LECTURE NOTES

ISYS6334
Information System Audit Fundamental

Week ke – 05

Auditing IT Governance Control

ISYS6334 - Information Systems Audit Fundamental

 LEARNING OUTCOMES

LO2. Memahami kontrol, tindakan pencegahan dan audit sistem informasi secara
keseluruhan diterapkan.
LO3. Mampu menerapkan pengetahuan untuk memastikan kerahasiaan, integritas, dan
ketersediaan sistem informasi.
LO4. Mampu menerapkan pengetahuan untuk melakukan audit sistem informasi di bidang
sistem operasi, pengembangan sistem atau database

OUTLINE MATERI :
1. Tata Kelola Teknologi Informasi
2. Struktur Teknologi Informasi
3. Pengolahan Data Terpusat
4. Pusat Komputer
5. Perencanaan Pemulihan Bencana
6. Melakukan Alih Daya pada Fungsi TI

ISYS6334 - Information Systems Audit Fundamental

 ISI MATERI

Tata kelola Teknologi Informasi

Tata kelola teknologi informasi (TI) adalah bagian yang relatif baru dari tata kelola
perusahaan yang berfokus pada manajemen dan penilaian sumber daya TI strategis. Tujuan
utama tata kelola TI adalah untuk mengurangi risiko dan memastikan investasi dalam sumber
daya TI menambah nilai pada perusahaan. Secara garis besar berdasarkan kerangka yang
diakui secara global (SOX dan COSO), tata kelola Teknologi Informasi dapat dibagi menjadi:
1. Struktur organisasi fungsi IT
2. Operasi pusat komputer
3. Perencanaan pemulihan bencana

Struktur Teknologi Informasi

Organisasi fungsi TI memiliki implikasi untuk sifat dan efektivitas kontrol internal, yang
pada dasarnya, memiliki implikasi untuk audit. Hal ini dapat mempengaruhi kontrol terkait
dengan struktur TI yang dilakukan pemeriksaana. Pendekatan umum dari organisasi memiliki
2 metode, pendekatan terpusat dan pendekatan terdistribusi.
Pemrosesan Data Terpusat
Di bawah model pemrosesan data terpusat, semua pemrosesan data dilakukan oleh satu atau
komputer yang lebih besar ditempatkan di situs pusat yang melayani pengguna di seluruh
organisasi dan fungsi bisnisnya. Umumnya kegiatan layanan TI dikonsolidasikan dan
dikelola sebagai sumber daya organisasi bersama. Pengguna akhir bersaing untuk ini sumber
daya atas dasar kebutuhan. Fungsi layanan TI biasanya diperlakukan sebagai pusat biaya
yang biaya operasinya dibebankan kembali ke pengguna akhir, seperti digambarkan pada
diagram dibawah.

ISYS6334 - Information Systems Audit Fundamental

Beberapa fungsi utama dari Teknologi Infomarsi dapat dikategorikan sebagai berikut:
Administrasi Basis Data
Pengolahan data
o Konversi data
o Operasi komputer
o Pustaka data.
Pengembangan dan Perawatan Sistem

Pemisahan fungsi kritikal TI

Beberapa tugas dari fungsi operasional yang umumnya harus dipisahkan adalah:
1. Pemisahan fungsi otorisasi transaksi dan pemrosesan transaksi
2. Pemisahan pencatatan transaksi dari penyimpanan aset
3. Pembagian pemrosesan transaksi antar individu untuk menghindari terjadinya kolusi

Dalam lingkungan TI, fungsi fungsi berikut umumnya harus dipisahkan

1. Memisahkan pengembangan sistem dan eperasional komputer

ISYS6334 - Information Systems Audit Fundamental

 Pemisahan pengembangan sistem (baik pengembangan sistem baru dan pemeliharaan)
dan kegiatan operasional merupakan hal yang penting. Fungsi ini pada dasarnya tidak
kompatibel, apabila di kombinasikan, fungsi ini memungkinkan terjadinya kesalahan
ataupun penipuan yang sulit untuk di deteksi. Dengan pengetahuan mendetail tentang
aplikasi parameter logika dan kontrol serta akses ke sistem operasi dan utilitas
komputer, seorang individu dapat membuat perubahan yang tidak sah ke aplikasi
selama pelaksanaannya.
2. Memisahkan pengembangan sistem baru dari pemeliharaan system
Pemisahan antara pengembangan sistem baru dari pemeliharaan system bertujuan
untuk menghindari adanya resiko kurangnya dokumentasi atas system yang
dikembangkan, dan juga terjadinya perubahan yang tidak terotorisasi atas program
dengan tujuan penipuan.

Model Terdistribusi/ Distributed Data Processing (DDP)

Walaupun seblumnya pemrosesan data terpusat menjadi trend yang umum selama bertahun
tahun, pada saat ini sistem yang kecil, kuat, dan murah telah berubah dan mulai berkembang.
Alternatif untuk model terpusat adalah konsep pengolahan data terdistribusi (DDP). Fungsi
TI dapat didistribusikan sesuai dengan fungsi bisnis, lokasi geografis, atau keduanya.

ISYS6334 - Information Systems Audit Fundamental

Adapun resiko resiko dari model terdistribusi adalah:
Penggunaan sumber daya yang kurang efesien
Ketersediaan rekam jejak/audit trail
Kebutuhan akan sumber daya manusia profesional
Kurangnya aturan dan dokumentasi
Selain kelemahan tersebut diatas, model terdistribusi juga memiliki beberapa keuntungan
seperti:
Pengurangan biaya
Tanggung jawab atas biaya yang lebih transparan
Meningkatnya tingkat kepuasan pengguna
Fleksibilitas dari backup proses
Perencanaan yang matang dan implementasi kontrol yang tepat dapat mengurangi beberapa
risiko DDP yang telah dibahas sebelumnya. Berikut ini adalah beberapa mitigasi yang dapat
dilakukan dalam suatu implementasi model DDP.
Menerapkan fungsi TI perusahaan

ISYS6334 - Information Systems Audit Fundamental

 Pengujian pusat perangkat lunak dan perangkat lunak komersial
Layanan Pengguna
Pengaturan standard operasi
Review atas sumber daya manusia

Pusat Komputer
Pemeriksaan lingkungan fisik dari pusat komputer umumnya merupakan bagian dari suatu
audit tahunan. Tujuan dari bagian ini adalah untuk menyajikan risiko pusat komputer dan
kontrol yang membantu mengurangi risiko dan menciptakan lingkungan yang aman.

Lokasi Fisik
Lokasi fisik dari pusat komputer secara langsung mempengaruhi risiko kerusakan yang bisa
disebabkan oleh bencana alam atau kelalaian manusia. Sedapat mungkin, pusat komputer
seharusnya jauh dari bahaya buatan manusia dan alam.

Konstruksi
Idealnya, sebuah pusat komputer harus ditempatkan dalam bangunan konstruksi satu lantai
yang kokoh dengan akses yang dikontrol. Saluran utilitas (listrik dan telepon) sebaiknya
berada di bawah tanah. Jendela bangunan tidak boleh terbuka dan sistem penyaringan udara
harus di tempat yang mampu mengeluarkan serbuk dan debu.

Akses
Akses ke pusat komputer harus dibatasi untuk operator dan karyawan lain yang bekerja di
sana. Kontrol fisik, seperti pintu terkunci harus digunakan untuk membatasi akses ke pusat
data.

AC
Komputer berfungsi paling baik di lingkungan ber-AC, tersedianya udara yang memadai
seringkali merupakan persyaratan bagi garansi vendor. Komputer beroperasi paling baik di
kisaran suhu 70 hingga 75 derajat Fahrenheit dan kelembaban sekitar 50 persen. Kerusakan
dapat terjadi pada perangkat keras komputer ketika suhu berbeda secara signifikan dari

ISYS6334 - Information Systems Audit Fundamental

rentang optimal. Risiko terhadap kerusakan sirkuit statis juga dapat meningkat saat
kelembaban turun.
Pemadam Api
Implementasi sistem pencegah kebakaran yang efektif membutuhkan konsultasi dengan
spesialis, beberapa fitur utama dari sistem ini adalah
1. Alarm otomatis dan manual harus ditempatkan di lokasi strategis di sekitar instalasi
2. Harus ada sistem pemadam kebakaran otomatis dengan metode yang bisa berbeda
tergantung dengan lokasi yang sesuai
3. Pemadam api manual harus ditempatkan di lokasi-lokasi strategis.
4. Bangunan harus memiliki konstruksi yang kuat dalam menahan kerusakan air yang
disebabkan oleh peralatan pemadam kebakaran.
5. Pintu darurat harus ditandai dengan jelas dan diterangi selama terjadinya kebakaran.

Toleransi kesalahan/ fault tolerance

Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasi ketika bagian dari
sistem gagal karena adanya kegagalan perangkat keras, kesalahan program aplikasi, atau
kesalahan operator. Menerapkan kontrol atas toleransi kesalahan memastikan bahwa tidak
ada satu pun titik kegagalan sistem yang potensial.
1. Redundant arrays of independent disks (RAID). Raid melibatkan penggunaan disk
paralel yang mengandung elemen data dan aplikasi yang berlebihan. Jika satu disk
gagal, yang hilang data secara otomatis direkonstruksi dari komponen redundan yang
tersimpan di disk lain.
2. Uninterruptible power supplies. Daya listrik yang disediakan secara komersial
menyajikan beberapa masalah yang dapat mengganggu operasi pusat komputer,
termasuk daya total kegagalan, pemadaman listrik, fluktuasi daya, dan variasi
frekuensi. Perlengkapan digunakan untuk mengontrol masalah ini termasuk regulator
tegangan, pelindung gelombang, generator,dan baterai cadangan.

Tujuan Audit
Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur keamanan pusat komputer.
Secara khusus, auditor harus memverifikasi bahwa:

ISYS6334 - Information Systems Audit Fundamental

 Kontrol keamanan fisik memadai untuk melindungi organisasi secara wajar dari
eksposur fisik
Perlindungan asuransi atas peralatan cukup untuk mengimbangi organisasi
penghancuran, atau kerusakan pada pusat komputernya

Prosedur audit
Umumnya, berikut ini adalah beberapa prosedur yang umumnya di lakukan dalam melakukan
suatu audit.
1. Tes konstruksi fisik. Auditor harus mendapatkan rencana arsitektur untuk menentukan
bahwa pusat komputer dibangun kokoh dari bahan tahan api. Harus memiliki drainase
yang memadai di bawah lantai yang ditinggikan untuk memungkinkan air mengalir
keluar jika terjadi kebocoran. Selain itu, auditor harus menilai lokasi fisik dari pusat
komputer. Fasilitas harus ditempatkan di area yang meminimalkan paparan terhadap
api, kerusuhan sipil, dan bahaya lainnya
2. Tes sistem deteksi kebakaran. Auditor harus memastikan bahwa alat pendeteksi api
dan peralatan supresi, baik manual maupun otomatis, sudah terpasang dan diuji secara
teratur. Sistem pendeteksi kebakaran harus mendeteksi asap, panas, dan asap yang
mudah terbakar.
3. Tes kontrol akses. Auditor harus menetapkan bahwa akses rutin ke komputer pusat
terbatas untuk karyawan yang berwenang. Detail tentang akses pengunjung (oleh
programmer dan lain-lain), seperti waktu kedatangan dan keberangkatan, tujuan, dan
frekuensi akses, dapat diperoleh dengan meninjau log akses. Untuk menetapkan
kebenaran dokumen ini, auditor dapat melakukan observasi langsung atau meninjau
rekaman video dari kamera pada titik akses.
4. Tes RAID. Sebagian besar sistem yang menggunakan RAID menyediakan pemetaan
grafisnya penyimpanan disk yang berlebihan. Dari pemetaan ini, auditor harus
menentukan apakah tingkat RAID di tempat cukup untuk organisasi, mengingat
tingkat risiko bisnis yang terkait dengan kegagalan disk.
5. Tes of the Uninterruptible Power Supply. Tes berkala dari catu daya cadangan harus
secara berkala dilakukan untuk memastikan kecukupan dan ketersediaan kapasitas
untuk menjalankan fungsi fungsi perangkat kelas yang kritikal.

ISYS6334 - Information Systems Audit Fundamental

 6. Tes untuk cakupan asuransi. Auditor harus secara berkala melakukan peninjauan atas
jaminan asuransi atas perangkat keras komputer, perangkat lunak, dan fasilitas
fisiknya. Polis asuransi harus mencerminkan manajemen kebutuhan dalam hal
cakupan cakupan.

Perencanaan Pemulihan Bencana

Bencana seperti gempa bumi, banjir, sabotase, bahkan kegagalan listrik bisa terjadi dan
mengganggu pusat komputer dan sistem informasi organisasi. Terdapat 3 kategori yang
umumnya menjadi sumber bencana:
1. Alam, seperti kebakaran, banjir dan tornado
2. Manusia, seperti sabotas ataupun kesalahan manusia
3. Kesalahan Sistem, seperti mati lampu, kesalahan perangkat keras ataupun operating
system error.
Untuk meminimalisasi dampak dari peristiwa peristiwa diatas, diperlukan suatu formalisasi
atas rencana pemulihan bencana, yang umumnya disebut sebagai Disaster Recovery Plan
(DRP). Rincian setiap rencana unik untuk kebutuhan organisasi pada umumnya diterapkan
memiliki empat fitur umum:
1. Identifikasi aplikasi aplikasi kritikal
2. Pembuatan tim pemulihan bencana
3. Menyediakan lokasi pencadangan
4. Tetapkan prosedur penyimpanan cadangan dan penyimpanan di luar lokasi

Prosedur Audit
Beberapa prosedur audit yang dapat dilakukan untuk memastikan rencana pemilihan bencana
sudah cukup dalam memitigasi resiko adalah sebagai berikut.
Cadangan Situs. Auditor harus mengevaluasi kecukupan pengaturan situs cadangan
untuk menilai kesiapan situs cadangan dalam menangani proses operasional apabila
terjadi bencana pada situs utama.
Daftar Aplikasi Kritis. Auditor harus meninjau daftar aplikasi kritis atas akurasi dari
penilaian nilai kritisnya (criticality) dan metode yang akan digunakan dalam
memastikan kelanjutan aplikasi tersebut.

ISYS6334 - Information Systems Audit Fundamental

 Cadangan Perangkat Lunak. Auditor harus memverifikasi bahwa salinan aplikasi
penting dan sistem operasi disimpan di luar situs dan dapat di gunakan apabila
dibutuhkan dan memiliki versi yang akurat.
Cadangan data. Auditor harus memverifikasi bahwa file data penting didukung sesuai
dengan DRP.
Persediaan Cadangan, Dokumen, dan Dokumentasi. Dokumentasi sistem, persediaan,
dan dokumen sumber yang diperlukan untuk memproses transaksi penting harus
didukung dan disimpan di luar situs. Auditor harus memverifikasi bahwa jenis dan
jumlah barang ditentukan dalam DRP seperti cek stok, faktur, pesanan pembelian, dan
tujuan khusus lainnya formulir ada di lokasi yang aman.
Tim Pemulihan Bencana. DRP harus dengan jelas mencantumkan nama, alamat, dan
nomor telepon darurat dari anggota tim pemulihan bencana. Auditor harus
memverifikasi bahwa anggota tim adalah karyawan saat ini dan mengetahui
keberadaan mereka tanggung jawab yang ditugaskan.

Alih Daya Fungsi TI

Biaya, risiko, dan tanggung jawab yang terkait dengan mempertahankan fungsi TI yang
efektif dalam suatu organisasi adalah hal yang sangat penting. Beberapa organisasi memilih
untuk mengalihdayakan fungsi TI mereka kepada vendor pihak ketiga yang mengambil alih
tanggung jawab untuk pengelolaan TI, aset dan staf dan untuk pengiriman layanan TI, seperti
entri data, operasi pusat data, pengembangan aplikasi, pemeliharaan aplikasi, dan manajemen
jaringan. Manfaat dari outsourcing IT beraneka ragam, termasuk dapat lebih difokuskannya
perhatian manajemen ke kinerja bisnis inti, kinerja TI yang dapat ditingkatkan karena
keahlian vendor, dan pengurangan biaya TI secara keseluruhan.
Adapun resiko dari alih daya TI pada umumnya:
Kinerja tidak sesuai harapan
Eksploitasi oleh Vendor / over pricing yang dikarenakan adanya ketergantungan akan
suatu vendor tertentu
Biaya yang dikeluarkan tidak sebanding dengan layanan atau keuntungan yang
diterima
Berkurangnya pengamanan atas aset perusahaan

ISYS6334 - Information Systems Audit Fundamental

 Hilangnya keuntungan strategis karena rahasia perusahaan kemungkinan

Manajemen dapat melakukan alih daya fungsi TI organisasi, tetapi tidak dapat melakukan
pemindahan tanggung jawab manajemen, manajemen tetap harus memastikan kontrol internal
TI yang memadai. Penggunaan organisasi layanan tidak mengurangi tanggung jawab
manajemen untuk mempertahankan pengendalian internal yang efektif.

ISYS6334 - Information Systems Audit Fundamental

 KESIMPULAN

Penyajian risiko dan kontrol yang terkait dengan tata kelola TI. Dimulai dengan definisi
singkat dari tata kelola TI dan mengidentifikasi implikasinya untuk pengendalian internal dan
keuangan pelaporan.
Paparan yang dapat timbul dari penataan yang tidak tepat dari fungsi TI dalam organisasi
juga dilakukan. Selanjutnya pembahasan juga melihat ancaman dan control yang dapat terjadi
dalam suatu system computer dan bagaimana metode perlindungan dari kerusakan dan
kehancuran dari bencana alam, api, suhu, dan kelembaban.
Elemen kunci dari rencana pemulihan bencana memiliki beberapa faktor yang perlu
dipertimbangkan termasuk menyediakan cadangan situs kedua, mengidentifikasi aplikasi
kritis, melakukan prosedur penyimpanan cadangan dan di luar lokasi, membuat tim
pemulihan bencana, dan pengujian DRP. Bagian terakhir dari bab ini membahas masalah
seputar pertumbuhan kecenderungan menuju alih daya TI. Alih daya IT juga terkait dengan
risiko yang signifikan, yang harus ditangani beserta prosedur audit yang umumnya dilakukan.

ISYS6334 - Information Systems Audit Fundamental

 DAFTAR PUSTAKA

1. Information Technology Auditing and Assurance, Chapter 2

2. https://www.iia.org.au/about-iia-australia/WhatIsInternalAudit.aspx

ISYS6334 - Information Systems Audit Fundamental