Auditing EDP
Oleh Kelompok 9:
UNIVERSITAS JEMBER
2021
BAB 1. PENDAHULUAN
2
Pada dasarnya, audit TI dilakukan untuk menjaga manajemen informasi dapat tetap
berjalan secara efektif dan teknologi dapat dimanfaatkan dengan lebih efisien.
3
BAB 2. PEMBAHASAN
4
hal ini, beberapa permasalahan penting yang berkaitan dengan TI akan diperiksa. Hal ini
diilustrasikan melalui dua model organisasi yang ekstrim yaitu pendekatan yang terpusat
dan terdistribusi.
5
kebutuhan pengguna dari waktu ke waktu. Selama sistem hidup (seiring beberapa
tahun), sebanyak 80 atau 90 persen dari total biaya yang mungkin timbul; melalui
kegiatan pemeliharaan.
6
skema database dan tampilan pengguna, menetapkan otoritas akses database
kepada pengguna, memantau penggunaan basis data, dan merencanakan
perluaasan di masa depan. Mendelegasikan tanggung jawab ini kepada orang lain
yang melakukan tugas yang tidak sesuai mengancam integritas.
c. Memisahkan Sistem Baru Pembangunan dari Pemeliharaan
Beberapa perusahaan mengatur fungsi pengembangan sistem rumah mereka
menjadi dua kelompok yaitu, analisis dan pemrograman sistem. Kelompok analisis
sistem bekerja dengan pengguna untuk menghasilkan desain yang terperinci dari
sistem baru. Kelompok pemrograman membuat kode program yang sesuai dengan
spesifikasi desain ini. Dengan pendekatan ini, pogramer yang membuat kode
program asli juga memelihara sistem selama fase pemeliharaan siklus
pengembangan sistem. Meskipun pengaturannya sama, pendekatan ini dikaitkan
dengan dua jenis kontrol masalah yaitu dokumentasi yang tidak memadai dan
potensi kecurangan program.
1) Dokumentasi yang tidak memadai
Buruknya kualitas sistem dokumentasi yang kronis itu merupakan masalah
dan tantangan yang signifikan untuk banyak organisasi. Ada dua penjelasan
untuk permaslahan ini yaitu, pertama, mendokumentasikan sistem ini tidak
semenarik seperti merancang, menguji, dan menerapkannya. Oleh sebab itu,
professional sistem lebih memilih untuk beralih ke proyek baru yang menarik,
daripada hanya menyelesaikan dokumen saja. Alasan kedua untuk
dokumentasi yang buruk adalah keamanan pekerjaan. Ketika sistem
mendokumentasikan dengan buruk maka akan sangat sulit dilakukan
pengujian. Oleh karena itu, programmer yang memahami sistem
mempertahankan kekuatan daya tawar sangat diperlukan.
2) Program penipuan
Ketika para programmer asli dari sistem juga diberikan tanggung-jawab
pemeliharaan, maka potensi untuk penipuan meningkat. Progam penipuan
melibatkan suatu perubahan yang tidak sah dan membuat progam untuk
melakukan tindakan ilegal. Programmer asli mungkin berhasil
menyembunyikan penipuan kode di antara seribu baris kode yang sah dan
ratusan modul yang membentuk sebuah sistem. Agar penipuan yang
dilakukan sukses, programmer harus mampu mengendalikan situasi melalui
7
akses eksklusif dan tak terbatas untuk program aplikasi. Pemrogram perlu
melindungi kode penipuan dari deteksi disengaja oleh programmer lain yang
melakukan pemeliharaan atau oleh auditor penguji aplikasi kontrol. Oleh
karena itu, memiliki tanggung jawab untuk pemeliharaan adalah unsur
penting dalam skema programmer. Melalui otoritas pemeliharaan ini,
programmer dapat dengan bebas akses sistem, menonaktifkan penipuan
kode selama audit dan mengembalikan kode.Penipuan semacam ini dapat
terjadi terus menerus selama bertahun-tahun tanpa deteksi.
d. Struktur Unggulan untuk Pengembang Sistem
Struktur organisasi yang unggul memiliki fungsi pengembangan sistem yang
dipisahkan menjadi dua kelompok yang berbeda, yaitu pengembangan sistem baru
dan pemeliharaan sistem. Kelompok pengembangan sistem baru bertanggung
jawab untuk merancang, memprogram, dan mengimplementasikan proyek sistem
yang baru. Setelah berhasil diimplementasikan tanggung jawab atas pemeliharaan
berkelanjutan sistem ini sampai pada kelompok pemeliharaan sistem. Pertama,
standar dokumentasi ditingkatkan karena kelompok pemeliharaan memerlukan
dokumentasi untuk melaksanakan tugas perawatannya. Tanpa dokumentasi
lengkap dan memadai, transfer formal tanggung jawab sistem dari pengembangan
sistem baru ke pemeliharaan sistem tidak dapat terjadi. Kedua, menutup akses
programmer asli di masa depan untuk mencegah adanya program penipuan.
Keberhasilan pengendalian ini bergantung pada adanya kontrol lain yang
membatasi, mencegah, dan mendeteksi akses tidak sah ke program.
8
DDP dapat mengekspos dan mengorganisir tiga jenis risiko yang terkait
dengan penggunaan sumber daya yang tidak efisien, yaitu :
Adanya risiko salah pengelolaan sumber daya TI di seluruh organisasi
oleh pengguna akhir.
DDP dapat menimbulkan risiko inefisiensi operasional karena adanya
tugas berlebihan yang dilakukan dalam komite pengguna akhir.
Lingkungan DDP menimbulkan risiko perangkat keras dan perangkat
lunak yang tidak kompartibel di antara fungsi pengguna akhir.
b) Penghancuran Jalur Audit
Jejak audit memberikan keterkaitan antara aktivitas keuangan (transaksi)
komersil dan laporan keuangan yang melapor pada kegiatan tersebut.
Dalam sistem DDP, jalur audit terdiri dari serangkaian file transaksi digital
yang berada sebagian atau seluruhnya pada komputer pengguna akhir.
Apabila pengguna akhir tidak sengaja menghapus salah satu file atau
melakukan kesalahan transaski dalam file audit maka jejak audit bisa rusak
dan tidak bisa dipulihkan.
c) Pemisahan Tugas yang Tidak Memadai
Pemisahan tugas yang memadai mungkin tidak dapat dilakukan di
beberapa lingkungan distribusi. Distribusi layanan TI kepada pengguna
dapat menghasilkan penciptaan unit independen kecil yang tidak
mengizinkan pemisahan fungsi yang tidak sesuai yang diinginkan. Situasi
semacam itu akan menjadi pelanggaran mendasar pengendalian internal.
d) Mempekerjakan Profesional Berkualitas
Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI guna
melakukan evaluasi kredensial teknis dan pengalaman relevan mengenai
kandidat yang termasuk posisi profesional TI. Untuk alasan ini, manajer
mungkin mengalami kesulitan menarik personil berkualifikasi tinggi. Risiko
kesalahan pemrograman dan kegagalan sistem meningkat secara langsung
dengan tingkat ketidakmampuan karyawan.
e) Kurangnya Standar
Karena distribusi tanggung jawab di lingkungan DDP, standar untuk
mengembangkan dan mendokumentasikan sistem, memilih bahasa
pemrograman, memperoleh perangkat keras dan perangkat lunak, dan
9
mengevaluasi kinerja mungkin tidak rata diterapkan atau bahkan tidak
ada. Penentang DDP berpendapat bahwa risiko yang terkait dengan
perancangan dan pengoperasian sistem DDP dapat dilakukan hanya jika
standar tersebut diterapkan secara konsisten.
2. Keuntungan DDP
Ada beberapa keuntungan DDP, yaitu :
a. Pengurangan Biaya
Menggunakan DDP telah mengurangi biaya di dua area lainnya: (1) data dapat
diedit dan dimasukkan oleh pengguna akhir, sehingga menghilangkan tugas
terpusat dari persiapan data; dan (2) kompleksitas aplikasi dapat dikurangi,
yang pada akhirnya mengurangi biaya pengembangan dan pemeliharaan
sistem.
b. Tanggung Jawab Kontrol Biaya yang Lebih Baik
Manajer pengguna akhir bertanggung jawab atas keberhasilan operasi
sehingga mereka diberi wewenang untuk membuat keputusan tentang
sumber daya yang mempengaruhi keberhasilan secara keseluruhan. Ketika
manajer dilarang membuat keputusan yang diperlukan untuk mencapai
tujuan mereka, kinerjanya dapat terpengaruh secara negatif. Pendukung
DDP berpendapat bahwa manfaat dari sikap manajemen yang lebih baik
lebih besar daripada biaya tambahan yang dikeluarkan untuk
mendistribusikan sumber daya ini. Mereka berpendapat bahwa jika
kemampuan TI memang penting bagi keberhasilan operasi bisnis, maka
manajemen harus diberi kontrol atas sumber daya ini.
c. Peningkatan Kepuasan Pengguna
Manfaat DDP yang paling sering dikutip adalah peningkatan kepuasan
pengguna. Pendukung DDP mengklaim bahwa sistem distribusi kepada
pengguna akhir memperbaiki tiga area kebutuhan yang sering tidak
terpuaskan pada model terpusat: (1) Pengguna ingin mengendalikan sumber
daya yang mempengaruhi keuntungan mereka; (2) pengguna menginginkan
sistem profesional (analis, pemrogram, dan operator komputer) untuk
bersikap responsif terhadap situasi spesifik mereka; dan (3) pengguna ingin
10
lebih terlibat secara aktif dalam mengembangkan dan menerapkan sistem
mereka sendiri.
d. Fleksibilitas Cadangan
Argumen terakhir yang mendukung DDP adalah kemampuan untuk
mencandangkan fasilitas komputerisasi guna melindungi dari potensi
bencana seperti kebakaran, banjir, sabotase, dan gempa bumi. Satu-satunya
cara untuk mencadangkan sebuah situs komputer utama melawan bencana
tersebut adalah dengan menyediakan fasilitas komputer kedua. Setiap unit TI
yang terpisah secara geografis dapat dirancang dengan kapasitas
berlebih. Jika bencana menghancurkan satu situs, situs lain dapat
menggunakan kelebihan kapasitas mereka untuk memproses transaksi situs
yang hancur. Tentu, pengaturan ini memerlukan koordinasi yang erat antara
manajer pengguna akhir untuk memastikan bahwa mereka tidak menerapkan
perangkat keras dan perangkat lunak yang tidak kompatibel.
11
pengelolaan basis data untuk sistem entitas yang luas yang ditambahkan ke saran teknis
dan keahlian kepada komunitas TI terdistribusi.
a. Pengujian pusat perangkat lunak dan perangkat keras komersial
Papan TI perusahaan yang terpusat lebih baik dilengkapi daripada pengguna
akhir untuk mengevaluasi kelebihan perangkat lunak komersial dan produk
perangkat keras yang bersaing di bawah pertimbangan. Dorongan teknis secara
umum seperti ini dapat mengevaluasi fitur, kontrol dan kompatibilitas sistem
dengan standar industri dan organisasi. Hasil uji kemudian dapat didistribusikan
ke area pengguna sebagai standar untuk membimbing keputusan pengambil
keputusan. Hal ini memungkinkan organisasi untuk secara efektif memusatkan
akuisisi, pengujian dan implementasi perangkat lunak dan perangkat keras dan
menghindari banyak masalah yang dibahas sebelumnya.
b. Layanan pengguna
Sebuah sifat yang berharga dari grup perusahaan adalah fungsi layanan
penggunanya. Kegiatan ini memberikan bantuan teknis kepada pengguna selama
pemasangan perangkat lunak baru dan dalam mengatasi masalah masalah
perangkat keras dan perangkat lunak. Pembuatan papan buletin elektronik untuk
pengguna dengan cara yang sangat baik untuk menyumbang informasi tentang
masalah umum dan memungkinkan berbagi program yang dikembangkan
pengguna dengan orang lain dalam organisasi. Selain itu, ruang obrolan bisa
dibuat untuk memberikan diskusi berulir, sering, bertanya pertanyaan dan
dukungan intranet. Fungsi TI perusahaan juga bisa menyediakan meja bantuan,
di mana pengguna dapat menelepon dan mendapat tanggapan cepat terhadap
pertanyaan dan masalah. Di banyak oganisasi staf layanan pengguna
mengajarkan kursus teknik untuk pengguna akhir dan juga untuk petugas layanan
komputer. Peningkatan tingkat kesadaran pengguna dan mendorong berlanjutnya
pendidikan tenaga teknis
c. Standar pengaturan tubuh
Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh model DDP
dapat ditingkatkan dengan menetapkan beberapa panduan utama. Kelompok
perusahaan dapat berkontribusi pada tujuan ini dengan menetapkan dan
mendistribusikan ke area pengguna sesuai standar untuk pengembangan,
pemrograman, dan dokumentasi sistem.
12
d. Ulasan Personalia
Kelompok korporat seringkali lebih baik dilengkapi daripada pengguna untuk
mengevaluasi kredensial teknis dari proffesional sistem prospektif. Meskipun
profesional sistem benar-benar akan menjadi bagian dari kelompok pengguna
akhir, penyatuan kelompok perusahaan dalam keputusan kerja dapat memberi
nilai berharga bagi organisasi.
Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI sedemikian
rupa sehingga individu-individu di daerah yang tidak sesuai dipisahkan sesuai dengan
tingkat risiko potensial dan dengan cara yang mendorong lingkungan kerja. Ini adalah
lingkungan di mana hubungan formal, daripada santai, harus ada antara tugas yang tidak
sesuai.
Prosedur Audit
Prosedur audit berikut akan diterapkan pada organisasi dengan fungsi TI
terpusat:
1. Tinjau dokumentasi yang relevan, termasuk bagan organisasi saat ini, pernyataan
misi dan uraian tugas untuk fungsi utama, untuk menentukan apakah individu
atau kelompok melakukan fungsi yang tidak sesuai.
2. Tinjau dokumentasi sistem dan catatan pemeliharaan untuk contoh aplikasi.
Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan ke proyek tertentu
juga bukan pemrogram desain asli.
3. Pastikan operator komputer tidak memiliki akses ke rincian operasional logika
internal sistem. Dokumentasi sistem Seperti diagram alir sistem, diagram alur
logika dan daftar kode program, seharusnya tidak menjadi bagian dari
dokumentasi operasi Anda.
4. Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti dalam
praktik. Tinjau log akses ruang operasi untuk menentukan apakah pemrogram
memasukkan fasilitas untuk alasan selain kegagalan sistem.
Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi:
13
1. Tinjau bagan orgnizational terkini, pernyataan misi dan uraian tugas untuk fungsi
utama untuk menentukan apakah individu atau kelompok melakukan tugas yang
tidak sesuai.
2. Verifikasi bahwa rancangan, dokumentasi, dan perangkat keras dan perangkat
lunak rancangan dan kebijakan perusahaan standar dipublikasikan dan
diserahkan ke unit TI terdistribusi.
3. Verifikasi bahwa kontrol kompensasi, seperti pengawasan dan pemantauan
manajemen, digunakan saat pemisahan tugas yang tidak kompatibel secara
ekonomi dapat infesible.
Peninjauan ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur
dan database dirancang dan berfungsi sesuai dengan standar perusahaan.
14
dapat diketahui dan tidak menimbulkan kasus-kasus yang tidak baik dalam
ruangan server.
4. Air Conditioning
Suhu pada ruangan serverharus diperhatikan harus sesuai dengan kebutuhan
komputer karena bisa terjadi error atau pemrosesan yang lamban akibat suhu
yang panas. Jadi udara diusahakan agar tetap dingin supaya komputer tidak
terganggu pada saat bekerja.
5. Fire Suppression
Penyedia layanan penuh terhadap sistem, termasuk pencegahan kebakaran
harus terstruktur dengan baik. Misalnya, perusahaan harus bisa memilih
penempatan yang tepat untuk meletakkan alat tabung kebakaran atau alarm
kebakaran dan melakukan pelatihan jika terjadi musibah kebakaran maka user
atau pekerja agar mereka tidak panik.
6. Fault Tolerance
Fault tolerance adalah kemampuan sistem untuk melanjutkan operasinya ketika
sebagian dari sistem tersebut gagal karena adanya kegagalan peranti keras,
kesalahan dalam program aplikasi, atau kesalahan operator.
Cara di mana sistem operasi merespon keras atas kegagalan perangkat
lunak. Istilah ini pada dasarnya mengacu pada kemampuan sistem untuk
memungkinkan kegagalan atau kerusakan, dan kemampuan ini dapat disediakan
oleh perangkat lunak, perangkat keras atau kombinasi keduanya. Untuk
menangani kesalahan ini, beberapa sistem komputer diharapkan memiliki dua
atau lebih sistem data duplikat. Seperti contoh, perusahaan sebaiknya membuat
sistem bayangan. Jadi membuat data duplikat yang disimpan di tempat lain jika
terjadi kesalahan pada data pertama masih memiliki data duplikat. Dan cara
kedua dengan menggunakan Unit Power Supply (UPS), agar pada saat supply
listrik ke server terputus, terdapat jeda sebelum komputer mati, jadi masih
memiliki waktu untuk menyimpan atau menyelamatkan data.
7. Audit Objectives
Audit Objective dari IT governance khususnya data center adalah untuk
memastikan bahwa kontrol-kontrol yang ada terhadap data center tersedia
keberadaanya dan berfungsi serta dimaintain dengan baik.
8. Audit Procedures
15
Rincian untuk memperoleh bukti audit yang cukup tepat dengan melakukan
pengecekan ulang atau observasi, apakah sudah sesuai dengan prosedur sistem
audit. Contohnya dengan melakukan pengecekan pada area-area terkait, sebagai
berikut:
a. Construction
Melakukan pengecekan pada bangunan apakah sudah terjamin kokoh dan
pemilihan ruangan atau penempatan computer center (yang lebih baik
ditempatkan di lantai atas), serta apakah instalasi listrik sudah dipasang
dengan baik agar tidak terjadi korsleting atau listrik putus pada saat
melakukan proses pada server.
b. Access
Melakukan pengecekan pada alat tapping kartu, apakah alat tersebut sudah
dapat bekerja dengan baik dan tidak terjadi kerusakan, atau keberadaan
CCTV yang berfungsi dengan baik.
c. Air Conditioning
Melakukan pengecekan pada suhu pendingin, apakah sudah sesuai
dengan kebutuhan suhu yang dibutuhkan oleh komputer agar tidak terjadi
error.
d. Fire Suppression
Melakukan pengecekan pada tabung alat pemadam kebakaran, apakah
tabung masih terisi dan dapat digunakan jika terjadi kebakaran. Dan
melakukan pengecekan pada alarm kebakaran, apakah alarm berfungsi
dengan baik jika ada tanda-tanda terjadi kebakaran.
e. Fault tolerance
Melakukan pengecekan pada cara-cara mengatasi toleransi kesalahan,
apakah data yang diduplikat sudah terduplikasi dan tersimpan dengan baik
pada server yang lainnya. Dan melakukan pengecekan pada alat UPS
apakah baterai pada UPS masih dapat menyimpan energi listrik yang
digunakan pada saat terjadi pemadaman listrik.
f. Asuransi
Melakukan pendaftaran asuransi pada data server agar jika terjadi hal-hal
yang tidak diinginkan, maka tidak terlalu merugikan perusahaan, serta dicek
apakah asuransi tersebut diperpanjang tiap tahunnya.
16
2.4 Perencanaan dan Pemulihan Bencana ( Disaster Recovery Planning-DRP)
Terdapat 3 tipe bencana yang dapat menggagalkan suatu sistem yaitu :
1. Nature atau yang disebabkan oleh bencana alam seperti tornado, kebakaran dan
gempa bumi. Dimana bencana alam ini yang paling berpotensi menghancurkan
secara geografis yang berdampak tidak hanya dalam satu organisasi namun
dapat menghancurkan suatu organisasi dala suatu wilayah.
2. Human- made atau yang disebabkan manusia seperti sabotase, error dan
lainnya dimana dampak yang disebabkan oleh manusia hanya mempengaruhi
satu organisasi yang cenderung terbatas untuk cangkupan dampaknya.
3. System failure seperti pemadaman listrik, kegagalan hard drive dimana
kegagalan ini umumnya kurang parah, namun paling sering terjadi.
Dari tiga bencana diatas dapat membuat suatu organisasi atau perusahaan dapat
kehilangan fasilitas pemrosesan datanya, menghentikan fungsi-fungsi bisnis apabila
bisnisnya dilakukan dengan komputer yang membuat perusahaan kehilangan kemampuan
bisnisnya. Semakin sebuah organisasi bergantung pada teknologi maka, semakin rentan
terhadap resiko kegagalan suatu sistem. Maka dari itu untuk mencegah kegagalan dari
suatu sistem, perusahaan mengembangkan rencana pemulihan bencana (DRP).
Perencanaan pemulihan adalah perencanaan yang dibuat untuk membantu perusahaan
dalam melakukan pemulihan agar proses bisnis dapat berjalan kembali. Spesifikasi dari
disaster rocovery plan itu sendiri, terdiri dari empat aktivitas dasar, yakni.
a. Indentifikasi aplikasi penting
Hal pertama dari DRP adalah untuk mengidentifikasi aplikasi penting perusahaan
dan file data terkait. Upaya pemulihan harus berkonsentrasi pada
mengembalikan aplikasi yang sangat penting bagi kelangsungan hidup jangka
pendek organisasi. Jelas, dalam jangka panjang, semua aplikasi harus
dikembalikan ke level aktivitas bisnis pre-disaster. DRP, bagaimanapun, adalah
dokumen jangka pendek yang tidak boleh mencoba mengembalikan fasilitas
pemrosesan data organisasi ke kapasitas penuh segera setelah bencana. Untuk
melakukannya akan mengalihkan sumber daya dari area kritis dan menunda
pemulihan. Karena itu rencana tersebut harus fokus pada kelangsungan hidup
jangka pendek, yang berisiko dalam skenario bencana apapun.
b. Membuat tim pemulihan bencana
17
Pemulihan dari bencana tergantung pada tindakan korektif yang tepat waktu.
Keterlambatan dalam melakukan tugas-tugas penting memperpanjang masa
pemulihan dan mengurangi prospek untuk pemulihan yang berhasil. Untuk
menghindari kelalaian serius atau duplikasi upaya selama implementasi rencana
kontinjensi, tanggung jawab tugas harus didefinisikan secara jelas dan
dikomunikasikan kepada personel yang terlibat. Setelah terjadinya bencana,
anggota tim akan mendelegasikan berbagai subpekerjaan ke bawahan mereka.
Lingkungan yang terbentuk akibat rencana mungkin mengharuskan dilakukannya
pelanggaran atas teknik pengendalian, seperti pemisahan pekerjaan,
pengendalian akses, dan pengawasan.
c. Menyediakan site backup
Bahan yang penting dalam sebuah DRP adalah rencana tersebut memungkinkan
adanya fasilitas pemrosesan data duplikat setelah terjadi suatu bencana. Di
antara berbagai pilihan yang tersedia adalah hot site (pusat operasi pemulihan),
cold site (ruang kosong), perjanjian silang yang saling menguntungkan, cadangan
yang disediakan secara internal, dan lain-lainnya. Disini, seorang auditor harus
mengevaluasi kecukupan pengaturan lokasi cadangan.
1). Empty shell adalah pengaturan dimana perushaan membeli atau menyewa
gedung yang akan berfungsi sebagai pusat data, jika terjadi bencana shell
tersedia dan siap menerima perangkat keras apaun yang dibutuhkan
penguna untuk sementara waktu untuk menjalankan peristiwa penting.
2). Recovery Operating center adalah pusat data cadangan lengkap yang
dibagikan oleh banyak perusahaan. Selain fasilitas perangkat keras dan
cadangan, penyedia layanan ROC menawarkan berbagai layanan teknis
kepada mereka yang membayar biaya tahunan untuk hak akses. Jika
terjadi bencana besar, pelanggan dapat menempati tempat tersebut dan,
dalam beberapa jam, melanjutkan pemrosesan aplikasi penting.
3). Internally Provided backup Organisasi yang lebih besar dengan banyak
pusat pemrosesan data sering lebih suka kemandirian yang menciptakan
kelebihan kapasitas internal. Hal ini memungkinkan perusahaan untuk
mengembangkan konfigurasi perangkat keras dan perangkat lunak standar,
yang memastikan kompatibilitas fungsional di antara pusat-pusat
18
pemrosesan data mereka dan meminimalkan masalah langsung jika terjadi
bencana.
d. Menentukan cadangan dan prosdur diluar site/ lokasi.
Dimana semua file data, aplikasi, dokumentsi dan persediaan yang diperlukan
untuk terjadinya kondisi kritis harus secara otomatis dicadangkan dan disimpan
dilokasi off-site yang aman.
1). Operating system Backup. Jika perusahaan mengunakan cold site atau
metode pencadangansitus lain yang tidak termasuk sistem operasi yang
kompatibel (o/s). prosedur untuk mendapatkan versi sistem operasi saat ini
perlu secara jelas ditentukan. Pustakawan data, jika ada, akan menjadi
orang kunci untuk terlibat dalam melakukan tugas ini sebagai tambahan
terhadap aplikasi dan prosedur pencadangan data
2). Application Backup. Untuk mengamankan aplikasi kritis. DRP harus
mencakup prosedur untuk membuat salinan versi aplikasi kritis saat ini.
Dalam hal perangkat lunak komersial, ini melibatkan pembelian salinan
cadangan dari pembaruan perangkat lunak terbaru yang digunakan oleh
organisasi. Untuk aplikasi yang dikembangkan sendiri, prosedur
pencadangan harus menjadi langkah integral dalam pengembangan sistem
dan proses perubahan program
3). Backup data file. Cadangan basis data yang canggih dapat menyediakan
data lengkap. Namun tidak semua organisasi bersedia atau mampu
berinvestasi dalam sumber daya semacam itu. Maka basis data harus
disalin setiap hari ke media berkecepatan tinggi seperti CD/DVD.
4). Backup Dokumentation. DRP dalam pecangan dokumentasi harus
mencakup ketentuan ketentuan yang mencadangkan manual pengguna
akhir karena individu yang memproses transaksi dalam kondisi bencana
mungkin bukan staf biasa yang terbiasa dengan sistem.
5). Backup Supplies and Source Dokuments. Dimana organisasi harus
membuat cadangan dokumentasi perersediaan dan dokumen sumber yang
digunakan untuk memproses transakis penting. Maka DRP harus
menentukan jumlah yang dibutuhkan barang-barang khusus ini. Karena ini
adalah elemen rutin dari operasi sehari-hari, mereka sering diabaikan oleh
rencana kontingensi bencana, pada saat ini, perlu dicatat bahwa salinan
19
dokumen DRP saat ini juga harus disimpan di luar lokasi di lokasi yang
aman.
Tes DRP sangat penting dilakukan secara berkala untuk mengukur kesiapan
personel dan mengidentifikasi kelalaian atau hambatan dalam rencana tersebut. Hal
apaling efektif dalam pengujian DRP adalah simulasi terjadinya bencana. Manajemen
organisasi harus mencari langkah-langkah kinerja di masing-masing bidang berikut: (1)
Efektivitas personel tim DRP dan tingkat pengetahuan mereka; (2) tingkat keberhasilan
konversi (I.E., jumlah rekaman yang hilang); (3) perkiraan kerugian finansial karena
kehilangan catatan atau fasilitas; dan (4) efektivitas program, data, dan prosedur
pemulihan dokumentasi.
20
3. Software Backup
Auditor harus memverifikasi bahwa salinan aplikasi penting dan sistem operasi
disimpan di luar lokasi. Auditor juga harus memverifikasi bahwa aplikasi yang
disimpan di luar lokasi adalah terkini dengan membandingkan nomor versi mereka
dengan yang ada di aplikasi aktual yang digunakan.
4. Data Backup
Auditor harus memverifikasi bahwa file data penting dicadangkan dalam kabel
dengan DRP. Prosedur cadangan data spesifik untuk file datar dan database
relasional.
5. Backup supplies, documents, and documatation
Auditor harus memverifikasi bahwa jenis dan jumlah item yang ditentukan dalam
DRP seperti periksa stok, faktur, pesanan pembelian, dan segala bentuk tujuan
khusus ada di lokasi yang aman.
6. Disaster Recovery Team
Auditor harus memverifikasi bahwa anggota tim adalah karyawan saat ini dan
menyadari tanggung jawab mereka yang ditugaskan.
21
pertimbangan untuk meningkatkan efisiensi dan agar perusahaan dapat lebih
memfokuskan diri pada bidang usaha yang ditekuninya.
Terdapat keuntungan-keuntungan yang dirasakan perusahaan apabila melakukan
IT outsourcing, antara lain:
a) Perusahaan dapat fokus pada core business-nya dengan tetap menikmati nilai-nilai
positif dari sistem dan teknologi informasi.
b) Teknologi yang maju. IT outsourcing memberikan akses kepada organisasi klien
berupa kemajuan teknologi dan pengalaman personil.
c) Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya TI
d) Mengurangi biaya dari pengadaan fungsi TI di perusahaan
e) Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan dikerjakan
sendiri secara internal, karena outsourcer memang spesialisasi dan ahli di bidang
tersebut.
22
Dalam situasi dimana perusahaan melakukan outsourcing terhadap sumber daya
TI yang dimiliki, auditor harus mampu melakukan audit, dimana tujuan audit dan
metodologinya tetap sama, outsourcing tidak memperkenalkan unsur-unsur baru tertentu
yang perlu dipertimbangkan. Tujuan dari audit ini sendiri, antara lain:
a) Menilai resiko yang terkait dengan outsourcing, seperti ketersediaan kelanjutan
dari jasa, tingkat layanan dan keamanan informasi
b) Menelaah apakah tujuan dari outsourcing tercapai
c) Menilai strategi TI apakah telah dimodifikasi sehingga sesuai dengan rencana
IToutsourcing
23
kerahasiaan, integritas dan ketersediaan informasi. Auditor harus memeriksa
apakah kebijakan keamanan dan proses dari penyedia layanan sinkron dengan
orang-orang dari perusahaan. Auditor harus memeriksa apakah mekanisme telah
ditetapkan untuk pemantauan keamanan dan proses yang terkait. Dalam
beberapa kasus, tergantung pada sifat dari pekerjaan outsourcing, personil dari
penyedia layanan bahkan mungkin diberi akses superuser ke beberapa sistem.
4). Impact on IT strategy
IT outsourcing sering dilakukan dalam skala yang cukup besar. Outsourcing perlu
dimasukkan ke dalam bisnis dan strategi TI perusahaan. Dalam proses
outsourcing, perusahaan tidak boleh melupakan kenyataan bahwa TI berdampak
pada bisnis secara signifikan dan bermanfaat bagi perusahaan. Auditor harus
melakukan cek dari keseluruhan skenario TI perusahaan setelah outsourcing.
24
KESIMPULAN
25
REFERENSI
26