AUDITING IT GOVERNANCE CONTROLS

Tugas Mata Kuliah Auditing EDP (A)

Oleh :

KELOMPOK 4
1. Andrean Subangkit ( 160810301027 )
2. Nofta Utami Nina Putri ( 180810301229 )
3. Choiril Fatati Suhro ( 180810301231 )

PROGRAM STUDI S1 AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS JEMBER
2019
 PENDAHULUAN

Perkembangan Tekonologi Informasi di era digitalisasi menyebabkan

berkembangnya sistem informasi yang begitu pesat. Semakin signifikannya peran
Tekonologi Informasi dalam mendukung tujuan organisasi tentu saja harus diiringi dengan
adanya pengendalian Teknologi Informasi yang memadai. Tanpa adanya tata kelola
Teknologi Informasi yang memadai, sistem informasi yang dimiliki oleh sebuah organisasi
dapat menjadi hambatan dalam pencapaian tujuan organisasi. Teknologi informasi
merupakan suatu asset yang berharga baik dalam perusahaan maupun dalam sektor
organisasi lainnya, dimana peran Teknologi Informasi (TI) dapat mengubah pola
pekerjaan, kinerja karyawan bahkan sistem manajemen dalam mengelola sebuah
organisasi. Sehingga pemanfaatan Teknologi Informasi sebagai pendukung pencapaian
tujuan dan sasaran organisasi harus diimbangi dengan keefektifan dan efisiensi dalam
pengelolaannya.
. Materi “Auditing TI Governance Control” menarik untuk dibahas karena semakin
berkembangnya teknologi semakin banyak pula orang menyadari bahwa TI terkait dengan
semua aspek bisnis perusahaan, sehingga tata kelola TI harus dinilai sama pentingnya
dengan standar pengelolaan bisnis. Tata kelola TI yang efektif mampu menghasilkan
keuntungan-keuntungan bisnis yang nyata misalnya reputasi, kepercayaan, dan pangsa
pasar. Audit TI terbentuk seiring dengan pesatnya teknologi informasi. Dimana peran
komputer dalam proses auditing sangat penting.
Bab ini mempelajari mengenai resiko, pengawasan dan uji kontrol yang berhubungan
dengan tata kelola teknologi informasi. Pertama, bab ini menyajikan eksposur yang dapat
timbul dari dalam fungsi penataan yang disesuaikan. Kemudian, bab ini meninjau
ancaman dan kontrol terhadap pusat komputer yang mana termasuk didalamnya
melindunginya dari kerusakan dan kehancuran dari bencana alam, kebakaran, suhu dan
kelembapan. Bab ini kemudian menyajikan elemen kunci dari perencanaan
penanggulangan bencana, termasuk menyediakan situs cadangan kedua, identifikasi
aplikasi penting, menampilkan cadangan dan prosedur penyimpanan situs mati, membuat
sebuah tim penanggulangan bencana dan menguji perencanaan. Sesi akhir bab ini
menyajikan isu mengenai penambahan alih daya teknologi informasi.

2
 INFORMATION TECHNOLOGY (IT) GOVERNANCE

Tata kelola teknologi informasi (TI) adalah bagian tata kelola perusahaan yang
relatif baru yang berfokus pada manajemen dan penilaian stretegis sumber daya.
Information Technology (IT) governance merupakan suatu komitmen, kesadaran, dan
proses pengendalian manajemen dalam suatu organisasi terhadap sebuah sumber daya
tekonologi atau sistem informasi yang mencakup mulai dari sumber daya komputer hingga
teknologi informasi dan jaringan LAN atau internet Tata kelola TI modern, bagaimanapun,
mengikuti filosofi bahwa semua pemangku kepentingan perusahaan, termasuk dewan
direksi, manajemen puncak, dan pengguna departemen (yaitu, akuntansi dan keuangan)
menjadi peserta aktif dalam keputusan TI kunci. Tujuan utama dalam Information
Technology Governance yaitu :
a. Mengurangi Risiko
b. Memastikan bahwa dalam setiap investasi sumber daya TI dapat menambah nilai bagi
sebuah perusahaan.

IT Governance Controls
Meskipun semua masalah tata kelola TI penting bagi informasi, tidak semuanya
termasuk masalah pengendalian internal di bawah SOX yang berpotensi berdampak pada
proses pelaporan keuangan. Dalam bab ini, kami mempertimbangkan 3 masalah tata
kelola TI yang ditangani oleh SOX dan kerangka kerja pengendalian internal COSO, yaitu:
1. Struktur organisasi fungsi TI
2. Operasi pusat komputer
3. Perencanaan pemulihan bencana
Diskusi tentang masing-masing masalah tata kelola ini dimulai dengan penjelasan
tentang sifat risiko dan deskripsi kontrol yang diperlukan untuk mengurangi risiko.
Kemudian, tujuan audit disajikan, yang menetapkan apa yang perlu diverifikasi mengenai
fungsi kontrol yang ada. Akhirnya, contoh tes kontrol ditawarkan yang menggambarkan
bagaimana auditor dapat mengumpulkan bukti untuk memenuhi tujuan audit. Tes ini dapat
dilakukan oleh auditor eksternal sebagai bagian dari layanan bukti mereka atau oleh
auditor internal (atau jasa penasihat profesional) yang memberikan bukti kepatuhan
manajemen dengan SOX. Dalam hal ini, kami tidak membuat perbedaan antara dua jenis
layanan.

3
Structur Of Information Technology Function
Suatu organisasi dalam fungsi IT menggunakan implikasi dalam hal sifat dan
efektivitas pengendalian internal. Model Struktur IT yaitu:
a. Centralized Data Processing
Adalah sebuah pemprosesan data yang dilakukan oleh satu atau lebih komputer besar
yang ditempatkan pada situs pusat yang melayani pengguna di seluruh organisasi.
Selain itu terdapat keuntungan dalam penerapan CDP salah satunya yaitu adanya
penghematan biaya dalam peralatan dan personil, karena peralatan dan personil yang
digunakan relatif sedikit. Namun penggunaan CDP juga memiliki kekurangan salah
satunya yaitu timbul kesan bahwa pemilik data merasa kehilangan hak memiliki data
yang diperlukan untuk penyelenggaraan fungsinya karena jika diperlukan harus
meminta pada pusat data.

4
 Administrasi Database
Perusahaan yang dikelola secara terpusat memelihara sumber daya data mereka di
lokasi pusat yang dibagikan oleh semua pengguna akhir. Dalam pengaturan data bersama
ini, grup independen yang dipimpin oleh administrator basis data (DBA) bertanggung
jawab atas keamanan dan integritas database.

Pemrosesan Data
Pengolahan data kelompok manajer sumber daya menggunakan komputer untuk
melakukan pengolahan transaksi sehari-hari.Beberapa fungsi yang digunakan oleh
organisasi adalah sebagai berikut: konversi data, operasi komputer dan perpustakaan
data.
1) Konversi data
Fungsi konversi data mendapatkan data yang bersumber dari hard-copy dokumen ke
komputer masukan. Sebagai contoh, konversi data dapat melibatkan catatan order
penjualan ke dalam aplikasi order penjualan dalam sistem modern, atau mentranskrip data
ke dalam media magnetik (pita atau disk) cocok untuk pemrosesan dalam warisan jenis
sistem komputer.
2) Operasi komputer
File elektronik yang dihasilkan dalam konversi data kemudian diproses oleh pusat
komputer, yang dikelola oleh kelompok operasi komputer. Akuntansi aplikasi biasanya

5
 dijalankan sesuai dengan jadwal yang ketat yang dikendalikan oleh sistem operasi
komputer pusat.
3) Perpustakaan data.
Perpustakaan data adalah sebuah ruangan yang bersebelahan dengan pusat komputer
yang menyediakan brankas strorage untuk file off-line data. File-file tersebut bisa backup
atau file data saat ini. Misalnya, Perpustakaan data dapat digunakan untuk menyimpan
data cadangan pada DVD, CD-ROM, kaset, atau lain penyimpanan yang membagi. Itu
juga dapat digunakan untuk menyimpan file data operasional saat ini pada pita magnetik
dan removable disk paket. Selain itu, Perpustakaan data yang digunakan untuk
menyimpan asli salinan perangkat lunak komersial dan lisensi mereka untuk disimpan.

Pengembangan Sistem dan Pemeliharaan

Kebutuhan sistem informasi pengguna dipenuhi oleh 2 fungsi terkait, yaitu: sistem
pengembangan dan sistem pemeliharaan. Fungsi tersebut bertanggung jawab untuk
menganalisis kebutuhan pengguna dan merancang sistem baru untuk memenuhi
kebutuhan tersebut. Para peserta dalam kegiatan pembangunan sistem termasuk
profesional sistem, pengguna akhir, dan stakeholder.
Sistem profesional termasuk sistem analis, database desainer, dan pemrogram
yang merancang dan membangun sistem. Profesional sistem mengumpulkan fakta-fakta
tentang masalah pengguna, menganalisis fakta, dan merumuskan solusi. Hasil dari usaha
mereka adalah sistem informasi yang baru.
Pengguna akhir adalah orang-orang untuk siapa sistem tersebut dibangun. Mereka
adalah manajer yang menerima laporan dari sistem dan personil operasi yang bekerja
secara langsung dengan sistem sebagai bagian dari tanggung jawab mereka setiap
harinya.
Pemangku kepentingan individu di dalam atau di luar perusahaan yang memiliki
minat dalam sistem, tetapi tidak pengguna akhir. Termasuk akuntan, internal auditor,
auditor eksternal, dan lainnya yang mengawasi pengembangan sistem.
Setelah sistem baru telah dirancang dan dilaksanakan, kelompok pemeliharaan
sistem bertanggung jawab menjaganya agar tetap aktif dengan kebutuhan pengguna.
Pemeliharaan mengacu pada membuat perubahan terhadap logika program untuk
mengakomodasi perubahan dalam kebutuhan pengguna dari waktu ke waktu.Selama

6
sistem hidup (sering beberapa tahun), sebanyak 80% atau 90% dari total biaya yang
mungkin timbul melalui kegiatan pemeliharaan.
b. Segregation of Incompatible IT Functions (Pemisahan Fungsi TI yang tidak serasi)
Secara khusus, tugas operasional harus terpisah untuk :
1. Transaksi otorisasi terpisah dari pengolahan transaksi
2. Pencatatan yang terpisah dari penitipan fisik asset
3. Membagi tugas-tugas pengolahan transaksi antar individu sehingga risiko
kecurangan akan dapat diminimalisir.
Lingkungan TI cenderung mengkonsolidasikan kegiatan. Satu aplikasi dapat
mengotorisasi, memproses, dan mencatat semua aspek transaksi. Dengan demikian,
fokus kontrol segregasi bergeser dari tingkat operasional (tugas pemrosesan transaksi
yang sekarang dilakukan komputer) ke bagan organisasi tingkat lebih tinggi.

c. Model Terdistribusi
Selama bertahun-tahun, ekonomi skala menyukai komputer besar dan kuat dan
pemrosesan terpusat. Namun saat ini, sistem kecil, bertenaga, dan murah telah
mengubah gambar ini secara dramatis. Alternatif model terpusat adalah konsep
pengolahan data terdistribusi. Topik DDP cukup luas, menyentuh topik terkait seperti
komputasi pengguna akhir, perangkat lunak komersial, jaringan, dan otomasi kantor.
Secara sederhana, DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI kecil yang
berada di bawah kendali pengguna akhir. Unit TI dapat didistribusikan sesuai dengan
fungsi bisnis, lokasi geografis, atau keduanya. Semua atau fungsi TI yang ditunjukkan
pada gambar 2.2 dapat didistribusikan. Tingkat penyebarannya akan bervariasi tergantung
pada philoshopy dan tujuan manajemen organisasi. Gambar 2.4 menyajikan dua alternatif
pendekatan DPP
Alternatif A sebenarnya adalah varian dari model terpusat; Perbedaannya adalah
bahwa terminal (atau mikrokomputer) didistribusikan ke pengguna akhir untuk menangani
input dan output. Ini menghilangkan kebutuhan akan kelompok konversi data terpusat,
karena pengguna sekarang melakukan tugas demikian. Namun, di bawah model ini,
pengembangan sistem, dan operasi komputer dan administrasi basis data tetap terpusat.

7
 Alternatif B adalah keberangkatan yang signifikan dari model terpusat.
Alternatif ini mendistribusikan semua layanan komputer kepada pengguna akhir,
dimana beroperasi sebagai unit mandiri. Hasilnya adalah penghapusan fungsi TI
pusat dari struktur organisasi. Konektivitas ini mewakili pengaturan jaringan yang
memungkinkan komunikasi dan transfer data antar unit.
Risiko yang berkaitan dengan DDP
a. Ketidakefisienan Penggunaan Sumber Daya
Terdapat beberapa risiko yang terkait dengan penggunaan sumber daya organisasi
yang tidak efisien, antara lain:
1. Terdapat resiko terjadinya kesalahan manajemen atas sumber daya TI di
keseluruhan organisasi oleh pengguna akhir. Layanan TI seperti operasi
computer, pemograman, konversi data dan manajemen basis data memenuhi
ambang ini.
2. DPP dapat meningkatkan risiko inefisiensi operasional karena adanya tugas
berlebihan yang dilakukan dalam tingkat pengguna akhir. Misalnya, program
aplikasi yang dibuat oleh satu pengguna, yang bisa digunakan dengan sedikit atau

8
 tanpa perubahan oleh pihak lain, akan didesain kembali dari awal daripada
digunakan bersama. Demikian juga, data yang umum bagi banyak pengguna
mungkin dibuat kembali, hingga menghasilkan tingkat redundansi data yang tinggi.
Keadaan ini berimplikasi pada akurasi data dan konsistensi.
3. Terdapat risiko perangkat keras dan lunak yang tidak sesuai satu sama lain,
terutama di tingkat pengguna akhir. Mendistribusikan tanggung jawab pembelian
piranti keras dan lunak ke para pengguna akhir dapat menghasilkan keputusan
yang tidak terkoodinasi dan tidak jelas. Misalnya para pembuat keputusan dalam
unit-unit perusahaan yang berbeda dan bekerja secara independen bisa saja
menggabungkan beberapa paket system operasi, platform teknologi, spreadsheet,
pengolah kata dan paket database yang tidak kompatibel satu sama lain.
Perangkat keras dan perangkat lunak yang tidak kompatibel dapat menurunkan
dan mengganggu konektivitas antar unit, menyebabkan hilangnya transaksi dan
kemungkinan penghilangan/peniadaan jejak audit.
b. Penghancuran Jejak Audit
Auditor menggunakan jejak audit untuk melacak transaksi keuangan tertentu dari
sumber dokumen yang mencatat kejadian tersebut, melalui jurnal, buku besar
pembantu dan akun buku besar. Dalam sistem DDP, jejak audit terdiri dari satu set file
transaksi digital yang merupakan file yang berada sebagian atau seluruhnya pada
komputer pengguna akhir. Apabila pengguna akhir tidak sengaja menghapus jejak
audit, maka jejak audit tersebut bisa rusak dan tidak dapat dipulihkan kembali. Selain
itu jika pengguna akhir tidak sengaja memasukkan beberapa transaksi yang salah ke
dalam file jejak audit, maka jejak audit bisa rusak juga.

c. Pemisahan tugas yang tidak memadai

Distribusi layanan TI kepada pengguna dapat menghasilkan penciptaan unit
independen kecil yang tidak mengizinkan pemisahan fungsi yang tidak sesuai dengan
yang diinginkan. Misalnya, dalam satu unit orang yang sama dapat menulis program
aplikasi, melakukan pemeliharaan program, memasukkan data transaksi ke komputer,
dan mengoperasikan peralatan komputer. Kondisi seperti itu akan menjadi
pelanggaran pengendalian internal yang mendasar.

9
d. Mempekerjakan profesional yang berkualitas
Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI untuk
mengevaluasi kualifikasi teknis dan pengalaman kandidat yang relevan yang melamar
untuk posisi profesional TI. Sehingga risiko kesalahan pemrograman dan kegagalan
sistem meningkat secara langsung dengan tingkat ketidakmampuan karyawan.

e. Kurangnya standar.
Karena adanya distribusi tanggung jawab di lingkungan DDP, standar untuk
mengembangkan dan mendokumentasikan sistem, pemilihan bahasa pemrograman,
pengadaan perangkat keras dan perangkat lunak, dan mengevaluasi kinerja mungkin
jarang diterapkan atau bahkan tidak ada. Penentang DDP berpendapat bahwa risiko
yang terkait dengan desain dan pengoperasian sistem DDP dapat ditoleransi jika
standar tersebut diterapkan secara konsisten.
Keuntungan dari DDP
a. Pengurangan Biaya
Selama bertahun-tahun, mencapai skala ekonomis adalah pembenaran utama untuk
pendekatan pemrosesan data terpusat. Namun, overhead yang terkait dengan
menjalankan sistem seperti itu, dapat mengurangi keuntungan dari kekuatan pemrosesan
mentahnya. Dengan demikian, bagi banyak pengguna, sistem terpusat besar mewakili
pembunuhan berlebihan yang mahal sehingga mereka harus melarikan diri.
Mikrokomputer dan minikomputer yang kuat dan murah yang dapat melakukan
fungsi-fungsi khusus telah mengubah ekonomi pemrosesan data secara dramatis. Selain
itu, biaya unit penyimpanan data, tidak lagi menjadi pertimbangan utama. Selain itu,
pindah ke DDP telah mengurangi biaya di dua bidang lain: (1) data dapat diedit dan
dimasukkan oleh pengguna akhir (2) kompleksitas aplikasi dapat dikurangi, yang pada
gilirannya mengurangi biaya pengembangan dan pemeliharaan sistem.
b. Peningkatan Tanggung Jawab Pengendalian Biaya
Manajer pengguna akhir memikul tanggung jawab atas keberhasilan finansial operasi
mereka. Ketika manajer dihalangi untuk membuat keputusan yang diperlukan untuk
mencapai tujuan mereka, kinerja mereka dapat dipengaruhi secara negatif. Manajemen
yang kurang agresif dan kurang efektif dapat berkembang.
Para pendukung DDP berpendapat bahwa manfaat dari sikap manajemen yang
lebih baik lebih besar daripada biaya tambahan yang dikeluarkan untuk mendistribusikan

10
sumber daya ini. Mereka berpendapat bahwa jika kemampuan TI memang penting untuk
keberhasilan operasi bisnis, maka manajemen harus diberi kendali atas sumber daya ini.
c. Peningkatan Kepuasan Pengguna
Pendukung DDP mengklaim bahwa sistem distribusi kepada pengguna akhir
meningkatkan tiga bidang kebutuhan yang terlalu sering tidak terpenuhi dalam model
terpusat: (1) pengguna ingin mengendalikan sumber daya yang mempengaruhi
profitabilitas mereka; (2) pengguna ingin profesional sistem (analis, programmer, dan
operator komputer) responsif terhadap situasi spesifik mereka; dan (3) pengguna ingin
menjadi lebih aktif terlibat dalam mengembangkan dan menerapkan sistem mereka
sendiri.

d. Fleksibilitas Cadangan
Argumen terakhir yang mendukung DDP adalah kemampuan untuk membuat
cadangan fasilitas komputasi untuk melindungi terhadap potensi bencana seperti
kebakaran, banjir, sabotase, dan gempa bumi. Satu-satunya cara untuk membuat
cadangan situs komputer pusat terhadap bencana seperti itu adalah dengan menyediakan
fasilitas komputer kedua. Model terdistribusi menawarkan fleksibilitas organisasi untuk
menyediakan cadangan. Jika bencana menghancurkan satu situs, situs lain dapat
menggunakan kapasitas berlebih mereka untuk memproses transaksi situs yang hancur.
Biasanya, pengaturan ini memerlukan koordinasi penutupan antara manajer pengguna
akhir untuk memastikan bahwa mereka tidak mengimplementasikan perangkat keras dan
perangkat lunak yang tidak kompatibel.

Pusat Komputer
Para akuntan secara rutin memeriksa lingkungan fisik pusat komputer sebagai bagian
dari audit tahunan mereka. Tujuan dari bagian ini adalah untuk menyajikan risiko pusat
komputer dan kontrol yang membantu mengurangi risiko dan menciptakan lingkungan
yang aman.
a. Lokasi Fisik
Lokasi fisik pusat komputer secara langsung memengaruhi risiko kehancuran
akibat bencana alam atau buatan manusia. Sedapat mungkin, pusat komputer harus
jauh dari bahaya buatan manusia dan alam, seperti pabrik pemrosesan, pipa gas dan
air, bandara, daerah-daerah dengan tingkat kejahatan tinggi, dataran banjir, dan

11
 kesalahan geologis. Pusat harus jauh dari lalu lintas normal, seperti lantai atas sebuah
gedung atau di gedung terpisah yang berdiri sendiri. Lokasi komputer di gedung
bawah tanah meningkatkan risiko banjir.
b. Konstruksi
Idealnya, pusat komputer harus ditempatkan di gedung bertingkat satu dengan
konstruksi yang kokoh dengan akses terkontrol. Saluran utilitas (listrik dan telepon)
harus di bawah tanah. Jendela bangunan tidak boleh terbuka dan sistem penyaringan
udara harus ada di tempat yang mampu mengekstraksi serbuk sari, debu, dan debu.
c. Mengakses
Akses ke pusat komputer harus dibatasi untuk operator dan karyawan lain yang
bekerja di sana. Akses harus dikontrol oleh keypad atau kartu gesek. Untuk mencapai
tingkat keamanan yang lebih tinggi, akses harus dipantau oleh kamera sirkuit tertutup
dan sistem perekaman video. Pusat komputer juga harus menggunakan log masuk
untuk programmer dan analis yang membutuhkan akses untuk memperbaiki kesalahan
program. Pusat komputer harus menyimpan catatan akurat dari semua lalu lintas
tersebut.
d. AC
Fungsi komputer terbaik di lingkungan ber-AC, dan menyediakan pendingin
ruangan yang memadai sering menjadi persyaratan garansi vendor komputer
beroperasi paling baik pada kisaran suhu 70 sampai 75 derajat fahrenheit dan
kelembaban relatif 50 persen. Risiko kerusakan rangkaian dari listrik statis meningkat
saat kelembaban turun. Sebaliknya, kelembaban tinggi dapat menyebabkan jamur
tumbuh dan produk kertas (seperti dokumen sumber) hingga peralatan membengkak.
e. Kebakaran
Api merupakan ancaman paling serius bagi peralatan komputer perusahaan.
Banyak perusahaan yang menderita kebakaran pusat komputer gulung tikar karena
kehilangan catatan kritis, seperti piutang usaha. Penerapan sistem penanggulangan
kebakaran yang efektif membutuhkan konsultasi dengan spesialis. Namun, beberapa
fitur utama dari sistem seperti ini adalah sebagai berikut:
1. Api keluar harus ditandai dengan jelas dan diterangi selama kebakaran.
2. Pemadam api manual harus ditempatkan pada lokasi yang strategis.

12
 3. Alarm otomatis dan manual harus ditempatkan di lokasi strategis di sekitar
instalasi. Alarm ini harus dihubungkan ke stasiun pemadam kebakaran yang
mudah dioperasikan.
4. Harus ada sistem pemadam kebakaran otomatis yang mengeluarkan jenis
penekan yang sesuai untuk lokasi.
Bangunan harus konstruksi yang bagus untuk menahan kerusakan air yang
disebabkan oleh peralatan pemadam kebakaran.
DISASTER RECOVERY PLANNING
Disaster recovery plan merupakan suatu proses atau kemampuan dari organisasi
untuk menanggapi bencana atau gangguan dalam pelayanan melalui implementasi
rencana pemulihan bencana untuk menstabilkan dan memulihkan fungsi kritis organisasi.
Rencana ini dibuat untuk membantu mengembalikan proses bisnis dari perusahaan serta
mengurangi dampak bila terjadi bencana yang mengakibatkan kerusakan atau kehilangan
data elektronik yang mendukung proses bisnis perusahaan. Disaster rocovery plan terdiri
dari empat aktivitas dasar, yaitu :
1. Identify Critical Applications
Usaha pemulihan harus terkonsentrasi pada fitur yang sangat penting agar
perusahaan dapat bertahan dalam waktu pendek. Pada komponen ini, perusahaan
atau organisasi harus menentukan daftar aplikasi penting yang menunjang operasional
perusahaan. Dalam hal ini auditor harus juga mengkaji daftar aplikasi penting untuk
memastikan bahwa daftar tersebut lengkap. Aplikasi yang terlewat dapat
mengakibatkan kegagalan pemulihan. Akan tetapi, hal yang sama juga berlaku untuk
pemulihan aplikasi yang tidak penting. Memasukkan suatu aplikasi ke dalam daftar
aplikasi penting padahal tidak terlalu dibutuhkan untuk mencapai tujuan bertahan
hidup jangka pendek dapat memecah perhatian dari tujuan yang utama selama masa
pemulihan.
2. Create a Disaster Recovery Team
DRP harus dengan jelas mencantumkan nama, alamat, dan nomor telepon darurat
para anggota tim pemulihan dari bencana. Auditor harus memverifikasi bahwa para
anggota tim adalah karyawan yang masih bekerja dan menyadari tanggung jawab
yang diberikan kepada mereka. Para anggota tim haruslah para ahli dalam bidang
masing-masing dan memiliki pekerjaan tertentu yang ditugaskan padanya. Setelah
terjadinya bencana, anggota tim akan mendelegasikan berbagai sub pekerjaan ke

13
 bawahan mereka. Lingkungan yang terbentuk akibat rencana mungkin mengharuskan
dilakukannya pelanggaran atas teknik pengendalian, seperti pemisahan pekerjaan,
pengendalian akses, dan pengawasan.
3. Provide Second-Site backup
Bahan yang penting dalam sebuah DRP adalah rencana tersebut memungkinkan
adanya fasilitas pemrosesan data duplikat setelah terjadi suatu bencana. Di antara
berbagai pilihan yang tersedia adalah hot site (pusat operasi pemulihan), cold site
(ruang kosong), perjanjian silang yang saling menguntungkan, cadangan yang
disediakan secara internal, dan lain-lainnya. Disini, seorang auditor harus
mengevaluasi kecukupan pengaturan lokasi cadangan.
4. Perencanaan Pemulihan Bencana
Masa pasca bencana bukanlah waktu yang ideal untuk menegosiasikan hak properti.
Karena itu, sebelum memasuki pengaturan ROC, manajemen harus
mempertimbangkan potensi masalah pengelompokan keanggotaan saat ini.
a. Cadangan yang disediakan secara internal – Organisasi yang lebih besar dengan
banyak pusat pemrosesan data sering kali lebih mementingkan kemandirian yang
memberikan kecurangan kapasitas berlebih internal.Prosedur pencadangan dan
penyimpanan luar situs. Semua file data, aplikasi, dokumen, dan persediaan yang
diperlukan untuk melakukan fungsi kritis harus secara otomatis dicadangkan dan
disimpan di luar lokasi situs yang aman.
b. Backup sistem operasi – Jika perusahaan menggunakan cold site atau metode
cadangan situs lain yang tidak menyertakan sistem operasi yang kompatibel,
prosedur untuk mendapatkan versi sistem operasi (OS) saat ini harus ditentukan
secara jelas.
c. Aplikasi cadangan – Untuk aplikasi pengembangan lokal, prosedur pencadangan
harus menjadi langkah integral dalam pengembangan sistem dan proses
perubahan program, yang akan dibahas secara terperinci bab selanjutnya.
d. Cadangkan file data – Database harus disalin setiap hari ke media berkecepatan
tinggi seperti CD/DVD dan diamankan di luar lokasi.
e. Dokumentasi cadangan – Untuk aplikasi kritis harus dicadangkan dan disimpan
bersama dengan aplikasi. Cadangan dokumentasi dapat disederhanakan dan
dibuat lebih efisien melalui penggunaan alat dokumentasi CASE

14
 f. Cadangan persediaan dan dokumen sumber – Organisasi harus membuat
inventaris cadangan persediaan dan sumber dokumen yang digunakan dalam
memproses transaksi kritis. Contoh: memeriksa stok, faktur, pesanan pembelian,
dan formulir tujuan dan apa pun yang tidak dapat diperoleh dengan segera.
Menguji DRP – Tes DRP penting dan harus dilakukan secara berkala. Untuk
mengukur kesiapan personel dan mengidentifikasi kelalaian atau hambatan dalam
rencana.
Tujuan Audit
Auditor harus memeriksa manajemen DRP yang memadai dan layak untuk
berurusan dengan masalah yang bisa menghilangkan pengorganisasian dalam
menghitung sumber daya .

Prosedur Audit
Dalam memeriksa manajemen DRP adalah solusi yang realistis untuk berurusan
dengan masala, tes berikut yang dapat dilakukan.
a) Cadangan Situs. Auditor harus mengevaluasi kecukupan dalam pengaturan situs
backup. ketidak cocokan sistem dan sifat manusia yang keduanya sangat menurunkan
keefektifan yang saling menguntungkan. Auditor harus skpetis terhadap pengaturan
yang seperti itu untuk dua alasan. Pertama, kecanggihan dari sistem komputer
mungkin sulit untuk menemukan partner yang memiliki potensi cocok. Kedua, sangat
menegaskan tidak terjadi kelebihan kapasitas untuk mendukung saat telah terjadi
masalah pada saat bekerja.
Lebih layak tetapi opsinya mahal adalah tempat yang kosong dan pusat operasi
pemulihan. Ini untuk diperiksa dengan cermat, Jika organisasi klien menggunakan
metode empty shell, maka auditor butuh memeriksa kevalidan kontrak dengan penjual
hardware untuk menjamin pengiriman hardware komputer yang dibutuhkan dengan
meminimalisir keterlambatan jika terjadinya bencana. Jika klien dari member ROC,
auditor harus prihatin tentang penomoran member ROC dan penyebaran geografis
mereka. Bencana yang meluas mungkin membuat penerima tidak puas pada fasilitas
ROC.
b) Daftar Aplikasi yang Kritis. auditor harus mereview daftar aplikasi penting untuk
memastikan keberhasilannya. Kehilangan aplikasi dapat menghasilkan kegagalan
dalam pemulihan..

15
c) Cadangan Perangkat Lunak. Auditor harus memastikan copy dari aplikasi yang
penting dan sistem operasi situs penyimpanan. Auditor juga harus memastikan
jalannya aplikasi situs penyimpanan dengan membandingkan nomer versinya dan
penggunaan aplikasi yang sebenarnnya.
d) Cadangan Data. Auditor harus memastikan data file yang penting terbackup sesuai
dengan DRP.
e) Cadangan persediaan, Dokumen, dan Dokumentasi. Sitem dokumentasi,
persediaan, dan dokumen tentang sumber daya butuh proses transaksi yang penting
harus didukung dan berada disitus yang aman. Auditor harus memastikan tipe dan
kuantitas dari spesifikasi item di dalam DRP seperti cek stok, persediaan, order
pembelian, dan transaksi yang penting diamankan di tempat yang aman.
f) Tim Penanggulangan Bencana. DRP harus mendaftar dengan jelas nama, alamat,
nomer telepon di anggota tim penanggulangan bencana. Auditor harus memastikan
yang termasuk dalam anggota karyawan saat ini dan sadar untuk diberi tanggung
jawab.

Mengalih dayakan Fungsi TI

Outsourcing Fungsi TI
Biaya, resiko, dan tanggung jawab asosiasi dengan memelihara fungsi IT
perusahaan sangat signifikan. Banyak eksekutif memilih outsourching fungsi IT
mereka terhadap vendor pihak ketiga yang mengambil alih tanggung jawab
manjajemen dari IT asset dan staf dan untuk pengiriman servis IT, seperti entri data,
operasi data center, pengembangan aplikasi, pemeliharaan aplikasi, dan jaringan
manajemen. Dengan memindahkan ke kinerja IT maka akan mampu membuat biaya
tenaga kerja yang rendah dan atau melalui skala ekonomi (dengan menggabungkan
pekerjaan beberapa klien), vendor dapat melakukan fungsi outsourcing lebih murah
daripada perusahaan klien, bisa sebaliknya. Penghematan biaya yang dihasilkan
kemudian diteruskan ke organisasi klien. Selain itu, banyak pengaturan outsourcing IT
melibatkan penjualan aset IT perusahaan.
Logika yang mendasari outsurcing IT mengikuti dari teori kompetensi inti, yang
mana sebuah organisasi harus fokus secara eklusif pada kompetensi inti bisnisnya,
sementara mengajak vendor outsourcing untuk secara efisien mengelola area non inti
seperti fungsi IT.

16
 Aset komoditas TI tidak unik untuk organisasi tertentu dan dengan demikian
diperoleh dengan mudah di pasar. Termasuk manajemen jaringan seperti operasi
sistem, pemeliharaan server, dan fungsi meja bantuan. Aset IT spesifik, sebaliknya,
unik untuk organisasi dan mendukung tujuan strategisnya. Karena sifatnya yang
istimewa, aset tertentu memiliki nilai yang kecil di luar penggunaan aset ini. Aset
tersebut dapat berwujud (peralatan komputer), intelektual (program komputer) atau
manusia.
Teori Transaction Cost Economics (TCE) bertentangan dengan sekolah
kompetensi inti dengan menyarankan bahwa perusahaan harus menyimpan aset TI
khusus non-inti . Karena sifatnya yang esoteris, aset tertentu tidak dapat diganti
dengan mudah begitu mereka menyerah dalam pengaturan outsourcing. Oleh karena
itu, jika organisasi harus memutuskan untuk membatalkan kontrak outsourcingdengan
vendor, mungkin tidak dapat kembali ke kondisi-nya. Disamping itu, teori TCE
mendukung outsourcing aset komoditas, yang mudah diganti atau diperoleh dari
vendor alternatif.
Secara alami, persepsi CEO tentang apa yang merupakan komoditas, aset TI,
memainkan peran penting dalam dedikasi outsourcing TI, sering kali ini berkaitan
dengan masalah definisi dan interprestasi.

RISIKO YANG MELEKAT PADA IT OUTSOURCING

Beberapa masalah yang terdokumentasi dengan baik berkaitan dengan IT
Outsourcing adalah:
1. Kegagalan untuk melakukan. Implikasi negatif dari ketergantungan tersebut
diilustrasikan dalam masalah keuangan yang menjangkiti vendor outsourcing besar,
Electronics Data System Corp (EDS). Vendor yang mengalami masalah keuangan dan
hukum yang serius mengancam kelangsungan hidup klien mereka juga.
2. Eksploitasi vendor. Pengalihdayaan TI berskala besar melibatkan pemindahan ke
"aset khusus" vendor, seperti desain, pengembangan, dan pemeliharaan aplikasi
bisnis unik yang sangat penting bagi kelangsungan hidup organisasi. Ketergantungan
ini mengancam fleksibilitas, kelincahan, dan daya saing jangka panjang klien dan
mengakibatkan ketergantungan pada vendor yang lebih besar.

17
3. Biaya outsourcing melebihi manfaat. Salah satu alasan untuk ini adalah bahwa klien
outsourcing sering gagal mengantisipasi biaya pemilihan vendor, kontrak, dan transisi
operasi TI ke vendor.
4. Pengurangan Keamanan. Informasi yang dialihdayakan ke vendor IT lepas pantai
menimbulkan pertanyaan unik dan serius mengenai kontrol internal dan perlindungan
data pribadi yang sensitif.
5. Hilangnya keuntungan strategis. Outsourcing TI dapat mempengaruhi ketidaksesuaian
antara perencanaan strategis TI perusahaan dan fungsi perencanaan bisnisnya.
Organisasi yang menggunakan TI secara strategis harus menyelaraskan strategi
bisnis dan strategi TI atau menjalankan risiko penurunan kinerja bisnis.

IMPLIKASI AUDIT DARI IT OUTSOURCING

Manajemen dapat mengalihdayakan fungsi TI organisasinya, tetapi tidak dapat
mengalihdayakan tanggung jawab manajemennya di bawah SOX untuk memastikan
kontrol internal TI yang memadai. PCAOB secara khusus menyatakan dalam Standar
Audit No. 2, "Penggunaan organisasi layanan tidak mengurangi tanggung jawab
manajemen untuk mempertahankan kontrol internal yang efektif atas pelaporan keuangan.
Sebaliknya, manajemen pengguna harus mengevaluasi kontrol di organisasi layanan,
serta kontrol terkait di perusahaan pengguna, ketika membuat penilaian tentang kontrol
internal atas pelaporan keuangan. Oleh karena itu, jika perusahaan yang melakukan audit
mengalihkan fungsi IT-nya ke vendor yang memproses transaksinya dengan data kunci,
atau melakukan layanan signifikan lainnya, auditor perlu melakukan evaluasi kontrol
organisasi vendor atau secara alternatif mendapatkan laporan auditor SAS No. 70 dari
organisasi vendor.
Pernyataan tentang Standar Audit No. 70 (SAS 70) adalah standar definitif dimana
auditor organisasi klien dapat memperoleh pengetahuan yang mengendalikan pada ketiga
vendor pihak memadai untuk mencegah atau mendeteksi erosi material yang dapat
berdampak pada keuangan klien pernyataan Laporan SAS 70, yang disiapkan oleh auditor
vendor, pada pengujian terhadap kecukupan kontrol internal vendor. Ini adalah sarana
yang digunakan oleh vendor outsourcing untuk mendapatkan laporan audit tunggal yang
dapat digunakan oleh audiens klien dan dengan demikian menghalangi perlunya setiap

18
 KESIMPULAN

Teknologi Informasi saat ini sangat dibutuhkan oleh berbagai perusahaan. Hal
tersebut terjadi karena dapat meningkatkan daya saing serta menjadi nilai tambah bagi
suatu perusahaan. Selain itu terdapat beberapa alasan penting mengapa dalam audit TI
perlu dilakukan, salah satunya yaitu dapat mengurangi kerugian akibat kehilangan data
serta adanya kesalahan dalam proses perhitungan. Audit TI juga menjadi faktor penting
dalam mencapai tujuan dan sasaran perusahaan. Dalam prosedur audit terdapat
perbedaan antara prosedur audit terpusat dan prosedut audit terdistribusi. Kedua cara
pengolahan data tersebut memiliki risiko serta manfaat tersendiri. Untuk pemrosesan data
dengan model terdistribusi memiliki beberapa risiko seperti penggunaan sumber daya
yang tidak efisien, penghancuran jejak audit, pemisahan tugas yang tidak memadai,
mempekerjakan profesional berkualitas, dan kurangnya standar. Akan tetapi pemrosesan
data terdistribusi juga memiliki keuntungan yaitu adanya pengurangan biaya, peningkatan
tanggung jawab pengendalian biaya, peningkatan kepuasan pengguna, serta fleksibilitas
cadangan. Rincian dalam memperoleh bukti audit yang cukup tepat dengan cara
melakukan pengecekan ulang atau melakukan observasi mengenai apakah sudah sesuai
dengan prosedur audit.
Disaster Recovery Plan (DRP) merupakan sebuah usaha dari suatu organisasi
untuk untuk menanggapi bencana maupun gangguan pelayanan dengan cara melakukan
implementasi rencana pemulihan bencana agar fungsi kritis dari organisasi dapat kembali
stabil. Disini auditor berperan untuk memverifikasi bahwa rencana tersebut memadai dan
layak dalam menghadapi bencana yang dapat menghilangkan sumberdaya komputasi.

19
 DAFTAR PUSTAKA

James A. Hall. 2011. Information Technology Auditing and Assurance. Cengage Learning

20