PENDAHULUAN
Pada bab ini menyajikan mengenai resiko, pengawasan dan uji kontrol yang
berhubungan dengan tata kelola teknologi informasi. Diawali dengan definisi tata kelola
teknologi informasi dan elemen dari tata kelola teknologi informasi yang mana memiliki
kontrol internal dan implikasi pelaporan keuangan. Pertama, bab ini menyajikan
eksposur yang dapat timbul dari dalam fungsi penataan yang disesuaikan. Selanjutnya,
bab ini meninjau ancaman dan kontrol terhadap pusat komputer yang mana termasuk
didalamnya melindunginya dari kerusakan dan kehancuran dari bencana alam,
kebakaran, suhu dan kelembapan. Bab ini kemudian menyajikan elemen kunci dari
perencanaan penanggulangan bencana, termasuk menyediakan situs cadangan
kedua, identifikasi aplikasi penting, menampilkan cadangan dan prosedur
penyimpanan situs mati, membuat sebuah tim penanggulangan bencana dan menguji
perencanaan. Sesi akhir bab ini menyajikan isu mengenai penambahan alih daya
teknologi informasi. Logika dibalik keputusan manajemen untuk alih daya adalah
diselidiki. Bab ini juga mengungkapkan keuntungan yang diharapkan dari alih daya
resiko. Bab ini menyimpulkan dengan sebuah keputusan dari isu audit dalam
lingkungan alih daya dan peran dari laporan SAS 70.
Diskusi pada setiap isu - isu pemerintahan ini diawali dengan penjelasan
tentang sifat penting dan pilihan. Kemudian, tujuan audit disajikan, yang menentukan
apa yang harus diverifikasi pada fungsi kontrol di tempat. Pengujian ini dapat dilakukan
oleh auditor eksternal sebagai bagian dari layanannya oleh auditor internal (atau
penasihat profesional jasa) yang menyediakan bukti manajemen kantor SOX. Dalam
hal ini, kami tidak membuat perbedaan antara dua jenis sevices.
Organisasi fungsi itu memiliki implikasi untuk alam dan efektivitas pengendalian
internal, yang, pada gilirannya, memiliki implikasi untuk audit.Dalam bagian ini,
beberapa masalah kontrol penting yang berkaitan dengan struktur itu diperiksa.Ini
diilustrasikan melalui dua model ekstrim organisasi-pendekatan yang terpusat dan
terdistribusi.
Pemrosesan Data
a. Administrasi Database
1
data ini, sebuah kelompok independen yang dipimpin oleh database
administrator (DBA) bertanggung jawab untuk keamanan dan integritas
database.
b. Pemrosesan Data
1) Konversi data
2) Operasi komputer
3) Perpustakaan data.
Kebutuhan sistem informasi pengguna dipenuhi oleh dua fungsi terkait, yaitu:
sistem pengembangan dan sistem pemeliharaan. Fungsi tersebut bertanggung
jawab untukmenganalisis kebutuhan pengguna dan merancang sistem baru
untuk memenuhi kebutuhan tersebut.Para peserta dalam kegiatan
pembangunan sistem termasuk profesional sistem, pengguna akhir, dan
stakeholder.
2
Sistem profesional termasuk sistem analis, database desainer, dan
pemrogram yangmerancang dan membangun sistem.Profesional sistem
mengumpulkan fakta-fakta tentang masalah pengguna, menganalisis fakta, dan
merumuskan solusi.Hasil dari usaha mereka adalah sistem informasi yang
baru.
3
2.6 MEMISAHKAN ADMINISTRASI DATABASE DARI FUNGSI LAIN
Buruknya kualitas sistem dokumentasi yang kronis itu merupakan masalah dan
tantangan yang signifikan untuk banyak organisasi.Ada setidaknya dua penjelasan
untuk fenomena ini.Pertama, mendokumentasikan sistem ini tidak menarik seperti
merancang, pengujian, dan menerapkannya.Sistem profesional lebih memilih untuk
beralih ke proyek baru yang menarik, daripada menyelesaikan dokumen saja.
Program penipuan.
4
Struktur Yang Unggul Untuk Pengembangan Sistem
5
pengendalian yang harus diketahui auditor. Masalah potensial meliputi penggunaan
sumber daya yang tidak efisien, penghancuran jalur audit, pemisahan tugas yang tidak
memadai, potensi peningkatan kesalahan pemrograman dan kegagalan sistem dan
kurangnya standar.
Pertama, adalah risiko salah urus sumber daya TI di seluruh organisasi oleh
pengguna akhir. Beberapa berpendapat bahwa ketika mengorganisir sumber daya TI
yang luas melebihi jumlah ambang batas, misalnya 5 persen dari total anggaran
operasi yang efektif, tata kelola TI memerlukan pengelolaan pusat dan pemantauan
sumber daya semacam itu. Bagi banyak organisasi, Layanan TI termasuk operasi
komputer, pemrograman, konversi data dan pengelolaan basis data memenuhi atau
melampaui ambang batas ini.
6
Pemisahan tugas yang tidak memadai
Mencapai pemisahan tugas yang memadai mungkin tidak dapat dilakukan di
beberapa lingkungan terdistribusi. Distribusi layanan TI kepada pengguna dapat
menghasilkan unit kecil tak berdampingan yang tidak memungkinkan pemisahan yang
diinginkan dari fungsi yang tidak sesuai. Misalnya, dalam satu unit orang yang sama
dapat menulis program aplikasi, melakukan pemeliharaan program, memasukkan data
transaksi ke komputer, dan mengoperasikan peralatan komputer. Situasi seperti itu
akan menjadi pelanggaran mendasar pengendalian internal.
Kurangnya standar
Karena distribusi tanggung jawab di lingkungan DDP, standar untuk
mengembangkan dan mendokumentasikan sistem, memilih bahasa pemrograman,
memperoleh perangkat keras dan perangkat lunak, dan mengevaluasi kinerja mungkin
tidak rata diterapkan atau bahkan tidak ada. Penentang DDP berpendapat bahwa
risiko yang terkait dengan perancangan dan pengoperasian sistem DDP dapat
dilakukan hanya jika standar tersebut diterapkan secara konsisten.
KEUNTUNGAN DDP
Bagian ini mempertimbangkan keunggulan potensial DDP, termasuk
pengurangan biaya, pengendalian biaya yang lebih baik, peningkatan kepuasan
pengguna dan cadangan.
7
membuat sumber daya pengambilan keputusan yang mempengaruhi keseluruhan
kesuksesan mereka. Ketika manajer dilarang membuat keputusan yang diperlukan
untuk mencapai tujuan mereka, kinerjanya dapat terpengaruh secara negatif. Yang
kurang agresif dan kurang efektif bisa berkembang.
Pendukung DDP berpendapat bahwa manfaat dari sikap manajemen yang lebih baik
melebihi biaya tambahan yang dikeluarkan untuk mendistribusikan sumber daya ini.
Mereka berpendapat bahwa jika kemampuan TI memang penting bagi keberhasilan
operasi bisnis, maka manajemen harus diberi kontrol atas sumber daya ini. Argumen
ini membantah diskusi awal yang mendukung pemusatan sumber daya organisasi.
8
Fungsi ini sangat dikurangi ukuran dan status dari model terpusat yang ditunjukkan
pada gambar 2.2, grup TI perusahaan menyediakan pengembangan sistem dan
pengelolaan basis data untuk sistem entitas yang luas yang ditambahkan ke saran
teknis dan keahlian kepada komunitas TI terdistribusi. Peran penasehat ini ditunjukkan
oleh garis putus-putus pada gambar 2.5. beberapa layanan yang diberikan dijelaskan
selanjutnya
Layanan pengguna
Sebuah sifat yang berharga dari grup perusahaan adalah fungsi layanan
penggunanya. Kegiatan ini memberikan bantuan teknis kepada pengguna selama
pemasangan perangkat lunak baru dan dalam mengatasi masalah masalah perangkat
keras dan perangkat lunak. Pembuatan papan buletin elektronik untuk pengguna
dengan cara yang sangat baik untuk menyumbang informasi tentang masalah umum
dan memungkinkan berbagi program yang dikembangkan pengguna dengan orang lain
dalam organisasi. Selain itu, ruang obrolan bisa dibuat untuk memberikan diskusi
berulir, sering, bertanya pertanyaan dan dukungan intranet. Fungsi TI perusahaan juga
bisa menyediakan meja bantuan, di mana pengguna dapat menelepon dan mendapat
tanggapan cepat terhadap pertanyaan dan masalah. Di banyak oganisasi staf layanan
pengguna mengajarkan kursus teknik untuk pengguna akhir dan juga untuk petugas
layanan komputer. Peningkatan tingkat kesadaran pengguna dan mendorong
berlanjutnya pendidikan tenaga teknis
Review pribadi
Kelompok korporat seringkali lebih baik dilengkapi daripada pengguna untuk
mengevaluasi kredensial teknis dari proffesional sistem prospektif. Meskipun
profesional sistem benar-benar akan menjadi bagian dari kelompok pengguna akhir,
penyatuan kelompok perusahaan dalam keputusan kerja dapat memberi nilai berharga
bagi organisasi.
TUJUAN AUDIT
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI sedemikian rupa
sehingga individu-individu di daerah yang tidak sesuai dipisahkan sesuai dengan
tingkat risiko potensial dan dengan cara yang mendorong lingkungan kerja. Ini adalah
lingkungan di mana hubungan formal, daripada santai, harus ada antara tugas yang
tidak sesuai.
9
2.11 PROSEDUR AUDIT
Prosedur audit berikut akan diterapkan pada organisasi dengan fungsi TI
terpusat
1. Tinjau dokumentasi yang relevan, termasuk bagan organisasi saat ini,
pernyataan misi dan uraian tugas untuk fungsi utama, untuk menentukan
apakah individu atau kelompok melakukan fungsi yang tidak sesuai.
2. Tinjau dokumentasi sistem dan catatan pemeliharaan untuk contoh
aplikasi. Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan ke
proyek tertentu juga bukan pemrogram desain asli.
3. Pastikan operator komputer tidak memiliki akses ke rincian operasional
logika internal sistem. Dokumentasi sistem Seperti diagram alir sistem,
diagram alur logika dan daftar kode program, seharusnya tidak menjadi
bagian dari dokumentasi operasi Anda.
4. Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti
dalam praktik. Tinjau log akses ruang operasi untuk menentukan apakah
pemrogram memasukkan fasilitas untuk alasan selain kegagalan sistem.
Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI
terdistribusi:
1. Tinjau bagan orgnizational terkini, pernyataan misi dan uraian tugas untuk
fungsi utama untuk menentukan apakah individu atau kelompok melakukan
tugas yang tidak sesuai.
2. Verifikasi bahwa rancangan, dokumentasi, dan perangkat keras dan
perangkat lunak rancangan dan kebijakan perusahaan standar
dipublikasikan dan diserahkan ke unit TI terdistribusi.
3. Verifikasi bahwa kontrol kompensasi, seperti pengawasan dan pemantauan
manajemen, digunakan saat pemisahan tugas yang tidak kompatibel secara
ekonomi dapat infesible.
4. Tinjau ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi,
prosedur dan database dirancang dan berfungsi sesuai dengan standar
perusahaan.
2.12 PUSAT KOMPUTER
Akuntan secara rutin memeriksa lingkungan fisik dari pusat komputer sebagai
bagian dari tujuan suatu audit tahunan. Di bagian ini menyajikan risiko pusat komputer
dan kontrol yang membantu untuk mengurangi risiko dan menciptakan lingkungan
yang aman. bidang-bidang berikut merupakan paparan potensial yang dapat
mempengaruhi kualitas informasi catatan akuntansi, transaksi pengolahan dan
efektivitas pengendalian internal konvensional lain.
1. Lokasi Fisik
2. Konstruksi
10
dan telepon harus berada dibawah bangunan.Jendela bangunan
seharusnya tidak dibuka dan sistem penyaringan udara mampu
mencegah adanya debu masuk.
3. Akses
5. Pemadam Api
6. Toleransi Kesalahan
7. Objek Audit
11
8. Prosedur Audit
Pusat komputer harusnya melakukan uji berkala dengan sumber daya yang
cukup setidaknya untuk menjalankan komputer dan pengatur udara
Beberapa bencana biasanya tidak dapat dicegah atau dihindari, perusahaan yang
menjadi korban akan hidupnya akan tergantung seberapa baik dan seberapa cepat
bereaksi. Untuk mengembangkan prosedur penanggulangan disusun kedalam
Disaster Recovery Plan (DRP). Meskipun setiap detail perencanaan berbeda pada
masing masing organisasi, hampir semua organisasi memiliki fitur umum diantaranya:
12
memenuhi kewajiban jangka pendek. Contohnya, diasumsikan fungsi berikut ini
berdampak pada posisi arus kas perusahaan:
e. Fungsi pembelian
f. Pengeluaran kas
Membuat kesepakaan diantara dua atau lebih organisasi untuk melindungi satu
sama lain kebutuhan proses data.
Aset TI komoditi tidak terkait dengan organisasi tertentu dan dengan demikian
mudah diperoleh di pasar. Ini mencakup hal-hal seperti manajemen jaringan, operasi
sistem, pemeliharaan server, dan fungsi help desk. Khususnya aset, sebaliknya,
melekat pada organisasi dan mendukung tujuan strategisnya. Karena sifatnya yang
13
istimewa, aset spesifik memiliki sedikit nilai di luar penggunaan mereka saat ini. Aset
semacam itu mungkin bersifat nyata (peralatan komputer (, intelektual (program
competer), atau hyman. Contoh aset spesifik mencakup pengembangan sistem,
pemeliharaan aplikasi, pergudangan data, dan tenaga terampil yang terlatih untuk
menggunakan perangkat lunak spesifik organisasi.
Tentu, persepsi CEO tentang apa yang merupakan komoditas aset TI berperan
penting dalam keputusan outsourcing TI. Seringkali ini berujung pada masalah definisi
dan interpretasi. Sebagai contoh, kebanyakan CEO akan mendefinisikan fungsi TI
mereka sebagai komoditas non-inti, kecuali jika mereka menjalankan bisnis untuk
mengembangkan dan menjual aplikasi TI. Akibatnya, keyakinan bahwa semua TI
dapat, dan seharusnya, dikelola oleh organisasi layanan besar cenderung menang.
Kesalahpahaman tersebut mengenai kebajikan dan keterbatasan IT outsourcing.
Kegiatan outsourcing IT skala besar adalah usaha yang berisiko, sebagian karena
ukuran semata dari kesepakatan keuangan ini, tetapi juga karena sifatnya. Tingkat
risiko terkait dengan tingkat kekhususan aset dari fungsi alih daya. Bagian berikut
menguraikan beberapa masalah terdokumentasi dengan baik.
Gagal tampil
Begitu perusahaan klien telah mengalihkan aset TI spesifik, kinerjanya menjadi
terkait dengan kinerja vendor. Implikasi negatif dari ketergantungan tersebut
diilustrasikan dalam masalah keuangan yang telah melanda vendor outsourcing besar
Electronic Data System Corp (EDS). Dalam usaha pemotongan biaya, EDS
menghentikan tujuh ribu karyawan, yang berdampak pada kemampuannya untuk
melayani klien lainnya. Mengikuti harga saham 11 tahun yang rendah. Pemegang
saham EDS mengajukan gugatan class action kepada perusahaan tersebut. Jelas,
vendor yang mengalami masalah keuangan dan hukum yang serius juga mengancam
kelangsungan hidup klien mereka.
Eksploitasi Vendor
Pengalihan IT skala besar melibatkan transeferring ke "aset spesifik" vendor,
seperti perancangan, pengembangan, dan pemeliharaan aplikasi bisnis unik yang
penting bagi kelangsungan hidup organiasi. Aset spesifik, sementara berharga bagi
klien, nilainya kecil bagi vendor di luar kontrak langsung dengan klien. Memang,
mereka mungkin tidak berharga jika organiasi klien gulung tikar. Karena vendor
mengasumsikan risiko dengan mengakuisisi aset dan tidak dapat mencapai skala
ekonomis dengan mempekerjakan mereka lain-di mana, organisasi klien akan
membayar premi untuk mentransfer fungsi tersebut kepada pihak ketiga. Selanjutnya,
setelah perusahaan klien melepaskan diri dari aset spesifik tersebut, hal itu menjadi
tergantung pada vendor. Vendor dapat memanfaatkan ketergantungan ini dengan
menaikkan tarif layanan ke tingkat selangit. Seiring kebutuhan TI klien berkembang
14
dari waktu ke waktu di luar persyaratan kontrak awal, risiko akan berlanjut jika layanan
baru atau tambahan akan dinegosiasikan dengan harga premium. Ketergantungan ini
dapat mengancam fleksibilitas fleksibilitas, kelincahan, dan daya saing dalam dlient
sehingga menghasilkan ketergantungan vendor yang lebih besar.
Mengurangi keamanan
Informasi yang dikirim ke vendor TI di luar negeri menimbulkan pertanyaan unik
dan serius yang mencakup pengendalian internal dan perlindungan data pribadi
senstive. Ketika sistem keuangan korporat dikembangkan, iklan di luar negeri, dan
kode program dikembangkan melalui antarmuka dengan jaringan perusahaan induk,
perusahaan A.S. berisiko kehilangan kendali atas informasi mereka. Untuk sebagian
besar, perusahaan A.S. bergantung pada langkah-langkah keamanan, kebijakan akses
data, dan undang-undang privasi negara tuan rumah outsourcing. Sebagai contoh,
seorang wanita di Pakistan memperoleh data medis pasien-sensitif dari University of
Clifornia Medical Cnter di San Fransisco. Dia mendapatkan akses ke data dari seorang
penjual transkripsi medis untuk siapa dia bekerja. Wanita itu mengancam akan
menerbitkan catatan di Internet jika dia tidak mendapatkan kenaikan gaji. Terorisme di
Asia dan Timur Tengah menimbulkan masalah keamanan tambahan bagi perusahaan
yang meng-outsource teknologi lepas pantai. Misalnya, pada tanggal 5 Maret 2005,
polisi di Delhi, India, menangkap sel yang diduga teroris yang berencana menyerang
perusahaan outsourcing di Bagalore, India.
15
Audit Implikasi IT Outsourcing
Manajemen dapat mengalihkan fungsi TI perusahaannya, namun tidak dapat
mengalihkan tanggung jawab manajemennya di bawah SOX untuk memastikan
adanya kontingan internal TI yang memadai. PCAOB secara khusus menyatakan
dalam Standar Audit No. 2, "Penggunaan organisasi layanan tidak mengurangi
tanggung jawab manajemen untuk menjaga pengendalian internal yang efektif atas
pelaporan keuangan. Sebaliknya, manajemen pengguna harus mengevaluasi kontrol
pada organisasi layanan, serta kontrol terkait di perusahaan pengguna, saat membuat
penilaian tentang pengendalian internal atas pelaporan keuangan. "Oleh karena itu,
jika perusahaan audit melakukan outsourcing fungsi TInya kepada vendor yang
memproses transaksinya, menginangi data utama, atau melakukan layanan penting
lainnya, auditor harus melakukan evaluasi terhadap kontrol organisasi vendor, atau
dengan alternatif memperoleh SAS No. 70 laporan auditor dari organisasi vendor.
Pernyataan Standar Audit No. 70 (SAS 70) adalah standar definitif dimana auditor
organisasi klien dapat memperoleh pengetahuan bahwa kontrol pada vendor pihak
ketiga memadai untuk mencegah atau mendeteksi kesalahan material yang dapat
mempengaruhi laporan keuangan klien. Laporan SAS 70, yang disiapkan oleh auditor
vendor, sesuai dengan kecukupan kontrol internal vendor. Ini adalah cara dimana
vendor outsorching dapat memperoleh satu laporan audit yang dapat digunakan oleh
auditor kliennya dan dengan demikian menghalangi kebutuhan setiap auditor
perusahaan auditor untuk melakukan audit sendiri terhadap pengendalian internal
organisasi vendor.
Gambar 2.8 mengilustrasikan bagaimana laporan SAS 70 bekerja dalam kaitannya
dengan vendor, perusahaan klien, dan auditor mereka masing-masing. Klien server
vendor outsourcing 1, 2, 3, dan 4 dengan berbagai layanan TI. Kontrol internal atas
layanan alih daya berada di lokasi vendor. Mereka diaudit oleh auditor vendor, yang
mengungkapkan pendapat dan mengeluarkan laporan SAS 70 tentang kecukupan
kontrol. Masing-masing perusahaan klien diaudit oleh auditor berbeda A, B, C, dan D,
masing-masing, yang sebagai bagian dari audit masing-masing, bergantung pada
laporan SAS 70 vendor dan oleh karena itu tidak dipaksa untuk secara indivdually
menguji kontrol vendor. Mengingat bahwa vendor mungkin memiliki ratusan atau
bahkan ribuan klien, pengujian individual di bawah SOX akan sangat mengganggu
operasi vendor, mahal bagi klien, dan tidak praktis.
Auditor provider Tujuh menerbitkan dua jenis laporan SAS 70. Laporan SAS 70
Type I kurang ketat dari keduanya dan hanya berkomentar mengenai kesesuaian
desain kontrol. Laporan SAS 70 Type II berjalan lebih jauh dan menilai apakah
pengendalian beroperasi secara efektif berdasarkan uji yang dilakukan oleh auditor
organisasi vendor. Sebagian besar laporan SAS 70 yang diterbitkan adalah Tipe II.
Karena Bagian 404 memerlukan pengujian kontrol secara eksplisit, laporan SAS 70
Type I tidak banyak nilainya di dunia ost-SOX.
RINGKASAN
Bab ini menyajikan risiko dan kontrol yang terkait dengan tata kelola TI. Ini dimulai
dengan definisi singkat tentang tata kelola TI dan mengidentifikasi implikasinya
terhadap pengendalian internal dan pelaporan keuangan. Selanjutnya disajikan
eksposur yang bisa timbul dari penataan fungsi TI yang tidak tepat dalam organisasi.
Bab ini beralih ke ulasan tentang ancaman dan kontrol pusat komputer, termasuk
melindunginya dari kerusakan dan penghancuran dari bencana alam, kebakaran, suhu,
kelembaban iklan. Bab ini kemudian mempresentasikan elemen kunci dari rencana
pemulihan bencana. Beberapa faktor perlu dipertimbangkan dalam rencana seperti itu,
termasuk menyediakan cadangan lokasi kedua, mengidentifikasi aplikasi penting,
melakukan prosedur penyimpanan cadangan dan off-site, menciptakan tim pemulihan
bencana, dan menerapkan DRP. Bagian akhir bab ini membahas masalah seputar tren
16
yang berkembang terhadap IT outsourcing. Secara khusus, ia meninjau logika yang
mendasari outsourcing dan manfaat yang diharapkannya. IT outsourcing juga dikaitkan
dengan risiko signifikan, yang dibahas. Bab ini diakhiri dengan diskusi tentang masalah
audit di lingkungan outsourching.
17
BAB 3
KESIMPULAN
Resiko dan pengawasan yang berakitan dengan tata kelola teknologi informasi
merupakan bagian yang penting dalam sebuah entitas dimana ia berperan sebagai alat
vital yang akan mencerminkan bagaimana entitas akan dijalankan. Prosedur dan
sistem yang dibangun untuk melakukan pengamanan fungsi teknologi informasi akan
berpengaruh pada proses operasional entitas. Teknologi informasi menyediakan
sarana salah satu akses sumber informasi dan penyimpanan informasi itu sendiri. Data
perusahaan yang merupakan objek penting sudah semestinya diperhatikan
pengelolaannya. Untuk itu, entitas diharapkan menyadari keberadaan kemungkinan
resiko yang akan berpengaruh terganggu atau tidaknya jalannya operasional. Melalui
berbagai macam prosedur pencegahan dan penanggulangan, resiko kerusakan dan
kehilangan informasi akan menjadi bagian dari perencanaan tata kelola entitas
tersebut. Entitas dapat melakukan pelimpahan resiko kepada pihak lain melalui
asuransi dan sebagainya untuk menekan kemungkinan kerugian yang lebih besar
18
REFERENSI
19