MAKALAH
OLEH :
i
DIANITA VERAWATI A062202030
Chapter 2, Auditing IT Governance Control
DAFTAR ISI
Contents
DAFTAR ISI............................................................................................................................................ii
KATA PENGANTAR................................................................................................................................iii
BAB I. PENDAHULUAN............................................................................................................................1
1. Latar Belakang.......................................................................................................................1
2. Rumusan Masalah..................................................................................................................1
3. Tujuan...................................................................................................................................1
BAB II. AUDITING IT GOVERNANCE CONTROL.......................................................................................2
A. IT GOVERNANCE AND IT GOVERNANCE CONTROL..................................................................2
B. STRUKTUR FUNGSI TERKNOLOGI INFORMASI..........................................................................2
1. Centralized Data Processing....................................................................................................2
2. Pemisahan Fungsi IT yang Tidak Sesuai...................................................................................3
3. Model Terdistribusi..................................................................................................................3
4. Mengontrol Lingkungan...........................................................................................................4
C. THE COMPUTER CENTER.........................................................................................................4
D. PERENCANAAN PEMULIHAN BENCANA....................................................................................5
1. Identifikasi Aplikasi-aplikasi Kritis..............................................................................................6
2. Membuat Tum Pemulihan Bencana...........................................................................................6
3. Menyediakan Cadangan Situs Kedua........................................................................................6
4. Prosedur Pencadangan dan Penyimpanan di Luar Situs..............................................................7
5. Tujuan Audit...........................................................................................................................7
6. Prosedur Audit........................................................................................................................7
E. MENGELUARKAN FUNGSI IT.....................................................................................................7
F. RESIKO YANG MELEKAT PADA IT OUTSOURCING....................................................................8
G. IMPLIKASI AUDIT DARI IT OUSOURCING...................................................................................8
BAB III. KESIMPULAN...........................................................................................................................10
DAFTAR PUSTAKA...............................................................................................................................11
ii
DIANITA VERAWATI A062202030
Chapter 2, Auditing IT Governance Control
KATA PENGANTAR
Puji syukur kami panjatkan kehadirat Allah SWT, yang telah memberikan rahmat serta
karunia-Nya kepada kami sehingga dapat menyelesaikan makalah ini tepat pada waktunya. Makalah
ini mengacu pada materi bab dua.
Kami menyadari bahwa makalah ini masih jauh dari sempurna, oleh karena itu kritik dan saran
dari semua pihak yang bersifat membangun, selalu kami harapkan demi kesempurnaan makalah ini.
Semoga makalah ini dapat memberikan wawasan yang lebih luas kepada pembaca.
Akhir kata, kami sampaikan terima kasih kepada semua pihak yang telah berperan serta
dalam penyusunan makalah ini dari awal sampai akhir. Semoga Allah SWT senantiasa meridhoi segala
usaha kita. Amin.
peulis
iii
DIANITA VERAWATI A062202030
1 | C h a p t e r 2 , A u d i ti n g I T G o v e r n a n c e C o n t r o l
BAB I. PENDAHULUAN
1. Latar Belakang
Materi pada makalah ini mengacu pada bab dua dengan mendefinisikan tata kelola TI dan
elemen tata kelola TI yang memiliki i mplikasi pengendalian i nternal dan pelaporan keuangan.
Pertama, ini menyajikan eksposur yang dapat timbul dari penataan fungsi TI yang tidak tepat.
Selanjutnya, makalah ini mengulas ancaman dan pengendalian pusat komputer, yang mencakup
melindunginya dari kerusakan dan kehancuran dari bencana alam, kebakaran, suhu, dan kelembapan.
Pembahasan ini kemudian menyajikan elemen-elemen kunci dari rencana pemulihan bencana,
termasuk menyediakan cadangan situs kedua, mengidentifikasi aplikasi penting, melakukan prosedur
pencadangan dan penyimpanan di l uar situs, membuat tim pemulihan bencana, dan menguji rencana
tersebut. Bagian terakhir dari bab i ni menyajikan masalah tentang tren yang berkembang menuju
outsourcing TI. Logika di balik keputusan manajemen untuk melakukan outsourcing dieksplorasi.
Pembahasan ini juga mengungkapkan manfaat yang diharapkan dan risiko yang terkait dengan
outsourcing. Bab i ni diakhiri dengan diskusi tentang masalah audit dalam lingkungan outsourcing dan
peran l aporan SAS 70.
2. Rumusan Masalah
1) Apa itu IT Governance?
2) Bagaimana struktur dari fungsi IT?
3) Bagaimana perencanaan pemulihan bencana?
4) Apa saja fungsi IT Outsoursing?
5) Apa saja resiko yang melekat pada IT Outsourcng?
3. Tujuan
1) Mengetahui secara singkat IT Governance dan IT Governance Control
2) Mengetahui struktur dari fungsi IT
3) Mengetahui perencanaan-perencanaan pemulihan bencana
4) Menjelaskan secara singkat fungsi-fungsi dari IT Outsoursing
5) Mengenali resiko yang melekat pada IT Outsoursing
Pada gambar 2.1 menggambarkan aktivitas layanan TI dokonsolidasikan dan dikelola sebagai
sumber daya orgaisasi bersama. Pengguna akhrir bersaing dalam mendapatkan sumber daya ini
sesuai kebutuhannya. Fungsi layanan TI biasanya diperlakukan sebagai pusat biaya yang biaya
operasiya dibebankan kembali ke pengguna akhir.
Pada gambar 2.2 mengilustrasikan struktur layanan TI terpusat dan menunjukkan area layanan
utamanya seperti: administrasi basis data, pemrosessan dan pengembangan dan pemeliharaan.
2. Pemisahan Fungsi IT yang Tidak Sesuai
Pada bab sebelumnya ditekankan pentingnya pemisahan tugas ang tidak sesuai dalam aktivitas
manual. Tugas operasional secara khusus dipisahkan menjadi:
1) Memisahkan otorisasi transaksi dari pemrosesan transaksi.
2) Pisahkan pencatatan dari penyimpanan aset.
3) Pembagian tugas pemrosesan transaksi antara individu-individu sedemikian rupa untuk
mencegah terjadinya kolusi singkat antara dua atau lebih individu yang menipu
Aktivitas pemisahan kemudian dilakukan dengan menggunakan bagan organisasi pada gambar
2.2 sebagai referensi, yaitu:
1) Memisahkan pengembangan sistem dari operasi computer
2) Memisahkan administrasi basiss data dari fungsi lainnya
3) Memisahkan pengembangan sistem baru dari pemeliharaan
4) Struktur unggul untuk pengembangan sistem
3. Model Terdistribusi
Distributed Data Processing (DDP) atau pemrosesan data terdistribusi merupakan konsep dari
sebuah alternatif model terpusat. DDP mereorganisasi fungsi TI pusat menjadi unit TI lebih kecil yang
ditempatkan dibawah kendali pengguna akhir. Pendistribusian TI dapat dilakukan sesuai dengan fungsi
bisnis dan lokasi geografis.
Ada dua pendekatan alternatif DDP yaitu; 1. Merupakan varian dari model terpusat dengan
perbedaan dimana mikrokumputer didisttribusikan kepada pegguna akhir untuk menangani input dan
output, 2. Penyimpanan signifikan model terpusat dimana pendistribusian semua layanan komputer ke
pengguna akhir dan beroperasi sebagai unit mandiri.
Dalam pengimplementasian DDP terdapat resiko organisasi yang perlu diperhatikan yaitu:
1) Penggunaan sumber daya yang tidak efisien
2) Penghancuran jejak audit
3) Pemisahan tugas yang tidak memadai
4) Mempekerjakan professional berkualitass
5) Kurangnya standar
4. Mengontrol Lingkungan
Hal yang perlu diperhatikan sebelum beralih ke DDP yaitu mempertimbangkan penuh mengenai
dampak dalam pencapaian tujuan bisnis dengan menerapkan struktur organisasi terdistribusi karena
tidak selamanya inisiatif DDP tebukti efektif karena pengambil keputusan melihat manfaat sistem ini
lebih ke simbolis daripada nyata. Akan tetapi resiko DDP dapat dikurangi dengan kehati-hatian dalam
perencanaan dan pelaksanaan kendali.
Perbaikan model DDP dapat dilakukan dengan:
1) Menerapkan fungsi TI Perusahaan
2) Tujuan audit
3) Prosedur-prosedur audit
C. THE COMPUTER CENTER
Tujuan dari bagian ini adalah untuk mengurangi resiko dan menciptakan lingkungan yang
aman dengan menyajikan resiko pusat komputer dan kontrol. Kualitas informasi, catatan akuntansi,
pemrosesan transaksi, dan efektifitas pengendalian internal yang lebih konvensional dapat dipengaruhi
oleh beberapa area eksposur berikut:
1) Lokasi fisik
Pusat komputer sebaiknya siletakkan pada posisi yang aman dari manusia dan bencana alam
untuk menghindari resiko kerusakan terhadap bencana alam ataupun bencana buatan
manusia.
2) Konstruksi
Idealnya, pusat komputer harus ditempatkan di gedung satu l antai dengan konstruksi kokoh
dengan akses terkontrol.
3) Akses
Pembatasan akses ke pusat komputer untuk operator dan karyawan lain yang bekerja disana.
4) AC
Suhu 70 hingga 75 derajat Fahrenheit dengan relatif kelembapan 50% sehingga lingkungan
ber-AC merupakan tempat paling baik.
5) Fire Suppression
Kebakaran merupakan ancaman yang paling serius bagi peralatan komputer perusahaan.
Kebakaran pada perusahaan dapat mengakibatkan hilangnya catatan penting yang dapat
menyebabkan kebangkrutan pada perusahaan sehingga sangat dierlukan adanya penerapan
sistem pemadam kebakaran.
6) Toleransi kesalahan
Toleransi kesalahan merupakan kemampuan sistem untuk melanjutkan operasi ketika ada
bagian sistem yang gagal oleh kegagalan perangkat keras, kesalahan program aplikasi, atau
kesalahan operator. Dengan menerapkan toleransi kesalahan ini, potensi kesalahan dapat
dipastikan tidak ada satu titikpun.
7) Tujuan Audit
Keamanan pusat komputer perlu dievaluasi, sehingga yang harus diverivikasi secara khusus
ole auditor adalah:
a. Kontrol keamanan fisik memadai untuk melindungi organisasi secara wajar dari eksposur
fisik
b. P erlindungan asuransi pada peralatan memadai untuk mengkompensasi organisasi atas
kehancuran, atau kerusakan, pusat komputernya
8) Prosedur Audit
Beberapa tes kontrol keamanan fisik sebagai berikut
a. Tes konstruksi fisik
b. Pengajuan sistem deteksi kebakaran
c. Tes kontrol akses
d. Tes RAID
e. Tests of the Uninterruptible Power Supply
f. Tes untuk perlindungan asuransi
Pada gambaar diatas, dapat dilihat bahwa tiga kategori yang dimaksud adalah:
1) Bencana alam
Angin topan, banjir dan gempa bumi merupakan yang paling berppotensi menghancurkan
2) bencana buatan manusia, abotase atau kesalahan bisa sama merusaknya akan tetapi
cakupan batasnya cenderug lebih terbatas.
3) kegagalan sistem, atau juga kegagalan hard drive adalah yang paling sering terjadi akan
tetapi umumnya tidak terlalu parah
fasilitas pemrosesan data, fungsi bisnis organisasi dapat hilang akibat dari bencana
diatas, sehingga beberapaa perusahaan, hilangnya beberapa jam pemrosesan data komputer
dapat menjadi bencana besar.
Bencana sperti diiattas tidak dapat diceggah maupun dihindari, akan tetapi dampak
penuh dari bencana diatas dapaat diminimalisir dengan adanya perencanaan kontijensi yang
cermat. Oleh sebab itu, didalam Disaster Recorvery Plan (DRP) prosedur pemulihan
dikembangka dan diformalkan untuk bertahan dari bencana-bencana diatas. Rencana yang
dapat diterapkan setelah semua jenis bencana memiliki empat fitur umum berikut:
1) mengidentifikasi aplikasi penting
2) membuat tim pemulihan bencana
3) menyediakan cadangan situs
4) menentukan prosedur pencadangan dan penyimpanan di luar lokasi
Peristiwa outsourcing IT skala besar merupakan upaya yang beresiko, salah satu alasannya
adalah karena kesepakatan keuangan besar dan juga sifatnya. Berikut beberapa masalah yang
terdokumentasi dengan baik:
1) Kinerja yang gagal
2) Ekploitasi vendor
3) Biaya outsourcing melebihi manfaat
4) Keamanan berkurang
5) Kehilangan keunggulan srategis
G. IMPLIKASI AUDIT DARI IT OUSOURCING
Manajemen dapat melakukan outsourcing fungsi TI organisasinya, tetapi tidak bisamelakukan
outsourcing tanggung jawab manajemennya di bawah SOX untuk memastikan TI yang
memadaipengendalian internal. PCAOB secara khusus menyatakan dalam Auditing Standard
No.2,“Penggunaan organisasi layanan tidak mengurangi tanggung jawab manajemenuntuk
mempertahankan pengendalian internal yang efektif atas pelaporan keuangan. Sebaliknya,
penggunamanajemen harus mengevaluasi pengendalian pada organisasi jasa, sertapengendalian
terkait di perusahaan pengguna, ketika membuat penilaiannya tentang internalkontrol atas
pelaporan keuangan. " Oleh karena itu, jika perusahaan klien audit melakukan outsourcing IT-
nyaberfungsi untuk vendor yang memproses transaksinya, menghosting data kunci, atau
melakukanjasa penting lainnya, auditor perlu melakukan evaluasi terhadapkontrol organisasi
vendor, atau sebagai alternatif mendapatkan SAS No. 70 dari auditor organisasi vendor.
Laporan SAS 70, yang disiapkan olehauditor vendor, untuk menguji kecukupan pengendalian
internal vendor.Ini adalah cara dimana vendor outsourcing dapat memperoleh audit
tunggallaporan yang dapat digunakan oleh audi tors kliennya dan dengan demikian menghalangi
kebutuhansetiap auditor perusahaan klien melakukan auditnya sendiri-sendiri terhadap organisasi
vendorpengendalian internal.
Gambar diatas merupakan ilustrasi bagaimana laporan SAS 70 bekerja dalam kaitannya dengan
vendor, klien perusahaan, dan auditor masing-masing. Vendor outsourcing melayani klien 1, 2,3,
dan 4 dengan berbagai layanan IT. Kontrol internal atas outsourcing layanan berada di lokasi
vendor. Mereka diaudit oleh auditor vendor,yang mengungkapkan pendapat dan menerbitkan
laporan SAS 70 tentang kecukupan kontrol.
DAFTAR PUSTAKA
Hall, James A. 2011. “Information Technology Auditing and Assurance, Third Edition”. South
western:Cengage Learning