AUDITING IT GOVERNANCE CONTROLS

Halaman Judul
Tugas Mata Kuliah

Auditing EDP

Oleh Kelompok 9 :

Lailatus Sholikhah 170810301043

Novi Ummi Humairoh 170810301345

Silvia Ayu Indriaty 180810301171

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS JEMBER

2020
 BAB I

PENDAHULUAN

1.1 Latar Belakang

Tata Kelola Teknologi Informasi atau Information Technology Governance adalah suatu
struktur hubungan dan proses yang mengarahkan serta mengendalikan organisasi untuk
mencapai tujuannya dengan menambahkan beberapa nilai ketika menyeimbangkan risiko
dibandingkan dengan Teknologi Informasi (TI) dan prosesnya. Berdasarkan IT Governance
Institute (TIGI) TKTI merupakan suatu tanggung jawab dari pimpinan organisasi serta eksekutif
manajemen.

Topik ini menarik untuk dipelajari karena memaparkan tentang risiko, pengendalian, dan
pengujian kontradiksi yang terkait dengan pengukur TI. Makalah ini dibuka dengan
mendefinisikan tata kelola TI dan unsur-unsur tata kelola TI yang mempengaruhi pengendalian
internal dan implikasi pelaporan keuangan. Pertama, menyajikan eksposur yang timbul dari
penataan fungsi TI yang tidak tepat. Selanjutnya, review chopter pusat penyusun meliputi
melindunginya dari kerusakan dan perusakan dari bahan-bahan alami, kebakaran, kerusakan,
dan kelembaban. Kemudian menyajikan elemen kunci dari rencana pemulihan bencana,
termasuk menyediakan backup situs kedua, mengidentifikasi aplikasi kritik, melakukan prosedur
cadangan dan pemotongan di luar lokasi, membuat tim pemulihan bencana, dan menguji
rencana tersebut. Bagian terakhir dari makalah menyajikan isu-isu tentang tren yang
berkembang menuju outsourcing TI. Dimana kunci di balik keputusan manajemen untuk
melakukan outsourcing telah dieksplorasi. Makalah ini juga mengungkapkan manfaat yang
diharapkan dan risiko yang terkait dengan outsourcing.

1
1.2 Rumusan Masalah

1. Bagaimana tata kelola teknologi informasi?

2. Bagaimana fungsi dari struktur teknologi informasi?
3. Apa yang dimaksud dengan pusat computer?
4. Bagaimana cara perencanaan dan pemulihan bencana?
5. Apa yang dimaksud dengan outsourcing fungsi IT

1.3 Tujuan

1. Untuk mengetahui tata kelola teknologi informasi

2. Untuk mengetahui fungsi dari struktur teknologi informasi?
3. Untuk mengetahui pusat computer
4. Untuk mengetahui cara perencanaan dan pemulihan bencana?
5. Untuk mengetahui outsourcing fungsi IT

2
 BAB II

PEMBAHASAN

2.1 Tata Kelola Teknologi Informasi

Tata kelola teknologi informasi adalah merupakan bagian yang baru dari tata kelola
perusahaan yang berfokus pada manajemen dan penilaian sumber daya strategis TI. tujuan
utama tata kelola TI adalah untuk mengurangi risiko dan memastikan bahwa investasi
dalam sumber daya TI menambah nilai bagi perusahaan. sebelum Undang-undang
sarbanes-oxley (SOC), praktik umum mengenai investasi TI adalah untuk menunda semua
keputusan kepada profesional TI perusahaan. Namun tata kelola TI modern mengikuti
filosofi bahwa semua perusahaan, pemangku kepentingan, termasuk dewan direksi,
manajemen tertinggi, dan pengguna departemen menjadi peserta aktif dalam keputusan
utama TI. keterlibatan berbasis dewan tersebut mengurangi risiko dan meningkatkan
kemungkinan bahwa keputusan TI akan sesuai dengan kebutuhan pengguna, kebijakan
perusahaan, inisiatif strategis, dan persyaratan kontrol internal di bawah SOX.

2.2 Kontrol Tata Kelola Teknologi Informasi

Tiga masalah tata kelola TI yang ditangani oleh SOX dan kerangka kerja pengendalian
internal COSO adalah :

1. Struktur organisasi dari fungsi TI

2. Operasi pusat komputer
3. Perencanaan pemulihan bencana

Diskusi tentang masing-masing masalah tata kelola ini dimulai dengan penjelasan
tentang sifat risiko dan deskripsi kontrol yang diperlukan untuk mengurangi risiko. kemudian
tujuan audit disajikan, menetapkan apa yang perlu diverifikasi mengenai fungsi kontrol yang
ada. Akhirnya, contoh uji control ditawarkan yang menggambarkan bagaimana auditor
dapat mengumpulkan bukti untuk memenuhi tujuan audit. Tes ini dapat dilakukan oleh
auditor eksternal sebagai bagian dari layanan bukti mereka atau oleh auditor internal yang
memberikan bukti kepatuhan manajemen dengan SOX.

3
2.2 Struktur Fungsi Teknologi Informasi

2.2.1 Pemrosesan Data Terpusat

Di bawah model pemrosesan data terpusat, semua pemrosesan data dilakukan

oleh satu atau lebih komputer besar yang bertempat di situs pusat yang melayani
pengguna di seluruh organisasi. Kegiatan layanan TI dikonsolidasikan dan dikelola
sebagai sumber daya organisasi saham. pengguna akhir bersaing untuk sumber daya
ini berdasarkan kebutuhan. Fungsi Layanan TI biasanya diperlakukan sebagai pusat
biaya ketika biaya operasi dibebankan kembali kepada pengguna akhir.

1. Administrasi basis data

Perusahaan yang dikelola secara terpusat memelihara sumber daya data mereka
di lokasi pusat yang dibagikan oleh semua pengguna akhir. Dalam pengaturan
data bersama ini. Grup independen yang dipimpin oleh administrator basis data
(DBA) bertanggung jawab untuk keamanan dan integritas basis data
2. Pengolahan Data
Kelompok pemrosesan data mengelola sumber daya komputer yang digunakan
untuk melakukan pemrosesan transaksi sehari-hari. Terdiri dari fungsi organisasi
berikut: konversi data, operasi komputer dan pustaka data
3. Pengembangan dan pemeliharaan sistem
Kebutuhan sistem informasi pengguna dipenuhi oleh dua fungsi terkait:
pengembangan sistem dan pemeliharaan sistem. Kelompok sebelumnya
bertanggung jawab untuk menganalisis kebutuhan pengguna dan untuk
merancang sistem baru untuk memenuhi kebutuhan tersebut. Para peserta dalam
kegiatan pengembangan sistem termasuk para profesional sistem, pengguna akhir
dan pemangku kepentingan

2.2.2 Pemisahan Fungsi-Fungsi TI Yang Tidak Kompatibel

Pentingnya memisahkan tugas yang tidak sesuai dalam kegiatan manual.

khusus, tugas operasional harus dipisahkan ke:

1. memisahkan otorisasi transaksi dari pemrosesan transaksi

2. memisahkan pencatatan dari penyimpanan aset

4
 3. membagi tugas pemrosesan transaksi di antara individu sedemikian rupa
sehingga kekurangan kolusi antara dua atau lebih individu penipuan tidak akan
mungkin terjadi

2.3 Pemisahan Fungsi Teknologi yang Tidak Kompatibel

Secara khusus, tugas operasional harus dipisahkan menjadi :

1. Otorisasi transaksi terpisah dari proses transaksi.

2. Pencatatan terpisah dari penitipan aset.
3. Membagi tugas - tugas pengelolaan transaksi antar individu sehingga
mengurangi adanya kemungkinan penipuan.

Lingkungan TI cenderung mengkonsolidasikan aktivitas. Aktivitas tunggal digunakan

untuk memberi otorisasi, memproses, dan mencatat semua aspek transaksi sehingga fokus
kontrol bergeser dari tingkat operasional (tugas pemrosesan transaksi yang dilakukan
komputer sekarang) ke hubungan organisasi tingkat tinggi dalam fungsi layanan komputer.

a. Memisahkan Pengembangan Sistem dari Operasi Komputer

Pemisahan pengembangan sistem (baik pengembangan dan pemeliharaan sistem
baru) dan kegiatan operasi sangat penting dilakukan. Hubungan antara kelompok –
kelompok ini harus formal, dan tanggung jawab mereka tidak boleh dicampurkan.
Profesional pengembang dan pemeliharaan sistem harus menciptakan (dan
mempertahankan) sistem bagi pengguna, dan seharusnya tidak terlibat dalam
memasukkan data, atau menjalankan aplikasi (misalnya operasi komputer). Staf
operasi harus menjalankan sistem ini dan tidak memiliki keterlibatan dalam desain
mereka. Fungsi – fungsi ini pada dasarnya tidak sesuai dan mengkonsolidasikannya
dapat mengundang kesalahan dan kecurangan. Dengan pengetahuan yang rinci
mengenai logika dan parameter kontrol aplikasi dan akses ke sistem operasi dan
utilitas komputer, seseorang dapat membuat perubahan yang tidak sah terhadap
aplikasi selama pelaksanaannya. Perubahan ini bersifat sementara dan akan hilang
tanpa jejak saat aplikasi berakhir.
b. Memisahkan Administrasi Database dari Fungsi Lain
Kontrol organisasi lain yang penting adalah pemisahan database administrator
(DBA) dan fungsi pusat komputer lainnya. Fungsi DBA bertanggung jawab atas
tugas penting yang berkaitan dengan keamanan database, termasuk membuat
skema database dan tampilan pengguna, menetapkan otoritas akses database

5
 kepada pengguna, memantau penggunaan basis data, dan merencanakan
perluaasan di masa depan. Mendelegaikan tanggung jawab ini kepada orang lain
yang melakukan tugas yang tidak sesuai mengancam integritas.
c. Memisahkan Sistem Baru Pembangunan dari Pemeliharaan
Beberapa perusahaan mengatur fungsi pengembangan sistem rumah mereka
menjadi dua kelompok : analisis dan pemrograman sistem. Kelompok analisis sistem
bekerja dengan pengguna untuk menghasilkan desain yang terperinci dari sistem
baru. Kelompok pemrograman membuat kode program yang sesuai dengan
spesifikasi desain ini. Dengan pendekatan ini, pogramer yang membuat kode
program asli juga memelihara sistem selama fase pemeliharaan siklus
pengembangan sistem. Meskipun pengaturannya sama, pendekatan ini dikaitkan
dengan dua jenis kontrol masalah yaitu dokumentasi yang tidak memadai dan
potensi kecurangan program.
1) Dokumentasi yang tidak memadai
Dokumentasi sistem yang memiliki kualitas buruk adalah masalah TI yang
kronis dan tantangan yang signifikan bagi banyak organisasi. Ada dua
penjelasan untuk permasalahan ini. Pertama, mendokumentasikan sistem
tidak semenarik merancang, menguji dan menerapkannya. Profesional
sistem lebih memilih untuk beralih ke proyek baru yang menarik daripada
dokumen yang baru diselesaikan. Alasan kedua untuk dokumentasi yang
buruk adalah keamanan kerja. Saat sistem didokumentasikan dengan buruk,
akan sulit untuk menafsirkan dan menguji. Oleh karena itu programer yang
memahami sistem mempertahankan kekuatan daya tawar sangat diperlukan.
Ketika programer meninggalkan perusahaan, maka seorang programer baru
mewarisi tanggung jawab pemeliharaan terhadap sistem yang tidak
terdokumentasi tergantung kompleksitasnya, masa traansisi mungkin lama
dan mahal.
2) Program penipuan
Ketika pemrogram asli dari suatu sistem juga diberi tanggung jawab
pemeliharaan, potensi kecurangan meningkat. Kecurangan program
melibatkan perubahan yang tidak sah pada modul program untuk tujuan
melakukan tindakan ilegal. Pemrogram asli mungkin berhasil
menyembunyikan kode palsu di antara ribuan baris kode yang sah dan
ratusan modul yang membentuk sistem. Agar kecurangan berhasil,

6
 programmer harus dapat mengendalikan situasi melalui akses eksklusif dan
tidak terbatas terhadap program aplikasi. Pemrogram perlu melindungi kode
palsu dari deteksi yang tidak disengaja oleh pemrogram lain yang melakukan
perawatan atau oleh auditor yang menguji kontrol aplikasi. Oleh karena itu,
memiliki tanggung jawab penuh untuk pemeliharaan adalah elemen penting
dalam skema pemrogram duplikat. Melalui otoritas pemeliharaan ini,
pemrogram dapat dengan bebas mengakses sistem, menonaktifkan kode
penipuan selama audit dan kemudian mengembalikan kode saat pantai
menjadi jelas. Penipuan semacam ini bisa berlanjut bertahun-tahun tanpa
deteksi.
d. Struktur Unggulan untuk Pengembang Sistem
Struktur organisasi yang unggul memiliki fungsi pengembangan sistem yang dipisahkan
menjadi dua kelompok yang berbeda, yaitu pengembangan sistem baru dan
pemeliharaan sistem. Kelompok pengembangan sistem baru bertanggung jawab untuk
merancang, memprogram, dan mengimplementasikan proyek sistem yang baru. Setelah
berhasil diimplementasikan tanggung jawab atas pemeliharaan berkelanjutan sistem ini
sampai pada kelompok pemeliharaan sistem. Pertama, standar dokumentasi ditingkatkan
karena kelompok pemeliharaan memerlukan dokumentasi untuk melaksanakan tugas
perawatannya. Tanpa dokumentasi lengkap dan memadai, transfer formal tanggung
jawab sistem dari pengembangan sistem baru ke pemeliharaan sistem tidak dapat
terjadi. Kedua, menolak akses programmer asli di masa depan untuk mencegah adanya
program penipuan. Keberhasilan pengendalian ini bergantung pada adanya kontrol lain
yang membatasi, mencegah, dan mendeteksi akses tidak sah ke program.

2.4 Model Terdistribusi

Sebuah alternatif untuk model terpusat adalah konsep distribusi data pengolahan
(DDP). DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI kecil yang berada di
bawah kendali pengguna akhir. Unit TI dapat didistribusikan sesuai dengan fungsi bisnis,
lokasi geografis, atau keduanya. Tingkat di mana distribusinya akan bebeda-beda tergantung
pada filosofi dan tujuan manajemen organisasi.

1. Risiko Terkait dengan DDP

Ada beberapa masalah potensial yang perlu dipertimbangkan saat menerapkan
DDP. Masalah potensial tersebut meliputi :

7
a) Penggunaan Sumber Daya yang Tidak Efisien
DDP dapat mengekspos dan mengorganisir tiga jenis risiko yang terkait
dengan penggunaan sumber daya yang tidak efisien, yaitu :
 Adanya risiko salah pengelolaan sumber daya TI di seluruh organisasi
oleh pengguna akhir.
 DDP dapat menimbulkan risiko inefisiensi operasional karena adanya
tugas berlebihan yang dilakukan dalam komite pengguna akhir.
 Lingkungan DDP menimbulkan risiko perangkat keras dan perangkat
lunak yang tidak kompartibel di antara fungsi pengguna akhir.
b) Penghancuran Jalur Audit
Jejak audit memberikan keterkaitan antara aktivitas keuangan (transaksi)
komersil dan laporan keuangan yang melapor pada kegiatan tersebut. Dalam
sistem DDP, jalur audit terdiri dari serangkaian file transaksi digital yang
berada sebagian atau seluruhnya pada komputer pengguna akhir. Apabila
pengguna akhir tidak sengaja menghapus salah satu file atau melakukan
kesalahan transaski dalam file audit maka jejak audit bisa rusak dan tidak
bisa dipulihkan.
c) Pemisahan Tugas yang Tidak Memadai
Pemisahan tugas yang memadai mungkin tidak dapat dilakukan di beberapa
lingkungan distribusi. Distribusi layanan TI kepada pengguna dapat
menghasilkan penciptaan unit independen kecil yang tidak mengizinkan
pemisahan fungsi yang tidak sesuai yang diinginkan. Situasi semacam itu
akan menjadi pelanggaran mendasar pengendalian internal.
d) Mempekerjakan Profesional Berkualitas
Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI guna
melakukan evaluasi kredensial teknis dan pengalaman relevan mengenai
kandidat yang termasuk posisi profesional TI. Untuk alasan ini, manajer
mungkin mengalami kesulitan menarik personil berkualifikasi tinggi. Risiko
kesalahan pemrograman dan kegagalan sistem meningkat secara langsung
dengan tingkat ketidakmampuan karyawan.
e) Kurangnya Standar
Karena distribusi tanggung jawab di lingkungan DDP, standar untuk
mengembangkan dan mendokumentasikan sistem, memilih bahasa
pemrograman, memperoleh perangkat keras dan perangkat lunak, dan

8
 mengevaluasi kinerja mungkin tidak rata diterapkan atau bahkan tidak
ada. Penentang DDP berpendapat bahwa risiko yang terkait dengan
perancangan dan pengoperasian sistem DDP dapat dilakukan hanya jika
standar tersebut diterapkan secara konsisten.

2. Keuntungan DDP
Ada beberapa keuntungan DDP, yaitu :
a. Pengurangan Biaya
Menggunakan DDP telah mengurangi biaya di dua area lainnya: (1) data dapat
diedit dan dimasukkan oleh pengguna akhir, sehingga menghilangkan tugas
terpusat dari persiapan data; dan (2) kompleksitas aplikasi dapat dikurangi,
yang pada akhirnya mengurangi biaya pengembangan dan pemeliharaan
sistem.
b. Tanggung Jawab Kontrol Biaya yang Lebih Baik
Manajer pengguna akhir bertanggung jawab atas keberhasilan operasi
sehingga mereka diberi wewenang untuk membuat keputusan tentang
sumber daya yang mempengaruhi keberhasilan secara keseluruhan. Ketika
manajer dilarang membuat keputusan yang diperlukan untuk mencapai
tujuan mereka, kinerjanya dapat terpengaruh secara negatif. Pendukung
DDP berpendapat bahwa manfaat dari sikap manajemen yang lebih baik
lebih besar daripada biaya tambahan yang dikeluarkan untuk
mendistribusikan sumber daya ini. Mereka berpendapat bahwa jika
kemampuan TI memang penting bagi keberhasilan operasi bisnis, maka
manajemen harus diberi kontrol atas sumber daya ini. 
c. Peningkatan Kepuasan Pengguna
Manfaat DDP yang paling sering dikutip adalah peningkatan kepuasan
pengguna. Pendukung DDP mengklaim bahwa sistem distribusi kepada
pengguna akhir memperbaiki tiga area kebutuhan yang sering tidak
terpuaskan pada model terpusat: (1) Pengguna ingin mengendalikan sumber
daya yang mempengaruhi keuntungan mereka; (2) pengguna menginginkan
sistem profesional (analis, pemrogram, dan operator komputer) untuk
bersikap responsif terhadap situasi spesifik mereka; dan (3) pengguna ingin
lebih terlibat secara aktif dalam mengembangkan dan menerapkan sistem
mereka sendiri.

9
 d. Fleksibilitas Cadangan
Argumen terakhir yang mendukung DDP adalah kemampuan untuk
mencandangkan fasilitas komputerisasi guna melindungi dari potensi
bencana seperti kebakaran, banjir, sabotase, dan gempa bumi. Satu-satunya
cara untuk mencadangkan sebuah situs komputer utama melawan bencana
tersebut adalah dengan menyediakan fasilitas komputer kedua. Setiap unit TI
yang terpisah secara geografis dapat dirancang dengan kapasitas
berlebih. Jika bencana menghancurkan satu situs, situs lain dapat
menggunakan kelebihan kapasitas mereka untuk memproses transaksi situs
yang hancur. Tentu, pengaturan ini memerlukan koordinasi yang erat antara
manajer pengguna akhir untuk memastikan bahwa mereka tidak menerapkan
perangkat keras dan perangkat lunak yang tidak kompatibel.

2.5 Mengontrol Lingkungan DDP

DPP memiliki nilai prestise terdepan, yang selama analisis pro dan kontranya, dapat
membebani pertimbangan penting manfaat ekonomi dan kelayakan operasional. Beberapa
organisasi telah beralih ke DDP tanpa mempertimbangkan sepenuhnya apakah struktur
organisasi terdistribusi akan mencapai tujuan bisnis mereka dengan lebih baik. Banyak
inisiatif DDP dan bahkan kontraproduktif, karena pembuat keputusan melihat kebajikan
sistem ini yang lebih simbolis daripada nyata. Sebelum mengambil langkah yang tidak
dapat dipulihkan, pengambil keputusan harus menilai manfaat sebenarnya dari DDP untuk
organisasinya. Meskipun demikian, perencanaan dan implementasi kontrol yang hati-hati
dapat mengurangi beberapa risiko DDP yang telah dibahas sebelumnya. Bagian ini
mengulas beberapa perbaikan model DDP yang ketat.

Melaksanakan fungsi IT perusahaan

Model yang sepenuhnya terpusat dan model terdistribusi mewakili posisi ekstrim pada
rangkaian alternatif struktural. Kebutuhan perusahaan kebanyakan berada di antara titik
akhir ini. Seringkali, masalah kontrol yang telah dijelaskan sebelumnya dapat diatasi
dengan menerapkan fungsi TI perusahaan.
Fungsi ini sangat dikurangi ukuran dan status dari model terpusat, grup TI perusahaan
menyediakan pengembangan sistem dan pengelolaan basis data untuk sistem entitas yang
luas yang ditambahkan ke saran teknis dan keahlian kepada komunitas TI terdistribusi.
a. Pengujian pusat perangkat lunak dan perangkat keras komersial

10
 Papan TI perusahaan yang terpusat lebih baik dilengkapi daripada pengguna akhir
untuk mengevaluasi kelebihan perangkat lunak komersial dan produk perangkat
keras yang bersaing di bawah pertimbangan. Dorongan teknis secara umum seperti
ini dapat mengevaluasi fitur, kontrol dan kompatibilitas sistem dengan standar
industri dan organisasi. Hasil uji kemudian dapat didistribusikan ke area pengguna
sebagai standar untuk membimbing keputusan pengambil keputusan. Hal ini
memungkinkan organisasi untuk secara efektif memusatkan akuisisi, pengujian dan
implementasi perangkat lunak dan perangkat keras dan menghindari banyak
masalah yang dibahas sebelumnya.
b. Layanan pengguna
Sebuah sifat yang berharga dari grup perusahaan adalah fungsi layanan
penggunanya. Kegiatan ini memberikan bantuan teknis kepada pengguna selama
pemasangan perangkat lunak baru dan dalam mengatasi masalah masalah
perangkat keras dan perangkat lunak. Pembuatan papan buletin elektronik untuk
pengguna dengan cara yang sangat baik untuk menyumbang informasi tentang
masalah umum dan memungkinkan berbagi program yang dikembangkan
pengguna dengan orang lain dalam organisasi. Selain itu, ruang obrolan bisa dibuat
untuk memberikan diskusi berulir, sering, bertanya pertanyaan dan dukungan
intranet. Fungsi TI perusahaan juga bisa menyediakan meja bantuan, di mana
pengguna dapat menelepon dan mendapat tanggapan cepat terhadap pertanyaan
dan masalah. Di banyak oganisasi staf layanan pengguna mengajarkan kursus
teknik untuk pengguna akhir dan juga untuk petugas layanan komputer.
Peningkatan tingkat kesadaran pengguna dan mendorong berlanjutnya pendidikan
tenaga teknis
c. Standar pengaturan tubuh
Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh model DDP
dapat ditingkatkan dengan menetapkan beberapa panduan utama. Kelompok
perusahaan dapat berkontribusi pada tujuan ini dengan menetapkan dan
mendistribusikan ke area pengguna sesuai standar untuk pengembangan,
pemrograman, dan dokumentasi sistem.
d. Ulasan Personalia
Kelompok korporat seringkali lebih baik dilengkapi daripada pengguna untuk
mengevaluasi kredensial teknis dari proffesional sistem prospektif. Meskipun
profesional sistem benar-benar akan menjadi bagian dari kelompok pengguna akhir,

11
 penyatuan kelompok perusahaan dalam keputusan kerja dapat memberi nilai
berharga bagi organisasi.

Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI sedemikian rupa
sehingga individu-individu di daerah yang tidak sesuai dipisahkan sesuai dengan tingkat
risiko potensial dan dengan cara yang mendorong lingkungan kerja. Ini adalah lingkungan
di mana hubungan formal, daripada santai, harus ada antara tugas yang tidak sesuai.

Prosedur Audit
Prosedur audit berikut akan diterapkan pada organisasi dengan fungsi TI terpusat
1. Tinjau dokumentasi yang relevan, termasuk bagan organisasi saat ini,
pernyataan misi dan uraian tugas untuk fungsi utama, untuk menentukan
apakah individu atau kelompok melakukan fungsi yang tidak sesuai.
2. Tinjau dokumentasi sistem dan catatan pemeliharaan untuk contoh aplikasi.
Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan ke proyek tertentu
juga bukan pemrogram desain asli.
3. Pastikan operator komputer tidak memiliki akses ke rincian operasional logika
internal sistem. Dokumentasi sistem Seperti diagram alir sistem, diagram alur
logika dan daftar kode program, seharusnya tidak menjadi bagian dari
dokumentasi operasi Anda.
4. Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti dalam
praktik. Tinjau log akses ruang operasi untuk menentukan apakah pemrogram
memasukkan fasilitas untuk alasan selain kegagalan sistem.

Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi:
1. Tinjau bagan orgnizational terkini, pernyataan misi dan uraian tugas untuk
fungsi utama untuk menentukan apakah individu atau kelompok melakukan
tugas yang tidak sesuai.
2. Verifikasi bahwa rancangan, dokumentasi, dan perangkat keras dan perangkat
lunak rancangan dan kebijakan perusahaan standar dipublikasikan dan
diserahkan ke unit TI terdistribusi.

12
 3. Verifikasi bahwa kontrol kompensasi, seperti pengawasan dan pemantauan
manajemen, digunakan saat pemisahan tugas yang tidak kompatibel secara
ekonomi dapat infesible.
4. Tinjau ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur
dan database dirancang dan berfungsi sesuai dengan standar perusahaan.

2.6 Computer Center

Auditor harus memeriksa lingkungan fisik pusat komputer sebagai bagian dari audit
tahunan.Tujuan bagian ini adalah untuk meninjau: Risiko Pusat Komputer, Kontrol
dilakukan untuk mengurangi risiko dan menciptakan lingkungan yang aman
1.3.1 Physical Location
Lokasi fisik yang harus diatur agar tidak terjadi kerusakan yg diakibatkan oleh
bencana alam ataupun kesalahan yang dilakukan oleh manusia. Contoh:
Perusahaan diusahakan mencari atau memilih lokasi tempat yang tepat untuk
menghindari terjadi bencana alam seperti gempa bumi atau banjir.
1.3.2 Construction
Kondisi bangunan tempat dimana komputer atau pusat data harus dalam
keadaan bagus dan kokoh agar tidak mudah rubuh dan diusahakan listrik jangan
sampai terputus. Supply listrik harus diperhatikan dan bangunan harus selalu
dalam keadaan bersih dijauhkan dari debu-debu agar pada saat mengakses data
tidak terjadi gangguan pada server.
1.3.3 Access
Keamanan pada pusat server harus diperketat, dapat dilakukan dengan cara
pintu dikunci atau menggunakan kartu pada saat pekerja masuk ruangan agar
tidak semua orang bisa masuk kedalam ruangan server untuk menjaga
keamanan pada penyimpanan data. Dan pada pintu darurat juga diperhatikan,
serta ruangan dipasang kamera perekam (CCTV) agar pada setiap kegiatan
dapat diketahui dan tidak menimbulkan kasus-kasus yang tidak baik dalam
ruangan server.
1.3.4 Air Conditioning
Suhu pada ruangan serverharus diperhatikan harus sesuai dengan kebutuhan
komputer karena bisa terjadi error atau pemrosesan yang lamban akibat suhu
yang panas. Jadi udara diusahakan agar tetap dingin supaya komputer tidak
terganggu pada saat bekerja.

13
1.3.5 Fire Suppression
Penyedia layanan penuh terhadap sistem, termasuk pencegahan kebakaran
harus terstruktur dengan baik. Contoh: Perusahaan harus bisa memilih
penempatan yang tepat untuk meletakkan alat tabung kebakaran atau alarm
kebakaran dan melakukan pelatihan jika terjadi musibah kebakaran maka user
atau pekerja agar mereka tidak panik.
1.3.6 Fault Tolerance
Fault tolerance adalah kemampuan sistem untuk melanjutkan operasinya ketika
sebagian dari sistem tersebut gagal karena adanya kegagalan peranti keras,
kesalahan dalam program aplikasi, atau kesalahan operator.
Cara di mana sistem operasi merespon keras atas kegagalan perangkat lunak.
Istilah ini pada dasarnya mengacu pada kemampuan sistem untuk
memungkinkan kegagalan atau kerusakan, dan kemampuan ini dapat disediakan
oleh perangkat lunak, perangkat keras atau kombinasi keduanya. Untuk
menangani kesalahan ini, beberapa sistem komputer diharapkan memiliki dua
atau lebih sistem data duplikat. Contoh: Perusahaan sebaiknya membuat sistem
bayangan. Jadi membuat data duplikat yang disimpan di tempat lain jika terjadi
kesalahan pada data pertama masih memiliki data duplikat. Dan cara kedua
dengan menggunakan Unit Power Supply (UPS), agar pada saat supply listrik ke
server terputus, terdapat jeda sebelum komputer mati, jadi masih memiliki waktu
untuk menyimpan atau menyelamatkan data.
1.3.7 Audit Objectives
Audit Objective dari IT governance khususnya data center adalah untuk
memastikan bahwa kontrol-kontrol yang ada terhadap data center tersedia
keberadaanya dan berfungsi serta dimaintain dengan baik.
1.3.8 Audit Procedures
Rincian untuk memperoleh bukti audit yang cukup tepat dengan melakukan
pengecekan ulang atau observasi, apakah sudah sesuai dengan prosedur sistem
audit. Contohnya dengan melakukan pengecekan pada area-area terkait,
sebagai berikut:
a. Construction
Melakukan pengecekan pada bangunan apakah sudah terjamin kokoh dan
pemilihan ruangan atau penempatan computer center (yang lebih baik
ditempatkan di lantai atas), serta apakah instalasi listrik sudah dipasang

14
 dengan baik agar tidak terjadi korsleting atau listrik putus pada saat
melakukan proses pada server.

b. Access
Melakukan pengecekan pada alat tapping kartu, apakah alat tersebut sudah
dapat bekerja dengan baik dan tidak terjadi kerusakan, atau keberadaan
CCTV yang berfungsi dengan baik.
c. Air Conditioning
Melakukan pengecekan pada suhu pendingin, apakah sudah sesuai dengan
kebutuhan suhu yang dibutuhkan oleh komputer agar tidak terjadi error.
d. Fire Suppression
Melakukan pengecekan pada tabung alat pemadam kebakaran, apakah
tabung masih terisi dan dapat digunakan jika terjadi kebakaran. Dan
melakukan pengecekan pada alarm kebakaran, apakah alarm berfungsi
dengan baik jika ada tanda-tanda terjadi kebakaran.
e. Fault tolerance
Melakukan pengecekan pada cara-cara mengatasi toleransi kesalahan,
apakah data yang diduplikat sudah terduplikasi dan tersimpan dengan baik
pada server yang lainnya. Dan melakukan pengecekan pada alat UPS
apakah baterai pada UPS masih dapat menyimpan energi listrik yang
digunakan pada saat terjadi pemadaman listrik.
f. Asuransi
Melakukan pendaftaran asuransi pada data server agar jika terjadi hal-hal
yang tidak diinginkan, maka tidak terlalu merugikan perusahaan, serta dicek
apakah asuransi tersebut diperpanjang tiap tahunnya.

2.7 Disaster Recovery Planning (DRP)

Terdapat 3 tipe bencana yang dapat menggagalkan suatu sistem yaitu :

1. Nature atau yang disebabkan oleh bencana alam seperti tornado, kebakaran
dan gempa bumi. Dimana bencana alam ini yang paling berpotensi
menghancurkan secara geografis yang berdampak tidak hanya dalam satu
organisasi namun dapat menghancurkan suatu organisasi dala suatu wilayah.

15
 2. Human- made atau yang disebabkan manusia seperti sabotase, error dan
lainnya dimana dampak yang disebabkan oleh manusia hanya mempengaruhi
satu organisasi yang cenderung terbatas untuk cangkupan dampaknya.

3. System failure seperti pemadaman listrik, kegagalan hard drive dimana

kegagalan ini umunya kurang parah, namun paling sering terjadi.

Dari tiga bencana diatas dapat membuat suatu organisasi atau perusahaan dpat
kehilangan fasilitas pemrosesan datanya, menghentikan fungsi-fungsi bisnis apabila
bisnisnya dilakukan dengan komputer yang membuat perusahaan kehilangan
kemampuan bisnisnya. Semakin sebuah organisasi bergantung pada teknologi maka
semakin rentan terhadap resiko kegagalan suatu sistem. Maka dari itu untuk mencegah
dari suatu sistem. Perusahaan mengembangkan rencana pemulihan bencana (DRP).
Perencanaan pemulihan adalah perencanaan yang dibuat untuk membantu perusahaan
dalam melakukan pemulihan agar proses bisnis dapat berjalan kembali. Spesifikasi dari
disaster rocovery plan itu sendiri, terdiri dari empat aktivitas dasar, yakni.

a. Indentifikasi aplikasi penting

b. Membuat tim pemulihan bencana
c. Menyediakan site backup
d. Menentukan cadangan dan prosdur diluar site/ lokasi.

A. Indentifikasi aplikasi penting.

Hal pertama dari DRP adalah untuk mengidentifikasi aplikasi penting perusahaan dan
file data terkait. Upaya pemulihan harus berkonsentrasi pada mengembalikan aplikasi yang
sangat penting bagi kelangsungan hidup jangka pendek organisasi. Jelas, dalam jangka
panjang, semua aplikasi harus dikembalikan ke level aktivitas bisnis pre-disaster. DRP,
bagaimanapun, adalah dokumen jangka pendek yang tidak boleh mencoba mengembalikan
fasilitas pemrosesan data organisasi ke kapasitas penuh segera setelah bencana. Untuk
melakukannya akan mengalihkan sumber daya dari area kritis dan menunda pemulihan.
Karena itu rencana tersebut harus fokus pada kelangsungan hidup jangka pendek, yang
berisiko dalam skenario bencana apa pun.

B. Membuat Tim Pemulihan Bencana

Pemulihan dari bencana tergantung pada tindakan korektif yang tepat waktu.
Keterlambatan dalam melakukan tugas-tugas penting memperpanjang masa pemulihan dan
mengurangi prospek untuk pemulihan yang berhasil. Untuk menghindari kelalaian serius

16
 atau duplikasi upaya selama implementasi rencana kontinjensi, tanggung jawab tugas harus
didefinisikan secara jelas dan dikomunikasikan kepada personel yang terlibat. Setelah
terjadinya bencana, anggota tim akan mendelegasikan berbagai subpekerjaan ke bawahan
mereka. Lingkungan yang terbentuk akibat rencana mungkin mengharuskan dilakukannya
pelanggaran atas teknik pengendalian, seperti pemisahan pekerjaan, pengendalian akses,
dan pengawasan.

2.8 Menyediakan Backup Situs Kedua

Hal yang diperlukan dalam DPR adalah untuk menyediakan salinan data setelah
terjadinya kerusakan. Dari berbagai pilihan yang tersedia, berikut adalah yang paling
umum.

1. Pakta Bantuan Bersama

Persetujuan antara dua atau lebih oranisasi (dengan fasilitas komputer yang sesuai)
untuk saling membantu dalam pemrosesan data yang dibutuhkan pada saat terjadi
kerusakan. Ketika suatu kerusakan terjadi, perusahaan host memutus jadwal
pemrosesannya untuk memproses aplikasi perusahaan yang rusak. Hal ini berakibat
perusahaan host herus mengubah menjadi mode bahaya.
2. Shell Kosong
Shell kosong atau cold site adalah pengaturan dimana perusahaan membeli atau
menyewa bangunan yang akan berfungsi sebagai pusat data. Apabila terjadi suatu
kerusakan atau bencana maka shell akan tersedia dan siap untuk menerima
perangkat keras yang dibutuhkan pengguna sementara untuk menjalankan sistem.
3. Pusat Operasi Pemulihan
ROC atau Hot Site adalah pusat data cadangan lengkap yang dimiliki oleh banyak
perusahaan. Penyedia ROC juga menyediakan berbagai layanan teknis untuk clien
mereka yang membayar iuran tahunan untuk hak akses.
4. Backup yang diberikan secara internal
Perusahaan-perusahaan besar dengan pusat pemrosesan data yang banyak lebih
memilih untuk melakukan sendiri dengan membuat internal excess capacity. Hal ini
dapat mengizinkan perusahaan untuk mengembangkan hardware dan software
standart, yang akan berfungsi untuk menyesuaikan fungsi antar pusat pemrosesan
data dan meminimalisasi masalah apabila terjadi suatu kerusakan atau bencana.
1.1 Backup and Off-Site Storage Procedurs

17
 Semua file, data, aplikasi dan dokumentasi yang diperlukan untuk menjalankan fungsi
harus dicadangkan secara otomatis di lokasi yang aman dan di luar lokasi. Personal
pengolahan data harus dibackup secara rutin dan adanya penyimpanan untuk
mendapatkan dan mengamankan sumber daya kritis.
1) Cadangan Sistem Operasi
Jika perusahaan menggunakan metode cold system yang tidak menyertakan
operating sistem, prosedur-prosedur untuk mendapatkan versi terbaru dari operating
sistem perlu dengan jelas ditentukan.

2) Cadangan Aplikasi
Berdasarkan hasil dari aplikasi kritis pada diskusi sebelumnya, DPR harus memuat
copy-an dari sistem terbaru. Dalam kasus perangkat lunak komersial, meliputi
pembelian salinan backup yang terkakhir digunakan oleh perusahaan
3) File Data Cadangan
Data base harus dicopy atau disalin setiap hari dengan kapasitas yang cukup besar.
Apabila terdapat suatu gangguan dapat dilakukan dengan memperbarui versi
terbaru.
4) Dokumentasi Cadangan
Backup dokumentasi dapat dilakukan dengan mudah dan efektif dengan
menggunakan Computer Aided Software Engineering (CASE). DPR harus
mengikutsertakan ketentuan cadangan bagi pengguna manual karena individu dapat
memproses transaksi dalam kondisi bencana atau kerusakan, mungkin bukanlah
staff biasa yang terbiasa dengan sistem.
5) Persediaan Cadangan dan Dokumen Sumber
Perusahaan harus membuat backup inventori supplies dan sumber dokumen yang
digunakan dalam proses kritikal transaksi. Contoh transaksi kritikal adalah faktur,
order pembelian, dan formulir untuk tujuan tertentu yang tidak dapat diperoleh
dengan cepat.
6) Menguji DPR
Tes DPR adalah suatu hal yang penting dan harus dilakukan secara periodik. Dalam
pengujian ini yang menjadi ukuran adalah kesiapan personal dan mengidentifikasi
kelalaian atau kemacetan dalam rencana. Tes yang paling berguna saat simulasi
gangguan adalah kejutan.
1.2 Tujuan Audit

18
 Auditor harus memeriksa rencana pemulihan bencana manajemen memadai dan layak
untuk menghadapai hal-hal yang tidak diharapkan dalam pengorganisasian sumber
daya komputasinya
1.3 Prosedur Audit
Dalam memverifikasi DPR manajemen merupakan solusi yang realistis untuk mengatasi
bencana alam. Tes berikut dapat dilakukan
1) Situs Cadangan
Auditor harus mengevaluasi kecukupan pengaturan situs cadangan.
Ketidakcocokan sistem dan sifat manusia dapat mengurangi efektifitas pada
pakta bantuan bersama. Selain itu auditor harus skeptis terhadap pengaturan
tersebut. Karena beberapa hal seperti karena kecanggihan sistem komputer
dapat membuat kesulitan untuk menemukan hal yang cocok dengan pengaturan
konfigurasi.
2) Daftar Aplikasi Kritis
Auditor harus meninjau daftar aplikasi untuk memastikan kelengkapan aplikasi.
Kehilangan aplikasi dapat menyebabkan adanya kegagalan pemulihan.
3) Cadangan Perangkat Lunak
Auditor harus memverifikasi salinan dari aplikasi kritis dan sistem operasi yang
disimpan di luar situs. Auditor juga harus memverifikasi sistem operasi di luar
situs dengan membandingkan nomor versi dengan aplikasi yang digunakan
4) Cadangan Data
Auditor harus memverifikasi data kritikal telah dicadangkan sesuai dengan DPR.
5) Tim Pemulihan Bencana
Auditor harus memverifikasi bahwa anggota tim adalah karyawan saat ini dan
bertanggung jawab terhadap tugasnya

2.9 Outsourcing Fungsi TI

Biaya, risiko, dan tanggung jawab yang terkait dengan pemeliharaan fungsi
perusahaan yang efektif TI sangat penting. Oleh karena itu, banyak eksekutif memilih untuk
melakukan outsourcing fungsi TI mereka kepada vendor pihak ketiga yang mengambil alih
tanggung jawab atas pengelolaan aset dan staf TI dan untuk pengiriman layanan TI, seperti
entri data, operasi data center, pengembangan aplikasi, pemeliharaan aplikasi, dan
manajemen jaringan Seringkali dikutip manfaat outsourcing TI mencakup peningkatan
kinerja bisnis inti, peningkatan kinerja TI (karena keahlian vendor), dan mengurangi biaya

19
TI. Dengan memindahkan fasilitas TI ke luar negeri ke daerah dengan biaya tenaga kerja
rendah dan atau melalui skala ekonomi (dengan menggabungkan beberapa klien), vendor
dapat melakukan fungsi alih daya lebih murah daripada yang dapat dilakukan oleh
perusahaan klien.Penghematan biaya yang dihasilkan kemudian diteruskan ke organisasi
klien. Selanjutnya, banyak pengaturan outsourcing TI yang memungkinkan penjualan aset
TI perusahaan klien - baik manusia maupun mesin - ke vendor, yang kemudian disewa oleh
perusahaan klien.

Risiko yang Melekat Pada IT Outsourcing

1. Kegagalan Tampil
Perusahaan klien telah mengalihkan aset TI spesifiknya, kinerjanya menjadi
terkait dengan kinerja vendor. Implikasi negatif dari ketergantungan tersebut
diilustrasikan dalam masalah keuangan yang telah melanda vendor outsourcing
besar Electronic Data Systems Corp. Hal ini berakibat pada pemberhentian ribuan
karyawan dan turunnya harga saham EDS
2. Eksploitasi Vendor
Pengalihan TI berskala besar melibatkan pemindahan ke vendor "aset khusus",
seperti perancangan, pengembangan, dan pemeliharaan aplikasi bisnis unik yang
penting bagi kelangsungan hidup sebuah organisasi
3. Biaya Outsourcing Melebihi Manfaat
Salah satu alasannya adalah klien outsourcing sering gagal mengantisipasi biaya
pemilihan vendor, kontrak, dan transisi operasi TI ke vendor.
Audit Implikasi Outsourcing IT

Manajemen dapat mengalihkan fungsi TI perusahaannya, namun tidak dapat

mengalihkan tanggung jawab pengelolaannya di bawah SOX untuk memastikan
pengendalian internal TI yang memadai. Manajemen pengguna harus mengevaluasi kontrol
pada organisasi layanan, serta kontrol terkait di perusahaan pengguna, saat membuat
penilaian tentang pengendalian internal atas pelaporan keuangan. "Oleh karena itu, jika
perusahaan audit mengalihkan fungsi TI-nya ke vendor yang memproses transaksinya,
menjadi tuan rumah data utama, atau melakukan layanan penting lainnya, auditor perlu
melakukan evaluasi terhadap kontrol organisasi vendor,atau sebagai alternatif memperoleh
laporan auditor SAS No. 70 dari organisasi vendor.

20
 BAB III

KESIMPULAN

Arti pentingnya pengendalian internal perusahaan mengetahui bagaimana tata kelola

suatu teknologi informasi dan juga resiko-resiko yang dapat timbul adalah selain untuk
menghasilkan pekerjaan yang lebih efektif dan efisien, Yang tidak hanya struktur organisasi,
metode, dan ukuran-ukuran tersebut yang merupakan bagian dari suatu proses yang dihasilkan
oleh pihak internal maupun eksternal, untuk memberikan jaminan yang masuk akal untuk
mencapai suatu tujuannya. Teknologi informasi memiliki peran yang sangat penting di dalam
perusahaan, yaitu diantara nya adalah sebagai sarana media penunjang pekerjaan dan juga
sebagai pusat data informasi suatu perusahaan. karena manajemen tidak dapat melakukan
pengendalian secara langsung atau secara pribadi terhadap jalannya perusahaan. Pengecekan
dan review yang melekat pada sistem pengendalian intern yang baik dapat akan pula
melindungi dari kelemahan manusia dan mengurangi kekeliruan dan penyimpngan yang akan
terjadi, tidak praktis bagi auditor untuk melakukan pengauditan secara menyeluruh atau secara
detail untuk hampir semua transaksi perusahaan dalam waktu dan biaya terbatas.

Dengan mempelajari dan memahami tata kelola teknologi informasi ataupun resiko yang
akan ditimbulkan. Perusahaan juga harus memahami dan mengetahui bagaimana cara untuk
mengatasi, menghilangkan dan memulihkan resiko yang telah terjadi. Sehingga resiko yang
ditimbulkan tidak menganggu prosedur ataupun kegiatan operasional perusahaan. Perusahaan
pun tidak mendapat kerugian atau kehilangan efisiensi kinerja nya. Pemahaman auditor tentang
struktur pengendalian intern yang berkaitan dengan suatu asersi adalah untuk digunakan dalam
kegiatan mungkin atau tidaknya audit dilaksanakan, salah saji material yang potensial dapat
terjadi, resiko deteksi, perancangan pengujian substantif.

21
 REFERENSI

James A. Hall. 2011. Information Technology Auditing and Assurance. Cengage

Learning

22