MUHAMAD KHADIQ

15.0102.0203
AUDITING IT GOVERNANCE CONTROLS
A. Tata Kelola Teknologi Informasi
Tujuan utama dari tata kelola TI adalah untuk :
1. mengurangi risiko
2. memastikan bahwa investasi dalam sumber daya TI menambah nilai bagi perusahaan.
Sebelum SOX Act, praktek umum mengenai investasi pada TI adalah menyerahkan semua keputusan kepada profesional
TI. Sekarang semua elemen organisasi dituntut aktif berpartisipasi dalam perencanaan s.d pengembangan TI.
Kontrol Tata Kelola TI
Mempertimbangkan tiga masalah tata kelola TI yang ditangani oleh SOX dan kerangka kerja pengendalian internal COSO:
1. Struktur organisasi fungsi TI
2. Operasi pusat komputer
3. Perencanaan pemulihan bencana
B. Struktur Fungsi Teknologi Informasi
Pemrosesan Data Terpusat
Berdasarkan model pengolahan data terpusat, semua pemrosesan data dilakukan oleh satu atau lebih komputer yang lebih
besar bertempat di situs pusat yang melayani pengguna di seluruh organisasi.
1. DBA: Central Location, Shared. DBA dan teamnya responsible pada keamanan dan integritas database.
2. Pemrosesan Data mengelola SDIT terdiri dari:
a) Konversi Data: Hard Copy to Soft Copy (inputable to computer)
b) Operasi Komputer: memproses hasil konversi melalui suatu aplikasi
c) Data Library: Storage offline data-> Real Time data Procesing dan direct acces mengurangi peran DL
3. Sys Dev and Maintenis : Analisis kebutuhan, partisipasi dalam desain sistem baru (Profesional, End Users dan
Stakeholder). Menjaga sistem beroperasi sesuai kebutuhan, 80-90% cost dalam IT biasanya ada pada maintanance
(tidak hanya soal merawat/membersihkan HW namun lebih kepada tambal sulam SI.
a) Konversi Data: Hard Copy to Soft Copy (inputable to computer)
b) Operasi Komputer: memproses hasil konversi melalui suatu aplikasi
c) Data Library: Storage offline data-> Real Time data Procesing dan direct acces mengurangi peran DL
Masalah control yang harus diperhatikan dalam proses data tersentralisasi adalah pengamanan DB. Karena jika accesnya
lemah maka seluruh informasi dapat terpapar resiko, bentuk topologi jaringan juga mempengaruhi keandalan data
informasi. Hal ini akan lebih jelas di appendix.
Segregasi Fungsi TI yang Tidak Kompatibel

Pemisahan antara suatu fungsi tertentu demi menjaga IC yang baik:

1. Sys Dev pisahkan dengan Operasional
2. DBA fisahkan dari unit lain
3. Sys Dev pisahkan dengan Maintanance (merupakan superior structure) karena adanya resiko:
a) Inadequate Documentation: Programmer lebih suka mengembangkan sistem baru daripada
mendokumentasikan kinerja sistem lama, juga soal job security perlu diperhatikan karena dpat
menyusun program yang tidak sempurna biar ada kerjaan terus.
b) Program Fraud: unauthorized change karena programer faham seluk beluk operasi normal.
Model Distribusi
Small, powerful, and inexpensive systems. DisDataProc (DDP) melibatkan reorganisasi fungsi IT pusat ke IT unit kecil
yang ditempatkan di bawah kendali pengguna akhir (End Users). Unit IT dapat didistribusikan menurut fungsi bisnis,
lokasi geografis, atau keduanya.
Resikonya mnggunakan model DDP : tidak efisiennya penggunaan sumber daya, perusakan jejak audit, pemisahan tugas
kurang memadai, meningkatkan potensi kesalahan pemrograman dan kegagalan sistem serta kurangnya standarisasi.
Keuntungannya termasuk pengurangan biaya, peningkatan kontrol biaya, meningkatkan kepuasan pengguna, dan adanya
fleksibilitas dalam backup sistem.
Controlling the DDP Environment
1. Central Testing of Commercial Software and Hardware diuji dipusat
2. User Services-> ada Chat room, FAQ, Intranet support dll
3. Standard-Setting Body -> untuk improve keseragaman program and dokumen
 MUHAMAD KHADIQ
15.0102.0203
4. Personnel Review-> ada assesment.
5. Audit Objective : Tujuan auditor adalah untuk memastikan bahwa struktur fungsi TI adalah sedemikian rupa
sehingga individu di daerah yang tidak kompatibel dipisahkan sesuai dengan tingkat potensi risiko dan dengan
suatu cara yang mempromosikan lingkungan kerja yang kondusif.
6. Audit Procedures:
7. Centralized
8. Tinjau dokumentasi yang relevan, untuk menentukan apakah individu atau kelompok yang melakukan fungsi-
fungsi yang tidak kompatibel.
9. Review catatan pemeliharaan,verifikasi bahwa programmer pemeliharaan tertentu tidakmerangkap programer
desain.
10. Pastikan bahwa operator komputer tidak memiliki akses ke logic sistem dokumentasi, seperti sistem diagram alur,
logika diagram alur, dan daftar kode program.
11. Review akses programer untuk alasan selain kegagalan sistem
12. Distributed
13. Tinjau bagan organisasi saat ini , pernyataan misi , dan uraian tugas  incompatible duties .
14. Pastikan bahwa desain sistem ,dokumentasi,hardware dan perangkat lunak hasil akuisisi diterbitkan dan diberikan
to unit TI.
15. Pastikan kontrol kompensasi ->supervisi monitoring
16. Dokumentasi sistem aplikasi , prosedur , dan databasesare dirancang dan berfungsi sesuai dengan standar
perusahaan .
17. Dalam sistem terdistribusi pemrosesan dan pengamanan data disebar ke berbagai titik, pengamanan menjadi di
banyak pintu namun tersebar, resikonya tidak seluruh titik memiliki pengamanan yang sama. Dalam topologi
STAR lebih aman karena kalo satu mati yg lain relatif tidak terganggu sedang pada Topologi BUS jika satu titik
mati akan menggangu yang lain meskipun secara umum keunggulanya dia lebih cepat dan murah. Sayangnya
sistem Bus akan rentan tabrakan data (lebih lengkap di appendix) fokus auditor adalah kepada seringnya sistem
down atau kerusakan jaringan maupun software yang mengakibatkan gangguan komunikasi dan pada database,
resiko ini berbeda2 dalam masing-masing topologi jaringan.

A. The Computer Center

a. Physical Location : Antisipasi bencana alam maupun manusia cari lokasi yang aman.
b. Construction : kontruksi fasilitas IT-> tunggal, acces terbatas dan filtrasi bagus.
c. Access : LIMITED
d. Air Conditioning : Adequate untuk menjaga database
e. Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door
f. Fault Tolerance : Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasi ketika bagian dari sistem gagal (masih bisa running kalau ada sesuatu
gangguan) karena kegagalan hardware, error program aplikasi, atau kesalahan operator.
 Redundant arrays of independent disks (RAID)->data
 UPS->Listrik
g. Audit Objectives
Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur keamanan pusat komputer . Secara khusus , auditor harus memastikan bahwa : kontrol
keamanan fisik yang memadai untuk cukup melindungi organisasi dari eksposur fisik DAN cakupan asuransi pada peralatan memadai untuk mengkompensasi
kerusakan pusat komputernya
h. Audit Procedures
 Tests of Physical Construction. Fisik bangunan server, lokasi dan keamanan terhadap HAZARD EVENT.
 Tests of the Fire Detection System.
 Tests of Access Control.
 Tests of Raid, BU HD
 Tests of the Uninterruptible Power Supply.
 Tests for Insurance Coverage.
B. Disaster Recovery Planning
Dengan perencanaan kontinjensi yang hati-hati, dampak dari bencana dapat diredam dan organisasi dapat pulih dengan cepat. Untuk bertahan hidup dari peristiwa
darurat seperti itu, perusahaan harus mengembangkan prosedur pemulihan dan meresmikan mereka ke dalam suatu rencana pemulihan bencana (DRP), suatu
skema dalam menghadapi keadaan darurat.Prosesnya adalah sbb:
a. Identify Critical Applications->Buat daftar aplikasi yang paling penting
b. Creating a Disaster Recovery Team ->buat Tim..langgar IC boleh
c. Providing Second- Site Backup buat lokasi data cadangan (duplikasi)
 MUHAMAD KHADIQ
15.0102.0203
 mutual aid pact->dua atau lebih, join SD IT pas bencana
 empty shell or cold site; ->sewa tempat pada penyedia backup
 recovery operations center or hot site; ->sewa full equipped backup
 internally provided backup->buat sendiri (mirroring di tmpt lain)
Audit Objective: The auditor should verify that management’s disaster recovery plan is adequate and feasible for dealing with a catastrophe that could deprive
the organization of its computing resources. Audit Procedures memastikan hal2 dibawah ini berfungsi dengan baik
 Site Backup…lokasi HW IT dll
 Daftar Aplikasi penting oke
 Software Backup.
 Data dan Dokumentasi Backup.
 Backup Supplies dan Source Documents.
 Disaster Recovery Team di test
C. Outsourcing the IT Function
Outsourcing IT kadangkala meningkatkan kinerja bisnis inti, meningkatkan Kinerja IT (karena keahlian vendor), dan mengurangi biaya TI. Logika yang mendasari
outsourcing TI dari teori kompetensi inti, yang berpendapat bahwa organisasi harus fokus secara eksklusif pada kompetensi bisnis intinya saja, sementara
outsourcing vendor memungkinkan untuk secara efisien mengelola daerah non-inti seperti fungsi TI (IT dianggap supporting).
Premis ini, bagaimanapun, mengabaikan perbedaan penting antara komoditas dan aset TI yang spesifik. Commodity IT assets are not unique to a particular
organization and are thus easily acquired in the marketplace sementara Specific IT assets dapat merupakan keunggulan strategis perusahaan. Transaction Cost
Economics (TCE) theory is in conflict with the core competency school by suggesting that firms should retain certain specific non–core IT assets inhouse. Jadi
disarankan boleh outsource pada SumberDaya IT yang bisa digantikan (SW/HW) atau tidak terlalu kritikal..SD IT yang penting dan unggulan bagi organisasi jangan.
a. Risks Inherent to IT Outsourcing
 Failure to Perform
 Vendor Exploitation
 Outsourcing Costs Exceed Benefit
 Reduced Security
 Loss of Strategic Advantage
b. Audit Implications of IT Outsourcing
Manajemen boleh saja mengalihdayakan fungsi ITnya namun tidak dapat mengalihkan tanggungjawab manajemen pada penyediaan Pengendalian Intern yang
memadai. SAS 70 merupakan standar yang mendefinisikan perlunya auditor mengetahui kontrol jika IT dilaksanakan oleh vendor pihak ketiga. Vendornya sendiri
tentu diaudit oleh auditornya sehingga IT review dilaksanakan satu kali saja supaya praktis dan murah.

Pertanyaan :
1. Bagaimana peran dan IASII dalam membantu keberlangsungan profesi audit TI?
2. Salah satu peran auditor TI adalah bertindak sebagai kontrol internal bagi organisasi. Sebagai kontrol
internal, auditor TI dapat membantu organisasi dalam mengembangkan kebijakan, prosedur, standar,
dan / atau praktik terbaik, seperti kebijakan keamanan informasi. Bagaimana sikap anda sebagai
auditor menggunakan karakteristik yang baik terhadap kebijakan keamanan informasi apabila akan
berbagi dengan oraganisasi.