BAB 1

PENDAHULUAN

1.1 LATAR BELAKANG

Pada bab ini menyajikan mengenai resiko, pengawasan dan uji kontrol yang
berhubungan dengan tata kelola teknologi informasi. Diawali dengan definisi tata kelola
teknologi informasi dan elemen dari tata kelola teknologi informasi yang mana memiliki
kontrol internal dan implikasi pelaporan keuangan. Pertama, bab ini menyajikan
eksposur yang dapat timbul dari dalam fungsi penataan yang disesuaikan. Selanjutnya,
bab ini meninjau ancaman dan kontrol terhadap pusat komputer yang mana termasuk
didalamnya melindunginya dari kerusakan dan kehancuran dari bencana alam,
kebakaran, suhu dan kelembapan. Bab ini kemudian menyajikan elemen kunci dari
perencanaan penanggulangan bencana, termasuk menyediakan situs cadangan
kedua, identifikasi aplikasi penting, menampilkan cadangan dan prosedur
penyimpanan situs mati, membuat sebuah tim penanggulangan bencana dan menguji
perencanaan. Sesi akhir bab ini menyajikan isu mengenai penambahan alih daya
teknologi informasi. Logika dibalik keputusan manajemen untuk alih daya adalah
diselidiki. Bab ini juga mengungkapkan keuntungan yang diharapkan dari alih daya
resiko. Bab ini menyimpulkan dengan sebuah keputusan dari isu audit dalam
lingkungan alih daya dan peran dari laporan SAS 70.

1.2 MANFAAT DAN TUJUAN

Mempelajari bab ini bermanfaat dalam memperoleh pengetahuan mengenai

bagaimana sebuah entitas semestinya melakukan pengelolaan fungsi teknologi
informasi dengan baik supaya kerusakan dan resiko buruk lainnya dapat terantisipasi
dengan maksimal. Pentingnya tata kelola entitas menjadikan gambaran bagaimana
entitas akan bertahan dalam waktu kedepan karena, entitas tidak dapat dipisahkan
dengan penggunaan, penyimpanan informasi melalui teknologi informasi.
 BAB 2
PEMBAHASAN

2.1 TATA KELOLA TEKNOLOGI INFORMASI

Tata kelola teknologi informasi adalah sekumpulan baru tata kelola
perusahaan yang terintegrasi pada manajemen dan penilaian strategis sumber daya.
Tujuan utama tata kelola TI adalah mengurangi risiko. Pengaturan IT yang modern,
namunmengikuti filosofi semua stakeholder perusahaan, termasuk Dewan Direksi,
manajemen puncak, dan pengguna departemental (yaitu, akuntansi dan keuangan)
yang menjadi peserta aktif dalam keputusan-keputusan yang akan diambil.
Keberhasilan berbasis IT yang luas seperti mengurangi risiko dan meningkatkan
kemungkinan keputusan itu akan sesuai dengan kebutuhan pengguna, serta kebijakan
perusahaan.

2.2 TATA KELOLA PENGENDALIAN TEKNOLOGI INFORMASI

Meski semua isu-isu itu penting untuk organisasi, tidak semua dari
merekamerupakan internal control di bawah SOX. Dalam bab ini, kita
mempertimbangkan tiga tata kelola TI yang dikerjakan oleh SOX dan kerangka COSO
yaitu:
1. Struktur organisasi dari fungsi IT
2. Pusat operasi computer
3. Perencanaan pemulihan bencana

Diskusi pada setiap isu - isu pemerintahan ini diawali dengan penjelasan
tentang sifat penting dan pilihan. Kemudian, tujuan audit disajikan, yang menentukan
apa yang harus diverifikasi pada fungsi kontrol di tempat. Pengujian ini dapat dilakukan
oleh auditor eksternal sebagai bagian dari layanannya oleh auditor internal (atau
penasihat profesional jasa) yang menyediakan bukti manajemen kantor SOX. Dalam
hal ini, kami tidak membuat perbedaan antara dua jenis sevices.

2.2 STRUKTUR FUNGSI TEKNOLOGI INFORMASI

Organisasi fungsi itu memiliki implikasi untuk alam dan efektivitas pengendalian
internal, yang, pada gilirannya, memiliki implikasi untuk audit.Dalam bagian ini,
beberapa masalah kontrol penting yang berkaitan dengan struktur itu diperiksa.Ini
diilustrasikan melalui dua model ekstrim organisasi-pendekatan yang terpusat dan
terdistribusi.

Pemrosesan Data

Dalam model terpusat pengolahan data, pengolahan data semua dilakukan

oleh satu atau lebih komputer besar yang bertempat di pusat situs yang melayani
pengguna di seluruh organisasi, di mana Layanankegiatan konsolidasi dan dikelola
sebagai sumber daya bersama organisasi.Pengguna akhir bersaing untuk sumber
daya berdasarkan kebutuhan.Fungsi layanan itu biasanya diperlakukan sebagai pusat
biaya biaya operasi yang dikenai biaya kembali kepengguna akhir.Di dalam model
terpusat itu merupakan layanan struktur dan menunjukkan area layanan primer,
seperti: database administrasi, pengolahan data, dan pengembangan sistem serta
pemeliharaan. Berikut deskripsi fungsi utama dari setiap bidang ini.

a. Administrasi Database

Perusahaan yang terorganisir secara sentral menjaga sumber daya data

mereka yang dibagi untuk semua pengguna akhir.Dalam pengaturan berbagi

1
 data ini, sebuah kelompok independen yang dipimpin oleh database
administrator (DBA) bertanggung jawab untuk keamanan dan integritas
database.

b. Pemrosesan Data

Pengolahan data kelompok manajer sumber daya menggunakan komputer

untuk melakukan pengolahan transaksi sehari-hari.Beberapa fungsi yang
digunakan oleh organisasi adalah sebagai berikut: konversi data, operasi
komputer dan perpustakaan data.

1) Konversi data

Fungsi konversi data mendapatkan data yang bersumber dari hard-

copydokumen ke komputer masukan. Sebagai contoh, konversi data
dapat melibatkan catatan order penjualan ke dalam aplikasi order
penjualan dalam sistem modern, atau mentranskrip data ke dalam
media magnetik (pita atau disk) cocok untuk pemrosesan dalam warisan
jenis sistem komputer.

2) Operasi komputer

File elektronik yang dihasilkan dalam konversi data kemudian diproses

oleh pusat komputer, yang dikelola oleh kelompok operasi komputer.
Akuntansi aplikasi biasanya dijalankan sesuai dengan jadwal yang ketat
yang dikendalikan oleh sistem operasi komputer pusat.

3) Perpustakaan data.

Perpustakaan data adalah sebuah ruangan yang bersebelahan dengan

pusat komputer yang menyediakan brankas strorage untuk file off-line
data. File-file tersebut bisa backup atau file data saat ini. Misalnya,
Perpustakaan data dapat digunakan untuk menyimpan data cadangan
pada DVD, CD-ROM, kaset, atau lain penyimpanan yang membagi. Itu
juga dapat digunakan untuk menyimpan file data operasional saat ini
pada pita magnetik dan removable disk paket. Selain itu, Perpustakaan
data yang digunakan untuk menyimpan asli salinan perangkat lunak
komersial dan lisensi mereka untuk disimpan. Pustakawan data, yang
bertanggung jawab untuk penerimaan, Penyimpanan, pengambilan, dan
hak asuh file data, kontrol akses ke perpustakaan. Pustakawan masalah
file data untuk operator komputer sesuai dengan program permintaan
dan mengambil hak asuh file saat memproses atau prosedur cadangan
selesai. Tren dalam beberapa tahun terakhir telah dikurangi atau
bahkan menghilangkan peran pustakawan data di banyak organisasi.

c. Pengembangan Sistem Dan Pemeliharaan

Kebutuhan sistem informasi pengguna dipenuhi oleh dua fungsi terkait, yaitu:
sistem pengembangan dan sistem pemeliharaan. Fungsi tersebut bertanggung
jawab untukmenganalisis kebutuhan pengguna dan merancang sistem baru
untuk memenuhi kebutuhan tersebut.Para peserta dalam kegiatan
pembangunan sistem termasuk profesional sistem, pengguna akhir, dan
stakeholder.

2
 Sistem profesional termasuk sistem analis, database desainer, dan
pemrogram yangmerancang dan membangun sistem.Profesional sistem
mengumpulkan fakta-fakta tentang masalah pengguna, menganalisis fakta, dan
merumuskan solusi.Hasil dari usaha mereka adalah sistem informasi yang
baru.

Pengguna akhir adalah orang-orang untuk siapa sistem tersebut

dibangun.Mereka adalah manajer yang menerima laporan dari sistem dan
personil operasi yang bekerja secara langsung dengan sistem sebagai bagian
dari tanggung jawab mereka sehari-hari.

Pemangku kepentingan individu di dalam atau di luar perusahaan yang

memiliki minat dalam sistem, tetapi tidak pengguna akhir.Termasuk akuntan,
internal auditor, auditor eksternal, dan lainnya yang mengawasi pengembangan
sistem.

Setelah sistem baru telah dirancang dan dilaksanakan, kelompok

pemeliharaan sistem bertanggung jawab menjaganya agar tetap aktif dengan
kebutuhan pengguna.Pemeliharaan mengacu pada membuat perubahan
terhadap logika program untuk mengakomodasi perubahan dalam kebutuhan
pengguna dari waktu ke waktu.Selama sistem hidup (sering beberapa tahun),
sebanyak 80 atau 90 persen dari total biaya yang mungkin timbul melalui
kegiatan pemeliharaan.

2.4 PEMISAHAN FUNGSI TEKNOLOGI INFORMASI TIDAK KOMPATIBEL

Secara khusus, tugas operasional harus terpisah untuk:

1. Transaksi otorisasi terpisah dari pengolahan transaksi.

2. Pencatatan yang terpisah dari penitipan fisik aset.

3. membagi tugas-tugas pengolahan transaksi antar individu sehingga risiko

kecurangan akan dapat diminimalisir.

Lingkungan ini cenderung untuk mengkonsolidasikan kegiatan.Satu aplikasi

mungkin mengotorisasi, memproses, dan merekam semua aspek transaksi.Dengan
demikian, fokus pemisahan kontrol bergeser dari tingkat operasional (pengolahan
tugas yang komputer sekarang melakukan transaksi) ke tingkat yang lebih tinggi yaitu
relasi organisasi dalam fungsi layanan komputer.

2.5 MEMISAHKAN SISTEM PENGEMBANGAN DARI OPERASI KOMPUTER.

Pemisahan kegiatan operasi dan pengembangan sistem (baru sistem

pembangunandan pemeliharaan) adalah sangat penting. Diantara hubungan
kelompok-kelompok ini harus sangat formal, dan tanggung jawab mereka tidak
akanbercampur. Profesional pengembangan dan pemeliharaan sistem harus membuat
(dan mempertahankan) sistem bagi pengguna, dan harus ada keterlibatan dalam
memasukkan data, atau menjalankan aplikasi (yaitu, operasi komputer).Staf operasi
harus menjalankan sistem ini dan telah ada keterlibatan dalam desain mereka.Fungsi
mewarisi secara turun-temurun tidak kompatibel, dan mengkonsolidasikan mereka
mengundang kesalahan dan penipuan.Dengan pengetahuan rinci logika aplikasi dan
parameter kontrol dan akses ke sistem operasi komputer dan utilitas, seorang individu
bisa membuat perubahan tidak sah ke aplikasi selama pelaksanaannya. Perubahan
tersebut mungkin sementara dan akan menghilang tanpa jejak ketika aplikasi berakhir.

3
2.6 MEMISAHKAN ADMINISTRASI DATABASE DARI FUNGSI LAIN

Kontrol organisasi penting yang lain adalah pemisahan database administrator

(DBA) darifungsi pusat komputer lain. Fungsi DBA bertanggung jawab untuk sejumlah
tugas penting yang berkaitan dengan keamanan database, termasuk menciptakan
skema database dan pengguna, menetapkan otoritas akses database
kepadapengguna, pemantauan penggunaan database, dan rencana untuk ekspansi
masa depan. Mendelegasikan tanggung-jawab dan melakukan tugas-tugas yang tidak
kompatibelakan mengancam integritas database. Dengan demikian.

2.7 MEMISAHKAN PENGEMBANGAN SISTEM BARU DARI PEMELIHARAAN

Beberapa perusahaan mengatur fungsi pengembangan sistem rumah mereka

menjadi dua kelompok: analisis sistem dan pemrograman. Kelompok analisis sistem
bekerja dengan pengguna untuk menghasilkan detail desain sistem baru. Kelompok
pemrograman membuat kode program sesuai dengan spesifikasi desain.Dalam
pendekatan ini, para programmer yang membuat kode program-program asli, juga
mempertahankan sistem selama fase pemeliharaan siklus hidup pengembangan
sistem.Meskipun pengaturan umum, pendekatan ini dikaitkan dengan dua jenis kontrol
masalah yaitu dokumentasi yang tidak memadai dan potensi untuk program penipuan.

Dokumentasi yang tidak memadai.

Buruknya kualitas sistem dokumentasi yang kronis itu merupakan masalah dan
tantangan yang signifikan untuk banyak organisasi.Ada setidaknya dua penjelasan
untuk fenomena ini.Pertama, mendokumentasikan sistem ini tidak menarik seperti
merancang, pengujian, dan menerapkannya.Sistem profesional lebih memilih untuk
beralih ke proyek baru yang menarik, daripada menyelesaikan dokumen saja.

Mungkin alasan kedua untuk minimnya dokumentasi adalah keamanan

pekerjaan. Ketika sistem yang tidak didokumentasikan dengan baik,akan sangat sulit
dilakukan pengujian. Oleh karena itu, pemrogram yang memahami sistem yang
mempertahankan daya tawar akanrelatif sangat diperlukan. Ketika programmer
meninggalkan perusahaan, maka programmer baru akanmewarisi tanggung-jawab
pemeliharaan untuk sistem tidak terdokumentasikan, tergantung pada kompleksitas,
dan periode transisi yang mungkin panjang dan mahal.

Program penipuan.

Ketika para programmer asli dari sistem juga diberikan tanggung-jawab

pemeliharaan, potensi untuk penipuan meningkat.Progam penipuan melibatkan
perubahan yang tidak sah dan membuat progam untuk melakukan tindakan
ilegal.Programmer asli mungkin berhasil menyembunyikan penipuan kode di antara
seribu baris kode yang sah dan ratusan modul yang membentuk sebuah sistem. Agar
penipuan yang dilakukan sukses, programmer harus mampu mengendalikan situasi
melalui akses eksklusif dan tak terbatas untuk program aplikasi. Pemrogram perlu
melindungi kode penipuan dari deteksi disengaja oleh programmer lainyang melakukan
pemeliharaan atau oleh auditor penguji aplikasi kontrol. Oleh karena itu, memiliki
tanggung jawab untuk pemeliharaan adalah unsur penting dalam skema
programmer.Melalui otoritas pemeliharaan ini, programmer dapat dengan bebas akses
sistem, menonaktifkan penipuan kode selama audit dan mengembalikan
kode.Penipuan semacam ini dapat terjadi terus menerus selama bertahun-tahun tanpa
deteksi.

4
Struktur Yang Unggul Untuk Pengembangan Sistem

Fungsi pengembangan sistem dipisahkan menjadi dua kelompok yang berbeda

yaitu pengembangan sistem baru dan sistem pemeliharaan.Grup pengembangan
sistem baru ini bertanggung jawab untuk merancang, memprogram, dan
melaksanakan proyek-proyek sistem yang baru.Setelah sukses implementasi,
tanggung jawab untuk pemeliharaan sistem jatuh ke grup pemeliharaan
sistem.Restrukturisasi ini memiliki implikasi langsung pada dua kontrol masalah yang
baru saja dijelaskan.

Pertama, standar dokumentasi ditingkatkan karena kelompok pemeliharaan

memerlukan dokumentasi untuk melaksanakan tugas pemeliharaan. Tanpa
dokumentasi lengkap dan memadai, transfer informasi,dan tanggung-jawab sistem dari
pengembangan sistem baru untuk pemeliharaan sistem tidakakan terjadi.

Kedua, menutup akses programmer asli untuk menghalangi penipuan. Kode

curang, sekali disembunyikan di dalam sistem oleh programmer kontrol kemungkinan
akan ditemukan risiko yang meningkat terkait dengan program penipuan. Keberhasilan
kontrol ini tergantung pada adanya kontrol lain yang membatasi, mencegah dan
mendeteksi akses tidak sah ke program. Meskipun organisasi pemisahan saja tidak
dapat menjamin bahwa penipuan tidak akan terjadi, penting bagi mereka untuk
menciptakan lingkungan pengendalian yang diperlukan.

2.8 MODEL TERDISTRIBUSI

Selama bertahun-tahun, ekonomi skala menyukai komputer besar dan kuat
dan pemrosesan terpusat. Namun saat ini, sistem kecil, bertenaga, dan murah telah
mengubah gambar ini secara dramatis. Alternatif model terpusat adalah konsep
pengolahan data terdistribusi. Topik DDP cukup luas, menyentuh topik terkait seperti
komputasi pengguna akhir, perangkat lunak komersial, jaringan, dan otomasi kantor.
Secara sederhana, DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI kecil
yang berada di bawah kendali pengguna akhir. Unit TI dapat didistribusikan sesuai
dengan fungsi bisnis, lokasi geografis, atau keduanya. Semua atau fungsi TI yang
ditunjukkan pada gambar 2.2 dapat didistribusikan. Tingkat penyebarannya akan
bervariasi tergantung pada philoshopy dan tujuan manajemen organisasi. Gambar 2.4
menyajikan dua alternatif pendekatan DPP
Alternatif A sebenarnya adalah varian dari model terpusat; Perbedaannya
adalah bahwa terminal (atau mikrokomputer) didistribusikan ke pengguna akhir untuk
menangani input dan output. Ini menghilangkan kebutuhan akan kelompok konversi
data terpusat, karena pengguna sekarang melakukan tugas demikian. Namun, di
bawah model ini, pengembangan sistem, dan operasi komputer dan administrasi basis
data tetap terpusat.
Alternatif B adalah keberangkatan yang signifikan dari model terpusat.
Alternatif ini mendistribusikan semua layanan komputer kepada pengguna akhir,
dimana beroperasi sebagai unit mandiri. Hasilnya adalah penghapusan fungsi TI pusat
dari struktur organisasi. Perhatikan interkoneksi antara unit terdistribusi pada gambar
2.4. Konektivitas ini mewakili pengaturan jaringan yang memungkinkan komunikasi dan
transfer data antar unit. Gambar 2.5 menunjukkan kemungkinan struktur organisasi
yang mencerminkan distribusi semua pemrosesan data tradisional ke area pengguna
akhir.

2.9 RISIKO BERHUBUNGAN DENGAN DDP

Bagian ini membahas risiko organisasi yang perlu dipertimbangkan saat
menerapkan DDP. Diskusi berfokus pada isu-isu penting mengenai implikasi

5
pengendalian yang harus diketahui auditor. Masalah potensial meliputi penggunaan
sumber daya yang tidak efisien, penghancuran jalur audit, pemisahan tugas yang tidak
memadai, potensi peningkatan kesalahan pemrograman dan kegagalan sistem dan
kurangnya standar.

Penggunaan sumber daya yang tidak langsung

DPP dapat mengekspos dan mengorganisir tiga jenis risiko yang terkait dengan
penggunaan sumber daya organisasi yang tidak efisien. Berikut adalah uraian
mengenai risiko tersebut:

Pertama, adalah risiko salah urus sumber daya TI di seluruh organisasi oleh
pengguna akhir. Beberapa berpendapat bahwa ketika mengorganisir sumber daya TI
yang luas melebihi jumlah ambang batas, misalnya 5 persen dari total anggaran
operasi yang efektif, tata kelola TI memerlukan pengelolaan pusat dan pemantauan
sumber daya semacam itu. Bagi banyak organisasi, Layanan TI termasuk operasi
komputer, pemrograman, konversi data dan pengelolaan basis data memenuhi atau
melampaui ambang batas ini.

Kedua, DPP dapat meningkatkan risiko ketidakefektifan operasional karena

adanya tugas berlebihan yang dilakukan pada panitia pengguna akhir. Inisiatif
pengembangan sistem otonom yang didistribusikan ke seluruh perusahaan dapat
mengakibatkan setiap pengguna menemukan kembali kemudi daripada mendapatkan
manfaat dari pekerjaan orang lain. Misalnya, program aplikasi yang dibuat oleh satu
pengguna, yang bisa digunakan dengan sedikit atau tanpa perubahan oleh orang lain,
akan didesain ulang dari awal dan bukan dibagikan. Demikian juga, data yang umum
bagi banyak pengguna dapat diciptakan kembali untuk masing-masing, menghasilkan
tingkat redundansi data yang tinggi. Keadaan ini berimplikasi pada akurasi data dan
konsistensi

Ketiga, lingkungan DDP menimbulkan risiko perangkat keras dan perangkat

lunak yang tidak kompatibel di antara fungsi pengguna akhir. Mendistribusikan
tanggung jawab untuk pembelian TI kepada pengguna akhir dapat menyebabkan
keputusan yang disusun dengan tidak terkoordinasi. Misalnya, pengambil keputusan di
unit organisasi yang berbeda yang bekerja secara independen dapat menyelesaikan
sistem operasi yang berbeda dan tidak kompatibel, platform teknologi, spreadsheet,
pengolah kata, dan paket data. Ketidaksesuaian perangkat keras dan perangkat lunak
dapat menurunkan dan mengganggu konektivitas dua unit, menyebabkan hilangnya
transaksi dan kemungkinan penghancuran jalur audit.

penghancuran jalur audit

Jejak audit memberikan keterkaitan antara aktivitas keuangan (transaksi)
perusahaan dan laporan keuangan yang melapor pada kegiatan tersebut. Auditor
menggunakan jejak audit untuk melacak transaksi keuangan terpilih dari dokumen
sumber yang menangkap kejadian tersebut, melalui jurnal, buku besar, dan akun buku
besar yang merekam kejadian tersebut, dan akhirnya pada laporan keuangan itu
sendiri. Jejak audit sangat penting untuk layanan pengungkapan auditor.
Dalam Sistem DDP, jejak audit terdiri dari serangkaian file transaksi digital yang
berada sebagian atau seluruhnya pada komputer pengguna akhir. Jika pengguna akhir
secara tidak sengaja menghapus salah satu file, percobaan audit bisa dihancurkan dan
tidak dapat dibuka lagi. Demikian pula, jika pengguna akhir secara tidak sengaja
memasukkan transaksi ke file audit trail, itu bisa menjadi rusak.

6
Pemisahan tugas yang tidak memadai
Mencapai pemisahan tugas yang memadai mungkin tidak dapat dilakukan di
beberapa lingkungan terdistribusi. Distribusi layanan TI kepada pengguna dapat
menghasilkan unit kecil tak berdampingan yang tidak memungkinkan pemisahan yang
diinginkan dari fungsi yang tidak sesuai. Misalnya, dalam satu unit orang yang sama
dapat menulis program aplikasi, melakukan pemeliharaan program, memasukkan data
transaksi ke komputer, dan mengoperasikan peralatan komputer. Situasi seperti itu
akan menjadi pelanggaran mendasar pengendalian internal.

Mempekerjakan profesional yang berkualitas

Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI untuk
mengevaluasi kredensial teknis dan pengalaman relevan kandidat yang mengajukan
permohonan untuk posisi profesional TI. Juga, jika unit organisasi di mana seorang
karyawan baru masuk adalah kecil, kesempatan untuk pertumbuhan pribadi,
melanjutkan pendidikan, dan promosi mungkin terbatas. Untuk alasan ini, manajer
mungkin mengalami kesulitan untuk menarik personil berkualifikasi tinggi. Risiko
kesalahan pemrograman dan kegagalan sistem meningkat secara langsung dengan
tingkat ketidakmampuan karyawan.

Kurangnya standar
Karena distribusi tanggung jawab di lingkungan DDP, standar untuk
mengembangkan dan mendokumentasikan sistem, memilih bahasa pemrograman,
memperoleh perangkat keras dan perangkat lunak, dan mengevaluasi kinerja mungkin
tidak rata diterapkan atau bahkan tidak ada. Penentang DDP berpendapat bahwa
risiko yang terkait dengan perancangan dan pengoperasian sistem DDP dapat
dilakukan hanya jika standar tersebut diterapkan secara konsisten.

KEUNTUNGAN DDP
Bagian ini mempertimbangkan keunggulan potensial DDP, termasuk
pengurangan biaya, pengendalian biaya yang lebih baik, peningkatan kepuasan
pengguna dan cadangan.

Pengurangan biaya Selama bertahun-tahun, mencapai skala ekonomi merupakan

justifikasi utama untuk pendekatan pengolahan data terpusat. Ekonomi pengolahan
data disukai komputer besar, mahal, dan kuat. Variabel kebutuhan yang luas sehingga
sistem terpusat diharapkan dapat memuaskan juga menyerukan komputer yang sangat
umum dan menggunakan sistem operasi yang kompleks. Biaya overhead yang terkait
dengan sistem seperti itu, bagaimanapun dapat mengurangi keunggulan kekuatan
pemrosesan mentahnya. Jadi, bagi banyak pengguna, sistem terpusat yang besar
merepotkan berlebihan berlebihan sehingga mereka harus melarikan diri. Komputer
mikro dan mikrokomputer yang kuat dan murah yang dapat menggerakkan fungsi
khusus telah mengubah ekonomi pengolahan data secara dramatis. Selain itu, biaya
unit penyimpanan data, yang pernah menjadi pembenaran untuk mengkonsolidasikan
data di lokasi sentral, sudah tidak menjadi pertimbangan utama. Selain itu,
perpindahan ke DDP telah mengurangi biaya di dua area lainnya: (1) data dapat
ditingkatkan dan dimasukkan oleh pengguna akhir, sehingga menghilangkan tugas
terpusat dari persiapan data dan (2) ketuntasan aplikasi dapat dikurangi, yang pada
gilirannya mengurangi pengembangan sistem dan biaya perawatan

Tanggung jawab pengendalian biaya meningkat, Manajer pengguna akhir

bertanggung jawab atas keberhasilan operasi mereka. Tanggung jawab ini
mengharuskan mereka diberi wewenang yang benar dengan wewenang untuk

7
membuat sumber daya pengambilan keputusan yang mempengaruhi keseluruhan
kesuksesan mereka. Ketika manajer dilarang membuat keputusan yang diperlukan
untuk mencapai tujuan mereka, kinerjanya dapat terpengaruh secara negatif. Yang
kurang agresif dan kurang efektif bisa berkembang.
Pendukung DDP berpendapat bahwa manfaat dari sikap manajemen yang lebih baik
melebihi biaya tambahan yang dikeluarkan untuk mendistribusikan sumber daya ini.
Mereka berpendapat bahwa jika kemampuan TI memang penting bagi keberhasilan
operasi bisnis, maka manajemen harus diberi kontrol atas sumber daya ini. Argumen
ini membantah diskusi awal yang mendukung pemusatan sumber daya organisasi.

Meningkatkan kepuasan pengguna, Mungkin manfaat DDP yang paling sering

dikutip adalah kepuasan pengguna. Pendukung DDP mengklaim bahwa sistem
pendistribusian ke pengguna akhir memperbaiki sebagian kebutuhan yang terlalu
sering tidak terpuaskan pada model terpusat.
1. Seperti yang dinyatakan sebelumnya, pengguna ingin mengendalikan sumber
daya yang mempengaruhi profitabilitas mereka
2. Pengguna menginginkan profesional sistem bersikap responsif terhadap situasi
spesifik mereka
3. Pengguna ingin lebih aktif terlibat dalam pengembangan dan penerapan sistem
mereka sendiri

Fleksibilitas cadangan, Argumen terakhir yang mendukung DDP adalah kemampuan

untuk mendukung fasilitas komputasi untuk melindungi dari potensi bencana seperti
kebakaran, banjir, sabotase, dan gempa bumi. Satu-satunya cara untuk mendukung
situs komputer di sekitar bencana tersebut adalah dengan menyediakan fasilitas
komputer kedua. Kemudian di bab selanjutnya kami memeriksa perencanaan
pemulihan bencana untuk kontinjensi semacam itu. Model terdistribusi menawarkan
fleksibilitas organisasi untuk menyediakan cadangan. Setiap unit TI yang terpisah
secara geografis dapat dirancang dengan kapasitas berlebih. Jika bencana
menghancurkan satu situs, situs lain dapat menggunakan kelebihan kapasitas mereka
untuk memproses transaksi situs yang hancur. Tentu pengaturan ini memerlukan
keresahan yang erat antara manajer pengguna akhir untuk memastikan bahwa mereka
tidak menerapkan perangkat keras dan perangkat lunak yang tidak kompatibel.

MENGONTROL LINGKUNGAN DDP

DPP memiliki nilai prestise terdepan, yang selama analisis pro dan kontranya,
dapat membebani pertimbangan penting manfaat ekonomi dan kelayakan operasional.
Beberapa organisasi telah beralih ke DDP tanpa mempertimbangkan sepenuhnya
apakah struktur organisasi terdistribusi akan mencapai tujuan bisnis mereka dengan
lebih baik. Banyak inisiatif DDP dan bahkan kontraproduktif, karena pembuat
keputusan melihat kebajikan sistem ini yang lebih simbolis daripada nyata. Sebelum
mengambil langkah yang tidak dapat dipulihkan, pengambil keputusan harus menilai
manfaat sebenarnya dari DDP untuk organisasinya. Meskipun demikian, perencanaan
dan implementasi kontrol yang hati-hati dapat mengurangi beberapa risiko DDP yang
telah dibahas sebelumnya. Bagian ini mengulas beberapa perbaikan model DDP yang
ketat.

Melaksanakan fungsi IT perusahaan

Model yang sepenuhnya terpusat dan model terdistribusi mewakili posisi ekstrim pada
rangkaian alternatif struktural. Kebutuhan kebanyakan perusahaan berada di antara
titik akhir ini. Seringkali, masalah kontrol yang telah dijelaskan sebelumnya dapat
diatasi dengan menerapkan fungsi TI perusahaan seperti yang diilustrasikan pada
gambar 2.5

8
Fungsi ini sangat dikurangi ukuran dan status dari model terpusat yang ditunjukkan
pada gambar 2.2, grup TI perusahaan menyediakan pengembangan sistem dan
pengelolaan basis data untuk sistem entitas yang luas yang ditambahkan ke saran
teknis dan keahlian kepada komunitas TI terdistribusi. Peran penasehat ini ditunjukkan
oleh garis putus-putus pada gambar 2.5. beberapa layanan yang diberikan dijelaskan
selanjutnya

Pengujian pusat perangkat lunak dan perangkat keras komersial

Papan TI perusahaan yang terpusat lebih baik dilengkapi daripada pengguna
akhir untuk mengevaluasi kelebihan perangkat lunak komersial dan produk perangkat
keras yang bersaing di bawah pertimbangan. Dorongan teknis secara umum seperti ini
dapat mengevaluasi fitur, kontrol dan kompatibilitas sistem dengan standar industri dan
organisasi. Hasil uji kemudian dapat didistribusikan ke area pengguna sebagai standar
untuk membimbing keputusan pengambil keputusan. Hal ini memungkinkan organisasi
untuk secara efektif memusatkan akuisisi, pengujian dan implementasi perangkat lunak
dan perangkat keras dan menghindari banyak masalah yang dibahas sebelumnya.

Layanan pengguna
Sebuah sifat yang berharga dari grup perusahaan adalah fungsi layanan
penggunanya. Kegiatan ini memberikan bantuan teknis kepada pengguna selama
pemasangan perangkat lunak baru dan dalam mengatasi masalah masalah perangkat
keras dan perangkat lunak. Pembuatan papan buletin elektronik untuk pengguna
dengan cara yang sangat baik untuk menyumbang informasi tentang masalah umum
dan memungkinkan berbagi program yang dikembangkan pengguna dengan orang lain
dalam organisasi. Selain itu, ruang obrolan bisa dibuat untuk memberikan diskusi
berulir, sering, bertanya pertanyaan dan dukungan intranet. Fungsi TI perusahaan juga
bisa menyediakan meja bantuan, di mana pengguna dapat menelepon dan mendapat
tanggapan cepat terhadap pertanyaan dan masalah. Di banyak oganisasi staf layanan
pengguna mengajarkan kursus teknik untuk pengguna akhir dan juga untuk petugas
layanan komputer. Peningkatan tingkat kesadaran pengguna dan mendorong
berlanjutnya pendidikan tenaga teknis

Standar pengaturan tubuh

Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh model
DDP dapat ditingkatkan dengan menetapkan beberapa panduan utama. Kelompok
perusahaan dapat berkontribusi pada tujuan ini dengan menetapkan dan
mendistribusikan ke area pengguna sesuai standar untuk pengembangan,
pemrograman, dan dokumentasi sistem.

Review pribadi
Kelompok korporat seringkali lebih baik dilengkapi daripada pengguna untuk
mengevaluasi kredensial teknis dari proffesional sistem prospektif. Meskipun
profesional sistem benar-benar akan menjadi bagian dari kelompok pengguna akhir,
penyatuan kelompok perusahaan dalam keputusan kerja dapat memberi nilai berharga
bagi organisasi.

TUJUAN AUDIT
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI sedemikian rupa
sehingga individu-individu di daerah yang tidak sesuai dipisahkan sesuai dengan
tingkat risiko potensial dan dengan cara yang mendorong lingkungan kerja. Ini adalah
lingkungan di mana hubungan formal, daripada santai, harus ada antara tugas yang
tidak sesuai.

9
2.11 PROSEDUR AUDIT
Prosedur audit berikut akan diterapkan pada organisasi dengan fungsi TI
terpusat
1. Tinjau dokumentasi yang relevan, termasuk bagan organisasi saat ini,
pernyataan misi dan uraian tugas untuk fungsi utama, untuk menentukan
apakah individu atau kelompok melakukan fungsi yang tidak sesuai.
2. Tinjau dokumentasi sistem dan catatan pemeliharaan untuk contoh
aplikasi. Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan ke
proyek tertentu juga bukan pemrogram desain asli.
3. Pastikan operator komputer tidak memiliki akses ke rincian operasional
logika internal sistem. Dokumentasi sistem Seperti diagram alir sistem,
diagram alur logika dan daftar kode program, seharusnya tidak menjadi
bagian dari dokumentasi operasi Anda.
4. Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti
dalam praktik. Tinjau log akses ruang operasi untuk menentukan apakah
pemrogram memasukkan fasilitas untuk alasan selain kegagalan sistem.
Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI
terdistribusi:
1. Tinjau bagan orgnizational terkini, pernyataan misi dan uraian tugas untuk
fungsi utama untuk menentukan apakah individu atau kelompok melakukan
tugas yang tidak sesuai.
2. Verifikasi bahwa rancangan, dokumentasi, dan perangkat keras dan
perangkat lunak rancangan dan kebijakan perusahaan standar
dipublikasikan dan diserahkan ke unit TI terdistribusi.
3. Verifikasi bahwa kontrol kompensasi, seperti pengawasan dan pemantauan
manajemen, digunakan saat pemisahan tugas yang tidak kompatibel secara
ekonomi dapat infesible.
4. Tinjau ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi,
prosedur dan database dirancang dan berfungsi sesuai dengan standar
perusahaan.
2.12 PUSAT KOMPUTER

Akuntan secara rutin memeriksa lingkungan fisik dari pusat komputer sebagai
bagian dari tujuan suatu audit tahunan. Di bagian ini menyajikan risiko pusat komputer
dan kontrol yang membantu untuk mengurangi risiko dan menciptakan lingkungan
yang aman. bidang-bidang berikut merupakan paparan potensial yang dapat
mempengaruhi kualitas informasi catatan akuntansi, transaksi pengolahan dan
efektivitas pengendalian internal konvensional lain.

1. Lokasi Fisik

Lokasi fisik dari pusat komputer secara langsung berpengaruh pada

resiko kerusakan yang disebakan secara alami maupun yang dibuat
oleh manusia.Untuk menekan kemungkinan tersebut maka pusat
komputer baiknya dijauhkan dari kegiatan manusia maupun kesalahan
struktur tanah yang menyebabkan bencana.Pusat komputer harus
dipisahkan dari lalu lntas, sehingga baiknya diletakkan dilantai yang
terpisah atau bangunan terpisah, namun meletakkan pusat komputer
diruang bawah tanah justru beresiko terkena banjir.

2. Konstruksi

Idealnya, sebuah pusat komputer semestinya berada di gedung

tersendiri dengan konstruksi kokoh yang aksesnya diawasi.Kabel daya

10
 dan telepon harus berada dibawah bangunan.Jendela bangunan
seharusnya tidak dibuka dan sistem penyaringan udara mampu
mencegah adanya debu masuk.

3. Akses

Akses ke pusat komputer harus dibatasi pada operator dan karyawan

lainnya yang bekerja.Kontrol fisik, seperti pintu terkunci harusnya
memberikan akses terbatas pada pusat komputer.Akses mestina
diawasi dengan menggunkan kartu gesek, pintu darurat terdekat
dengan alarm. Untuk mencapai level keamanan yang lebih tinggi
harusnya di awasi dengan CCTV. Pusat komputer juga seharusnya
diakses dengan sandi.

4. Pengaruh Keadaan udara

Fungsi komputer terbaik ada pada pengaruh keadaan udara dan

jaminan garansi pemasok.Komputer paling baik dioperasikan pada suhu
berkisar antara 70 -75 derajat farenheit dan kelembapan relatif skekitar
50 persen.Kelembapan udara yang terlalu tinggi dapat menyebabkan
jamur tumbuh pada kertas.

5. Pemadam Api

Api merupakan ancaman paling serius bagi peralatan komputer. Banyak

perusahaan mengalami kerugian kebakaran karena kehilangan data seperti
data piutang.Sistem yang dapat dibangun untuk mengatasi hal tersebut melalui

a. Memasang alarm pendeteksi otomatis dibeberapa titik strategis

b. Harus ada sistem otomatis yang melakukan pemadaman api secara

otomatis melalui semprotan air dan cairan kimia pada komputer sebanyak
kerusakan yang ditimbulkan api

c. Pemadam manual yang diletkakkan di lokasi strategis

d. Konstruksi bangunan harusnya tahan dari kerusakan air

e. Arah pintu keluar jika terjadi kebakaran

6. Toleransi Kesalahan

Toleransi kesalahan adalah kemampuan sistem bisa melanjutkan operasinya

ketika bagian sistem yang gagal karena kegagalan perangkat keras, kesalahan
program aplikasi, kesalahan pengoperasi.

a. Redudansi dalam penyimpanan data karena penyimpanan paralel

b. Sumber daya yang tidak dapat diinterupsi

7. Objek Audit

Objek auditors adalah mengevaluasi pengawasan tatakelola keamanan

komputer pusat yang meliputi pengawasan keamanan fisik, dan
penanggulangan melalui asuransi

11
 8. Prosedur Audit

a. Uji konstruksi fisik

Auditor harus memerika fasilitas yang digunakan seharusnya di letakkan di

area yang meminimalisir kedapatan api, kerusuhan masyarakat, dan
bahaya lainnya

b. Uji sistem deteksi kebakaran

Auditor semestinya menguji pendeteksi api dan peralatan pemadam baik

manual maupun otomatis dilokasi dan uji secara tetap

c. Uji Pengawasan akses

Auditor harus menetapkan akses secara rutin kepada pusat komputer

melalui karyawan yang disahkan

d. Uji dari redudansi data

Auditor harus melakukan peninjauan ulang terhadap sistem prosedur

administrasi alternatif untuk melindungi kegagalan penyimpanan

e. Uji kegagalan pasokan daya

Pusat komputer harusnya melakukan uji berkala dengan sumber daya yang
cukup setidaknya untuk menjalankan komputer dan pengatur udara

f. Uji penanggulangan asuransi

Auditor seharusnya secara berkala melakukan peninjauan ulang atas

asuransi perlindungan milik organisasi pada perangkat keras komputer,
perangkat lunak dan fasilitas fisik. Auditor memverifikasi semua akuisisi
baru yang terdaftar pada kebijakan dan penghapusan peralatan dan
perangkat lunak yang telah dihapuskan.

Perencanaan Penanggulangan Bencana

Bencana dapat disebabkan oleh alam, perbuatan manusia dan kegagalan

sistem. Bencana yang disebabkan oleh alam yaitu kebakaran, banjir dan tornado.
Bencana yang disebabkan oleh perbuatan manusia yaitu sabotase dan kesalahan
manusia. Bencana yang disebabkan oleh kegagalan sistem yaitu lebih dari kapasitas,
kegagalan operasi, kerusakan sistem.

Beberapa bencana biasanya tidak dapat dicegah atau dihindari, perusahaan yang
menjadi korban akan hidupnya akan tergantung seberapa baik dan seberapa cepat
bereaksi. Untuk mengembangkan prosedur penanggulangan disusun kedalam
Disaster Recovery Plan (DRP). Meskipun setiap detail perencanaan berbeda pada
masing masing organisasi, hampir semua organisasi memiliki fitur umum diantaranya:

1. Identifikasi aplikasi kritis

Upaya penanggulangan harus berkonsentrasi pada memulihkan aplikasi

penting mereka demi kelangsungan hidup organisasi.Utamanya organisasi
membutuhkan pengembalian fungsi yang dibutuhkang kelangsungan hidup
dalam jangka pendek mereka yang menghasilkan aruskan yang cukup untuk

12
 memenuhi kewajiban jangka pendek. Contohnya, diasumsikan fungsi berikut ini
berdampak pada posisi arus kas perusahaan:

a. Jasa dan penjualan pelanggan

b. Pemenuhan kewajiban hukum

c. Pemeliharaan piutang dan penagihan

d. Keputusan produksi dan distribusi

e. Fungsi pembelian

f. Pengeluaran kas

2. Membuat tim penanggulangan bencana

Penanggulangan bencana tergantung pada tindakan korektif yang diambil.

Berdasarkan bencana anggota tim akan mendelegasikan tugasnya pada
anggota bawahan

3. Menyediakan situs backup

Membuat kesepakaan diantara dua atau lebih organisasi untuk melindungi satu
sama lain kebutuhan proses data.

4. Spesifik backup dan prosedur penyimpanan situs offline

2.13 FUNGSI OUTSOURCING

Biaya, risiko, dan tanggung jawab yang terkait dengan pemeliharaan fungsi
perusahaan yang efektif TI sangat penting. Oleh karena itu banyak ecxecutives
memilih untuk mengalihkan fungsi TI mereka ke vendor pihak ketiga yang mengambil
alih tanggung jawab atas pengelolaan aset dan staf TI dan untuk pengiriman layanan
TI, seperti entri data, operasi data center, pengembangan aplikasi, pemeliharaan
aplikasi, dan manajemen networ Seringkali dikutip manfaat outsourcing TI mencakup
peningkatan kinerja bisnis inti, peningkatan kinerja TI (karena keahlian vendor), dan
mengurangi biaya. Dengan memindahkan fasilitas TI ke luar negeri ke daerah dengan
biaya tenaga kerja rendah dan / atau melalui skala ekomonik (dengan menggabungkan
beberapa kloning), vendor dapat melakukan fungsi alih daya lebih murah daripada
yang dapat dilakukan oleh perusahaan klien. Penghematan biaya yang dihasilkan
kemudian diteruskan ke organisasi klien. Selanjutnya, banyak arangements
outsourcing TI melibatkan penjualan aset TI perusahaan klien - baik manusia maupun
mesin ke vendor, yang kemudian disewa oleh perusahaan klien. Transaksi ini
menghasilkan infus tunai satu kali yang signifikan ke perusahaan.

Logika yang mendasari TI outsourcing mengikuti teori kompetensi inti, yang

berpendapat bahwa sebuah organisasi harus berfokus secara eksklusif pada
kompetensi bisnis intinya, sementara mengizinkan vendor outsourcing untuk secara
efisien mengelola area non-inti seperti fungsi TI. Namun, premisnya mengabaikan
perbedaan impor antara komoditas dan aset TI spesifik.

Aset TI komoditi tidak terkait dengan organisasi tertentu dan dengan demikian
mudah diperoleh di pasar. Ini mencakup hal-hal seperti manajemen jaringan, operasi
sistem, pemeliharaan server, dan fungsi help desk. Khususnya aset, sebaliknya,
melekat pada organisasi dan mendukung tujuan strategisnya. Karena sifatnya yang

13
istimewa, aset spesifik memiliki sedikit nilai di luar penggunaan mereka saat ini. Aset
semacam itu mungkin bersifat nyata (peralatan komputer (, intelektual (program
competer), atau hyman. Contoh aset spesifik mencakup pengembangan sistem,
pemeliharaan aplikasi, pergudangan data, dan tenaga terampil yang terlatih untuk
menggunakan perangkat lunak spesifik organisasi.

Teori Biaya Transaksi Ekonomi (TCE) bertentangan dengan sekolah kompetensi

inti dengan menyarankan bahwa perusahaan harus mempertahankan aset inti non-inti
tertentu tertentu. Karena sifat esoteriknya, aset spesifik tidak dapat dengan mudah
diganti begitu mereka menyerah dalam pengaturan alih daya. Oleh karena itu, jika
organisasi harus mencalonkan untuk membatalkan kontrak outsourcing dengan
vendor, perusahaan tersebut mungkin tidak dapat kembali ke negara bagian sebelum
melakukan pembayaran. Di sisi lain, teori TCE mendukung outsourcing aset
komoditas, yang mudah diganti atau diperoleh dari vendor alternatif.

Tentu, persepsi CEO tentang apa yang merupakan komoditas aset TI berperan
penting dalam keputusan outsourcing TI. Seringkali ini berujung pada masalah definisi
dan interpretasi. Sebagai contoh, kebanyakan CEO akan mendefinisikan fungsi TI
mereka sebagai komoditas non-inti, kecuali jika mereka menjalankan bisnis untuk
mengembangkan dan menjual aplikasi TI. Akibatnya, keyakinan bahwa semua TI
dapat, dan seharusnya, dikelola oleh organisasi layanan besar cenderung menang.
Kesalahpahaman tersebut mengenai kebajikan dan keterbatasan IT outsourcing.

2.14 RISIKO INHEREN UNTUK IT OUTSOURCING

Kegiatan outsourcing IT skala besar adalah usaha yang berisiko, sebagian karena
ukuran semata dari kesepakatan keuangan ini, tetapi juga karena sifatnya. Tingkat
risiko terkait dengan tingkat kekhususan aset dari fungsi alih daya. Bagian berikut
menguraikan beberapa masalah terdokumentasi dengan baik.

Gagal tampil
Begitu perusahaan klien telah mengalihkan aset TI spesifik, kinerjanya menjadi
terkait dengan kinerja vendor. Implikasi negatif dari ketergantungan tersebut
diilustrasikan dalam masalah keuangan yang telah melanda vendor outsourcing besar
Electronic Data System Corp (EDS). Dalam usaha pemotongan biaya, EDS
menghentikan tujuh ribu karyawan, yang berdampak pada kemampuannya untuk
melayani klien lainnya. Mengikuti harga saham 11 tahun yang rendah. Pemegang
saham EDS mengajukan gugatan class action kepada perusahaan tersebut. Jelas,
vendor yang mengalami masalah keuangan dan hukum yang serius juga mengancam
kelangsungan hidup klien mereka.

Eksploitasi Vendor
Pengalihan IT skala besar melibatkan transeferring ke "aset spesifik" vendor,
seperti perancangan, pengembangan, dan pemeliharaan aplikasi bisnis unik yang
penting bagi kelangsungan hidup organiasi. Aset spesifik, sementara berharga bagi
klien, nilainya kecil bagi vendor di luar kontrak langsung dengan klien. Memang,
mereka mungkin tidak berharga jika organiasi klien gulung tikar. Karena vendor
mengasumsikan risiko dengan mengakuisisi aset dan tidak dapat mencapai skala
ekonomis dengan mempekerjakan mereka lain-di mana, organisasi klien akan
membayar premi untuk mentransfer fungsi tersebut kepada pihak ketiga. Selanjutnya,
setelah perusahaan klien melepaskan diri dari aset spesifik tersebut, hal itu menjadi
tergantung pada vendor. Vendor dapat memanfaatkan ketergantungan ini dengan
menaikkan tarif layanan ke tingkat selangit. Seiring kebutuhan TI klien berkembang

14
dari waktu ke waktu di luar persyaratan kontrak awal, risiko akan berlanjut jika layanan
baru atau tambahan akan dinegosiasikan dengan harga premium. Ketergantungan ini
dapat mengancam fleksibilitas fleksibilitas, kelincahan, dan daya saing dalam dlient
sehingga menghasilkan ketergantungan vendor yang lebih besar.

Biaya Outsourcing Melebihi Manfaat

IT outsourcing telah dikritik karena biaya tak terduga muncul dan tingkat
keuntungan yang diharapkan tidak direalisasikan. Satu survei mengungkapkan bahwa
47 persen dari 66 perusahaan yang disurvei melaporkan bahwa biaya outsourcing TI
melebihi keuntungan outsourcing. Salah satu alasannya adalah bahwa klien
outsourcing sering gagal mengantisipasi biaya pemilihan vendor, kontrak, dan transisi
operasi TI ke vendor.

Mengurangi keamanan
Informasi yang dikirim ke vendor TI di luar negeri menimbulkan pertanyaan unik
dan serius yang mencakup pengendalian internal dan perlindungan data pribadi
senstive. Ketika sistem keuangan korporat dikembangkan, iklan di luar negeri, dan
kode program dikembangkan melalui antarmuka dengan jaringan perusahaan induk,
perusahaan A.S. berisiko kehilangan kendali atas informasi mereka. Untuk sebagian
besar, perusahaan A.S. bergantung pada langkah-langkah keamanan, kebijakan akses
data, dan undang-undang privasi negara tuan rumah outsourcing. Sebagai contoh,
seorang wanita di Pakistan memperoleh data medis pasien-sensitif dari University of
Clifornia Medical Cnter di San Fransisco. Dia mendapatkan akses ke data dari seorang
penjual transkripsi medis untuk siapa dia bekerja. Wanita itu mengancam akan
menerbitkan catatan di Internet jika dia tidak mendapatkan kenaikan gaji. Terorisme di
Asia dan Timur Tengah menimbulkan masalah keamanan tambahan bagi perusahaan
yang meng-outsource teknologi lepas pantai. Misalnya, pada tanggal 5 Maret 2005,
polisi di Delhi, India, menangkap sel yang diduga teroris yang berencana menyerang
perusahaan outsourcing di Bagalore, India.

Hilangnya Keuntungan Strategis

IT outsourcing dapat mempengaruhi ketidaksesuaian antara perencanaan strategis
TI perusahaan dengan rancangan bisnisnya. Organisasi yang menggunakan TI
strategis harus menyelaraskan strategi bisnis dan strategi TI atau menjalankan risiko
penurunan kinerja bisnis. Untuk mempromosikan keselarasan tersebut, perusahaan
membutuhkan manajer TI dan chief information officer (CIO) yang memiliki
pengetahuan kerja yang kuat mengenai bisnis organisasi. Sebuah survei terhadap 213
pelaku TI di industri jasa keuangan memastikan bahwa kepemimpinan TI perusahaan
perlu disesuaikan dengan strategi persaingan perusahaan. Memang, ada yang
berpendapat bahwa kompetensi busing CIO lebih penting daripada kompetensi TI
mereka dalam memfasilitasi kongruensi strategis.

Untuk mencapai keselarasan tersebut, diperlukan adanya hubungan kerja yang

erat antara manajemen perusahaan dan manajemen TI dalam pengembangan strategi
bisnis dan TI bersamaan. Namun, ini sulit dilakukan ketika TI menyusut secara
geografis dipindahtangankan ke luar negeri atau bahkan di dalam negeri. Lebih jauh
lagi, karena pembenaran finansial untuk outsourcing TI bergantung pada vendor yang
mencapai skala ekonomis, vendor secara alami didorong untuk mencari solusi umum
yang dapat digunakan oleh banyak klien daripada menciptakan solusi unik untuk
masing-masing perusahaan. Pendanaan fundamnetal IT outsourcing tidak konsisten
dengan usaha mengejar keuntungan strategis di pasar.

15
Audit Implikasi IT Outsourcing
Manajemen dapat mengalihkan fungsi TI perusahaannya, namun tidak dapat
mengalihkan tanggung jawab manajemennya di bawah SOX untuk memastikan
adanya kontingan internal TI yang memadai. PCAOB secara khusus menyatakan
dalam Standar Audit No. 2, "Penggunaan organisasi layanan tidak mengurangi
tanggung jawab manajemen untuk menjaga pengendalian internal yang efektif atas
pelaporan keuangan. Sebaliknya, manajemen pengguna harus mengevaluasi kontrol
pada organisasi layanan, serta kontrol terkait di perusahaan pengguna, saat membuat
penilaian tentang pengendalian internal atas pelaporan keuangan. "Oleh karena itu,
jika perusahaan audit melakukan outsourcing fungsi TInya kepada vendor yang
memproses transaksinya, menginangi data utama, atau melakukan layanan penting
lainnya, auditor harus melakukan evaluasi terhadap kontrol organisasi vendor, atau
dengan alternatif memperoleh SAS No. 70 laporan auditor dari organisasi vendor.
Pernyataan Standar Audit No. 70 (SAS 70) adalah standar definitif dimana auditor
organisasi klien dapat memperoleh pengetahuan bahwa kontrol pada vendor pihak
ketiga memadai untuk mencegah atau mendeteksi kesalahan material yang dapat
mempengaruhi laporan keuangan klien. Laporan SAS 70, yang disiapkan oleh auditor
vendor, sesuai dengan kecukupan kontrol internal vendor. Ini adalah cara dimana
vendor outsorching dapat memperoleh satu laporan audit yang dapat digunakan oleh
auditor kliennya dan dengan demikian menghalangi kebutuhan setiap auditor
perusahaan auditor untuk melakukan audit sendiri terhadap pengendalian internal
organisasi vendor.
Gambar 2.8 mengilustrasikan bagaimana laporan SAS 70 bekerja dalam kaitannya
dengan vendor, perusahaan klien, dan auditor mereka masing-masing. Klien server
vendor outsourcing 1, 2, 3, dan 4 dengan berbagai layanan TI. Kontrol internal atas
layanan alih daya berada di lokasi vendor. Mereka diaudit oleh auditor vendor, yang
mengungkapkan pendapat dan mengeluarkan laporan SAS 70 tentang kecukupan
kontrol. Masing-masing perusahaan klien diaudit oleh auditor berbeda A, B, C, dan D,
masing-masing, yang sebagai bagian dari audit masing-masing, bergantung pada
laporan SAS 70 vendor dan oleh karena itu tidak dipaksa untuk secara indivdually
menguji kontrol vendor. Mengingat bahwa vendor mungkin memiliki ratusan atau
bahkan ribuan klien, pengujian individual di bawah SOX akan sangat mengganggu
operasi vendor, mahal bagi klien, dan tidak praktis.
Auditor provider Tujuh menerbitkan dua jenis laporan SAS 70. Laporan SAS 70
Type I kurang ketat dari keduanya dan hanya berkomentar mengenai kesesuaian
desain kontrol. Laporan SAS 70 Type II berjalan lebih jauh dan menilai apakah
pengendalian beroperasi secara efektif berdasarkan uji yang dilakukan oleh auditor
organisasi vendor. Sebagian besar laporan SAS 70 yang diterbitkan adalah Tipe II.
Karena Bagian 404 memerlukan pengujian kontrol secara eksplisit, laporan SAS 70
Type I tidak banyak nilainya di dunia ost-SOX.

RINGKASAN
Bab ini menyajikan risiko dan kontrol yang terkait dengan tata kelola TI. Ini dimulai
dengan definisi singkat tentang tata kelola TI dan mengidentifikasi implikasinya
terhadap pengendalian internal dan pelaporan keuangan. Selanjutnya disajikan
eksposur yang bisa timbul dari penataan fungsi TI yang tidak tepat dalam organisasi.
Bab ini beralih ke ulasan tentang ancaman dan kontrol pusat komputer, termasuk
melindunginya dari kerusakan dan penghancuran dari bencana alam, kebakaran, suhu,
kelembaban iklan. Bab ini kemudian mempresentasikan elemen kunci dari rencana
pemulihan bencana. Beberapa faktor perlu dipertimbangkan dalam rencana seperti itu,
termasuk menyediakan cadangan lokasi kedua, mengidentifikasi aplikasi penting,
melakukan prosedur penyimpanan cadangan dan off-site, menciptakan tim pemulihan
bencana, dan menerapkan DRP. Bagian akhir bab ini membahas masalah seputar tren

16
yang berkembang terhadap IT outsourcing. Secara khusus, ia meninjau logika yang
mendasari outsourcing dan manfaat yang diharapkannya. IT outsourcing juga dikaitkan
dengan risiko signifikan, yang dibahas. Bab ini diakhiri dengan diskusi tentang masalah
audit di lingkungan outsourching.

17
 BAB 3
KESIMPULAN

Resiko dan pengawasan yang berakitan dengan tata kelola teknologi informasi
merupakan bagian yang penting dalam sebuah entitas dimana ia berperan sebagai alat
vital yang akan mencerminkan bagaimana entitas akan dijalankan. Prosedur dan
sistem yang dibangun untuk melakukan pengamanan fungsi teknologi informasi akan
berpengaruh pada proses operasional entitas. Teknologi informasi menyediakan
sarana salah satu akses sumber informasi dan penyimpanan informasi itu sendiri. Data
perusahaan yang merupakan objek penting sudah semestinya diperhatikan
pengelolaannya. Untuk itu, entitas diharapkan menyadari keberadaan kemungkinan
resiko yang akan berpengaruh terganggu atau tidaknya jalannya operasional. Melalui
berbagai macam prosedur pencegahan dan penanggulangan, resiko kerusakan dan
kehilangan informasi akan menjadi bagian dari perencanaan tata kelola entitas
tersebut. Entitas dapat melakukan pelimpahan resiko kepada pihak lain melalui
asuransi dan sebagainya untuk menekan kemungkinan kerugian yang lebih besar

18
 REFERENSI

James A. Hall. 2011. Information Technology Auditing and Assurance.

Cengage Learning

19