AUDIT PENGENDALIAN TATA KELOLA TI

(AUDITING IT GOVERNANCE CONTROL)

Tugas Matakuliah
Auditing EDP

Oleh :
Annisa Novelia Utami (170810301029)
Hamzah Shalahuddin (170810301045)
Fairul Alviansyah M. (170810301049)
Andika Priwanto (170810301150)

PROGRAM STUDI S1 AKUNTANSI

JURUSAN AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS JEMBER
2020
PENDAHULUAN
Keberadaan Sistem Informasi di era sekarang sangat berguna untuk
memenuhi kebutuhan informasi masyarakat tak terkecuali sangat dapat
menunjang proses bisnis entitas perusahaan. Teknologi informasi (TI) digunakan
untuk mendukung perusahaan dalam melihat, mengetahui dan merespon
keinginan pasar serta mencapai tujuan perusahaan. Penerapan TI harus didukung
oleh manajemen dan sumber daya TI atau sering disebut sebagai tata kelola TI
yang baik. Tata Kelola TI yang baik bertujuan mengurangi risiko sehingga
penggunaan, penerapan TI di perusahaan tersebut dapat menambah nilai/value
bagi perusahaan. Pengendalian TI yang dilakukan perusahaan berfokus pada 3
isu utama yaitu Struktur organisasi dari fungsi TI, Pusat operasi komputer, dan
Perencanaan pemulihan bencana yang selanjutnya akan dibahas dalam makalah
ini.
Selain mengelola asset TI secara sendiri, perusahaan dapat menggunakan
layanan pihak ketiga sebagai vendor penyedia Outsourcing fungsi TI. Namun,
dengan penggunaan pelayanan dari pihak ketiga harus memperhatikan resiko
yang dapat diterima perusahaan. Maka, diperlukan audit dan pengendalian intern
yang baik dalam perusahaan agar meminimalkan risiko bawaan dari outsourcing
fungsi TI. Oleh karena itulah mengapa tidak hanya audit secara manual yang
diperlukan, karena sekarang hampir semua perusahaan menggunakan TI, maka
audit atas tata kelola TI perusahaan diperlukan agar relevan dan sesuai. Selain itu
audit atas tata kelola TI berfungsi mengurangi beberapa kemungkinan terjadinya
kerugian akibat kehilangan dan kebocoran data, adanya kesalahan dalam
pengambilan keputusan, penyalahgunaan komputer dan risiko manusiawi lainnya
dan yang paling penting adalah membuat investasi pada TI tidak sia-sia bagi
perusahaan.
Sabagai mahasiswa Akuntansi di era milineal maka diharuskan memahami
pengendalian tata kelola TI yang baik agar dapat bersaing dalam era saat ini. Hal
ini meningkatkan pemahaman bahwa Tata kelola TI memberikan keuntungan bagi
perusahaan dalam memperoleh keunggulan penuh dalam informasi, peluang, dan
keunggulan kompetitif dalam bersaing, sehingga peranan kita sebagai mahasiswa
wajib memahami materi ini sebagai bekal kelak saat terjun di dunia bisnis.

2|
PEMBAHASAN
A. Tata Kelola Teknologi Informasi (TI) / Information Technology Governance
Tata kelola teknologi informasi (TI) adalah tata kelola perusahaan atas
teknologi informasi yang meliputi manajemen dan penilaian sumber daya
strategis TI perusahaan yang bertujuan untuk mengurangi risiko dan
memastikan apakah investasi pada sumber daya teknologi informasi
menambah nilai/value perusahaan.
Pengendalian Tata Kelola TI
3 isu tata kelola TI yang ditangani oleh rerangka kerja pengendalian internal
SOX dan COSO:
1. Struktur Organisasi dari Fungsi TI
2. Pusat Operasi Komputer
3. Perencanaan Pemulihan Bencana

B. Strukutur Fungsi Teknologi Informasi

Beberapa masalah pengendalian yang terkait dengan struktur TI :
1. Pengolahan Data Terpusat
Dengan model ini, semua pengolahan data dilakukan oleh satu atau komputer
yang lebih besar yang bertempat di situs pusat yang berfungsi melayani seluruh
pengguna organisasi.
Layanan utama struktur TI yaitu:
1. Administrasi Database
Perusahaan dengan layanan terpusat mempertahankan sumber daya data
mereka dalam lokasi pusat yang digunakan oleh semua pengguna akhir.
Dalam pengaturan data bersama, sebuah kelompok independen yang
dipimpin oleh database administrator (DBA) bertanggung jawab atas
keamanan dan integritas database.
2. Pengolahan Data
Kelompok pengolahan data mengelola sumber daya komputer yang
digunakan untuk melakukan pengolahan transaksi setiap hari. Fungsi-
fungsinya meliputi:
a. Konversi data, mentranskripsi data transaksi dari dokumen sumber
hard copy ke input komputer,

3|
 b. Operasi komputer, file-file elektronik yang dihasilkan dalam konversi
data kemudian diproses oleh komputer pusat, yang dikelola oleh
kelompok operasi komputer.
c. Perpustakaan data, ruang yang berdekatan dengan pusat komputer
yang menyediakan penyimpanan yang aman untuk file data off-line (file
back up atau file saat ini dalam bentuk DVD, CD-Rom, kaset, atau
perangkat penyimpanan lainnya. Pustakawan data, bertanggung jawab
untuk menerima, menyimpan, mencari, dan mempertahankan file data
dan kontrol akses ke perpustakaan.
3. Pengembangan Sistem dan Pemeliharaan
Kebutuhan sistem informasi dari pengguna dipenuhi oleh dua fungsi yang
terkait: pengembangan sistem dan sistem pemeliharaan. Kelompok
pertama bertanggung jawab untuk menganalisis kebutuhan pengguna
dan merancang sistem baru untuk memenuhi kebutuhan tersebut.
Anggota pengembangan sistem mencakup sistem profesional, pengguna
akhir, dan stakeholder. Sistem profesional (sistem analis, desainer
database, dan programmer) merancang dan membangun sistem.
Pengguna akhir adalah untuk siapa sistem dibangun. Stakeholder adalah
individu dalam atau di luar perusahaan yang memiliki kepentingan dalam
sistem, tetapi tidak pengguna akhir.

2. Pemisahan Fungsi TI yang Tidak Sesuai

Lingkungan TI terdiri dari gabungan kegiatan contohnya sebuah aplikasi
tunggal dapat mengotorisasi, memproses, dan merekam semua aspek
transaksi maka harus ada pemisahan fungsi yang kiranya tidak sesuai.
 Memisahkan Pengembang Sistem dari Operasi Komputer
Pemisahan pengembang sistem (baik pengembangan sistem baru dan
pemeliharaan) dan kegiatan operasi adalah hal yang penting. Hubungan
antara kelompok-kelompok ini harus sangat formal, dan tanggung jawab
mereka tidak boleh bercampur. Pengembang dan pemelihara sistem
profesional harus menciptakan (dan mempertahankan) sistem bagi
pengguna, dan seharusnya tidak memiliki keterlibatan dalam
memasukkan data, atau menjalankan aplikasi (yakni, operasi komputer).
Staf operasional harus menjalankan sistem ini dan tidak memiliki
keterlibatan dalam desain mereka.

4|
 Memisahkan Administrasi Database dari Fungsi Lain
Pengendalian organisasi lain yang penting adalah pemisahan
administrasi database (DBA) dari fungsi komputer lainnya. DBA
bertanggung jawab untuk sejumlah tugas-tugas penting yang berkaitan
dengan keamanan database, termasuk membuat skema database dan
tampilan bagi user, menetapkan kewenangan akses database untuk
pengguna, pemantauanpenggunaan database, dan perencanaan untuk
ekspansi masa depan.
 Memisahkan Pengembang Sistem Baru dari Perawatan
Beberapa perusahaan mengatur fungsi pengembangan sistem menjadi
dua kelompok: analisis sistem dan pemrograman. Kelompok analisis
sistem bekerja sama dengan pengguna untuk menghasilkan desain rinci
dari sistem yang baru. Kelompok pemrograman membuat kode program
sesuai dengan spesifikasi desain ini. Dalam pendekatan ini, programmer
yang membuat kode program yang asli juga mempertahankan sistem
selama fase pemeliharaan siklus hidup pengembangan sistem meskipun
pengaturan yang umum, pendekatan ini dikaitkan dengan dua jenis
masalah pengendalian:
1. Dokumentasi yang tidak memadai. Dokumentasi sistem yang
rendah adalah masalah kronis TI dan tantangan yang signifikan
bagi banyak organisasi. Setidaknya ada dua penjelasan untuk
fenomena ini. Pertama, pendokumentasian sistem tidak
semenarik merancang, menguji, dan menerapkannya.
Profesional sistem lebih memilih untuk pindah ke sebuah proyek
baru yang menarik daripada mendokumentasikannya saat
selesai. Alasan kedua yang mungkin untuk rendahnya
dokumentasi adalah keamanan kerja. Ketika sistem kurang
didokumentasikan, akan sulit untuk menafsirkan, menguji, dan
menggunakannya. Oleh karena itu, programer yang mengerti
sistem mempertahankan daya tawar dan menjadi relatif sangat
diperlukan. Ketika programmer meninggalkan perusahaan,
programmer baru mewarisi tanggung jawab pemeliharaan sistem
yang tidak berdokumen.
2. Program Penipuan. Ketika programmer asli dari sistem juga
ditugaskan untuk pemeliharaan, potensi kecurangan meningkat.

5|
 Penipuan program melibatkan pembuatan perubahan yang tidak
sah untuk program modul dengan tujuan melakukan tindakan
ilegal. Programmer asli mungkin telah berhasil menyembunyikan
kode curang diantara ribuan baris kode yang sah dan ratusan
modul yang merupakan sebuah kesatuan. Agar penipuan
berjalan dengan sukses, programmer harus mampu
mengendalikan situasi melalui akses khusus dan terbatas untuk
program aplikasi. Pemrogram perlu melindungi kode penipuan
dari deteksi oleh orang lain, programmer yang melakukan
perawatan atau dengan pengujian pengendalian aplikasi oleh
auditor.

3. Model Terdistribusi (DDP)

Secara sederhana, DDP melibatkan distribusi fungsi TI pusat ke unit TI kecil
yang ditempatkan di bawah kendali pengguna akhir. Pendistribusian
tergantung pada filosofi dan tujuan organisasi manajemen.
Risiko yang Berkaitan dengan DDP
1. Tidak efisien dalam penggunaan sumber daya. Terdapat tiga risiko
DDP:
 Risiko kesalahan manajemen sumber daya organisasi TI oleh pengguna
akhir.
 DDP dapat meningkatkan risiko inefisiensi operasional karena tugas
yang berlebihan dilakukan dalam komite pengguna akhir.
 Lingkungan DDP menimbulkan risiko hardware dan perangkat lunak
tidak kompatibel antara fungsi pengguna akhir.
2. Penghancuran Jejak Audit. Jejak audit menyediakan hubungan
kegiatan keuangan antara perusahaan (transaksi) dan laporan
keuangan mereka. Auditor menggunakan jejak audit untuk melacak
transaksi keuangan yang dipilih dari dokumen sumber yang merekam
peristiwa, melalui jurnal, buku besar pembantu, dan rekening buku besar
yang mencatat peristiwa, dan akhirnya ke laporan keuangan itu sendiri.
Jejak audit sangat penting untuk jasa atestasi auditor. Jika pengguna
akhir secara tidak sengaja menghapus salah satu file, jejak audit dapat
dihancurkan dan tidak dapat dipulihkan. Demikian pula, jika pengguna

6|
 akhir secara tidak sengaja menyisipkan kesalahan transaksi ke file jejak
audit.
3. Pemisahan Tugas yang Tidak Memadai. Mencapai sebuah
pembagian tugas yang memadai tidak mungkin dalam lingkungan
terdistribusi. Distribusi layanan TI untuk pengguna dapat mengakibatkan
pembentukan unit-unit independen kecil yang tidak mengizinkan
pemisahan yang diinginkan dari fungsi yang tidak kompatibel.
4. Mempekerjakan Profesional Berkualitas. Manajer pengguna akhir
mungkin tidak memiliki pengetahuan TI untuk mengevaluasi teknis dan
pengalaman yang relevan dari calon pelamar posisi profesional TI. Juga,
jika karyawan memasuki unit organisasi baru yang kecil, kesempatan
untuk berkembang, pendidikan berkelanjutan, dan promosi mungkin
terbatas.
5. Kurangnya Standar. Karena distribusi tanggung jawab dalam
lingkungan DDP, standar untuk mengembangkan dan
mendokumentasikan sistem, memilih bahasa pemrograman,
memperoleh hardware dan software, dan mengevaluasi kinerja mungkin
tidak diterapkan secara merata atau bahkan tidak ada.

Keuntungan dari DDP

Berikut iuni terdapat beberapa keuntungan dari penerapan DDP:
 Pengurangan Biaya. Selain itu, DDP telah mengurangi biaya dalam
dua wilayah lainnya: (1) data dapat diedit dan dimasukkan oleh
pengguna akhir, sehingga menghilangkan tugas terpusat persiapan
data; dan (2) kompleksitas aplikasi dapat berkurang, yang pada
gilirannya mengurangi pengembangan sistem dan biaya pemeliharaan.
 Peningkatan Tanggung Jawab Pengendalian Biaya. Manajer
pengguna akhir memiliki tanggung jawab untuk keberhasilan finansial
operasi mereka. Tanggung jawab ini mengharuskan mereka untuk lebih
tegas dalam membuat keputusan tentang sumber daya yang
mempengaruhi keberhasilan mereka secara keseluruhan.
 Peningkatan Kepuasan Pengguna. Pendukung DDP mengklaim
bahwa penyebaran sistem untuk pengguna akhir
meningkatkan tiga bidang kebutuhan: (1) keinginan pengguna untuk
mengontrol sumber daya yang mempengaruhi profitabilitas mereka; (2)

7|
 pengguna ingin sistem profesional (analis, programmer, dan operator
komputer) responsif terhadap situasi mereka; dan (3) pengguna ingin
menjadi lebih aktif terlibat dalam mengembangkan dan menerapkan
sistem mereka sendiri.
 Fleksibilitas Cadangan. kemampuan untuk membuat fasilitas
cadangan komputasi untuk melindungi terhadap potensi bencana,
seperti kebakaran, banjir, sabotase, dan gempa bumi. Satu-satunya
cara untuk membuat cadangan situs komputer pusat terhadap bencana
adalah menyediakan fasilitas komputer kedua. Model distribusi
menawarkan organisasi untuk menyediakan cadangan yang fleksibel.

4. Mengontrol Lingkungan DDP

Beberapa perbaikan untuk DDP agar lebih sempurna
 Pengujian Terpusat untuk Software dan Hardware komersial.
Pertimbangan mengevaluasi hardware dan software komersial lebih baik
diberikan kepada kelompok pusat daripada pengguna akhir. Kelompok ini
dapat mengevaluasi fitur sistem, pengendalian, dan kecocokan dengan
industri dan standar organisasi. Hasil uji kemudian dapat didistribusikan ke
daerah-daerah pengguna sebagai standar untuk mengarahkan keputusan
akuisisi. Hal ini memungkinkan organisasi untuk secara efektif melakukan
sentralisasi untuk akuisisi, pengujian, dan implementasi perangkat lunak dan
perangkat keras.
 Pengguna Jasa. Sebuah fitur yang berharga dari kelompok perusahaan
adalah fungsi layanan bagi pengguna. Kegiatan ini memberikan bantuan
teknis kepada pengguna selama instalasi perangkat lunak dan
perangkat keras yang baru yang mengalami masalah. Penciptaan buletin
elektronik untuk pengguna adalah cara terbaik untuk mendistribusikan
informasi tentang masalah umum dan memungkinkan pengguna berbagi
program dengan orang lain dalam organisasi. Selain itu, chat room dapat
didirikan untuk memberikan diskusi,  pertanyaan yang sering diajukan (FAQ),
dan dukungan intranet. Fungsi TI perusahaan juga dapat memberikan help
desk, di mana pengguna bisa menelepon dan mendapatkan respon yang
cepat untuk pertanyaan dan masalah.
 Badan Penyusun Standar. Lingkungan pengendalian yang relatif terbatas
yang diakibatkan oleh model DDP dapat ditingkatkan dengan mendirikan

8|
 beberapa petunjuk pusat. Kelompok korporasi dapat berkontribusi untuk
tujuan ini dengan membentuk dan mendistribusikan standar ke daerah
pengguna yang sesuai untuk pengembangan sistem, pemrograman, dan
dokumentasi.
 Ulasan Personil. Kelompok perusahaan sering lebih siap daripada pengguna
untuk mengevaluasi calon profesional teknis sistem. Meskipun sistem
profesional akan benar-benar menjadi bagian dari kelompok pengguna akhir,
keterlibatan kelompok dalam keputusan kerja dapat membuat layanan yang
berharga bagi organisasi.

Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI adalah
seperti individu di daerah yang tidak kompatibel yang dipisahkan sesuai
dengan tingkat potensi risiko dan dengan cara mempromosikan lingkungan
kerja.

Prosedur Audit
Prosedur audit berikut ini akan berlaku untuk sebuah organisasi dengan fungsi TI
terpusat:
1.    Ulasan dokumentasi yang relevan, termasuk bagan organisasi, pernyataan misi,
dan deskripsi pekerjaan untuk fungsi-fungsi kunci
2.    Ulasan dokumentasi sistem dan catatan pemeliharaan untuk sampel aplikasi.
3.    Pastikan operator komputer tidak memiliki akses ke rincian operasional dari logika
internal sistem
4.    Melalui pengamatan, tentukan bahwa kebijakan segregasi diikuti dalam praktek.
Prosedur audit berikut ini akan berlaku untuk sebuah organisasi dengan fungsi TI
terdistribusi:
1.    Tinjau bagan organisasi, pernyataan misi, dan deskripsi pekerjaan untuk
fungsi kunci untuk menentukan apakah individu atau kelompok yang melakukan
tugas yang kompatibel
2.    Pastikan bahwa kebijakan dan standar perusahaan untuk desain sistem,
dokumentasi, dan akuisisi perangkat keras dan perangkat lunak diterbitkan dan
diberikan kepada unit TI yang terdistribusi.
3.    Pastikan kompensasi pengendalian yang dilakukan

9|
4.    Ulasan sistem dokumentasi untuk memverifikasi bahwa aplikasi, prosedur, dan
database dirancang dan berfungsi sesuai dengan standar perusahaan.

C. Pusat Komputer
Akuntan secara rutin memeriksa lingkungan fisik dari pusat komputer sebagai
bagian dari audit tahunan mereka. Bagian ini menyajikan risiko pusat komputer
dan pengendalian yang membantu untuk mengurangi risiko dan menciptakan
lingkungan yang aman.
 Lokasi Fisik: Lokasi fisik dari pusat komputer langsung mempengaruhi
risiko kerusakan alami atau buatan manusia.
 Konstruksi: Idealnya, sebuah pusat komputer harus terletak di sebuah
bangunan satu lantai dari bangunan yang kokoh dengan akses dikendalikan.
 Akses: Akses ke pusat komputer harus terbatas pada operator dan
karyawan lainnya yang bekerja di sana. Kontrol fisik, seperti pintu terkunci,
harus digunakan untuk membatasi akses ke pusat. Akses harus dikontrol
oleh keypad atau menggesek kartu, meskipun api keluar dengan alarm yang
diperlukan. Untuk mencapai tingkat keamanan yang lebih tinggi, akses harus
dipantau oleh kamera sirkuit tertutup dan sistem perekaman video. Pusat
komputer juga harus menggunakan sign-in log untuk programmer dan analis
yang membutuhkan akses untuk memperbaiki
kesalahan program.
 AC: Komputer berfungsi dengan baik di lingkungan ber-AC, dan penyediaan
udara pendingin yang memadai sering merupakan persyaratan garansi
pemasok. Komputer beroperasi dengan baik dikisaran suhu 70 sampai 75
derajat Fahrenheit dan kelembaban relatif 50 persen. Kesalahan logika
dapat terjadi pada hardware komputer saat suhu pergi secara signifikan dari
jarak optimal ini. Risiko kerusakan sirkuit dari listrik statis juga meningkat
ketika kelembaban turun.
Api merupakan ancaman paling serius untuk peralatan komputer
perusahaan. Pelaksanaan sistem pencegah kebakaran yang efektif
membutuhkan konsultasi dengan spesialis. Namun, beberapa fitur utama
dari sistem tersebut meliputi:
1. Alarm otomatis dan manual harus ditempatkan di lokasi strategis di
sekitar instalasi. Alarm ini harus terhubung ke stasiun staf pemadam
kebakaran secara permanen

10 |
 2. Harus ada sistem pemadam api otomatis yang dibagikan sesuai jenis
penekan untuk lokasi.
3. Alat pemadam kebakaran manual harus ditempatkan di lokasi-lokasi
strategis.
4. Bangunan harus dari konstruksi yang dapat menahan kerusakan air
yang disebabkan oleh peralatan pemadaman kebakaran.
5. Api yang keluar harus ditandai dengan jelas dan diterangi selama
kebakaran.
 Toleransi Kesalahan: Toleransi kesalahan adalah kemampuan sistem
untuk melanjutkan operasi ketika terdapat kegagalan dari bagian sistem
karena kegagalan hardware, kesalahan program aplikasi, atau kesalahan
operator. Menerapkan pengendalian toleransi kesalahan dilakukan untuk
memastikan bahwa tidak ada satu titik kegagalan sistem potensial.
Kegagalan total dapat terjadi hanya jika beberapa komponen gagal.

Tujuan Audit
Tujuan auditor adalah untuk mengevaluasi pengendalian yang mengatur
keamanan pusat komputer. Secara khusus, auditor harus memverifikasi bahwa:
1.    Pengendalian keamanan fisik yang memadai untuk melindungi organisasi dari
eksposur fisik
2.    Asuransi pada peralatan untuk mengkompensasi organisasi jika terjadi
penghancuran, atau kerusakan pada pusat komputer.

Prosedur Audit
Berikut ini adalah uji pengendalian keamanan fisik.
 Tes Konstruksi Fisik. Auditor harus memperoleh rencana arsitektur untuk
menentukan bahwa pusat komputer dibangun dengan kokoh dari bahan tahan
api. Selain itu, auditor harus menilai lokasi fisik dari pusat komputer. Fasilitas ini
harus berada di daerah yang meminimalkan paparan terhadap kebakaran,
kerusuhan sipil, dan bahaya lainnya.
 Pengujian Sistem Deteksi Api. Auditor harus menetapkan bahwa deteksi
kebakaran dan peralatan penyelamatan, baik manual dan otomatis, berada di
tempat dan diuji secara teratur. Sistem deteksi api harus mendeteksi asap,
panas, dan asap yang mudah terbakar. Bukti dapat diperoleh dengan meninjau
catatan marshal api resmi, yang disimpan di pusat komputer.

11 |
 Pengujian Pengendalian Akses. Auditor harus menetapkan bahwa akses
rutin ke komputer pusat dibatasi untuk karyawan yang berwenang. Rincian
tentang akses pengunjung (oleh programmer dan lain-lain), seperti kedatangan
dan keberangkatan, tujuan, dan frekuensi akses, dapat diperoleh dengan
meninjau log akses. Untuk membangun kebenaran dokumen ini, auditor dapat
diam-diam mengamati proses dimana akses diizinkan, atau meninjau rekaman
video dari kamera pada titik akses, pada saat sedang digunakan.
 Pengujian Penggrebekan. Kebanyakan sistem yang menggunakan RAID
memberikan pemetaan grafis dari penyimpanan disk yang berlebihan. Dari
pemetaan ini, auditor harus menentukan apakah tingkat RAID di tempat
memadai bagi organisasi, mengingat tingkat risiko bisnis terkait dengan
kegagalan disk. Jika organisasi tidak menggunakan RAID, potensi untuk satu
titik kegagalan sistem ada.
 Pengujian Daya yang Tidak Teerganggu. Pusat komputer harus melakukan
pengujian periodik catu daya cadangan untuk memastikan bahwa ia memiliki
kapasitas yang cukup untuk menjalankan komputer dan pendingin udara. Ini
adalah pengujian yang sangat penting, dan hasilnya harus secara resmi dicatat.
Meningkatnya sistem komputer perusahaan, meningkatkan ketergantungannya
terhadap kebutuhan listrik cadangan secara proporsional.
 Pengujian Perlindungan Asuransi. Auditor setiap tahun meninjau
pertanggungan asuransi organisasi pada perangkat keras komputer, perangkat
lunak, dan fasilitas fisik. Auditor harus memverifikasi bahwa semua akuisisi
baru tercantum pada kebijakan dan peralatan dan perangkat lunak yang usang
telah dihapus. Polis asuransi harus mencerminkan kebutuhan manajemen
dalam hal luasnya cakupan.

D. Perencanaan Pemulihan Bencana (DRP)

Bencana seperti gempa bumi, banjir, sabotase, dan bahkan gangguan listrik
dapat menjadi bencana untuk pusat komputer dan sistem informasi
organisasi. Ada tiga kategori bencana yang dapat menghancurkan sumber
daya TI organisasi:
1.    bencana alam, seperti kebakaran, angin topan, banjir, dan gempa bumi,
2.    bencana buatan manusia, seperti sabotase atau kesalahan
3.    kegagalan sistem seperti listrik padam atau kegagalan hard-drive

12 |
Dari kejadian bencana tersebut ketergantung sebuah organisasi pada
teknologi, menyebabkan risikonya yang rentan. Mulai dari kehilangan
pengolahan data organisasi, menghentikan fungsi-fungsi bisnis yang dibantu
oleh komputer, dan merusak kemampuan organisasi untuk memberikan
produk atau jasa. Bencana dari jenis yang diuraikan di atas biasanya tidak
dapat dicegah atau dihindari. Meskipun kebutuhan tiap organisasi berbeda,
berikut ini komponen yang secara umum harus ada dalam rencana organisasi:
1.    Mengidentifikasi aplikasi kritis
2.    Membuat tim pemulihan bencana
3.    Memberikan situs cadangan
4.    Menentukan backup dan prosedur penyimpanan

1. Mengidentifikasi Aplikasi Kritis

Mengidentifikasi aplikasi perusahaan yang kritis dan file data terkait. Upaya
dalam konsentrasi pemulihan aplikasi. Kebanyakan organisasi, kelangsungan
hidup jangka pendek membutuhkan pemulihan fungsi-fungsi yang
menghasilkan arus kas yang cukup untuk memenuhi kewajiban jangka
pendek. Contohnya:
1. Penjualan dan layanan pelanggan
2. Pemenuhan kewajiban hukum
3. Pengumpulan piutang
4. Pencairan uang tunai
Oleh karena itu, aplikasi ini harus diidentifikasi dan diprioritaskan dalam
rencana restorasi. Prioritas aplikasi dapat berubah dari waktu ke waktu, dan
keputusan ini harus dinilai ulang teratur. Sistem terus direvisi dan diperluas
untuk mencerminkan perubahan dalam kebutuhan pengguna. Hal ini
merupakan tugas dari departemen pengguna, akuntan, dan auditor yang
mengenal bisnis dan juga perlunya teknis profesional TI.

2. Membuat Tim Pemulihan Bencana

Tim pemulihan bencana diperlukan juga dalam antisipasi perencanaan
pemulihan bencana, diperlukan tindakan korektif yang tepat waktu, jika
ditunda akan berakibat panjangnya periode pemulihan dan mengurangi
suksesnya prospek pemulihan. Maka dari itu tim pemulihan bencana harus
jelas tanggung jawabnya.

13 |
3. Menyediakan Situs Cadangan
Salah satu hal yang diperlukan dalam DRP adalah tersedianya fasilitas
pengolahan data ganda setelah bencana. Di antara banyak pilihan yang
tersedia, yang paling umum digunakan adalah
1.    Perjanjian Saling Bantu. Perjanjian saling membantu adalah perjanjian
antara dua atau lebih organisasi (dengan fasilitas komputer yang
kompatibel) untuk saling membantu satu sama lain dalam pengolahan
data mereka dalam hal kebutuhan bencana.
2.    Shell Kosong. Shell kosong atau situs rencana dingin adalah
pengaturan dimana perusahaan membeli atau menyewa sebuah
bangunan yang akan berfungsi sebagai pusat data. Dalam hal terjadi
bencana, shell tersedia dan siap untuk menerima hardware apa pun
sesuai kebutuhan pengguna sementara untuk menjalankan sistem

14 |
 penting. Pendekatan ini, bagaimanapun, memiliki kelemahan mendasar.
Pemulihan tergantung pada ketersediaan waktu yang tepat dari perangkat
keras komputer yang diperlukan untuk mengembalikan fungsi pengolahan
data. Manajemen harus memperoleh jaminan melalui kontrak dengan
pemasok perangkat keras, di mana, kebutuhan perusahaan menjadi
prioritas. Masalah pasokan hardware yang tak terduga di titik kritis ini bisa
menjadi pukulan fatal.
3.    Pusat Operasi Pemulihan (ROC). Pusat operasi pemulihan (ROC) atau
situs panas adalah pusat cadangan data perusahaan yang dapat dibagi
antar organisasi. Selain perangkat keras dan sarana pendukung,
penyedia layanan ROC menawarkan berbagai layanan teknis untuk klien
mereka, yang membayar biaya tahunan untuk hak akses. Dalam hal
terjadi bencana besar, pelanggan dapat menempati tempat dan, dalam
beberapa jam, melanjutkan pengolahan aplikasi yang penting.
4.    Cadangan yang Dibuat secara Internal. Organisasi yang lebih besar
dengan beberapa pengolahan pusat data seringkali lebih suka
menciptakan kapasitas cadangan internal. Ini memungkinkan perusahaan
untuk mengembangkan konfigurasi standar perangkat keras dan
perangkat lunak, yang menjamin kecocokan fungsional antara pusat
pengolahan data dan meminimalkan pemisahan masalah dalam hal
bencana.

4. Prosedur Backup dan Penyimpanan Off-Site

Semua file data, aplikasi, dokumentasi, dan perlengkapan yang
dibutuhkan untuk melakukan fungsi penting harus secara otomatis
didukung dan disimpan di lokasi off-site yang aman. Personil pengolahan
data harus secara rutin melakukan prosedur backup dan penyimpanan
untuk mendapatkan dan mengamankan sumber daya yang penting.
1. Sistem Operasi Backup. Jika perusahaan menggunakan situs dingin
atau metode lain dari situs cadangan yang tidak termasuk sistem
operasi yang kompatibel (O / S), prosedur untuk memperoleh sistem
operasi versi saat ini harus jelas ditentukan. Pustakawan data, jika
ada, akan menjadi orang kunci yang terlibat dalam melakukan tugas
backup data dan aplikasi.

15 |
 Aplikasi Backup. Dalam hal perangkat lunak komersial, ini
melibatkan pembelian salinan cadangan dari upgrade software
terbaru yang digunakan oleh organisasi, prosedur backup harus
menjadi langkah integral dalam pengembangan sistem dan proses
perubahan program.
 Backup Data File. Tidak semua organisasi bersedia atau mampu
berinvestasi dalam sumber daya backup. Database harus disalin
paling tidak setiap hari dengan kapasitas tinggi, media kecepatan
tinggi, seperti kaset atau CD / DVD dan offsite aman. Dalam hal
gangguan, rekonstruksi database dicapai dengan memperbarui
versi data cadangan terbaru dengan data transaksi berikutnya.
Demikian juga, file master dan file transaksi harus dilindungi.
 Dokumentasi Cadangan. Sistem dokumentasi untuk aplikasi kritis
harus didukung dan disimpan pada off-site bersama dengan
aplikasi. Dokumentasi sistem dapat berjumlah besar dan proses
backup rumit oleh perubahan aplikasi (lihat Bab 5). Dokumentasi
cadangan mungkin disederhanakan dan dibuat lebih efisien melalui
penggunaan alat dokumentasi Computer Aided Software
Engineering (CASE). DRP juga harus mencakup dukungan
terhadap penyediaan manual untuk pengguna akhir karena individu
memproses transaksi dalam kondisi bencana yang mungkin tidak
biasa bagi staf yang akrab dengan sistem biasa.
Cadangan Persediaan dan Dokumen Sumber. Organisasi harus
membuat cadangan persediaan dan dokumen sumber yang penting
yang digunakan dalam pengolahan transaksi. Contohnya faktur,
pesanan pembelian, dan bentuk lainnya yang tidak dapat diperoleh
dengan segera. DRP harus menentukan jenis dan jumlah barang-
barang khusus yang dibutuhkan. Karena ini adalah elemen rutin dari
operasi sehari-hari, hal ini sering diabaikan oleh perencana darurat
bencana. Pada titik ini, perlu dicatat bahwa salinan dokumen DRP
harus juga disimpan dalam off-site di lokasi yang aman.
 Pengujian DRP. Aspek yang paling sering diabaikan dari
perencanaan kontingensi adalah pengujian DRP. Namun demikian,
pengujian DRP penting dan harus dilakukan secara berkala.
Pengujian untuk mengukur kesiapan personil dan mengidentifikasi

16 |
 kelalaian atau hambatan dalam rencana. Pengujian paling berguna
dilaksanakan ketika simulasi gangguan bersifat tiba-tiba. Ketika
bencana mock diumumkan, status semua proses yang terkena
harus didokumentasikan. Pendekatan ini memberikan patokan
untuk penilaian kinerja selanjutnya. Rencana tersebut harus
dilakukan secara ekonomi. Idealnya, penggunaan fasilitas backup
dan persediaan. Kemajuan rencana tersebut harus dicatat pada
titik-titik kunci selama periode uji berlangsung. Pada akhir
pengujian, hasilnya dapat dianalisis dan laporan kinerja DRP
disiapkan. Tingkat kinerja yang dicapai menjadi masukan untuk
keputusan dalam memodifikasi DRP atau melaksanakan jadwal
pengujian tambahan. Manajemen organisasi harus mencari ukuran
kinerja di masing-masing bidang berikut: (1) efektivitas personel tim
DRP dan tingkat pengetahuan; (2) tingkat keberhasilan konversi
(yaitu, jumlah record yang hilang); (3) perkiraan kerugian finansial
karena catatan atau fasilitas hilang; dan (4) efektivitas program,
data, dan backup dokumentasi dan prosedur pemulihan.
Tujuan Audit
Auditor harus memverifikasi bahwa manajemen rencana pemulihan bencana
memadai dan layak untuk menangani bencana yang bisa menghilangkan
sumber komputasi organisasi.

Prosedur Audit
Dalam memverifikasi bahwa DRP adalah solusi yang realistis untuk menangani
bencana, pengujian berikut dapat dilakukan.
 Situs Cadangan. Auditor harus mengevaluasi kecukupan pengaturan situs
cadangan. Ketidakcocokan sistem dan sifat manusia sangat mengurangi
efektivitas perjanjian saling membantu. Auditor harus skeptis terhadap
pengaturan tersebut karena dua alasan. Pertama, kecanggihan sistem
komputer dapat membuat auditor kesulitan untuk menemukan potensi
bermitra dengan konfigurasi yang kompatibel. Kedua, sebagian besar
perusahaan tidak memiliki kelebihan kapasitas untuk mendukung
pasangan yang terkena bencana dan juga memproses pekerjaannya.
Pilihan yang lebih layak dan mahal adalah shell kosong dan pemulihan
pusat operasi. Jika organisasi klien menggunakan metode shell kosong,

17 |
 maka auditor perlu memverifikasi keberadaan kontrak yang sah dengan
hardware pemasok yang menjamin pengiriman perangkat keras komputer
yang dibutuhkan dengan keterlambatan minimal setelah bencana. Jika
klien adalah anggota dari ROC, auditor harus memperhatikan tentang
jumlah anggota ROC dan dispersi geografis mereka. Bencana yang luas
mungkin mengakibatkan permintaan tidak bisa dipenuhi oleh fasilitas ROC.
 Daftar Aplikasi Kritis. Auditor harus meninjau daftar aplikasi kritis untuk
memastikan kelengkapannya. Aplikasi yang hilang dapat mengakibatkan
kegagalan untuk dipulihkan. Hal yang sama berlaku, untuk memulihkan
aplikasi yang tidak diperlukan. Untuk menyertakan aplikasi yang tidak
diperlukan untuk mencapai kelangsungan hidup jangka pendek dalam
daftar penting dapat menyesatkan dan mengalihkan perhatian dari tujuan
utama selama periode pemulihan.
 Software Backup. Auditor harus memverifikasi bahwa salinan aplikasi
kritis dan sistem operasi disimpan dalam off-site. Auditor juga harus
memverifikasi bahwa aplikasi yang saat ini disimpan dalam off-site dengan
membandingkan nomor versi mereka dengan yang digunakan oleh orang
lain.
 Backup Data. Auditor harus memverifikasi bahwa file data yang penting
didukung sesuai dengan DRP.
 Cadangan Perlengkapan, Dokumen, dan Dokumentasi. Dokumentasi
sistem, persediaan, dan dokumen sumber yang diperlukan untuk
memproses transaksi penting harus didukung dan disimpan dalam off-site.
Auditor harus memverifikasi jenis dan jumlah item yang ditentukan dalam
DRP seperti memeriksa saham, faktur, pesanan pembelian, dan setiap
bentuk khusus ada di lokasi yang aman.
 Tim Pemulihan Bencana. DRP harus jelas mencantumkan nama, alamat,
dan nomor telepon darurat dari anggota tim pemulihan bencana. Auditor
harus memverifikasi bahwa anggota tim adalah karyawan saat ini dan
menyadari tugas dan tanggung jawab mereka.

18 |
E. Outsourcing Fungsi TI
Biaya, risiko, dan tanggung jawab berkaitan secara signifikan dengan
efektivitas fungsi TI perusahaan. Oleh karena itu, banyak eksekutif memilih
untuk melakukan outsourcing fungsi TI mereka ke pihak ketiga yang
mengambil alih tanggung jawab atas pengelolaan aset TI dan staf untuk
pengiriman layanan TI, seperti memasukkan data, operasi pusat data,
pengembangan aplikasi, aplikasi pemeliharaan, dan pengelolaan jaringan.
Manfaat outsourcing TI termasuk peningkatan kinerja bisnis inti dan
mengurangi biaya TI. Melalui skala ekonomi, dengan menggabungkan
kebutuhan beberapa klien, vendor dapat melakukan fungsi outsourcing yang
lebih murah daripada perusahaan klien. Penghematan biaya yang dihasilkan
kemudian diteruskan ke organisasi klien.
Berikut ini akan dibahas logika dan teori yang mendasari outsourcing TI:
o Teori kompetensi inti, berpendapat bahwa organisasi harus fokus secara
eksklusif pada kompetensi bisnis inti, sementara outsourcing pemasok
untuk secara efisien mengelola kegiatan non-inti seperti fungsi TI. Premis
ini, mengabaikan perbedaan penting antara komoditas dan aset TI yang
spesifik. Aset komoditas TI tidak unik untuk sebuah organisasi tertentu dan
dengan demikian mudah diperoleh di pasar. Ini termasuk hal-hal seperti
manajemen jaringan, operasi sistem, pemeliharaan server, dan fungsi help-
desk. Sebaliknya set TI yang spesifik, yang unik mendukung tujuan
strategis organisasi. Karena sifatnya yang istimewa, aset tertentu memiliki
nilai diluar penggunaannya saat ini. Aset seperti itu mungkin berwujud
(peralatan komputer), intelektual (program komputer), atau manusia.
Contoh aset tertentu meliputi pengembangan sistem, pemeliharaan aplikasi,
pergudangan data, dan karyawan yang sangat terampil dilatih untuk
menggunakan software khusus bagi organisasinya.
o Biaya Transaksi Ekonomis (TCE), teori ini bertentangan dengan teori
kompetensi inti dengan menyarankan bahwa perusahaan harus
mempertahankan aset TI non-inti spesifik. Karena sifat esoteris mereka,
aset tertentu tidak dapat dengan mudah diganti dalam pengaturan
outsourcing. Oleh karena itu, jika organisasi harus memutuskan untuk
membatalkan kontrak outsourcing dengan pemasok, mungkin tidak dapat
kembali seperti semula. Di sisi lain, teori TCE mendukung outsourcing
komoditas aset, yang dengan mudah diganti atau diperoleh dari pemasok

19 |
alternatif. Tentu, persepsi CEO dari apa yang merupakan aset komoditas TI
memainkan peran penting dalam keputusan outsourcing TI. Sering kali
berkaitan dengan definisi dan interpretasi.

Risiko Bawaan Outsourcing TI

Outsourcing TI dalam skala besar berisiko karena masalah keuangan dan
sifatnya. Tingkat risiko berkaitan dengan tingkat spesifisitas aset fungsi
outsourcing. Berikut ini masalah yang didokumentasikan berkaitan dengan
outsourcing TI
 Kegagalan Kinerja : Setelah sebuah perusahaan klien selesai
mengoutsourcing aset TI tertentu, kinerjanya menjadi berkaitan dengan
kinerja pemasok.
 Eksploitasi Pemasok: Skala besar outsourcing TI melibatkan transfer
"aset tertentu" ke pemasok seperti desain, pengembangan, dan
pemeliharaan aplikasi bisnis yang unik yang sangat penting untuk
kelangsungan hidup organisasi. Aset tertentu, sangat berharga untuk
klien, tetapi tidak untuk pemasok. Karena pemasok mengasumsikan
risiko dengan mengakuisisi aset dan dapat mencapai skala tidak
ekonomi dengan menggunakannya di tempat lain, organisasi klien akan
membayar premi untuk mentransfer fungsi seperti ini untuk pihak ketiga.
Selanjutnya, setelah perusahaan klien telah mendivestasi diri dari aset
tertentu seperti menjadi tergantung pada pemasok. Pemasok dapat
memanfaatkan ketergantungan ini dengan menaikkan tarif layanan.
 Biaya Outsourcing Melebihi Manfaatnya: Outsourcing TI telah dikritik
dengan alasan bahwa biaya tak terduga muncul dan manfaat yang
diharapkan tidak terwujud. Salah satu alasan untuk ini adalah bahwa
outsourcing klien sering gagal untuk mengantisipasi biaya seleksi
pemasok, kontrak, dan transisi dari operasi TI pemasok.
 Mengurangi Keamanan: Informasi outsourcing ke pemasok T
menimbulkan pertanyaan yang unik dan serius mengenai pengendalian
internal dan perlindungan data pribadi yang sensitif. Ketika sistem
keuangan perusahaan dikembangkan dan diselenggarakan di luar, dan
kode program dikembangkan melalui antarmuka dengan jaringan host
perusahaan, perusahaan-perusahaan beresiko kehilangan pengendalian
informasi mereka.

20 |
 Kehilangan Keuntungan Strategis: Outsourcing TI dapat
mempengaruhi ketidaksesuaian antara perencanaan strategis TI
perusahaan dengan fungsi perencanaan bisnis. Organisasi yang
menggunakan TI strategis harus menyelaraskan strategi bisnis dan
strategi TI. Agar dapat menjalankan keselarasan tersebut, perusahaan
perlu manajer dan kepala petugas informasi (CIO) yang memiliki
pengetahuan TI yang kuat dari bisnis organisasi.

Implikasi Audit dari Outsourcing TI

Manajemen mungkin melakukan outsourcing fungsi TI organisasinya,
tetapi tidak dapat mengoutsourcing tanggung jawab manajemen di
bawah SOX untuk memastikan pengendalian intern TI memadai.
PCAOB dalam Standar Auditing No 2 secara khusus menyatakan,
"Penggunaan layanan sebuah organisasi tidak mengurangi tanggung
jawab manajemen untuk mempertahankan pengendalian internal yang
efektif atas pelaporan keuangan. Sebaliknya, manajemen pengguna
harus mengevaluasi pengendalian di layanan organisasi, serta
pengendalian terkait di perusahaan pengguna, ketika membuat
penilaian  tentang pengendalian internal atas pelaporan keuangan. 

21 |
KESIMPULAN

Tata Kelola teknologi informasi (TI) adalah tren baru dalam tata kelola
perusahaan yang berfokus pada manajemen dan penilaian sumber daya strategis IT
yang tujuan utamanya adalah untuk mengurangi risiko dan memastikan bahwa
investasi atas TI dapat menambah nilai/value perusahaan. Pengendalian TI tidak luput
dari struktur organisasi dan fungsi TI, Pusat Komputer serta Mitigasi terhadap
bencana. Struktur dan fungsi organisasi TI berguna untuk meningkatkan efektivitas
pengendalian internal yang mana memiliki dampak saat melakukan audit.
Permasalahan dalam Pengolahan Data Terpusat, Pemisahan Fungsi IT yang Tidak
Sesuai, Model terdistribusi dan mengontrol lingkungan DDP menjadi ulasan penting.
Audit atas tata kelola TI dilakukan akuntan secara rutin dengan memeriksa
lingkungan fisik pusat komputer sebagai bagian dari audit tahunan mereka. Tujuannya
adalah untuk menyajikan pengendalian pusat komputer yang dapat menciptakan
lingkungan yang aman. Selain itu mitigasi bencana seperti gempa bumi, banjir,
sabotase, dan bahkan kegagalan sistem bisa menjadi bencana atau masalah serius
bagi pusat komputer dan sistem informasi organisasi atau perusahaan.
Selain itu pertimbangan biaya, risiko, dan tanggung jawab terkait dengan
mempertahankan fungsi TI perusahaan yang efektif juga harus dipikirkan. Banyak
eksekutif telah memilih melakukan outsourcing fungsi TI dengan menggunakan jasa
pihak ketiga untuk mengambil alih tanggung jawab atas pengelolaan aset dan staf TI
dan untuk layanan TI, seperti entri data, operasi data center, pengembangan aplikasi,
maintenance aplikasi, dan manajemen jaringan. Namun kembali lagi, bahwa setiap
keputusan pasti menimbulkan dampak, maka perlu adanya audit atas seluruh kegiatan
yang menjadi implementasi atas semua keputusan.

22 |
REFERENSI

A Hall, James. 2011. Information Technology Auditing. South-Western Cengage

Learning.

23 |