat berkembang.

11
Pendukung DDP berpendapat bahwa manfaat dari sikap manajemen yang lebih baik
lebih besar daripada biaya tambahan yang dikeluarkan untuk mendistribusikan sumber
daya ini. mereka berpendapat bahwa jika kemampuan IT memang penting bagi
keberhasilan operasi bisnis, maka manajemen harus diberi kontrol atas sumber daya
ini. Argumen ini membantah diskusi terdahulu yang mendukung pemusatan sumber
daya organisasi.
Peningkatan Kepuasan Pengguna. Mungkin manfaat DDP yang paling sering dikutip
adalah peningkatan kepuasan pengguna. Pendukung DDP mengklaim bahwa sistem
distribusi kepada pengguna akhir memperbaiki tiga area kebutuhan yang sering kali
tidak terpuaskan dalam model terpusat; (1) seperti yang dinyatakan sebelumnya,
pengguna berkeinginan untuk mengendalikan sumber daya yang mempengaruhi
profitabilitas mereka; (2) pengguna menginginkan profesional sistem (analis,
pemrogram, dan operator komputer) untuk bersikap responsif terhadap situasi spesifik
mereka; dan (3) pengguna ingin lebih terlibat secara aktif dalam mengembangkan dan
menerapkan sistem mereka sendiri.
Fleksibilitas Cadangan. Argumen terakhir yang mendukung DDP adalah kemampuan
untuk mendukung fasilitas komputasi untuk melindungi dari potensi bencana seperti
kebakaran, banjir, sabotase, dan gempa bumi. Satu-satunya cara untuk mendukung
sebuah situs komputer utama melawan bencana tersebut adalah dengan menyediakan
fasilitas komputer kedua. Kemudian di bab ini kami memeriksa perencanaan
pemulihan bencana untuk kontinjensi semacam itu. Model terdistribusi menawarkan
fleksibilitas organisasi untuk menyediakan cadangan. Setiap unit TI yang terpisah
secara geografis dapat dirancang dengan kapasitas berlebih. Jika bencana
menghancurkan satu situs, situs lain dapat menggunakan kelebihan kapasitas mereka
untuk memproses transaksi situs yang hancur. Tentu, pengaturan ini memerlukan
koordinasi yang erat antara manajer pengguna akhir untuk memastikan bahwa mereka
tidak menerapkan perangkat keras dan perangkat lunak yang tidak kompatibel.

MENGONTROL LINGKUNGAN DDP

DDP membawa nilai prestise mutakhir tertentu, yang selama analisis pro dan
kontranya, dapat membebani pertimbangan penting manfaat ekonomi dan kelayakan
operasional. beberapa organisasi telah beralih ke DDP tanpa mempertimbangkan
secara matang apakah struktur organisasi terdistribusi ini akan mencapai tujuan bisnis
mereka dengan lebih baik. Banyak inisiatif DDP terbukti tidak efektif, dan bahkan
kontraproduktif, karena pengambil keputusan melihat kebajikan sistem ini yang lebih

12
simbolis daripada nyata. Sebelum mengambil langkah yang tidak dapat dipulihkan,
pengambil keputusan harus menilai manfaat kontrol yang benar dapat mengurangi
beberapa risiko DDP yang telah dibahas sebelumnya. Bagian ini mengulas beberapa
perbaikan model DDP yang ketat.
Melaksanakan Fungsi Perusahaan
Model yang sepenuhnya terpusat dan model terdistribusi menyajikan posisi ekstrem
pada rangkaian alternatif struktural. kebutuhan sebagian besar perusahaan jatuh di
antara titik akhir ini. Seringkali, masalah kontrol yang telah dijelaskan sebelumnya
dapat diatasi dengan menerapkan fungsi IT perusahaan seperti yang diilustrasikan
pada gambar 2.5
Fungsi ini sangat berkurang dalam ukuran dan status dari model terpusat yang
ditunjukkan pada gambar 2.2 kelompok TI perusahaan menyediakan pengembangan
sistem dan database, pengelolaan untuk keseluruhan sistem selain saran teknis dan
keahlian kepada komunitas TI terdistribusi. Peran penasehat ini ditunjukkan oleh garis
putus-putus pada gambar 2.5 beberapa layanan yang diberikan dijelaskan selanjutnya.
Pengujian Pusat Perangkat Lunak dan Perangkat Lunak Komersial
Grup TI perusahaan terpusat lebih siap daripada pengguna akhir untuk
mengevaluasi kelebihan perangkat lunak komersial dan produk perangkat keras yang
bersaing yang sedang dipertimbangkan. Kelompok sentral yang secara teknis cerdik
seperti ini dapat mengevaluasi fitur, kontrol, dan kompatibilitas sistem dengan industri
dan organisasi dengan standar industri dan organisasi. Hasil uji kemudian
didistribusikan ke area pengguna sebagai standar untuk membimbing keputusan
akuisisi. Hal ini memungkinkan organisasi untuk secara efektif memusatkan akuisisi,
pengujian, dan implementasi perangkat lunak dan perangkat keras dan menghindari
banyak masalah yang dibahas sebelumnya.

Layanan Pengguna. Fitur berharga dari grup perusahaan adalah fungsi layanan
penggunanya. Kegiatan ini memberikan bantuan teknis kepada pengguna selama
pemasangan perangkat lunak baru dan dalam mengatasi masalah masalah perangkat
keras dan perangkat lunak. Pembuatan papan buletin elektronik untuk pengguna
adalah cara terbaik untuk mendistribusikan informasi tentang masalah umum dan
memungkinkan berbagi program yang dikembangkan pengguna dengan orang lain di
organisasi. Selain itu, ruang obrolan bisa dibuat untuk memberikan diskusi berulir,
tanya jawab (FAQs), dan dukungan intranet. Fungsi TI perusahaan juga bisa
menyediakan meja bantuan, di mana pengguna dapat menelepon dan mendapat

13
tanggapan cepat terhadap pertanyaan dan masalah. Di banyak organisasi, staf
layanan pengguna mengajarkan kursus teknis untuk pengguna akhir dan juga untuk
petugas layanan komputer. Hal ini meningkatkan tingkat kesadaran pengguna dan
mendorong berlanjutnya pendidikan tenaga teknis.
Standard-Setting Body. Lingkungan pengendalian yang relatif buruk yang
diberlakukan oleh model DPD dapat ditingkatkan dengan menetapkan beberapa
panduan utama. Kelompok perusahaan dapat berkontribusi pada tujuan ini dengan
menetapkan dan mendistribusikan ke area pengguna sesuai standar untuk
pengembangan, pemrograman, dan dokumentasi sistem.
Ulasan personalia. Kelompok coporate4 seringkali lebih baik dilengkapi daripada
pengguna untuk mengevaluasi kredensial teknis profesional sistem prospektif.
Meskipun profesional sistem sebenarnya akan menjadi bagian dari kelompok
pengguna akhir, keterlibatan kelompok perusahaan dalam keputusan kerja dapat
memberikan layanan yang berharga bagi organisasi.
Tujuan Audit
Tujuan auditor adalah untuk memverifikasi struktur fungsi TI dengan memisahkan
setiap individu sesuai dengan tingkat risiko potensial serta dengan cara
mempromosikan lingkungan kerja. Yakni lingkungan formal, informal.
Prosedur Audit
Prosedur audit berikut akan berlaku untuk sebuah organisasi dengan fungsi TI
terpusat:
• Meninjau dokumentasi yang relevan, termasuk bagan organisasi saat ini,
pernyataan misi, dan uraian tugas untuk fungsi utama, untuk menentukan apakah
individu atau kelompok melakukan fungsi yang tidak sesuai.
• Meninjau dokumentasi sistem dan catatan pemeliharaan untuk contoh aplikasi.
Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan untuk proyek tertentu
bukan programmer desain asli.
• Pastikan operator komputer tidak memiliki akses ke rincian operasional logika
internal sistem. Dokumentasi sistem, seperti diagram alir sistem, diagram alur
logika, dan daftar kode program, tidak boleh menjadi bagian dari dokumentasi
operasi.
• Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti dalam
praktik. Tinjau log akses ruang operasi untuk menentukan apakah pemrogram
memasukkan fasilitas tersebut dengan alasan selain kegagalan sistem.

14
 Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI
terdistribusi:
• Tinjau bagan organisasi saat ini, pernyataan misi, dan uraian tugas untuk fungsi
utama untuk menentukan apakah individu atau kelompok melakukan tugas yang
tidak sesuai
• Verifikasi bahwa kebijakan dan standar perusahaan untuk perancangan sistem,
dokumentasi, dan akuisisi perangkat keras dan perangkat lunak diterbitkan dan
diberikan kepada TI yang didistribusikan
• Pastikan kontrol kompensasi, seperti pemantauan pengawasan dan manajemen,
dipekerjakan bila segregasi tugas yang tidak sesuai secara ekonomi tidak mungkin
dilakukan.
• Review dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur dan
database dirancang dan berfungsi sesuai dengan standar perusahaan.
PUSAT KOMPUTER
Akuntan secara rutin memeriksa lingkungan fisik pusat komputer sebagai bagian
dari audit tahunan mereka. Tujuan dari bagian ini adalah untuk menyajikan risiko
pusat komputer dan kontrol yang membantu mengurangi risiko dan menciptakan
lingkungan yang aman. Berikut ini adalah area eksposur potensial yang dapat
mempengaruhi kualitas informasi, catatan akuntansi, pemrosesan transaksi, dan
efektivitas pengendalian internal lainnya yang lebih konvensional.
Lokasi fisik
Lokasi fisik pusat komputer secara langsung mempengaruhi risiko kerusakan
akibat bencana alam atau buatan manusia. Sedapat mungkin, pusat komputer
harus jauh dari bahaya buatan manusia dan alam, seperti pabrik pengolahan, gas
dan air, bandara, daerah dengan tingkat kejahatan tinggi. Dataran banjir, dan
patahan geologi. Pusat harus jauh dari lalu lintas normal, seperti lantai atas
bangunan atau bangunan terpisah yang terpisah. Menemukan komputer di gedung
bawah tanah meningkatkan risikonya terhadap banjir.
Konstruksi
Idealnya, pusat komputer harus berada di gedung berlantai satu konstruksi padat
dengan akses terkontrol (dibahas selanjutnya). Saluran utilitas (listrik dan telepon)
harus berada di bawah tanah. Jendela bangunan tidak boleh terbuka dan sistem
filtrasi udara harus ada yang mampu mengeluarkan serbuk sari, debu, dan tungau
debu.
Mengakses

15
 Akses ke pusat komputer harus dibatasi oleh operator dan karyawan lain yang
bekerja di sana. Kontrol fisik, seperti pintu terkunci, harus digunakan untuk
membatasi akses ke pusat. Akses harus dikontrol dengan papan tombol,
meskipun ada alarm darurat. Untuk mencapai tingkat keamanan yang lebih tinggi,
akses harus dipantau oleh kamera sirkuit tertutup dan sistem perekaman video.
Pusat komputer juga harus menggunakan login masuk untuk pemrogram dan
analis yang memerlukan akses untuk memperbaiki kesalahan program. Pusat
komputer harus menyimpan catatan akurat tentang semua lalu lintas tersebut.
AC
Komputer berfungsi paling baik di lingkungan ber-AC, dan menyediakan pendingin
udara yang memadai sering menjadi persyaratan vendor. Komputer beroperasi
paling baik dalam suhu 70 sampai 75 derajat Fahrenheit dan kelembaban
relatifnya sebesar 50 persen. Kesalahan dapat terjadi pada perangkat keras
komputer saat suhu berangkat secara signifikan dari kisaran optimal ini. Juga,
risiko kerusakan rangkaian dari listrik statis meningkat saat kelembaban turun.
Sebaliknya, kelembaban tinggi dapat menyebabkan jamur tumbuh pada kertas
(seperti dokumen sumber) hingga peralatan.
Pemadam kebakaran
Kebakaran adalah ancaman paling serius bagi peralatan komputer perusahaan.
Banyak perusahaan yang menderita kebakaran di pusat komputer gulung tikar
karena kehilangan catatan kritis, seperti piutang usaha. Penerapan sistem
penanggulangan kebakaran yang efektif memerlukan konsultasi dengan spesialis.
Namun, beberapa fitur utama dari sistem seperti ini adalah sebagai berikut:
1. Alarm otomatis dan manual harus ditempatkan di lokasi strategis di sekitar
instalasi. Alarm ini harus dihubungkan ke stasiun pemadam kebakaran permanen.
2. Harus ada sistem pemadam kebakaran otomatis yang mengeluarkan jenis
penekan yang sesuai untuk lokasi. Misalnya, penyemprotan air dan bahan kimia
tertentu di komputer bisa melakukan kerusakan sebanyak api.
3. Alat pemadam api manual harus diletakkan di lokasi yang strategis.
4. Bangunan harus konstruksi yang baik untuk menahan kerusakan air yang
disebabkan oleh peralatan penindas api.
5. Pintu keluar api harus ditandai dengan jelas dan diterangi saat terjadi
kebakaran.
Toleransi kesalahan

16
 Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasinya
saat bagian dari sistem gagal karena kegagalan perangkat keras, kesalahan
program aplikasi, atau kesalahan operator. Menerapkan kontrol toleransi
kesalahan memastikan tidak ada satu titik kegagalan sistem potensial. Kegagalan
total hanya bisa terjadi jika beberapa komponen gagal. Dua contoh teknologi
toleransi kesalahan dibahas selanjutnya.
1. Redundant array disk independen (RAID). Serangan menyerang disk paralel
yang mengandung unsur data dan aplikasi yang berlebihan. Jika satu disk gagal,
data yang hilang secara otomatis direkonstruksi dari komponen berlebihan yang
tersimpan pada disk lainnya.
2. Uninterruptible power supplies. Pasokan listrik yang diberikan secara komersial
menghadirkan beberapa masalah yang dapat mengganggu operasi pusat
komputer, termasuk kegagalan daya total, pemadaman, fluktuasi daya, dan variasi
frekuensi. Peralatan yang digunakan untuk mengendalikan masalah ini meliputi
regulator voltase, pelindung gelombang, generator, dan daya cadangan untuk
jangka waktu yang wajar agar restorasi layanan daya komersial. Jika terjadi
pemadaman listrik yang berlebihan, daya cadangan akan memungkinkan sistem
komputer dimatikan dengan cara yang terkendali dan mencegah kehilangan data
dan korupsi yang seharusnya diakibatkan oleh sistem yang tidak terkendali.
Tujuan Audit
Tujuan auditor adalah mengevaluasi kontrol yang mengatur keamanan pusat
komputer. Secara khusus, auditor harus memverifikasi bahwa:
• Kontrol keamanan fisik cukup memadai untuk melindungi secara sadar
organisasi dari eksposur fisik
• Cakupan asuransi atas peralatan memadai untuk memberi kompensasi kepada
organisasi untuk penghancuran, atau kerusakan pada pusat komputernya.
Prosedur Audit
Berikut ini adalah pengujian kontrol keamanan fisik.
Uji Konstruksi Fisik. Auditor harus memperoleh rencana arsitektural untuk
menentukan bahwa pusat komputer kokoh terbuat dari bahan tahan api harus ada
drainase yang memadai di bawah lantai yang dinaikkan sehingga memungkinkan
air mengalir jika terjadi kerusakan air dari api di lantai atas atau dari beberapa
tempat lainnya. sumber. Selain itu, auditor harus menilai lokasi fisik pusat
komputer. Fasilitas ini harus ditempatkan di area yang meminimalkan
keterpaparannya terhadap kebakaran, kerusuhan sipil, dan bahaya lainnya.

17
Pengujian Sistem Deteksi Kebakaran. Auditor harus menetapkan alat deteksi,
baik manual maupun otomatis, ada di tempat dan diuji secara teratur. Sistem
deteksi kebakaran harus mendeteksi asap, panas, dan asap yang mudah terbakar.
Buktinya dapat diperoleh dengan meninjau catatan tes api resmi dari tes yang
disimpan di pusat komputer.
Uji Kontrol Akses. Auditor harus menetapkan bahwa akses rutin ke pusat
komputer dibatasi pada pegawai yang berwenang. Rincian tentang akses
pengunjung (oleh pemrogram dan lainnya), seperti waktu kedatangan dan
keberangkatan, tujuan, dan frekuensi akses, dapat diperoleh dengan meninjau log
akses. Untuk menetapkan kebenaran dokumen ini, auditor dapat secara diam-
diam mengamati proses dimana akses diizinkan, atau meninjau rekaman video
dari kamera di jalur akses, jika digunakan.
Uji Raid. Sebagian besar sistem yang menggunakan RAID menyediakan
pemetaan grafis dari penyimpanan disk mereka yang berlebihan. Dari pemetaan
ini, auditor harus menentukan apakah tingkat RAID yang ada memadai untuk
organisasi, mengingat tingkat risiko bisnis yang terkait dengan kegagalan disk.
Jika organisasi tidak menggunakan RAID, potensi satu titik kegagalan sistem ada.
Auditor harus meninjau ulang dengan prosedur alternatif administrator sistem
untuk pemulihan dari kegagalan disk.
Uji Uninterruptible Power Supply. Pusat komputer harus melakukan tes berkala
terhadap satu daya cadangan untuk memastikan kapasitasnya memadai untuk
menjalankan komputer dan pendingin ruangan. Ini adalah tes yang sangat penting,
dan hasilnya harus dicatat secara formal. Seiring sistem komputer perusahaan
berkembang, dan ketergantungannya meningkat, kebutuhan daya cadangan
cenderung tumbuh secara proporsional. Memang, tanpa tes semacam itu, sebuah
organisasi mungkin tidak menyadari bahwa hal itu telah melampaui kapasitas
cadangannya sampai terlambat.
Uji Cakupan Asuransi. Auditor setiap tahun harus meninjau cakupan asuransi
organisasi di perangkat keras komputer, perangkat lunak, dan fasilitas fisiknya.
Auditor harus memverifikasi bahwa semua akuisisi baru dicantumkan pada polis
dan peralatan dan perangkat usang telah dihapus. Polis asuransi harus
mencerminkan kebutuhan manajemen dalam hal cakupan. Misalnya, perusahaan
mungkin ingin diasuransikan sebagian dan memerlukan pertanggungan minimum.
Di sisi lain, perusahaan dapat mencari cakupan biaya penggantian yang lengkap.

18
Disaster Recovery Plan (DRP)
Disaster recovery plan (DRP) adalah sebuah proses atau kemampuan dari
organisasi untuk menanggapi bencana atau gangguan dalam pelayanan melalui
implementasi rencana pemulihan bencana untuk menstabilkan dan memulihkan fungsi
kritis organisasi. Rencana ini dibuat untuk membantu proses bisnis dari perusahaan
serta mengurangi dampak bila terjadi bencana yang mengakibatkan kerusakan atau
kehilngan data elektronik yang mendukung proses bisnis perusahaan.
Disaster recovery plan terdiri atas tiga perencanaan yaitu perencanaan
proteksi, perencanaan pengatasan bencana, perencanaan pemulihan. Perencanaan
proteksi adalah perencanaan yang dibuat untuk mencegah terjadinya bencana.
Perencanaan pengatasan bencana adalah perencanaan yang dibuat untuk
mengurangi dampak dari bencana terhadap perusahaan. Perencanaan pemulihan
adalah perencanaan yang dibuat untuk membantu perusahaan dalam melakukan
pemulihan agar proses dapat berjalan kembali.
Tujuan audit pada fungsi DRP adalah untuk memverifikasi bahwa rencana
pemulihan bencana perusahaan cukup untuk memenuhi kebutuhan perusahaan dan
bahwa implementasinya dapat dilakukan serta praktis. Prosedur auditnya, yakni
memverifikasi bahwa DRP pihak manajemen adalah solusi yang realistis untuk
menangani suatu bencana yang dapat meniadakan sumber daya komputer
perusahaan. Berbagai pengujian dilakukan, seperti pengecekan atau observasi terkait
keberadaan tim penanganan bencana, daftar aplikasi-aplikasi penting perusahaan, dan
back-upsoftware, serta data master.
Spesifikasi Disaster recovery plan itu sendiri, terdiri dari tiga aktivitas dasar, yakni :
1. Mengikdentifikasi aplikasi penting
Pada komponen ini, perusahaan atau organisasi harus menentukan daftar
aplikasi penting yang menunjang operasional perusahaan. Dalam hal ini
auditor harus juga mengkaji daftar aplikasi penting untuk memastikan bahwa
daftar tersebut lengkap.
2. Membangun tim penanganan bencana
Disaster recovery plan (DRP) harus mencantumkan nama, alamat, dan nomor
telepon darurat para anggota tim pemulihan dari bencana. Auditor harus
memverifikasi bahwa para anggota tim adalah karyawan yang masih bekerja
dan menyadari tanggungjawab yang diberikan kepada mereka. Para anggota
tim harusajli pada bidang masing-masing dan memiliki pekerjaan tertentu yang
ditugaskan.

19
 3. Menyediakan situs back-up cadangan
Bahan yang sangat penting di dalam sebuah DRP adalah rencana tersebut
memungkinan adanya fasilitas pemprosesan data duplikat setelah terjadi suatu
bencana. Pilihan yang tersedia yaitu hot site (pusat operasi pemulihan) dan
cold site (ruang kosong), perjanjian silang yang saling menguntungkan,
cadangan yang disediakan secara internal dan lain-lainnya. Seorang auditor
harus mengevaluasi kecukupan pengaturan lokasi cadangan.

Outsourcing Fungsi TI
Dalam iklim persaingan usaha yang semakin ketat, perusahaan berusaha untuk
melakukan efisiensi biaya produksi (cost of production). Salah satu solusinya adalah
dengan sistem outsourcing, dimana dengan sistem ini perusahaan diharapkan dapat
menghemat pengeluaran dalam membiayai sumber daya manusia (SDM) yang
bekerja di perusahaan yang bersangkutan. Outsourcing atau contracting out adalah
pemindahan pekerjaan dari satu perusahaan ke perusahaan lain.
IT outsourcing sendiri tidak berbeda jauh dengan definisi outsourcing secara umum.
IT outsourcing adalah penyediaan tenaga ahli yang profesional dibidang teknologi
informasi untuk mendukung dan memberikan solusi guna meningkatkan kinerja
perusahaan.
Salah satu bidang yang menjadi obyek outsourcing pada berbagai perusahaan
adalah fungsi TI. Bagi perusahaan, fungsi TI merupakan bidang penunjang (support
function) untuk mendukung operasional perusahaan yang lebih efektif dan efisien.
Sebagai support function fungsi IT di-outsource pada perusahaan outsourcing TI,
dengan pertimbangan untuk meningkatkan efisiensi dan agar perusahaan dapat lebih
memfokuskan diri pada bidang usaha yang ditekuninya. Melalui outsourcing,
perusahaan dapat memfokuskan segenap sumberdaya yang dimilikinya untuk
mencapai misi organisasi, sehingga perusahaan mampu memberikan layanan terbaik
pada konsumen.
Selain itu, dengan outsourcing, perusahaan juga dapat meningkatkan efisiensinya
karena dikerjakan oleh pemberi jasa yang mempunyai spesialisasi pada bidangnya
dan perusahaan dapat mengurangi biaya langsung dan biaya overhead pada bidang
yang di-outsource.
Terdapat keuntungan-keuntungan yang dirasakan perusahaan apabila melakukan IT
outsourcing, antara lain:

20
 a. Perusahaan dapat fokus pada core business-nya dengan tetap menikmati
nilai-nilai positif dari sistem dan teknologi informasi.

b. Teknologi yang maju. IT outsourcing memberikan akses kepada

organisasi klien berupa kemajuan teknologi dan pengalaman personil.

c. Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber

daya TI

d. Mengurangi biaya dari pengadaan fungsi TI di perusahaan

e. Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan

dikerjakan sendiri secara internal, karena outsourcer memang spesialisasi
dan ahli di bidang tersebut.

1. Risks Inherent to IT Outsourcing

Walau demikian penerapan strategi outsourcing fungsi TI bukan berarti tanpa
kendala. Ada resiko-resiko yang mungkin terjadi bila perusahaan meng-outsource
fungsi TI-nya, antara lain:
a. Performa dari sumber daya IT dapat gagal karena itu semua bergantung pada
vendor atau penyedia layanan
b. Dapat terjadi ketidakseimbangan biaya dengan manfaat yang dirasakan
c. Resiko terhadap keamanan data perusahaan, dimana IT outsource sangat
berhubungan dengan data perusahaan
d. Rentan dapat ditiru oleh pesaing lain bila aplikasi yang dioutsourcingkan
adalah aplikasi strategik
e. Kegagalan dalam keselarasan strategi antara perencanaan TI dengan
perencanaan bisnis perusahaan secara keseluruhan
f. Adanya kecenderungan outsourcer untuk merahasiakan sistem yang
digunakan dalam membangun sistem informasi bagi pelanggannya agar
jasanya tetap digunakan.
2. Audit Implications of IT Outsourcing
Dalam situasi dimana perusahaan melakukan outsourcing terhadap sumber daya TI
yang dimiliki, auditor harus mampu melakukan audit, dimana tujuan audit dan
metodologinya tetap sama, outsourcing tidak memperkenalkan unsur-unsur baru
tertentu yang perlu dipertimbangkan. Area-area yang berhubungan dengan audit
pada IT oursourcing, seperti: software development, application support and

21
maintenance, infrastructure management services. Tujuan dari audit ini sendiri,
antara lain:
a. Menilai resiko yang terkait dengan outsourcing, seperti ketersediaan
kelanjutan dari jasa, tingkat layanan dan keamanan informasi
b. Menelaah apakah tujuan dari outsourcing tercapai
c. Menilai strategi TI apakah telah dimodifikasi sehingga sesuai dengan rencana
IToutsourcing

Seorang auditor dapat membuat checklist mengenai hal-hal penting selama

mengaudit IT out sourcing, seperti:
a) Contract

Kebanyakan pengaturan outsourcing diberlakukan setelah proses rinci

evaluasi, due diligence dan negosiasi, dengan pertukaran komunikasi antara
perusahaan dan penyedia layanan selama periode waktu. Penting bagi kedua belah
pihak untuk memiliki dokumen kontrak yang memiliki kekuatan hukum dan merinci
harapan yang disepakati mengenai berbagai aspek pengaturan. Untuk auditor, titik
awal yang baik dalam mengaudit adalah dari kontrak outsourcing. Auditor harus
membuat pengawasan menyeluruh terhadap kontrak, seperti yang akan dilakukan
untuk setiap kontrak komersial besar, dan mengevaluasi semua risiko seperti yang
dilakukan dalam pemeriksaan kontrak.
b) Statement of work

Informasi penting berikutnya dari sebuah kontrak adalah statement of work atau
laporan kerja yang berisi daftar pekerjaan yang harus dilakukan oleh penyedia
layanan. Auditor harus memeriksa apakah proyek pekerjaan benar-benar dilakukan
oleh penyedia layanan dan sama dengan yang disebutkan dalam kontrak.
c) Data security

Berbagai tingkat akses ke aplikasi dan sistem harus diberikan kepada personil
penyedia layanan untuk memungkinkan mereka melaksanakan pekerjaan. Prosedur
yang tepat harus ditentukan untuk menentukan bagaimana akses tersebut diberikan
dan dipelihara. Keamanan berkaitan dengan menjaga kerahasiaan, integritas dan
ketersediaan informasi. Auditor harus memeriksa apakah kebijakan keamanan dan
proses dari penyedia layanan sinkron dengan orang-orang dari perusahaan. Auditor
harus memeriksa apakah mekanisme telah ditetapkan untuk pemantauan keamanan
dan proses yang terkait. Dalam beberapa kasus, tergantung pada sifat dari pekerjaan

22
outsourcing, personil dari penyedia layanan bahkan mungkin diberi akses superuser
ke beberapa sistem.
d) Impact on IT strategy

IT outsourcing sering dilakukan dalam skala yang cukup besar. Outsourcing

perlu dimasukkan ke dalam bisnis dan strategi TI perusahaan. Dalam proses
outsourcing, perusahaan tidak boleh melupakan kenyataan bahwa TI berdampak
pada bisnis secara signifikan dan bermanfaat bagi perusahaan. Auditor harus
melakukan cek dari keseluruhan skenario TI perusahaan setelah outsourcing

23
 KESIMPULAN

Tata kelola Teknologi Informasi (TI) merupakan subset yang relatif baru dari
tata kelola perusahaan yang berfokus pada pengelolaan dan penilaian sumber daya TI
strategis. Tujuan utama tata kelola TI adalah mengurangi risiko dan memastikan
bahwa investasi sumber daya TI memberi nilai tambah bagi korporasi. Sebelum
Undang-Undang Sarbanes-Oxley (SOX), praktik umum mengenai investasi TI adalah
untuk menunda semua keputusan terhadap profesional TI perusahaan. Kontrol Tata
Kelola TI Meskipun semua masalah tata kelola TI penting bagi organisasi, tidak
semuanya merupakan masalah pengendalian internal di bawah SOX yang berpotensi
mempengaruhi proses pelaporan keuangan.

24
 REFERENSI
.

Hall, James A. Information Techology Auditing. 3e. South-Western Cengange

Learning, USA.

25