Mengaudit Pengendalian Tata Kelola TI

Tugas Mata Kuliah

Auditing EDP

Oleh :

Febrian Prasetya 160810301001

Ika Anisa Putri 160810301014

Kevin Dwijaya P.S. 160810301035

Alma Alfarini 160810301039

Risna Astri Linanda 160810301117

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS JEMBER

2019
 PENDAHULUAN

Pada resume ini menyajikan risiko, kontrol, dan uji kontrol yang terkait dengan tata
kelola TI. Ini terbuka dengan mendefinisikan tata kelola TI dan elemen tata kelola TI yang
memiliki pengendalian internal dan implikasi pelaporan keuangan. Pertama, menyajikan
eksposur yang bisa timbul dari penataan fungsi TI yang tidak tepat. Selanjutnya, bab ini
mengulas ancaman dan kontrol pusat komputer, termasuk melindunginya dari kerusakan
dan kerusakan akibat bencana alam, suhu api, dan kelembaban. bab ini menghadirkan
elemen kunci dari rencana pemulihan bencana, termasuk menyediakan cadangan lokasi
kedua, mengidentifikasi aplikasi kritis, melakukan prosedur penyimpanan cadangan dan
off-site, menciptakan tim pemulihan bencana, dan menguji rencana tersebut. Bagian
terakhir dari bab ini menyajikan isu-isu mengenai tren yang berkembang menuju
outsourcing TI. Logika di balik keputusan manajemen untuk melakukan outsourcing
dieksplorasi. Bab ini juga mengungkapkan harapan akan adanya manfaat dan risiko yang
terkait dengan lingkungan outsourcing dan peran laporan SAS 70. Setelah mempelajari
bab ini, harapan kami dapat:

• Memahami risiko fungsi yang tidak sesuai dan bagaimana menyusun fungsi TI.

• Mengenal kontrol dan tindakan pencegahan yang diperlukan untuk memastikan

keamanan fasilitas komputer organisasi.

• Mengenal keuntungan, risiko, dan audit yang terkait dengan IT outsourcing.

 PEMBAHASAN

1. TATA KELOLA TEKNIS INFORMASI

Tata kelola teknologi informasi (TI) merupakan subset yang relatif baru dari tata
kelola perusahaan yang berfokus pada pengelolaan dan penilaian sumber daya TI
strategis. Tujuan utama tata kelola TI adalah mengurangi risiko dan memastikan investasi
sumber daya TI memberi nilai tambah bagi korporasi. Tata kelola TI modern,
bagaimanapun, mengikuti filosofi bahwa semua pemangku kepentingan perusahaan,
termasuk dewan direksi, manajemen puncak, dan pengguna departemen yaitu, keuangan
akuntansi menjadi peserta aktif dalam keputusan TI utama. Keterlibatan berbasis luas
tersebut mengurangi risiko dan meningkatkan kemungkinan bahwa Keputusan TI akan
sesuai dengan kebutuhan pengguna, kebijakan perusahaan, halal strategis, dan
persyaratan pengendalian internal di bawah SOX.

1.1 Pengendalian Tata Kelola TI

Meskipun semua masalah tata kelola TI penting bagi organisasi, tidak semuanya
merupakan masalah yang berpotensi mempengaruhi proses pelaporan keuangan. Dalam
bab ini, kami mempertimbangkan tiga masalah tata kelola TI yang ditangani oleh SOX dan
kerangka pengendalian internal COSO ini adalah :

 Struktur organisasi fungsi TI

 Operasi di pusat komputer
 Perencanaan pemulihan bencana

Diskusi mengenai masing-masing masalah tata kelola ini dimulai dengan

penjelasan tentang sifat risiko dan deskripsi kontrol yang diperlukan untuk mengurangi
risiko. Kemudian, tujuan audit disajikan, yang menetapkan apa yang harus diverifikasi
mengenai fungsi kontrol di tempat.

2. STRUKTUR FUNGSI TEKNOLOGI INFORMASI

Organisasi fungsi TI memiliki implikasi untuk sifat dan efektivitas pengendalian

internal, yang pada gilirannya memiliki implikasi untuk audit. Pada bagian ini, beberapa
masalah kontrol penting yang terkait dengan struktur TI diperiksa. Ini diilustrasikan melalui
dua model organisasi ekstrim yaitu pendekatan terpusat dan pendekatan pendistribusian.

2.1 Pengolahan Data Centralized

Di bawah model Pengolahan Data Centralized, semua pemrosesan data dilakukan

oleh rumah komputer besar atau raksasa di lokasi pusat yang berfungsi digunakan di
seluruh organisasi pengolahan data, dan pengembangan sistem dan pemeliharaan.
Deskripsi fungsi kunci dari masing-masing bidang berikut.

A. Administrasi Database
Perusahaan yang dikelola secara sentral mempertahankan sumber data
mereka di lokasi sentral yang dikomandoi oleh semua pengguna akhir. Dalam
pengaturan data bersama ini, group independen yang dipimpin oleh administrator
database (DBA) bertanggung jawab atas ketajaman dan keterkaitan database.
B. Pengolahan Data
Kelompok pengolahan data mengelola sumber daya komputer yang digunakan
untuk melakukan pemrosesan transaksi sehari-hari. Ini terdiri dari fungsi organisasi
yaitu :
 Konversi data. Fungsi konversi data mentranskripsikan data transaksi dari
dokumen sumber hard copy menjadi input komputer: misalnya, konversi
data bisa membuat perintah penjualan ke dalam aplikasi pesanan
penjualan dalam sistem modern, atau mentranskripsikan data ke dalam
media magnetik (tape atau disk) yang sesuai untuk pengolahan komputer
dalam sistem tipe warisan.
 Operasi komputer. File elektronik yang dihasilkan dalam konversi data
kemudian diproses oleh komputer pusat, yang dikelola oleh kelompok
 operasi komputer. Aplikasi akuntansi biasanya dijalankan sesuai jadwal
yang ketat yang dikontrol oleh sistem operasi komputer pusat.
 Perpustakaan data. Perpustakaan data adalah ruangan yang berdekatan
dengan pusat komputer yang menyediakan penyimpanan penyimpanan
untuk file data off-line. File-file itu bisa berupa backup atau file data saat ini.
Selain itu, perpustakaan data digunakan untuk menyimpan salinan asli
perangkat lunak komersial dan lisensi mereka untuk penyimpanan.
Seorang pustakawan data, yang bertanggung jawab atas penerimaan,
penyimpanan, pengambilan, dan penyimpanan file data, mengendalikan
akses ke perpustakaan.
C. Pengembangan dan Pemeliharaan Sistem
Sistem informasi kebutuhan pengguna dipenuhi oleh dua fungsi terkait:
pengembangan sistem dan pemeliharaan sistem. Kelompok terdahulu
bertanggung jawab untuk menganalisis kebutuhan pengguna dan merancang
syetem baru untuk memenuhi kebutuhan tersebut. Peserta dalam kegiatan
pengembangan sistem meliputi profesional sistem, pengguna akhir, dan pemangku
kepentingan.

2.2 Pemisahan Fungsi TI Yang Tidak Kompatibel

Bab sebelumnya menekankan pentingnya memisahkan tugas yang tidak sesuai
dalam aktivitas manual. Secara spesifik, tugas operasional harus dipisahkan menjadi :
1. Memisahkan otorisasi transaksi dari proses transaksi,
2. Pencatatan terpisah dari penitipan aset
3. Bagi tugas pemrosesan transaksi di antara individu-individu yang kekurangan
kolusi antara dua atau lebih kecurangan individu tidak akan mungkin dilakukan.

Pengembangan Sistem Sengketa dari Operasi Komputer.

Segregasi pengembangan sistem (baik pengembangan dan pemeliharaan sistem
baru) dan kegiatan operasi sangat penting. Hubungan antara kelompok-kelompok ini
harus sangat formal, dan tanggung jawab mereka tidak akan digabungkan.
Pengembangan sistem dan profesional pemeliharaan harus menciptakan (dan
memelihara) sistem bagi pengguna, dan seharusnya tidak terlibat dalam memasukkan
data, atau menjalankan aplikasi (seperti operasi komputer).
 Kontrol organisasi dan pengarsipan lainnya adalah pemisahan administrator
database (DBA) dari fungsi pusat komputer lainnya yang bertanggung jawab atas
sejumlah tugas penting yang berkaitan dengan keamanan database kto, termasuk
membuat skema database dan wiew pengguna, menetapkan otoritas akses satabase
kepada pengguna, memantau penggunaan database , dan merencanakan ekspansi ke
depan. Mendelegasikan tanggung jawab ini kepada orang lain yang melakukan tugas
yang tidak sesuai mengancam integratif database.

Memisahkan Pembangunan Sistem Baru dari Pemeliharaan

Beberapa perusahaan mengatur fungsi pengembangan sistem in-house mereka
menjadi dua kelompok: analisis dan pemrograman sistem. Kelompok analisis sistem
bekerja dengan pengguna untuk menghasilkan perancangan detil sistem baru. Kelompok
pemrograman mengkodekan program sesuai dengan spesifikasi desain ini. Dengan
pendekatan ini, programer yang mengkode program asli juga memelihara sistem selama
tahap pemeliharaan siklus hidup pengembangan sistem. Meskipun pengaturan yang sama,
pendekatan ini dikaitkan dengan dua jenis masalah kontrol yaitu dokumentasi dan potensi
kecurangan program yang tidak memadai.

Struktur Unggulan Untuk Pengembangan Sistem

Fungsi pengembangan sistem dipisahkan menjadi dua kelompok yang berbeda
yaitu pengembangan sistem baru dan pemeliharaan sistem. Kelompok pengembangan
sistem baru bertanggung jawab untuk merancang, memprogram, dan
mengimplementasikan proyek sistem baru. Dengan implementasi yang berhasil, tanggung
jawab untuk pemeliharaan sistem terus berlanjut sampai ke kelompok pemeliharaan
system.

2.3 Model Terdistribusi

Alternatif model terpusat merupakan konsep dari distributed data processing (DDP).
Topik DDP cukup luas, menyentuh topik terkait seperti komputasi pengguna akhir,
perangkat lunak komersial, jaringan, dan otomasi kantor. DDP melibatkan reorganisasi
fungsi TI pusat menjadi unit TI kecil yang berada di bawah kendali pengguna akhir. Unit TI
dapat didistribusikan sesuai dengan fungsi bisnis, lokasi geografis, atau keduanya.
A. Risiko yang Terkait dengan DDP
Risiko yang perlu dipertimbangkan saat menerapkan DDP meliputi :
 - Penggunaan Sumber Daya yang tidak efisien
- Penghilangan jejak audit
- Segregasi tugas yang tidak memadai.
- Mempekerjakan profesional yang berkualitas
- Kurangnya standar.
B. Kelebihan DDP
Keunggulan potensial yang dimiliki DDP adalah sebagai berikut :
- Pengurangan Biaya
- Tanggung jawab pengendalian biaya yang lebih baik.
- Meningkatkan kepuasan pengguna
- Fleksibilitas cadangan

2.4 Mengendalikan lingkungan DDP

Untuk melakukan pengendalian terhadap lingkungan DDP, terdapat beberapa

perbaikan model DDP yang ketat yaitu :

a. Menerapkan fungsi IT perusahaan

Dalam hal ini, kelompok TI perusahaan menyediakan pengembangan
sistem dan pengelolaan basis data untuk sistem keseluruhan entitas selain saran
teknis dan keahlian kepada komunitas TI terdistribusi. Berikut beberapa layanan
yang diberikan oleh kelompok IT perusahaan :
 Pengujian Pusat Perangkat Lunak dan Perangkat Lunak Komersial
 Layanan Pengguna
 Standard-Setting Body
 Ulasan personalia

o Pengujian Pusat Perangkat Lunak dan Perangkat Lunak Komersial

Grup TI perusahaan terpusat lebih siap daripada dan pengguna

mengevaluasi kelebihan perangkat lunak komersial dan produk perangkat
keras yang bersaing yang sedang dipertimbangkan. Kelompok sentral yang
secara teknis cerdik seperti ini dapat mengevaluasi fitur, kontrol, dan
kompatibilitas sistem dengan standar industri dan organisasi.
 o Layanan Pengguna

Fitur berharga dari grup perusahaan adalah fungsi layanan

penggunanya. Kegiatan ini memberikan bantuan teknis kepada pengguna
selama pemasangan perangkat lunak baru dan dalam mengatasi masalah
masalah perangkat keras dan perangkat lunak.

o Standard-Setting Body

Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh model

DPD dapat ditingkatkan dengan menetapkan beberapa panduan utama.
Kelompok perusahaan dapat berkontribusi pada tujuan ini dengan menetapkan
dan mendistribusikan ke area pengguna sesuai standar untuk pengembangan,
pemrograman, dan dokumentasi sistem.

o Ulasan personalia

Kelompok perusahaan seringkali lebih siap daripada pengguna untuk

mengevaluasi kredensial teknis profesional sistem prospektif. Meskipun
profesional sistem sebenarnya akan menjadi bagian dari kelompok pengguna
akhir, keterlibatan kelompok perusahaan dalam keputusan kerja dapat
memberikan layanan yang berharga bagi organisasi.

3.0 Prosedur Audit

Prosedur audit berikut akan berlaku untuk sebuah organisasi dengan fungsi TI
terpusat:

 Meninjau dokumentasi yang relevan, termasuk bagan organisasi saat ini,

pernyataan misi, dan uraian tugas untuk fungsi utama, untuk menentukan apakah
individu atau kelompok melakukan fungsi yang tidak sesuai.
 Review dokumentasi dan catatan pemeliharaan sistem untuk contoh aplikasi.
Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan ke proyek tertentu
juga bukan pemrogram desain asli.
 Pastikan operator komputer tidak memiliki akses ke rincian operasional logika
internal sistem. Dokumentasi sistem, seperti diagram alir sistem, diagram alur
logika, dan daftar kode program, tidak boleh menjadi bagian dari dokumentasi
operasi.
  Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti dalam
praktik. Tinjau log akses ruang operasi untuk menentukan apakah pemrogram
memasukkan fasilitas tersebut dengan alasan selain kegagalan sistem.

Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi:

 Tinjau bagan organisasi saat ini, pernyataan misi, dan uraian tugas untuk fungsi
utama untuk menentukan apakah individu atau kelompok melakukan tugas yang
tidak sesuai.
 Verifikasi bahwa kebijakan dan standar perusahaan untuk sistem yang dirancang,
disain, dokumentasi, dan akuisisi perangkat keras dan perangkat lunak
dipublikasikan dan diserahkan ke unit TI terdistribusi.
 Pastikan kontrol kompensasi, seperti pemantauan pengawasan dan manajemen,
dipekerjakan bila pemisahan tugas yang tidak kompatibel secara ekonomi tidak
layak dilakukan.
 Mengkaji ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur,
dan database dirancang dan berfungsi sesuai dengan standar perusahaan.

4.0 PUSAT KOMPUTER

Akuntan secara rutin memeriksa lingkungan fisik pusat komputer sebagai bagian
dari audit tahunan mereka. Tujuan dari bagian ini adalah untuk menyajikan risiko pusat
komputer dan kontrol yang membantu mengurangi risiko dan menciptakan lingkungan
yang aman. Berikut ini adalah area eksposur potensial yang dapat mempengaruhi kualitas
informasi, catatan akuntansi, pemrosesan transaksi, dan efektivitas pengendalian internal
lainnya yang lebih konvensional. Diantaranya seperti pengecekan terkait :

 Lokasi Fisik
 Konstruksi
 Mengakses
 Kondisi Udara
 Pemadam Kebakaran
 Toleransi Fault
 Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasinya
saat sebagian sistem gagal karena kegagalan perangkat keras, program aplikasi error,
atau kesalahan operator lmplementing fault kontrol toleransi memastikan bahwa tidak
ada satu titik kegagalan sistem potensial yang ada. Kegagalan total hanya dapat
terjadi jika beberapa komponen Dua contoh teknologi toleransi kesalahan dibahas
selanjutnya.

4.l Redundant Array Disk Independen (RAID).

Serangan melibatkan penggunaan disk paralel yang mengandung unsur data dan
aplikasi yang berlebihan. Jika satu disk gagal, data yang hilang secara otomatis
direkonstruksi dari komponen berlebihan yang tersimpan pada disk lainnya.

4.2 Pengujian Uninterruptible Power Supply.

Pusat komputer harus melakukan tes berkala terhadap cadangan catudaya guna
memastikan kapasitasnya memadai untuk menjalankan komputer dan pendingin ruangan.
Ini adalah tes yang sangat penting, dan hasilnya harus dicatat secara formal

4.3 Pengujian Untuk Cakupan Asuransi.

Auditor setiap tahun harus meninjau ulang perlindungan asuransi untuk perangkat
keras komputer, perangkat lunak, dan fasilitas fisik perusahaan . Auditor harus
memverifikasi bahwa semua akuisisi baru dicantumkan pada polis dan perangkat usang
telah dihapus. Polis asuransi harus mencerminkan pengelolaan kebutuhan dalam hal
cakupan yang dibutuhkan.

4.4 PERENCANAAN DARI PENCEGAHAN BENCANA

 Kebakaran

Alam Banjir

Tornado

Sabotase
Bencana Akibat Manusia

Eror

Kehabisan
Daya

Kegagalan Kegagalan
sistem Hard drive

Kegagalan
Software

Perusahaan mengembangkan prosedur pemulihan dan memformalkannya menjadi

rencana pemulihan bencana (Disaster Recovery Plant/DRP). Ini adalah pernyataan
komprehensif dari semua tindakan yang harus dilakukan sebelum,selama, dan setelah
terjadinya dalam bencana apapun. Meskipun rincian masing-masing rencana untuk
kebutuhan organisasi berbeda-beda, semua rencana kerja tetap memiliki empat ciri
umum:

 Identifikasi aplikasi kritis

 Buat tim pemulihan bencana
 Menyediakan backup situs.
 Tentukan prosedur penyimpanan backup dan off-site

Sisadari bagian ini dikhususkan untuk diskusi tentang elemen pentingdari DRP yang
efektif.

5.0 Mengidentifikasi Aplikasi Kritis

Bagi kebanyakan organisasi, kelangsungan hidup jangka pendek memerlukan
pemulihan fungsi-fungsi yang menghasilkan arus kas yang cukup untuk memenuhi
kewajiban jangka pendek. Sebagaicontoh, asumsikan bahwa fungsi berikut
mempengaruhi posisi arus kas perusahaan tertentu:
 Penjualan dan layanan pelanggan
 Pemenuhan kewajiban hukum
 Pemeliharaan dan pengumpulan piutang produksi
 Keputusan produksi dan distribusi
 Fungsi pembelian
 Pencairan uang tunai (akun perdagangan dan gaji)

Aplikasi komputer yang mendukung fungsi bisnis ini secara langsung sangat
penting. Oleh karena itu, aplikasi ini harus diidentifikasi dan diprioritaskan dalam rencana
restorasi.

5.1 Membentuk Tim Pemulihan Kendala atau Hambatan

Pemulihan dari hambatan bergantung pada tindakan korektif yang tepat waktu.
Penundaan dalam melakukan tugas penting memperpanjang masa pemulihan dan
mengurangi prospek pemulihan yang berhasil. Anggota tim harus menjadi ahli di bidang
mereka dan telah menugaskan tugas. Setelah kendala, anggota tim akan mendelegasikan
subtugas ke bawahan mereka. Perlu dicatat bahwa masalah kontrol tradisional tidak
berlaku dalam situasi ini.

5.2 Menyiapkan Backup Cadangan

Bahan yang diperlukan dalam DRP adalah menyediakan fasilitas pengolahan data
duplikat setelah terjadi kendala. Di antara pilihan yang tersedia, yang paling umum adalah
pakta bantuan bersama; situs kosong atau dingin; pusat operasi pemulihan atau situs
yang panas; dan cadangan yang disediakan secara internal. Masing-masing dibahas pada
bagian berikut :

 Pakta Reksa Dana

Pakta bantuan bersama adalah kesepakatan antara dua atau lebih organisasi
(dengan fasilitas komputer yang kompatibel) untuk saling membantu dengan
kebutuhan pengolahan data mereka jika terjadi kendala. Dalam acara seperti itu,
 perusahaan induk harus mengganggu jadwal pemrosesannya untuk memproses
transaksi kritis perusahaan yang dilanda dasater.
 Shell Kosong
Rencana lokasi shell kosong atau cold site adalah pengaturan dimana perusahaan
membeli atau menyewa bangunan yang akan berfungsi sebagai pusat data. Jika
terjadi kendala, cangkangnya tersedia dan siap menerima perangkat keras apa
pun yang dibutuhkan pengguna sementara untuk menjalankan sistem penting.
 Pusat Operasi Pemulihan
Pusat operasi pemulihan (ROC) atau situs yang panas adalah pusat data
cadangan sepenuhnya yang dimiliki banyak perusahaan. Selain fasilitas perangkat
keras dan cadangan, penyedia layanan ROC menawarkan berbagai layanan teknis
untuk layanan mereka.
 Backup yang diberikan secara internal
Organisasi yang lebih besar dengan banyak pusat pemrosesan data sering
memilih kemandirian yang menciptakan kapasitas kelebihan internal. Ini
memungkinkan perusahaan mengembangkan konfigurasi perangkat keras dan
perangkat lunak standar, yang memastikan kompatibilitas fungsional di antara
pusat pemrosesan data mereka dan meminimalkan masalah cutover dalam
kejadian bencana.

A. Backup dan Off-Site Storage Procedures

 Cadangan Sistem Operasi
Jika perusahaan menggunakan situs yang dingin atau metode backup situs lainnya
yang tidak termasuk sistem operasi yang kompatibel (O / S), prosedur untuk
mendapatkan versi sistem operasi saat ini harus ditentukan secara jelas.
 Cadangan Aplikasi
DRP harus mencakup prosedur untuk membuat salinan dari aplikasi kritis versi
terkini. Dalam kasus perangkat lunak komersial, ini melibatkan pembelian salinan
cadangan dari upgrade perangkat lunak terbaru yang digunakan oleh organisasi.
 File Data Cadangan
Backup state-of-the-art dalam backup database adalah situs mirror jarak jauh,
yang menyediakan data lengkap mata uang.
 Dokumentasi Cadangan
 Dokumentasi sistem untuk aplikasi kritis harus dicadangkan dan disimpan di luar
lokasi beserta aplikasi.
 Persediaan Cadangan dan Dokumen Sumber
Organisasi harus membuat persediaan cadangan persediaan dan dokumen
sumber yang digunakan dalam memproses transaksi penting.
 Menguji DRP
Aspek perencanaan kontinjensi yang paling diabaikan adalah menguji DRP.
Meskipun demikian, tes DRP penting dan harus dilakukan secara berkala.

Kemajuan rencana harus dicatat pada poin-poin kunci selama periode pengujian.
Pada akhir pengujian, hasilnya kemudian dapat dianalisis dan laporan kinerja DRP
disiapkan. Tingkat kinerja yang dicapai memberikan masukan untuk keputusan untuk
memodifikasi DRP atau menjadwalkan tes tambahan. Manajemen organisasi harus
mencari ukuran kinerja di masing-masing bidang berikut: (1) keefektifan personil tim DRP
dan tingkat pengetahuan mereka; (2) tingkat keberhasilan konversi (yaitu, jumlah catatan
yang hilang); (3) perkiraan kerugian finansial karena kehilangan catatan atau fasilitas; dan
(4) efektivitas prosedur backup dan pemulihan program, data, dan dokumentasi.

B. Tujuan Audit

Auditor harus memverifikasi bahwa rencana pemulihan bencana manajemen harus

memadai dan layak untuk menghadapi bencana yang dapat menghilangkan oganisasi
sumber daya komputasinya.

C. Prosedur audit

DRP manajemen adalah solusi yang realistis untuk menghadapi bencana

manajemen, tes berikut dapat dilakukan :

1. Cadangan situs
2. Daftar Aplikasi Kritis
3. Backup Perangkat Lunak
4. Cadangan data
5. Persediaan Cadangan, Dokumen, dan Dokumentasi
6. Tim pemulihan bencana
6.0 Fungsi Outsourcing
Banyak eksekutif memilih untuk menggunakan futsal TI ke vendor pihak ketiga
yang mengambil alih tanggung jawab untuk memilih melakukan outsourcing. Manfaat IT
Outsourcing mencakup peningkatan kinerja bisnis inti, peningkatan kinerja TI (karena
keahlian vendor), dan mengurangi biaya TI.
Logika yang mendasari TI outsourcing adalah teori kompetensi inti, yang
berpendapat bahwa sebuah organisasi harus berfokus secara eksklusif pada kompetensi
bisnis intinya, sementara memungkinkan vendor outsourcing untuk secara efisien
mengelola area non-inti seperti fungsi TI. Premis ini, mengabaikan perbedaan penting
antara com-modity dan aset TI yang spesifik.
 Aset TI komoditi tidak unik untuk organisasi tertentu dan mudah didapat di pasar.
Hal ini mencakup hal-hal seperti manajemen jaringan, operasi sistem,
pemeliharaan server, dan fungsi help desk.
 Teori Biaya Biaya Ekonomi (TCE) bertentangan dengan sekolah kompetensi inti
dengan menyarankan bahwa perusahaan harus mempertahankan aset TI non-inti
spesifik tertentu di-rumah.

6.1 Risiko yang melekat pada IT Outsourcing

Kegiatan outsourcing IT skala besar adalah usaha yang berisiko, sebagian karena
ukuran semata dari kesepakatan keuangan ini, tetapi juga karena sifatnya. Tingkat risiko
terkait dengan tingkat kekhususan aset dari fungsi outsourcing. Berikut beberapa masalah
terdokumentasi dengan baik.
 Kegagalan untuk melakukan
 Eksploitasi vendor
 Biaya Outsourcing Melebihi Manfaat
 Mengurangi keamanan
 Hilangnya Keuntungan Strategis
 Implikasi Audit IT Outsourcing

Menurut Standar Auditing No.2, PCAOB menyatakan bahwa penggunaan

organisasi layanan tidak mengurangi tanggung jawab manajemen untuk mempertahankan
pengendalian internal yang efektif atas pelaporan keuangan. Sebaliknya, manajemen
pengguna harus mengevaluasi pengendalian di organisasi layanan, dan juga kontrol
terkait di perusahaan pengguna, saat melakukan penilaian tentang pengendalian internal
atas pelaporan keuangan. Sehingga, jika perusahaan audit mengalihkan fungsi TI-nya
kepada vendor yang memproses transaksinya, menjadi tuan rumah data utama, atau
melakukan layanan penting lainnya, auditor perlu melakukan evaluasi terhadap kontrol
organisasi vendor, atau dengan alternatif memperoleh laporan auditor SAS No. 70 dari
organisasi vendor.
 KESIMPULAN

Tata kelola teknologi informasi (TI) merupakan subset yang relatif baru dari tata kelola
perusahaan yang berfokus pada pengelolaan dan penilaian sumber daya TI strategis.
Tujuan utama tata kelola TI adalah mengurangi risiko dan memastikan investasi sumber
daya TI memberi nilai tambah bagi korporasi. Dalam pengendalian tata kelola TI terdapat
tiga masalah tata kelola TI yang ditangani oleh SOX dan kerangka pengendalian internal
COSO ini adalah struktur organisasi fungsi TI, operasi di pusat komputer, dan
perencanaan pemulihan bencana.
Resume ini menyajikan risiko dan kontrol yang terkait dengan tata kelola TI. Ini
dimulai dengan definisi singkat tentang tata kelola TI dan mengidentifikasi implikasinya
terhadap pengendalian internal dan pelaporan keuangan. Selanjutnya disajikan eksposur
yang bisa timbul dari penataan fungsi IT yang tidak tepat dalam organisasi.
resume ini juga membahas ulasan tentang ancaman dan kontrol pusat komputer,
termasuk melindunginya dari kerusakan dan perusakan dari rencana pemulihan bencana
alam. Beberapa faktor perlu dipertimbangkan dalam rencana seperti itu, termasuk
menyediakan cadangan situs kedua, mengidentifikasi aplikasi penting, melakukan
prosedur penyimpanan cadangan dan off-site, menciptakan tim pemulihan bencana, dan
menguji DRP.
Bagian terakhir resume ini membahas masalah seputar tren yang berkembang
terhadap outsourcing TI. Secara khusus, ditinjau logika yang mendasari outsourcing dan
manfaat yang diharapkan. Pengambilalihan TI juga diasosiasikan dengan risiko signifikan,
yang ditangani. Bab ini diakhiri dengan diskusi tentang masalah audit di lingkungan
outsourcing.

REFERENSI

e-book.Hall A James. 2011. Information Technologi Auditing 3E. United State of

America :PreMediaGlobal