CHAPTER 2 .

AUDITING IT GOVERNANCE CONTROLS

Learning Objectives
 Understand the risk of incompatible functions and how to structure the IT function
 Be familiar with the controls and precautions required to ensure the security of an
organization’s computer facilities
 Understand the key elemens of the disaster recovery plan
 Be familiar with the benefits, risks and audit issues related to IT outsourcing

1. INFORMATION TECHNOLOGY GOVERNANCE

Teknologi informasi (IT) governance adalah bagian yang relatif baru dari tata kelola
perusahaan yang berfokus pada manajemen dan penilaian sumber daya strategis TI. tujuan
utama dari tata kelola TI yaitu untuk mengurangi risiko dan memastikan bahwa investasi di
sumber daya TI menambah nilai korporasi.
IT Governance Controls
Meskipun permasalahan IT governance penting bagi suatu organisasi, semua itu tidak
berarti bahwa akan mempengaruhi pengendalian internal dan pelaporan keuangan
perusahaan. IT Governance Controls ini berfokus pada:
1. Struktur organisasi dari fungsi IT
2. pusat operasi Komputer perencanaan pemulihan
3. Bencana
2. STRUCTURE OF THE INFORMATION TECHNOLOGY FUNCTION
The organization of the IT Function has implications for the nature and effectiveness of
internal control
1. Centralized Data Processing Approach
semua pemrosesan data dilakukan oleh satu atau lebih komputer besar yang
ditempatkan di situs pusat yang melayani pengguna di seluruh organisasi.
 Kegiatan layanan TI dikonsolidasikan dan dikelola sebagai sumber daya
bersama.
 Fungsi layanan TI biasanya diperlakukan sebagai pusat biaya di mana biaya
operasi dibebankan kembali ke pengguna akhir.
Berdasarkan model pengolahan data terpusat, semua pengolahan data dilakukan oleh satu
atau lebih komputer besar bertempat di sebuah situs pusat yang berfungsi pengguna di
seluruh organisasi.
 Gambar 2.1 pemrosesan data terpusat

Gambar 2.2 grafik pemrosesan data organisasi terpusat

Administrasi Database
 Dipimpin oleh Administrator database, yang bertanggung jawab atas keamanan
dan integritas dari database.
Pemrosesan data
 Mengelola sumber daya komputer yang digunakan untuk melakukan pemrosesan
transaksi sehari-hari yang terdiri dari :
• konversi data. Konversi sumber salinan ke input komputer.
• operasi komputer. Mengelola file elektronik dan aplikasi kontrol
• pustaka data. Ruang yang menyediakan penyimpanan aman untuk file data offline.
Primary service s areas
1. Systems Development
Sistem informasi kebutuhan pengguna terpenuhi oleh dua fungsi terkait: pengembangan
sistem dan sistem pemeliharaan. Pengembangan sistem bertanggung jawab untuk
menganalisis kebutuhan pengguna dan untuk merancang sistem baru untuk memenuhi
kebutuhan tersebut. Para peserta dalam kegiatan pengembangan sistem termasuk sistem
profesional, pengguna akhir, dan stakeholder.
2. Systems Maintenance
Setelah sistem baru telah dirancang dan diimplementasikan, sistem grup pemeliharaan
bertanggung jawab untuk menjaga saat ini dengan kebutuhan pengguna. Pemeliharaan
merujuk membuat perubahan logika program untuk mengakomodasi pergeseran kebutuhan
pengguna dari waktu ke waktu.
Strukturing the IT Function
1. Segregation of Incompatible Functions
tugas operasional harus dipisahkan untuk:
1. otorisasi transaksi terpisah dari pemrosesan transaksi.
2. catatan terpisah menjaga dari tahanan aset.
3. pembagian tugas pemrosesan transaksi antar individu, sehingga kolusi antara dua
atau lebih individu dapat diminimalisir.
2. Memisahkan Pengembangan sistem dari operasi komputer
 Pengembangan sistem dan profesional tidak dapat memasukkan data atau
menjalankan aplikasi
 Staf operasi tidak terlibat dalam desain aplikasi

3. Memisahkan DBA dari fungsi lainnya.

DBA bertanggung jawab untuk beberapa tugas penting yaitu
 Keamanan database
 Membuat skema basis data dan tampilan pengguna
 Menetapkan otoritas akses basis data kepada pengguna
 Memantau pengguna database
 Merencanakan perubahan dimasa depan
 Memisahkan pengembangan sistem baru dari pemeliharaan
 kelompok pengembangan sistem : analisis dan pemrograman sistem
 Dokumentasi yang tidak memadai. Tugas yang tidak menarik dan penipuan
program keamanan.
 Program keamanan. Perubahan yang tidak sah pada modul program.
 gambar 2.3 System Development

4. Struktur superior untuk pengembangan sistem

pisahkan pengembangan sistem baru dan fungsi pemeliharaan sistem
Alasan:
• untuk meningkatkan standar dokumentasi
• untuk memblokir programer asli, masa depan akses ke program.

2. The Distributed Data Processing models

Sebuah alternatif untuk model terpusat adalah konsep pengolahan data terdistribusi
(DDP). Topik DDP cukup luas, menyentuh pada topik terkait seperti akhir-user
computing, software komersial, jaringan, dan otomatisasi kantor. Secara sederhana,
DDP melibatkan reorganisasi fungsi TI pusat ke unit TI kecil yang ditempatkan di
bawah kendali pengguna akhir.
Dua pendekatan Alternatif yaitu :
1. Model sentralisasi
Operasi komputer dan administrasi basis data tetap ada
2. Model desentralisasi
Dibutuhkan pengaturan jaringan yang memungkinkan komunikasi dan transfer
data antar unit.
Risks Associated with DDP
 efisien penggunaan Sumber Daya
• resiko salah urus sumber daya organisasi-lebar IT oleh pengguna akhir
• risiko inefisiensi operasional karena tugas berlebihan yang dilakukan dalam komite
end-user
• risiko hardware tidak kompatibel dan perangkat lunak antara fungsi end-user
 Penghancuran Trails Audit
 Pemisahan memadai Tugas
 Kesulitan dalam Mempekerjakan Tenaga Berkualitas
 Kurangnya Standar

Keuntungan dari DDP (distributed data processing)

 Dapat mengurangi penggunaan biaya
 Data dapat diedit dan dimasukkan oleh pengguna akhir, menghilangkan tugas
terpusat persiapan data.
 Kompleksitas aplikasi dapat dikurangi, yang pada gilirannya mengurangi sistem
biaya pengembangan dan pemeliharaan.
 Tanggung jawab kontrol biaya yang ditingkatkan.
 Manajer memiliki kontrol lebih besar pada sumber daya TI.
 Meningkatkan kepuasan pengguna.
 Pengguna tidak terhalang dalam mengontrol sumber daya.
 Pengguna ingin profesional sistem (analis, programmer, dan operator komputer)
responsif dalam situasi apa pun.
 Pengguna dapat secara aktif terlibat dalam mengembangkan sistem mereka
sendiri.
  Fleksibilitas Cadangan.
 Kemampuan dalam melakukan pencadangan fasilitas komputasi lebih fleksibel

Mengontrol Lingkungan DDP

Dalam mengontrol lingkungan DDP diperlukan analisis yang cermat untuk menentukan
apakah lingkungannya terpusat atau didistribusikan.
Berikut merupakan beberapa perbaikan yang ada pada model DDP :
 Menerapkan fungsi TI perusahaan
 Pusat Pengujian perangkat lunak dan Perangkat Keras Komersial
 Mengevaluasi fitur sistem, kontrol, dan kompatibilitas dengan industri dan
standar organisasi
 Layanan pengguna
 Help desk: dukungan teknis, FAQ, ruang obrolan, dll.
 Badan penguji standar
 Mendistribusikan standar dalam pengembangan sistem, pemrograman dan
dokumentasi
 Tinjauan personil
 Keterlibatan staf TI dalam keputusan ketenagakerjaan

Tujuan Audit: Lingkungan DDP

 Untuk memastikan bahwa struktur fungsi IT terpisah dari area yang tidak
kompatibel dengan tingkat risiko potensial.
 Untuk memastikan bahwa terdapat hubungan yang benar dan sesuai.
Prosedur Audit dalam Fungsi TI Terpusat
1. Meninjau dokumentasi yang relevan untuk menentukan apakah individu atau
kelompok melakukan fungsi yang tidak sesuai, termasuk bagan organisasi,
pernyataan misi dan deskripsi pekerjaan
2. Meninjau dokumentasi sistem dan catatan perawatan untuk contoh aplikasi yaitu
dengan memastikan pemrogram pemeliharaan tidak termasuk untuk program yang
asli.
3. Pastikan operator komputer tidak memiliki akses ke detail operasional logika internal
sistem, termasuk dokumentasi sistem, seperti diagram alur sistem, dll
4. Menentukan bahwa kebijakan pemisahan dalam pantauan yaitu dengan meninjau
log akses ruang operasi, menentukan apakah pemrogram masuk karena kegagalan
sistem atau karena alasan lain.

Prosedur Audit dalam Fungsi IT Terdistribusi

1. Meninjau bagan organisasi saat ini, pernyataan misi dan deskripsi pekerjaan untuk
fungsi-fungsi utama untuk menentukan apakah individu atau kelompok melakukan
tugas yang tidak sesuai
2. Memastikan bahwa kebijakan dan standar perusahaan diterbitkan dan disediakan
untuk Unit TI yang didistribusikan
3. Memastikan kontrol kompensasi digunakan ketika pemisahan tugas yang tidak
kompatibel tidak layak
4. Meninjau dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur, dan
basis data dirancang dan berfungsi sesuai dengan standar perusahaan

Pusat Komputer
Berikut adalah daftar risiko pusat komputer dan kontrol yang dapat mengurangi risiko dan
menciptakan lingkungan yang aman:
 Lokasi fisik
• Hindari bahaya buatan manusia, kegagalan sistem dan bencana alam
 Konstruksi
• Idealnya: satu lantai, utilitas bawah tanah, tanpa jendela, memiliki sistem penyaringan
udara yang baik
• Jika gedung bertingkat, gunakan daerah yang berada di tengah (jauh dari arus lalu
lintas, dan jauh dari potensi banjir)
 Akses
• akses pada pusat komputer harus terbatas oleh operator dan karyawan yang bekerja
ditempat tersebut.
 AC
• Suhu yang baik berada dalam kisaran suhu 70-75 Fahrenheit
• Kelembaban relatif 50%
 Pemadaman api
 Ditempatkan di lokasi strategis
 Sistem pemadam api otomatis: Penyiram (menggunakan air), gas halon
(mengeluarkan oksigen), FM200-TM (Pemadaman kebakaran yang aman)
 Bangunan konstruksi yang kuat
 Pintu keluar harus ditandai dengan jelas dan menyala selama kebakaran apabila
terjadi kebakaran

 Toleransi kesalahan
 Susunan Redundant of Independent Disks (RAID) yaitu dengan menggunakan disk
paralel
 Sumber Daya listrik yaitu diperlukan tenaga yang bersih dan memiliki daya
cadangan (daya tanpa gangguan)

Tujuan Audit dalam Pusat Komputer

 Mengontrol keamanan fisik yang memadai untuk melindungi organisasi dari
paparan fisik
 Cakupan asuransi untuk peralatan memadai untuk mengkompensasi kerusakan
pusat komputer

Prosedur Audit dalam Pusat Komputer

1. Tes Konstruksi Fisik
 Menggunakan jasa arsitektur untuk menentukan bangunan yang dibangun dengan
kokoh dan bahan tahan api
 Memastikan memiliki drainase yang memadai
 Menilai lokasi fisik
2. Tes Sistem Deteksi Kebakaran
 Memastikan peralatan pendeteksi kebakaran dan penindasan tersedia dan diuji
secara teratur
 Meninjau catatan resmi petugas pemadam kebakaran
3. Tes Kontrol Akses
 Pusat komputer terbatas untuk karyawan yang berwenang
 Tinjau log akses
 Amati proses yang memungkinkan
 Tinjau rekaman video kamera
 4. Tes RAID
 Menentukan apakah level RAID memadai untuk organisasi, berikan level jika risiko
bisnis terkait dengan kegagalan disk
 Jika tidak ada RAID, tinjau prosedur untuk memulihkan dari kegagalan disk
5. Tes Sumber daya tanpa hambatan
 Lakukan tes berkala untuk memastikan kapasitasnya untuk menjalankan komputer
dan udara
 Pengkondisian
 Mencatat hasilnya
6. Tes Cakupan Asuransi
 Tinjau pertanggungan asuransi perangkat keras komputer,
 perangkat lunak dan fasilitas fisik
 Verifikasi semua akuisisi baru
 Verifikasi peralatan dan perangkat lunak usang yang dihapus
 Verifikasi polis asuransi

Perencanaan Pemulihan Bencana

 Bencana seperti gempa bumi, banjir, atau kegagalan daya dapat menjadi bencana
besar bagi pusat komputer dan sistem informasi organisasi
 Semakin bergantung pada teknologi, semakin rentan terhadap risiko
 Fitur umum DRP
- Identifikasi aplikasi penting
- Buat tim pemulihan bencana
- Berikan cadangan situs
- Tentukan prosedur pencadangan dan penyimpanan di luar lokasi
ALBI

Identifikasi Aplikasi Kritis (36 PPT 69 BUKU)

 Berkonsentrasilah untuk memulihkan aplikasi-aplikasi yang ada penting untuk
kelangsungan hidup jangka pendek organisasi
 Tidak berarti untuk segera mengembalikan fasilitas pemrosesan data dalam kapasitas
penuh
 Prioritas aplikasi dapat berubah dari waktu ke waktu. DRP harus diperbarui
 Partisipasi departemen pengguna, akuntan dan auditor perlu mengidentifikasi item dan
aplikasi penting prioritas
Membuat Tim Pemulihan Bencana
 Pemulihan dari bencana tergantung pada koreksi tepat waktu tindakan
 Penundaan membuat pemulihan tidak berhasil
 Tanggung jawab tugas harus didefinisikan dengan jelas dan dikomunikasikan kepada
personel yang terlibat
 Setiap anggota memiliki keahlian di setiap bidang
 Dalam hal terjadi bencana, seseorang dapat melanggar prinsip control seperti
pemisahan tugas, kontrol akses dan pengawasan
Tim Pemulihan Bencana
Menyediakan Cadangan Situs Kedua
 Duplikat model pemrosesan data
 Dampak bantuan timbal balik
o Perjanjian antara dua atau lebih organisasi untuk saling membantu dalam
peristiwa bencana
o Didorong oleh ekonomi
 Cangkang kosong atau situs dingin
o Melibatkan dua atau lebih organisasi yang membeli atau menyewakan gedung
dan merombaknya menjadi situs komputer, tetapi tanpa peralatan komputer
 Pusat operasi pemulihan atau situs panas
o Situs yang lengkap; sangat mahal dan biasanya digunakan bersama banyak
perusahaan
 Situs hangat
o Perangkat keras ada tetapi cadangan mungkin tidak lengkap.
 Cadangan yang disediakan secara internal
o Pencadangan diri
Perbandingan

Prosedur Pencadangan dan Penyimpanan di Luar Lokasi

 Pencadangan sistem operasi
Jika sistem operasi tidak termasuk, tentukan sistem operasi saat ini dalam prosedur
 Cadangan aplikasi
Masukkan prosedur untuk membuat salinan versi kritis saat ini aplikasi
 Cadangkan file data
Minimal, buat cadangan setiap hari. Paling-paling: remote mirrored
 Dokumentasi cadangan
 Mencadangkan dokumentasi sistem kritis
 Dapat disederhanakan dengan menggunakan Computer Aided Software Engineering
(CASE) alat dokumentasi
 Cadangan persediaan dan sumber dokumen
Contoh: memeriksa stok, faktur, pesanan pembelian, dll
 Menguji DRP
 Harus dilakukan secara berkala
 Simulasi kejutan
 Dokumentasikan status semua pemrosesan yang dipengaruhi oleh pengujian
 Idealnya termasuk fasilitas dan persediaan cadangan
 Mengukur kinerja area di bawah ini:
Efektivitas personel tim DRP dan bidang pengetahuan mereka
Tingkat keberhasilan konversi (mis., Jumlah rekaman yang hilang)
Perkiraan kerugian finansial karena kehilangan catatan atau fasilitas
Efektivitas cadangan program, data, dan dokumentasi dan prosedur pemulihan
Rencana Pemulihan Bencana
1) Aplikasi Penting - Rangking aplikasi penting sehingga pemulihan sistem komputer yang
teratur dan efektif dimungkinkan.
2) Buat Tim Pemulihan Bencana - Pilih anggota tim, tulis deskripsi pekerjaan, jelaskan
proses pemulihan dalam hal siapa melakukan apa.
3) Site Backup - fasilitas situs cadangan termasuk furnitur, perumahan, komputer, dan
telekomunikasi yang sesuai. Pilihan lain yang valid adalah pakta bantuan bersama di
mana bisnis atau cabang yang sama dari perusahaan yang sama menukar ketersediaan
saat dibutuhkan.
4) Backup Hardware - Beberapa vendor menyediakan komputer dengan situs mereka -
yang dikenal sebagai situs panas atau Pusat Operasi Pemulihan. Beberapa tidak
menyediakan perangkat keras - dikenal sebagai situs dingin. Saat tidak tersedia,
pastikan paket mengakomodasi perangkat keras yang kompatibel (mis., Kemampuan
untuk menyewa komputer).
5) Backup Perangkat Lunak Sistem - Beberapa situs panas menyediakan sistem operasi.
Jika tidak termasuk dalam rencana situs, pastikan salinan tersedia di situs cadangan.
6) Pencadangan Perangkat Lunak Aplikasi - Pastikan salinan aplikasi penting tersedia di
situs cadangan
7) Cadangan Data - Salah satu strategi utama dalam pencadangan adalah menyimpan
salinan cadangan data jauh dari kampus bisnis, lebih disukai beberapa mil jauhnya atau
di situs pencadangan. Kunci lainnya adalah menguji fungsi pemulihan cadangan data
sebelum krisis.
8) Supplies - Inventarisasi persediaan harus di situs cadangan atau dapat dikirim dengan
cepat.
9) Dokumentasi - Satu set salinan yang memadai dari pengguna dan dokumentasi sistem.
10) UJI! - Elemen paling penting dari Rencana Pemulihan Bencana yang efektif adalah
untuk mengujinya sebelum krisis terjadi, dan mengujinya secara berkala (mis., Setahun
sekali).
Tujuan Audit
• Tujuan audit - memverifikasi bahwa DRP memadai dan layak untuk menangani bencana
Prosedur Audit DRP
 Mengevaluasi kecukupan pengaturan cadangan situs kedua
Mitra pakta bantuan bersama: kompatibel dengan sistem? Kelebihan dukungan
kapasitas?
ROC: berapa banyak anggota? Lokasi anggota?
Shell kosong: apakah kontrak dengan vendor perangkat keras valid? Penundaan
minimum setelah bencana ditentukan?
 Tinjau daftar aplikasi penting untuk kelengkapan dan mata uang
 Pastikan ada prosedur untuk menyimpan salinan aplikasi dan data di luar lokasi
 Periksa cadangan dan salinan mata uang
 Pastikan dokumentasi, persediaan, dll., Disimpan di luar situs
Periksa stok, faktur, pesanan pembelian dan segala bentuk khusus yang ada di
lokasi yang aman
 Pastikan tim pemulihan bencana mengetahui tanggung jawabnya
Cantumkan nama, alamat, dan nomor telepon anggota tim pemulihan bencana
dengan jelas
 Periksa frekuensi pengujian DRP
Manfaat IT Outsourcing
 Peningkatan proses bisnis inti
 Peningkatan kinerja TI
 Mengurangi biaya TI
Risiko Pengalihdayaan IT
 Kegagalan untuk menjalankan
Kinerja vendor buruk
 Eksploitasi penjual
Ketergantungan vendor
 Biaya melebihi manfaat
Gagal mengantisipasi biaya pemilihan vendor, kontrak dan transisi operasi TI ke vendor
 Keamanan berkurang
Data sensitif yang dimiliki oleh vendor
 Hilangnya keuntungan strategis
Hubungan kerja yang erat antara manajemen perusahaan dan Manajemen TI sulit terjadi
Implikasi Audit atas Pengalihdayaan TI
 Manajemen mempertahankan tanggung jawab SOX untuk memastikan kontrol internal
TI yang memadai
 Diperlukan laporan SAS atau audit vendor No. 70