Halaman Judul
Tugas Mata Kuliah
Auditing EDP
Oleh Kelompok 9 :
UNIVERSITAS JEMBER
2020
BAB I
PENDAHULUAN
Tata Kelola Teknologi Informasi atau Information Technology Governance adalah suatu
struktur hubungan dan proses yang mengarahkan serta mengendalikan organisasi untuk
mencapai tujuannya dengan menambahkan beberapa nilai ketika menyeimbangkan risiko
dibandingkan dengan Teknologi Informasi (TI) dan prosesnya. Berdasarkan IT Governance
Institute (TIGI) TKTI merupakan suatu tanggung jawab dari pimpinan organisasi serta eksekutif
manajemen.
Topik ini menarik untuk dipelajari karena memaparkan tentang risiko, pengendalian, dan
pengujian kontradiksi yang terkait dengan pengukur TI. Makalah ini dibuka dengan
mendefinisikan tata kelola TI dan unsur-unsur tata kelola TI yang mempengaruhi pengendalian
internal dan implikasi pelaporan keuangan. Pertama, menyajikan eksposur yang timbul dari
penataan fungsi TI yang tidak tepat. Selanjutnya, review chopter pusat penyusun meliputi
melindunginya dari kerusakan dan perusakan dari bahan-bahan alami, kebakaran, kerusakan,
dan kelembaban. Kemudian menyajikan elemen kunci dari rencana pemulihan bencana,
termasuk menyediakan backup situs kedua, mengidentifikasi aplikasi kritik, melakukan prosedur
cadangan dan pemotongan di luar lokasi, membuat tim pemulihan bencana, dan menguji
rencana tersebut. Bagian terakhir dari makalah menyajikan isu-isu tentang tren yang
berkembang menuju outsourcing TI. Dimana kunci di balik keputusan manajemen untuk
melakukan outsourcing telah dieksplorasi. Makalah ini juga mengungkapkan manfaat yang
diharapkan dan risiko yang terkait dengan outsourcing.
1
1.2 Rumusan Masalah
1.3 Tujuan
2
BAB II
PEMBAHASAN
Tata kelola teknologi informasi adalah merupakan bagian yang baru dari tata kelola
perusahaan yang berfokus pada manajemen dan penilaian sumber daya strategis TI. tujuan
utama tata kelola TI adalah untuk mengurangi risiko dan memastikan bahwa investasi
dalam sumber daya TI menambah nilai bagi perusahaan. sebelum Undang-undang
sarbanes-oxley (SOC), praktik umum mengenai investasi TI adalah untuk menunda semua
keputusan kepada profesional TI perusahaan. Namun tata kelola TI modern mengikuti
filosofi bahwa semua perusahaan, pemangku kepentingan, termasuk dewan direksi,
manajemen tertinggi, dan pengguna departemen menjadi peserta aktif dalam keputusan
utama TI. keterlibatan berbasis dewan tersebut mengurangi risiko dan meningkatkan
kemungkinan bahwa keputusan TI akan sesuai dengan kebutuhan pengguna, kebijakan
perusahaan, inisiatif strategis, dan persyaratan kontrol internal di bawah SOX.
Tiga masalah tata kelola TI yang ditangani oleh SOX dan kerangka kerja pengendalian
internal COSO adalah :
Diskusi tentang masing-masing masalah tata kelola ini dimulai dengan penjelasan
tentang sifat risiko dan deskripsi kontrol yang diperlukan untuk mengurangi risiko. kemudian
tujuan audit disajikan, menetapkan apa yang perlu diverifikasi mengenai fungsi kontrol yang
ada. Akhirnya, contoh uji control ditawarkan yang menggambarkan bagaimana auditor
dapat mengumpulkan bukti untuk memenuhi tujuan audit. Tes ini dapat dilakukan oleh
auditor eksternal sebagai bagian dari layanan bukti mereka atau oleh auditor internal yang
memberikan bukti kepatuhan manajemen dengan SOX.
3
2.2 Struktur Fungsi Teknologi Informasi
4
3. membagi tugas pemrosesan transaksi di antara individu sedemikian rupa
sehingga kekurangan kolusi antara dua atau lebih individu penipuan tidak akan
mungkin terjadi
5
kepada pengguna, memantau penggunaan basis data, dan merencanakan
perluaasan di masa depan. Mendelegaikan tanggung jawab ini kepada orang lain
yang melakukan tugas yang tidak sesuai mengancam integritas.
c. Memisahkan Sistem Baru Pembangunan dari Pemeliharaan
Beberapa perusahaan mengatur fungsi pengembangan sistem rumah mereka
menjadi dua kelompok : analisis dan pemrograman sistem. Kelompok analisis sistem
bekerja dengan pengguna untuk menghasilkan desain yang terperinci dari sistem
baru. Kelompok pemrograman membuat kode program yang sesuai dengan
spesifikasi desain ini. Dengan pendekatan ini, pogramer yang membuat kode
program asli juga memelihara sistem selama fase pemeliharaan siklus
pengembangan sistem. Meskipun pengaturannya sama, pendekatan ini dikaitkan
dengan dua jenis kontrol masalah yaitu dokumentasi yang tidak memadai dan
potensi kecurangan program.
1) Dokumentasi yang tidak memadai
Dokumentasi sistem yang memiliki kualitas buruk adalah masalah TI yang
kronis dan tantangan yang signifikan bagi banyak organisasi. Ada dua
penjelasan untuk permasalahan ini. Pertama, mendokumentasikan sistem
tidak semenarik merancang, menguji dan menerapkannya. Profesional
sistem lebih memilih untuk beralih ke proyek baru yang menarik daripada
dokumen yang baru diselesaikan. Alasan kedua untuk dokumentasi yang
buruk adalah keamanan kerja. Saat sistem didokumentasikan dengan buruk,
akan sulit untuk menafsirkan dan menguji. Oleh karena itu programer yang
memahami sistem mempertahankan kekuatan daya tawar sangat diperlukan.
Ketika programer meninggalkan perusahaan, maka seorang programer baru
mewarisi tanggung jawab pemeliharaan terhadap sistem yang tidak
terdokumentasi tergantung kompleksitasnya, masa traansisi mungkin lama
dan mahal.
2) Program penipuan
Ketika pemrogram asli dari suatu sistem juga diberi tanggung jawab
pemeliharaan, potensi kecurangan meningkat. Kecurangan program
melibatkan perubahan yang tidak sah pada modul program untuk tujuan
melakukan tindakan ilegal. Pemrogram asli mungkin berhasil
menyembunyikan kode palsu di antara ribuan baris kode yang sah dan
ratusan modul yang membentuk sistem. Agar kecurangan berhasil,
6
programmer harus dapat mengendalikan situasi melalui akses eksklusif dan
tidak terbatas terhadap program aplikasi. Pemrogram perlu melindungi kode
palsu dari deteksi yang tidak disengaja oleh pemrogram lain yang melakukan
perawatan atau oleh auditor yang menguji kontrol aplikasi. Oleh karena itu,
memiliki tanggung jawab penuh untuk pemeliharaan adalah elemen penting
dalam skema pemrogram duplikat. Melalui otoritas pemeliharaan ini,
pemrogram dapat dengan bebas mengakses sistem, menonaktifkan kode
penipuan selama audit dan kemudian mengembalikan kode saat pantai
menjadi jelas. Penipuan semacam ini bisa berlanjut bertahun-tahun tanpa
deteksi.
d. Struktur Unggulan untuk Pengembang Sistem
Struktur organisasi yang unggul memiliki fungsi pengembangan sistem yang dipisahkan
menjadi dua kelompok yang berbeda, yaitu pengembangan sistem baru dan
pemeliharaan sistem. Kelompok pengembangan sistem baru bertanggung jawab untuk
merancang, memprogram, dan mengimplementasikan proyek sistem yang baru. Setelah
berhasil diimplementasikan tanggung jawab atas pemeliharaan berkelanjutan sistem ini
sampai pada kelompok pemeliharaan sistem. Pertama, standar dokumentasi ditingkatkan
karena kelompok pemeliharaan memerlukan dokumentasi untuk melaksanakan tugas
perawatannya. Tanpa dokumentasi lengkap dan memadai, transfer formal tanggung
jawab sistem dari pengembangan sistem baru ke pemeliharaan sistem tidak dapat
terjadi. Kedua, menolak akses programmer asli di masa depan untuk mencegah adanya
program penipuan. Keberhasilan pengendalian ini bergantung pada adanya kontrol lain
yang membatasi, mencegah, dan mendeteksi akses tidak sah ke program.
Sebuah alternatif untuk model terpusat adalah konsep distribusi data pengolahan
(DDP). DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI kecil yang berada di
bawah kendali pengguna akhir. Unit TI dapat didistribusikan sesuai dengan fungsi bisnis,
lokasi geografis, atau keduanya. Tingkat di mana distribusinya akan bebeda-beda tergantung
pada filosofi dan tujuan manajemen organisasi.
7
a) Penggunaan Sumber Daya yang Tidak Efisien
DDP dapat mengekspos dan mengorganisir tiga jenis risiko yang terkait
dengan penggunaan sumber daya yang tidak efisien, yaitu :
Adanya risiko salah pengelolaan sumber daya TI di seluruh organisasi
oleh pengguna akhir.
DDP dapat menimbulkan risiko inefisiensi operasional karena adanya
tugas berlebihan yang dilakukan dalam komite pengguna akhir.
Lingkungan DDP menimbulkan risiko perangkat keras dan perangkat
lunak yang tidak kompartibel di antara fungsi pengguna akhir.
b) Penghancuran Jalur Audit
Jejak audit memberikan keterkaitan antara aktivitas keuangan (transaksi)
komersil dan laporan keuangan yang melapor pada kegiatan tersebut. Dalam
sistem DDP, jalur audit terdiri dari serangkaian file transaksi digital yang
berada sebagian atau seluruhnya pada komputer pengguna akhir. Apabila
pengguna akhir tidak sengaja menghapus salah satu file atau melakukan
kesalahan transaski dalam file audit maka jejak audit bisa rusak dan tidak
bisa dipulihkan.
c) Pemisahan Tugas yang Tidak Memadai
Pemisahan tugas yang memadai mungkin tidak dapat dilakukan di beberapa
lingkungan distribusi. Distribusi layanan TI kepada pengguna dapat
menghasilkan penciptaan unit independen kecil yang tidak mengizinkan
pemisahan fungsi yang tidak sesuai yang diinginkan. Situasi semacam itu
akan menjadi pelanggaran mendasar pengendalian internal.
d) Mempekerjakan Profesional Berkualitas
Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI guna
melakukan evaluasi kredensial teknis dan pengalaman relevan mengenai
kandidat yang termasuk posisi profesional TI. Untuk alasan ini, manajer
mungkin mengalami kesulitan menarik personil berkualifikasi tinggi. Risiko
kesalahan pemrograman dan kegagalan sistem meningkat secara langsung
dengan tingkat ketidakmampuan karyawan.
e) Kurangnya Standar
Karena distribusi tanggung jawab di lingkungan DDP, standar untuk
mengembangkan dan mendokumentasikan sistem, memilih bahasa
pemrograman, memperoleh perangkat keras dan perangkat lunak, dan
8
mengevaluasi kinerja mungkin tidak rata diterapkan atau bahkan tidak
ada. Penentang DDP berpendapat bahwa risiko yang terkait dengan
perancangan dan pengoperasian sistem DDP dapat dilakukan hanya jika
standar tersebut diterapkan secara konsisten.
2. Keuntungan DDP
Ada beberapa keuntungan DDP, yaitu :
a. Pengurangan Biaya
Menggunakan DDP telah mengurangi biaya di dua area lainnya: (1) data dapat
diedit dan dimasukkan oleh pengguna akhir, sehingga menghilangkan tugas
terpusat dari persiapan data; dan (2) kompleksitas aplikasi dapat dikurangi,
yang pada akhirnya mengurangi biaya pengembangan dan pemeliharaan
sistem.
b. Tanggung Jawab Kontrol Biaya yang Lebih Baik
Manajer pengguna akhir bertanggung jawab atas keberhasilan operasi
sehingga mereka diberi wewenang untuk membuat keputusan tentang
sumber daya yang mempengaruhi keberhasilan secara keseluruhan. Ketika
manajer dilarang membuat keputusan yang diperlukan untuk mencapai
tujuan mereka, kinerjanya dapat terpengaruh secara negatif. Pendukung
DDP berpendapat bahwa manfaat dari sikap manajemen yang lebih baik
lebih besar daripada biaya tambahan yang dikeluarkan untuk
mendistribusikan sumber daya ini. Mereka berpendapat bahwa jika
kemampuan TI memang penting bagi keberhasilan operasi bisnis, maka
manajemen harus diberi kontrol atas sumber daya ini.
c. Peningkatan Kepuasan Pengguna
Manfaat DDP yang paling sering dikutip adalah peningkatan kepuasan
pengguna. Pendukung DDP mengklaim bahwa sistem distribusi kepada
pengguna akhir memperbaiki tiga area kebutuhan yang sering tidak
terpuaskan pada model terpusat: (1) Pengguna ingin mengendalikan sumber
daya yang mempengaruhi keuntungan mereka; (2) pengguna menginginkan
sistem profesional (analis, pemrogram, dan operator komputer) untuk
bersikap responsif terhadap situasi spesifik mereka; dan (3) pengguna ingin
lebih terlibat secara aktif dalam mengembangkan dan menerapkan sistem
mereka sendiri.
9
d. Fleksibilitas Cadangan
Argumen terakhir yang mendukung DDP adalah kemampuan untuk
mencandangkan fasilitas komputerisasi guna melindungi dari potensi
bencana seperti kebakaran, banjir, sabotase, dan gempa bumi. Satu-satunya
cara untuk mencadangkan sebuah situs komputer utama melawan bencana
tersebut adalah dengan menyediakan fasilitas komputer kedua. Setiap unit TI
yang terpisah secara geografis dapat dirancang dengan kapasitas
berlebih. Jika bencana menghancurkan satu situs, situs lain dapat
menggunakan kelebihan kapasitas mereka untuk memproses transaksi situs
yang hancur. Tentu, pengaturan ini memerlukan koordinasi yang erat antara
manajer pengguna akhir untuk memastikan bahwa mereka tidak menerapkan
perangkat keras dan perangkat lunak yang tidak kompatibel.
10
Papan TI perusahaan yang terpusat lebih baik dilengkapi daripada pengguna akhir
untuk mengevaluasi kelebihan perangkat lunak komersial dan produk perangkat
keras yang bersaing di bawah pertimbangan. Dorongan teknis secara umum seperti
ini dapat mengevaluasi fitur, kontrol dan kompatibilitas sistem dengan standar
industri dan organisasi. Hasil uji kemudian dapat didistribusikan ke area pengguna
sebagai standar untuk membimbing keputusan pengambil keputusan. Hal ini
memungkinkan organisasi untuk secara efektif memusatkan akuisisi, pengujian dan
implementasi perangkat lunak dan perangkat keras dan menghindari banyak
masalah yang dibahas sebelumnya.
b. Layanan pengguna
Sebuah sifat yang berharga dari grup perusahaan adalah fungsi layanan
penggunanya. Kegiatan ini memberikan bantuan teknis kepada pengguna selama
pemasangan perangkat lunak baru dan dalam mengatasi masalah masalah
perangkat keras dan perangkat lunak. Pembuatan papan buletin elektronik untuk
pengguna dengan cara yang sangat baik untuk menyumbang informasi tentang
masalah umum dan memungkinkan berbagi program yang dikembangkan
pengguna dengan orang lain dalam organisasi. Selain itu, ruang obrolan bisa dibuat
untuk memberikan diskusi berulir, sering, bertanya pertanyaan dan dukungan
intranet. Fungsi TI perusahaan juga bisa menyediakan meja bantuan, di mana
pengguna dapat menelepon dan mendapat tanggapan cepat terhadap pertanyaan
dan masalah. Di banyak oganisasi staf layanan pengguna mengajarkan kursus
teknik untuk pengguna akhir dan juga untuk petugas layanan komputer.
Peningkatan tingkat kesadaran pengguna dan mendorong berlanjutnya pendidikan
tenaga teknis
c. Standar pengaturan tubuh
Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh model DDP
dapat ditingkatkan dengan menetapkan beberapa panduan utama. Kelompok
perusahaan dapat berkontribusi pada tujuan ini dengan menetapkan dan
mendistribusikan ke area pengguna sesuai standar untuk pengembangan,
pemrograman, dan dokumentasi sistem.
d. Ulasan Personalia
Kelompok korporat seringkali lebih baik dilengkapi daripada pengguna untuk
mengevaluasi kredensial teknis dari proffesional sistem prospektif. Meskipun
profesional sistem benar-benar akan menjadi bagian dari kelompok pengguna akhir,
11
penyatuan kelompok perusahaan dalam keputusan kerja dapat memberi nilai
berharga bagi organisasi.
Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI sedemikian rupa
sehingga individu-individu di daerah yang tidak sesuai dipisahkan sesuai dengan tingkat
risiko potensial dan dengan cara yang mendorong lingkungan kerja. Ini adalah lingkungan
di mana hubungan formal, daripada santai, harus ada antara tugas yang tidak sesuai.
Prosedur Audit
Prosedur audit berikut akan diterapkan pada organisasi dengan fungsi TI terpusat
1. Tinjau dokumentasi yang relevan, termasuk bagan organisasi saat ini,
pernyataan misi dan uraian tugas untuk fungsi utama, untuk menentukan
apakah individu atau kelompok melakukan fungsi yang tidak sesuai.
2. Tinjau dokumentasi sistem dan catatan pemeliharaan untuk contoh aplikasi.
Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan ke proyek tertentu
juga bukan pemrogram desain asli.
3. Pastikan operator komputer tidak memiliki akses ke rincian operasional logika
internal sistem. Dokumentasi sistem Seperti diagram alir sistem, diagram alur
logika dan daftar kode program, seharusnya tidak menjadi bagian dari
dokumentasi operasi Anda.
4. Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti dalam
praktik. Tinjau log akses ruang operasi untuk menentukan apakah pemrogram
memasukkan fasilitas untuk alasan selain kegagalan sistem.
Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi:
1. Tinjau bagan orgnizational terkini, pernyataan misi dan uraian tugas untuk
fungsi utama untuk menentukan apakah individu atau kelompok melakukan
tugas yang tidak sesuai.
2. Verifikasi bahwa rancangan, dokumentasi, dan perangkat keras dan perangkat
lunak rancangan dan kebijakan perusahaan standar dipublikasikan dan
diserahkan ke unit TI terdistribusi.
12
3. Verifikasi bahwa kontrol kompensasi, seperti pengawasan dan pemantauan
manajemen, digunakan saat pemisahan tugas yang tidak kompatibel secara
ekonomi dapat infesible.
4. Tinjau ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur
dan database dirancang dan berfungsi sesuai dengan standar perusahaan.
13
1.3.5 Fire Suppression
Penyedia layanan penuh terhadap sistem, termasuk pencegahan kebakaran
harus terstruktur dengan baik. Contoh: Perusahaan harus bisa memilih
penempatan yang tepat untuk meletakkan alat tabung kebakaran atau alarm
kebakaran dan melakukan pelatihan jika terjadi musibah kebakaran maka user
atau pekerja agar mereka tidak panik.
1.3.6 Fault Tolerance
Fault tolerance adalah kemampuan sistem untuk melanjutkan operasinya ketika
sebagian dari sistem tersebut gagal karena adanya kegagalan peranti keras,
kesalahan dalam program aplikasi, atau kesalahan operator.
Cara di mana sistem operasi merespon keras atas kegagalan perangkat lunak.
Istilah ini pada dasarnya mengacu pada kemampuan sistem untuk
memungkinkan kegagalan atau kerusakan, dan kemampuan ini dapat disediakan
oleh perangkat lunak, perangkat keras atau kombinasi keduanya. Untuk
menangani kesalahan ini, beberapa sistem komputer diharapkan memiliki dua
atau lebih sistem data duplikat. Contoh: Perusahaan sebaiknya membuat sistem
bayangan. Jadi membuat data duplikat yang disimpan di tempat lain jika terjadi
kesalahan pada data pertama masih memiliki data duplikat. Dan cara kedua
dengan menggunakan Unit Power Supply (UPS), agar pada saat supply listrik ke
server terputus, terdapat jeda sebelum komputer mati, jadi masih memiliki waktu
untuk menyimpan atau menyelamatkan data.
1.3.7 Audit Objectives
Audit Objective dari IT governance khususnya data center adalah untuk
memastikan bahwa kontrol-kontrol yang ada terhadap data center tersedia
keberadaanya dan berfungsi serta dimaintain dengan baik.
1.3.8 Audit Procedures
Rincian untuk memperoleh bukti audit yang cukup tepat dengan melakukan
pengecekan ulang atau observasi, apakah sudah sesuai dengan prosedur sistem
audit. Contohnya dengan melakukan pengecekan pada area-area terkait,
sebagai berikut:
a. Construction
Melakukan pengecekan pada bangunan apakah sudah terjamin kokoh dan
pemilihan ruangan atau penempatan computer center (yang lebih baik
ditempatkan di lantai atas), serta apakah instalasi listrik sudah dipasang
14
dengan baik agar tidak terjadi korsleting atau listrik putus pada saat
melakukan proses pada server.
b. Access
Melakukan pengecekan pada alat tapping kartu, apakah alat tersebut sudah
dapat bekerja dengan baik dan tidak terjadi kerusakan, atau keberadaan
CCTV yang berfungsi dengan baik.
c. Air Conditioning
Melakukan pengecekan pada suhu pendingin, apakah sudah sesuai dengan
kebutuhan suhu yang dibutuhkan oleh komputer agar tidak terjadi error.
d. Fire Suppression
Melakukan pengecekan pada tabung alat pemadam kebakaran, apakah
tabung masih terisi dan dapat digunakan jika terjadi kebakaran. Dan
melakukan pengecekan pada alarm kebakaran, apakah alarm berfungsi
dengan baik jika ada tanda-tanda terjadi kebakaran.
e. Fault tolerance
Melakukan pengecekan pada cara-cara mengatasi toleransi kesalahan,
apakah data yang diduplikat sudah terduplikasi dan tersimpan dengan baik
pada server yang lainnya. Dan melakukan pengecekan pada alat UPS
apakah baterai pada UPS masih dapat menyimpan energi listrik yang
digunakan pada saat terjadi pemadaman listrik.
f. Asuransi
Melakukan pendaftaran asuransi pada data server agar jika terjadi hal-hal
yang tidak diinginkan, maka tidak terlalu merugikan perusahaan, serta dicek
apakah asuransi tersebut diperpanjang tiap tahunnya.
1. Nature atau yang disebabkan oleh bencana alam seperti tornado, kebakaran
dan gempa bumi. Dimana bencana alam ini yang paling berpotensi
menghancurkan secara geografis yang berdampak tidak hanya dalam satu
organisasi namun dapat menghancurkan suatu organisasi dala suatu wilayah.
15
2. Human- made atau yang disebabkan manusia seperti sabotase, error dan
lainnya dimana dampak yang disebabkan oleh manusia hanya mempengaruhi
satu organisasi yang cenderung terbatas untuk cangkupan dampaknya.
Dari tiga bencana diatas dapat membuat suatu organisasi atau perusahaan dpat
kehilangan fasilitas pemrosesan datanya, menghentikan fungsi-fungsi bisnis apabila
bisnisnya dilakukan dengan komputer yang membuat perusahaan kehilangan
kemampuan bisnisnya. Semakin sebuah organisasi bergantung pada teknologi maka
semakin rentan terhadap resiko kegagalan suatu sistem. Maka dari itu untuk mencegah
dari suatu sistem. Perusahaan mengembangkan rencana pemulihan bencana (DRP).
Perencanaan pemulihan adalah perencanaan yang dibuat untuk membantu perusahaan
dalam melakukan pemulihan agar proses bisnis dapat berjalan kembali. Spesifikasi dari
disaster rocovery plan itu sendiri, terdiri dari empat aktivitas dasar, yakni.
16
atau duplikasi upaya selama implementasi rencana kontinjensi, tanggung jawab tugas harus
didefinisikan secara jelas dan dikomunikasikan kepada personel yang terlibat. Setelah
terjadinya bencana, anggota tim akan mendelegasikan berbagai subpekerjaan ke bawahan
mereka. Lingkungan yang terbentuk akibat rencana mungkin mengharuskan dilakukannya
pelanggaran atas teknik pengendalian, seperti pemisahan pekerjaan, pengendalian akses,
dan pengawasan.
Hal yang diperlukan dalam DPR adalah untuk menyediakan salinan data setelah
terjadinya kerusakan. Dari berbagai pilihan yang tersedia, berikut adalah yang paling
umum.
17
Semua file, data, aplikasi dan dokumentasi yang diperlukan untuk menjalankan fungsi
harus dicadangkan secara otomatis di lokasi yang aman dan di luar lokasi. Personal
pengolahan data harus dibackup secara rutin dan adanya penyimpanan untuk
mendapatkan dan mengamankan sumber daya kritis.
1) Cadangan Sistem Operasi
Jika perusahaan menggunakan metode cold system yang tidak menyertakan
operating sistem, prosedur-prosedur untuk mendapatkan versi terbaru dari operating
sistem perlu dengan jelas ditentukan.
2) Cadangan Aplikasi
Berdasarkan hasil dari aplikasi kritis pada diskusi sebelumnya, DPR harus memuat
copy-an dari sistem terbaru. Dalam kasus perangkat lunak komersial, meliputi
pembelian salinan backup yang terkakhir digunakan oleh perusahaan
3) File Data Cadangan
Data base harus dicopy atau disalin setiap hari dengan kapasitas yang cukup besar.
Apabila terdapat suatu gangguan dapat dilakukan dengan memperbarui versi
terbaru.
4) Dokumentasi Cadangan
Backup dokumentasi dapat dilakukan dengan mudah dan efektif dengan
menggunakan Computer Aided Software Engineering (CASE). DPR harus
mengikutsertakan ketentuan cadangan bagi pengguna manual karena individu dapat
memproses transaksi dalam kondisi bencana atau kerusakan, mungkin bukanlah
staff biasa yang terbiasa dengan sistem.
5) Persediaan Cadangan dan Dokumen Sumber
Perusahaan harus membuat backup inventori supplies dan sumber dokumen yang
digunakan dalam proses kritikal transaksi. Contoh transaksi kritikal adalah faktur,
order pembelian, dan formulir untuk tujuan tertentu yang tidak dapat diperoleh
dengan cepat.
6) Menguji DPR
Tes DPR adalah suatu hal yang penting dan harus dilakukan secara periodik. Dalam
pengujian ini yang menjadi ukuran adalah kesiapan personal dan mengidentifikasi
kelalaian atau kemacetan dalam rencana. Tes yang paling berguna saat simulasi
gangguan adalah kejutan.
1.2 Tujuan Audit
18
Auditor harus memeriksa rencana pemulihan bencana manajemen memadai dan layak
untuk menghadapai hal-hal yang tidak diharapkan dalam pengorganisasian sumber
daya komputasinya
1.3 Prosedur Audit
Dalam memverifikasi DPR manajemen merupakan solusi yang realistis untuk mengatasi
bencana alam. Tes berikut dapat dilakukan
1) Situs Cadangan
Auditor harus mengevaluasi kecukupan pengaturan situs cadangan.
Ketidakcocokan sistem dan sifat manusia dapat mengurangi efektifitas pada
pakta bantuan bersama. Selain itu auditor harus skeptis terhadap pengaturan
tersebut. Karena beberapa hal seperti karena kecanggihan sistem komputer
dapat membuat kesulitan untuk menemukan hal yang cocok dengan pengaturan
konfigurasi.
2) Daftar Aplikasi Kritis
Auditor harus meninjau daftar aplikasi untuk memastikan kelengkapan aplikasi.
Kehilangan aplikasi dapat menyebabkan adanya kegagalan pemulihan.
3) Cadangan Perangkat Lunak
Auditor harus memverifikasi salinan dari aplikasi kritis dan sistem operasi yang
disimpan di luar situs. Auditor juga harus memverifikasi sistem operasi di luar
situs dengan membandingkan nomor versi dengan aplikasi yang digunakan
4) Cadangan Data
Auditor harus memverifikasi data kritikal telah dicadangkan sesuai dengan DPR.
5) Tim Pemulihan Bencana
Auditor harus memverifikasi bahwa anggota tim adalah karyawan saat ini dan
bertanggung jawab terhadap tugasnya
Biaya, risiko, dan tanggung jawab yang terkait dengan pemeliharaan fungsi
perusahaan yang efektif TI sangat penting. Oleh karena itu, banyak eksekutif memilih untuk
melakukan outsourcing fungsi TI mereka kepada vendor pihak ketiga yang mengambil alih
tanggung jawab atas pengelolaan aset dan staf TI dan untuk pengiriman layanan TI, seperti
entri data, operasi data center, pengembangan aplikasi, pemeliharaan aplikasi, dan
manajemen jaringan Seringkali dikutip manfaat outsourcing TI mencakup peningkatan
kinerja bisnis inti, peningkatan kinerja TI (karena keahlian vendor), dan mengurangi biaya
19
TI. Dengan memindahkan fasilitas TI ke luar negeri ke daerah dengan biaya tenaga kerja
rendah dan atau melalui skala ekonomi (dengan menggabungkan beberapa klien), vendor
dapat melakukan fungsi alih daya lebih murah daripada yang dapat dilakukan oleh
perusahaan klien.Penghematan biaya yang dihasilkan kemudian diteruskan ke organisasi
klien. Selanjutnya, banyak pengaturan outsourcing TI yang memungkinkan penjualan aset
TI perusahaan klien - baik manusia maupun mesin - ke vendor, yang kemudian disewa oleh
perusahaan klien.
1. Kegagalan Tampil
Perusahaan klien telah mengalihkan aset TI spesifiknya, kinerjanya menjadi
terkait dengan kinerja vendor. Implikasi negatif dari ketergantungan tersebut
diilustrasikan dalam masalah keuangan yang telah melanda vendor outsourcing
besar Electronic Data Systems Corp. Hal ini berakibat pada pemberhentian ribuan
karyawan dan turunnya harga saham EDS
2. Eksploitasi Vendor
Pengalihan TI berskala besar melibatkan pemindahan ke vendor "aset khusus",
seperti perancangan, pengembangan, dan pemeliharaan aplikasi bisnis unik yang
penting bagi kelangsungan hidup sebuah organisasi
3. Biaya Outsourcing Melebihi Manfaat
Salah satu alasannya adalah klien outsourcing sering gagal mengantisipasi biaya
pemilihan vendor, kontrak, dan transisi operasi TI ke vendor.
Audit Implikasi Outsourcing IT
20
BAB III
KESIMPULAN
Dengan mempelajari dan memahami tata kelola teknologi informasi ataupun resiko yang
akan ditimbulkan. Perusahaan juga harus memahami dan mengetahui bagaimana cara untuk
mengatasi, menghilangkan dan memulihkan resiko yang telah terjadi. Sehingga resiko yang
ditimbulkan tidak menganggu prosedur ataupun kegiatan operasional perusahaan. Perusahaan
pun tidak mendapat kerugian atau kehilangan efisiensi kinerja nya. Pemahaman auditor tentang
struktur pengendalian intern yang berkaitan dengan suatu asersi adalah untuk digunakan dalam
kegiatan mungkin atau tidaknya audit dilaksanakan, salah saji material yang potensial dapat
terjadi, resiko deteksi, perancangan pengujian substantif.
21
REFERENSI
22