AUDITING EDP
Oleh:
Model Terdistribusi
Alternatif model terpusat adalah konsep Distributed Data Processing (DDP).
Secara sederhana, DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI
kecil yang berada di bawah kendali pengguna akhir. Unit TI dapat didistribusikan
sesuai dengan fungsi bisnis, lokasi geografis, atau keduanya.
1) Alternatif A, adalah macam dari model terpusat; Perbedaannya adalah hal
tersebut terminal (atau mikrokomputer) yang didistribusikan ke pengguna
akhir untuk menangani input dan output.
2) Alternatif B, adalah keberangkatan yang signifikan dari model terpusat.
Alternatif ini mendistribusikan semua layanan komputer kepada pengguna
akhir, di mana mereka beroperasi sebagai unit mandiri. Hasilnya adalah
penghapusan fungsi TI pusat dari struktur organisasi.
Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI sedemikian
rupa sehingga individu – individu di daerah yang tidak memiliki kemampuan,
dipisahkan sesuai dengan tingkat risiko potensial dan dengan cara yang
mendorong lingkungan kerja. Ini adalah lingkungan di mana hubungan formal,
daripada santai, hubungan yang dibutuhkan untuk eksis antara tugas yang tidak
sesuai.
Prosedur Audit
Prosedur audit berikut akan berlaku untuk sebuah organisasi dengan fungsi TI
terpusat :
1. Meninjau dokumentasi yang relevan, termasuk bagan organisasi saat ini,
pernyataan misi, dan uraian tugas untuk fungsi utama, untuk menentukan
apakah individu atau kelompok melakukan fungsi yang tidak sesuai.
2. Meninjau dokumentasi sistem dan catatan pemeliharaan untuk contoh
aplikasi. Verifikasi bahwa program pemeliharaan yang ditugaskan untuk
proyek tertentu juga bukan perancang desain asli.
3. Pastikan bahwa operator komputer tidak memiliki akses menuju rincian
operasional logika internal sistem. Dokumentasi sistem, seperti sistem
flowcharts, logic flowcharts, dan daftar kode program, tidak boleh menjadi
bagian dari dokumentasi operasi.
4. Melalui pengamatan, menentukan bahwa kebijakan pemisahan sedang
diikuti dalam praktik. Meninjau akses masuk ruang operasi untuk
menentukan apakah seorang programer memasukkan fasilitas tersebut
dengan alasan selain kegagalan sistem.
Prosedur audit berikut akan berlaku untuk organisasi dengan suatu fungsi TI yang
terdistribusi :
1. Meninjau bagan organisasi saat ini, pernyataan misi, dan uraian tugas pada
fungsi kunci untuk menentukan apakah individu atau kelompok melakukan
tugas yang tidak kompatibel.
2. Memverifikasi bahwa kebijakan dan standar perusahaan untuk
perancangan sistem, dokumentasi, dan akuisisi hardware dan software
dipublikasikan dan diserahkan ke unit TI yang terdistribusi.
3. Memverifikasi kontrol kompensasi, seperti pemantauan pengawasan dan
manajemen, dipekerjakan bila pemisahan tugas tidak kompatibel secara
ekonomi tidak layak.
4. Mengkaji ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi,
prosedur, dan database dirancang dan berfungsi sesuai dengan standar
perusahaan.
C. PUSAT KOMPUTER
Akuntan secara teratur mengecek area fisik pusat pc yang merupakan bagian dari
audit tahunan mereka. Tujuan dari bagian ini yaitu untuk menyajikan risiko pusat
pc serta kontrol yang membantu untuk mengurangi risiko serta menghasilkan area
yang nyaman. Berikut ini merupakan zona eksposur potensial yang bisa pengaruhi
mutu data, catatan akuntansi, pemrosesan transaksi, serta daya guna
pengendalian internal yang lain yang lebih konvensional.
Posisi Fisik
Posisi fisik pusat pc secara langsung memiliki resiko kehancuran akibat bencana
alam ataupun buatan manusia. Pusat pc wajib jauh dari bahaya buatan manusia
serta alam, semacam pabrik pengolahan, sumber listrik, gas serta air, lapangan
terbang, wilayah dengan tingkatan kejahatan yang besar, dataran banjir, serta
kesalahan geologi. Pusat lokasi harus ditempatkan di tempat seperti lantai atas
bangunan ataupun bangunan terpisah sendiri. Menempatkan pc di gedung dasar
tanah tingkatkan risikonya terhadap banjir.
Konstruksi
Idealnya, sesuatu pusat pc wajib terletak di gedung berlantai satu konstruksi padat
dengan akses yang terkendali( dibahas berikutnya). Saluran utilitas( listrik serta
telepon) wajib terletak didasar tanah. Jendela bangunan tidak boleh terbuka serta
sistem filtrasi hawa wajib terdapat yang sanggup menghasilkan serbuk sari, debu,
serta tungau debu.
Access
Untuk menggapai tingkatan keamanan yang lebih besar, akses wajib dipantau
dengan kamera sirkuit tertutup serta sistem perekaman video. Pusat pc pula wajib
memakai izin masuk buat programmer serta analis yang membutuhkan akses
untuk membetulkan kesalahan program. Pusat pc wajib menaruh catatan akurat
tentang seluruh kemudian lintas tersebut.
Air Conditioning
Pc berperan sangat baik di area ber-AC serta karena dapat menyediakan udara
yang mencukupi. Pc beroperasi sangat baik pada kisaran temperatur 70 hingga 75
derajat Fahrenheit serta kelembaban relatifnya sebesar 50%. Bila temperatur
berganti secara signifikan dari jangkauan maksimal hingga bisa menimbulkan
terbentuknya kesalahan logika pada fitur keras pc serta meningkatnya risiko
kerusakan rangkaian dari listrik statis dikala kelembaban turun. Kebalikannya, bila
kelembaban besar dapat menimbulkan tumbuhnya jamur sampai pembengkakan
perlengkapan.
Penangkalan Kebakaran
Kebakaran di pusat pc dapat menimbulkan industri kehabisan catatan kritis
semacam piutang usaha. Pelaksanaan sistem penangkalan kebakaran yang
efisien membutuhkan konsultasi dengan spesialis. Tetapi, sebagian fitur utama dari
sistem seperti ini yaitu :
1. Terdapatnya alarm otomatis serta manual yang ditempatkan di posisi
yang strategis didekat instalasi yang dihubungkan ke stasiun pemadam
kebakaran permanen.
2. Wajib terdapat sistem pemadam kebakaran otomatis yang menghasilkan
tipe penekan yang cocok buat posisi tersebut. Misalnya, menyemprotkan
air serta bahan kimia tertentu ke pc.
3. Pemadam api manual wajib ditempatkan di posisi yang strategis.
4. Konstruksi bangunan yang bagus buat menahan kehancuran air yang
diakibatkan oleh perlengkapan pemadam kebakaran.
5. Keluar api wajib diisyarati dengan jelas serta diterangi dikala terjalin
kebakaran.
Toleransi Kesalahan
Toleransi kesalahan merupakan keahlian sistem untuk melanjutkan pembedahan
kala bagian dari sistem kandas sebab kegagalan hardware, kesalahan program
aplikasi, ataupun kesalahan operator. Tujuannya ialah buat membenarkan kalau
tidak terdapat satu titik kegagalan sistem potensial. Kegagalan total bisa terjalin
cuma bila sebagian komponen kandas. 2 contoh teknologi toleransi kesalahan
ialah:
1. Redundant Arrays of Independent Disk ( RAID).
2. Uninterruptible Power Supplies.
Tujuan Audit
Tujuan auditor merupakan untuk mengevaluasi kontrol yang mengendalikan
keamanan pusat komputer. Secara khusus, auditor wajib memverifikasi apabila:
1. Kontrol keamanan fisik yang mencukupi yang lumayan buat melindungi
organisasi dari eksposur fisik.
2. Cakupan asuransi pada perlengkapan yang mencukupi untuk
mengkompensasi organisasi untuk penghancuran, ataupun kerusakan
pusat komputer.
Prosedur Audit
Berikut ini merupakan uji kontrol keamanan fisik antara lain:
1. Uji Konstruksi fisik
Auditor wajib mendapatkan rencana arsitektur untuk memastikan kalau
pusat pc yang kuat dibentuk dari bahan tahan api. Wajib terdapat drainase
yang mencukupi di dasar lantai untuk membolehkan air mengalir jauh
dalam perihal kerusakan air dari api di lantai atas ataupun dari sebagian
sumber lain.
2. Pengujian Sistem Deteksi Api
Auditor wajib menetapkan kalau deteksi kebakaran serta perlengkapan
penindasan, baik manual serta otomatis terletak di tempat serta diuji secara
tertib. Sistem deteksi kebakaran wajib mengetahui asap, panas, serta asap
dari benda yang mudah terbakar.
3. Pengujian Access Control
Auditor wajib menetapkan kalau akses teratur ke pusat pc dibatasi untuk
karyawan yang berwenang. Rincian tentang akses wisatawan semacam
kehadiran serta keberangkatan, tujuan, serta frekuensi akses, bisa
diperoleh dengan meninjau log akses.
4. Uji RAID
Sistem yang memakai RAID sediakan pemetaan grafis penyimpanan disk
mereka yang berlebihan. Dari pemetaan ini, auditor wajib memastikan
apakah tingkatan RAID di tempat mencukupi buat organisasi, mengingat
tingkatan risiko bisnis terpaut dengan kegagalan disk.
5. Uji dari Uninterruptible Power Supply
Pusat pc wajib melaksanakan uji periodik dari satu energi cadangan untuk
membenarkan jika dia mempunyai kapasitas yang lumayan untuk
menjalankan pc serta pendingin udara.
6. Pengujian Cakupan Asuransi
Auditor wajib meninjau tiap tahunnya asuransi organisasi pada fitur keras
komputer, fitur lunak, serta fasilitas fisik. Auditor wajib memverifikasi kalau
seluruh akuisisi baru terdaftar pada kebijakan jika perlengkapan usang
serta fitur lunak sudah dihapus.
Tiga kategori bencana yang dapat merampok sebuah organisasi sumber daya TI-
nya: 1) Bencana alam, 2) Bencana buatan manusia, dan 3) Kegagalan sistem.
Semua bencana ini dapat menghilangkan sebuah fasilitas pengolahan data
organisasi, menghentikan fungsi bisnis yang dilakukan atau dibantu oleh komputer,
dan mengganggu kemampuan organisasi untuk memberikan produk atau
layanannya.
Mutual Aid Pact / Bantuan Reksa Dana. Pakta bantuan bersama adalah
kesepakatan antara dua atau lebih organisasi (dengan fasilitas komputer yang
kompatibel) untuk saling membantu dengan kebutuhan pengolahan data mereka
jika terjadi bencana. Dalam hal ini, perusahaan induk harus mengganggu jadwal
pemrosesannya untuk memproses transaksi kritis perusahaan yang dilanda
bencana tersebut.
Empty Shell / Shell Kosong. Rencana lokasi shell kosong atau cold site adalah
pengaturan dimana perusahaan membeli atau menyewa bangunan yang akan
berfungsi sebagai pusat data. Kelemahannya adalah pemulihan tergantung pada
ketersediaan perangkat keras komputer yang diperlukan untuk mengembalikan
fungsi pemrosesan data.
Cadangan Sistem Operasi. Jika perusahaan menggunakan cold site atau metode
backup situs lainnya yang tidak termasuk sistem operasi yang kompatibel (O/S),
prosedur untuk mendapatkan versi sistem operasi saat ini yang ditentukan secara
jelas.
Cadangan Aplikasi. DRP harus mencakup prosedur untuk membuat salinan dari
aplikasi kritis versi terkini. Dalam kasus perangkat lunak komersial, ini melibatkan
pembelian salinan cadangan dari upgrade perangkat lunak terbaru yang digunakan
oleh organisasi.
Backup File Data. Database harus disalin setiap hari ke media berkapasitas tinggi
berkecepatan tinggi, seperti tape atau CD / DVD dan di luar kantor yang aman.
Menguji DRP. Tes DRP penting dan harus dilakukan secara berkala. Pengujian
mengukur kesiapan personil dan mengidentifikasi kelalaian atau kemacetan dalam
rencana. Tes yang paling berguna saat simulasi gangguan adalah kejutan. Saat
bencana tiruan diumumkan, status semua pemrosesan yang terkena dampaknya
harus didokumentasikan.
Tujuan Audit
Auditor harus memverifikasi bahwa rencana pemulihan bencana manajemen
memadai dan layak untuk menghadapi malapetaka yang dapat menghambat
pengorganisasian sumber daya komputasinya.
Prosedur Audit
Dalam memverifikasi bahwa DRP manajemen adalah solusi realistis untuk
menghadapi malapetaka, maka tes yang dapat dilakukan:
Data Backup / Cadangan Data. Auditor harus memverifikasi bahwa file data
penting dicadangkan sesuai dengan DRP.
Disaster Recovery Team / Tim Pemulihan Bencana. DRP harus secara jelas
mencantumkan nama, alamat, dan nomor telepon darurat anggota tim pemulihan
bencana. Auditor harus memverifikasi bahwa anggota tim adalah karyawan saat ini
dan menyadari tanggung jawab mereka yang ditugaskan.
Hall, James A. 2011. Information Technology Auditing and Assurance. 3rd Ed.
London : South Western College Publishing.
McLeod, Jr.R. 1996. Sistem Informasi Manajemen, Jilid 1, edisi Bahasa
Indonesia. Jakarta : Terjemahan Teguh,H. Prenhallindo.
Anitasari, Nuraini. 2017, dalam PERAN PENTING TEKNOLOGI INFORMASI
DALAM PERUSAHAAN - Zahir Accounting Blog , diakses pada 27
Februari 2021.
Pratiwi, Lusiani. 2017, dalam Chapter 2 Auditing IT Governance Controlss
Diunggah oleh LUSIANI PRATIWI , diakses pada 27 Februari 2021.
ITGID. 2020, dalam Tata Kelola Teknologi Informasi: Cara untuk Menyelaraskan
Strategi IT dan Proses Bisnis - ITGID | IT Governance Indonesia , diakses
pada 27 Februari 2021.