AUDITING IT GOVERNANCE CONTROLS

Tugas Mata Kuliah

Auditing EDP

Oleh :
Sherindityas Aulia S. NIM 170810301083
Aulia Nurma Dahani NIM 170810301119
Niken Asmoro B. NIM 170810301148
Latifah Rahmawati NIM 170810301177
Fatoni Ahmad Balyan NIM 170810301188

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS JEMBER
2020
 PENDAHULUAN

Era 4.0 merupakan era dimana segala kemajuan di segala bidang kehidupan mulai
berkembang pesat, mulai dari bidang budaya, teknologi, ekonomi, di bidag akuntansi,
sosial, kesehatan, maupun kesehatan. Perkembangan teknologi mulai berkembang pesat.
Dalam bidang akuntansi, baik akuntansi keuangan maupun akuntansi pemeriksaan
teknologi juga berkembang sangat pesat. Dalam melaporkan keuangan juga
menggunakan teknologi yang mempermudah pekerjaan manusia.

Dalam mengolah data perusahaan memerlukan teknologi yang tinggi, untuk

menghindari adanya kesalahan entry data maupun untuk menanggulangi adanya
kehilangan data perusahaan. Kehilangan data perusahaan dapat disebabkan oleh
bencana alam maupun karena adanya kerusakan sistem.untukmencegah terjadinya
kerusakan sistem membutuhkan metode backup data yang akan memulihkan perusahaan
ketika perusahaan tersebut terkena musibah. Jadi apabila suatu perusahaan terkena
bencana dan kehilangan semua data perusahaan, perusahaan tersebut dapat pulih
dengan mudah karena adanya cadangan data (backup data) yang telah dipersiapkan
untuk mengantisipasi terjadinya kehilangan data perusahaan.

Oleh sebab itu, adanya teknologi informasi dalam suatu perusahaan ataupun
organisasi sangat diperlukan untuk mempermudah pekerjaan manusia dan meminimalisir
terjadinya kesalahan entry data.
 PEMBAHASAN

INFORMATION TECHNOLOGY GOVERNANCE

Information technology (IT) governance adalah bagian tata kelola perusahaan yang
berfokus pada manajemen dan penilaian sumber daya teknologi informasi. Tujuan utama
dari tata kelola TI adalah untuk :

- mengurangi risiko
- memastikan bahwa investasi dalam sumber daya TI menambah nilai bagi
perusahaan.

Sebelum SOX Act, praktek umum mengenai investasi pada TI adalah menyerahkan
semua keputusan kepada profesional TI. Sekarang semua elemen organisasi dituntut
aktif berpartisipasi dalam perencanaan sampai dengan pengembangan TI.

IT Governance Controls

Berdasarkan SOX dan COSO ada 3 isu tata kelola IT:

- Struktur organisasi fungsi teknologi informasi

- Pusat operasi komputer
- Rencana pemulihan bencana

STRUCTURE OF THE INFORMATION TECHNOLOGY

Centralized Data Processing

 Berdasarkan model pengolahan data terpusat, semua pemrosesan data dilakukan
oleh satu atau lebih komputer yang lebih besar bertempat di situs pusat yang melayani
pengguna di seluruh organisasi.

 Database Administration : perusahaan yang dikelola secara terpusat, memelihara

sumber daya data mereka di lokasi pusat yang dibagikan oleh semua pengguna.
 Pemrosesan Data : kelompok pemrosesan data mengelola sumber daya computer
yang digunakan untuk melakukan proses transaksi sehari-hari. Hal tersebut terdiri dari
fungsi organisasi berikut :
- Konversi Data : HardCopy ke SoftCopy (inputable to computer)
- Operasi Komputer : Memproses hasil konversi melalui suatu aplikasi
- Data Library : Storage offline data -> Real Time data Procesing
dan direct acces mengurangi peran data library
 Pengembangan dan pemeliharaan sistem: Analisis kebutuhan, partisipasi dalam
desain sistem baru (Profesional, End Users dan Stakeholder). Menjaga sistem
beroperasi sesuai kebutuhan, 80-90% cost dalam IT biasanya ada pada
maintanance. Masalah control yang harus diperhatikan dalam proses data
tersentralisasi adalah pengamanan database. Karena jika accesnya lemah maka
seluruh informasi dapat terpapar resiko, bentuk topologi jaringan juga mempengaruhi
keandalan data informasi. Hal ini akan lebih jelas di appendix.
Segregation of Incompatible IT Functions

Pemisahan antara suatu fungsi tertentu demi menjaga IC yang baik:

- Pengembangan sistem pisahkan dengan Operasional

- Database Administrasi pisahkan dari unit lain
- System Development pisahkan dengan Maintanance (merupakan superior
structure) karena adanya resiko:
 Inadequate Documentation: Programmer lebih suka mengembangkan
sistem baru daripada mendokumentasikan kinerja sistem lama
 Program Fraud: unauthorized change karena programer faham tentang
operasi normal.

The Distributed Model

DisDataProc (DDP) melibatkan reorganisasi fungsi IT pusat ke IT unit kecil yang

ditempatkan di bawah kendali pengguna akhir (End Users). Unit IT dapat didistribusikan
menurut fungsi bisnis, lokasi geografis, atau keduanya.

 Resikonya menggunakan model DDP: tidak efisiennya penggunaan sumber

daya, perusakan jejak audit, pemisahan tugas kurang memadai, meningkatkan
 potensi kesalahan pemrograman dan kegagalan sistem serta kurangnya
standarisasi.
 Keuntungannya termasuk pengurangan biaya, peningkatan kontrol biaya,
meningkatkan kepuasan pengguna, dan adanya fleksibilitas dalam backup
sistem.

Controlling the DDP Environment

 Central Testing of Commercial Software and Hardware diuji dipusat

 User Services -> terdapat Chat room, FAQ, Intranet support dll
 Standard-Setting Body -> untuk improve keseragaman program and dokumen
 Personnel Review -> ada assesment.

Audit Objective: Tujuan auditor adalah untuk memastikan bahwa struktur fungsi TI
adalah sedemikian rupa sehingga individu di daerah yang tidak kompatibel dipisahkan
sesuai dengan tingkat potensi risiko dan dengan suatu cara yang mempromosikan
lingkungan kerja yang kondusif.

Audit Procedures:

Centralized

 Tinjau dokumentasi yang relevan, untuk menentukan apakah individu atau

kelompok yang melakukan fungsi-fungsi yang tidak kompatibel.
 Review catatan pemeliharaan, verifikasi bahwa programmer pemeliharaan tertentu
tidak merangkap programer desain.
 Pastikan bahwa operator komputer tidak memiliki akses ke logic sistem
dokumentasi, seperti sistem diagram alur, logika diagram alur, dan daftar kode
program.
 Review akses programer untuk alasan selain kegagalan sistem
Distributed

 Tinjau bagan organisasi saat ini, pernyataan misi, dan uraian tugas -> incompatible
duties .
 Pastikan bahwa desain sistem, dokumentasi, hardware dan perangkat lunak hasil
akuisisi diterbitkan dan diberikan to unit TI.
 Pastikan kontrol kompensasi -> supervisi monitoring
 Dokumentasi sistem aplikasi, prosedur, dan database dirancang dan berfungsi
sesuai dengan standar perusahaan .

Dalam sistem terdistribusi pemrosesan dan pengamanan data disebar ke berbagai

titik, pengamanan menjadi di banyak pintu namun tersebar, resikonya tidak seluruh titik
memiliki pengamanan yang sama. Dalam topologi STAR lebih aman karena kalo satu mati
yg lain relatif tidak terganggu sedang pada Topologi BUS jika satu titik mati akan
menggangu yang lain meskipun secara umum keunggulanya dia lebih cepat dan murah.
Sayangnya sistem Bus akan rentan tabrakan data (lebih lengkap di appendix) fokus
auditor adalah kepada seringnya sistem down atau kerusakan jaringan maupun software
yang mengakibatkan gangguan komunikasi dan pada database, resiko ini berbeda2 dalam
masing-masing topologi jaringan.

THE COMPUTER CENTER

a. Physical Location : lokasi pusat computer secara langsung memengaruhi risiko

kerusakan pada bencana alam atau buatan manusia.
b. Construction : idealnya, pusat computer harus ditempatkan di gedung
berlantai satu dengan konstruksi yang kokoh dengan akses yang terkontrol.
c. Access : akses ke pusat computer harus dibatasi untuk operator dan
karyawan lain yang bekerja di sana
d. Air Conditioning : fungsi computer paling baik yaitu di lingkungan ber-AC, dan
menyediakan penyejuk udara yang memadai
e. Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door
 f. Fault Tolerance : Toleransi kesalahan adalah kemampuan sistem untuk
melanjutkan operasi ketika bagian dari sistem gagal (masih bisa running kalau
ada sesuatu gangguan) karena kegagalan hardware, error program aplikasi,
atau kesalahan operator.
- Redundant arrays of independent disks (RAID)->data
- Uninterruptible Power Supplies->Listrik
g. Audit Objectives
Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur keamanan
pusat komputer . Secara khusus , auditor harus memastikan bahwa : kontrol
keamanan fisik yang memadai untuk cukup melindungi organisasi dari
eksposur fisik DAN cakupan asuransi pada peralatan memadai untuk
mengkompensasi kerusakan pusat komputernya
h. Audit Procedures
- Tests of Physical Construction. Fisik bangunan server, lokasi dan
keamanan terhadap HAZARD EVENT.
- Tests of the Fire Detection System.
- Tests of Access Control.
- Tests of Raid, BU HD
- Tests of the Uninterruptible Power Supply.
- Tests for Insurance Coverage.

DISASTER RECOVERY PLANNING

Bencana (disaster) merupakan hal yang dapat mengganggu dan menghambat

jalannya aktivitas dalam suatu organisasi, terutama aktivitas-aktifitas yang menggunakan
pengolahan data dan aktivitas yang dalam penerapannya berkaitan dengan sistem
informasi dengan media komputer, seperti halnya: penyimpanan data data organisasi
dalam komputer, pengadministrasian, dan lain sebagainya. Terjadinya sebuah bencana
pada suatu organisasi tentu akan menghambat atau bahkan akan menghentikan aktivitas
operasional organisasi tersebut.

Bencana yang dapat mempengaruhi dan mengancam sistem teknologi informasi

organisasi diidentifikasikan dalam tiga bagian, yaitu: Bencana alam, bencana buatan, dan
juga bencana karena kegagalan sistem. Bencana alam seperti Tsunami, Angin Tornado,
Banjir Bandang, Gunung Meletus, dan lain sebagainya merupakan bencana yang paling
berpotensi menghancurkan suatu organisasi, bukan hanya satu, bahkan beberapa
organisasi yang berada dalam area terdampak bencana alam tersebut akan turut hancur.
Bencana buatan seperti sabotase atau eror juga dapat menghambat atau merusak sebuah
organisasi namun dalam cakupan yang lebih sempit. Kegagalan sistem dapat berupa
pemadaman listrik, ataupun kegagalan drive.

Bencana-bencana yang terjadi biasanya sulit atau bahkan tidak bisa untuk dicegah
ataupun dihindari. Apabila suatu organisasi terkena suatu bencana maka kelangsungan
hidup organisasi hanya tergantung pada seberapa cepat dan seberapa baik organisasi
tersebut merespon dan melakukan pemulihan atas bencana yang terjadi. Oleh karena itu,
dengan melakukan suatu perencanaan berkelanjutan, dampak dari bencana dapat diatasi
dan perusahaan tersebut dapat pulihdengan cepat. Untuk bertahan dari adanya bencana
yang mungkin terjadi maka perusahaan mengembangkan prosedur pemulihan yang
kemudian disebut dengan rencana pemulihan bencana (Disaster Recovery Plan/DRP),
prosesnya meliputi:

a. Identify Critical Applications

Dalam tahap ini, perusahaan mengidentifikasikan aplikasi yang penting bagi
perusahaan beserta data-data yang terkait untuk menyelamatkan dan
mempertahankan perusahaan dalam jangka pendek.
b. Creating a Disaster Recovery Team
Dalam melakukan pemulihan bencana harus dilakukan tepat waktu, apabila terjadi
keterlambatan penanganan akan memungkinkan bertambah panjangnya periode
pemulihan dan berkurangnya prospek keberhasilan pemulihan, oleh karena itu
sangat diperlukan untuk membentuk tim pemulihan bencana agar pemulihan lebih
terencana dan terorganisir dengan baik.
c. Providing Second- Site Backup (buat lokasi data cadangan (duplikasi))
Yang diperlukan dalam Disaster Recovery Plan yaitu mengadakan fasilitas
pengolahan data ganda atau membuat duplikasi data setelah terjadi bencana.
- mutual aid pact, yaitu kerjasama dua perusahaan atau lebih untuk
membantu satu sama lain dalam kebutuhan proses data ketika terjadi
bencana.
- empty shell or cold site, yaitu sewa tempat pada penyedia backup
 - recovery operations center or hot site, yaitu sewa full equipped backup
- internally provided backup, yaitu perusahaan besar dengan proses data
berganda seringkali membuat duplikasi datanya sendiri
- backup and off-site storage procedures, yaitu semua data, file, aplikasi,
dokumen, dan hal hal yang penting secara otomatis telah terduplikasi
secara rutin pada tempat yang aman.
Audit Objective
Seorang auditor harus memverifikasi pemilihan rencana pemulihan manajemen (Disaster
Resource Plan) yang tepat dan layak digunakan oleh perusahaan untuk menghadapi
bencana yang menghambat perusahaan.
Audit Procedures
1. Site Backup, auditor mengevaluasi kecukupan pengaturan situs cadangan
2. Critical Aplication List, auditor meninjau kelengkapan daftar aplikasi penting
3. Software Backup, auditor memverifikasi bahwa salinan aplikasi penting dan
sistem operasi disimpan di lokasi yang berbeda
4. Data Backup,auditor memastikan data yang dibackup sesuai dengan rencana
pemulihan bencana
5. Backup Supplies, Documents, and Dokumentation, dokumen sistem,
persediaan dan sumber dokumen yang dibutuhkan untuk transaksi penting telah
terbackup dengan baik
6. Disaster Recovery Team, DRP harus mencantumkan secara jelas identitas
anggota tim pemulihan bencana dan auditor harus memastikan bahwa anggota tim
berasal dari karyawan dan sadar akan tanggungjawabnya

OUTSOURCING THE IT FUNCTION

Fungsi teknologi informasi sudah sangat signifikan, oleh karena itu, eksekutif lebih
memilih mengalihkan tanggungjawa IT kepada pihak ketiga (vendor), sehingga dapat
meningkatkan kinerja inti, kinerja IT (yang dikerjakan vendor) dan mengurangi biaya TI

Risks Inherent to IT Outsourcing

Pengalihdayaan IT dalam skala yang besar akan menimbulkan risiko yang besar pula,
risiko tersebut dapat muncul karena kecilnya upah atau juga karena sifat vendor yang
dapat melakukan kecurangan kapan saja. Berikut adalah masalah-masalah dalam
pengalihdayaan IT:

- Failure to Perform
- Eksploitasi vendor
- Biaya Outsourcing lebih besar dari manfaat
- Keamanan berkurang
- Hilangnya keuntungan strategis

Audit Implications of IT Outsourcing

Manajemen boleh saja mengalihdayakan fungsi ITnya namun tidak dapat

mengalihkan tanggungjawab manajemen pada penyediaan Pengendalian Intern yang
memadai. SAS 70 merupakan standar yang mendefinisikan perlunya auditor mengetahui
kontrol jika IT dilaksanakan oleh vendor pihak ketiga. Vendornya sendiri tentu diaudit oleh
auditornya sehingga IT review dilaksanakan satu kali saja supaya praktis dan murah.
 KESIMPULAN

Information technology (IT) governance adalah bagian tata kelola yang relatif baru
pada sebuah perusahaan yang berfokus terhadap manajemen dan penilaian sumber daya
teknologi informasi. Tujuan utama dari tata kelola tekhnologi informasi adalah untuk
mengurangi risiko, memastikan bahwa investasi dalam sumber daya TI menambah nilai
bagi perusahaan. Berdasarkan SOX dan COSO ada 3 isu tata kelola IT:

1. Struktur organisasi fungsi teknologi informasi,

2. Pusat operasi computer,
3. Rencana pemulihan bencana.

Berdasarkan model pengolahan data terpusat, semua pemrosesan data dilakukan

oleh satu atau lebih komputer yang lebih besar bertempat di situs pusat yang melayani
pengguna di seluruh organisasi. Terdapat beberapa macammodel pengolahan data
terpusat, antara lain database administration dimana perusahaan yang dikelola secara
terpusat, memelihara sumber daya data mereka di lokasi pusat yang dibagikan oleh
semua pengguna. Pemrosesan data digunakan untuk melakukan proses transaksi sehari-
hari yang terdiri dari fungsi organisasi seperti konversi data, operasi komputer, data
library. Pengembangan dan pemeliharaan system.

Sebuah alternatif untuk model terpusat adalah konsep pengolahan data terdistribusi
(DDP). Topik DDP cukup luas, menyentuh pada topik terkait seperti akhir-user computing,
software komersial, jaringan, dan otomatisasi kantor. Secara sederhana, DDP melibatkan
reorganisasi fungsi TI pusat ke unit TI kecil yang ditempatkan di bawah kendali pengguna
akhir.

Bencana (disaster) merupakan hal yang dapat mengganggu dan menghambat

jalannya aktivitas dalam suatu organisasi, terutama aktivitas-aktifitas yang menggunakan
pengolahan data dan aktivitas yang dalam penerapannya berkaitan dengan sistem
informasi dengan media komputer, seperti halnya: penyimpanan data data organisasi
dalam komputer, pengadministrasian, dan lain sebagainya. Rencana pemulihan bencana
(Disaster Recovery Plan/DRP), prosesnya meliputi : identify critical applications, Creating
a Disaster Recovery Team, Providing Second- Site Backup (buat lokasi data cadangan
(duplikasi).
 REFERENSI

James A. Hall. 2011. Information Technology Auditing and Assurance. Cengage

Learning