INFORMATION TECHNOLOGY AUDITING

“AUDITING IT GOVERNANCE CONTROLS”

Disusun oleh :
1. Ninda Silviani Nadhiroh (041711333009)
2. Alyssa Novia Rachma (041711333051)
3. Rendah Oktavianti Ningtyas (041711333052)
4. AyuTrikaton (041711333055)
5. Indira Karima Umaroe (041711333058)

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS AIRLANGGA
SURABAYA
2020
 Auditing IT Governance Controls
Pada bab ini, membahas tentang risiko, pengendalian, dan juga pengujian atas pengendalian yang
sesuai dengan tata kelola IT. Dimulai dari, mendefinisikan tata kelola serta unsur-unsur yang
memiliki pengendalian internal dan implikasi pelaporan keuangan. Tata kelola telah diatur oleh
SOX dan kerangka COSO.

TATA KELOLA TEKNOLOGI INFORMASI

Tata kelola teknologi informasi merupakan sekumpulan tata kelola perusahaan yang terintegrasi
dengan manajemen dan penilaian sumber daya strategis. Tujuan utama dari tata kelola TI adalah
pengurangan risiko dan memastikan bahwa investasi sumber daya di dalamnya dapat
memberikan nilai tambah bagi perusahaan. Bagaimanapun juga tata kelola modern IT mengikuti
filosofi dari semua pemangku kepentingan yang berada dalam perusahaan, termasuk Dewan
Direksi, manajemen puncak, dan departemental (akuntansi dan keuangan) yang menjai peserta
aktif dalam pengambilan keputusan.

Tata Kelola Pengendalian Teknologi Informasi

Pada bab ini, terdapat tiga tata kelola TI yang dikerjakan oleh SOX dan kerangka COSO, yaitu :
1. Struktur organisasi dari fungsi TI
2. Pusat operasi komputer
3. Perencanaan pemulihan bencana
Diskusi tentang masing-masing masalah tata kelola ini dimulai dengan penjelasan tentang sifat
risiko dan deskripsi pengendalian yang diperlukan dalam mengurangi risiko. Kemudian, tujuan
audit disajikan untuk menentukan apa yang harus diverifikasi pada fungsi pengendalian yang
sesuai. Pengujian ini dapat dilakukan oleh auditor eksternal sebagai bagian dari layanannya oleh
auditor internal (atau penasihat profesional jasa) yang menyediakan bukti manajemen kantor
SOX.
STRUKTUR FUNGSI TEKNOLOGI INFORMASI
Organisasi memiliki fungsi dan efektivitas dalam pengendalian internal yang pada akhirnya
memiliki implikasi untuk di audit. Dalam hal ini, dilakukan pemeriksaan untuk beberapa masalah
pengendalian yang berkaitan dengan struktur tersebut. Ini diilustrasikan melalui dua model
ekstrim organisasi-pendekatan yang terpusat dan terdistribusi.
Pengolahan Data Terpusat
Dalam model pengolahan data terpusat, semua pengolahan data dilakukan oleh satu atau
lebih komputer besar yang bertempat di pusat situs yang melayani pengguna di seluruh
organisasi, di mana Layanan kegiatan konsolidasi dan dikelola sebagai sumber daya bersama
organisasi. Pengguna akhir bersaing untuk sumber daya berdasarkan kebutuhan. Di dalam model
terpusat merupakan layanan struktur dan menunjukkan area layanan primer, seperti: administrasi
database, pengolahan data, dan pengembangan sistem serta pemeliharaan. Berikut deskripsi
fungsi utama dari setiap bidang ini.
a. Administrasi Database
Perusahaan yang terorganisir secara sentral menjaga sumber daya data mereka yang
dibagi untuk semua pengguna akhir.Dalam pengaturan berbagi data ini, sebuah kelompok
independen yang dipimpin oleh database administrator (DBA) bertanggung jawab untuk
keamanan dan integritas database.
b. Pengolahan Data
Pengolahan data kelompok mengelola sumber daya menggunakan komputer untuk
melakukan pengolahan transaksi sehari-hari. Beberapa fungsi yang digunakan oleh
organisasi adalah sebagai berikut: konversi data, operasi komputer dan perpustakaan data.
1. Konversi data
Fungsi konversi data mendapatkan data yang bersumber dari hard-copy dokumen ke
komputer masukan.
2. Operasi komputer
File elektronik yang dihasilkan dalam konversi data kemudian diproses oleh pusat
komputer, yang dikelola oleh kelompok operasi komputer.
3. Perpustakaan data.
Perpustakaan data adalah sebuah ruangan yang bersebelahan dengan pusat komputer
yang menyediakan brankas strorage untuk file off-line data. File-file tersebut bisa
nge-backup atau file data saat ini.
c. Pengembangan Sistem Dan Pemeliharaan
Kebutuhan sistem informasi pengguna dipenuhi oleh dua fungsi terkait, yaitu: sistem
pengembangan dan sistem pemeliharaan. Fungsi tersebut bertanggung jawab untuk
menganalisis kebutuhan pengguna dan merancang sistem baru untuk memenuhi
 kebutuhan tersebut.Para peserta dalam kegiatan pembangunan sistem termasuk
profesional sistem, pengguna akhir, dan stakeholder.
Sistem profesional termasuk sistem analis, database desainer, dan pemrogram
yangmerancang dan membangun sistem.Profesional sistem mengumpulkan fakta-fakta
tentang masalah pengguna, menganalisis fakta, dan merumuskan solusi.Hasil dari usaha
mereka adalah sistem informasi yang baru.
Pengguna akhir adalah orang-orang untuk siapa sistem tersebut dibangun.Mereka adalah
manajer yang menerima laporan dari sistem dan personil operasi yang bekerja secara
langsung dengan sistem sebagai bagian dari tanggung jawab mereka sehari-hari.
Pemangku kepentingan individu di dalam atau di luar perusahaan yang memiliki minat
dalam sistem, tetapi tidak pengguna akhir.Termasuk akuntan, internal auditor, auditor
eksternal, dan lainnya yang mengawasi pengembangan sistem.
Setelah sistem baru telah dirancang dan dilaksanakan, kelompok pemeliharaan sistem
bertanggung jawab menjaganya agar tetap aktif dengan kebutuhan
pengguna.Pemeliharaan mengacu pada membuat perubahan terhadap logika program
untuk mengakomodasi perubahan dalam kebutuhan pengguna dari waktu ke waktu.
Pemisahan Fungsi Teknologi Informasi Tidak Kompatibel
Secara khusus, tugas operasional harus terpisah untuk:
1. Transaksi otorisasi terpisah dari pengolahan transaksi.
2. Pencatatan yang terpisah dari penitipan fisik aset.
3. Membagi tugas-tugas pengolahan transaksi antar individu sehingga risiko kecurangan
akan dapat diminimalisir.
Lingkungan ini cenderung untuk mengkonsolidasikan kegiatan. Satu aplikasi mungkin
mengotorisasi, memproses, dan merekam semua aspek transaksi. Dengan demikian, fokus
pemisahan kontrol bergeser dari tingkat operasional (pengolahan tugas yang komputer sekarang
melakukan transaksi) ke tingkat yang lebih tinggi yaitu relasi organisasi dalam fungsi layanan
komputer.
Memisahkan Sistem Pengembangan dari Operasi Komputer.
Pemisahan kegiatan operasi dan pengembangan sangat peting untuk dilakukan. Diantara
hubungan kelompok-kelompok ini harus sangat formal, dan tanggung jawab mereka tidak akan
bercampur. Profesional pengembangan dan pemeliharaan sistem harus membuat (dan
mempertahankan) sistem bagi pengguna, dan harus ada keterlibatan dalam memasukkan data,
atau menjalankan aplikasi (yaitu, operasi komputer).
Memisahkan Administrasi Database dari Fungsi Lain
Kontrol organisasi penting yang lain adalah pemisahan database administrator (DBA) dari
fungsi pusat komputer lain. Fungsi DBA bertanggung jawab untuk sejumlah tugas penting yang
berkaitan dengan keamanan database, termasuk menciptakan skema database dan pengguna,
menetapkan otoritas akses database kepada pengguna, pemantauan penggunaan database, dan
rencana untuk ekspansi masa depan.
Memisahkan Pengembangan Sistem Baru dari Pemeliharaan
Beberapa perusahaan mengatur fungsi pengembangan sistem rumah mereka menjadi dua
kelompok: analisis sistem dan pemrograman. Kelompok analisis sistem bekerja dengan
pengguna untuk menghasilkan detail desain sistem baru. Kelompok pemrograman membuat
kode program sesuai dengan spesifikasi desain. Pendekatan ini dikaitkan dengan dua jenis
kontrol masalah yaitu dokumentasi yang tidak memadai dan potensi untuk program penipuan.
a. Dokumentasi yang tidak memadai.
Buruknya kualitas sistem dokumentasi yang kronis itu merupakan masalah dan tantangan
yang signifikan untuk banyak organisasi.Ada setidaknya dua penjelasan untuk fenomena
ini.Pertama, mendokumentasikan sistem ini tidak menarik seperti merancang, pengujian, dan
menerapkannya. Kemudian alasan yang kedua untuk minimnya dokumentasi adalah
keamanan pekerjaan. Ketika sistem yang tidak didokumentasikan dengan baik,akan sangat
sulit dilakukan pengujian.
b. Program penipuan.
Ketika para programmer asli dari sistem juga diberikan tanggung-jawab pemeliharaan,
potensi untuk penipuan meningkat.Progam penipuan melibatkan perubahan yang tidak sah
dan membuat progam untuk melakukan tindakan ilegal.Programmer asli mungkin berhasil
menyembunyikan penipuan kode di antara seribu baris kode yang sah dan ratusan modul
yang membentuk sebuah sistem.
Struktur yang Unggul untuk Pengembangan Sistem
Fungsi pengembangan sistem dipisahkan menjadi dua kelompok yang berbeda yaitu
pengembangan sistem baru dan sistem pemeliharaan. Grup pengembangan sistem baru
bertanggung jawab untuk merancang, memprogram, dan melaksanakan proyek-proyek sistem
yang baru. Setelah sukses implementasi, tanggung jawab untuk pemeliharaan sistem jatuh ke
grup pemeliharaan sistem. Restrukturisasi ini memiliki implikasi langsung pada dua kontrol
masalah :
1. Standar dokumentasi ditingkatkan karena kelompok pemeliharaan memerlukan dokumentasi
untuk melaksanakan tugas pemeliharaan. Tanpa dokumentasi lengkap dan memadai, transfer
informasi,dan tanggung-jawab sistem dari pengembangan sistem baru untuk pemeliharaan
sistem tidakakan terjadi.
Menutup akses programmer asli untuk menghalangi penipuan. Kode curang, sekali
disembunyikan di dalam sistem oleh programmer kontrol kemungkinan akan ditemukan risiko
yang meningkat terkait dengan program penipuan. Keberhasilan kontrol ini tergantung pada
adanya kontrol lain yang membatasi, mencegah dan mendeteksi akses tidak sah ke program.
Meskipun organisasi pemisahan saja tidak dapat menjamin bahwa penipuan tidak akan terjadi,
penting bagi mereka untuk menciptakan lingkungan pengendalian yang diperlukan
Model Distribusi
Alternatif model terpusat adalah konsep pengolahan data terdistribusi. Topik DDP cukup
luas, menyentuh topik terkait seperti komputasi pengguna akhir, perangkat lunak komersial,
jaringan, dan otomasi kantor. Secara sederhana, DDP melibatkan reorganisasi fungsi TI pusat
menjadi unit TI kecil yang berada di bawah kendali pengguna akhir. Unit TI dapat
didistribusikan sesuai dengan fungsi bisnis, lokasi geografis, atau keduanya. Alternatif
keberangkatan yang signifikan dari model terpusat adalah mendistribusikan semua layanan
komputer kepada pengguna akhir, dimana beroperasi sebagai unit mandiri.

RISIKO BERHUBUNGAN DENGAN DDP

1. Penggunaan sumber daya yang tidak langsung
DPP dapat mengekspos dan mengorganisir tiga jenis risiko yang terkait dengan penggunaan
sumber daya organisasi yang tidak efisien, yaitu:
a) Risiko tidak ada manajemen sumber daya TI di seluruh organisasi oleh pengguna akhir.
Beberapa berpendapat bahwa ketika mengorganisir sumber daya TI yang luas
memerlukan pengelolaan pusat dan pemantauan sumber daya. Bagi banyak organisasi,
Layanan TI termasuk operasi komputer, pemrograman, konversi data dan pengelolaan
basis data memenuhi atau melampaui ambang batas ini.
 b) DPP dapat meningkatkan risiko ketidakefektifan operasional karena adanya tugas
berlebihan yang dilakukan pada panitia pengguna akhir. Inisiatif pengembangan sistem
otonom yang didistribusikan ke seluruh perusahaan dapat mengakibatkan setiap
pengguna menemukan kembali kemudi daripada mendapatkan manfaat dari pekerjaan
orang lain.
c) Lingkungan DDP menimbulkan risiko perangkat keras dan perangkat lunak yang tidak
kompatibel di antara fungsi pengguna akhir. Mendistribusikan tanggung jawab untuk
pembelian TI kepada pengguna akhir dapat menyebabkan keputusan yang disusun
dengan tidak terkoordinasi.
Penghancuran jalur audit
Jejak audit memberikan keterkaitan antara aktivitas keuangan (transaksi) perusahaan dan
laporan keuangan yang dilaporkan pada kegiatan tersebut. Auditor menggunakan jejak audit
untuk melacak transaksi keuangan terpilih dari sumber dokumen yang menangkap kejadian
tersebut, melalui jurnal, buku besar, dan akun buku besar yang merekam kejadian tersebut,
dan akhirnya pada laporan keuangan itu sendiri. Jejak audit sangat penting untuk layanan
pengungkapan auditor.
Dalam Sistem DDP, jejak audit terdiri dari serangkaian file transaksi digital dan master file
yang berada sebagian atau seluruhnya pada komputer pengguna akhir. Jika pengguna akhir
secara tidak sengaja menghapus salah satu file, percobaan audit bisa dihancurkan dan tidak
dapat dibuka lagi. Demikian pula, jika pengguna akhir secara tidak sengaja memasukkan
transaksi ke file audit trail, itu bisa menjadi rusak.

2. Pemisahan tugas yang tidak memadai

Mencapai pemisahan tugas yang memadai mungkin tidak dapat dilakukan di beberapa
lingkungan. Distribusi layanan TI kepada pengguna dapat menghasilkan unit kecil tak
berdampingan yang tidak memungkinkan pemisahan yang diinginkan dari fungsi yang tidak
sesuai.

3. Mempekerjakan profesional yang berkualitas

Manajer pengguna akhir mungkin kurang memiliki pengetahuan TI untuk mengevaluasi
kredensial teknis dan pengalaman relevan kandidat yang mengajukan permohonan untuk
 posisi profesional TI. Jika dalam suatu organisasi di mana seorang karyawan baru adalah
kecil, kesempatan untuk pertumbuhan pribadi, melanjutkan pendidikan, dan promosi
mungkin terbatas karena manajer mungkin mengalami kesulitan untuk menarik personil
berkualifikasi tinggi. Risiko kesalahan pemrograman dan kegagalan sistem meningkat secara
langsung dengan tingkat ketidakmampuan karyawan.

4. Kurangnya standar
Karena distribusi tanggung jawab di lingkungan DDP, standar untuk mengembangkan dan
mendokumentasikan sistem, memilih bahasa pemrograman, memperoleh perangkat keras
dan perangkat lunak, dan mengevaluasi kinerja mungkin tidak rata diterapkan atau bahkan
tidak ada. Penentang DDP berpendapat bahwa risiko yang terkait dengan perancangan dan
pengoperasian sistem DDP dapat dilakukan hanya jika standar tersebut diterapkan secara
konsisten.

KEUNTUNGAN DDP

1. Pengurangan biaya
Selama bertahun-tahun, mencapai skala ekonomi merupakan prinsip justifikasi untuk
pendekatan pengolahan data terpusat. Sistem terpusat yang besar merepresentatifkan bahwa
sistem itu sangat mahal dan harus dihapuskan. Komputermikro dan minikomputer yang kuat
dan murah yang dapat menggerakkan fungsi khusus yang telah mengubah ekonomi
pengolahan data secara dramatis. Perpindahan ke DDP telah mengurangi biaya di dua area
lainnya:
- data dapat ditingkatkan dan dimasukkan oleh pengguna akhir, sehingga menghilangkan
tugas terpusat dari persiapan data dan
- ketuntasan aplikasi dapat dikurangi, yang pada gilirannya mengurangi pengembangan
sistem dan biaya perawatan.
2. Tanggung jawab pengendalian biaya meningkat
Manajer pengguna akhir bertanggung jawab atas keberhasilan operasi mereka. Pendukung
DDP berpendapat jika kemampuan TI memang penting bagi keberhasilan operasi bisnis,
maka manajemen harus diberi kontrol atas sumber daya ini.

3. Meningkatkan kepuasan pengguna

Mungkin manfaat DDP yang paling sering dikutip adalah kepuasan pengguna. Pendukung
DDP mengklaim bahwa sistem pendistribusian ke pengguna akhir memperbaiki sebagian
kebutuhan yang terlalu sering tidak terpuaskan pada model terpusat.
1. Pengguna ingin mengendalikan sumber daya yang mempengaruhi profitabilitas mereka
2. Pengguna menginginkan profesional sistem bersikap responsif terhadap situasi spesifik
mereka
3. Pengguna ingin lebih aktif terlibat dalam pengembangan dan penerapan sistem mereka
sendiri

4. Fleksibilitas cadangan
Argumen terakhir yang mendukung DDP adalah kemampuan untuk mendukung fasilitas
komputasi untuk melindungi dari potensi bencana seperti kebakaran, banjir, sabotase, dan
gempa bumi. Model terdistribusi menawarkan fleksibilitas organisasi untuk menyediakan
cadangan. Setiap unit TI yang terpisah secara geografis dapat dirancang dengan kapasitas
berlebih. Jika bencana menghancurkan satu situs, situs lain dapat menggunakan kelebihan
kapasitas mereka untuk memproses transaksi situs yang hancur.

Mengontrol Lingkungan DDP

Melaksanakan fungsi IT perusahaan
Model yang sepenuhnya terpusat dan model terdistribusi mewakili posisi ekstrim pada rangkaian
alternatif struktural. Kebutuhan perusahaan kebanyakan berada di antara titik akhir ini.
Seringkali, masalah kontrol yang telah dijelaskan sebelumnya dapat diatasi dengan menerapkan
fungsi TI perusahaan.
 a. Pengujian pusat perangkat lunak dan perangkat keras komersial
Kelompok perusahaan TI yang terpusat lebih baik dilengkapi daripada pengguna akhir
untuk mengevaluasi kelebihan perangkat lunak komersial dan produk perangkat keras
yang bersaing di bawah pertimbangan. Dorongan teknis secara umum seperti ini dapat
mengevaluasi fitur, kontrol dan kompatibilitas sistem dengan standar industri dan
organisasi. Hasil uji kemudian dapat didistribusikan ke area pengguna sebagai standar
untuk membimbing keputusan pengambil keputusan. Hal ini memungkinkan organisasi
untuk secara efektif memusatkan akuisisi, pengujian dan implementasi perangkat lunak
dan perangkat keras dan menghindari banyak masalah.
b. Layanan pengguna
Sebuah nilai keistimewaan dari grup perusahaan adalah fungsi layanan penggunanya.
Kegiatan ini memberikan bantuan teknis kepada pengguna selama pemasangan perangkat
lunak baru dan dalam mengatasi masalah masalah perangkat keras dan perangkat lunak.
Misalnya : Pembuatan papan buletin elektronik, ruang obrolan, menyediakan meja
bantuan.
c. Standar pengaturan tubuh
Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh model DDP dapat
ditingkatkan dengan menetapkan beberapa panduan utama. Kelompok perusahaan dapat
berkontribusi pada tujuan ini dengan menetapkan dan mendistribusikan ke area pengguna
sesuai standar untuk pengembangan, pemrograman, dan dokumentasi sistem.
d. Review pribadi
Kelompok korporasi lebih baik dilengkapi daripada pengguna untuk mengevaluasi
kredensial teknis dari proffesional sistem prospektif.

Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI seperti individu-individu
yang berbeda dipisahkan sesuai dengan tingkat risiko potensial dan dengan cara yang mendorong
lingkungan kerja.
Prosedur Audit
Prosedur audit berikut akan diterapkan pada organisasi dengan fungsi TI terpusat
1. Tinjau dokumentasi yang relevan, termasuk bagan organisasi, pernyataan misi dan
uraian tugas untuk fungsi utama, untuk menentukan apakah individu atau kelompok
melakukan fungsi yang sesuai.
2. Tinjau dokumentasi sistem dan catatan pemeliharaan untuk contoh aplikasi. Verifikasi
bahwa pemrogram pemeliharaan yang ditugaskan ke proyek tertentu juga bukan
pemrogram desain asli.
3. Pastikan operator komputer tidak memiliki akses ke rincian operasional internal sistem.
Dokumentasi sistem Seperti diagram alir sistem, diagram alur logika dan daftar kode
program, seharusnya tidak menjadi bagian dari dokumentasi operasi.
4. Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti dalam praktik.
Tinjau log akses ruang operasi untuk menentukan apakah pemrogram memasukkan
fasilitas untuk alasan selain kegagalan sistem.
Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi:
1. Tinjau bagan organisasi terkini, pernyataan misi dan uraian tugas untuk fungsi utama
untuk menentukan apakah individu atau kelompok melakukan tugas yang tidak sesuai.
2. Verifikasi bahwa rancangan, dokumentasi, dan perangkat keras dan perangkat lunak
rancangan dan kebijakan perusahaan standar dipublikasikan dan diserahkan ke unit TI
terdistribusi.
3. Verifikasi bahwa kontrol kompensasi, seperti pengawasan dan pemantauan manajemen,
digunakan saat pemisahan tugas yang tidak kompatibel secara ekonomi dapat infesible.
4. Tinjau ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur dan
database dirancang dan berfungsi sesuai dengan standar perusahaan.

2.3 PUSAT KOMPUTER

Lokasi Fisik
Lokasi fisik dari pusat komputer secara langsung berpengaruh pada resiko kerusakan yang
disebakan secara alami maupun yang dibuat oleh manusia. Untuk menekan kemungkinan
tersebut maka pusat komputer baiknya dijauhkan dari kegiatan manusia maupun kesalahan
struktur tanah yang menyebabkan bencana.
Konstruksi
Sebuah pusat komputer semestinya berada di gedung tersendiri dengan konstruksi kokoh yang
aksesnya diawasi. Kabel daya dan telepon harus berada dibawah bangunan. Jendela bangunan
seharusnya tidak dibuka dan sistem penyaringan udara mampu mencegah adanya debu masuk.
Akses
Akses ke pusat komputer harus dibatasi pada operator dan karyawan lainnya yang
bekerja.Kontrol fisik, seperti pintu terkunci harusnya memberikan akses terbatas pada pusat
komputer, misalnya menggunkan kartu gesek, pintu darurat terdekat dengan alarm. Untuk
mencapai level keamanan yang lebih tinggi harusnya di awasi dengan CCTV. Pusat komputer
juga seharusnya diakses dengan sandi.
Air-conditioning
Komputer dapat bekerja dengan baik pada lingkungan yang memiliki pengatur suhu
udara (AC). Komputer beroperasi di kisaran suhu 70 sampai 75 derajat fahrenheit dan tingkat
kelembaban 50%. Udara diusahakan agara selalu dingin agar komputer tidak eror ataupun
pemrosesan yang lambat.
Fire suppression
Kebakaran merupakan sebuah ancaman perusahaan khususnya pada peralatan computer,
dan banyak perusahaan gulung tikar akibat peristiwa ini. pencegahan kebekaran yang efektif
adalah membutuhkan konsultasi dengan spesialis. Bagaimanapun, beberapa dari fitur-fitur utama
dari sistem tersebut meliputi:
1. Alarm otomatis dan manual harus terpasang di lokasi yang strategis disekitar instalasi.
Alarm ini harus tersambung dengan stasiun pemadam kebakaran yang dikelola secara
permanen.
2. Harus ada sistem pemadam api otomatis yang mengeluarkan jenis penekanan yang sesuai
untuk lokasi tersebut.
3. Pemadam api manual harus diletakkan pada lokasi yang strategis.
4. Bangunan harus berasal dari konstruksi yang tahan terhadap kerusakan air yang
disebabkan oleh peralatan pemadam kebakaran.
5. Pintu keluar harus ditandai dengan jelas dan diterangi selama kebakaran.
Fault tolerance
Kemampuan sistem untuk melanjutkan operasi ketika sebagian dari sistem gagal
disebabkan kerusakan hardware, kesalahan dalam program aplikasi, ataupun kesalahan operator.
Berikut merupakan contoh dari fault tolerance :
1. Redundant arrays of independent disks (RAID). Raid melibatkan penggunaan
penyimpanan data paralel yang menggunakan redundansi (duplikasi) data dan aplikasi
2. Sumber daya tanpa hambatan. Peralatan ini digunakan untuk mengontrol masalah yang
dapat mengganggu operasi pusat komputer termasuk pengaturan tegangan, pelindung
lonjakan arus, generator, dan baterai cadangan.
Audit objectives
Bertujuan untuk mengontrol dalam keamanan pusat komputer. Secara khusus, auditor
harus memastikan bahwa:
1. Kontrol keamanan fisik memadai untuk melindungi organisasi secara wajar dari eksposur
fisik.
2. Pertanggungan ansuransi pada komputer cukup untuk memberikan kompensasi organisasi
untuk kehancuran, atau kerusakan, pusat komputernya.
Audit procedures
 Uji konstruksi fisik, Auditor mampu membuat rencana arsitektur dalam menentukan
pusat komputer dibangun dengan kokoh dari bahan yang tahan api.
 Uji sistem deteksi kebakaran, Auditors memastikan jika peralatan deteksi dan
pemadaman kebakaran, baik manual maupun otomatis, telah ada dan diuji secara teratur.
 Uji kontrol akses, Auditor dapat memastikan jika akses rutin ke pusat komputer terbatas
pada karyawan yang berwenang. Rincian tentang akses pengunjung (oleh programmer
dan yang lain), dapat diperoleh dengan meninjau log akses. Untuk memastikan kebenaran
dari data ini, auditor bisa diam-diam mengamati proses di mana akses diizinkan, atau
meninjau rekaman video dari kamera pada titik akses, jika sedang digunakan.
 Uji RAID, Auditor dapat menentukan jika level RAID ditempat memadai untuk
organisasi, mengingat tingkat risiko bisnis yang terkait dengan kegagalan penyimpanan.
 Uji sumber daya tanpa hambatan, dengan adanya pusat computer, harus melakukan test
berkala dari UPS untuk memastikan cadangan daya tersebut memiliki kapasitas yang
 cukup untuk menjalankan komputer dan pendingin udara ketika terjadi pemadaman
listrik.
 Uji pertanggungan asuransi, Auditor meninjau berkala pertenggungan asuransi
perusahaan pada perangkat keras komputer, perangkat lunak, dan fasilitas fisik.

DISASTER RECOVERY PLANNING

Bencana merupakan sebuah fenomena yang dapat mengancam perusahaan, karena pada
dasarnya semua bencana dapat menghilangkan organisasi dari fasilitas pemrosesan datanya,
menghentikan fungsi bisnis yang dipromosikan atau dibantu oleh komputer,dan mengganggu
kemampuan organisasi untuk mengirimkan produk atau layanannya. Oleh sebab itu, untuk
meminimalisirkan bencana ada empat fitur yang digunakan :
1. Mengidentifikasi aplikasi penting
Prioritas aplikasi dapat berubah ubah dari waktu ke waktu, selain itu sebagai pengguna
aplikasi DRP juga harus diperbarui untuk para pengguna departemen, akuntan, auditor,
untuk mengidentifikasi item penting dan prioritas aplikasi.
2. Membuat tim pemulihan bencana
Hal ini harus dilakukan secara tepat waktu, selain itu tanggung jawab tugas juga harus
didefinisikan degan jelas dan dikomunikasikan kepada personel yang terlibat. Serta,
dalam prinsip pekerjaan, semua komponen harus ada pemisahan tugas, control akses, dan
pengawasan.
3. Menyediakan situs cadangan
Fasilitas pemrosesan data duplikat setelah terjadi suatu bencana, terdiri dari beberapa
pilihan hot site (pusat operasi pemulihan), cold site (ruang kosong), mutual aid pack dan
cadangan yang disediakan secara internal.
 Mutual aid pack, yaitu perjanjian dua perusahaan atau lebih untuk bekerjasama
dalam hal pemrosesan data saat bencana.
 Empty shell, situs ini sangat lengkap, dan pengaturan dimana perusahaan
membeli atau menyewa gedung yang akan berfungsi sebagai pusat data pada saat
terjadi bencana.
 Recovery operations center, lokasi dimana langsung terhubung dengan data
center utama sehingga dapat langsung melakukan replika data.
 Internally Provided Backup, organisasi yang memiliki banyak pusat
pemrosesan data memungkinkan perusahaan mengembangkan konfigurasi
perangkat keras dan perangkat lunak guna memastikan kompatibilitas fungsional
diantara pusat pemrosesan dalam organisasi tersebut. Selain itu, adanya
pengembangan konfigurasi ini ditujukan untuk meminimalkan masalah cutover
dalam kejadian bencana.
 Backup and Off-Site Storage Procedures, semua data file, aplikasi,
dokumentasi, dan persediaan butuh untuk melakukan bakcup dan disimpan di
lokasi situs penyimpanan yang aman. Pemrosesan data harus secara rutin
melakukan pencadangan dan prosedur penyimpanan untuk mendapatkan
keamanan pada sumber daya ini.
 Operating System Backup, apabila perusahaan menggunakan metode backup
yang tidak kompetibel, maka prosedur untuk mendapatkan versi sistem operasi
harus ditentukan dengan jelas.
 Application Backup, DRP harus mencakup prosedur untuk membuat salinan dari
aplikasi kritis versi terkini. Dalam kasus perangkat lunak komersial, ini
melibatkan pembelian salinan cadangan dari upgrade perangkat lunak terbaru
yang digunakan oleh organisasi.
 Backup Data Files, di negara bagian dalam cadangan database adalah situs-situs
yang mampu diakses dari jarak jauh, yang menyediakan data terkini. Tidak
semua organisasi mau atau mampu menginvestasi dalam backup data. Namun
seharusnya database tercopy dalam kapasitas yang besar, media yang cepat dan
aman. Dalam hal pengarahan, rekonstruksi basis data dicapai dengan
memperbarui versi terkini dengan data transaksi selanjutnya. Selain itu juga, file
induk dan transaksi file harus dilindungi.
 Backup Documentation, dokumentasi sistem untuk aplikasi kritis harus
dicadangkan dan disimpan di luar lokasi beserta aplikasi. Dokumentasi sistem
dapat merupakan jumlah material yang signifikan dan proses backup semakin
rumit oleh perubahan aplikasi yang sering terjadi. Backup dokumentasi mungkin,
bagaimanapun, dengan disederhanakan dan dibuat lebih efisien melalui
penggunaan alat dokumentasi Computer Aided Software Engineering (CASE).
 DRP juga harus menyertakan ketentuan yang mendukung manual pengguna akhir
karena pemrosesan transaksi individual dalam kondisi bencana mungkin bukan
staf biasa yang terbiasa dengan sistem.
 Backup Supplies and Source Documentation, organisasi harus membuat
persediaan cadangan persediaan dan dokumen sumber yang digunakan dalam
memproses transaksi penting. Contoh persediaan kritis adalah cek saham, faktur,
pesanan pembelian, dan bentuk tujuan khusus lainnya yang tidak dapat diperoleh
dengan segera. DRP harus menentukan jenis dan jumlah yang dibutuhkan dari
barang-barang khusus ini. Karena ini adalah elemen rutin dari operasi sehari-hari,
karena sering kali diabaikan oleh perencana kontinjensi bencana. Pada intinya,
perlu dicatat bahwa salinan dokumen DRP saat ini juga harus disimpan di luar
lokasi di lokasi yang aman.
 Testing the DRP, yang paling diabaikan aspek dari rencana pencadangan adalah
pengujian DRP. Namun, test DRP itu penting dan harus dilakukan secara berkala.
Test untuk mengukur kesiapan dari pegawai dan mengidentifkasi kalalaian atau
kemacetan dalam perencanaan. Test ini sangat berguna ketika mensimulasi
terjadinya gangguan yang mengagetkan. Ketika mempermainkan suatu bencana
telah diumumkan. Status dari semua proses yang mempengaruhi harus menjadi
suatu dokumen. Ini akan menyediakan pendekatan yang memiliki tolak ukur
dalam menujukkan penilaian. Perencanaan harus dilakukan sejauh ekonomi yang
layak. Idealnya, harus berisi backup dari fasilitas dan persediaan.
Tujuan Audit
Auditor harus memverifikasi bahwa rencana pemulihan bencana
manajemen memadai dan layak untuk menghadapi masalah yang dapat
menghilangkan oganisasi sumber daya komputasinya.
Prosedur Audit
Dalam memeriksa manajemen DRP adalah solusi yang realistis untuk
menghadapi masalah, tes berikut yang dapat dilakukan.
 Site Backup, auditor harus mengevaluasi kecukupan dalam pengaturan situs
backup. ketidak cocokan sistem dan sifat manusia yang keduanya sangat
menurunkan keefektifan yang saling menguntungkan. Auditor harus skpetis
 terhadap pengaturan yang seperti itu untuk dua alasan. Pertama, kecanggihan dari
sistem komputer mungkin sulit untuk menemukan partner yang memiliki potensi
cocok. Kedua, sangat menegaskan tidak terjadi kelebihan kapasitas untuk
mendukung saat pasangannya telah dilanda bencana dan sementara memproses
pekerjaannya sendiri. Ketika keadaan genting datang, manajemen dari perusahaan
tidak tersentuh bencana dan akan cenderung memiliki selera yang sedikit untuk
mengorbankan perjanjian kehormatannya.
Jika organisasi klien menggunakan metode empty shell, maka auditor
butuh memeriksa kevalidan kontrak dengan penjual hardware untuk menjamin
pengiriman hardware komputer yang dibutuhkan dengan meminimalisir
keterlambatan setelah terjadinya bencana. Jika klien dari member ROC, auditor
harus prihatin tentang penomoran member ROC dan penyebaran geografis
mereka. Bencana yang meluas mungkin membuat penerima tidak puas pada
fasilitas ROC.
 Critical Application List, auditor harus mereview daftar aplikasi yang kritis
untuk memastikan keberhasilannya. Kehilangan aplikasi dapat menghasilkan
kegagalan dalam pemulihan.
 Software Backup, auditor harus memastikan copy dari aplikasi yang kritis dan
sistem operasi situs penyimpanan. Auditor juga harus memastikan jalannya
aplikasi situs penyimpanan dengan membandingkan nomer versinya dan
penggunaan aplikasi yang sebenarnnya.
 Data Backup, auditor harus memastikan data file yang kritis terbackup sesuai
dengan DRP.
 Backup Supplies, Documents, and Documentation, sistem dokumentasi,
persediaan, dan dokumen tentang sumber daya butuh proses transaksi yang kritis
harus didukung dan disitus yang aman. Auditor harus memastikan tipe dan
kuantitas dari spesifikasi item di dalam DRP seperti cek stok, persediaan, order
pembelian, dan transaksi yang penting untuk diamankan di tempat yang aman.
 Disaster Recovery Team, DRP harus mendaftar dengan jelas nama, alamat,
nomer telepon di anggota tim penanggulangan bencana. Auditor harus
memastikan yang termasuk dalam anggota karyawan saat ini dan sadar untuk
 diberi tanggung jawab. Disatu kesempatan, yang mana meninjau kembali DRP
perusahaan, ditemukan penulis pemimpin tim untuk mendaftar rencana untuk
sampai 9 bulan.
4. Tentukan cadangan dan prosedur penyimpanan di luar kantor.

OUTSOURCING THE IT FUNCTION

Kos, resiko, dan tanggung jawab asosiasi dengan memelihara fungsi IT perusahaan
sangat signifikan. Banyak eksekutif memilih outsourching fungsi IT mereka terhadap vendor
pihak ketiga yang mengambil alih tanggung jawab manjajemen dari IT asset dan staf dan untuk
pengiriman servis IT, seperti entri data, operasi data center, pengembangan aplikasi,
pemeliharaan aplikasi, dan jaringan manajemen. Dengan memindahkan ke kinerja IT maka akan
mampu membuat biaya tenaga kerja yang rendah dan atau melalui skala ekonomi (dengan
menggabungkan pekerjaan beberapa klien), vendor dapat melakukan fungsi outsourcing lebih
murah daripada perusahaan klien, bisa sebaliknya. Penghematan biaya yang dihasilkan kemudian
diteruskan ke organisasi klien. Selain itu, banyak pengaturan outsourcing IT melibatkan
penjualan aset IT perusahaan.
Logika yang mendasari outsurcing IT mengikuti dari teori kompetensi inti, yang mana
sebuah organisasi harus fokus secara eklusif pada kompetensi inti bisnisnya, sementara mengajak
vendor outsourcing untuk secara efisien mengelola area non inti seperti fungsi IT.
Aset komoditas TI tidak unik untuk organisasi tertentu dan dengan demikian diperoleh
dengan mudah di pasar. Termasuk manajemen jaringan seperti operasi sistem, pemeliharaan
server, dan fungsi meja bantuan. Aset IT spesifik, sebaliknya, unik untuk organisasi dan
mendukung tujuan strategisnya. Karena sifatnya yang istimewa, aset tertentu memiliki nilai yang
kecil di luar penggunaan aset ini. Aset tersebut dapat berwujud (peralatan komputer), intelektual
(program komputer) atau manusia.
Teori Transaction Cost Economics (TCE) bertentangan dengan sekolah kompetensi inti
dengan menyarankan bahwa perusahaan harus menyimpan aset TI khusus non-inti . Karena
sifatnya yang esoteris, aset tertentu tidak dapat diganti dengan mudah begitu mereka menyerah
dalam pengaturan outsourcing. Oleh karena itu, jika organisasi harus memutuskan untuk
membatalkan kontrak outsourcing dengan vendor, mungkin tidak dapat kembali ke kondisi
preoutsource-nya. Disamping itu, teori TCE mendukung outsourcing aset komoditas, yang
mudah diganti atau diperoleh dari vendor alternatif.
Secara alami, persepsi CEO tentang apa yang merupakan komoditas, aset TI,
memainkan peran penting dalam dedikasi outsourcing TI, sering kali ini berkaitan dengan
masalah definisi dan interprestasi.

Cloud Computing

Komputasi awan (cloud computing) adalah teknologi yang menjadikan internet sebagai
pusat pengelolaan data dan aplikasi, di mana pengguna komputer diberikan hak akses (login).
Penerapan komputasi awan saat ini sudah dilakukan oleh sejumlah perusahaan IT terkemuka di
dunia. Sebut saja di antaranya adalah Google (google drive) dan IBM (blue cord initiative).
Sedangkan di Indonesia, salah satu perusahaan yang sudah menerapkan komputasi awan adalah
Telkom (Anggi, pusatteknologi.com).

Ada 3 (tiga) model pengiriman (delivery) dalam komputasi awan: (1) Software as a
Service (SaaS), (2) Platform as a Service (PaaS), dan (3) Infrastructure as a Service (IaaS).
a. SaaS merupakan layanan untuk menggunakan aplikasi yang telah disediakan – penyedia
layanan mengelola platform dan infrastruktur yang menjalankan aplikasi tersebut. PaaS
merupakan layanan untuk menggunakan platform yang telah disediakan – pengembang
fokus pada aplikasi yang dibuat tanpa memikirkan tentang pemeliharaan platform. IaaS
merupakan layanan untuk menggunakan infrastruktur yang telah disediakan.
 Ada 4 (empat) model penyebaran (deployment) dalam komputasi awan: (1) public cloud,
(2) private cloud, (3) hybrid cloud, dan (4) community cloud. Public cloud penggunaannya
hampir sama dengan shared hosting, di mana dalam 1 (satu) server ada banyak pengguna. Private
cloud hanya ada 1 (satu) pengguna dalam server. Hybrid cloud dapat digunakan untuk public
atau private cloud. Sedangkan community cloud dapat digunakan bersama-sama oleh beberapa
perusahaan yang memiliki kesamaan kepentingan (Ulum, 2015, blog.wowrack.co.id). Model
penyebaran komputasi awan kadang sering disebut sebagai cloud storage.
Komputasi awan menjawab masalah dan tantangan IT. Sebut saja di antaranya adalah
masalah tingginya anggaran investasi IT dan rencana pemulihan bencana (Disaster Recovery
Plan, DRP) sebagai bagian dari business continuity. Kedua masalah tersebut dapat terjawab
dengan baik oleh komputasi awan. Masalah lainnya, seperti tingginya tuntutan kebutuhan
perusahaan, dapat terjawab dengan baik oleh komputasi awan dengan cara ketangkasan dalam
pengembangan (seagate.com).
Beberapa pertimbangan utama sebelum beralih ke komputasi awan: (1) ketersediaan dan
kecepatan internet, (2) kontrak jaminan tingkat pelayanan (Service Level Agreement, SLA), (3)
komitmen/kesungguhan pelayanan penyedia jasa, (4) pengalaman penyedia jasa (khususnya di
bidang komputasi awan), (5) on demand self service, (6) komputer server down, (7) keamanan
dan privasi, (8) lokasi data dan yurisdiksi/ketetapan hukum, (9) backup data dan DRP, dan (10)
biaya yang akan dikeluarkan.
Dengan adanya komputasi awan, jumlah komputer beserta sejumlah perangkat
infrastruktur yang melekat dapat dihilangkan/dikurangi secara signifikan. Pergeseran tren
perusahaan dalam membeli serta memelihara server dan aplikasi on-premise yang mahal,
bergerak menuju ke bentuk metode penyewaan IT, sesuai dengan kebutuhan
(cloudindonesia.com).
IT bukan merupakan pemberi kontribusi terbesar dalam pertambahan panas di Bumi.
Tapi dengan menerapkan Green IT, salah satunya menerapkan komputasi awan, maka akan
memberikan kontribusi positif dalam rangka mengurangi dampak negatif dari pemanasan global.
Aktivitas cetak-mencetak kertas dapat dihindari. Komputasi awan mendukung Green IT,
khususnya dalam hal efisiensi energi (karena penghilangan komputer beserta perangkatnya) dan
paperless.
b. Infrastructure-as-a-Service (IaaS)
Infrastructure-as-a-Service (IaaS) adalah penyediaan daya komputasi dan ruang disk
untuk perusahaan klien yang mengaksesnya melalui PC desktop. Perusahaan klien dapat
mengkonfigurasikan infrastruktur untuk penyimpanan, jaringan, dan kebutuhan
komputasi lainnya, termasuk menjalankan sistem operasi dan aplikasi pemrosesan data.
c. Platform-as-a-Service (PaaS)
Platform-as-a-Service (PaaS) memungkinkan perusahaan klien untuk mengembangkan
dan menyebarkan ke infrastruktur cloud aplikasi yang dihasilkan konsumen
menggunakan fasilitas yang disediakan oleh vendor PaaS. Alat PaaS meliputi fasilitas
untuk pengembangan aplikasi, pengujian program, implementasi program, dokumentasi
sistem, dan keamanan.

Virtualisasi
Teknologi yang telah mengeluarkan cloud computing adalah virtualisasi. Dalam lingkungan
komputasi tradisional (nonvirtual), satu komputer menjalankan satu sistem operasi dan satu
aplikasi real-time. Ini menghasilkan kapasitas perangkat keras yang tidak terpakai. Virtualisasi
melipatgandakan efektivitas sistem fisik dengan membuat versi virtual (software) komputer
dengan sistem operasi terpisah yang berada di peralatan fisik yang sama. Dengan kata lain,
virtualisasi adalah konsep menjalankan lebih dari satu “komputer virtual” pada satu komputer
fisik. Karena pada setiap virtual menjalankan aplikasinya sendiri, total daya komputasi akan
berlipat ganda tanpa investasi perangkat keras tambahan. Selain komputer virtual, virtualisasi
telah meledak menjadi dua bidang TI lainnya yang telah memungkinkan konsep komputasi awan
untuk mendapatkan daya tarik dalam beberapa tahun terakhir: virtualisasi jaringan dan
virtualisasi penyimpanan.
a. Virtualisasi jaringan meningkatkan bandwidth jaringan yang efektif dengan
membaginya menjadi saluran independen, yang kemudian ditugaskan untuk memisahkan
komputer virtual. Virtualisasi jaringan mengoptimalkan kecepatan, fleksibilitas, dan
keandalan jaringan; yang paling penting, ini meningkatkan skalabilitas jaringan.
Virtualisasi jaringan sangat efektif dalam jaringan yang mengalami lonjakan penggunaan
yang tiba-tiba, besar, dan tak terduga.
b. Virtualisasi penyimpanan adalah penyatuan penyimpanan fisik dari beberapa perangkat
penyimpanan jaringan ke dalam apa yang tampak sebagai perangkat penyimpanan virtual
tunggal. Kolam ini kemudian dikelola dari server pusat. Virtualisasi penyimpanan
meningkatkan pemanfaatan kapasitas penyimpanan dengan memungkinkan beberapa
server mengkonsolidasikan data pribadi mereka ke dalam array disk. Virtualisasi
penyimpanan mempercepat akses data dan secara dinamis memperluas kapasitas
penyimpanan seiring meningkatnya permintaan.
Risiko Yang Melekat Pada IT Outsourcing
Pengalihdayaan TI berskala besar menjadi upaya yang beresiko, karena besarnya jumlah
transaksi keuangan, dan juga sifatnya. Tingkat resiko terkait dengan tingkat kekhususan aset dari
fungsi yang di outsourcingkan. Bagian-bagian berikut menguraikan beberapa masalah yang
terdokumentasi dengan baik.
Kegagalan Untuk Melakukan
Begitu perusahaan klien telah mengalihkan aset TI spesifiknya, kinerjanya menjadi terkait
dengan kinerja vendor. Implikasi negatif dari ketergantungan tersebut diilustrasikan dalam
masalah keuangan yang telah melanda vendor outsourcing besar Electronic Data Systems Corp.
(EDS). Dalam upaya pemotongan biaya, EDS termina memiliki tujuh ribu karyawan, yang
berdampak pada kemampuannya untuk melayani klien lainnya. Setelah harga saham terendah 11
tahun, pemegang saham EDS mengajukan gugatan class action kepada perusahaan tersebut.
Jelas, vendor yang mengalami masalah keuangan dan hukum yang serius juga mengancam
kelangsungan hidup klien mereka.
Eksploitasi Vendor
Pengalihan TI berskala besar melibatkan pemindahan ke vendor "aset khusus", seperti
perancangan, pengembangan, dan pemeliharaan aplikasi bisnis unik yang penting bagi
kelangsungan hidup sebuah organisasi. Aset khusus, yang bernilai bagi klien, tidak banyak
berpengaruh pada vendor di luar kontrak langsung dengan klien. Memang, mereka mungkin
tidak berharga jika organisasi klien gulung tikar. Karena vendor mengasumsikan risiko dengan
mengakuisisi aset dan tidak dapat mencapai skala ekonomi dengan mempekerjakan mereka di
tempat lain, organisasi klien akan membayar premi untuk mentransfer fungsi tersebut ke pihak
ketiga. Selanjutnya, setelah perusahaan klien melepaskan diri dari aset spesifik tersebut, hal itu
menjadi tergantung pada vendor. Vendor dapat memanfaatkan ketergantungan ini dengan
menaikkan tarif layanan ke tingkat selangit. Seiring kebutuhan TI klien berkembang dari waktu
ke waktu di luar persyaratan kontrak awal, risiko akan berlanjut jika layanan baru atau tambahan
akan dinegosiasikan dengan harga premium. Ketergantungan ini dapat mengancam fleksibilitas
jangka panjang klien, kelincahan, dan daya saing dan mengakibatkan ketergantungan vendor
yang lebih besar lagi.
Biaya Outsourcing Melebihi Manfaat
IT outsourcing telah dikritik karena biaya tak terduga muncul dan tingkat keuntungan yang
diharapkan tidak terealisasi. Satu survei mengungkapkan bahwa 47 persen dari 66 perusahaan
yang disurvei melaporkan bahwa biaya outsourcing TI melebihi keuntungan outsourcing. Salah
satu alasannya adalah ketika perusahaan outsourcing sering gagal mengantisipasi biaya
pemilihan vendor, kontrak, dan konsekuensi operasi TI kepada vendor.
Mengurangi Keamanan
Informasi yang diserahkan ke vendor TI di luar negeri menimbulkan pertanyaan unik dan serius
mengenai pengendalian internal dan perlindungan data pribadi yang sensitif. Ketika sistem
keuangan perusahaan dikembangkan dan dihosting di luar negeri, dan kode program
dikembangkan melalui antarmuka dengan jaringan perusahaan induk, perusahaan A.S. berisiko
kehilangan kendali atas informasi mereka. Untuk sebagian besar, perusahaan A.S. bergantung
pada langkah keamanan vendor luar negeri, kebijakan akses data, dan undang-undang privasi
negara tuan rumah. Misalnya, seorang wanita di Pakistan mendapatkan data medis sensitif dari
University of California Medical Center di San Francisco. Dia mendapatkan akses ke data dari
seorang penjual transkripsi medis untuk siapa dia bekerja. Wanita itu mengancam akan
menerbitkan catatan di Internet jika dia tidak mendapatkan kenaikan gaji. Terorisme di Asia dan
Timur Tengah menimbulkan masalah keamanan tambahan bagi perusahaan yang meng-
outsource teknologi lepas pantai. Misalnya, pada tanggal 5 Maret 2005, polisi di Delhi, India,
menangkap sel dari tersangka teroris yang berencana untuk menyerang perusahaan outsourcing
di Bangalore, India.
Hilangnya Keuntungan Strategis
IT outsourcing dapat mempengaruhi ketidaksesuaian antara perencanaan strategis TI perusahaan
dan fungsi perencanaan bisnisnya. Organisasi yang menggunakan TI strategis harus
menyelaraskan strategi bisnis dan strategi TI atau menjalankan risiko penurunan kinerja bisnis.
Untuk mempromosikan keselarasan tersebut, perusahaan membutuhkan manajer TI dan chief
information officer (CIO) yang memiliki pengetahuan kerja yang kuat mengenai bisnis
organisasi. Sebuah survei terhadap 213 manajer TI di industri jasa keuangan memastikan bahwa
kepemimpinan TI perusahaan harus disesuaikan dengan strategi persaingan perusahaan.
Memang, ada yang berpendapat bahwa kompetensi bisnis CIO lebih penting daripada
kompetensi TI mereka dalam memfasilitasi kongruensi strategis. Untuk mencapai keselarasan
tersebut, diperlukan adanya hubungan kerja yang erat antara manajemen perusahaan dan
manajemen TI dalam pengembangan strategi bisnis dan TI bersamaan.
Implikasi Audit It Outsourcing
Manajemen dapat mengalihdayakan fungsi TI organisasinya, tetapi tidak dapat mengalihdayakan
tanggung jawab manajemennya di bawah SOX untuk memastikan kontrol internal TI yang
memadai. PCAOB secara khusus menyatakan dalam Standar Audit No. 2, Jika perusahaan yang
melakukan audit mengalihkan fungsi IT-nya ke vendor yang memproses transaksinya dengan
data kunci, atau melakukan layanan signifikan lainnya, auditor perlu melakukan evaluasi kontrol
organisasi vendor atau secara alternatif mendapatkan laporan auditor SAS No. 70 dari organisasi
vendor. Pernyataan tentang Standar Audit No. 70 (SAS 70) adalah standar definitif dimana
auditor organisasi klien dapat memperoleh pengetahuan yang mengendalikan pada ketiga vendor
pihak memadai untuk mencegah atau mendeteksi erosi material yang dapat berdampak pada
keuangan klien pernyataan Laporan SAS 70, yang disiapkan oleh auditor vendor, pada pengujian
terhadap kecukupan kontrol internal vendor. Ini adalah sarana yang digunakan oleh vendor
outsourcing untuk mendapatkan laporan audit tunggal yang dapat digunakan oleh audiens klien
dan dengan demikian menghalangi perlunya setiap auditor perusahaan yang berbeda untuk
melakukan audit sendiri atas kontrol internal organisasi vendor.