Tugas Matakuliah
Auditing EDP
Oleh :
Annisa Novelia Utami (170810301029)
Hamzah Shalahuddin (170810301045)
Fairul Alviansyah M. (170810301049)
Andika Priwanto (170810301150)
2|
PEMBAHASAN
A. Tata Kelola Teknologi Informasi (TI) / Information Technology Governance
Tata kelola teknologi informasi (TI) adalah tata kelola perusahaan atas
teknologi informasi yang meliputi manajemen dan penilaian sumber daya
strategis TI perusahaan yang bertujuan untuk mengurangi risiko dan
memastikan apakah investasi pada sumber daya teknologi informasi
menambah nilai/value perusahaan.
Pengendalian Tata Kelola TI
3 isu tata kelola TI yang ditangani oleh rerangka kerja pengendalian internal
SOX dan COSO:
1. Struktur Organisasi dari Fungsi TI
2. Pusat Operasi Komputer
3. Perencanaan Pemulihan Bencana
3|
b. Operasi komputer, file-file elektronik yang dihasilkan dalam konversi
data kemudian diproses oleh komputer pusat, yang dikelola oleh
kelompok operasi komputer.
c. Perpustakaan data, ruang yang berdekatan dengan pusat komputer
yang menyediakan penyimpanan yang aman untuk file data off-line (file
back up atau file saat ini dalam bentuk DVD, CD-Rom, kaset, atau
perangkat penyimpanan lainnya. Pustakawan data, bertanggung jawab
untuk menerima, menyimpan, mencari, dan mempertahankan file data
dan kontrol akses ke perpustakaan.
3. Pengembangan Sistem dan Pemeliharaan
Kebutuhan sistem informasi dari pengguna dipenuhi oleh dua fungsi yang
terkait: pengembangan sistem dan sistem pemeliharaan. Kelompok
pertama bertanggung jawab untuk menganalisis kebutuhan pengguna
dan merancang sistem baru untuk memenuhi kebutuhan tersebut.
Anggota pengembangan sistem mencakup sistem profesional, pengguna
akhir, dan stakeholder. Sistem profesional (sistem analis, desainer
database, dan programmer) merancang dan membangun sistem.
Pengguna akhir adalah untuk siapa sistem dibangun. Stakeholder adalah
individu dalam atau di luar perusahaan yang memiliki kepentingan dalam
sistem, tetapi tidak pengguna akhir.
4|
Memisahkan Administrasi Database dari Fungsi Lain
Pengendalian organisasi lain yang penting adalah pemisahan
administrasi database (DBA) dari fungsi komputer lainnya. DBA
bertanggung jawab untuk sejumlah tugas-tugas penting yang berkaitan
dengan keamanan database, termasuk membuat skema database dan
tampilan bagi user, menetapkan kewenangan akses database untuk
pengguna, pemantauanpenggunaan database, dan perencanaan untuk
ekspansi masa depan.
Memisahkan Pengembang Sistem Baru dari Perawatan
Beberapa perusahaan mengatur fungsi pengembangan sistem menjadi
dua kelompok: analisis sistem dan pemrograman. Kelompok analisis
sistem bekerja sama dengan pengguna untuk menghasilkan desain rinci
dari sistem yang baru. Kelompok pemrograman membuat kode program
sesuai dengan spesifikasi desain ini. Dalam pendekatan ini, programmer
yang membuat kode program yang asli juga mempertahankan sistem
selama fase pemeliharaan siklus hidup pengembangan sistem meskipun
pengaturan yang umum, pendekatan ini dikaitkan dengan dua jenis
masalah pengendalian:
1. Dokumentasi yang tidak memadai. Dokumentasi sistem yang
rendah adalah masalah kronis TI dan tantangan yang signifikan
bagi banyak organisasi. Setidaknya ada dua penjelasan untuk
fenomena ini. Pertama, pendokumentasian sistem tidak
semenarik merancang, menguji, dan menerapkannya.
Profesional sistem lebih memilih untuk pindah ke sebuah proyek
baru yang menarik daripada mendokumentasikannya saat
selesai. Alasan kedua yang mungkin untuk rendahnya
dokumentasi adalah keamanan kerja. Ketika sistem kurang
didokumentasikan, akan sulit untuk menafsirkan, menguji, dan
menggunakannya. Oleh karena itu, programer yang mengerti
sistem mempertahankan daya tawar dan menjadi relatif sangat
diperlukan. Ketika programmer meninggalkan perusahaan,
programmer baru mewarisi tanggung jawab pemeliharaan sistem
yang tidak berdokumen.
2. Program Penipuan. Ketika programmer asli dari sistem juga
ditugaskan untuk pemeliharaan, potensi kecurangan meningkat.
5|
Penipuan program melibatkan pembuatan perubahan yang tidak
sah untuk program modul dengan tujuan melakukan tindakan
ilegal. Programmer asli mungkin telah berhasil menyembunyikan
kode curang diantara ribuan baris kode yang sah dan ratusan
modul yang merupakan sebuah kesatuan. Agar penipuan
berjalan dengan sukses, programmer harus mampu
mengendalikan situasi melalui akses khusus dan terbatas untuk
program aplikasi. Pemrogram perlu melindungi kode penipuan
dari deteksi oleh orang lain, programmer yang melakukan
perawatan atau dengan pengujian pengendalian aplikasi oleh
auditor.
6|
akhir secara tidak sengaja menyisipkan kesalahan transaksi ke file jejak
audit.
3. Pemisahan Tugas yang Tidak Memadai. Mencapai sebuah
pembagian tugas yang memadai tidak mungkin dalam lingkungan
terdistribusi. Distribusi layanan TI untuk pengguna dapat mengakibatkan
pembentukan unit-unit independen kecil yang tidak mengizinkan
pemisahan yang diinginkan dari fungsi yang tidak kompatibel.
4. Mempekerjakan Profesional Berkualitas. Manajer pengguna akhir
mungkin tidak memiliki pengetahuan TI untuk mengevaluasi teknis dan
pengalaman yang relevan dari calon pelamar posisi profesional TI. Juga,
jika karyawan memasuki unit organisasi baru yang kecil, kesempatan
untuk berkembang, pendidikan berkelanjutan, dan promosi mungkin
terbatas.
5. Kurangnya Standar. Karena distribusi tanggung jawab dalam
lingkungan DDP, standar untuk mengembangkan dan
mendokumentasikan sistem, memilih bahasa pemrograman,
memperoleh hardware dan software, dan mengevaluasi kinerja mungkin
tidak diterapkan secara merata atau bahkan tidak ada.
7|
pengguna ingin sistem profesional (analis, programmer, dan operator
komputer) responsif terhadap situasi mereka; dan (3) pengguna ingin
menjadi lebih aktif terlibat dalam mengembangkan dan menerapkan
sistem mereka sendiri.
Fleksibilitas Cadangan. kemampuan untuk membuat fasilitas
cadangan komputasi untuk melindungi terhadap potensi bencana,
seperti kebakaran, banjir, sabotase, dan gempa bumi. Satu-satunya
cara untuk membuat cadangan situs komputer pusat terhadap bencana
adalah menyediakan fasilitas komputer kedua. Model distribusi
menawarkan organisasi untuk menyediakan cadangan yang fleksibel.
8|
beberapa petunjuk pusat. Kelompok korporasi dapat berkontribusi untuk
tujuan ini dengan membentuk dan mendistribusikan standar ke daerah
pengguna yang sesuai untuk pengembangan sistem, pemrograman, dan
dokumentasi.
Ulasan Personil. Kelompok perusahaan sering lebih siap daripada pengguna
untuk mengevaluasi calon profesional teknis sistem. Meskipun sistem
profesional akan benar-benar menjadi bagian dari kelompok pengguna akhir,
keterlibatan kelompok dalam keputusan kerja dapat membuat layanan yang
berharga bagi organisasi.
Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI adalah
seperti individu di daerah yang tidak kompatibel yang dipisahkan sesuai
dengan tingkat potensi risiko dan dengan cara mempromosikan lingkungan
kerja.
Prosedur Audit
Prosedur audit berikut ini akan berlaku untuk sebuah organisasi dengan fungsi TI
terpusat:
1. Ulasan dokumentasi yang relevan, termasuk bagan organisasi, pernyataan misi,
dan deskripsi pekerjaan untuk fungsi-fungsi kunci
2. Ulasan dokumentasi sistem dan catatan pemeliharaan untuk sampel aplikasi.
3. Pastikan operator komputer tidak memiliki akses ke rincian operasional dari logika
internal sistem
4. Melalui pengamatan, tentukan bahwa kebijakan segregasi diikuti dalam praktek.
Prosedur audit berikut ini akan berlaku untuk sebuah organisasi dengan fungsi TI
terdistribusi:
1. Tinjau bagan organisasi, pernyataan misi, dan deskripsi pekerjaan untuk
fungsi kunci untuk menentukan apakah individu atau kelompok yang melakukan
tugas yang kompatibel
2. Pastikan bahwa kebijakan dan standar perusahaan untuk desain sistem,
dokumentasi, dan akuisisi perangkat keras dan perangkat lunak diterbitkan dan
diberikan kepada unit TI yang terdistribusi.
3. Pastikan kompensasi pengendalian yang dilakukan
9|
4. Ulasan sistem dokumentasi untuk memverifikasi bahwa aplikasi, prosedur, dan
database dirancang dan berfungsi sesuai dengan standar perusahaan.
C. Pusat Komputer
Akuntan secara rutin memeriksa lingkungan fisik dari pusat komputer sebagai
bagian dari audit tahunan mereka. Bagian ini menyajikan risiko pusat komputer
dan pengendalian yang membantu untuk mengurangi risiko dan menciptakan
lingkungan yang aman.
Lokasi Fisik: Lokasi fisik dari pusat komputer langsung mempengaruhi
risiko kerusakan alami atau buatan manusia.
Konstruksi: Idealnya, sebuah pusat komputer harus terletak di sebuah
bangunan satu lantai dari bangunan yang kokoh dengan akses dikendalikan.
Akses: Akses ke pusat komputer harus terbatas pada operator dan
karyawan lainnya yang bekerja di sana. Kontrol fisik, seperti pintu terkunci,
harus digunakan untuk membatasi akses ke pusat. Akses harus dikontrol
oleh keypad atau menggesek kartu, meskipun api keluar dengan alarm yang
diperlukan. Untuk mencapai tingkat keamanan yang lebih tinggi, akses harus
dipantau oleh kamera sirkuit tertutup dan sistem perekaman video. Pusat
komputer juga harus menggunakan sign-in log untuk programmer dan analis
yang membutuhkan akses untuk memperbaiki
kesalahan program.
AC: Komputer berfungsi dengan baik di lingkungan ber-AC, dan penyediaan
udara pendingin yang memadai sering merupakan persyaratan garansi
pemasok. Komputer beroperasi dengan baik dikisaran suhu 70 sampai 75
derajat Fahrenheit dan kelembaban relatif 50 persen. Kesalahan logika
dapat terjadi pada hardware komputer saat suhu pergi secara signifikan dari
jarak optimal ini. Risiko kerusakan sirkuit dari listrik statis juga meningkat
ketika kelembaban turun.
Api merupakan ancaman paling serius untuk peralatan komputer
perusahaan. Pelaksanaan sistem pencegah kebakaran yang efektif
membutuhkan konsultasi dengan spesialis. Namun, beberapa fitur utama
dari sistem tersebut meliputi:
1. Alarm otomatis dan manual harus ditempatkan di lokasi strategis di
sekitar instalasi. Alarm ini harus terhubung ke stasiun staf pemadam
kebakaran secara permanen
10 |
2. Harus ada sistem pemadam api otomatis yang dibagikan sesuai jenis
penekan untuk lokasi.
3. Alat pemadam kebakaran manual harus ditempatkan di lokasi-lokasi
strategis.
4. Bangunan harus dari konstruksi yang dapat menahan kerusakan air
yang disebabkan oleh peralatan pemadaman kebakaran.
5. Api yang keluar harus ditandai dengan jelas dan diterangi selama
kebakaran.
Toleransi Kesalahan: Toleransi kesalahan adalah kemampuan sistem
untuk melanjutkan operasi ketika terdapat kegagalan dari bagian sistem
karena kegagalan hardware, kesalahan program aplikasi, atau kesalahan
operator. Menerapkan pengendalian toleransi kesalahan dilakukan untuk
memastikan bahwa tidak ada satu titik kegagalan sistem potensial.
Kegagalan total dapat terjadi hanya jika beberapa komponen gagal.
Tujuan Audit
Tujuan auditor adalah untuk mengevaluasi pengendalian yang mengatur
keamanan pusat komputer. Secara khusus, auditor harus memverifikasi bahwa:
1. Pengendalian keamanan fisik yang memadai untuk melindungi organisasi dari
eksposur fisik
2. Asuransi pada peralatan untuk mengkompensasi organisasi jika terjadi
penghancuran, atau kerusakan pada pusat komputer.
Prosedur Audit
Berikut ini adalah uji pengendalian keamanan fisik.
Tes Konstruksi Fisik. Auditor harus memperoleh rencana arsitektur untuk
menentukan bahwa pusat komputer dibangun dengan kokoh dari bahan tahan
api. Selain itu, auditor harus menilai lokasi fisik dari pusat komputer. Fasilitas ini
harus berada di daerah yang meminimalkan paparan terhadap kebakaran,
kerusuhan sipil, dan bahaya lainnya.
Pengujian Sistem Deteksi Api. Auditor harus menetapkan bahwa deteksi
kebakaran dan peralatan penyelamatan, baik manual dan otomatis, berada di
tempat dan diuji secara teratur. Sistem deteksi api harus mendeteksi asap,
panas, dan asap yang mudah terbakar. Bukti dapat diperoleh dengan meninjau
catatan marshal api resmi, yang disimpan di pusat komputer.
11 |
Pengujian Pengendalian Akses. Auditor harus menetapkan bahwa akses
rutin ke komputer pusat dibatasi untuk karyawan yang berwenang. Rincian
tentang akses pengunjung (oleh programmer dan lain-lain), seperti kedatangan
dan keberangkatan, tujuan, dan frekuensi akses, dapat diperoleh dengan
meninjau log akses. Untuk membangun kebenaran dokumen ini, auditor dapat
diam-diam mengamati proses dimana akses diizinkan, atau meninjau rekaman
video dari kamera pada titik akses, pada saat sedang digunakan.
Pengujian Penggrebekan. Kebanyakan sistem yang menggunakan RAID
memberikan pemetaan grafis dari penyimpanan disk yang berlebihan. Dari
pemetaan ini, auditor harus menentukan apakah tingkat RAID di tempat
memadai bagi organisasi, mengingat tingkat risiko bisnis terkait dengan
kegagalan disk. Jika organisasi tidak menggunakan RAID, potensi untuk satu
titik kegagalan sistem ada.
Pengujian Daya yang Tidak Teerganggu. Pusat komputer harus melakukan
pengujian periodik catu daya cadangan untuk memastikan bahwa ia memiliki
kapasitas yang cukup untuk menjalankan komputer dan pendingin udara. Ini
adalah pengujian yang sangat penting, dan hasilnya harus secara resmi dicatat.
Meningkatnya sistem komputer perusahaan, meningkatkan ketergantungannya
terhadap kebutuhan listrik cadangan secara proporsional.
Pengujian Perlindungan Asuransi. Auditor setiap tahun meninjau
pertanggungan asuransi organisasi pada perangkat keras komputer, perangkat
lunak, dan fasilitas fisik. Auditor harus memverifikasi bahwa semua akuisisi
baru tercantum pada kebijakan dan peralatan dan perangkat lunak yang usang
telah dihapus. Polis asuransi harus mencerminkan kebutuhan manajemen
dalam hal luasnya cakupan.
12 |
Dari kejadian bencana tersebut ketergantung sebuah organisasi pada
teknologi, menyebabkan risikonya yang rentan. Mulai dari kehilangan
pengolahan data organisasi, menghentikan fungsi-fungsi bisnis yang dibantu
oleh komputer, dan merusak kemampuan organisasi untuk memberikan
produk atau jasa. Bencana dari jenis yang diuraikan di atas biasanya tidak
dapat dicegah atau dihindari. Meskipun kebutuhan tiap organisasi berbeda,
berikut ini komponen yang secara umum harus ada dalam rencana organisasi:
1. Mengidentifikasi aplikasi kritis
2. Membuat tim pemulihan bencana
3. Memberikan situs cadangan
4. Menentukan backup dan prosedur penyimpanan
13 |
3. Menyediakan Situs Cadangan
Salah satu hal yang diperlukan dalam DRP adalah tersedianya fasilitas
pengolahan data ganda setelah bencana. Di antara banyak pilihan yang
tersedia, yang paling umum digunakan adalah
1. Perjanjian Saling Bantu. Perjanjian saling membantu adalah perjanjian
antara dua atau lebih organisasi (dengan fasilitas komputer yang
kompatibel) untuk saling membantu satu sama lain dalam pengolahan
data mereka dalam hal kebutuhan bencana.
2. Shell Kosong. Shell kosong atau situs rencana dingin adalah
pengaturan dimana perusahaan membeli atau menyewa sebuah
bangunan yang akan berfungsi sebagai pusat data. Dalam hal terjadi
bencana, shell tersedia dan siap untuk menerima hardware apa pun
sesuai kebutuhan pengguna sementara untuk menjalankan sistem
14 |
penting. Pendekatan ini, bagaimanapun, memiliki kelemahan mendasar.
Pemulihan tergantung pada ketersediaan waktu yang tepat dari perangkat
keras komputer yang diperlukan untuk mengembalikan fungsi pengolahan
data. Manajemen harus memperoleh jaminan melalui kontrak dengan
pemasok perangkat keras, di mana, kebutuhan perusahaan menjadi
prioritas. Masalah pasokan hardware yang tak terduga di titik kritis ini bisa
menjadi pukulan fatal.
3. Pusat Operasi Pemulihan (ROC). Pusat operasi pemulihan (ROC) atau
situs panas adalah pusat cadangan data perusahaan yang dapat dibagi
antar organisasi. Selain perangkat keras dan sarana pendukung,
penyedia layanan ROC menawarkan berbagai layanan teknis untuk klien
mereka, yang membayar biaya tahunan untuk hak akses. Dalam hal
terjadi bencana besar, pelanggan dapat menempati tempat dan, dalam
beberapa jam, melanjutkan pengolahan aplikasi yang penting.
4. Cadangan yang Dibuat secara Internal. Organisasi yang lebih besar
dengan beberapa pengolahan pusat data seringkali lebih suka
menciptakan kapasitas cadangan internal. Ini memungkinkan perusahaan
untuk mengembangkan konfigurasi standar perangkat keras dan
perangkat lunak, yang menjamin kecocokan fungsional antara pusat
pengolahan data dan meminimalkan pemisahan masalah dalam hal
bencana.
15 |
Aplikasi Backup. Dalam hal perangkat lunak komersial, ini
melibatkan pembelian salinan cadangan dari upgrade software
terbaru yang digunakan oleh organisasi, prosedur backup harus
menjadi langkah integral dalam pengembangan sistem dan proses
perubahan program.
Backup Data File. Tidak semua organisasi bersedia atau mampu
berinvestasi dalam sumber daya backup. Database harus disalin
paling tidak setiap hari dengan kapasitas tinggi, media kecepatan
tinggi, seperti kaset atau CD / DVD dan offsite aman. Dalam hal
gangguan, rekonstruksi database dicapai dengan memperbarui
versi data cadangan terbaru dengan data transaksi berikutnya.
Demikian juga, file master dan file transaksi harus dilindungi.
Dokumentasi Cadangan. Sistem dokumentasi untuk aplikasi kritis
harus didukung dan disimpan pada off-site bersama dengan
aplikasi. Dokumentasi sistem dapat berjumlah besar dan proses
backup rumit oleh perubahan aplikasi (lihat Bab 5). Dokumentasi
cadangan mungkin disederhanakan dan dibuat lebih efisien melalui
penggunaan alat dokumentasi Computer Aided Software
Engineering (CASE). DRP juga harus mencakup dukungan
terhadap penyediaan manual untuk pengguna akhir karena individu
memproses transaksi dalam kondisi bencana yang mungkin tidak
biasa bagi staf yang akrab dengan sistem biasa.
Cadangan Persediaan dan Dokumen Sumber. Organisasi harus
membuat cadangan persediaan dan dokumen sumber yang penting
yang digunakan dalam pengolahan transaksi. Contohnya faktur,
pesanan pembelian, dan bentuk lainnya yang tidak dapat diperoleh
dengan segera. DRP harus menentukan jenis dan jumlah barang-
barang khusus yang dibutuhkan. Karena ini adalah elemen rutin dari
operasi sehari-hari, hal ini sering diabaikan oleh perencana darurat
bencana. Pada titik ini, perlu dicatat bahwa salinan dokumen DRP
harus juga disimpan dalam off-site di lokasi yang aman.
Pengujian DRP. Aspek yang paling sering diabaikan dari
perencanaan kontingensi adalah pengujian DRP. Namun demikian,
pengujian DRP penting dan harus dilakukan secara berkala.
Pengujian untuk mengukur kesiapan personil dan mengidentifikasi
16 |
kelalaian atau hambatan dalam rencana. Pengujian paling berguna
dilaksanakan ketika simulasi gangguan bersifat tiba-tiba. Ketika
bencana mock diumumkan, status semua proses yang terkena
harus didokumentasikan. Pendekatan ini memberikan patokan
untuk penilaian kinerja selanjutnya. Rencana tersebut harus
dilakukan secara ekonomi. Idealnya, penggunaan fasilitas backup
dan persediaan. Kemajuan rencana tersebut harus dicatat pada
titik-titik kunci selama periode uji berlangsung. Pada akhir
pengujian, hasilnya dapat dianalisis dan laporan kinerja DRP
disiapkan. Tingkat kinerja yang dicapai menjadi masukan untuk
keputusan dalam memodifikasi DRP atau melaksanakan jadwal
pengujian tambahan. Manajemen organisasi harus mencari ukuran
kinerja di masing-masing bidang berikut: (1) efektivitas personel tim
DRP dan tingkat pengetahuan; (2) tingkat keberhasilan konversi
(yaitu, jumlah record yang hilang); (3) perkiraan kerugian finansial
karena catatan atau fasilitas hilang; dan (4) efektivitas program,
data, dan backup dokumentasi dan prosedur pemulihan.
Tujuan Audit
Auditor harus memverifikasi bahwa manajemen rencana pemulihan bencana
memadai dan layak untuk menangani bencana yang bisa menghilangkan
sumber komputasi organisasi.
Prosedur Audit
Dalam memverifikasi bahwa DRP adalah solusi yang realistis untuk menangani
bencana, pengujian berikut dapat dilakukan.
Situs Cadangan. Auditor harus mengevaluasi kecukupan pengaturan situs
cadangan. Ketidakcocokan sistem dan sifat manusia sangat mengurangi
efektivitas perjanjian saling membantu. Auditor harus skeptis terhadap
pengaturan tersebut karena dua alasan. Pertama, kecanggihan sistem
komputer dapat membuat auditor kesulitan untuk menemukan potensi
bermitra dengan konfigurasi yang kompatibel. Kedua, sebagian besar
perusahaan tidak memiliki kelebihan kapasitas untuk mendukung
pasangan yang terkena bencana dan juga memproses pekerjaannya.
Pilihan yang lebih layak dan mahal adalah shell kosong dan pemulihan
pusat operasi. Jika organisasi klien menggunakan metode shell kosong,
17 |
maka auditor perlu memverifikasi keberadaan kontrak yang sah dengan
hardware pemasok yang menjamin pengiriman perangkat keras komputer
yang dibutuhkan dengan keterlambatan minimal setelah bencana. Jika
klien adalah anggota dari ROC, auditor harus memperhatikan tentang
jumlah anggota ROC dan dispersi geografis mereka. Bencana yang luas
mungkin mengakibatkan permintaan tidak bisa dipenuhi oleh fasilitas ROC.
Daftar Aplikasi Kritis. Auditor harus meninjau daftar aplikasi kritis untuk
memastikan kelengkapannya. Aplikasi yang hilang dapat mengakibatkan
kegagalan untuk dipulihkan. Hal yang sama berlaku, untuk memulihkan
aplikasi yang tidak diperlukan. Untuk menyertakan aplikasi yang tidak
diperlukan untuk mencapai kelangsungan hidup jangka pendek dalam
daftar penting dapat menyesatkan dan mengalihkan perhatian dari tujuan
utama selama periode pemulihan.
Software Backup. Auditor harus memverifikasi bahwa salinan aplikasi
kritis dan sistem operasi disimpan dalam off-site. Auditor juga harus
memverifikasi bahwa aplikasi yang saat ini disimpan dalam off-site dengan
membandingkan nomor versi mereka dengan yang digunakan oleh orang
lain.
Backup Data. Auditor harus memverifikasi bahwa file data yang penting
didukung sesuai dengan DRP.
Cadangan Perlengkapan, Dokumen, dan Dokumentasi. Dokumentasi
sistem, persediaan, dan dokumen sumber yang diperlukan untuk
memproses transaksi penting harus didukung dan disimpan dalam off-site.
Auditor harus memverifikasi jenis dan jumlah item yang ditentukan dalam
DRP seperti memeriksa saham, faktur, pesanan pembelian, dan setiap
bentuk khusus ada di lokasi yang aman.
Tim Pemulihan Bencana. DRP harus jelas mencantumkan nama, alamat,
dan nomor telepon darurat dari anggota tim pemulihan bencana. Auditor
harus memverifikasi bahwa anggota tim adalah karyawan saat ini dan
menyadari tugas dan tanggung jawab mereka.
18 |
E. Outsourcing Fungsi TI
Biaya, risiko, dan tanggung jawab berkaitan secara signifikan dengan
efektivitas fungsi TI perusahaan. Oleh karena itu, banyak eksekutif memilih
untuk melakukan outsourcing fungsi TI mereka ke pihak ketiga yang
mengambil alih tanggung jawab atas pengelolaan aset TI dan staf untuk
pengiriman layanan TI, seperti memasukkan data, operasi pusat data,
pengembangan aplikasi, aplikasi pemeliharaan, dan pengelolaan jaringan.
Manfaat outsourcing TI termasuk peningkatan kinerja bisnis inti dan
mengurangi biaya TI. Melalui skala ekonomi, dengan menggabungkan
kebutuhan beberapa klien, vendor dapat melakukan fungsi outsourcing yang
lebih murah daripada perusahaan klien. Penghematan biaya yang dihasilkan
kemudian diteruskan ke organisasi klien.
Berikut ini akan dibahas logika dan teori yang mendasari outsourcing TI:
o Teori kompetensi inti, berpendapat bahwa organisasi harus fokus secara
eksklusif pada kompetensi bisnis inti, sementara outsourcing pemasok
untuk secara efisien mengelola kegiatan non-inti seperti fungsi TI. Premis
ini, mengabaikan perbedaan penting antara komoditas dan aset TI yang
spesifik. Aset komoditas TI tidak unik untuk sebuah organisasi tertentu dan
dengan demikian mudah diperoleh di pasar. Ini termasuk hal-hal seperti
manajemen jaringan, operasi sistem, pemeliharaan server, dan fungsi help-
desk. Sebaliknya set TI yang spesifik, yang unik mendukung tujuan
strategis organisasi. Karena sifatnya yang istimewa, aset tertentu memiliki
nilai diluar penggunaannya saat ini. Aset seperti itu mungkin berwujud
(peralatan komputer), intelektual (program komputer), atau manusia.
Contoh aset tertentu meliputi pengembangan sistem, pemeliharaan aplikasi,
pergudangan data, dan karyawan yang sangat terampil dilatih untuk
menggunakan software khusus bagi organisasinya.
o Biaya Transaksi Ekonomis (TCE), teori ini bertentangan dengan teori
kompetensi inti dengan menyarankan bahwa perusahaan harus
mempertahankan aset TI non-inti spesifik. Karena sifat esoteris mereka,
aset tertentu tidak dapat dengan mudah diganti dalam pengaturan
outsourcing. Oleh karena itu, jika organisasi harus memutuskan untuk
membatalkan kontrak outsourcing dengan pemasok, mungkin tidak dapat
kembali seperti semula. Di sisi lain, teori TCE mendukung outsourcing
komoditas aset, yang dengan mudah diganti atau diperoleh dari pemasok
19 |
alternatif. Tentu, persepsi CEO dari apa yang merupakan aset komoditas TI
memainkan peran penting dalam keputusan outsourcing TI. Sering kali
berkaitan dengan definisi dan interpretasi.
20 |
Kehilangan Keuntungan Strategis: Outsourcing TI dapat
mempengaruhi ketidaksesuaian antara perencanaan strategis TI
perusahaan dengan fungsi perencanaan bisnis. Organisasi yang
menggunakan TI strategis harus menyelaraskan strategi bisnis dan
strategi TI. Agar dapat menjalankan keselarasan tersebut, perusahaan
perlu manajer dan kepala petugas informasi (CIO) yang memiliki
pengetahuan TI yang kuat dari bisnis organisasi.
21 |
KESIMPULAN
Tata Kelola teknologi informasi (TI) adalah tren baru dalam tata kelola
perusahaan yang berfokus pada manajemen dan penilaian sumber daya strategis IT
yang tujuan utamanya adalah untuk mengurangi risiko dan memastikan bahwa
investasi atas TI dapat menambah nilai/value perusahaan. Pengendalian TI tidak luput
dari struktur organisasi dan fungsi TI, Pusat Komputer serta Mitigasi terhadap
bencana. Struktur dan fungsi organisasi TI berguna untuk meningkatkan efektivitas
pengendalian internal yang mana memiliki dampak saat melakukan audit.
Permasalahan dalam Pengolahan Data Terpusat, Pemisahan Fungsi IT yang Tidak
Sesuai, Model terdistribusi dan mengontrol lingkungan DDP menjadi ulasan penting.
Audit atas tata kelola TI dilakukan akuntan secara rutin dengan memeriksa
lingkungan fisik pusat komputer sebagai bagian dari audit tahunan mereka. Tujuannya
adalah untuk menyajikan pengendalian pusat komputer yang dapat menciptakan
lingkungan yang aman. Selain itu mitigasi bencana seperti gempa bumi, banjir,
sabotase, dan bahkan kegagalan sistem bisa menjadi bencana atau masalah serius
bagi pusat komputer dan sistem informasi organisasi atau perusahaan.
Selain itu pertimbangan biaya, risiko, dan tanggung jawab terkait dengan
mempertahankan fungsi TI perusahaan yang efektif juga harus dipikirkan. Banyak
eksekutif telah memilih melakukan outsourcing fungsi TI dengan menggunakan jasa
pihak ketiga untuk mengambil alih tanggung jawab atas pengelolaan aset dan staf TI
dan untuk layanan TI, seperti entri data, operasi data center, pengembangan aplikasi,
maintenance aplikasi, dan manajemen jaringan. Namun kembali lagi, bahwa setiap
keputusan pasti menimbulkan dampak, maka perlu adanya audit atas seluruh kegiatan
yang menjadi implementasi atas semua keputusan.
22 |
REFERENSI
23 |