Auditing IT Governance Controls

Tugas Mata Kuliah

Auditing EDP

Oleh:

1. Amelia Novia Rizki 170810301038

2. Dewi Nuraini Kumala Sari 170810301109
3. Farah Fauziyah Firdaus 170810301121
4. Muhammad Rizki Fadlilah Rahman 170810301205

Program Studi Akuntansi

Fakultas Ekonomi
Universitas Jember
Tahun 2020
 PENDAHULUAN

Pesatnya perkembangan teknilogi informasi (IT) menjadi bagian yang tidak dapat
dipisahkan dari sebuah organisasi. IT dapat menjadi kunci untuk mendukung serta
meningkatkan kinerja organisasi dalam menghadapi dunia persaingan yang semakin meningkat
setiap harinya dengan organisasi lainnya. Efektivitas dan efisiensi kerja dapat menigkat apabila
IT dikelolah dengan baik. Manfaat lain yang dapat diperoleh apabila IT dikelaolah dengan baik
adalah bermanfaat untuk integrasi kerja yang baik secara vertical maupun horizontal,
membantu organisasi dalam memperoleh informasi yang kompetitif (McLeod, 1998).
Penggunaan IT akan berhasil apabila didukung dengan Sumber daya manusia (SDM) yang
berkualitas dalam mengelolah IT itu sendiri. Namun penggunaan IT tidak dapat secara
langsung memberikan keunggulan bagi sebuah organisasi. Karena meskipun IT yang
merupakan sebuah investasi bagi sebuah organisasi bisa saja mengalami kegagalan jika tidak
dikelola secara maksimal oleh SDM yang menggunakannya, karena IT hanyalah sebuah alat
bantu yang tidak dapat menggantikan peran sumber daya manusia di dalamnya. Oleh karena
itu organisasi harus tetap mampu menjamin pengelolaan IT sebagai sebuah investasi untuk
mendukung strategi bisnis organisasi sehingga IT bisa menciptakan keunggulan kompetitif
(Pearlson dan Saunders, 2004)
Salah satu metode pengelolaan IT yang digunakan secara luas adalah IT Governance.
Menurut IT Governance Institute (2008) IT Governance merupakan bagian dari tata kelola
perusahaan dan terdiri dari kepemimpinan, struktur organisasi dan proses yang memastikan
bahwa organisasi IT mendukung dan memperluas strategi dan objektif organisasi. Sedangkan
Oltsik (2003) mendefinisikan IT Governance sebagai kumpulan kebijakan, proses/aktivitas dan
prosedur untuk mendukung pengoperasian IT agar hasilnya sejalan dengan strategi bisnis
(strategi organisasi). IT Governance dan tata kelola perusahaan yang terintegrasi akan
membuat keduanya saling mempengaruhi satu sama lain. Strategi bisnis perusahaan dalam
proses bisnis akan tercapai apabila IT Governance dapat dikelola dengan optimal. Dan
sebaliknya apabila tata kelola perusahaan tidak dirancang dengan baik maka perusahaan tidak
akan bisa memilih IT yang optimal untuk mendukung kegiatan proses bisnis mereka. Hal ini
menyebabkan perusahaan atau organisasi harus lebih memperhatikan pengambilan keputusan
dalam area IT dan penggunaannya.
Semakin besar peran IT dalam mendukung pencapaian tujuan organisasi akan dibarengi
dengan pengendalian IT yang memadai. Selian itu tanpa adanya tata kelola IT yang memadai,
sistem informasi (sebagai kesatuan sumber daya informasi) yang dimiliki organisasi dapat
menjadi bumerang yang justru menghambat pencapaian tujuan organisasi. Penggunaan IT
harus diimbangi dengan keefektifan dan efisiensi pengelolaannya guna mencapai tujuan dan
sasaran organisasi. Untuk mempertahankan integritas informasi yang disimpan dan diolah
maka audit IT perlu dilakukan untuk menjaga keamanan sistem informasi sebagai asset
organisasi, hal ini akan meningkatkan keefektifan penggunaan teknologi informasi serta
mendukung efisiensi dalam organisasi. Audit IT merupakan bentuk pengawasan dan
pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit IT ini dapat
berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan
pengawasan dan evaluasi lain yang sejenis.

PEMBAHASAN

INFORMATION TECHNOLOGY GOVERNANCE

IT Governance adalah bagian yang relatif baru dalam tata kelola perusahaan yang
berfokus pada manajemen dan penilaian strategis sumber daya strategis IT. tujuan utama dari
tata kelola IT adalah untuk mengurangi risiko dan memastikan bahwa investasi di sumber daya
IT menambah nilai korporasi .

IT Governance Controls
Meskipun semua masalah tata kelola IT yang penting bagi organisasi, tidak semua dari
mereka adalah pengendalian internal di bawah SOX yang berpotensi mempengaruhi proses
pelaporan keuangan. tiga isu tata kelola IT yang ditangani oleh kerangka pemikiran
pengendalian internal SOX dan COSO adalah :
1.Struktur organisasi dari fungsi IT
2. Pusat operasi Komputer
3. Perencanaan pemulihan bencana
Diskusi pada masing-masing isu-isu pemerintahan ini dimulai dengan penjelasan
tentang sifat risiko dan deskripsi pengendalian yang diperlukan untuk mengurangi risiko.
Kemudian tujuan audit disajikan yang menetapkan apa yang perlu diverifikasi mengenai
fungsi kontrol di tempat.

STRUCTURE OF THE INFORMATION TECHNOLOGY FUNCTION

 Fungsi organisasi IT berimplikasi pada sifat dan efektivitas pengendalian internal yang
pada gilirannya memiliki implikasi untuk audit. Pada bagian ini, beberapa masalah penting
pengendalian yang terkait dengan struktur IT diperiksa. Ini digambarkan melalui dua model -
satu organisasi ekstrim pendekatan terpusat dan pendekatan didistribusikan.

Centralized Data Processing

Berdasarkan model pengolahan data terpusat, semua pengolahan data dilakukan oleh satu
atau komputer yang lebih besar bertempat di situs pusat yang pengguna berfungsi bagi seluruh
organsasi.

Database Administration
Perusahaan terorganisir terpusat mempertahankan sumber daya data mereka dalam lokasi
pusat yang bersama oleh semua pengguna akhir. Dalam pengaturan data bersama, sebuah
kelompok independen yang dipimpin oleh database administrator (DBA) bertanggung jawab
atas keamanan dan integritas Database .

Data Processing
Kelompok pengolahan data mengelola sumber daya komputer yang digunakan untuk
melakukan pengolahan transaksi harian. Fungsi-fungsi organisasi ini terdiri dari :
 Data Conversion, Fungsi konversi data mentranskripsi data transaksi dari sumber
dokumen hard copy ke input komputer.
 Computer Operations, File-file elektronik yang dihasilkan dalam konversi data
kemudian diproses oleh komputer pusat, yang dikelola operasi computer kelompok.
Aplikasi akuntansi biasanya dioperasikan sesuai dengan jadwal ketat yang dikendalikan
oleh sistem operasi komputer pusat.
 Data Library, Perpustakaan data ruang berdekatan dengan pusat computer yang
menyediakan penyimpanan yang aman untuk file data off-line.

Systems Development and Maintenance

Kebutuhan sistem informasi dari pengguna dipenuhi oleh dua fungsi yang terkait :
pengembangan sistem dan sistem pemeliharaan. Kegiatan pengembangan mencakup :
 Sistem profesional termasuk sistem analis, desainer database, dan programmer yang
merancang dan membangun sistem. Sistem profesional mengumpulkan fakta tentang
masalah pengguna, menganalisis fakta-fakta, dan merumuskan solusi. Produk dari
usaha mereka adalah sistem informasi baru.
  Pengguna akhir dari sistem yang dibangun adalah manajer yang menerima laporan dari
sistem dan personil operasi yang bekerja secara langsung dengan sistem sebagai
bagian dari tanggung jawab sehari-hari mereka.
 Stakeholder adalah individu dalam atau di luar perusahaan yang memiliki kepentingan
dalam sistem, tetapi bukan pengguna akhir. Mereka termasuk akuntan, auditor internal,
eksternal auditor, dan lain-lain yang mengawasi pengembangan sistem .

Segregation of Incompatible IT Functions

Secara khusus, tugas operasional harus dipisahkan untuk :
1. otorisasi transaksi terpisah dari pemrosesan transaksi
2. Catatan dari assets / yang berkaitan dengan kantor
3. Membagi tugas pemerosesan transaksi antara individu – individu seperti 2 atau lebih
individu sehingga tidak ada kesempatan untuk kolusi

Separating Systems Development from Computer Operations

Pemisahan pengembangan sistem (baik pengembangan sistem baru dan pemeliharaan) dan
kegiatan operasi adalah penting. Pengembangan dan pemeliharaan sistem profesional harus
menciptakan (dan mempertahankan) sistem bagi pengguna, dan seharusnya tidak memiliki
keterlibatan dalam memasukkan data, atau menjalankan aplikasi (yakni, operasi komputer).
Staf operasional harus menjalankan system ini dan tidak memiliki keterlibatan dalam desain
mereka.

Separating Database Administration from Other Functions

Kontrol lain organisasi penting adalah pemisahan database administrator ( DBA ) dari fungsi
pusat komputer lainnya. Fungsi DBA bertanggung jawab untuk tugas-tugas penting yang
berkaitan dengan keamanan database, termasuk membuat database dilihat skema dan user,
menetapkan kewenangan akses database untuk pengguna, basis data pemantauan
penggunaan, dan perencanaan untuk masa depan.

Separating New Systems Development from Maintenance

Beberapa perusahaan mengatur fungsi pengembangan system mereka menjadi dua kelompok :
analisis sistem dan pemrograman. Kelompok analisis sistem bekerja dengan pengguna untuk
menghasilkan desain rinci dari sistem yang baru.
 Inadequate Documentation
 Dokumentasi sistem berkualitas rendah adalah masalah IT kronis dan tantangan yang
signifikan bagi banyak organisasi mencari kepatuhan SOX. Ada dua penjelasan untuk
fenomena ini. Pertama, system pendokumentasian adalah tidak semenarik merancang,
pengujian, dan menerapkannya. sistem professional lebih memilih untuk pindah ke
sebuah proyek baru yang menarik daripada hanya selesai satu dokumen.
 Program Fraud
Ketika programmer asli dari sistem juga ditugaskan bertanggung jawab pemeliharaan,
potensi kecurangan meningkat. Penipuan Program melibatkan pembuatan perubahan
tidak sah untuk modul program untuk tujuan melakukan tindakan ilegal . Pemrogram
perlu untuk melindungi kode penipuan dari deteksi oleh programmer lain melakukan
perawatan atau dengan audit pengujian aplikasi.

The Distributed Model

Sebuah alternatif untuk model terpusat adalah konsep didistribusikan pengolahan data
( DDP ). DDP melibatkan reorganisasi fungsi IT pusat ke IT kecil unit yang ditempatkan di
bawah kendali pengguna akhir. Unit IT dapat didistribusikan menurut fungsi bisnis, lokasi
geografis, atau keduanya.

Risks Associated with DDP

Bagian ini membahas risiko organisasi yang perlu dipertimbangkan ketika menerapkan DDP.
Potensi masalah termasuk penggunaan sumber yang tidak efisien, penghancuran jejak audit,
pemisahan memadai tugas, meningkat potensi kesalahan pemrograman dan kegagalan sistem,
dan kurangnya standar.
 Inefficient Use of Resources, DDP dapat mengekspos dan organisasi untuk tiga jenis
risiko yang terkait dengan penggunaan efisien sumber daya organisasi.
1. Risiko kesalahan manajemen sumber daya organisasi IT oleh pengguna akhir.
2. DDP dapat meningkatkan risiko inefisiensi operasional karena berlebihan
tugas yang dilakukan dalam komite pengguna akhir.
3. Lingkungan DDP menimbulkan risiko hardware tidak kompatibel dan perangkat
lunak antara fungsi pengguna akhir.
 Kerusakan Jejak Audit, Penggunaan DDP dapat mempengaruhi secara negatif jejak
audit. Karena jejak audit dalam sistem modern cenderung bersifat elektronik, merupakan
hal biasa jika sebagian atau seluruh jejak audit berada dalam berbagai komputer
pengguna terakhir.
  Pemisahaan Tugas yang Tidak Memadai, Distribusi layanan TI ke para pengguna
dapat menghasilkan terciptanya banyak unit kecil yang tidak memungkinkan adanya
pemisahan berbagai fungsi yang tidak saling berkesesuaian. Contohnya dalam satu unit
yang sama dapat menulis program aplikasi, melakukan pemeliharaan program,
memasukkan data transaksi ke dalam komputer kondisi ini akan menjadikan
pelanggaran pengendalian internal.
 Memperkerjakan Profesional yang Berkualitas, Manajer yang juga pengguna akhir
dapat saja kurang memiliki pengetahuan dalam mengevaluasi kualifikasi dan
pengalaman terkait beberapa kandidat yang melamar untuk posisi sebagai profesional
komputer.
 Kurangnya Standar, Karena adanya pendistribusian tanggung jawab dalam lingkungan
DDP, standar untuk mengembangkan dan mendokumensaikan sistem, pemilihan
bahasa programan, pengadaan piranti keras dan lunak, serta evaluasi kinerja mungkin
jarang diaplikasikan atau mungkin tidak ada.

Keuntungan DDP
Keuntungan DDP yang paling banyak disebut-sebut berkaitan dengan penghematan biaya,
peningkatan kepuasan pengguna, dan peningkatan efisiensi operasional. Berbagai isu tertentu
dibahas berikut ini.
 Pengurangan Biaya. Dulu, mencapai skala ekonomi adalah pembenaran utama untuk
pendekatan terpusat. Nilai ekonomi pemrosesan data lebih mendukung komputer yang
besar, mahal, dan canggih. Banyaknya jenis kebutuhan yang harus dipenuhi oleh sistem
terpusat semacam itu membutuhkan komputer yang sangat digeneralisasikan serta
menggunakan sistem operasi yang rumit.
 Peningkatan Tanggung Jawab Pengendalian Biaya. Para manajer menerima
tanggung jawab atas keberhasilan berbagai operasi mereka dari segi keuangan. Hal ini
mensyaratkan bahwa mereka harus diberikan otoritas untuk mengambil keputusan
mengenai berbagai sumber daya yang mempengaruhi keberhasilan keseluruhan
mereka. Ketika para manajer tidak dimungkinkan untuk mengambil keputusan yang
dibutuhkan untuk mencapai tujuan mereka, kinerja mereka dapat terpengaruh secara
negatif. Manajemen yang kurang agresif dan kurang efektif dapat berkembang.
Pendukung DDP berpendapat bahwa manfaat dari peningkatan sikap pihak manajemen
melebihi biaya tambahan yang timbul dari mendistribusikan berbagai sumber daya ini.
  Peningkatan Kepuasaan Pengguna. Mungkin manfaat DDP yang paling sering
disebutkan adalah peningkatan kepuasan pengguna. Hal ini didasarkan dari tiga area
kebutuhan yang sering kali dibiarkan tak terpenuhi dalam pendekatan terpusat: (1)
seperti dijelaskan sebelumnya, pengguna berkeinginan untuk mengendalikan sumber
daya yang memengaruhi profitabilitasnya; (2) pengguna menginginkan professional
sistem (analis, pemrogram, dan operator komputer) yang responsif dengan situasi
khusus pengguna; dan (3) pengguna ingin terlibat secara lebih aktif dalam
pengembangan dan implementasi sistem yang digunakannya. Pendukung DDP
berpendapat bahwa menyediakan dukungan yang lebih disesuaikan-yang hanya dapat
dilakukan dalam lingkungan terdistribusi-memiliki manfaat langsung bagi pengguna dari
sisi semangat dan produktivitas.
 Backup Flexibility. Argumentasi terakhir dalam mendukung DDP adalah
kemampuannya untuk mendukung berbagai fasilitas komputasi agar dapat melindungi
dari potensi bencana, seperti kebakaran, banjir, sabotase, serta gempa bumi. Salah satu
solusinya adalah dengan membangun kemampuan yang berlebih ke dalam tiap IPU.
Jika suatu bencana menghancurkan sebuah lokasi, transaksinya akan masih dapat
diproses oleh IPU lainnya. Hal ini membutuhkan koordinasi yang baik antara para
pengambil keputusan untuk memastikan bahwa mereka tidak mengimplementasikan
peranti keras serta peranti lunak yang tidak sesuai di lokasi mereka.

Mengendalikan Lingkungan DDP

DDP membawa nilai prestise yang tingi hingga proses analisis pro dan kontra nya akan dapat
menutupi berbagai pertimbangan penting dalam hal manfaat ekonomi serta kelayakan
operasionalnya. Dimana beberapa perusahaan telah bergeser ke DDP tanpa secara penuh
mempertimbangkan apakah struktur organiasional yang terdistribusi tersebut akan dapat
membuat mereka secara lebih baik mencapai tujuan perusahaan atau tidak.
o Mengimplementasikan Fungsi TI Perusahaan
Model terpusat penuh dan model terdistribusi penuh mewakili dua posisi ekstrim dalam
sebuah area alternatif struktur. Kebutuhan kebanyakan perusahaan masuk diantara ke dua
titik ekstrim ini. Dalam kebanyakan perusahaan, masalah pengendalian dapat ditangani
dengan mengimplementsaikan fungsi TI perusahaan.
o Pengujian Terpusat atas Peranti Lunak Komersial dan Peranti Keras
Kelompok TI perusahaan dapat secara lebih baik mengevaluasi berbagai kebaian
beberapa peranti lunak dan keras yang di jual di pasaran. Kelompok yang terpusat dan
 secara teknis bagus dalam memberikan penilaian, dapat mngevaluasi berbagai fitur sistem,
pengendalian dan kesesuaian dengan berbagai standar industri serta organisasional
dengan sngat efisien.
o Layanan Pengguna
Fitur yang berharga dari kelompok perusahaan adalah fungsi layanan penggunanya.
Aktivitas ini menyediakan bantuan teknis bagi para pengguna selama instalasi peranti
lunak baru serta dalam mngatasi berbagai masalah peranti keras dan lunak.
o Lembaga Pembuat Standar
Lingkungan pengendalian yang relatif kurang baik akubat dari model DDP dapat diperbaiki
dengan membuat beberapa petunjuk terpusat. Kelompok perusahaan dapat memberikan
kontribusinya untuk tujuan ini dengan membentuk serta menyebarluaskan ke berbagai area
pengguna standar-standar yang tepat untuk pengembangan sistem, pemrograman dan
dokumentasi sistem.
o Kajian Personel
kelompok perusahaan mungki lebih baik persiapannya dai pada para pengguna dalam
mengevaluasi secara teknis kualifikasi para calon praktisi sistem. Walaupun para praktisi
sistem sesungguhnya akan menjadi bagian dari kelompok pengguna, keterlibatan
kelompok perusahaan dalam keputusan untuk mempekerjakan dapat memberikan layanan
yang berharga bagi perusahaan.

Tujuan Audit
• Melakukan penilaian resiko atas fungsi TI DDP;
• Memverifikasi bahwa unit – unit TI yang terdistribusi menggunakan berbagai standar
kinerja keseluruhan perusahaan yang mendorong kesesuaian antara peranti keras,
aplikasi perati lunak dan data.

Prosedur Audit
• Memverifikasi bahwa berbagai kebijakan dan standar perusahaan untuk desain
sistem, dokumentasi dan pengadaan peranti keras dan lunak telah dikeluarkan dan
disebarluaskan ke berbagai unit TI.
• Mengkaji struktur organisasional, misi dan deskripsi pekerjaan terkini berbagai fungsi
yang utama, untuk menentukan apakah ada karyawan atau kelompok yang
melakukan pekerjaan yang tidak saling berkesesuaian.
 • Memverifikasi bahwa ada pengendalian pengganti seperti supervisi dan pengawasan
manajemen dilakukan etika pemisahaan pekerjaan yang tidak saling berkeseuaian
secara ekonomi tidak mungkin dilakukan.
• Mengkaji dokumentsai sistem untuk memverifikasi bahwa berbagai aplikasi, prosedur
dan basis data didesain dan berfungsi sesuai dengan standar perusahaan.
• Memverifikasi bahwa tiap karyawan diberikan izin akses sistem ke berbagai program
dan data sesuai dengan deskripsi pekerjaannya.

PUSAT KOMPUTER
Tujuannya adalah untuk menyajikan pengendalian pusat komputer yang dapat menciptakan
lingkungan yang aman. Beberapa fitur pengendalian yang berkontribusi langsung pada
keamanan lingkungan pusat komputer adalah sebagai berikut:
1. Lokasi Fisik. Sebisa mungkin lokasi fisik jauh dari berbagai bahaya yang ditimbulkan
manusia dan alam serta jauh dari arus lalu lalang normal.
2. Konstruksi. Idealnya di gedung berlantai satu dengan konstruksi solid dan dengan akses
yang terkendali.
3. Akses. Dibatasi hanya untuk operator dan karyawan yang benar benar bekerja di situ.
Sebisa mungkin terdapat pintu terkunci dengan akses masuk tertentu dan dilengkapi
CCTV.
4. Pengatur Suhu Udara. Agar kinerja pusat komputer dapat maksimal suhu di udara di
ruang tersebut berkisar 700-750 Fahrenheit dengan kelembapan 50%.
5. Pemadam Kebakaran. Harus disediakan alat pemadam kebakaran karena kejadian
kebakaran adalah kejadian yang paling sering terjadi pada pusat komputer.
6. Pasokan Listrik. Ketersediaan listrik dengan regulator voltase dan cadangan baterai
sangat penting untuk menunjang operasional pusat komputer.

Tujuan Audit Pusat Komputer

Secara Umum: mengevaluasi berbagai pengendalian yang mengatur keamanan pusat
komputer
Secara khusus:
• Memverifikasi Pengendalian keamanan fisik untuk melindungi perusahaan dari eksposur
fisik
• Memverifikasi Jaminan perlengkapan untuk member kompensasi apabila terjadi
kerusakan atau kehancuran pusat komputer
 • Memverifikasi Dokumentasi operator yang memadai dalam menangani kegagalan
sistem

Prosedur Audit
 Pengujian Konstruksi Fisik. Auditor memastikan pusat komputer dibangun secara kuat,
tahan api, dengan drainase yang baik serta berlokasi di area yang meminimalkan eksposur
kebakaran, kerusuhan dan bahaya lainnya.
 Pengujian Sistem Deteksi Kebakaran. Auditor harus meyakini alat deteksi kebakaran
telah ada dan berfungsi normal baik manual maupun otomatis dengan mengkaji catatan
dari departemen pemadam kebakaran.
 Pengujian Pengendalian Akses. Auditor memastikan akses ke pusat komputer terbatas
untuk karyawan yang berhak dan mengamati proses pemberian izin akses secara diam-
diam.
 Pengujian Pasokan Listrik Cadangan. Dilakukan pengujian pasokan listrik cadangan
secara berkala.
 Pengujian Cakupan Asuransi. Setiap tahunnya auditor mengkaji cakupan asuransi
perusahaan atas hardware, software dan fasilitas fisiknya. Pengadaan perlatan baru harus
didaftarkan dalam polis asuransi.
 Pengujian Pengendalian Dokumentasi Operator. Audit harus memverivikasi bahwa
dokumentasi sistem seperti bagan alir, bagan alir logika program dan daftar kode program
bukan bagian dari dokumentasi operasional.

DISASTER RECOVERY PLANNING

Bencana seperti gempa bumi, banjir, sabotase, dan bahkan kegagalan sistem dapat
menjadi bencana untuk pusat komputer dan sistem informasi organisasi.
 Keruntuhan sistem informasi merupakan bencana karena menyebabkan
terhentinya kegiatan sehari-hari suatu entitas karena kehilangan informasi. Semua
bencana ini bisa membuat sebuah perusahaan kehilangan fasilitas pengolahan data,
menghentikan fungsi-fungsi bisnis yang dilakukan atau dibantu oleh komputer, dan
mengganggu kemampuan organisasi untuk menyediakan produk atau jasa. Dengan
kata lain, perusahaan kehilangan kemampuan untuk melakukan bisnis. Semakin
tergantung sebuah organisasi pada teknologi, semakin rentan jenis risikonya. Untuk
bisnis seperti Amazon.com atau eBay, jika terjadi error pada pemrosesan komputer
selama beberapa jam saja dapat menjadi bencana besar bagi perusahaan.
Bencana dari jenis yang diuraikan di atas biasanya tidak dapat dicegah atau
dihindari. Setelah terserang, kelangsungan hidup perusahaan sebagai korban akan
ditentukan oleh seberapa baik dan seberapa cepat serangan itu beraksi. Oleh karena
itu, dengan perencanaan kontingensi, dampak dari bencana dapat diserap dan
organisasi dapat pulih. Untuk bertahan hidup di peristiwa seperti itu, perusahaan
mengembangkan prosedur pemulihan dan meresmikan ke dalam perencanaan
pemulihan kerusakan (disaster recovery planning atau DRP). DRP adalah pernyataan
komprehensif tentang semua tindakan yang harus diambil sebelum, selama, dan
setelah bencana-bencana tersebut terjadi, bersama dengan prosedur-prosedur yang
didokumenasikan, diuji yang akan memastikan kontinutitas operasi. Disaster recovery
planning (DRP) adalah perencanaan untuk pengelolaan secara rasional dan cost-
effective terhadap bencana pada sistem informasi yang akan dan telah terjadi.
Didalamnya terdapat aspek catastrophe in information system. Seperti halnya polis
asuransi, suatu perencanaan preventif terhadap bencana pada sistem informasi  dan
pemulihan pasca bencana yang efektif harus dirasakan manfaatnya walaupun bencana
”tak pernah akan terjadi” justru karena efektivitas sistem informasi tersebut. Namun
runtuhnya sistem informasi itu sendiri merupakan bencana, yaitu terhentinya kegiatan
sehari-hari hari karena kehilangan informasi.
DRP merupakan perencanaan penghindaran-pengurangan-pemulihan bencana
yang meliputi kegiatan back up data, restorasi data, teknik menjalan kegiatan normal
walau sedang mengalami kesusahan-bencana, perlindungan catatan tentang pihak
ketiga (hutang-piutang), perlindungan catatan harta, perlindungan LAN, proteksi dan
restorasi kerusakan perangkat keras, daftar karyawan kunci untuk DRP, Administrasi
DRP, Backup powersource dan daftar perangkat lunak yang dibutuhkan untuk DRP.
Meskipun rincian dari setiap rencana sesuai dengan kebutuhan organisasi, semua
rencana yang bisa diterapkan tersebut harus memiliki empat fitur yang umum yaitu:

1. Mengidentifikasi aplikasi-aplikasi kritis,

2. Membentuk tim pemulihan kerusakan,
3. Menyediakan backup situs-kedua, dan
4. Menentukan prosedur backup dan penyimpanan off-site.

Mengidentifikasi Aplikasi-Aplikasi Kritis

 Salah satu elemen penting dari sebuah DRP adalah mengidentifikasi aplikasi-
aplikasi penting dan file-file data perusahaan. Upaya-upaya pemulihan harus
terkonsentrasi pada pemasangan kembali aplikasi-aplikasi yang penting untuk
perjuangan jangka pendek organisasi. Jelas sekali bahwa dalam jangka panjang,
semua aplikasi harus dipasang kembali sampai pada tingkat aktivitas bisnis
sebelum kerusakan terjadi.
 Bagi kebanyakan organisasi, daya tahan perusahaan dalam jangka pendek
mensyaratkan pemasangan kembali fungsi-fungsi yang menghasilkan arus kas
yang memadai untuk memenuhi kewajiban jangka pendek. Misalnya, asumsikan
item-item berikut ini mempengaruhi posisi arus kas perusahaan:
 Penjualan dan pelayanan pelanggan.
 Pemenuhan kewajiban hukum.
 Pemeliharaan dan penagihan piutang dagang.
 Keputusan-keputusan produksi dan distribusi.
 Fungsi-fungsi Pembelian.
 Pengeluaran kas (rekening perdagangan dan gaji).
Aplikasi komputer yang mendukung fungsi bisnis ini secara langsung sangat
penting. Oleh karena itu, aplikasi ini harus diidentifikasi dan diprioritaskan dalam
rencana restorasi.
 Prioritas aplikasi dapat berubah dari waktu ke waktu, dan keputusan ini harus dinilai
kembali secara rutin. Sistem terus direvisi dan diperluas untuk mencerminkan
perubahan dalam kebutuhan pengguna. Demikian pula, DRP harus diperbarui
untuk mencerminkan perkembangan baru dan mengidentifikasi aplikasi kritis.
Perbaharui prioritas yang penting, karena mereka mempengaruhi aspek-aspek lain
dari rencana strategis.
 Tugas mengidentifikasi item kritis dan memprioritaskan aplikasi membutuhkan
partisipasi aktif dari departemen pengguna, akuntan, dan auditor. Terlalu sering,
tugas ini dipandang sebagai masalah teknis komputer dan karena itu didelegasikan
kepada profesional TI. Meskipun bantuan teknis profesional TI akan diperlukan,
tugas ini adalah keputusan bisnis dan harus dilakukan oleh orang-orang paling siap
untuk memahami masalah bisnis.

Membentuk Tim Pemulihan Kerusakan

Pemulihan dari kerusakan bergantung pada tindakan perbaikan yang tepat
waktu. Gagal dalam melakukan tugas-tugas penting (seperti mendapatkan file-file
backup untuk aplikasi-aplikasi kritis) akan memperpanjang periode pemulihan dan
menghilangkan kemungkinan berhasilnya pemulihan tersebut. Semakin pendek masa
pemulihan, makin kecil kerugian akibat bencana. Sebaliknya, makin panjang masa
pemulihan, makin lama mulainya kembali masa produktif. Dengan demikian pendek
waktu pemulihan merupakan hal yang terpenting, setiap hari perpanjangan waktu
pemulihan mungkin adalah satu hari perpanjangan masa tidak produktif entitas
tersebut. Agar terhindar dari kesalahan yang serius atau tidak dicantumkan-nya
duplikasi selama implementasi perencanaan darurat tersebut, tanggung jawab tugas
harus ditentukan dengan jelas dan dikomunikasi kepada personel-personel yang
terlibat. Gambar dibawah menyajikan struktur organisasi yang menggambarkan
komposisi tim pemulihan kerusakan.

Tim Pemulihan Bencana

Menyediakan Backup Situs-Kedua
 Fakta Bantuan Mutual (Mutual Aid Pact) merupakan perjanjian antara dua atau
lebih organisasi (dengan fasilitas komputer yang kompatibel) untuk membantu
satu sama lain dengan kebutuhan pengolahan data dalam hal bencana.
 Gedung Kosong (Empty Shell) atau cold site adalah pengaturan dimana
perusahaan membeli atau menyewa bangunan yang akan berfungsi sebagai
pusat data. Dalam hal terjadi bencana, shell tersedia dan siap untuk menerima
hardware yang dibutuhkan oleh pengguna untuk menjalankan sistem penting.
 Pusat operasi Pemulihan Kembali (Recovery Center Operations atau RCO)
atau hot side. Sebuah pusat operasi pemulihan kembali (ROC) adalah data pusat
cadangan yang lengkap dan banyak digunakan oleh perusahaan-perusahaan.
Selain hardware dan cadangan fasilitas, layanan ROC menawarkan berbagai
layanan teknis untuk klien mereka, yang membayar biaya tahunan untuk hak
akses. Dalam hal terjadi bencana besar, pelanggan dapat menempati tempat dan,
dalam beberapa jam, melanjutkan pengolahan aplikasi kritis.
 Backup yang Disediakan dari Dalam atau Internally Provided Backup. Entitas
besar dengan pusat pengolahan data lebih memilih kemandirian yang
menciptakan kapasitas akses internal. Hal ini memungkinkan perusahaan untuk
mengembangkan perangkat keras dan perangkat lunak standar konfigurasi, yang
memastikan kompatibilitas fungsional antara pusat pengolahan data dan
meminimalkan masalah cutover dalam peristiwa bencana.
 Pershing, sebuah divisi dari Donaldson, Lufkin & Jenrette Securities Corporation,
memproses lebih dari 36 juta transaksi per hari, sekitar 2.000 per detik.
Manajemen Pershing mengakui bahwa vendor ROC tidak bisa memberikan waktu
pemulihan yang mereka inginkan dan butuhkan. Perusahaan, oleh karena itu,
membangun mirrored data center. Fasilitas ini dilengkapi dengan perangkat
penyimpanan berkapasitas tinggi mampu menyimpan data lebih dari 20 terabyte
dan dua mainframe IBM dengan menjalankan salinan perangkat lunak
berkecepatan tinggi. Semua transaksi pada proses sistem utama ditransmisikan
secara real time. Pada setiap titik waktu, mirrored data center mencerminkan
 peristiwa ekonomi perusahaan saat ini. Sistem mirrored data center telah
mengurangi waktu pemulihan data Pershing dari 24 jam sampai 1 jam.

Menentukan Prosedur Backup dan Penyimpanan Off-site

 Operating System Backup. Jika perusahaan menggunakan cold site atau
metode lain dari situs cadangan yang tidak termasuk sistem operasi yang
kompatibel, prosedur untuk mendapatkan versi terbaru dari sistem operasi harus
jelas ditentukan.
 Application Backup. Berdasarkan hasil yang diperoleh pada langkah aplikasi
kritis, DRP harus mencakup prosedur untuk membuat salinan dari versi terbaru
aplikasi kritis.
 Backup Data Files. Tidak semua organisasi bersedia atau mampu untuk
berinvestasi dalam sumber daya backup mirrored data center. Namun, minimal
database harus disalin setiap hari untuk kapasitas tinggi, media kecepatan tinggi,
seperti kaset atau CD / DVD dan dijamin off-site.
 Backup Documentation. Dokumentasi sistem untuk aplikasi kritis harus didukung
dan disimpan off-site bersama dengan aplikasi. Dokumentasi cadangan mungkin
dapat disederhanakan dan dibuat lebih efisien melalui penggunaan alat
dokumentasi Computer Aided Software Engineering (CASE).
 Backup Supplies and Source Documents. Organisasi harus membuat
persediaan cadangan dan sumber dokumen yang digunakan dalam pengolahan
transaksi penting.
 Testing the DRP. Sebuah tes paling berguna ketika simulasi gangguan itu
sifatnya sebagai kejutan. Ketika gangguan itu terjadi, status semua pemrosesan
yang dipe-ngaruhinya harus didokumentasikan. Ini akan menyediakan tolok ukur
untuk penilaian kinerja yang berikutnya. Perencanaan tersebut harus dijalankan
sejauh perencanaan itu memang layak secara ekonomi. Idealnya, termasuk dalam
hal ini adalah menggunakan fasilitas dan perlengkapan backup.

Tujuan Audit
Auditor harus memverifikasi rencana pemulihan bencana dari manajemen telah
memadai dan layak untuk tiap bencana yang bisa menganggu sumber daya komputasi
entitas.

Prosedur Audit
Dalam memverifikasi DRP, manajemen adalah solusi yang realistis untuk menangani
bencana, pengujian berikut dapat dilakukan.
 Site Backup. Auditor harus mengevaluasi kecukupan pengaturan situs cadangan.
Ketidakcocokan sistem dan sifat manusia sangat mengurangi efektivitas mutual aid
pact. Auditor harus skeptis dari pengaturan tersebut karena dua alasan. Pertama,
kecanggihan sistem komputer dapat membuat sulit untuk menemukan pasangan
potensial dengan konfigurasi yang kompatibel. Kedua, sebagian besar perusahaan
tidak memiliki kelebihan kapasitas yang diperlukan untuk mendukung pasangan
yang terkena bencana sementara mereka juga memproses pekerjaan mereka
sendiri.
 Critical Application List. Auditor meninjau daftar aplikasi kritis. Kehilangan aplikasi
dapat mengakibatkan kegagalan untuk pemulihan. Dengan menyertakan aplikasi
yang tidak diperlukan dalam daftar kritis untuk mencapai kelangsungan hidup
jangka pendek, maka hal ini dapat menjadi kesalahan dalam kelalaian
memprioritaskan sumber daya dan mengalihkan perhatian dari tujuan utama
selama periode pemulihan.
 Software Backup. Auditor harus memverifikasi bahwa salinan aplikasi dan sistem
operasi kritis disimpan off-site. Auditor juga harus memverifikasi antara aplikasi
yang saat ini yang disimpan off-site dengan membandingkan nomor versi aplikasi
dengan orang-orang yang menggunakan aplikasi.
 Data backup. Auditor harus memverifikasi bahwa file data penting yang didukung
sesuai dengan DRP.
 Back up Supplies, Documents, and Documentation. Dokumentasi sistem,
perlengkapan, dan dokumen sumber yang diperlukan untuk memproses transaksi
penting harus didukung dan disimpan off-site.
  Disaster Recovery Team. DRP harus jelas mencantumkan nama, alamat, dan
nomor telepon darurat dari anggota tim pemulihan bencana. Auditor harus
memverifikasi bahwa anggota tim adalah karyawan saat ini dan menyadari
tanggung jawab tugas mereka.

FUNGSI IT OUTSOURCING
Mempertimbangkan biaya, risiko, dan tanggung jawab terkait dengan mempertahankan fungsi
IT perusahaan yang efektif adalah hal penting . Oleh karena itu banyak eksekutif telah memilih
melakukan outsourcing fungsi IT mereka dengan pihak ketiga untuk mengambil alih tanggung
jawab atas pengelolaan aset dan staf TI dan untuk layanan IT, seperti entri data, operasi data
center, pengembangan aplikasi, maintenance aplikasi, dan manajemen jaringan.

Alasan untuk Outsource IT Support

• Salah satu alasan utama untuk sebuah perusahaan dari berbagai ukuran beralih.
kesebuah perusahaan IT pihak ketiga adalah untuk menurunkan biaya
• Menuai keuntungan dari membebaskan sumber daya – Outsource TI Anda ke pihak
ketiga membebaskan sumber daya internal yang dapat dialokasikan untuk proses yang
dapat memperluas bisnis Anda.
• Re-fokus prioritas Anda - Terakhir, tetapi tentu tidak sedikit, offloading tanggung jawab
dukungan TI Anda memungkinkan Anda lebih fokus pada bisnis Anda Outsourcing IT
memungkinkan Anda fokus pada apa yang penting: tumbuh dan mendukung bisnis
Anda - tidak mengatasi masalah software, hardware dan masalah pengguna.

Risiko Bawaan untuk OutSourcing IT

 Kegagalan Implementasi
 Vendor Eksploitasi
 Biaya outsourcing melebihi manfaat
 Keamanan berkurang
 Kehilangan Keuntungan Strategis

Audit Implications of Sourcing IT Functions

SAS 70 adalah standar oleh auditor bagi klien 'bisa mendapatkan pengetahuan yang
mengontrol Vendor pihak ketiga untuk mencegah atau mendeteksi kesalahan material yang
dapat mempengaruhi laporan keuangan klien
Layanan penyedia auditor menerbitkan dua jenis laporan SAS 70
 1. Tipe I melaporkan kurang ketatnya pengendalian kontrol dan komentar hanya pada
kesesuaian kontrol ‘ desain.
2. Tipe II berjalan lebih lanjut dan menilai apakah kontrol beroperasi efektif berdasarkan
tes yang dilakukan oleh auditor organisasi vendor. Sebagian besar dari SAS 70 laporan
yang dikeluarkan adalah Tipe II. Karena Pasal 404 memerlukan eksplisit pengujian
kontrol.

KESIMPULAN

IT Governance Controls membangun suatu sistem yang semua pemangku kepentingan,

termasuk direksi dan komisaris serta pengguna internal dan bagian terkait seperti keuangan,
dapat memberikan masukan yang diperlukan untuk proses pengambilan keputusan.
Manajemen dapat mengalihkan fungsi IT perusahaannya, namun tidak dapat mengalihkan
tanggung jawab pengelolaannya di bawah SOX untuk memastikan pengendalian internal IT
yang memadai. Penggunaan organisasi layanan tidak mengurangi tanggung jawab manajemen
untuk mempertahankan pengendalian internal yang efektif atas pelaporan keuangan.Hal ini
mencegah satu pihak tertentu biasanya IT disalahkan untuk suatu keputusan yang salah. Hal ini
juga mencegah munculnya keluhan dari pengguna di belakang hari mengenai sistem yang tak
memberikan hasil atau kinerja sesuai yang diharapkan.

REFERENSI

Hall, James A. 2011.  Information Technology Auditing and Assurance. 3rd  Ed. South
Western College Publishing, London.