Oleh:
Pesatnya perkembangan teknilogi informasi (IT) menjadi bagian yang tidak dapat
dipisahkan dari sebuah organisasi. IT dapat menjadi kunci untuk mendukung serta
meningkatkan kinerja organisasi dalam menghadapi dunia persaingan yang semakin meningkat
setiap harinya dengan organisasi lainnya. Efektivitas dan efisiensi kerja dapat menigkat apabila
IT dikelolah dengan baik. Manfaat lain yang dapat diperoleh apabila IT dikelaolah dengan baik
adalah bermanfaat untuk integrasi kerja yang baik secara vertical maupun horizontal,
membantu organisasi dalam memperoleh informasi yang kompetitif (McLeod, 1998).
Penggunaan IT akan berhasil apabila didukung dengan Sumber daya manusia (SDM) yang
berkualitas dalam mengelolah IT itu sendiri. Namun penggunaan IT tidak dapat secara
langsung memberikan keunggulan bagi sebuah organisasi. Karena meskipun IT yang
merupakan sebuah investasi bagi sebuah organisasi bisa saja mengalami kegagalan jika tidak
dikelola secara maksimal oleh SDM yang menggunakannya, karena IT hanyalah sebuah alat
bantu yang tidak dapat menggantikan peran sumber daya manusia di dalamnya. Oleh karena
itu organisasi harus tetap mampu menjamin pengelolaan IT sebagai sebuah investasi untuk
mendukung strategi bisnis organisasi sehingga IT bisa menciptakan keunggulan kompetitif
(Pearlson dan Saunders, 2004)
Salah satu metode pengelolaan IT yang digunakan secara luas adalah IT Governance.
Menurut IT Governance Institute (2008) IT Governance merupakan bagian dari tata kelola
perusahaan dan terdiri dari kepemimpinan, struktur organisasi dan proses yang memastikan
bahwa organisasi IT mendukung dan memperluas strategi dan objektif organisasi. Sedangkan
Oltsik (2003) mendefinisikan IT Governance sebagai kumpulan kebijakan, proses/aktivitas dan
prosedur untuk mendukung pengoperasian IT agar hasilnya sejalan dengan strategi bisnis
(strategi organisasi). IT Governance dan tata kelola perusahaan yang terintegrasi akan
membuat keduanya saling mempengaruhi satu sama lain. Strategi bisnis perusahaan dalam
proses bisnis akan tercapai apabila IT Governance dapat dikelola dengan optimal. Dan
sebaliknya apabila tata kelola perusahaan tidak dirancang dengan baik maka perusahaan tidak
akan bisa memilih IT yang optimal untuk mendukung kegiatan proses bisnis mereka. Hal ini
menyebabkan perusahaan atau organisasi harus lebih memperhatikan pengambilan keputusan
dalam area IT dan penggunaannya.
Semakin besar peran IT dalam mendukung pencapaian tujuan organisasi akan dibarengi
dengan pengendalian IT yang memadai. Selian itu tanpa adanya tata kelola IT yang memadai,
sistem informasi (sebagai kesatuan sumber daya informasi) yang dimiliki organisasi dapat
menjadi bumerang yang justru menghambat pencapaian tujuan organisasi. Penggunaan IT
harus diimbangi dengan keefektifan dan efisiensi pengelolaannya guna mencapai tujuan dan
sasaran organisasi. Untuk mempertahankan integritas informasi yang disimpan dan diolah
maka audit IT perlu dilakukan untuk menjaga keamanan sistem informasi sebagai asset
organisasi, hal ini akan meningkatkan keefektifan penggunaan teknologi informasi serta
mendukung efisiensi dalam organisasi. Audit IT merupakan bentuk pengawasan dan
pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit IT ini dapat
berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan
pengawasan dan evaluasi lain yang sejenis.
PEMBAHASAN
IT Governance Controls
Meskipun semua masalah tata kelola IT yang penting bagi organisasi, tidak semua dari
mereka adalah pengendalian internal di bawah SOX yang berpotensi mempengaruhi proses
pelaporan keuangan. tiga isu tata kelola IT yang ditangani oleh kerangka pemikiran
pengendalian internal SOX dan COSO adalah :
1.Struktur organisasi dari fungsi IT
2. Pusat operasi Komputer
3. Perencanaan pemulihan bencana
Diskusi pada masing-masing isu-isu pemerintahan ini dimulai dengan penjelasan
tentang sifat risiko dan deskripsi pengendalian yang diperlukan untuk mengurangi risiko.
Kemudian tujuan audit disajikan yang menetapkan apa yang perlu diverifikasi mengenai
fungsi kontrol di tempat.
Database Administration
Perusahaan terorganisir terpusat mempertahankan sumber daya data mereka dalam lokasi
pusat yang bersama oleh semua pengguna akhir. Dalam pengaturan data bersama, sebuah
kelompok independen yang dipimpin oleh database administrator (DBA) bertanggung jawab
atas keamanan dan integritas Database .
Data Processing
Kelompok pengolahan data mengelola sumber daya komputer yang digunakan untuk
melakukan pengolahan transaksi harian. Fungsi-fungsi organisasi ini terdiri dari :
Data Conversion, Fungsi konversi data mentranskripsi data transaksi dari sumber
dokumen hard copy ke input komputer.
Computer Operations, File-file elektronik yang dihasilkan dalam konversi data
kemudian diproses oleh komputer pusat, yang dikelola operasi computer kelompok.
Aplikasi akuntansi biasanya dioperasikan sesuai dengan jadwal ketat yang dikendalikan
oleh sistem operasi komputer pusat.
Data Library, Perpustakaan data ruang berdekatan dengan pusat computer yang
menyediakan penyimpanan yang aman untuk file data off-line.
Keuntungan DDP
Keuntungan DDP yang paling banyak disebut-sebut berkaitan dengan penghematan biaya,
peningkatan kepuasan pengguna, dan peningkatan efisiensi operasional. Berbagai isu tertentu
dibahas berikut ini.
Pengurangan Biaya. Dulu, mencapai skala ekonomi adalah pembenaran utama untuk
pendekatan terpusat. Nilai ekonomi pemrosesan data lebih mendukung komputer yang
besar, mahal, dan canggih. Banyaknya jenis kebutuhan yang harus dipenuhi oleh sistem
terpusat semacam itu membutuhkan komputer yang sangat digeneralisasikan serta
menggunakan sistem operasi yang rumit.
Peningkatan Tanggung Jawab Pengendalian Biaya. Para manajer menerima
tanggung jawab atas keberhasilan berbagai operasi mereka dari segi keuangan. Hal ini
mensyaratkan bahwa mereka harus diberikan otoritas untuk mengambil keputusan
mengenai berbagai sumber daya yang mempengaruhi keberhasilan keseluruhan
mereka. Ketika para manajer tidak dimungkinkan untuk mengambil keputusan yang
dibutuhkan untuk mencapai tujuan mereka, kinerja mereka dapat terpengaruh secara
negatif. Manajemen yang kurang agresif dan kurang efektif dapat berkembang.
Pendukung DDP berpendapat bahwa manfaat dari peningkatan sikap pihak manajemen
melebihi biaya tambahan yang timbul dari mendistribusikan berbagai sumber daya ini.
Peningkatan Kepuasaan Pengguna. Mungkin manfaat DDP yang paling sering
disebutkan adalah peningkatan kepuasan pengguna. Hal ini didasarkan dari tiga area
kebutuhan yang sering kali dibiarkan tak terpenuhi dalam pendekatan terpusat: (1)
seperti dijelaskan sebelumnya, pengguna berkeinginan untuk mengendalikan sumber
daya yang memengaruhi profitabilitasnya; (2) pengguna menginginkan professional
sistem (analis, pemrogram, dan operator komputer) yang responsif dengan situasi
khusus pengguna; dan (3) pengguna ingin terlibat secara lebih aktif dalam
pengembangan dan implementasi sistem yang digunakannya. Pendukung DDP
berpendapat bahwa menyediakan dukungan yang lebih disesuaikan-yang hanya dapat
dilakukan dalam lingkungan terdistribusi-memiliki manfaat langsung bagi pengguna dari
sisi semangat dan produktivitas.
Backup Flexibility. Argumentasi terakhir dalam mendukung DDP adalah
kemampuannya untuk mendukung berbagai fasilitas komputasi agar dapat melindungi
dari potensi bencana, seperti kebakaran, banjir, sabotase, serta gempa bumi. Salah satu
solusinya adalah dengan membangun kemampuan yang berlebih ke dalam tiap IPU.
Jika suatu bencana menghancurkan sebuah lokasi, transaksinya akan masih dapat
diproses oleh IPU lainnya. Hal ini membutuhkan koordinasi yang baik antara para
pengambil keputusan untuk memastikan bahwa mereka tidak mengimplementasikan
peranti keras serta peranti lunak yang tidak sesuai di lokasi mereka.
Tujuan Audit
• Melakukan penilaian resiko atas fungsi TI DDP;
• Memverifikasi bahwa unit – unit TI yang terdistribusi menggunakan berbagai standar
kinerja keseluruhan perusahaan yang mendorong kesesuaian antara peranti keras,
aplikasi perati lunak dan data.
Prosedur Audit
• Memverifikasi bahwa berbagai kebijakan dan standar perusahaan untuk desain
sistem, dokumentasi dan pengadaan peranti keras dan lunak telah dikeluarkan dan
disebarluaskan ke berbagai unit TI.
• Mengkaji struktur organisasional, misi dan deskripsi pekerjaan terkini berbagai fungsi
yang utama, untuk menentukan apakah ada karyawan atau kelompok yang
melakukan pekerjaan yang tidak saling berkesesuaian.
• Memverifikasi bahwa ada pengendalian pengganti seperti supervisi dan pengawasan
manajemen dilakukan etika pemisahaan pekerjaan yang tidak saling berkeseuaian
secara ekonomi tidak mungkin dilakukan.
• Mengkaji dokumentsai sistem untuk memverifikasi bahwa berbagai aplikasi, prosedur
dan basis data didesain dan berfungsi sesuai dengan standar perusahaan.
• Memverifikasi bahwa tiap karyawan diberikan izin akses sistem ke berbagai program
dan data sesuai dengan deskripsi pekerjaannya.
PUSAT KOMPUTER
Tujuannya adalah untuk menyajikan pengendalian pusat komputer yang dapat menciptakan
lingkungan yang aman. Beberapa fitur pengendalian yang berkontribusi langsung pada
keamanan lingkungan pusat komputer adalah sebagai berikut:
1. Lokasi Fisik. Sebisa mungkin lokasi fisik jauh dari berbagai bahaya yang ditimbulkan
manusia dan alam serta jauh dari arus lalu lalang normal.
2. Konstruksi. Idealnya di gedung berlantai satu dengan konstruksi solid dan dengan akses
yang terkendali.
3. Akses. Dibatasi hanya untuk operator dan karyawan yang benar benar bekerja di situ.
Sebisa mungkin terdapat pintu terkunci dengan akses masuk tertentu dan dilengkapi
CCTV.
4. Pengatur Suhu Udara. Agar kinerja pusat komputer dapat maksimal suhu di udara di
ruang tersebut berkisar 700-750 Fahrenheit dengan kelembapan 50%.
5. Pemadam Kebakaran. Harus disediakan alat pemadam kebakaran karena kejadian
kebakaran adalah kejadian yang paling sering terjadi pada pusat komputer.
6. Pasokan Listrik. Ketersediaan listrik dengan regulator voltase dan cadangan baterai
sangat penting untuk menunjang operasional pusat komputer.
Prosedur Audit
Pengujian Konstruksi Fisik. Auditor memastikan pusat komputer dibangun secara kuat,
tahan api, dengan drainase yang baik serta berlokasi di area yang meminimalkan eksposur
kebakaran, kerusuhan dan bahaya lainnya.
Pengujian Sistem Deteksi Kebakaran. Auditor harus meyakini alat deteksi kebakaran
telah ada dan berfungsi normal baik manual maupun otomatis dengan mengkaji catatan
dari departemen pemadam kebakaran.
Pengujian Pengendalian Akses. Auditor memastikan akses ke pusat komputer terbatas
untuk karyawan yang berhak dan mengamati proses pemberian izin akses secara diam-
diam.
Pengujian Pasokan Listrik Cadangan. Dilakukan pengujian pasokan listrik cadangan
secara berkala.
Pengujian Cakupan Asuransi. Setiap tahunnya auditor mengkaji cakupan asuransi
perusahaan atas hardware, software dan fasilitas fisiknya. Pengadaan perlatan baru harus
didaftarkan dalam polis asuransi.
Pengujian Pengendalian Dokumentasi Operator. Audit harus memverivikasi bahwa
dokumentasi sistem seperti bagan alir, bagan alir logika program dan daftar kode program
bukan bagian dari dokumentasi operasional.
Tujuan Audit
Auditor harus memverifikasi rencana pemulihan bencana dari manajemen telah
memadai dan layak untuk tiap bencana yang bisa menganggu sumber daya komputasi
entitas.
Prosedur Audit
Dalam memverifikasi DRP, manajemen adalah solusi yang realistis untuk menangani
bencana, pengujian berikut dapat dilakukan.
Site Backup. Auditor harus mengevaluasi kecukupan pengaturan situs cadangan.
Ketidakcocokan sistem dan sifat manusia sangat mengurangi efektivitas mutual aid
pact. Auditor harus skeptis dari pengaturan tersebut karena dua alasan. Pertama,
kecanggihan sistem komputer dapat membuat sulit untuk menemukan pasangan
potensial dengan konfigurasi yang kompatibel. Kedua, sebagian besar perusahaan
tidak memiliki kelebihan kapasitas yang diperlukan untuk mendukung pasangan
yang terkena bencana sementara mereka juga memproses pekerjaan mereka
sendiri.
Critical Application List. Auditor meninjau daftar aplikasi kritis. Kehilangan aplikasi
dapat mengakibatkan kegagalan untuk pemulihan. Dengan menyertakan aplikasi
yang tidak diperlukan dalam daftar kritis untuk mencapai kelangsungan hidup
jangka pendek, maka hal ini dapat menjadi kesalahan dalam kelalaian
memprioritaskan sumber daya dan mengalihkan perhatian dari tujuan utama
selama periode pemulihan.
Software Backup. Auditor harus memverifikasi bahwa salinan aplikasi dan sistem
operasi kritis disimpan off-site. Auditor juga harus memverifikasi antara aplikasi
yang saat ini yang disimpan off-site dengan membandingkan nomor versi aplikasi
dengan orang-orang yang menggunakan aplikasi.
Data backup. Auditor harus memverifikasi bahwa file data penting yang didukung
sesuai dengan DRP.
Back up Supplies, Documents, and Documentation. Dokumentasi sistem,
perlengkapan, dan dokumen sumber yang diperlukan untuk memproses transaksi
penting harus didukung dan disimpan off-site.
Disaster Recovery Team. DRP harus jelas mencantumkan nama, alamat, dan
nomor telepon darurat dari anggota tim pemulihan bencana. Auditor harus
memverifikasi bahwa anggota tim adalah karyawan saat ini dan menyadari
tanggung jawab tugas mereka.
FUNGSI IT OUTSOURCING
Mempertimbangkan biaya, risiko, dan tanggung jawab terkait dengan mempertahankan fungsi
IT perusahaan yang efektif adalah hal penting . Oleh karena itu banyak eksekutif telah memilih
melakukan outsourcing fungsi IT mereka dengan pihak ketiga untuk mengambil alih tanggung
jawab atas pengelolaan aset dan staf TI dan untuk layanan IT, seperti entri data, operasi data
center, pengembangan aplikasi, maintenance aplikasi, dan manajemen jaringan.
KESIMPULAN
REFERENSI
Hall, James A. 2011. Information Technology Auditing and Assurance. 3rd Ed. South
Western College Publishing, London.