Anda di halaman 1dari 4

Tujuan Audit (Audit Objective)

Auditor harus memverifikasi bahwa rencana pemulihan bencana manajemen memadai dan layak
dilakukan untuk mengatasi bencana yang dapat menghambat pengorganisasian sumber daya
komputasi.
Prosedur Audit (Audit Procedures)
Dalam memverifikasi DRP, manajemen adalah solusi yang realistis untuk menangani bencana,
pengujian berikut dapat dilakukan.
Site Backup. Auditor harus mengevaluasi kecukupan pengaturan situs cadangan.
Ketidakcocokan sistem dan sifat manusia sangat mengurangi efektivitas mutual aid pact. Auditor
harus skeptis dari pengaturan tersebut karena dua alasan. Pertama, kecanggihan sistem komputer
dapat membuat sulit untuk menemukan pasangan potensial dengan konfigurasi yang kompatibel.
Kedua, sebagian besar perusahaan tidak memiliki kelebihan kapasitas yang diperlukan untuk
mendukung pasangan yang terkena bencana sementara mereka juga memproses pekerjaan mereka
sendiri. Pilihan yang lebih layak tapi mahal adalah empty shell dan recovery operation centre. Ini
juga harus diperiksa dengan teliti. Jika organisasi klien menggunakan metode empty shell, maka
auditor perlu memverifikasi keberadaan kontrak yang sah dengan vendor hardware yang menjamin
pengiriman perangkat keras komputer yang dibutuhkan dengan delay minimal setelah bencana. Jika
klien adalah anggota dari ROC, auditor harus peduli tentang jumlah anggota ROC dan dispersi
geografis mereka. Bencana luas dapat menciptakan permintaan yang tidak bisa dipenuhi oleh
fasilitas ROC.
Critical Application List. Auditor meninjau daftar aplikasi kritis.
Kehilangan aplikasi dapat mengakibatkan kegagalan untuk pemulihan. Dengan menyertakan aplikasi
yang tidak diperlukan dalam daftar kritis untuk mencapai kelangsungan hidup jangka pendek, maka
hal ini dapat menjadi kesalahan dalam kelalaian memprioritaskan sumber daya dan mengalihkan
perhatian dari tujuan utama selama periode pemulihan.
Software Backup. Auditor harus memverifikasi bahwa salinan aplikasi dan sistem operasi kritis
disimpan off-site. Auditor juga harus memverifikasi antara aplikasi yang saat ini yang disimpan off-
site dengan membandingkan nomor versi aplikasi dengan orang-orang yang menggunakan aplikasi.
Data backup. Auditor harus memverifikasi bahwa file data penting yang didukung sesuai dengan
DRP.
Back up Supplies, Documents, and Documentation. Dokumentasi sistem, perlengkapan, dan
dokumen sumber yang diperlukan untuk memproses transaksi penting harus didukung dan disimpan
off-site. Auditor harus memverifikasi bahwa jenis dan jumlah barang yang ditentukan dalam DRP
seperti saham, faktur, pesanan pembelian, dan bentuk-bentuk tujuan khusus ada di lokasi yang
aman.
Disaster Recovery Team. DRP harus jelas mencantumkan nama, alamat, dan nomor telepon darurat
dari anggota tim pemulihan bencana. Auditor harus memverifikasi bahwa anggota tim adalah
karyawan saat ini dan menyadari tanggung jawab tugas mereka.

FUNGSI IT OUTSOURCING (Outsourcing The IT Function)


Mempertimbangkan biaya, risiko, dan tanggung jawab terkait dengan mempertahankan fungsi IT
perusahaan yang efektif adalah hal penting. Oleh karena itu banyak eksekutif telah memilih
melakukan outsourcing fungsi IT mereka dengan pihak ketiga untuk mengambil alih tanggung jawab
atas pengelolaan aset dan staf TI dan untuk layanan IT, seperti entri data, operasi data center,
pengembangan aplikasi, maintenance aplikasi, dan manajemen jaringan.
Alasan untuk Outsource IT Support
salah satu alasan utama untuk sebuah perusahaan dari berbagai ukuran beralih kesebuah
perusahaan IT pihak ketiga adalah:
 Meningkatkan kinerja bisnis inti.
 Meningkatkan kinerja IT (karena keahlian vendor); dan
 Mengurangi biaya IT.

Risiko Bawaan untuk OutSourcing IT


Peristiwa IT outsourcing berskala besar merupakan usaha yang berisiko, sebagian karena ukuran
semata dari kesepakatan keuangan ini, tetapi juga karena sifatnya. tingkat risiko terkait dengan
tingkat kekhususan aset fungsi outsource. Bagian berikut menguraikan beberapa masalah
terdokumentasi dengan baik.
1. Kegagalan Implementasi
Begitu perusahaan klien telah mengalihkan aset TI spesifiknya, kinerjanya menjadi terkait
dengan kinerja vendor. Implikasi negatif dari ketergantungan tersebut diilustrasikan dalam
masalah keuangan yang telah melanda vendor sistem data elektronik vendor besar (EDS). Dalam
upaya pemotongan biaya, EDS menghentikan tujuh ribu karyawan, yang berdampak pada
kemampuannya untuk melayani klien lainnya.
2. Vendor Eksploitasi
Pengalihan TI berskala besar melibatkan pemindahan ke vendor "aset khusus", seperti
perancangan, pengembangan, dan pemeliharaan aplikasi bisnis unik yang penting bagi
kelangsungan hidup sebuah organisasi.
3. Biaya outsourcing melebihi manfaat
Satu survei mengungkapkan bahwa 47 persen dari 66 perusahaan yang disurvei melaporkan
bahwa biaya outsourcing TI melebihi keuntungan outsourcing.
4. Keamanan berkurang
Informasi yang diserahkan ke vendor TI di luar negeri menimbulkan pertanyaan unik dan serius
mengenai pengendalian internal dan perlindungan data pribadi yang sensitif.
5. Kehilangan Keuntungan Strategis
IT outsourcing dapat mempengaruhi ketidaksesuaian antara perencanaan strategis TI
perusahaan dan fungsi perencanaan bisnisnya. Organisasi yang menggunakan TI strategis harus
menyelaraskan strategi bisnis dan strategi TI atau menjalankan risiko penurunan kinerja bisnis.

Implikasi Audit terhadap Fungsi Sourcing IT (Audit Implications of Sourcing IT Functions)


Statement on Auditing Standard No. 70 (SAS 70) adalah standar oleh auditor bagi klien untuk
bisa mendapatkan pengetahuan yang mengontrol Vendor pihak ketiga untuk mencegah atau
mendeteksi kesalahan material yang dapat mempengaruhi laporan keuangan klien. Ini adalah sarana
Vendor outsourcing dapat memperoleh laporan audit tunggal yang dapat digunakan oleh auditor
klien dan dengan demikian menghalangi setiap auditor perusahaan klien untuk melakukan audit
pengendalian internal organisasi vendor itu sendiri.

Gambar 2.8 menggambarkan bagaimana sebuah SAS 70 bekerja dalam kaitannya dengan vendor,
klien perusahaan, dan auditor mereka masing-masing. Vendor Outsourcing melayani klien 1, 2, 3,
dan 4 dengan berbagai layanan IT. Pengendalian internal atas jasa outsourcing berada di lokasi
penjual. Mereka diaudit oleh auditor vendor, yang mengungkapkan pendapat dan mengeluarkan
laporan SAS 70 tentang kecukupan kontrol. Setiap perusahaan klien diaudit oleh auditor yang
berbeda A, B, C, dan D, masing-masing, yang sebagai bagian dari audit masing-masing,
mengandalkan SAS 70 laporan vendor dan dengan demikian tidak dipaksa untuk individual menguji
kontrol vendor. Mengingat bahwa vendor mungkin memiliki ratusan atau bahkan ribuan klien,
pengujian individu di bawah SOX akan sangat mengganggu operasi vendor, mahal untuk klien, dan
tidak praktis.
Layanan penyedia auditor menerbitkan dua jenis laporan SAS 70 . Tipe I melaporkan kurang ketatnya
pengendalian kontrol dan komentar hanya pada kesesuaian kontrol desain. Tipe II berjalan lebih
lanjut dan menilai apakah kontrol beroperasi efektif berdasarkan tes yang dilakukan oleh auditor
organisasi vendor. Sebagian besar dari SAS 70 laporan yang dikeluarkan adalah Tipe II. Karena Pasal
404 memerlukan eksplisit pengujian kontrol.