MAKALAH AUDITING IT GOVERNANCE CONTROL

TUGAS MATA KULIAH

AUDITING EDP

Oleh:

1. ZENITHA SORAYA TRI YASTYNDA 180810301030

2. MEDIN SALSABILA WELLYANA P. 180810301089
3. ZACLYN NATANHAEL MUNTHE 180810301150
4. LAILIYA SARI 180810301154
5. ARINI NURHIDAYAH 180810301158

Program Studi Akuntansi

Fakultas Ekonomi dan Bisnis
Universitas Jember
2021
 PENDAHULUAN

Seiring perkembangan zaman, teknologi berkembang dengan pesat menjadikan

berbagai informasi dapat dengan mudah diakses dan didapatkan melalui kecanggihan
teknologi yang tersedia. Teknologi informasi (TI) sangat dibutuhkan dalam segala bidang
karena, ilmu dan teknologi bergerak maju dan berkembang tanpa menimbulkan masalah
dan lebih banyak mendatangkan manfaat dan keuntungan bagi penggunanya. Teknologi
informasi merupakan bagian yang tidak terpisahkan dari suatu perusahaan. Dewasa ini
dalam upaya memenangkan persaingan dalam dunia bisnis, penerapan teknologi
informasi dan komunikasi sangat diperlukan sebagai alat bantu agar organisasi tersebut
dapat lebih maju dan berkembang. Adanya teknologi informasi pada suatu perusahaan
menjadikan manajemen memiliki informasi yang efektif dan dapat mengelola serta
memanfaatkan teknologi menjadi lebih efisien. Teknologi informasi juga mampu
membantu perusahaan dalam mengurangi risiko yang akan terjadi serta dapat menjadi
sarana dalam membantu manajemen pada pengelolaan risiko yang sedang dihadapi. Oleh
karena itu, suatu perusahaan perlu mengetahui pentingnya tata kelola teknologi informasi
yang baik, atau biasa disebut dengan IT Governance. Tata kelola teknologi informasi (IT
Governance) adalah suatu cabang dari tata kelola perusahaan yang terfokus pada sistem
teknologi informasi (TI) serta manajemen kinerja dan risikonya. Teknologi informasi
memiliki peranan penting yang dapat menggantikan peran manusia secara otomatis
terhadap suatu siklus sistem mulai dari input, proses, dan output di dalam melaksanakan
aktivitas pekerjaan serta telah menjadi fasilitator utama bagi kegiatan-kegiatan bisnis yang
memberikan andil besar terhadap perkembangan organisasi. Dalam makalah Auditing IT
Governance Control ini, memberikan beberapa alasan mengapa audit teknologi infornasi
itu perlu dilakukan, antara lain: (1) kerugian akibat kehilangan data; (2) kesalahan dalam
pengambilan keputusan (3) risiko kebocoran data; (4) penyalahgunaan komputer; (5)
kerugian akibat kesalahan proses perhitungan; dan (6) tingginya nilai investasi perangkat
keras dan perangkat lunak komputer serta semakin ketatnya persaingan antar perusahaan
dalam menjalankan bisnisnya yang berbasis teknologi informasi. Jadi, kelangsungan
operasional perusahaan tidak telepas dari peran tata kelola teknologi informasi
perusahaan yang dimiliki dalam internal organisasi. Sehingga, sebuah perusahaan harus
memiliki standar dalam menjalankan prosedur operasional untuk mencapai tujuan yang
memiliki nilai strategis. Hal ini menjadikan bab ini menarik untuk dipelajari.
 PEMBAHASAN

A. TATA KELOLA TEKNOLOGI INFORMASI

Tata kelola teknologi informasi (TI) merupakan subset yang relatif baru dari
tata kelola perusahaan yang berfokus pada pengelolaan dan penilaian
sumber daya TI strategis. Tujuan utama tata kelola TI adalah mengurangi
risiko dan memastikan bahwa investasi sumber daya TI memberi nilai tambah
bagi perusahaan.

Pengendalian Tata Kelola TI

Meskipun semua masalah tata kelola TI penting bagi organisasi, tidak
semuanya merupakan masalah pengendalian internal di bawah SOX yang
berpotensi mempengaruhi proses pelaporan keuangan. Tiga masalah tata
kelola TI yang ditangani oleh SOX dan kerangka pengendalian internal
COSO. Ini adalah:
a. Struktur organisasi fungsi TI
b. Operasi pada pusat komputer
c. Perencanaan pemulihan bencana

Pembahasan mengenai masing-masing masalah tata kelola ini dimulai

dengan penjelasan tentang sifat risiko dan deskripsi kontrol yang diperlukan
untuk mengurangi risiko. Kemudian, tujuan audit disajikan, yang menetapkan
apa yang perlu diverifikasi mengenai fungsi kontrol di tempat.

B. STRUKTUR FUNGSI TEKNOLOGI INFORMASI

Pengolahan Data Terpusat
Di bawah model pengolahan data terpusat, semua pengolahan data
dilakukan oleh satu atau lebih komputer besar, yang ditempatkan di lokasi
utama yang melayani pengguna di seluruh organisasi. Struktur layanan
teknologi informasi terpusat dan menunjukkan area layanan utamanya
sebagai berikut :
a. Administrasi Database
Perusahaan yang dikelola secara terpusat mempertahankan sumber
data mereka di lokasi pusat yang dimiliki oleh semua pengguna
 akhir. Dalam pengaturan data bersama ini, sebuah kelompok
independen yang dipimpin oleh Database Administrator (DBA)
bertanggung jawab atas keamanan dan integritas database.
b. Pengolahan Data
Mengelola sumber daya komputer yang digunakan untuk melakukan
pemrosesan transaksi sehari – hari.
● Data Conversion, memiliki fungsi mentranskripsikan data
transaksi dari dokumen sumber hard copy menjadi input
komputer.
● Computer Operations, yaitu sebuah file elektronik yang
dihasilkan dari data conversion kemudian diproses oleh
komputer pusat, yang dikelola oleh grup operasi komputer.
● Data Library, adalah suatu ruangan yang berdekatan dengan
pusat komputer yang menyediakan penyimpanan yang aman
untuk file data offline. File – file itu bisa berupa backup atau
file data saat ini. Selain itu, data library juga digunakan untuk
menyimpan salinan asli perangkat lunak komersial dan
lisensi mereka untuk penyimpanan.
c. Pengembangan dan Pemeliharaan Sistem
Kebutuhan sistem informasi dalam kegiatan pengembangan sistem
meliputi :
1) Profesional Sistem, mengumpulkan fakta tentang masalah
pengguna, menganalisis fakta, dan merumuskan solusi.
Produk dari usaha mereka adalah sebuah sistem informasi
yang baru.
2) Pengguna Akhir (End Users), mereka adalah manajer yang
menerima laporan dari sistem dan personil operasi yang
bekerja secara langsung dengan sistem tersebut sebagai
bagian dari tanggung jawab harian mereka.
3) Pemangku Kepentingan (Stakeholders), adalah individu di
dalam atau di luar perusahaan yang memiliki kepentingan
dalam sistem, namun bukan pengguna akhir. Mereka
 termasuk akuntan, auditor internal, auditor eksternal, dan
pihak lain yang mengawasi pengembangan sistem.
Begitu sistem baru telah dirancang dan diimplementasikan,
kelompok pemeliharaan sistem bertanggung jawab untuk
mempertahankannya sesuai dengan kebutuhan pengguna.

Pemisahan Fungsi Teknologi Infornasi yang Tidak Kompatibel

Secara khusus, tugas operasional harus dipisahkan menjadi:
1) Memisahkan otorisasi transaksi dari proses transaksi.
2) Memisahkan catatan dari asset custody.
3) Membagi tugas pemrosesan transaksi di antara individu-individu yang
kekurangan kolusi antara dua atau lebih kecurangan individu yang tidak
akan mungkin dilakukan.
Lingkungan teknologi informasi cenderung mengkonsolidasikan aktivitas. Dengan
demikian, fokus kontrol pemisahan bergeser dari tingkat operasional (tugas
pemrosesan transaksi yang dilakukan komputer sekarang) ke hubungan organisasi
tingkat tinggi dalam fungsi layanan komputer.

Memisahkan Pengembangan Sistem dari Operasi Komputer

Pemisahan pengembangan sistem (baik pengembangan dan pemeliharaan sistem
baru) dan kegiatan operasi sangat penting. Pengembangan dan pemeliharaan
sistem harus menciptakan (dan memelihara) sistem bagi pengguna, dan
seharusnya tidak terlibat dalam memasukkan data, atau menjalankan aplikasi.

Memisahkan Administrasi Database dari Fungsi Lain

Kontrol organisasi penting lainnya adalah pemisahan Database Administrator
(DBA) dari fungsi pusat komputer lainnya. Fungsi DBA bertanggung jawab atas
sejumlah tugas penting yang berkaitan dengan keamanan database, termasuk
membuat skema database dan tampilan pengguna, menetapkan otoritas akses
database kepada pengguna, memantau penggunaan database, dan
merencanakan perluasan di masa depan.

Memisahkan Pegembangan Sistem Baru dari Pemeliharaan

Beberapa perusahaan mengatur fungsi pengembangan sistem in-house mereka
menjadi dua kelompok: analisis dan pemrograman sistem. Kelompok analisis
sistem bekerja dengan pengguna untuk menghasilkan desain terperinci dari sistem
baru ini. Dengan pendekatan ini, programer yang mengkode program asli juga
memelihara sistem selama tahap pemeliharaan siklus hidup pengembangan
sistem. Meskipun pengaturan yang sama, pendekatan ini dikaitkan dengan dua
jenis masalah kontrol: dokumentasi yang tidak memadai (berkualitas buruk) dan
potensi pada kecurangan program (apabila programmer asli dari sebuah sistem
juga diberi tanggung jawab pemeliharaan, potensi untuk melakukan kecurangan
(fraud) akan meningkat). Programmer perlu melindungi kode palsu dari pendeteksi
yang tidak disengaja oleh programmer lain yang melakukan pemeliharaan atau
oleh auditor yang menguji kontrol aplikasi tersebut.

Struktur Unggulan untuk Pengembangan Sistem

Kelompok pengembangan sistem baru bertanggung jawab untuk merancang,
memprogram, dan mengimplementasikan proyek sistem baru. Setelah berhasil
diimplementasikan, tanggung jawab atas pemeliharaan sistem yang sedang
berlangsung sampai pada kelompok pemeliharaan sistem.

Model Terdistribusi
Alternatif model terpusat adalah konsep Distributed Data Processing (DDP).
Secara sederhana, DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI
kecil yang berada di bawah kendali pengguna akhir. Unit TI dapat didistribusikan
sesuai dengan fungsi bisnis, lokasi geografis, atau keduanya.
1) Alternatif A, adalah macam dari model terpusat; Perbedaannya adalah hal
tersebut terminal (atau mikrokomputer) yang didistribusikan ke pengguna
akhir untuk menangani input dan output.
2) Alternatif B, adalah keberangkatan yang signifikan dari model terpusat.
Alternatif ini mendistribusikan semua layanan komputer kepada pengguna
akhir, di mana mereka beroperasi sebagai unit mandiri. Hasilnya adalah
penghapusan fungsi TI pusat dari struktur organisasi.

Risiko Terkait dengan DDP

1) Penggunaan sumber daya yang tidak efisien. DDP dapat mengekspos dan
mengorganisir tiga jenis risiko yang terkait dengan penggunaan sumber
daya organisasi yang tidak efisien. Ini diuraikan di bawah ini:
 ● Pertama, adalah risiko salah urus sumber daya TI di seluruh
organisasi oleh pengguna akhir.
● Kedua, DDP dapat meningkatkan risiko tidak efisien dari
operasional karena adanya tugas berlebihan yang dilakukan dalam
komite pengguna akhir.
● Ketiga, lingkungan DDP menimbulkan risiko perangkat keras dan
perangkat lunak yang tidak kompatibel di antara fungsi pengguna
akhir. Mendistribusikan tanggung jawab untuk pembelian TI kepada
pengguna akhir dapat mengakibatkan keputusan yang tidak
terkoordinasi dan kurang dipahami.
2) Penghancuran jejak audit (Audit Trails). Jejak audit memberikan keterkaitan
antara aktivitas keuangan (transaksi) perusahaan dan laporan keuangan
yang melapor pada kegiatan tersebut. Auditor menggunakan jejak audit
untuk melacak transaksi keuangan terpilih dari dokumen sumber yang
menangkap kejadian, melalui jurnal, buku besar pembantu, dan akun buku
besar yang mencatat kejadian tersebut, dan terakhir pada laporan
keuangan itu sendiri. Dalam sistem DDP, jejak audit terdiri dari serangkaian
data transaksi digital dan data induk yang berada sebagian atau seluruhnya
pada komputer pengguna akhir.
3) Pemisahan tugas yang tidak memadai. Mencapai pemisahan tugas yang
memadai kemungkinan tidak terjadi di beberapa lingkungan yang
terdistribusi. Distribusi layanan TI kepada pengguna dapat menghasilkan
penciptaan unit independen kecil yang tidak mengizinkan pemisahan fungsi
yang tidak sesuai dengan yang diinginkan. Misalnya, dalam satu unit, orang
yang sama dapat menulis program aplikasi, melakukan pemeliharaan
program, memasukkan data transaksi ke komputer, dan mengoperasikan
peralatan komputer. Situasi seperti itu akan menjadi pelanggaran mendasar
pada pengendalian internal.
4) Mempekerjakan profesional yang berkualitas. Manajer pengguna akhir
mungkin memiliki pengetahuan TI yang kurang untuk mengevaluasi surat
kepercayaan (credentials) teknis dan pengalaman kandidat yang relevan
yang berlaku untuk posisi profesional TI. Risiko kesalahan pemrograman
 dan kegagalan sistem meningkat secara langsung dengan tingkat
ketidakmampuan karyawan.
5) Kurangnya standar. Karena distribusi tanggung jawab di lingkungan DDP,
standar untuk mengembangkan dan mendokumentasikan sistem, memilih
bahasa pemrograman, memperoleh perangkat keras dan perangkat lunak,
dan mengevaluasi kinerja mungkin tidak merata diterapkan atau bahkan
tidak ada.

Keuntungan dari DDP

1) Pengurangan biaya. Bagi banyak pengguna, sistem terpusat yang besar
merepresentasikan jumlah berlebihan yang mahal sehingga mereka harus
melarikan diri. Mikrokomputer canggih dan murah dan minicomputer yang
dapat melakukan fungsi khusus telah mengubah ekonomi dari pengolahan
data secara dramatis. Selain itu, biaya unit penyimpanan data, yang
dulunya merupakan pembenaran untuk mengkonsolidasikan data di lokasi
terpusat, sudah tidak menjadi pertimbangan utama. Selain itu, kepindahan
ke DDP telah mengurangi biaya di dua bidang lainnya: (1) data dapat diedit
dan dimasukkan oleh pengguna akhir, sehingga menghilangkan tugas
terpusat dari persiapan data; dan (2) kompleksitas aplikasi dapat dikurangi,
yang pada gilirannya mengurangi biaya pengembangan dan pemeliharaan
sistem.
2) Tanggung jawab kontrol biaya yang lebih baik. Manajer pengguna akhir
bertanggung jawab atas keberhasilan operasi mereka. Tanggung jawab ini
mengharuskan mereka diberi wewenang yang benar dengan wewenang
untuk membuat keputusan tentang sumber daya yang mempengaruhi
keseluruhan keberhasilan mereka. Pendukung dari DDP berpendapat
bahwa jika kemampuan TI memang penting bagi keberhasilan operasi
bisnis, maka manajemen harus diberi kontrol atas sumber daya ini.
3) Peningkatan kepuasan pengguna. Manfaat DDP yang paling sering dikutip
adalah peningkatan kepuasan pengguna. Pendukung DDP mengklaim
bahwa sistem pendistribusian ke pengguna akhir memperbaiki tiga bidang
kebutuhan yang sering kali tidak terpuaskan dalam model terpusat: (1)
pengguna ingin mengendalikan sumber daya yang mempengaruhi
 keuntungan mereka; (2) pengguna menginginkan profesional sistem
(analis, programmer, dan operator komputer) untuk bersikap responsif
terhadap situasi spesifik mereka; dan (3) pengguna ingin lebih aktif terlibat
dalam pengembangan dan penerapan sistem mereka sendiri.
4) Fleksibilitas backup. Pendapat terakhir yang mendukung DDP adalah
kemampuan untuk mendukung fasilitas komputasi untuk melindungi dari
potensi bencana seperti kebakaran, banjir, sabotase, dan gempa bumi.
Satu-satunya cara untuk mendukung sebuah situs komputer utama
melawan bencana tersebut adalah dengan menyediakan fasilitas komputer
kedua. Model yang terdistribusi menawarkan fleksibilitas organisasi untuk
menyediakan cadangan. Setiap unit IT yang terpisah secara geografis
dapat dirancang dengan kapasitas berlebih. Jika sebuah bencana
menghancurkan satu situs, situs lain dapat menggunakan kelebihan
kapasitas mereka untuk memproses transaksi situs yang hancur. Tentu,
pengaturan ini memerlukan koordinasi yang erat antara manajer pengguna
akhir untuk memastikan bahwa mereka tidak menerapkan perangkat keras
dan perangkat lunak yang tidak kompatibel.

Mengontrol Lingkungan DDP

Mengimplementasikan Fungsi Teknologi Informasi Perusahaan

Model yang sepenuhnya terpusat dan model yang terdistribusi mewakili posisi
ekstrim pada rangkaian alternatif struktural. Kebutuhan dari kebanyakan
perusahaan berada di antara titik akhir ini. Seringkali, masalah kontrol yang telah
dijelaskan sebelumnya dapat diatasi dengan menerapkan fungsi TI perusahaan,
seperti yang diilustrasikan pada Gambar 2.5.
Kelompok TI perusahaan menyediakan pengembangan sistem dan pengelolaan
database untuk seluruh sistem entitas selain saran teknis dan keahlian kepada
komunitas TI yang terdistribusi. Peran dari laporan ini ditunjukkan oleh garis putus-
putus.
1) Pengujian pusat software dan hardware komersial. Kelompok TI
perusahaan terpusat lebih siap daripada pengguna akhir untuk
mengevaluasi kelebihan perangkat lunak komersial dan produk perangkat
keras yang bersaing yang sedang dipertimbangkan. Kelompok terpusat
yang secara teknis ahli dalam bidang ini dapat mengevaluasi fitur, kontrol,
dan kompatibilitas sistem dengan standar industri dan organisasi. Hasil
pengujian kemudian dapat didistribusikan ke area pengguna sebagai
standar untuk membimbing keputusan akuisisi. Hal ini memungkinkan
organisasi untuk secara efektif memusatkan akuisisi, pengujian, dan
implementasi software dan hardware dan menghindari banyak masalah
yang dibahas sebelumnya.
2) Layanan pengguna. Fitur yang berharga dari grup perusahaan adalah
fungsi layanan penggunanya. Kegiatan ini memberikan bantuan teknis
kepada pengguna selama pemasangan perangkat lunak baru dan dalam
 mengatasi masalah-masalah perangkat keras dan perangkat lunak.
Pembuatan papan buletin elektronik untuk pengguna adalah cara terbaik
untuk mendistribusikan informasi tentang masalah umum dan
memungkinkan berbagi program yang dikembangkan pengguna dengan
orang lain di dalam organisasi. Selain itu, ruang obrolan bisa dibuat untuk
memberikan diskusi berulir, frequently asked questions (FAQs), dan
dukungan intranet. Fungsi TI perusahaan juga bisa menyediakan suatu
help desk, di mana pengguna dapat menelepon dan mendapat tanggapan
cepat terhadap pertanyaan dan masalah.
3) Standard-setting body. Lingkungan pengendalian yang relatif buruk yang
diberlakukan oleh model DDP dapat ditingkatkan dengan menetapkan
beberapa panduan utama. Kelompok perusahaan dapat berkontribusi pada
tujuan ini dengan menetapkan dan mendistribusikan ke area pengguna
sesuai standar untuk pengembangan, pemrograman, dan
pendokumentasian sistem.
4) Personnel review. Grup perusahaan seringkali lebih siap dibandingkan
pengguna untuk mengevaluasi kepercayaan teknis profesional dari sistem
prospektif. Meskipun profesional sistem sebenarnya akan menjadi bagian
dari kelompok pengguna akhir, keterlibatan kelompok perusahaan dalam
keputusan kerja dapat memberikan layanan yang berharga bagi organisasi.

Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI sedemikian
rupa sehingga individu – individu di daerah yang tidak memiliki kemampuan,
dipisahkan sesuai dengan tingkat risiko potensial dan dengan cara yang
mendorong lingkungan kerja. Ini adalah lingkungan di mana hubungan formal,
daripada santai, hubungan yang dibutuhkan untuk eksis antara tugas yang tidak
sesuai.

Prosedur Audit
Prosedur audit berikut akan berlaku untuk sebuah organisasi dengan fungsi TI
terpusat :
 1. Meninjau dokumentasi yang relevan, termasuk bagan organisasi saat ini,
pernyataan misi, dan uraian tugas untuk fungsi utama, untuk menentukan
apakah individu atau kelompok melakukan fungsi yang tidak sesuai.
2. Meninjau dokumentasi sistem dan catatan pemeliharaan untuk contoh
aplikasi. Verifikasi bahwa program pemeliharaan yang ditugaskan untuk
proyek tertentu juga bukan perancang desain asli.
3. Pastikan bahwa operator komputer tidak memiliki akses menuju rincian
operasional logika internal sistem. Dokumentasi sistem, seperti sistem
flowcharts, logic flowcharts, dan daftar kode program, tidak boleh menjadi
bagian dari dokumentasi operasi.
4. Melalui pengamatan, menentukan bahwa kebijakan pemisahan sedang
diikuti dalam praktik. Meninjau akses masuk ruang operasi untuk
menentukan apakah seorang programer memasukkan fasilitas tersebut
dengan alasan selain kegagalan sistem.
Prosedur audit berikut akan berlaku untuk organisasi dengan suatu fungsi TI yang
terdistribusi :
1. Meninjau bagan organisasi saat ini, pernyataan misi, dan uraian tugas pada
fungsi kunci untuk menentukan apakah individu atau kelompok melakukan
tugas yang tidak kompatibel.
2. Memverifikasi bahwa kebijakan dan standar perusahaan untuk
perancangan sistem, dokumentasi, dan akuisisi hardware dan software
dipublikasikan dan diserahkan ke unit TI yang terdistribusi.
3. Memverifikasi kontrol kompensasi, seperti pemantauan pengawasan dan
manajemen, dipekerjakan bila pemisahan tugas tidak kompatibel secara
ekonomi tidak layak.
4. Mengkaji ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi,
prosedur, dan database dirancang dan berfungsi sesuai dengan standar
perusahaan.

C. PUSAT KOMPUTER

Akuntan secara teratur mengecek area fisik pusat pc yang merupakan bagian dari
audit tahunan mereka. Tujuan dari bagian ini yaitu untuk menyajikan risiko pusat
pc serta kontrol yang membantu untuk mengurangi risiko serta menghasilkan area
yang nyaman. Berikut ini merupakan zona eksposur potensial yang bisa pengaruhi
mutu data, catatan akuntansi, pemrosesan transaksi, serta daya guna
pengendalian internal yang lain yang lebih konvensional.

Posisi Fisik
Posisi fisik pusat pc secara langsung memiliki resiko kehancuran akibat bencana
alam ataupun buatan manusia. Pusat pc wajib jauh dari bahaya buatan manusia
serta alam, semacam pabrik pengolahan, sumber listrik, gas serta air, lapangan
terbang, wilayah dengan tingkatan kejahatan yang besar, dataran banjir, serta
kesalahan geologi. Pusat lokasi harus ditempatkan di tempat seperti lantai atas
bangunan ataupun bangunan terpisah sendiri. Menempatkan pc di gedung dasar
tanah tingkatkan risikonya terhadap banjir.

Konstruksi
Idealnya, sesuatu pusat pc wajib terletak di gedung berlantai satu konstruksi padat
dengan akses yang terkendali( dibahas berikutnya). Saluran utilitas( listrik serta
telepon) wajib terletak didasar tanah. Jendela bangunan tidak boleh terbuka serta
sistem filtrasi hawa wajib terdapat yang sanggup menghasilkan serbuk sari, debu,
serta tungau debu.

Access
Untuk menggapai tingkatan keamanan yang lebih besar, akses wajib dipantau
dengan kamera sirkuit tertutup serta sistem perekaman video. Pusat pc pula wajib
memakai izin masuk buat programmer serta analis yang membutuhkan akses
untuk membetulkan kesalahan program. Pusat pc wajib menaruh catatan akurat
tentang seluruh kemudian lintas tersebut.

Air Conditioning
Pc berperan sangat baik di area ber-AC serta karena dapat menyediakan udara
yang mencukupi. Pc beroperasi sangat baik pada kisaran temperatur 70 hingga 75
derajat Fahrenheit serta kelembaban relatifnya sebesar 50%. Bila temperatur
berganti secara signifikan dari jangkauan maksimal hingga bisa menimbulkan
terbentuknya kesalahan logika pada fitur keras pc serta meningkatnya risiko
kerusakan rangkaian dari listrik statis dikala kelembaban turun. Kebalikannya, bila
kelembaban besar dapat menimbulkan tumbuhnya jamur sampai pembengkakan
perlengkapan.

Penangkalan Kebakaran
Kebakaran di pusat pc dapat menimbulkan industri kehabisan catatan kritis
semacam piutang usaha. Pelaksanaan sistem penangkalan kebakaran yang
efisien membutuhkan konsultasi dengan spesialis. Tetapi, sebagian fitur utama dari
sistem seperti ini yaitu :
1. Terdapatnya alarm otomatis serta manual yang ditempatkan di posisi
yang strategis didekat instalasi yang dihubungkan ke stasiun pemadam
kebakaran permanen.
2. Wajib terdapat sistem pemadam kebakaran otomatis yang menghasilkan
tipe penekan yang cocok buat posisi tersebut. Misalnya, menyemprotkan
air serta bahan kimia tertentu ke pc.
3. Pemadam api manual wajib ditempatkan di posisi yang strategis.
4. Konstruksi bangunan yang bagus buat menahan kehancuran air yang
diakibatkan oleh perlengkapan pemadam kebakaran.
5. Keluar api wajib diisyarati dengan jelas serta diterangi dikala terjalin
kebakaran.

Toleransi Kesalahan
Toleransi kesalahan merupakan keahlian sistem untuk melanjutkan pembedahan
kala bagian dari sistem kandas sebab kegagalan hardware, kesalahan program
aplikasi, ataupun kesalahan operator. Tujuannya ialah buat membenarkan kalau
tidak terdapat satu titik kegagalan sistem potensial. Kegagalan total bisa terjalin
cuma bila sebagian komponen kandas. 2 contoh teknologi toleransi kesalahan
ialah:
1. Redundant Arrays of Independent Disk ( RAID).
2. Uninterruptible Power Supplies.

Tujuan Audit
Tujuan auditor merupakan untuk mengevaluasi kontrol yang mengendalikan
keamanan pusat komputer. Secara khusus, auditor wajib memverifikasi apabila:
 1. Kontrol keamanan fisik yang mencukupi yang lumayan buat melindungi
organisasi dari eksposur fisik.
2. Cakupan asuransi pada perlengkapan yang mencukupi untuk
mengkompensasi organisasi untuk penghancuran, ataupun kerusakan
pusat komputer.

Prosedur Audit
Berikut ini merupakan uji kontrol keamanan fisik antara lain:
1. Uji Konstruksi fisik
Auditor wajib mendapatkan rencana arsitektur untuk memastikan kalau
pusat pc yang kuat dibentuk dari bahan tahan api. Wajib terdapat drainase
yang mencukupi di dasar lantai untuk membolehkan air mengalir jauh
dalam perihal kerusakan air dari api di lantai atas ataupun dari sebagian
sumber lain.
2. Pengujian Sistem Deteksi Api
Auditor wajib menetapkan kalau deteksi kebakaran serta perlengkapan
penindasan, baik manual serta otomatis terletak di tempat serta diuji secara
tertib. Sistem deteksi kebakaran wajib mengetahui asap, panas, serta asap
dari benda yang mudah terbakar.
3. Pengujian Access Control
Auditor wajib menetapkan kalau akses teratur ke pusat pc dibatasi untuk
karyawan yang berwenang. Rincian tentang akses wisatawan semacam
kehadiran serta keberangkatan, tujuan, serta frekuensi akses, bisa
diperoleh dengan meninjau log akses.
4. Uji RAID
Sistem yang memakai RAID sediakan pemetaan grafis penyimpanan disk
mereka yang berlebihan. Dari pemetaan ini, auditor wajib memastikan
apakah tingkatan RAID di tempat mencukupi buat organisasi, mengingat
tingkatan risiko bisnis terpaut dengan kegagalan disk.
5. Uji dari Uninterruptible Power Supply
Pusat pc wajib melaksanakan uji periodik dari satu energi cadangan untuk
membenarkan jika dia mempunyai kapasitas yang lumayan untuk
menjalankan pc serta pendingin udara.
 6. Pengujian Cakupan Asuransi
Auditor wajib meninjau tiap tahunnya asuransi organisasi pada fitur keras
komputer, fitur lunak, serta fasilitas fisik. Auditor wajib memverifikasi kalau
seluruh akuisisi baru terdaftar pada kebijakan jika perlengkapan usang
serta fitur lunak sudah dihapus.

D. PERENCANAAN PEMULIHAN BENCANA

Tiga kategori bencana yang dapat merampok sebuah organisasi sumber daya TI-
nya: 1) Bencana alam, 2) Bencana buatan manusia, dan 3) Kegagalan sistem.
Semua bencana ini dapat menghilangkan sebuah fasilitas pengolahan data
organisasi, menghentikan fungsi bisnis yang dilakukan atau dibantu oleh komputer,
dan mengganggu kemampuan organisasi untuk memberikan produk atau
layanannya.

Untuk bertahan dalam peristiwa seperti itu, perusahaan mengembangkan prosedur

pemulihan dan memformalkannya menjadi rencana pemulihan bencana (DRP).
Adapun 4 ciri umum rencana kerja yaitu:
a. Identifikasi aplikasi kritis
b. Membuat tim pemulihan bencana
c. Menyediakan backup situs
d. Tentukan prosedur penyimpanan cadangan dan off-site

Identifikasi Aplikasi Kritis

Elemen penting pertama dari DRP adalah mengidentifikasi aplikasi penting
perusahaan dan file data terkait. Upaya pemulihan harus berkonsentrasi pada
pemulihan aplikasi yang penting bagi kelangsungan hidup organisasi jangka
pendek. Kelangsungan hidup jangka pendek memerlukan pemulihan fungsi-fungsi
yang menghasilkan arus kas yang cukup untuk memenuhi kewajiban jangka
pendek, misalnya:
a. Penjualan dan layanan pelanggan
b. Pemenuhan kewajiban hukum
c. Pemeliharaan dan penagihan piutang
d. Keputusan produksi dan distribusi
e. Fungsi pembelian
f. Pencairan uang tunai (rekening perdagangan dan gaji)

Membuat Tim Pemulihan Bencana

Memulihkan dari bencana bergantung pada tindakan korektif yang tepat waktu.
Penundaan dalam melakukan tugas penting memperpanjang masa pemulihan dan
mengurangi prospek pemulihan yang berhasil. Setelah bencana, anggota tim akan
mendelegasikan subtugas ke bawahan mereka. Perlu dicatat bahwa masalah
kontrol tradisional tidak berlaku dalam pengaturan ini.

Menyediakan Backup Situs Kedua

Bahan yang diperlukan dalam DRP adalah menyediakan fasilitas pengolahan data
duplikat setelah terjadi bencana,antara lain :

Mutual Aid Pact / Bantuan Reksa Dana. Pakta bantuan bersama adalah
kesepakatan antara dua atau lebih organisasi (dengan fasilitas komputer yang
kompatibel) untuk saling membantu dengan kebutuhan pengolahan data mereka
jika terjadi bencana. Dalam hal ini, perusahaan induk harus mengganggu jadwal
pemrosesannya untuk memproses transaksi kritis perusahaan yang dilanda
bencana tersebut.

Empty Shell / Shell Kosong. Rencana lokasi shell kosong atau cold site adalah
pengaturan dimana perusahaan membeli atau menyewa bangunan yang akan
berfungsi sebagai pusat data. Kelemahannya adalah pemulihan tergantung pada
ketersediaan perangkat keras komputer yang diperlukan untuk mengembalikan
fungsi pemrosesan data.

Recovery Operations Center / Pusat Operasi Pemulihan. Pusat operasi

pemulihan (ROC) atau situs yang panas dilengkapi dengan pusat data cadangan
yang banyak perusahaan saling berbagi. Jika terjadi bencana besar, pelanggan
dapat menempati lokasi dan, dalam beberapa jam, melanjutkan pemrosesan
aplikasi penting.
Internally Provided Backup / Cadangan yang disediakan secara Internal.
Organisasi yang lebih besar dengan banyak pusat pemrosesan data sering
memilih kemandirian yang menciptakan kapasitas kelebihan internal.

Prosedur Penyimpanan Backup dan Offsite

Semua file data, aplikasi, dokumentasi, dan persediaan yang diperlukan untuk
melakukan fungsi penting harus dicadangkan secara otomatis dan disimpan di
lokasi yang aman di luar lokasi. Personel pengolahan data harus secara rutin
melakukan prosedur backup dan penyimpanan untuk mendapatkan dan
mengamankan sumber daya kritis ini.

Cadangan Sistem Operasi. Jika perusahaan menggunakan cold site atau metode
backup situs lainnya yang tidak termasuk sistem operasi yang kompatibel (O/S),
prosedur untuk mendapatkan versi sistem operasi saat ini yang ditentukan secara
jelas.

Cadangan Aplikasi. DRP harus mencakup prosedur untuk membuat salinan dari
aplikasi kritis versi terkini. Dalam kasus perangkat lunak komersial, ini melibatkan
pembelian salinan cadangan dari upgrade perangkat lunak terbaru yang digunakan
oleh organisasi.

Backup File Data. Database harus disalin setiap hari ke media berkapasitas tinggi
berkecepatan tinggi, seperti tape atau CD / DVD dan di luar kantor yang aman.

Dokumentasi Cadangan. Dokumentasi sistem untuk aplikasi kritis harus

dicadangkan dan disimpan di luar lokasi beserta aplikasi.

Persediaan Cadangan dan Dokumen Sumber. Organisasi harus membuat

inventori cadangan dan dokumen sumber yang digunakan dalam memproses
transaksi penting. Contoh persediaan kritis adalah cek saham, faktur, pesanan
pembelian, dan bentuk tujuan khusus lainnya yang tidak dapat diperoleh dengan
segera.

Menguji DRP. Tes DRP penting dan harus dilakukan secara berkala. Pengujian
mengukur kesiapan personil dan mengidentifikasi kelalaian atau kemacetan dalam
rencana. Tes yang paling berguna saat simulasi gangguan adalah kejutan. Saat
bencana tiruan diumumkan, status semua pemrosesan yang terkena dampaknya
harus didokumentasikan.

Tujuan Audit
Auditor harus memverifikasi bahwa rencana pemulihan bencana manajemen
memadai dan layak untuk menghadapi malapetaka yang dapat menghambat
pengorganisasian sumber daya komputasinya.

Prosedur Audit
Dalam memverifikasi bahwa DRP manajemen adalah solusi realistis untuk
menghadapi malapetaka, maka tes yang dapat dilakukan:

Site Backup / Situs Cadangan. Auditor harus mengevaluasi kecukupan

pengaturan situs cadangan. Ketidaksesuaian sistem dan sifat manusia keduanya
sangat mengurangi keefektifan pakta bantuan bersama.

Critical Applications List / Daftar Aplikasi Penting. Auditor harus meninjau

daftar aplikasi penting untuk memastikannya selesai. Aplikasi yang hilang bisa
mengakibatkan kegagalan untuk pulih.

Software Backup / Cadangan Perangkat Lunak. Auditor harus memverifikasi

bahwa salinan aplikasi penting dan sistem operasi disimpan di luar lokasi. Auditor
juga harus memverifikasi bahwa aplikasi yang tersimpan di luar lokasi saat ini
dengan membandingkan nomor versi mereka dengan aplikasi aktual yang
digunakan.

Data Backup / Cadangan Data. Auditor harus memverifikasi bahwa file data
penting dicadangkan sesuai dengan DRP.

Backup Supplies, Document, and Documentation. Dokumentasi sistem,

persediaan, dan dokumen sumber yang diperlukan untuk memproses transaksi
penting harus dicadangkan dan disimpan di luar lokasi.

Disaster Recovery Team / Tim Pemulihan Bencana. DRP harus secara jelas
mencantumkan nama, alamat, dan nomor telepon darurat anggota tim pemulihan
bencana. Auditor harus memverifikasi bahwa anggota tim adalah karyawan saat ini
dan menyadari tanggung jawab mereka yang ditugaskan.

E. MENGALIHDAYAKAN FUNGSI TEKNOLOGI INFORMASI

Fungsi IT outsourcing yang disamakan mencakup kenaikan kinerja bisnis inti,
tingkatkan kinerja TI( sebab kemampuan vendor), serta mengurangi bayaran TI.
Dengan memindahkan sarana TI ke luar negara ke wilayah dengan bayaran
tenaga kerja rendah serta ataupun lewat skala murah( dengan mencampurkan
sebagian klien), vendor bisa melaksanakan guna alih energi lebih murah daripada
yang bisa dicoba oleh industri klien. Penghematan bayaran yang dihasilkan setelah
itu diteruskan ke organisasi klien. Berikutnya, banyak pengaturan IT outsourcing
mengaitkan penjualan peninggalan TI industri klien (baik manusia ataupun mesin)
ke vendor, yang setelah itu disewa oleh industri klien. Transaksi ini menciptakan
infus tunai satu kali yang signifikan ke industri.

RIsiko yang melekat pada IT outsourcing

Aktivitas IT outsourcing skala besar merupakan usaha yang berisiko. Tingkatan
rIsiko terpaut dengan tingkatan kekhususan aset dari fungsi alih daya. Sebagian
permasalahan yang terdokumentasi antara lain:

1. Gagal untuk tampil

Implikasi negatif dari ketergantungan tersebut diilustrasikan dalam
permasalahan keuangan yang sudah menyerang vendor outsourcing besar
Electronic Data Systems Corp (EDS). Dalam upaya pemotongan bayaran,
EDS menghentikan 7 ribu karyawan, yang berakibat pada kemampuannya
buat melayani klien yang lain. Sehabis harga saham terendah 11 tahun,
pemegang saham EDS mengajukan gugatan class action kepada industri
tersebut. Jelas, vendor yang hadapi permasalahan keuangan serta hukum
yang sungguh-sungguh pula mengecam kelangsungan hidup klien mereka.
2. Eksploitasi Penjual
Peninggalan khusus yang berharga untuk klien, tidak bernilai untuk vendor di
luar kontrak langsung dengan klien. Memanglah, mereka bisa jadi tidak
berharga bila organisasi klien gulung tikar. Sebab vendor mengasumsikan
rIsiko dengan mengakuisisi peninggalan serta tidak bisa menggapai skala
 ekonomi dengan mempekerjakan mereka di tempat lain, organisasi klien
hendak membayar premi untuk mengirim guna tersebut ke pihak ketiga.
Berikutnya, setelah industri klien membebaskan diri dari peninggalan khusus
tersebut, perihal itu jadi bergantung pada vendor. Vendor bisa menggunakan
ketergantungan ini dengan menaikkan tarif layanan ke tingkatan selangit.
Ketergantungan ini bisa mengecam fleksibilitas, kelincahan, serta energi saing
jangka panjang klien serta menyebabkan ketergantungan vendor yang lebih
besar lagi.
3. Bayaran Outsourcing yang Melebihi Keuntungan
Satu survei mengatakan kalau 47 persen dari 66 industri yang di survei
memberi tahu kalau bayaran IT outsourcing melebihi keuntungan outsourcing.
Salah satu sebabnya merupakan kalau klien outsourcing kerap kandas
mengestimasi bayaran pemilihan vendor, kontrak, serta transisi pembedahan
TI ke vendor.
4. Keamanan yang Berkurang
Data yang diserahkan ke vendor TI memunculkan persoalan unik serta
sungguh – sungguh menimpa pengendalian internal serta proteksi informasi
individu yang sensitif.
5. Hilangnya Keuntungan Strategis
Organisasi yang memakai TI secara strategis wajib menyelaraskan strategi
bisnis serta strategi TI ataupun melaksanakan rIsiko penyusutan kinerja bisnis.
Untuk mempromosikan keselarasan tersebut, industri memerlukan manajer TI
serta Chief Information Officer (CIO) yang mempunyai pengetahuan kerja yang
kokoh membangun bisnis organisasi.

Implikasi Audit dalam IT outsourcing

Manajemen bisa alihkan guna TI perusahaannya, tetapi tidak bisa alihkan
tanggung jawab pengelolaannya di dasar SOX buat membenarkan pengendalian
internal TI yang mencukupi. PCAOB secara spesial melaporkan dalam Standar
Audit Nomor 2, pemakaian organisasi layanan tidak kurangi tanggung jawab
manajemen untuk mempertahankan pengendalian internal yang efisien atas
pelaporan keuangan.
Statement Standar Audit Nomor 70 (SAS 70) merupakan standar definitif dimana
auditor organisasi klien bisa mendapatkan pengetahuan jika kontrol pada vendor
pihak ketiga mencukupi buat menghindari ataupun mengetahui kesalahan material
yang bisa pengaruhi laporan keuangan klien. Laporan SAS 70, yang disiapkan
oleh auditor vendor, meyakinkan kecukupan kontrol internal vendor. Ini merupakan
metode dimana vendor outsourcing bisa mendapatkan satu laporan audit yang
bisa digunakan oleh auditor kliennya serta dengan demikian membatasi kebutuhan
tiap auditor industri auditor buat melaksanakan audit sendiri terhadap
pengendalian internal organisasi vendor.
 KESIMPULAN

Dari pembahasan diatas dapat diambil kesimpulan bahwa:

1. Teknologi Informasi sangat dibutuhkan untuk keuntungan kompetitif dan

pertumbuhan perusahaan.
2. Tujuan utama tata kelola IT adalah mengurangi risiko dan memastikan bahwa
investasi sumber daya IT memberi nilai tambah bagi perusahaan.
3. Tiga masalah tata kelola IT yang ditangani oleh SOX dan kerangka pengendalian
internal COSO. Ini adalah:
a. Struktur organisasi fungsi IT
b. Operasi pada pusat komputer
c. Perencanaan pemulihan bencana
4. Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi IT sedemikian rupa
sehingga individu-individu di daerah yang tidak kompatibel dipisahkan sesuai
dengan tingkat risiko potensial dan dengan cara yang mendorong lingkungan kerja.
5. Tujuan dari pusat komputer adalah untuk menyajikan risiko pusat komputer dan
kontrol yang membantu mengurangi risiko dan menciptakan lingkungan yang aman.
 REFERENSI

Hall, James A. 2011. Information Technology Auditing and Assurance. 3rd Ed.
London : South Western College Publishing.
McLeod, Jr.R. 1996. Sistem Informasi Manajemen, Jilid 1, edisi Bahasa
Indonesia. Jakarta : Terjemahan Teguh,H. Prenhallindo.
Anitasari, Nuraini. 2017, dalam PERAN PENTING TEKNOLOGI INFORMASI
DALAM PERUSAHAAN - Zahir Accounting Blog , diakses pada 27
Februari 2021.
Pratiwi, Lusiani. 2017, dalam Chapter 2 Auditing IT Governance Controlss
Diunggah oleh LUSIANI PRATIWI , diakses pada 27 Februari 2021.
ITGID. 2020, dalam Tata Kelola Teknologi Informasi: Cara untuk Menyelaraskan
Strategi IT dan Proses Bisnis - ITGID | IT Governance Indonesia , diakses
pada 27 Februari 2021.