1RTM Mengaudit Pengendalian Tata Kelola TI
1RTM Mengaudit Pengendalian Tata Kelola TI
Auditing EDP
Oleh :
UNIVERSITAS JEMBER
2019
PENDAHULUAN
Pada resume ini menyajikan risiko, kontrol, dan uji kontrol yang terkait dengan tata
kelola TI. Ini terbuka dengan mendefinisikan tata kelola TI dan elemen tata kelola TI yang
memiliki pengendalian internal dan implikasi pelaporan keuangan. Pertama, menyajikan
eksposur yang bisa timbul dari penataan fungsi TI yang tidak tepat. Selanjutnya, bab ini
mengulas ancaman dan kontrol pusat komputer, termasuk melindunginya dari kerusakan
dan kerusakan akibat bencana alam, suhu api, dan kelembaban. bab ini menghadirkan
elemen kunci dari rencana pemulihan bencana, termasuk menyediakan cadangan lokasi
kedua, mengidentifikasi aplikasi kritis, melakukan prosedur penyimpanan cadangan dan
off-site, menciptakan tim pemulihan bencana, dan menguji rencana tersebut. Bagian
terakhir dari bab ini menyajikan isu-isu mengenai tren yang berkembang menuju
outsourcing TI. Logika di balik keputusan manajemen untuk melakukan outsourcing
dieksplorasi. Bab ini juga mengungkapkan harapan akan adanya manfaat dan risiko yang
terkait dengan lingkungan outsourcing dan peran laporan SAS 70. Setelah mempelajari
bab ini, harapan kami dapat:
• Memahami risiko fungsi yang tidak sesuai dan bagaimana menyusun fungsi TI.
Meskipun semua masalah tata kelola TI penting bagi organisasi, tidak semuanya
merupakan masalah yang berpotensi mempengaruhi proses pelaporan keuangan. Dalam
bab ini, kami mempertimbangkan tiga masalah tata kelola TI yang ditangani oleh SOX dan
kerangka pengendalian internal COSO ini adalah :
A. Administrasi Database
Perusahaan yang dikelola secara sentral mempertahankan sumber data
mereka di lokasi sentral yang dikomandoi oleh semua pengguna akhir. Dalam
pengaturan data bersama ini, group independen yang dipimpin oleh administrator
database (DBA) bertanggung jawab atas ketajaman dan keterkaitan database.
B. Pengolahan Data
Kelompok pengolahan data mengelola sumber daya komputer yang digunakan
untuk melakukan pemrosesan transaksi sehari-hari. Ini terdiri dari fungsi organisasi
yaitu :
Konversi data. Fungsi konversi data mentranskripsikan data transaksi dari
dokumen sumber hard copy menjadi input komputer: misalnya, konversi
data bisa membuat perintah penjualan ke dalam aplikasi pesanan
penjualan dalam sistem modern, atau mentranskripsikan data ke dalam
media magnetik (tape atau disk) yang sesuai untuk pengolahan komputer
dalam sistem tipe warisan.
Operasi komputer. File elektronik yang dihasilkan dalam konversi data
kemudian diproses oleh komputer pusat, yang dikelola oleh kelompok
operasi komputer. Aplikasi akuntansi biasanya dijalankan sesuai jadwal
yang ketat yang dikontrol oleh sistem operasi komputer pusat.
Perpustakaan data. Perpustakaan data adalah ruangan yang berdekatan
dengan pusat komputer yang menyediakan penyimpanan penyimpanan
untuk file data off-line. File-file itu bisa berupa backup atau file data saat ini.
Selain itu, perpustakaan data digunakan untuk menyimpan salinan asli
perangkat lunak komersial dan lisensi mereka untuk penyimpanan.
Seorang pustakawan data, yang bertanggung jawab atas penerimaan,
penyimpanan, pengambilan, dan penyimpanan file data, mengendalikan
akses ke perpustakaan.
C. Pengembangan dan Pemeliharaan Sistem
Sistem informasi kebutuhan pengguna dipenuhi oleh dua fungsi terkait:
pengembangan sistem dan pemeliharaan sistem. Kelompok terdahulu
bertanggung jawab untuk menganalisis kebutuhan pengguna dan merancang
syetem baru untuk memenuhi kebutuhan tersebut. Peserta dalam kegiatan
pengembangan sistem meliputi profesional sistem, pengguna akhir, dan pemangku
kepentingan.
o Standard-Setting Body
o Ulasan personalia
Prosedur audit berikut akan berlaku untuk sebuah organisasi dengan fungsi TI
terpusat:
Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi:
Tinjau bagan organisasi saat ini, pernyataan misi, dan uraian tugas untuk fungsi
utama untuk menentukan apakah individu atau kelompok melakukan tugas yang
tidak sesuai.
Verifikasi bahwa kebijakan dan standar perusahaan untuk sistem yang dirancang,
disain, dokumentasi, dan akuisisi perangkat keras dan perangkat lunak
dipublikasikan dan diserahkan ke unit TI terdistribusi.
Pastikan kontrol kompensasi, seperti pemantauan pengawasan dan manajemen,
dipekerjakan bila pemisahan tugas yang tidak kompatibel secara ekonomi tidak
layak dilakukan.
Mengkaji ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur,
dan database dirancang dan berfungsi sesuai dengan standar perusahaan.
Akuntan secara rutin memeriksa lingkungan fisik pusat komputer sebagai bagian
dari audit tahunan mereka. Tujuan dari bagian ini adalah untuk menyajikan risiko pusat
komputer dan kontrol yang membantu mengurangi risiko dan menciptakan lingkungan
yang aman. Berikut ini adalah area eksposur potensial yang dapat mempengaruhi kualitas
informasi, catatan akuntansi, pemrosesan transaksi, dan efektivitas pengendalian internal
lainnya yang lebih konvensional. Diantaranya seperti pengecekan terkait :
Lokasi Fisik
Konstruksi
Mengakses
Kondisi Udara
Pemadam Kebakaran
Toleransi Fault
Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasinya
saat sebagian sistem gagal karena kegagalan perangkat keras, program aplikasi error,
atau kesalahan operator lmplementing fault kontrol toleransi memastikan bahwa tidak
ada satu titik kegagalan sistem potensial yang ada. Kegagalan total hanya dapat
terjadi jika beberapa komponen Dua contoh teknologi toleransi kesalahan dibahas
selanjutnya.
Serangan melibatkan penggunaan disk paralel yang mengandung unsur data dan
aplikasi yang berlebihan. Jika satu disk gagal, data yang hilang secara otomatis
direkonstruksi dari komponen berlebihan yang tersimpan pada disk lainnya.
Pusat komputer harus melakukan tes berkala terhadap cadangan catudaya guna
memastikan kapasitasnya memadai untuk menjalankan komputer dan pendingin ruangan.
Ini adalah tes yang sangat penting, dan hasilnya harus dicatat secara formal
Auditor setiap tahun harus meninjau ulang perlindungan asuransi untuk perangkat
keras komputer, perangkat lunak, dan fasilitas fisik perusahaan . Auditor harus
memverifikasi bahwa semua akuisisi baru dicantumkan pada polis dan perangkat usang
telah dihapus. Polis asuransi harus mencerminkan pengelolaan kebutuhan dalam hal
cakupan yang dibutuhkan.
Alam Banjir
Tornado
Sabotase
Bencana Akibat Manusia
Eror
Kehabisan
Daya
Kegagalan Kegagalan
sistem Hard drive
Kegagalan
Software
Sisadari bagian ini dikhususkan untuk diskusi tentang elemen pentingdari DRP yang
efektif.
Aplikasi komputer yang mendukung fungsi bisnis ini secara langsung sangat
penting. Oleh karena itu, aplikasi ini harus diidentifikasi dan diprioritaskan dalam rencana
restorasi.
Bahan yang diperlukan dalam DRP adalah menyediakan fasilitas pengolahan data
duplikat setelah terjadi kendala. Di antara pilihan yang tersedia, yang paling umum adalah
pakta bantuan bersama; situs kosong atau dingin; pusat operasi pemulihan atau situs
yang panas; dan cadangan yang disediakan secara internal. Masing-masing dibahas pada
bagian berikut :
Kemajuan rencana harus dicatat pada poin-poin kunci selama periode pengujian.
Pada akhir pengujian, hasilnya kemudian dapat dianalisis dan laporan kinerja DRP
disiapkan. Tingkat kinerja yang dicapai memberikan masukan untuk keputusan untuk
memodifikasi DRP atau menjadwalkan tes tambahan. Manajemen organisasi harus
mencari ukuran kinerja di masing-masing bidang berikut: (1) keefektifan personil tim DRP
dan tingkat pengetahuan mereka; (2) tingkat keberhasilan konversi (yaitu, jumlah catatan
yang hilang); (3) perkiraan kerugian finansial karena kehilangan catatan atau fasilitas; dan
(4) efektivitas prosedur backup dan pemulihan program, data, dan dokumentasi.
B. Tujuan Audit
C. Prosedur audit
1. Cadangan situs
2. Daftar Aplikasi Kritis
3. Backup Perangkat Lunak
4. Cadangan data
5. Persediaan Cadangan, Dokumen, dan Dokumentasi
6. Tim pemulihan bencana
6.0 Fungsi Outsourcing
Banyak eksekutif memilih untuk menggunakan futsal TI ke vendor pihak ketiga
yang mengambil alih tanggung jawab untuk memilih melakukan outsourcing. Manfaat IT
Outsourcing mencakup peningkatan kinerja bisnis inti, peningkatan kinerja TI (karena
keahlian vendor), dan mengurangi biaya TI.
Logika yang mendasari TI outsourcing adalah teori kompetensi inti, yang
berpendapat bahwa sebuah organisasi harus berfokus secara eksklusif pada kompetensi
bisnis intinya, sementara memungkinkan vendor outsourcing untuk secara efisien
mengelola area non-inti seperti fungsi TI. Premis ini, mengabaikan perbedaan penting
antara com-modity dan aset TI yang spesifik.
Aset TI komoditi tidak unik untuk organisasi tertentu dan mudah didapat di pasar.
Hal ini mencakup hal-hal seperti manajemen jaringan, operasi sistem,
pemeliharaan server, dan fungsi help desk.
Teori Biaya Biaya Ekonomi (TCE) bertentangan dengan sekolah kompetensi inti
dengan menyarankan bahwa perusahaan harus mempertahankan aset TI non-inti
spesifik tertentu di-rumah.
Tata kelola teknologi informasi (TI) merupakan subset yang relatif baru dari tata kelola
perusahaan yang berfokus pada pengelolaan dan penilaian sumber daya TI strategis.
Tujuan utama tata kelola TI adalah mengurangi risiko dan memastikan investasi sumber
daya TI memberi nilai tambah bagi korporasi. Dalam pengendalian tata kelola TI terdapat
tiga masalah tata kelola TI yang ditangani oleh SOX dan kerangka pengendalian internal
COSO ini adalah struktur organisasi fungsi TI, operasi di pusat komputer, dan
perencanaan pemulihan bencana.
Resume ini menyajikan risiko dan kontrol yang terkait dengan tata kelola TI. Ini
dimulai dengan definisi singkat tentang tata kelola TI dan mengidentifikasi implikasinya
terhadap pengendalian internal dan pelaporan keuangan. Selanjutnya disajikan eksposur
yang bisa timbul dari penataan fungsi IT yang tidak tepat dalam organisasi.
resume ini juga membahas ulasan tentang ancaman dan kontrol pusat komputer,
termasuk melindunginya dari kerusakan dan perusakan dari rencana pemulihan bencana
alam. Beberapa faktor perlu dipertimbangkan dalam rencana seperti itu, termasuk
menyediakan cadangan situs kedua, mengidentifikasi aplikasi penting, melakukan
prosedur penyimpanan cadangan dan off-site, menciptakan tim pemulihan bencana, dan
menguji DRP.
Bagian terakhir resume ini membahas masalah seputar tren yang berkembang
terhadap outsourcing TI. Secara khusus, ditinjau logika yang mendasari outsourcing dan
manfaat yang diharapkan. Pengambilalihan TI juga diasosiasikan dengan risiko signifikan,
yang ditangani. Bab ini diakhiri dengan diskusi tentang masalah audit di lingkungan
outsourcing.
REFERENSI