AUDITING IT GOVERNANCE CONTROL

Tugas Mata Kuliah

AUDITING EDP

Oleh:
Putri Agustin 150810301012
Shita Silvia S 150810301027
Septiyan Dwi Rahayu 150810301029
Rafi Deviana 150810301045

Program Studi S1 Akuntansi

Fakultas Ekonomi dan Bisnis
Universitas Jember
2017
 BAB I

PENDAHULUAN

A. Penjelasan Judul

Dalam tugas RTM 1 ini topik yang dibahas yaitu Auditing IT Governance Controls
seperti yang sudah dipelajari dalam mata kuliah Auditing I. Menurut Ron Weber
auditing EDP adalah” proses mengumpulkan dan menilai bukti untuk menentukan
apakah sistem komputer mampu mengamankan harta, memelihara kebenaran data
maupun mencapai tujuan organisasi perusahaan secara efektif dan menggunakan
harta perusahaan secara hemat”. Jadi Auditing EDP proses audit menggunakan
komputer untuk lebih mudah dalam mengamankan aset organisasi secara efektif dan
efisien.

Tidak dapat dipungkiri semakin berkembangnya jaman seperti saat ini IT merupakan
bagian penting dalam sebuah perusahaan. Ilmu dan teknologi berkembang sangat
pesat membuat risiko dan tantangan semakin tinggi pula. Untuk mencapai tujuan
perusahaan diperlukan sebuah strategi yang disusun oleh manajemen puncak
perusahaan tetapi penggunaan IT juga dapat menimbulkan fraud sehingga perlu
adanya pemanfaatan teknologi informasi secara efektif dan efisien sehingga IT
governance penting untuk dipelajari. IT governance adalah sebuah sistem untuk
mengendalikan dan mengarahkan sehingga perusahaan bisa mencapai tujuan dengan
menyesuaikan teknologi dan proses bisnis perusahaan.

B. Latar Belakang

Dalam topik Auditing It Governance Controls menurut kami menarik untuk dipelajari
karena dengan adanya tuntutan jaman semakin penting untuk mempelajari IT berbasis
komputer begitu juga dengan teknik mengaudit suatu organisasi penggunaan komputer
sangat penting dilakukan karena efektif dan lebih efeisien dalam mengaudit data yang
jumlahnya banyak. Dengan mempelajari Auditing It Governance Controls kita dapat
memahami :

1. Risiko fungsi yang tidak sesuai dan bagaimana menyusun fungsi IT.
2. Mengenal kontrol dan tindakan pencegahan yang diperlukan untuk memastikan
keamanan fasilitas komputer organisasi.
3. Mengenal keuntungan, risiko, dan audit yang terkait dengan IT outsourcing

1
Sehingga diharapkan dengan mempelajari bab ini kita dapat lebih memahami dan
mengerti mengenai risiko, dan pengendalian dengan menggunakan teknologi informasi

2
 BAB II
PEMBAHASAN

A. Information Technology Governance

Information Technology Governance merupakan hal baru dalam tata pengelolaan

perusahaan yang mempunyai fokus dalam pengelolan dan penilaian sumber daya
teknologi informasi IT.

Tujuan utama dari tata kelola IT yaitu untuk :

 Mengurangi risiko.
 Memastikan bahwa penerapan sumber daya TI akan menambah nilai bagi
perusahaan.

Sebelum Sarbanes-Oxley (SOX) act, praktik umum mengenai penerapan IT adalah

untuk menunda semua keputusan terhadap profesional IT di perusahaan. Tata kelola
IT dengan modern, bagaimanapun akan mengikuti filosofi bahwa semua pemangku
kepentingan perusahaan, termasuk dewan direksi, manajemen puncak, dan pengguna
departemen (yaitu, keuangan akuntansi menjadi tokoh aktif dalam pengambilan
keputusan. Keterlibatan berbasis luas tersebut mengurangi risiko dan meningkatkan
kemungkinan bahwa Keputusan IT akan sesuai dengan kebutuhan pengguna,
kebijakan perusahaan, strategi perusahaan , dan persyaratan pengendalian internal di
bawah SOX.

a. IT Governance Control
Semua masalah tata kelola TI penting bagi organisasi, tidak semuanya merupakan
masalah pengendalian internal di bawah SOX yang berpotensi mempengaruhi
proses pelaporan keuangan. Sehingga berdasarkan dari SOX dan COSO terdapat
3 isu tata kelola IT :
 Organizational structure of the IT function ( struktur organisasi fungsi TI)
 Computer center operations (Operasi di pusat computer)
 Disaster recovery planning (Perencanaan pemulihan bencana)

Diskusi ini dimulai dengan penjelasan tentang sifat risiko dan deskripsi kontrol yang
diperlukan untuk mengurangi risiko. Kemudian, tujuan audit dikemukakan , yang
menetapkan apa yang harus diverifikasi mengenai fungsi pengendalian. contoh, tes
pengendalian ditawarkan yang menjelaskan bahwa bagaimana auditor dapat

3
 mengumpulkan bukti untuk memenuhi tujuan audit. Tes ini dapat dilakukan oleh
auditor eksternal sebagai bagian dari layanan pengabdian mereka atau oleh
auditor internal yang memberikan bukti kepatuhan manajemen terhadap SOX

B. Structure of The Information Technology Function

Organisasi fungsi IT mengimplikasikan untuk sifat dan efektivitas pengendalian
internal, yang pada gilirannya memiliki implikasi untuk audit.
a. Centralized Data Processing
Dibawah model pemrosesan data terpusat atau centralized data processing,
semua pemrosesan data dilakukan oleh rumah komputer besar atau raksasa di
lokasi pusat yang berfungsi digunakan di seluruh organisasi.
(Figure 2.2 organizational centralized IT function )

 Database administator: Central Location, Shared. DBA dan kelompoknya

bertanggungjawab pada keamanan dan integritas data base.
 Pemrosesan data pengelola System development IT terdiri dari:

1. Konversi data: dari hard copy ke soft copy (inputable to computer)

2. Operasi komputer: memproses hasil konversi melalui suatu aplikasi
3. Perpustakaan data : Storage offline data-> real time data Procesing dan
akses langsung mengurangi peran Data library
4. System Development and Maintenance: menganalisis kebutuhan,
partisipasi dalam desain sistem baru (profesional, pengguna terakhir dan
Stakeholder). Menjaga sistem beroperasi sesuai kebutuhan, 80-90% biaya

4
 dalam teknologi informasi biasanya ada pada perawatan (tidak hanya soal
merawat / membersihkan HW namun lebih kepada tambal sulam SI).

Masalah pengendalian yang harus diperhatikan dalam proses data

tersentralisasi adalah pengamanan Database. Karena jika aksesnya lemah
maka seluruh informasi dapat memiliki resiko.

b. Segregation of Incompatible IT Functions

Tugas operasional harus dipisahkan menjadi:

1. memisahkan otorisasi transaksi dari proses transaksi,

2. pencatatan terpisah dari penitipan aset
3. Bagi tugas pemrosesan transaksi di antara individu-individu yang
kekurangan kolusi antara dua atau lebih kecurangan individu tidak akan
mungkin dilakukan.

Pemisahan antara suatu fungsi tertentu demi menjaga IC yang baik:

 System Developmen dipisahkan dengan Operasional

 Data Base Administrator dipisahkan dari unit lain
 Sys Dev pisahkandenganMaintanance (merupakansuperior structure) karena
adanya resiko:

1. Inadequate Documentation: Programmer lebih suka mengembangkan system

baru dari pada mendokumentasikan kinerja sistem lama, juga soal job security
perlu diperhatikan karena dapat menyusun program yang tidak sempurna
supaya dapat bekerja dengan terus.

5
 2. Program Fraud: unauthorized change karena programmer f aham seluk beluk
operasi normal.
c. The Distributed Model

Alternatif model terpusat adalah konsep distributed data processing (DDP). Topik DDP cukup
luas, menyentuh topik terkait seperti komputasi pengguna akhir, perangkat lunak komersial,
jaringan, dan otomasi kantor. Secara sederhana, DDP melibatkan reorganisasi fungsi TI pusat
menjadi unit TI kecil yang berada di bawah kendali pengguna akhir. Unit TI dapat
didistribusikan sesuai dengan fungsi bisnis, lokasi geografis, atau keduanya.

 Risk Associated with DDP

Masalah yang potensial meliputi ketidakefisienan sumber daya, peniadaan/penghilangan jejak

audit, pemisahan tugas yang tidak memadai, potensi peningkatan kesalahan pemrograman dan
kegagalan sistem dan kurangnya standar.

 Inefficient Use of Resources. DDP dapat mengekspos dan mengorganisir tiga jenis
risiko yang terkait dengan penggunaan sumber daya organisasi yang tidak efisien.
 Destruction of Audits Trails. Jejak audit memberikan keterkaitan antara aktivitas
keuangan (transaksi) perusahaan sebuah laporan keuangan yang melaporkan kegiatan
tersebut. Dalam sistem DDP, jejak audit terdiri dari satu set file transaksi digital yang
merupakan file induk yang berada sebagian atau seluruhnya pada komputer pengguna
akhir jika pengguna akhir secara tidak sengaja menghapus file tersebut, Uji coba audit
bisa dihancurkan dan tidak terpulihkan.
 Inadequate Segregation of Duties. Distribusi layanan TI kepada pengguna dapat
menghasilkan penciptaan unit independen kecil yang tidak mengizinkan pemisahan
fungsi yang tidak sesuai yang diinginkan.
 Hiring Qualified Professionals. Jika unit organisasi tempat karyawan baru masuk adalah
kecil, peluang untuk pertumbuhan pribadi, pendidikan lanjutan, dan promosi mungkin
terbatas.
 Lack of Standards. Penentang DDP berpendapat bahwa risiko yang terkait dengan
perancangan dan pengoperasian sistem DDP dapat dilakukan hanya jika standar tersebut
diterapkan secara konsisten.
 Advantages of DDP
1. Cost Reduction.
2. Improved Cost Control Responsibility.
3. Improved User Satisfaction.

6
 4. Backup Flexibility.
d. Controlling the DDP Environment
Banyak inisiatif DDP terbukti tidak efektif, dan bahkan kontraproduktif, karena keputusan
membuat sistem nilai-nilai ini menjadi lebih simbolis daripada nyata. Controlling the DDP
Environment
 Implement a Corporate IT Function
Model yang sepenuhnya terpusat dan model terdistribusi mewakili posisi ekstrim pada
rangkaian alternatif struktural. Seringkali, masalah kontrol yang telah dijelaskan
sebelumnya dapat diatasi dengan menerapkan fungsi IT perusahaan.
Central Testing of Commercial Software and Hardware. Kelompok sentral yang secara
teknis cerdik seperti ini dapat mengevaluasi fitur, kontrol, dan kompatibilitas sistem dengan
standar industri dan organisasi. Hasil uji kemudian dapat didistribusikan ke area pengguna
sebagai standar untuk membimbing keputusan akuisisi.
Use Service. Fitur berharga dari grup perusahaan adalah fungsi layanan penggunanya.
Hal ini meningkatkan tingkat kesadaran pengguna dan mendorong berlanjutnya pendidikan
tenaga teknis.
Standard-Setting Body. Perusahaan dapat berkontribusi pada tujuan ini dengan
menetapkan dan mendistribusikan ke area pengguna sesuai standar untuk pengembangan,
pemrograman, dan dokumentasi sistem.
Personel Review. Meskipun profesional sistem sebenarnya akan menjadi bagian dari
kelompok pengguna akhir, keterlibatan kelompok perusahaan dalam keputusan kerja dapat
memberikan layanan yang berharga bagi organisasi.

Audit Procedures

Prosedur audit berikut akan berlaku untuk sebuah organisasi dengan fungsi TI terpusat:

 Meninjau dokumentasi yang relevan, termasuk bagan organisasi saat ini, pernyataan misi,
dan uraian tugas untuk fungsi utama, untuk menentukan apakah individu atau kelompok
melakukan fungsi yang tidak sesuai.
 Review dokumentasi dan catatan pemeliharaan sistem untuk contoh aplikasi. Verifikasi
bahwa pemrogram pemeliharaan yang ditugaskan ke proyek tertentu juga bukan pemrogram
desain asli.
 Pastikan operator komputer tidak memiliki akses ke rincian operasional logika internal
sistem. Dokumentasi sistem, seperti diagram alir sistem, diagram alur logika, dan daftar
kode program, tidak boleh menjadi bagian dari dokumentasi operasi.

7
 Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti dalam praktik.
Tinjau log akses ruang operasi untuk menentukan apakah pemrogram memasukkan fasilitas
tersebut dengan alasan selain kegagalan sistem.

Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi:

 Tinjau bagan organisasi saat ini, pernyataan misi, dan uraian tugas untuk fungsi utama
untuk menentukan apakah individu atau kelompok melakukan tugas yang tidak sesuai.
 Verifikasi bahwa kebijakan dan standar perusahaan untuk sistem yang dirancang,
disain, dokumentasi, dan akuisisi perangkat keras dan perangkat lunak dipublikasikan
dan diserahkan ke unit TI terdistribusi.
 Pastikan kontrol kompensasi, seperti pemantauan pengawasan dan manajemen,
dipekerjakan bila pemisahan tugas yang tidak kompatibel secara ekonomi tidak layak
dilakukan.

Mengkaji ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur, dan
database dirancang dan berfungsi sesuai dengan standar perusahaan.
C. The Computer Center

Secara rutin akuntan akan melakukan pemeriksaan rutin dalam lingkungan fisik pusat
komputer sebagai salah satu bagian dari audit tahunan yang dilakukan oleh auditor.
Tujuan dari kegiatan ini yaitu untuk menyiapkan kontrol yang baik guna menciptakan
kondisi yang aman dan menyajikan risiko apa saja yang dapat disebabkan oleh
lingkungan komputer yang kurang baik. Berikut ini area yang dapat mempengaruhi
kualitas yang dihasilkan oleh pusat komputer:

a. Physical Location :Lokasi fisik pusat komputer harus diatur agar tidak terjadi
kerusakan yang diakibatkan oleh bencana alam ataupun kesalahan yang
dilakukan oleh manusia. Contoh: Perusahaan diusahakan mencari atau memilih
lokasi tempat yang tepat untuk menghindari terjadi bencana alam seperti gempa
bumi atau banjir.
b. Construction :Secara ideal kondisi bangunan tempat dimana komputer atau pusat
data harus dalam konstruksi yang baik dan disertai dengan akses yang terkontrol.
Selain itu saluran listrik harus berada dibawah tanah dan saluran filtrasi harus
mampu menstrerilkan ruangan dari debu agar tidak terjadi gangguan pada server.
c. Access :Keamanan pada pusat komputer harus diperketat. Seperti pembatasan
oleh operator dan karyawan yang bertugas yang dapat mengakses. Selain itu juga
harus ada kontrol fisik seperi pintu dikunci atau menggunakan kartu pada saat

8
 pekerja masuk ruangan agar tidak semua orang bisa masuk kedalam ruangan
komputer untuk menjaga keamanan pada penyimpanan data. Dan pada pintu
darurat juga diperhatikan, serta ruangan dipasang kamera perekam (CCTV) agar
pada setiap kegiatan dapat diketahui.
d. Air Conditioning (kondisi Udara) :Dikarenakan komputer bekerja paling baik pada
kondisi ruangan ber-AC, maka Suhu pada ruangan sharus diperhatikan agar
sesuai dengan kebutuhan komputer karena bisa terjadi error atau pemrosesan
yang lamban akibat suhu yang tidak tepat. Selain itu suhu yang tepat juga menjaga
dokumen-dokumen seperti dokumen sumber tetap terjaga dengan baik.
e. Fire Suppression (pemadam kebakaran) :Api merupakan ancaman yang sangat
serius, apabila perusahaan mengalami kebakaran pada pusat komputer maka
perusahaan akan kehilangan banyak data seperti catatan piutang. Oleh karena itu
pencegahan kebakaran harus terstruktur dengan baik. Contoh: Alarm otomatis dan
manual harus ditempatkan di lokasi-lokasi strategis di sekitar terminal, alarm ini
harus dihubungkan ke stasiun pemadam kebakaran permanen. Perusahaan harus
bisa memilih penempatan yang tepat untuk meletakkan alat tabung kebakaran atau
alarm kebakaran dan melakukan pelatihan jika terjadi musibah kebakaran maka
pekerja tidak panik.
f. Fault Tolerance :Fault tolerance adalah kemampuan sistem untuk melanjutkan
operasinya ketika sebagian dari sistem tersebut gagal karena adanya kegagalan
peranti keras, kesalahan dalam program aplikasi, atau kesalahan operator. Cara di
mana sistem operasi merespon keras atas kegagalan perangkat lunak. Istilah ini
pada dasarnya mengacu pada kemampuan sistem untuk memungkinkan
kegagalan atau kerusakan, dan kemampuan ini dapat disediakan oleh perangkat
lunak, perangkat keras atau kombinasi keduanya. Untuk menangani kesalahan ini,
beberapa sistem komputer diharapkan memiliki dua atau lebih sistem data duplikat
g. Audit Objectives :Audit Objective dari IT governance khususnya data center adalah
untuk memastikan bahwa kontrol-kontrol yang ada terhadap data center tersedia
keberadaanya dan berfungsi serta dimaintain dengan baik
h. Audit Procedures :Rincian untuk memperoleh bukti audit yang cukup tepat dengan
melakukan pengecekan ulang atau observasi, apakah sudah sesuai dengan
prosedur sistem audit. Contohnya dengan melakukan pengecekan pada area-area
terkait, sebagai berikut: Test of Physical Construction, Test of the Fire Detection
System, Test of Access Control, Test of Raid, Test of Uninterruptible Power Supply,
dan Test for Insurance Coverage.

9
D. Disaster Recovery Planning
Suatu bencana dapat menjadikan suatu perusahaan kehilangan sumber datanya.
Disaster recovery plan terdiri atas empat perencanaan yaitu perencanaan proteksi,
perencanaan pengatasan bencana, perencanaan pemulihan, dan menentukan
prosedur penyimpanan backup dan off-site. Perencanaan proteksi adalah
perencanaan yang dibuat untuk mencegah terjadinya bencana. Perencanaan
pengatasan bencana adalah perencanaan yang dibuat untuk mengurangi dampak
dari bencana terhadap perusahaan. Perencanaan pemulihan adalah perencanaan
yang dibuat untuk membantu perusahaan dalam melakukan pemulihan agar
proses bisnis dapat berjalan kembali. Spesifikasi dari disaster rocovery plan itu
sendiri, terdiri dari empat aktivitas dasar, yakni:
a. Mengidektifikasi aplikasi penting : Usaha pemulihan harus terkonsentrasi pada
fitur yang sangat penting agar perusahaan dapat bertahan dalam waktu
pendek. Pada komponen ini, perusahaan atau organisasi harus menentukan
daftar aplikasi penting yang menunjang operasional perusahaan. Dalam hal ini
auditor harus juga mengkaji daftar aplikasi penting untuk memastikan bahwa
daftar tersebut lengkap. Aplikasi yang terlewat dapat mengakibatkan kegagalan
pemulihan. Akan tetapi, hal yang sama juga berlaku untuk pemulihan aplikasi
yang tidak penting. Memasukkan suatu aplikasi ke dalam daftar aplikasi penting
padahal tidak terlalu dibutuhkan untuk mencapai tujuan bertahan hidup jangka
pendek dapat memecah perhatian dari tujuan yang utama selama masa
pemulihan.
b. Membangun tim penanganan bencana : Pemulihan dari hambatan bergantung
pada tindakan korektif yang tepat waktu. Penundaan dalam melakukan tugas
penting memperpanjang masa pemulihan dan mengurangi prospek pemulihan
yang berhasil. Untuk menghindari kelalaian atau duplikasi usaha yang serius
selama pelaksanaan rencana kontinjensi, tanggung jawab tugas harus
didefinisikan secara jelas dan dikomunikasikan kepada personil yang terlibat
c. Menyediakan situs back-up cadangan : Bahan yang diperlukan dalam DRP
adalah menyediakan fasilitas pengolahan data duplikat setelah terjadi kendala.
Di antara pilihan yang tersedia, yang paling umum adalah pakta bantuan
bersama; situs kosong atau dingin; pusat operasi pemulihan atau situs yang
panas; dan cadangan yang disediakan secara internal. Masing-masing dibahas
pada bagian berikut:

10
 I. Pakta Reksa Dana. Pakta bantuan bersama adalah kesepakatan antara
dua atau lebih organisasi (dengan fasilitas komputer yang kompatibel) untuk
saling membantu dengan kebutuhan pengolahan data mereka jika terjadi
kendala. Dalam acara seperti itu, perusahaan induk harus mengganggu
jadwal pemrosesannya untuk memproses transaksi kritis perusahaan yang
dilanda dasater. Akibatnya, perusahaan induk itu sendiri harus masuk ke
mode operasi darurat dan mengurangi pemrosesan aplikasi dengan
prioritas lebih rendah untuk mengakomodasi kenaikan permintaan TI yang
mendadak.
II. Shell Kosong. Rencana lokasi shell kosong atau cold site adalah
pengaturan dimana perusahaan membeli atau menyewa bangunan yang
akan berfungsi sebagai pusat data. Jika terjadi kendala, cangkangnya
tersedia dan siap menerima perangkat keras apa pun yang dibutuhkan
pengguna sementara untuk menjalankan sistem penting. Pendekatan ini,
bagaimanapun, memiliki kelemahan mendasar. Pemulihan tergantung pada
ketersediaan perangkat keras komputer yang diperlukan untuk
mengembalikan fungsi pemrosesan data. Manajemen harus mendapatkan
jaminan melalui kontrak dengan vendor perangkat keras yang, jika terjadi
kendala, vendor akan memberi prioritas pada kebutuhan perusahaan.
Masalah pasokan perangkat keras yang tak terduga pada titik kritis ini bisa
menjadi pukulan fatal.
III. Pusat Operasi Pemulihan. Pusat operasi pemulihan (ROC) atau situs yang
panas adalah pusat data cadangan sepenuhnya yang dimiliki banyak
perusahaan. Selain fasilitas perangkat keras dan cadangan, penyedia
layanan ROC menawarkan berbagai layanan teknis untuk layanan mereka.
IV. Interally Provided Backup. Organisasi yang lebih besar dengan banyak
pusat pemrosesan data sering memilih kemandirian yang menciptakan
kapasitas kelebihan internal. Ini memungkinkan perusahaan
mengembangkan konfigurasi perangkat keras dan perangkat lunak standar,
yang memastikan kompatibilitas fungsional di antara pusat pemrosesan
data mereka dan meminimalkan masalah cutover dalam kejadian bencana.
V. Operating System Backup. Jika perusahaan menggunakan a cold sites atau
metode backup situs lainnya yang tidak termasuk sistem operasi yang
kompatibel (O / S), prosedur untuk mendapatkan versi sistem operasi saat
ini harus ditentukan secara jelas.

11
 VI. Aplication Backup. DRP harus mencakup prosedur untuk membuat salinan
dari aplikasi kritis versi terkini. Dalam kasus perangkat lunak komersial, ini
melibatkan pembelian salinan cadangan dari upgrade perangkat lunak
terbaru yang digunakan oleh organisasi
VII. Backup Data File. Database harus disalin setiap hari ke media berkapasitas
tinggi dan berkecepatan tinggi, seperti tape atau CD / DVD dan diamankan
di luar lokasi. Jika terjadi gangguan, rekonstruksi database dicapai dengan
memperbarui versi cadangan terbaru dengan data transaksi berikutnya.
VIII. Backup documentation. Dokumentasi sistem untuk aplikasi kritis harus
dicadangkan dan disimpan di luar lokasi beserta aplikasi. Backup
dokumentasi mungkin, bagaimanapun, dengan disederhanakan dan dibuat
lebih efisien melalui penggunaan alat dokumentasi Computer Aided
Software Engineering (CASE).
IX. Backup Supplies and Source Documents. Organisasi harus membuat
persediaan cadangan persediaan dan dokumen sumber yang digunakan
dalam memproses transaksi penting. Contoh persediaan kritis adalah cek
saham, faktur, pesanan pembelian, dan bentuk tujuan khusus lainnya yang
tidak dapat diperoleh dengan segera.
X. Testing DRP. Tes DRP penting dan harus dilakukan secara berkala.
Pengujian mengukur kesiapan personil dan mengidentifikasi kelalaian atau
kemacetan dalam rencana.
Kemajuan rencana harus dicatat pada poin-poin kunci selama periode
pengujian. Pada akhir pengujian, hasilnya kemudian dapat dianalisis dan
laporan kinerja DRP disiapkan..
d. Audit Objective
Auditor harus memverifikasi bahwa rencana pemulihan bencana manajemen
memadai dan layak untuk menghadapi malapetaka yang dapat menghilangkan
oganisasi sumber daya komputasinya.
e. Prosedur audit
Dalam memverifikasi bahwa DRP magement adalah solusi yang realistis untuk
menghadapi malapetaka, tes berikut dapat dilakukan.
I. Site Backup. Auditor harus mengevaluasi kecukupan pengaturan situs
cadangan. Auditor harus skeptis terhadap pengaturan semacam itu karena
dua alasan. Pertama, kecanggihan sistem komputer bisa menyulitkan
mencari partner potensial dengan konfigurasi yang kompatibel. Kedua, yang

12
 paling teguh tidak memiliki kelebihan kapasitas yang diperlukan untuk
mendukung mitra yang malang dan saat memproses pekerjaan mereka
sendiri.
II. Critical Aplication List. Auditor harus meninjau daftar critical application
untuk memastikannya selesai. Aplikasi yang hilang bisa mengakibatkan
kegagalan untuk pulih.
III. Software Backup. Auditor memastikan bahwa salinan aplikasi penting dan
sistem operasi disimpan di luar lokasi. Auditor juga harus memverifikasi
bahwa aplikasi yang disimpan di luar lokasi sekarang dengan
membandingkan nomor versi mereka dengan aplikasi aktual yang
digunakan.
IV. Data Backup. Auditor harus memverifikasi bahwa file data penting
dicadangkan sesuai dengan DRP.
V. Backup Supplies , Documen, and Documentation. Dokumentasi sistem,
persediaan, dan dokumen sumber yang dibutuhkan memproses transaksi
penting harus dicadangkan dan disimpan di luar lokasi. Auditor harus
memverifikasi bahwa jenis dan jumlah barang yang ditentukan dalam DRP
seperti stock cek, faktur, pesanan pembelian, dan bentuk tujuan khusus ada
di lokasi yang aman.
VI. Disaster Recovery System. DRP harus secara jelas mencantumkan nama,
alamat, dan nomor telepon darurat anggota tim pemulihan bencana. Auditor
harus memverifikasi bahwa anggota tim adalah karyawan saat ini dan
menyadari tanggung jawab mereka yang ditugaskan.
E. Outsourcing The IT Function

Biaya, risiko, dan tanggung jawab yang terkait dengan pemeliharaan fungsi korporat
perusahaan yang efektif sangat penting. Oleh karena itu, banyak eksekutif memilih
untuk mengalihkan fungsi TI mereka ke vendor pihak ketiga yang mengambil alih
tanggung jawab untuk memilih melakukan outsourcing untuk pengelolaan aset dan staf
TI dan untuk pengiriman layanan TI, seperti entri data, operasi data center,
pengembangan aplikasi, aplikasi pemeliharaan, dan manajemen jaringan.

Commodity IT Assets Tidak unik untuk organisasi tertentu dan mudah didapat
di pasar. Ini mencakup hal-hal seperti manajemen jaringan, operasi sistem,
pemeliharaan server, dan fungsi help desk. Aset TI spesifik, sebaliknya, unik bagi

13
organisasi dan mendukung tujuan strategisnya. Karena sifatnya yang istimewa, aset
spesifik memiliki sedikit nilai di luar penggunaan mereka saat ini.

Transaction Cost Economics (TCE). Teori bertentangan dengan sekolah

kompetensi inti dengan menyarankan bahwa perusahaan harus mempertahankan aset
TI non-inti spesifik tertentu di rumah. Karena sifat esoteris mereka, aset spesifik tidak
dapat dengan mudah diganti begitu mereka menyerah dalam pengaturan outscourcing.

a. Risks Inherent to IT Outsourcing

Failure To Perfom

Begitu perusahaan klien telah mengalihkan aset TI spesifiknya, kinerjanya menjadi

terkait dengan kinerja vendor.

Vendor Exploitation

Pengalihan TI berskala besar melibatkan pemindahan ke vendor "aset khusus", seperti

perancangan, pengembangan, dan pemeliharaan aplikasi bisnis unik yang penting bagi
kelangsungan hidup sebuah organisasi. Aset khusus, yang bernilai bagi klien, tidak
banyak berpengaruh pada vendor di luar kontrak langsung dengan klien.

Outsourcing Costs Exceed Benefits

IT outsourcing telah dikritik karena biaya tak terduga muncul dan tingkat keuntungan
yang diharapkan tidak terealisasi.

Reduced Security

Informasi yang diserahkan ke vendor TI di luar negeri menimbulkan pertanyaan unik

dan serius mengenai pengendalian internal dan perlindungan data pribadi yang sensitif

Loss Of Strategic Advantage

IT outsourcing dapat mempengaruhi ketidaksesuaian antara perencanaan strategis TI

perusahaan dan fungsi perencanaan bisnisnya. Organisasi yang menggunakan TI
strategis harus menyelaraskan strategi bisnis dan strategi TI atau menjalankan risiko
penurunan kinerja bisnis.

b. Implikasi Audit IT Outsourcing

Manajemen dapat mengalihkan fungsi TI perusahaannya, namun tidak dapat

mengalihkan tanggung jawab pengelolaannya di bawah SOX untuk memastikan

14
pengendalian internal TI yang memadai. PCAOB secara khusus menyatakan dalam
Standar Auditing No. 2, "Penggunaan organisasi layanan tidak mengurangi tanggung
jawab manajemen untuk mempertahankan pengendalian internal yang efektif atas
pelaporan keuangan. Sebaliknya, manajemen pengguna harus mengevaluasi
pengendalian di organisasi layanan, dan juga kontrol terkait di perusahaan pengguna,
saat melakukan penilaian tentang pengendalian internal atas pelaporan keuangan.

Pernyataan Standar Audit No. 70 (SAS 70) adalah standar definitif dimana auditor
organisasi klien dapat memperoleh pengetahuan bahwa kontrol pada vendor pihak
ketiga memadai untuk mencegah atau mendeteksi kesalahan material yang dapat
mempengaruhi laporan keuangan klien.

 Auditor penyedia layanan mengeluarkan dua jenis laporan SAS 70. Laporan
SAS 70 Type I adalah kurang ketatnya keduanya dan hanya berkomentar
mengenai kesesuaian desain kontrol. Laporan SAS 70 Type II berjalan lebih
jauh dan menilai bahwa kontrol beroperasi secara efektif berdasarkan tes yang
dilakukan oleh auditor organisasi vendor. Sebagian besar laporan SAS 70 yang
diterbitkan adalah tipe II. Karena bagian 404 memerlukan pengujian kontrol
secara eksplisit, laporan tipe SAS 70 tidak bernilai sedikit di dunia pasca-SOX.
 menentukan prosedur penyimpanan backup dan off-site
Tujuan audit pada fungsi DRP adalah untuk memverifikasi bahwa rencana
pemulihan bencana perusahaan cukup untuk memenuhi kebutuhan
perusahaan dan bahwa implementasinya dapat dilakukan serta praktis.
Prosedur auditnya, yakni memverifikasi bahwa DRP pihak manajemen adalah
solusi yang realistis untuk menangani suatu bencana yang dapat meniadakan
sumber daya komputer perusahaan.

15
 BAB III
KESIMPULAN

Dalam bab ini dapat kita tarik kesimpulan mengenai pembahasan tata kelola IT. Dalam
bab ini dibahas definisi tentang tata kelola IT dan mengidentifikasi terhadap
pengendalian internal dan pelaporan keuangan, selanjutnya juga disajikan beberapa
eksposure yang disebabkan oleh penataan atau kontrol IT yang kurang baik dalam
sebuah organisasi. Bahasan selanjutnya yaitu merambah terhadap ancaman dan kontrol
pusat komputer, hal ini termasuk bagaimana kita harus melindumginya dari ancaman
tersebut. Ancaman dapat berasal dari alam ataupun ulah manusia. Oleh karena itu,
dalam bab ini dijelaskan bagaimana standart dalam mengelola pusat informasi sehingga
apabila terjadi ancaman yang tidak diinginkan perusahaan tidak akan kehilangan data-
datanya.

DAFTAR PUSTAKA

16