Auditing IT Governance Controls

Tugas Mata Kuliah

Auditing EDP

Oleh Kelompok 9:

Diaz Lucky Firmansyah 180810301036

Briliyan Wahyu Gemilang 180810301241

Hamzah Dwi Maqfiroh 180810301247

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS JEMBER

2021
 BAB 1. PENDAHULUAN

1.1 Latar Belakang

Pada era globalisasi saat ini, penggunaan teknologi informasi merupakan bagian
yang tidak terpisahkan dari suatu perusahaan dalam menjalankan aktivitas bisnisnya.
Perkembangan teknologi informasi yang semakin maju secara langsung berdampak
terhadap aktivitas perushaan, di mana dengan berkembangnya teknologi informasi yang
cenderung pesat ini dapat meningkatkan efektivitas dan efisiensi kerja pada suatu
perusahaan. Selain itu, perkembangan teknologi informasi juga dapat menimbulkan suatu
permasalahan pada perusahaan karena dengan pesatnya kemajuan teknologi
telekomunikasi, komputer dan internet menimbulkan tantangan yang dihadapi pimpinan
perusahaan menjadi semakin kompleks.
Oleh sebab itu, untuk dapat bertahan ditengah persaingan dan tantangan yang
semakin kompleks, setiap pimpinan perusahaan dituntut untuk selalu menciptakan
kreatifitas dan inovasi dalam meningkatkan kinerja perusahaannya. Namun, kenyataannya
sering kali dijumpai bahwa pemanfaatan teknologi informasi pada suatu perusahaan tidak
berjalan secara optimal, sehingga berdampak terhadap pencapaian tujuan perusahaan.
Untuk mengatasi permasalahan tersebut, para pimpinan perusahaan perlu memahami
mengenai pentingnya IT Governance.
IT Governance merupakan suatu bentuk perencanaan dalam menerapkan dan
menggunakan teknologi informasi yang digunakan oleh suatu perusahaan agar sejalan
dengan visi dan misi perusahaan, serta tujuan yang ingin dicapai oleh perusahaan.
Dengan adanya IT Governance ini diharapkan dapat mengarahkan dan mengendalikan
perusahaan untuk mencapai tujuannya dengan memberikan nilai tambah yang dapat
menyeimbangkan resiko terhadap penggunaan teknologi informasi serta proses bisnis
perusahaan.
Topik mengenai Auditing IT Governance Controls ini menjadi menarik untuk
dibahas karena menjelaskan bagaimana seharusnya pengelolaan fungsi teknologi
informasi dengan baik dan benar dalam suatu perusahaan, sehingga dapat meminimalisir
resiko kerusakan serta meminimalisir adanya resiko buruk lainnya seperti, adanya data
yang di sabotase, kehilangan data dan sebagainya. Selain itu, topik ini juga menarik untuk
dibahas karena dengan adanya auditing TI dapat berguna untuk memastikan bahwa
mekanisme atau pelaksanaan sistem teknologi informasi telah berjalan dengan sesuai.

2
Pada dasarnya, audit TI dilakukan untuk menjaga manajemen informasi dapat tetap
berjalan secara efektif dan teknologi dapat dimanfaatkan dengan lebih efisien.

1.2 Rumusan Masalah

Berdasarkan uraian latar belakang di atas, maka rumusan masalah dari penulisan
makalah ini ialah sebagai berikut:
1. Apa yang dimaksud dengan tata kelola teknologi informasi?
2. Bagaimana fungsi dari struktur teknologi informasi?
3. Apa yang dimaksud dengan pusat komputer?
4. Bagaimana cara perencanaan dan pemulihan bencana?
5. Apa yang dimaksud dengan outsourcing fungsi IT

1.3 Tujuan Makalah

Berdasarkan uraian latar belakang dan rumusan masalah yang telah dibahas,
tujuan dari penulisan makalah ini dijabarkan sebagai berikut:
1. Untuk mengetahui tata kelola teknologi informasi
2. Untuk mengetahui fungsi dari struktur teknologi informasi
3. Untuk mengetahui pusat komputer
4. Untuk mengetahui cara perencanaan dan pemulihan bencana
5. Untuk mengetahui outsourcing fungsi IT

3
 BAB 2. PEMBAHASAN

2.1 Tata Kelola Teknologi Informasi

Tata kelola teknologi informasi merupakan bagian yang baru dari tata kelola
perusahaan yang berfokus pada manajemen dan penilaian sumber daya strategis TI.
Adapun tujuan utama dari tata kelola TI adalah untuk mengurangi risiko dan memastikan
bahwa investasi dalam sumber daya TI menambah nilai bagi perusahaan. Sebelum
diberlakukan Undang-undang sarbanes-oxley (SOX), praktik umum mengenai investasi TI
adalah untuk menunda semua keputusan kepada profesional TI perusahaan. Namun tata
kelola TI modern mengikuti filosofi bahwa semua perusahaan, pemangku kepentingan,
termasuk dewan direksi, manajemen tertinggi, dan pengguna departemen menjadi peserta
aktif dalam keputusan utama TI. keterlibatan berbasis dewan tersebut mengurangi risiko
dan meningkatkan kemungkinan bahwa keputusan TI akan sesuai dengan kebutuhan
pengguna, kebijakan perusahaan, inisiatif strategis, dan persyaratan kontrol internal di
bawah SOX.

2.1.1 Tata Kelola Pengendalian Teknologi Informasi

Tiga permasalahan tata kelola TI yang ditangani oleh SOX dan kerangka kerja
pengendalian internal COSO adalah :
1. Struktur organisasi dari fungsi IT
2. Pusat operasi computer
3. Perencanaan pemulihan bencana
Diskusi tentang masing-masing masalah tata kelola ini dimulai dengan penjelasan
tentang sifat risiko dan deskripsi kontrol yang diperlukan untuk mengurangi risiko.
Kemudian, tujuan audit disajikan, yang menentukan apa yang harus diverifikasi pada
fungsi kontrol yang ada. Pengujian ini dapat dilakukan oleh auditor eksternal sebagai
bagian dari layanannya oleh auditor internal (atau penasihat profesional jasa) yang
menyediakan bukti manajemen kantor SOX. Dalam hal ini, kami tidak membuat
perbedaan antara dua jenis sevices.

2.2 Struktur Teknologi Informasi

Pengorganisasian fungsi TI berimplikasi terhadap sifat dan efektivitas
pengendalian internal, yang mana, pada akhirnya dapat berdampak terhadap audit. Dalam

4
hal ini, beberapa permasalahan penting yang berkaitan dengan TI akan diperiksa. Hal ini
diilustrasikan melalui dua model organisasi yang ekstrim yaitu pendekatan yang terpusat
dan terdistribusi.

2.2.1 Pemrosesan Data Terpusat

Dalam model pemrosesan data terpusat, semua pemrosesan data dilakukan oleh
satu atau lebih komputer besar yang bertempat di situs pusat yang melayani pengguna di
seluruh organisasi. Kegiatan layanan TI dikonsolidasikan dan dikelola sebagai sumber
daya organisasi. Sedangkan, pengguna akhir bersaing untuk sumber daya ini berdasarkan
kebutuhan. Fungsi Layanan TI biasanya diperlakukan sebagai pusat biaya ketika biaya
operasi dibebankan kembali kepada pengguna akhir.
1. Administrasi basis data
Perusahaan yang dikelola secara terpusat memelihara sumber daya data mereka
di lokasi pusat yang dibagikan oleh semua pengguna akhir. Dalam pengaturan
data bersama ini. Grup independen yang dipimpin oleh administrator basis data
(DBA) bertanggung jawab untuk keamanan dan integritas basis data.
2. Pengolahan Data
Kelompok pemrosesan data mengelola sumber daya komputer yang digunakan
untuk melakukan pemrosesan transaksi sehari-hari, yang terdiri atas fungsi
organisasi sebagai berikut:
- Konversi data
- Operasi computer, dan
- Pustaka data
3. Pengembangan dan pemeliharaan sistem
Kebutuhan sistem informasi pengguna dipenuhi oleh dua fungsi terkait, yaitu:
sistem pengembangan dan sistem pemeliharaan. Fungsi tersebut bertanggung
jawab untuk menganalisis kebutuhan pengguna dan merancang sistem baru untuk
memenuhi kebutuhan tersebut. Para pihak yang terlibat dalam kegiatan
pembangunan dan pegembangan sistem termasuk profesional sistem, pengguna
akhir, dan stakeholder. Setelah sistem baru telah dirancang dan dilaksanakan,
kelompok pemeliharaan sistem bertanggung jawab menjaganya agar tetap aktif
sesuai dengan kebutuhan pengguna. Pemeliharaan mengacu pada membuat
perubahan terhadap logika program untuk mengakomodasi perubahan selama

5
 kebutuhan pengguna dari waktu ke waktu. Selama sistem hidup (seiring beberapa
tahun), sebanyak 80 atau 90 persen dari total biaya yang mungkin timbul; melalui
kegiatan pemeliharaan.

2.2.2 Pemisahan Fungsi Teknologi Informasi Tidak Kompatibel

Secara khusus, tugas operasional harus terpisah sebagai berikut:
1. Transaksi otorisasi terpisah dari pengolahan transaksi.
2. Pencatatan yang terpisah dari penitipan fisik aset.
3. membagi tugas-tugas pengolahan transaksi antar individu sehingga risiko
kecurangan akan dapat diminimalisir.

Lingkungan TI cenderung mengkonsolidasikan aktivitas. Aktivitas tunggal

digunakan untuk memberi otorisasi, memproses, dan mencatat semua aspek transaksi
sehingga fokus kontrol bergeser dari tingkat operasional (tugas pemrosesan transaksi
yang dilakukan komputer sekarang) ke hubungan organisasi tingkat tinggi dalam fungsi
layanan komputer.
a. Memisahkan Pengembangan Sistem dari Operasi Komputer
Pemisahan pengembangan sistem (baik pengembangan dan pemeliharaan sistem
baru) dan kegiatan operasi sangat penting dilakukan. Hubungan antara kelompok –
kelompok ini harus formal, dan tanggung jawab mereka tidak boleh dicampurkan.
Profesional pengembang dan pemeliharaan sistem harus menciptakan (dan
mempertahankan) sistem bagi pengguna, dan seharusnya tidak terlibat dalam
memasukkan data, atau menjalankan aplikasi (misalnya operasi komputer). Staf
operasi harus menjalankan sistem ini dan tidak memiliki keterlibatan dalam desain
mereka. Dengan pengetahuan yang rinci mengenai logika dan parameter kontrol
aplikasi dan akses ke sistem operasi dan utilitas komputer, seseorang dapat
membuat perubahan yang tidak sah terhadap aplikasi selama pelaksanaannya.
Perubahan ini bersifat sementara dan akan hilang tanpa jejak saat aplikasi
berakhir.
b. Memisahkan Administrasi Database dari Fungsi Lain
Kontrol organisasi lain yang penting adalah pemisahan database administrator
(DBA) dan fungsi pusat komputer lainnya. Fungsi DBA bertanggung jawab atas
tugas penting yang berkaitan dengan keamanan database, termasuk membuat

6
 skema database dan tampilan pengguna, menetapkan otoritas akses database
kepada pengguna, memantau penggunaan basis data, dan merencanakan
perluaasan di masa depan. Mendelegasikan tanggung jawab ini kepada orang lain
yang melakukan tugas yang tidak sesuai mengancam integritas.
c. Memisahkan Sistem Baru Pembangunan dari Pemeliharaan
Beberapa perusahaan mengatur fungsi pengembangan sistem rumah mereka
menjadi dua kelompok yaitu, analisis dan pemrograman sistem. Kelompok analisis
sistem bekerja dengan pengguna untuk menghasilkan desain yang terperinci dari
sistem baru. Kelompok pemrograman membuat kode program yang sesuai dengan
spesifikasi desain ini. Dengan pendekatan ini, pogramer yang membuat kode
program asli juga memelihara sistem selama fase pemeliharaan siklus
pengembangan sistem. Meskipun pengaturannya sama, pendekatan ini dikaitkan
dengan dua jenis kontrol masalah yaitu dokumentasi yang tidak memadai dan
potensi kecurangan program.
1) Dokumentasi yang tidak memadai
Buruknya kualitas sistem dokumentasi yang kronis itu merupakan masalah
dan tantangan yang signifikan untuk banyak organisasi. Ada dua penjelasan
untuk permaslahan ini yaitu, pertama, mendokumentasikan sistem ini tidak
semenarik seperti merancang, menguji, dan menerapkannya. Oleh sebab itu,
professional sistem lebih memilih untuk beralih ke proyek baru yang menarik,
daripada hanya menyelesaikan dokumen saja. Alasan kedua untuk
dokumentasi yang buruk adalah keamanan pekerjaan. Ketika sistem
mendokumentasikan dengan buruk maka akan sangat sulit dilakukan
pengujian. Oleh karena itu, programmer yang memahami sistem
mempertahankan kekuatan daya tawar sangat diperlukan.
2) Program penipuan
Ketika para programmer asli dari sistem juga diberikan tanggung-jawab
pemeliharaan, maka potensi untuk penipuan meningkat. Progam penipuan
melibatkan suatu perubahan yang tidak sah dan membuat progam untuk
melakukan tindakan ilegal. Programmer asli mungkin berhasil
menyembunyikan penipuan kode di antara seribu baris kode yang sah dan
ratusan modul yang membentuk sebuah sistem. Agar penipuan yang
dilakukan sukses, programmer harus mampu mengendalikan situasi melalui

7
 akses eksklusif dan tak terbatas untuk program aplikasi. Pemrogram perlu
melindungi kode penipuan dari deteksi disengaja oleh programmer lain yang
melakukan pemeliharaan atau oleh auditor penguji aplikasi kontrol. Oleh
karena itu, memiliki tanggung jawab untuk pemeliharaan adalah unsur
penting dalam skema programmer. Melalui otoritas pemeliharaan ini,
programmer dapat dengan bebas akses sistem, menonaktifkan penipuan
kode selama audit dan mengembalikan kode.Penipuan semacam ini dapat
terjadi terus menerus selama bertahun-tahun tanpa deteksi.
d. Struktur Unggulan untuk Pengembang Sistem
Struktur organisasi yang unggul memiliki fungsi pengembangan sistem yang
dipisahkan menjadi dua kelompok yang berbeda, yaitu pengembangan sistem baru
dan pemeliharaan sistem. Kelompok pengembangan sistem baru bertanggung
jawab untuk merancang, memprogram, dan mengimplementasikan proyek sistem
yang baru. Setelah berhasil diimplementasikan tanggung jawab atas pemeliharaan
berkelanjutan sistem ini sampai pada kelompok pemeliharaan sistem. Pertama,
standar dokumentasi ditingkatkan karena kelompok pemeliharaan memerlukan
dokumentasi untuk melaksanakan tugas perawatannya. Tanpa dokumentasi
lengkap dan memadai, transfer formal tanggung jawab sistem dari pengembangan
sistem baru ke pemeliharaan sistem tidak dapat terjadi. Kedua, menutup akses
programmer asli di masa depan untuk mencegah adanya program penipuan.
Keberhasilan pengendalian ini bergantung pada adanya kontrol lain yang
membatasi, mencegah, dan mendeteksi akses tidak sah ke program.

2.4 Model Terdistribusi

Sebuah alternatif untuk model terpusat adalah konsep distribusi data pengolahan
(DDP). DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI kecil yang berada di
bawah kendali pengguna akhir. Unit TI dapat didistribusikan sesuai dengan fungsi bisnis,
lokasi geografis, atau keduanya. Tingkat di mana distribusinya akan bebeda-beda
tergantung pada filosofi dan tujuan manajemen organisasi.
1. Risiko Terkait dengan DDP
Ada beberapa masalah potensial yang perlu dipertimbangkan saat menerapkan
DDP. Masalah potensial tersebut meliputi :
a) Penggunaan Sumber Daya yang Tidak Efisien

8
 DDP dapat mengekspos dan mengorganisir tiga jenis risiko yang terkait
dengan penggunaan sumber daya yang tidak efisien, yaitu :
 Adanya risiko salah pengelolaan sumber daya TI di seluruh organisasi
oleh pengguna akhir.
 DDP dapat menimbulkan risiko inefisiensi operasional karena adanya
tugas berlebihan yang dilakukan dalam komite pengguna akhir.
 Lingkungan DDP menimbulkan risiko perangkat keras dan perangkat
lunak yang tidak kompartibel di antara fungsi pengguna akhir.
b) Penghancuran Jalur Audit
Jejak audit memberikan keterkaitan antara aktivitas keuangan (transaksi)
komersil dan laporan keuangan yang melapor pada kegiatan tersebut.
Dalam sistem DDP, jalur audit terdiri dari serangkaian file transaksi digital
yang berada sebagian atau seluruhnya pada komputer pengguna akhir.
Apabila pengguna akhir tidak sengaja menghapus salah satu file atau
melakukan kesalahan transaski dalam file audit maka jejak audit bisa rusak
dan tidak bisa dipulihkan.
c) Pemisahan Tugas yang Tidak Memadai
Pemisahan tugas yang memadai mungkin tidak dapat dilakukan di
beberapa lingkungan distribusi. Distribusi layanan TI kepada pengguna
dapat menghasilkan penciptaan unit independen kecil yang tidak
mengizinkan pemisahan fungsi yang tidak sesuai yang diinginkan. Situasi
semacam itu akan menjadi pelanggaran mendasar pengendalian internal.
d) Mempekerjakan Profesional Berkualitas
Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI guna
melakukan evaluasi kredensial teknis dan pengalaman relevan mengenai
kandidat yang termasuk posisi profesional TI. Untuk alasan ini, manajer
mungkin mengalami kesulitan menarik personil berkualifikasi tinggi. Risiko
kesalahan pemrograman dan kegagalan sistem meningkat secara langsung
dengan tingkat ketidakmampuan karyawan.
e) Kurangnya Standar
Karena distribusi tanggung jawab di lingkungan DDP, standar untuk
mengembangkan dan mendokumentasikan sistem, memilih bahasa
pemrograman, memperoleh perangkat keras dan perangkat lunak, dan

9
 mengevaluasi kinerja mungkin tidak rata diterapkan atau bahkan tidak
ada. Penentang DDP berpendapat bahwa risiko yang terkait dengan
perancangan dan pengoperasian sistem DDP dapat dilakukan hanya jika
standar tersebut diterapkan secara konsisten.

2. Keuntungan DDP
Ada beberapa keuntungan DDP, yaitu :
a. Pengurangan Biaya
Menggunakan DDP telah mengurangi biaya di dua area lainnya: (1) data dapat
diedit dan dimasukkan oleh pengguna akhir, sehingga menghilangkan tugas
terpusat dari persiapan data; dan (2) kompleksitas aplikasi dapat dikurangi,
yang pada akhirnya mengurangi biaya pengembangan dan pemeliharaan
sistem.
b. Tanggung Jawab Kontrol Biaya yang Lebih Baik
Manajer pengguna akhir bertanggung jawab atas keberhasilan operasi
sehingga mereka diberi wewenang untuk membuat keputusan tentang
sumber daya yang mempengaruhi keberhasilan secara keseluruhan. Ketika
manajer dilarang membuat keputusan yang diperlukan untuk mencapai
tujuan mereka, kinerjanya dapat terpengaruh secara negatif. Pendukung
DDP berpendapat bahwa manfaat dari sikap manajemen yang lebih baik
lebih besar daripada biaya tambahan yang dikeluarkan untuk
mendistribusikan sumber daya ini. Mereka berpendapat bahwa jika
kemampuan TI memang penting bagi keberhasilan operasi bisnis, maka
manajemen harus diberi kontrol atas sumber daya ini. 
c. Peningkatan Kepuasan Pengguna
Manfaat DDP yang paling sering dikutip adalah peningkatan kepuasan
pengguna. Pendukung DDP mengklaim bahwa sistem distribusi kepada
pengguna akhir memperbaiki tiga area kebutuhan yang sering tidak
terpuaskan pada model terpusat: (1) Pengguna ingin mengendalikan sumber
daya yang mempengaruhi keuntungan mereka; (2) pengguna menginginkan
sistem profesional (analis, pemrogram, dan operator komputer) untuk
bersikap responsif terhadap situasi spesifik mereka; dan (3) pengguna ingin

10
 lebih terlibat secara aktif dalam mengembangkan dan menerapkan sistem
mereka sendiri.
d. Fleksibilitas Cadangan
Argumen terakhir yang mendukung DDP adalah kemampuan untuk
mencandangkan fasilitas komputerisasi guna melindungi dari potensi
bencana seperti kebakaran, banjir, sabotase, dan gempa bumi. Satu-satunya
cara untuk mencadangkan sebuah situs komputer utama melawan bencana
tersebut adalah dengan menyediakan fasilitas komputer kedua. Setiap unit TI
yang terpisah secara geografis dapat dirancang dengan kapasitas
berlebih. Jika bencana menghancurkan satu situs, situs lain dapat
menggunakan kelebihan kapasitas mereka untuk memproses transaksi situs
yang hancur. Tentu, pengaturan ini memerlukan koordinasi yang erat antara
manajer pengguna akhir untuk memastikan bahwa mereka tidak menerapkan
perangkat keras dan perangkat lunak yang tidak kompatibel.

2.5 Mengontrol Lingkungan DDP

DPP memiliki nilai prestise terdepan, yang selama analisis pro dan kontranya,
dapat membebani pertimbangan penting manfaat ekonomi dan kelayakan operasional.
Beberapa organisasi telah beralih ke DDP tanpa mempertimbangkan sepenuhnya apakah
struktur organisasi terdistribusi akan mencapai tujuan bisnis mereka dengan lebih baik.
Banyak inisiatif DDP dan bahkan kontraproduktif, karena pembuat keputusan melihat
kebajikan sistem ini yang lebih simbolis daripada nyata. Sebelum mengambil langkah
yang tidak dapat dipulihkan, pengambil keputusan harus menilai manfaat sebenarnya dari
DDP untuk organisasinya. Meskipun demikian, perencanaan dan implementasi kontrol
yang hati-hati dapat mengurangi beberapa risiko DDP yang telah dibahas sebelumnya.
Bagian ini mengulas beberapa perbaikan model DDP yang ketat.

Melaksanakan fungsi IT perusahaan

Model yang sepenuhnya terpusat dan model terdistribusi mewakili posisi ekstrim
pada rangkaian alternatif struktural. Kebutuhan perusahaan kebanyakan berada di antara
titik akhir ini. Seringkali, masalah kontrol yang telah dijelaskan sebelumnya dapat diatasi
dengan menerapkan fungsi TI perusahaan. Fungsi ini sangat dikurangi ukuran dan status
dari model terpusat, grup TI perusahaan menyediakan pengembangan sistem dan

11
pengelolaan basis data untuk sistem entitas yang luas yang ditambahkan ke saran teknis
dan keahlian kepada komunitas TI terdistribusi.
a. Pengujian pusat perangkat lunak dan perangkat keras komersial
Papan TI perusahaan yang terpusat lebih baik dilengkapi daripada pengguna
akhir untuk mengevaluasi kelebihan perangkat lunak komersial dan produk
perangkat keras yang bersaing di bawah pertimbangan. Dorongan teknis secara
umum seperti ini dapat mengevaluasi fitur, kontrol dan kompatibilitas sistem
dengan standar industri dan organisasi. Hasil uji kemudian dapat didistribusikan
ke area pengguna sebagai standar untuk membimbing keputusan pengambil
keputusan. Hal ini memungkinkan organisasi untuk secara efektif memusatkan
akuisisi, pengujian dan implementasi perangkat lunak dan perangkat keras dan
menghindari banyak masalah yang dibahas sebelumnya.
b. Layanan pengguna
Sebuah sifat yang berharga dari grup perusahaan adalah fungsi layanan
penggunanya. Kegiatan ini memberikan bantuan teknis kepada pengguna selama
pemasangan perangkat lunak baru dan dalam mengatasi masalah masalah
perangkat keras dan perangkat lunak. Pembuatan papan buletin elektronik untuk
pengguna dengan cara yang sangat baik untuk menyumbang informasi tentang
masalah umum dan memungkinkan berbagi program yang dikembangkan
pengguna dengan orang lain dalam organisasi. Selain itu, ruang obrolan bisa
dibuat untuk memberikan diskusi berulir, sering, bertanya pertanyaan dan
dukungan intranet. Fungsi TI perusahaan juga bisa menyediakan meja bantuan,
di mana pengguna dapat menelepon dan mendapat tanggapan cepat terhadap
pertanyaan dan masalah. Di banyak oganisasi staf layanan pengguna
mengajarkan kursus teknik untuk pengguna akhir dan juga untuk petugas layanan
komputer. Peningkatan tingkat kesadaran pengguna dan mendorong berlanjutnya
pendidikan tenaga teknis
c. Standar pengaturan tubuh
Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh model DDP
dapat ditingkatkan dengan menetapkan beberapa panduan utama. Kelompok
perusahaan dapat berkontribusi pada tujuan ini dengan menetapkan dan
mendistribusikan ke area pengguna sesuai standar untuk pengembangan,
pemrograman, dan dokumentasi sistem.

12
 d. Ulasan Personalia
Kelompok korporat seringkali lebih baik dilengkapi daripada pengguna untuk
mengevaluasi kredensial teknis dari proffesional sistem prospektif. Meskipun
profesional sistem benar-benar akan menjadi bagian dari kelompok pengguna
akhir, penyatuan kelompok perusahaan dalam keputusan kerja dapat memberi
nilai berharga bagi organisasi.

Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI sedemikian
rupa sehingga individu-individu di daerah yang tidak sesuai dipisahkan sesuai dengan
tingkat risiko potensial dan dengan cara yang mendorong lingkungan kerja. Ini adalah
lingkungan di mana hubungan formal, daripada santai, harus ada antara tugas yang tidak
sesuai.

Prosedur Audit
Prosedur audit berikut akan diterapkan pada organisasi dengan fungsi TI
terpusat:
1. Tinjau dokumentasi yang relevan, termasuk bagan organisasi saat ini, pernyataan
misi dan uraian tugas untuk fungsi utama, untuk menentukan apakah individu
atau kelompok melakukan fungsi yang tidak sesuai.
2. Tinjau dokumentasi sistem dan catatan pemeliharaan untuk contoh aplikasi.
Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan ke proyek tertentu
juga bukan pemrogram desain asli.
3. Pastikan operator komputer tidak memiliki akses ke rincian operasional logika
internal sistem. Dokumentasi sistem Seperti diagram alir sistem, diagram alur
logika dan daftar kode program, seharusnya tidak menjadi bagian dari
dokumentasi operasi Anda.
4. Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti dalam
praktik. Tinjau log akses ruang operasi untuk menentukan apakah pemrogram
memasukkan fasilitas untuk alasan selain kegagalan sistem.

Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi:

13
 1. Tinjau bagan orgnizational terkini, pernyataan misi dan uraian tugas untuk fungsi
utama untuk menentukan apakah individu atau kelompok melakukan tugas yang
tidak sesuai.
2. Verifikasi bahwa rancangan, dokumentasi, dan perangkat keras dan perangkat
lunak rancangan dan kebijakan perusahaan standar dipublikasikan dan
diserahkan ke unit TI terdistribusi.
3. Verifikasi bahwa kontrol kompensasi, seperti pengawasan dan pemantauan
manajemen, digunakan saat pemisahan tugas yang tidak kompatibel secara
ekonomi dapat infesible.
Peninjauan ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur
dan database dirancang dan berfungsi sesuai dengan standar perusahaan.

2.3 Pusat Komputer

Auditor harus memeriksa lingkungan fisik pusat komputer sebagai bagian dari
audit tahunan.Tujuan bagian ini adalah untuk meninjau: Risiko Pusat Komputer, Kontrol
dilakukan untuk mengurangi risiko dan menciptakan lingkungan yang aman
1. Physical Location
Lokasi fisik yang harus diatur agar tidak terjadi kerusakan yg diakibatkan oleh
bencana alam ataupun kesalahan yang dilakukan oleh manusia. Contoh:
Perusahaan diusahakan mencari atau memilih lokasi tempat yang tepat untuk
menghindari terjadi bencana alam seperti gempa bumi atau banjir.
2. Construction
Kondisi bangunan tempat dimana komputer atau pusat data harus dalam
keadaan bagus dan kokoh agar tidak mudah rubuh dan diusahakan listrik jangan
sampai terputus. Supply listrik harus diperhatikan dan bangunan harus selalu
dalam keadaan bersih dijauhkan dari debu-debu agar pada saat mengakses data
tidak terjadi gangguan pada server.
3. Access
Keamanan pada pusat server harus diperketat, dapat dilakukan dengan cara
pintu dikunci atau menggunakan kartu pada saat pekerja masuk ruangan agar
tidak semua orang bisa masuk kedalam ruangan server untuk menjaga
keamanan pada penyimpanan data. Dan pada pintu darurat juga diperhatikan,
serta ruangan dipasang kamera perekam (CCTV) agar pada setiap kegiatan

14
 dapat diketahui dan tidak menimbulkan kasus-kasus yang tidak baik dalam
ruangan server.
4. Air Conditioning
Suhu pada ruangan serverharus diperhatikan harus sesuai dengan kebutuhan
komputer karena bisa terjadi error atau pemrosesan yang lamban akibat suhu
yang panas. Jadi udara diusahakan agar tetap dingin supaya komputer tidak
terganggu pada saat bekerja.
5. Fire Suppression
Penyedia layanan penuh terhadap sistem, termasuk pencegahan kebakaran
harus terstruktur dengan baik. Misalnya, perusahaan harus bisa memilih
penempatan yang tepat untuk meletakkan alat tabung kebakaran atau alarm
kebakaran dan melakukan pelatihan jika terjadi musibah kebakaran maka user
atau pekerja agar mereka tidak panik.
6. Fault Tolerance
Fault tolerance adalah kemampuan sistem untuk melanjutkan operasinya ketika
sebagian dari sistem tersebut gagal karena adanya kegagalan peranti keras,
kesalahan dalam program aplikasi, atau kesalahan operator.
Cara di mana sistem operasi merespon keras atas kegagalan perangkat
lunak. Istilah ini pada dasarnya mengacu pada kemampuan sistem untuk
memungkinkan kegagalan atau kerusakan, dan kemampuan ini dapat disediakan
oleh perangkat lunak, perangkat keras atau kombinasi keduanya. Untuk
menangani kesalahan ini, beberapa sistem komputer diharapkan memiliki dua
atau lebih sistem data duplikat. Seperti contoh, perusahaan sebaiknya membuat
sistem bayangan. Jadi membuat data duplikat yang disimpan di tempat lain jika
terjadi kesalahan pada data pertama masih memiliki data duplikat. Dan cara
kedua dengan menggunakan Unit Power Supply (UPS), agar pada saat supply
listrik ke server terputus, terdapat jeda sebelum komputer mati, jadi masih
memiliki waktu untuk menyimpan atau menyelamatkan data.
7. Audit Objectives
Audit Objective dari IT governance khususnya data center adalah untuk
memastikan bahwa kontrol-kontrol yang ada terhadap data center tersedia
keberadaanya dan berfungsi serta dimaintain dengan baik.
8. Audit Procedures

15
Rincian untuk memperoleh bukti audit yang cukup tepat dengan melakukan
pengecekan ulang atau observasi, apakah sudah sesuai dengan prosedur sistem
audit. Contohnya dengan melakukan pengecekan pada area-area terkait, sebagai
berikut:
a. Construction
Melakukan pengecekan pada bangunan apakah sudah terjamin kokoh dan
pemilihan ruangan atau penempatan computer center (yang lebih baik
ditempatkan di lantai atas), serta apakah instalasi listrik sudah dipasang
dengan baik agar tidak terjadi korsleting atau listrik putus pada saat
melakukan proses pada server.
b. Access
Melakukan pengecekan pada alat tapping kartu, apakah alat tersebut sudah
dapat bekerja dengan baik dan tidak terjadi kerusakan, atau keberadaan
CCTV yang berfungsi dengan baik.
c. Air Conditioning
Melakukan pengecekan pada suhu pendingin, apakah sudah sesuai
dengan kebutuhan suhu yang dibutuhkan oleh komputer agar tidak terjadi
error.
d. Fire Suppression
Melakukan pengecekan pada tabung alat pemadam kebakaran, apakah
tabung masih terisi dan dapat digunakan jika terjadi kebakaran. Dan
melakukan pengecekan pada alarm kebakaran, apakah alarm berfungsi
dengan baik jika ada tanda-tanda terjadi kebakaran.
e. Fault tolerance
Melakukan pengecekan pada cara-cara mengatasi toleransi kesalahan,
apakah data yang diduplikat sudah terduplikasi dan tersimpan dengan baik
pada server yang lainnya. Dan melakukan pengecekan pada alat UPS
apakah baterai pada UPS masih dapat menyimpan energi listrik yang
digunakan pada saat terjadi pemadaman listrik.
f. Asuransi
Melakukan pendaftaran asuransi pada data server agar jika terjadi hal-hal
yang tidak diinginkan, maka tidak terlalu merugikan perusahaan, serta dicek
apakah asuransi tersebut diperpanjang tiap tahunnya.

16
2.4 Perencanaan dan Pemulihan Bencana ( Disaster Recovery Planning-DRP)
Terdapat 3 tipe bencana yang dapat menggagalkan suatu sistem yaitu :
1. Nature atau yang disebabkan oleh bencana alam seperti tornado, kebakaran dan
gempa bumi. Dimana bencana alam ini yang paling berpotensi menghancurkan
secara geografis yang berdampak tidak hanya dalam satu organisasi namun
dapat menghancurkan suatu organisasi dala suatu wilayah.
2. Human- made atau yang disebabkan manusia seperti sabotase, error dan
lainnya dimana dampak yang disebabkan oleh manusia hanya mempengaruhi
satu organisasi yang cenderung terbatas untuk cangkupan dampaknya.
3. System failure seperti pemadaman listrik, kegagalan hard drive dimana
kegagalan ini umumnya kurang parah, namun paling sering terjadi.
Dari tiga bencana diatas dapat membuat suatu organisasi atau perusahaan dapat
kehilangan fasilitas pemrosesan datanya, menghentikan fungsi-fungsi bisnis apabila
bisnisnya dilakukan dengan komputer yang membuat perusahaan kehilangan kemampuan
bisnisnya. Semakin sebuah organisasi bergantung pada teknologi maka, semakin rentan
terhadap resiko kegagalan suatu sistem. Maka dari itu untuk mencegah kegagalan dari
suatu sistem, perusahaan mengembangkan rencana pemulihan bencana (DRP).
Perencanaan pemulihan adalah perencanaan yang dibuat untuk membantu perusahaan
dalam melakukan pemulihan agar proses bisnis dapat berjalan kembali. Spesifikasi dari
disaster rocovery plan itu sendiri, terdiri dari empat aktivitas dasar, yakni.
a. Indentifikasi aplikasi penting
Hal pertama dari DRP adalah untuk mengidentifikasi aplikasi penting perusahaan
dan file data terkait. Upaya pemulihan harus berkonsentrasi pada
mengembalikan aplikasi yang sangat penting bagi kelangsungan hidup jangka
pendek organisasi. Jelas, dalam jangka panjang, semua aplikasi harus
dikembalikan ke level aktivitas bisnis pre-disaster. DRP, bagaimanapun, adalah
dokumen jangka pendek yang tidak boleh mencoba mengembalikan fasilitas
pemrosesan data organisasi ke kapasitas penuh segera setelah bencana. Untuk
melakukannya akan mengalihkan sumber daya dari area kritis dan menunda
pemulihan. Karena itu rencana tersebut harus fokus pada kelangsungan hidup
jangka pendek, yang berisiko dalam skenario bencana apapun.
b. Membuat tim pemulihan bencana

17
 Pemulihan dari bencana tergantung pada tindakan korektif yang tepat waktu.
Keterlambatan dalam melakukan tugas-tugas penting memperpanjang masa
pemulihan dan mengurangi prospek untuk pemulihan yang berhasil. Untuk
menghindari kelalaian serius atau duplikasi upaya selama implementasi rencana
kontinjensi, tanggung jawab tugas harus didefinisikan secara jelas dan
dikomunikasikan kepada personel yang terlibat. Setelah terjadinya bencana,
anggota tim akan mendelegasikan berbagai subpekerjaan ke bawahan mereka.
Lingkungan yang terbentuk akibat rencana mungkin mengharuskan dilakukannya
pelanggaran atas teknik pengendalian, seperti pemisahan pekerjaan,
pengendalian akses, dan pengawasan.
c. Menyediakan site backup
Bahan yang penting dalam sebuah DRP adalah rencana tersebut memungkinkan
adanya fasilitas pemrosesan data duplikat setelah terjadi suatu bencana. Di
antara berbagai pilihan yang tersedia adalah hot site (pusat operasi pemulihan),
cold site (ruang kosong), perjanjian silang yang saling menguntungkan, cadangan
yang disediakan secara internal, dan lain-lainnya. Disini, seorang auditor harus
mengevaluasi kecukupan pengaturan lokasi cadangan.
1). Empty shell adalah pengaturan dimana perushaan membeli atau menyewa
gedung yang akan berfungsi sebagai pusat data, jika terjadi bencana shell
tersedia dan siap menerima perangkat keras apaun yang dibutuhkan
penguna untuk sementara waktu untuk menjalankan peristiwa penting.
2). Recovery Operating center adalah pusat data cadangan lengkap yang
dibagikan oleh banyak perusahaan. Selain fasilitas perangkat keras dan
cadangan, penyedia layanan ROC menawarkan berbagai layanan teknis
kepada mereka yang membayar biaya tahunan untuk hak akses. Jika
terjadi bencana besar, pelanggan dapat menempati tempat tersebut dan,
dalam beberapa jam, melanjutkan pemrosesan aplikasi penting.
3). Internally Provided backup Organisasi yang lebih besar dengan banyak
pusat pemrosesan data sering lebih suka kemandirian yang menciptakan
kelebihan kapasitas internal. Hal ini memungkinkan perusahaan untuk
mengembangkan konfigurasi perangkat keras dan perangkat lunak standar,
yang memastikan kompatibilitas fungsional di antara pusat-pusat

18
 pemrosesan data mereka dan meminimalkan masalah langsung jika terjadi
bencana.
d. Menentukan cadangan dan prosdur diluar site/ lokasi.
Dimana semua file data, aplikasi, dokumentsi dan persediaan yang diperlukan
untuk terjadinya kondisi kritis harus secara otomatis dicadangkan dan disimpan
dilokasi off-site yang aman.
1). Operating system Backup. Jika perusahaan mengunakan cold site atau
metode pencadangansitus lain yang tidak termasuk sistem operasi yang
kompatibel (o/s). prosedur untuk mendapatkan versi sistem operasi saat ini
perlu secara jelas ditentukan. Pustakawan data, jika ada, akan menjadi
orang kunci untuk terlibat dalam melakukan tugas ini sebagai tambahan
terhadap aplikasi dan prosedur pencadangan data
2). Application Backup. Untuk mengamankan aplikasi kritis. DRP harus
mencakup prosedur untuk membuat salinan versi aplikasi kritis saat ini.
Dalam hal perangkat lunak komersial, ini melibatkan pembelian salinan
cadangan dari pembaruan perangkat lunak terbaru yang digunakan oleh
organisasi. Untuk aplikasi yang dikembangkan sendiri, prosedur
pencadangan harus menjadi langkah integral dalam pengembangan sistem
dan proses perubahan program
3). Backup data file. Cadangan basis data yang canggih dapat menyediakan
data lengkap. Namun tidak semua organisasi bersedia atau mampu
berinvestasi dalam sumber daya semacam itu. Maka basis data harus
disalin setiap hari ke media berkecepatan tinggi seperti CD/DVD.
4). Backup Dokumentation. DRP dalam pecangan dokumentasi harus
mencakup ketentuan ketentuan yang mencadangkan manual pengguna
akhir karena individu yang memproses transaksi dalam kondisi bencana
mungkin bukan staf biasa yang terbiasa dengan sistem.
5). Backup Supplies and Source Dokuments. Dimana organisasi harus
membuat cadangan dokumentasi perersediaan dan dokumen sumber yang
digunakan untuk memproses transakis penting. Maka DRP harus
menentukan jumlah yang dibutuhkan barang-barang khusus ini. Karena ini
adalah elemen rutin dari operasi sehari-hari, mereka sering diabaikan oleh
rencana kontingensi bencana, pada saat ini, perlu dicatat bahwa salinan

19
 dokumen DRP saat ini juga harus disimpan di luar lokasi di lokasi yang
aman.
Tes DRP sangat penting dilakukan secara berkala untuk mengukur kesiapan
personel dan mengidentifikasi kelalaian atau hambatan dalam rencana tersebut. Hal
apaling efektif dalam pengujian DRP adalah simulasi terjadinya bencana. Manajemen
organisasi harus mencari langkah-langkah kinerja di masing-masing bidang berikut: (1)
Efektivitas personel tim DRP dan tingkat pengetahuan mereka; (2) tingkat keberhasilan
konversi (I.E., jumlah rekaman yang hilang); (3) perkiraan kerugian finansial karena
kehilangan catatan atau fasilitas; dan (4) efektivitas program, data, dan prosedur
pemulihan dokumentasi.

Tujuan dan Prosedur Audit

Auditor harus memverifikasi bahwa rencana pemulihan bencana Manajemen
memadai dan berpihak untuk berurusan dengan bencana yang dapat menghilangkan
organisasi sumber daya komputasi. Sedangkan prosedur audit yaitu memverifikasi bahwa
DRP Manajemen adalah solusi realistis untuk berurusan dengan bencana, tes berikut
dapat dilakukan.
1. Site Backup
Cadangan situs. Auditor harus mengevaluasi kecukupan pengaturan situs
cadangan. Ketidakcocokan sistem dan sifat manusia, berdua sangat mengurangi
efektivitas pakta bantuan timbal balik. Auditor harus skeptis dengan pengaturan
seperti itu karena dua alasan. Pertama, kecanggihan sistem komputer mungkin
sulit untuk menemukan mitra potensial dengan konfigurasi yang kompatibel.
Kedua, sebagian besar perusahaan tidak memiliki kelebihan kapasitas yang
diperlukan untuk mendukung mitra yang dilanda bencana sambil juga memproses
pekerjaan mereka sendiri.
2. critical aplication list
Auditor harus meninjau daftar aplikasi penting untuk memastikan bahwa itu
lengkap. Aplikasi yang hilang dapat mengakibatkan kegagalan untuk memulihkan.
Namun yang sama berlaku untuk memulihkan aplikasi yang tidak perlu. Untuk
memasukkan aplikasi pada daftar kritis yang tidak diperlukan untuk mencapai
kelangsungan hidup jangka pendek dapat salah mengisiri sumber daya dan
mengalihkan perhatian dari tujuan utama selama periode pemulihan.

20
 3. Software Backup
Auditor harus memverifikasi bahwa salinan aplikasi penting dan sistem operasi
disimpan di luar lokasi. Auditor juga harus memverifikasi bahwa aplikasi yang
disimpan di luar lokasi adalah terkini dengan membandingkan nomor versi mereka
dengan yang ada di aplikasi aktual yang digunakan.
4. Data Backup
Auditor harus memverifikasi bahwa file data penting dicadangkan dalam kabel
dengan DRP. Prosedur cadangan data spesifik untuk file datar dan database
relasional.
5. Backup supplies, documents, and documatation
Auditor harus memverifikasi bahwa jenis dan jumlah item yang ditentukan dalam
DRP seperti periksa stok, faktur, pesanan pembelian, dan segala bentuk tujuan
khusus ada di lokasi yang aman.
6. Disaster Recovery Team
Auditor harus memverifikasi bahwa anggota tim adalah karyawan saat ini dan
menyadari tanggung jawab mereka yang ditugaskan.

2.5 Outsourcing Fungsi IT

Dalam iklim persaingan usaha yang semakin ketat, perusahaan berusaha untuk
melakukan efisiensi biaya produksi (cost of production). Salah satu solusinya adalah
dengan sistem outsourcing, dimana dengan sistem ini perusahaan diharapkan dapat
menghemat pengeluaran dalam membiayai sumber daya manusia (SDM) yang bekerja di
perusahaan yang bersangkutan. Outsourcing atau contracting out adalah pemindahan
pekerjaan dari satu perusahaan ke perusahaan lain.
IT outsourcing sendiri tidak berbeda jauh dengan definisi outsourcing secara
umum. IT outsourcing adalah penyediaan tenaga ahli yang profesional dibidang teknologi
informasi untuk mendukung dan memberikan solusi guna meningkatkan kinerja
perusahaan.
Salah satu bidang yang menjadi obyek outsourcing pada berbagai perusahaan
adalah fungsi TI. Bagi perusahaan, fungsi TI merupakan bidang penunjang (support
function) untuk mendukung operasional perusahaan yang lebih efektif dan efisien.
Sebagai support function fungsi IT di-outsource pada perusahaan outsourcing TI, dengan

21
pertimbangan untuk meningkatkan efisiensi dan agar perusahaan dapat lebih
memfokuskan diri pada bidang usaha yang ditekuninya.
Terdapat keuntungan-keuntungan yang dirasakan perusahaan apabila melakukan
IT outsourcing, antara lain:
a) Perusahaan dapat fokus pada core business-nya dengan tetap menikmati nilai-nilai
positif dari sistem dan teknologi informasi.
b) Teknologi yang maju. IT outsourcing memberikan akses kepada organisasi klien
berupa kemajuan teknologi dan pengalaman personil.
c) Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya TI
d) Mengurangi biaya dari pengadaan fungsi TI di perusahaan
e) Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan dikerjakan
sendiri secara internal, karena outsourcer memang spesialisasi dan ahli di bidang
tersebut.

Risks Inherent to IT Outsourcing

Walau demikian penerapan strategi outsourcing fungsi TI bukan berarti tanpa
kendala. Ada resiko-resiko yang mungkin terjadi bila perusahaan meng-outsource fungsi
TI-nya, antara lain:
a) Performa dari sumber daya IT dapat gagal karena itu semua bergantung pada
vendor atau penyedia layanan
b) Dapat terjadi ketidakseimbangan biaya dengan manfaat yang dirasakan
c) Resiko terhadap keamanan data perusahaan, dimana IT outsource sangat
berhubungan dengan data perusahaan
d) Rentan dapat ditiru oleh pesaing lain bila aplikasi yang dioutsourcingkan adalah
aplikasi strategik
e) Kegagalan dalam keselarasan strategi antara perencanaan TI dengan
perencanaan bisnis perusahaan secara keseluruhan
f) Adanya kecenderungan outsourcer untuk merahasiakan sistem yang digunakan
dalam membangun sistem informasi bagi pelanggannya agar jasanya tetap
digunakan.

Audit Implications of IT Outsourcing

22
 Dalam situasi dimana perusahaan melakukan outsourcing terhadap sumber daya
TI yang dimiliki, auditor harus mampu melakukan audit, dimana tujuan audit dan
metodologinya tetap sama, outsourcing tidak memperkenalkan unsur-unsur baru tertentu
yang perlu dipertimbangkan. Tujuan dari audit ini sendiri, antara lain:
a) Menilai resiko yang terkait dengan outsourcing, seperti ketersediaan kelanjutan
dari jasa, tingkat layanan dan keamanan informasi
b) Menelaah apakah tujuan dari outsourcing tercapai
c) Menilai strategi TI apakah telah dimodifikasi sehingga sesuai dengan rencana
IToutsourcing

Seorang auditor dapat membuat checklist mengenai hal-hal penting selama

mengaudit IT outsourcing, seperti:
1). Contract
Kebanyakan pengaturan outsourcing diberlakukan setelah proses rinci evaluasi,
due diligence dan negosiasi, dengan pertukaran komunikasi antara perusahaan
dan penyedia layanan selama periode waktu. Penting bagi kedua belah pihak
untuk memiliki dokumen kontrak yang memiliki kekuatan hukum dan merinci
harapan yang disepakati mengenai berbagai aspek pengaturan. Untuk auditor,
titik awal yang baik dalam mengaudit adalah dari kontrak outsourcing. Auditor
harus membuat pengawasan menyeluruh terhadap kontrak, seperti yang akan
dilakukan untuk setiap kontrak komersial besar, dan mengevaluasi semua risiko
seperti yang dilakukan dalam pemeriksaan kontrak.
2). Statement of work
Informasi penting berikutnya dari sebuah kontrak adalah statement of work atau
laporan kerja yang berisi daftar pekerjaan yang harus dilakukan oleh penyedia
layanan. Auditor harus memeriksa apakah proyek pekerjaan benar-benar
dilakukan oleh penyedia layanan dan sama dengan yang disebutkan dalam
kontrak.
3). Data security
Berbagai tingkat akses ke aplikasi dan sistem harus diberikan kepada personil
penyedia layanan untuk memungkinkan mereka melaksanakan pekerjaan.
Prosedur yang tepat harus ditentukan untuk menentukan bagaimana akses
tersebut diberikan dan dipelihara. Keamanan berkaitan dengan menjaga

23
 kerahasiaan, integritas dan ketersediaan informasi. Auditor harus memeriksa
apakah kebijakan keamanan dan proses dari penyedia layanan sinkron dengan
orang-orang dari perusahaan. Auditor harus memeriksa apakah mekanisme telah
ditetapkan untuk pemantauan keamanan dan proses yang terkait. Dalam
beberapa kasus, tergantung pada sifat dari pekerjaan outsourcing, personil dari
penyedia layanan bahkan mungkin diberi akses superuser ke beberapa sistem.
4). Impact on IT strategy
IT outsourcing sering dilakukan dalam skala yang cukup besar. Outsourcing perlu
dimasukkan ke dalam bisnis dan strategi TI perusahaan. Dalam proses
outsourcing, perusahaan tidak boleh melupakan kenyataan bahwa TI berdampak
pada bisnis secara signifikan dan bermanfaat bagi perusahaan. Auditor harus
melakukan cek dari keseluruhan skenario TI perusahaan setelah outsourcing.

24
 KESIMPULAN

Setiap perusahaan membutuhkan pemahaman dan mengawasi atas jalannya tata

kelola informasi serta mengetahui risiko apa saja yang akan ditimbulkan. Tata kelola
teknologi informasi yang benar dan baik juga menjadi penentu kelangsungan aktivitas
perusahaan. Setiap prosedur dan sistem yang dikembangkan untuk melakukan
pengamanan fungsi teknologi informasi akan bermanfaat pada proses operasional
perusahaan. Untuk itu, perusahaan perlu pemahaman atas risiko apa saja yang
berpengaruh pada teknologi informasi, dan juga pemulihan dari risko tersebut sehingga
tidak mengganggu kerja operasional perusahaan.

25
 REFERENSI

James A. Hall. 2011. Information Technology Auditing and Assurance. Cengage

Learning

26