Modern PowerPoint Presentation

AUDIT IT
GOVERNANCE
CONTROL

INFORMATION SYSTEM AUDIT AND CONTROL

PRODI AKUNTANSI FEB UNIMMA
 TATA KELOLA
TEKNOLOGI INFORMASI
• Tata kelola teknologi informasi (TI)
adalah bagian yang relatif baru dari
tata kelola perusahaan yang berfokus
pada manajemen dan penilaian sumber
daya TI strategis.
• Tujuan utama tata kelola TI adalah
untuk mengurangi risiko dan
memastikan bahwa investasi dalam
sumber daya TI menambah nilai
perusahaannya.
 Pertimbang tiga masalah tata kelola TI yang ditangani
oleh SOX dan kerangka kerja pengendalian internal
COSO. Ini adalah:

Struktur organisasi fungsi TI

Operasi pusat komputer

Perencanaan pemulihan bencana

Kontrol Tata Kelola TI

 STRUKTUR FUNGSI
TEKNOLOGI
Semua pemrosesan data dilakukan oleh INFORMASI
satu atau lebih komputer besar yang
ditempatkan di situs pusat yang melayani 1. Pemrosesan Data Terpusat
pengguna di seluruh organisasi.
Fungsi layanan TI biasanya diperlakukan Semua pemrosesan data
sebagai pusat biaya yang biaya dilakukan oleh satu atau lebih
operasinya dibebankan kembali kepada komputer besar yang
pengguna akhir. ditempatkan di situs pusat yang
melayani pengguna di seluruh
organisasi.
Fungsi layanan TI biasanya
diperlakukan sebagai pusat biaya
yang biaya operasinya
dibebankan kembali kepada
pengguna akhir.
 Struktur Layanan TI Terpusat Dan Menunjukkan Area
Layanan Utamanya
Administrasi Database Pengolahan data
Perusahaan yang dikelola secara terpusat Grup pemrosesan data
memelihara sumber daya data mereka di mengelola sumber daya
lokasi pusat yang dibagikan oleh semua komputer yang digunakan
pengguna akhir. Dalam pengaturan data untuk melakukan pemrosesan
bersama ini, grup independen yang transaksi sehari-hari. Ini terdiri
dipimpin oleh administrator basis data dari fungsi organisasi berikut:
(database administrator-DBA) 1. Konversi data.
bertanggung jawab atas keamanan dan 2. Operasi Komputer.
integritas database. 3. Perpustakaan Data.
Pengembangan dan
Pemeliharaan Sistem
1. Pengembangan system. Bertanggung
jawab untuk menganalisis kebutuhan
pengguna dan untuk merancang sistem
baru untuk memenuhi kebutuhan
tersebut. (profesional sistem, pengguna
akhir, dan pemangku kepentingan)
2. Pemeliharaan system. Tanggung
jawab untuk menjaga agar tetap sesuai
dengan kebutuhan pengguna
 Segregasi Fungsi TI yang Tidak Kompatibel
Lingkungan TI cenderung mengkonsolidasikan kegiatan. Satu aplikasi tunggal dapat mengotorisasi, memproses, dan mencatat semua aspek
transaksi. Dengan demikian, fokus kontrol segregasi bergeser dari tingkat operasional (tugas pemrosesan transaksi yang sekarang dilakukan
komputer) ke hubungan organisasi tingkat yang lebih tinggi dalam fungsi layanan computer.

Memisahkan Pengembangan Sistem dari Memisahkan Administrasi Database dari

Operasi Komputer
• Hubungan antara kelompok-kelompok ini
harus sangat formal, dan tanggung jawab
mereka tidak boleh disatukan.
• Profesional pengembangan dan
pemeliharaan sistem harus membuat
(dan memelihara) sistem untuk
pengguna, dan tidak boleh terlibat dalam
memasukkan data, atau menjalankan
aplikasi (mis., Operasi komputer).
• Staf operasi harus menjalankan sistem ini
dan tidak terlibat dalam desainnya.
• Fungsi-fungsi ini secara inheren tidak
kompatibel, dan mengkonsolidasikannya
mengundang kesalahan dan penipuan.
Fungsi Lainnya
• Kontrol organisasi penting lainnya adalah
pemisahan administrator basis data
(DBA) dari fungsi pusat komputer lainnya.
• Fungsi DBA bertanggung jawab untuk
sejumlah tugas penting yang berkaitan
dengan keamanan basis data, termasuk
membuat skema basis data dan
pandangan pengguna, menetapkan
otoritas akses basis data kepada
pengguna, memantau penggunaan basis
data, dan merencanakan perluasan di
masa depan.
 Memisahkan Pengembangan
Sistem Baru dari Pemeliharaan
C++

Fungsi Pengembangan

1. Analisis : menghasilkan desain rinci

2. Pemrograman System : mengkode
JAVA program sesuai dengan spesifikasi
HTML desain

Dua Jenis Masalah Kontrol

1. Dokumentasi yang tidak memadai

PHP 2. Penipuan Program
 Struktur Unggul untuk Pengembangan Sistem

pengembangan sistem
baru Restrukturisasi ini memiliki implikasi yang
bertanggung jawab untuk
secara langsung mengatasi dua masalah
merancang, memprogram, dan
kontrol :
mengimplementasikan proyek
sistem baru 1. standar dokumentasi ditingkatkan karena
kelompok pemeliharaan memerlukan
dokumentasi untuk melakukan tugas
pemeliharaannya
2. menolak akses programmer asli di masa
pemeliharaan sistem depan ke program menghalangi program
tanggung jawab untuk penipuan
pemeliharaan sistem yang sedang
berlangsung jatuh ke kelompok
pemeliharaan sistem
Model Terdistribusi
 Risiko Terkait dengan DDP

Penggunaan Sumber Daya yang

Tidak Efisien
1. Risiko salah kelola sumber daya TI di seluruh organisasi oleh
pengguna akhir
2. DDP dapat meningkatkan risiko ketidakefisienan operasional
3. lingkungan DDP menimbulkan risiko perangkat keras dan lunak
yang tidak kompatibel di antara fungsi pengguna akhir.

Penghancuran Jalur Audit

Jika pengguna akhir secara tidak sengaja menghapus salah satu file,
jejak audit dapat dihancurkan dan tidak dapat dipulihkan.
 Air Conditioning (AC)
Komputer berfungsi paling baik di lingkungan ber-AC, dan menyediakan penyejuk
udara yang memadai. Komputer beroperasi paling baik dalam kisaran suhu 70
hingga 75 derajat Fahrenheit dan kelembaban relatif 50 persen. Kesalahan logika
dapat terjadi pada perangkat keras komputer ketika suhu jauh berbeda dari
JAVA kisaran optimal. Risiko kerusakan sirkuit akibat listrik statis meningkat ketika
kelembaban turun. Sebaliknya, kelembaban tinggi dapat menyebabkan jamur
tumbuh dan menyumbat peralatan.

HTML
Pemadam Api (Fire Suppression)
Penerapan sistem penanggulangan kebakaran yang efektif membutuhkan
C++ konsultasi dengan spesialis dan penerapan keamanan yang baik. Berikut beberapa
fasilitas untuk menanggulangi dan menangani kebakaran
a. Alarm otomatis dan manual harus ditempatkan di lokasi strategis di sekitar
PHP instalasi.
b. Harus ada sistem pemadam api otomatis yang mengeluarkan jenis penekan
yang sesuai untuk lokasi.
c. Alat pemadam api manual harus ditempatkan di lokasi strategis.
d. Bangunan harus dari konstruksi yang kuat untuk menahan kerusakan air yang
disebabkan oleh peralatan pemadam kebakaran.
e. Api harus ditangani dengan cepat dan tepat jika terjadi kebakaran.
 Toleransi kesalahan
kemampuan sistem untuk melanjutkan operasi ketika bagian dari sistem gagal karena
kegagalan perangkat keras, kesalahan program aplikasi, atau kesalahan operator

Pengaturan Berlebihan dari Pasokan Daya Tidak

Independen Disks Terputus
(Redundant Arrays Of
Independent Disks-RAID)
Tujuan Audit

Kontrol keamanan fisik memadai untuk

melindungi organisasi secara wajar dari
paparan fisik.

Cakupan asuransi pada peralatan

memadai untuk memberi kompensasi
pada organisasi atas kerusakan, atau
kerusakan pada, pusat komputernya.
 Tes Konstruksi Fisik.

Tes Sistem Deteksi Kebakaran.

Tes Kontrol Akses

Prosedur
Audit
Tes RAID

Tes Sumber daya tanpa hambatan

Tes untuk Cakupan Asuransi

 PERENCANAAN PEMULIHAN BENCANA

“ Types of disasters

natural
Fire
Flood
Tornado
Sabotage
disasters Human made
Error
Power outages
System
Drive failure
failure
OS Crash/lock

15
 Rencana Pemulihan Bencana
(Disasters Recovery Planning)
Identifikasi aplikasi kritis
Upaya pemulihan harus
berkonsentrasi pada
mengembalikan aplikasi yang
sangat penting bagi kelangsungan
hidup jangka pendek organisasi.
Tugas mengidentifikasi aplikasi
kritis membutuhkan partisipasi aktif
dari departemen pengguna,
akuntan, dan auditor
 Risiko Terkait dengan DDP
Penggunaan Sumber Daya yang Tidak Efisien
Pemisahan tugas yang memadai mungkin tidak dimungkinkan di beberapa lingkungan terdistribusi. Distribusi layanan TI kepada pengguna dapat
menghasilkan penciptaan unit independen kecil yang tidak mengizinkan pemisahan fungsi yang tidak kompatibel yang diinginkan. Misalnya,
dalam satu unit orang yang sama dapat menulis program aplikasi, melakukan pemeliharaan program, memasukkan data transaksi ke dalam
komputer, dan mengoperasikan peralatan komputer. Situasi seperti itu akan menjadi pelanggaran mendasar kontrol internal.

Penghancuran Jalur Audit

Pemisahan Tugas yang tidak memadai

Mempekerjakan Profesional yang Memenuhi Syarat

Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI untuk mengevaluasi kredensial teknis dan pengalaman yang relevan dari
kandidat yang melamar posisi profesional TI. Juga, jika unit organisasi di mana seorang karyawan baru masuk, peluang untuk pertumbuhan
pribadi, pendidikan berkelanjutan, dan promosi mungkin terbatas. Karena alasan ini, manajer mungkin mengalami kesulitan menarik personel yang
berkualifikasi tinggi. Risiko kesalahan pemrograman dan kegagalan sistem meningkat secara langsung dengan tingkat ketidakmampuan karyawan.

Kurangnya Standar
Standar untuk mengembangkan dan mendokumentasikan sistem, memilih bahasa pemrograman, memperoleh perangkat keras dan perangkat
lunak, dan mengevaluasi kinerja dapat diterapkan secara tidak merata atau bahkan tidak ada. Penentang DDP berpendapat bahwa risiko yang
terkait dengan desain dan operasi sistem DDP dibuat ditoleransi hanya jika standar tersebut diterapkan secara konsisten.
 Keuntungan dari DDP
Bagian ini mempertimbangkan potensi keuntungan DDP, termasuk pengurangan biaya,
peningkatan kontrol biaya, peningkatan kepuasan pengguna, dan cadangan.

PeningkatanTan
PeningkatanTan
ggungJawabPe
ggungJawabPen
ngendalianBiay
gendalianBiaya
a

Pengurangan Fleksibilitas
Biaya Cadangan
Keuntungan
dariDDP
 Menerapkan Fungsi TI Perusahaan
Mengontrol Lingkungan DDP Pusat Pengujian Perangkat Lunak
1
dan Perangkat Keras Komersial

DDP membawa nilai prestise terdepan 2 Layanan Pengguna

tertentu yang, selama analisis pro dan
kontra, dapat melampaui
pertimbangan penting mengenai 3 Badan Pengaturan Standar
manfaat ekonomi dan kelayakan
operasional. Demikian, perencanaan
dan implementasi kontrol yang 4 Ulasan Personil
cermat dapat mengurangi beberapa
risiko DDP yang telah dibahas
sebelumnya. Bagian ini meninjau
5
beberapa perbaikan pada model DDP
yang ketat.

19
 Tujuan Audit
Tujuan auditor adalah untuk
memverifikasi bahwa struktur fungsi TI
sedemikian rupa sehingga individu-
individu di bidang yang tidak kompatibel
dipisahkan sesuai dengan tingkat risiko
potensial dan dengan cara yang
mendorong lingkungan kerja. Ini adalah
lingkungan di mana hubungan formal,
bukan kasual, perlu ada antara tugas
yang tidak kompatibel.
Prosedur Audit
Prosedur audit berikut akan berlaku untuk
organisasi dengan fungsi TI terpusat:
• Tinjau dokumentasi yang relevan, termasuk
bagan organisasi saat ini, pernyataan misi, dan
deskripsi pekerjaan untuk fungsi-fungsi utama,
untuk menentukan apakah individu atau
kelompok melakukan fungsi yang tidak
kompatibel.
• Tinjau dokumentasi sistem dan catatan
perawatan untuk contoh aplikasi.
• Pastikan operator komputer tidak memiliki
akses ke detail operasional logika internal
sistem.
• Melalui pengamatan, tentukan bahwa
kebijakan pemisahan sedang dipraktikkan.
Tinjau log akses ruang operasi untuk
menentukan apakah programmer memasuki
fasilitas karena alasan selain kegagalan sistem.
Prosedur audit berikut akan berlaku untuk organisasi
dengan fungsi IT terdistribusi:

• Tinjau bagan organisasi saat ini, pernyataan

misi, dan deskripsi pekerjaan untuk fungsi-
fungsi utama untuk menentukan apakah
individu atau kelompok melakukan tugas
yang tidak sesuai.
• Pastikan kebijakan dan standar perusahaan
untuk desain sistem, dokumentasi, dan
akuisisi perangkat keras dan perangkat lunak
diterbitkan dan disediakan untuk unit TI yang
didistribusikan.
• Pastikan bahwa kontrol kompensasi, seperti
pengawasan dan pemantauan manajemen,
dilakukan ketika pemisahan tugas yang tidak
kompatibel tidak layak secara ekonomi.
• Tinjau dokumentasi sistem untuk
memverifikasi bahwa aplikasi, prosedur, dan
basis data dirancang dan berfungsi sesuai
dengan standar perusahaan.
 PUSAT KOMPUTER
Akuntan secara rutin memeriksa lingkungan fisik pusat komputer sebagai bagian dari audit tahunan
mereka. Tujuan dari bagian ini adalah untuk menyajikan risiko pusat komputer dan kontrol yang
membantu mengurangi risiko dan menciptakan lingkungan yang aman. Berikut ini adalah bidang
paparan potensial yang dapat berdampak pada kualitas informasi, catatan akuntansi, pemrosesan
transaksi, dan efektivitas pengendalian internal lainnya yang lebih konvensional.

• Lokasi Fisik • Kontruksi • Mengakses

The Power of PowerPoint | thepopp.com 22

 Membuat Tim
Pemulihan Bencana
Auditor harus memverifikasi bahwa para
anggota tim adalah karyawan yang masih
aktif bekerja dan menyadari tanggung jawab
yang diberikan kepada mereka.
DRP (Disaster Recovery Plan) harus
dengan jelas mencantumkan nama,
alamat, dan nomor telepon darurat
setiap anggota tim pemulihan bencana.
Para anggota tim haruslah para ahli dalam bidangnya
masing-masing dan memiliki pekerjaan tertentu yang
ditugaskan kepada mereka.
Setelah terjadinya bencana, anggota tim akan
mendelegasikan subtugas ke bawahan mereka.
Lingkungan yang terbentuk akibat rencana
pemulhan bencana mungkin mengharuskan
dilakukannya pelanggaran atas teknik
pengendalian, seperti pemisahan tugas,
pengendalian atau control terhadap akses,
dan pengawasan.
 Menyediakan Cadangan Situs Kedua
Mutual Aid Pact
(Pakta Saling
Membantu)
01 Kesepakatan antara dua atau lebih organisasi
(dengan fasilitas komputer yang kompatibel)
untuk saling membantu dengan kebutuhan
pemrosesan data mereka jika terjadi bencana
Empty Shell
(Shell Kosong) 02 Pengaturan dimana sebuah perusahaan ketika
membeli atau menyewa sebuah gedung,
mereka akan berfungsi sebagai pusat data

03
Recovery Operations
Center
(Pusat Operasi Pemulihan)
Internally Provided Backup
(Cadangan yang Diberikan 04
Secara Internal)
Merupakan pusat data cadangan lengkap yang dibagikan oleh
banyak perusahaan, manajemen harus mempertimbangkan
potensi masalah kepadatan dan pengelompokan geografis
keanggotaan saat ini sebelum ia memasuki pengaturan ROC
Organisasi yang lebih besar dengan banyak pusat pemrosesan
data lebih sering menyukai kemandirian dalam menciptakan
kelebihan kapasitas internal
 Prosedur Pencadangan & Penyimpanan Di Luar Situs

Cadangan Dokumentasi Menguji

Aplikasi Cadangan DRP

File Data Persediaan

Cadangan
Cadangan Cadangan &
Sistem
Operasi Dokumen
Sumber
We Create
Quality Professional
PPT Presentation

TUJUAN AUDIT
Tujuan audit pada fungsi DRP (Disaster Recovery Plan) adalah untuk
memverifikasi bahwa rencana pemulihan bencana oleh manajemen perusahaan
cukup memadai dan layak untuk memenuhi kebutuhan organisasi, serta
implementasinya dapat dilakukan secara praktis untuk menghadapai bencana
yang dapat menghilangkan sumber daya komputasi milik organisasi.
 PROSEDUR AUDIT
CADANGAN SITUS
Auditor harus bersikap skeptis dengan
pengaturan semacam itu karena dua alasan,
yaitu: (1) kecanggihan system computer mungkin
menyulitkan untuk menemukan pasangan
potensial dengan konfigurasi yang kompatibel,
& (2) sebagian besar perusahaan tidak memiliki
kapasitas berlebih yang dibutuhkan untuk
mendukung mitra yang dilanda bencana smabil
tetap memproses pekerjaan mereka sendiri.
PENCADANGAN PERANGKAT CADANGAN DATA
LUNAK
DAFTAR APLIKASI KRITIS
Pada komponen ini, perusahaan atau organisasi
harus menentukan daftar aplikasi penting yang
menunjang berjalannya operasional perusahaan,
sedangkan auditor harus meninjau ulang daftar
apliksi penting tersebut dan memastikan daftar
tersebut sudah lengkap.
PERSEDIAAN CADANGAN, TIM PEMULIHAN BENCANA
DOKUMEN, & DOKUMENTASI
 Software Backup
Sebuah perjanjian perjanjian antara dua atau lebih organisasi(dengan
Saling Membantu Pakta fasilitas komputer yang kompatibel) untuk membantu satu sama lain dalam
melakukan pengolahan data mereka untuk antisipasi bencana.

Shell kosong atau rencana lokasi dingin adalah pengaturan dimana haan
Shell Kosong com membeli atau menyewa
sebuah bangunan yang akan berfungsi sebagai pusat data.

Sebuah pusat operasi pemulihan (ROC) atau situs panas adalah lengkap
Remote Operation data
Center (ROC) center cadangan yang banyak perusahaan berbagi.

Organisasi dengan pusat-pusat pengolahan data yang lebih besar lebih

Internal yang suka menyediakan kelebihan kapasitas internal, untuk mengembangkan
Disediakan perangkat keras & perangkat lunak standar, dan meminimalkan masalah
cutover dalam peristiwa bencana.
 Tujuan Audit

memverifikasi rencana pemulihan bencana sudah memadai dan dapat untuk menangani bencana yang bisa
menghalangi organisasi sumber daya komputasi
• Situs Backup • Persediaan Cadangan Dokumen
• Kritis Daftar Aplikasi • Tim Disaster Recovery
• Cadangan Data
 IT Outsourcing adalah Pengalihan sistem informasi dan fungsi komunikasi, secara keseluruhan
atau sebagian kepada kontraktor pihak ketiga sebagai solusi dari tantangan, masalah, dan
pengeluaran dalam membangun dan menjalankan korposasi perusahaan informasi

Fungsi IT Outsourcing

Implikasi Resiko Inheren

PCAOB secara khusus menyatakan dalam Standar Auditing Vendor Eksploitasi

no 2 : "Penggunaan layanan organisasi tidak mengurangi
tanggung jawab manajemen untuk mempertahankan kontrol
internal yang efektif atas pelaporan keuangan"
Setelah perusahaan klien telah melakukan
divestasi diri dari aset tertentu seperti menjadi
tergantung pada vendor. Vendor dapat
memanfaatkan ketergantungan ini dengan
menaikkan suku layanan ke tingkat selangit

Pernyataan Standar Audit No 70 (SAS 70) adalah standar

definitif dimana auditor organisasi klien dapat Kehilangan Keuntungan Strategis
memperoleh pengetahuan yang mengontrol di vendor pihak IT outsourcing dapat mempengaruhi
ketidaksesuaian antara IT perencanaan strategis
ketiga yang memadai untuk mencegah atau perusahaan dan fungsi perencanaan bisnisnya.
mendeteksi kesalahan material yang dapat mempengaruhi laporan
keuangan klien. SAS 70 laporan, yang
disiapkan oleh auditor vendor, di- tes untuk kecukupan
pengendalian internal vendor.
 KELOMPOK 4

Thank You

KELOMPOK 34