Auditing IT Governance Controls

Tugas Mata Kuliah

Auditing EDP

LOGO UNIVERSITAS JEMBER

Oleh:
Septi Iza Amelia Dewi (200810301012)
Yudhistira Dewa Kartika Hediansyah (200810301036)
Rizky Nugroho Santoso (200810301113)
Alfath Dhafin (200810301157)

Program Studi Akuntansi

Fakultas Ekonomi dan Bisnis
Universitas Jember
2023
SURAT PERNYATAAN INTEGRITAS PENYUSUNAN RESUME

Yang bertanda tangan di bawah ini :

Nama : Rizky Nugroho Santoso

NIM : 200810301113

Sebagai perwakilan anggota kelompok 7, dengan ini menyatakan bahwa resume

materi yang berjudul “Auditing IT Governance Control” merupakan karya orisinal
kelompok dan tidak menjiplak hasil pekerjaan orang lain.

Jika di kemudian hari ditemukan ketidakbenaran informasi, maka anggota kelompok

bersedia menerima segala konsekuensi yang diberikan oleh dosen pengampu mata
kuliah Audit EDP.

Jember, 4 Maret 2023

Rizky Nugroho Santoso

1
PENDAHULUAN:
Jelaskan:
1. Apa yang akan kelompok saudara tulis?
Jawab : Kelompok kami akan menulis sebuah resume yang berjudul “Auditing
IT Governance Control” dimana dalam resume ini, akan membahas bagaimana
hubungan atau korelasi antara IT (Information Technology) dengan governance
control dari perusahaan dan juga membahas bagaimana pelaksanaan auditing
dalam topik tersebut.
2. Mengapa topik tersebut menarik untuk dipelajari?
Jawab : Menurut kelompok kami, topik ini menarik untuk dipelajari mengingat
perkembangan akan teknologi cukup berkembang pesat akhir-akhir ini. Hampir
seluruh perusahaan besar, melakukan sebuah pengendalian internal (internal
control) padah perusahaannya dibantu dengan IT. Hal ini menjadikan sebuah
tantangan bagi para auditor, untuk dapat menyesuaikan dengan perkembangan
tersebut sehingga perusahaan dapat menggunakan IT sebagai sarana
pembantu untuk kegiatan operasional perusahaan.

PEMBAHASAN:
1. INFORMATION TECHNOLOGY GOVERNANCE
Tata kelola teknologi informasi (TI) adalah tata kelola perusahaan yang
berfokus pada manajemen dan penilaian sumber daya strategis TI. Tujuan utama
dari tata kelola TI adalah untuk mengurangi risiko dan memastikan bahwa investasi
pada sumber daya teknologi informasi menambah nilai perusahaan. Sebelum
Sarbanes-Oxley (SOX) Act, praktek umum mengenai investasi TI adalah untuk
menunda semua keputusan untuk profesional TI perusahaan. Tata kelola TI
modern, mengikuti filosofi bahwa semua pemangku kepentingan perusahaan,
termasuk dewan direksi, manajemen puncak, dan pengguna departemen (yaitu,
akuntansi dan keuangan) menjadi peserta aktif dalam keputusan kunci TI.
Keterlibatan yang luas seperti ini mengurangi risiko dan meningkatkan kemungkinan
bahwa keputusan TI akan sesuai dengan kebutuhan pengguna, kebijakan
perusahaan, inisiatif strategis, dan persyaratan pengendalian internal di bawah
SOX.
IT Governance Controls
Meskipun semua masalah tata kelola TI penting bagi organisasi, tidak
semuanya masalah pengendalian internal di bawah SOX yang berpotensi

2
 berdampak pada pelaporan keuangan proses. Dalam bab ini, kami
mempertimbangkan tiga masalah tata kelola TI yang ditangani oleh SOX dan
kerangka pengendalian internal COSO. Yaitu :
a. Struktur organisasi dari fungsi TI
b. Pusat operasi Komputer
c. Perencanaan pemulihan bencana

2. STRUCTURE OF THE INFORMATION TECHNOLOGY FUNCTION

Organisasi fungsi TI berimplikasi pada sifat dan efektivitas pengendalian
internal, yang, pada gilirannya, memiliki implikasi untuk audit. Pada bagian ini,
beberapa masalah pengendalian yang terkait dengan struktur TI akan dibahas.
Centralized Data Processing
Dalam model pengolahan data terpusat, semua pengolahan data dilakukan
oleh satu atau komputer yang lebih besar yang bertempat di situs pusat yang
berfungsi melayani seluruh pengguna organisasi. Pengguna akhir bersaing untuk
memperoleh sumber daya berdasarkan kebutuhannya. Layanan fungsi TI biasanya
diperlakukan sebagai pusat biaya yang dibebankan kembali ke pengguna akhir.
Layanan utama struktur TI yaitu:
1. Administrasi Database
Perusahaan dengan layanan terpusat mempertahankan sumber daya data
mereka dalam lokasi pusat yang digunakan oleh semua pengguna akhir.
Dalam pengaturan data bersama, sebuah kelompok independen yang
dipimpin oleh database administrator (DBA) bertanggung jawab atas
keamanan dan integritas database.
2. Pengolahan Data
Kelompok pengolahan data mengelola sumber daya komputer yang
digunakan untuk melakukan pengolahan transaksi setiap hari. Fungsi-
fungsinya meliputi:
a) Konversi data, mentranskripsi data transaksi dari dokumen sumber
hard copy ke input komputer,
b) Operasi komputer, file-file elektronik yang dihasilkan dalam konversi
data kemudian diproses oleh komputer pusat, yang dikelola oleh
kelompok operasi komputer.
c) Perpustakaan data, ruang yang berdekatan dengan pusat komputer
yang menyediakan penyimpanan yang aman untuk file data off-line (file

3
 back up atau file saat ini dalam bentuk DVD, CD-Rom, kaset, atau
perangkat penyimpanan lainnya. Pustakawan data, bertanggung jawab
untuk menerima, menyimpan, mencari, dan mempertahankan file data
dan kontrol akses ke perpustakaan.
3. Pengembangan Sistem dan Pemeliharaan
Kebutuhan sistem informasi dari pengguna dipenuhi oleh dua fungsi yang
terkait: pengembangan sistem dan sistem pemeliharaan. Kelompok
pertama bertanggung jawab untuk menganalisis kebutuhan pengguna dan
merancang sistem baru untuk memenuhi kebutuhan tersebut. Anggota
pengembangan sistem mencakup sistem profesional, pengguna akhir, dan
stakeholder. Sistem profesional (sistem analis, desainer database, dan
programmer) merancang dan membangun sistem. Sistem profesional
mengumpulkan fakta tentang masalah pengguna, menganalisis fakta-fakta,
dan merumuskan solusi. Produk dari usaha mereka adalah sistem
informasi baru. Pengguna akhir adalah untuk siapa sistem dibangun.
Mereka adalah manajer yang menerima laporan dari sistem dan personil
operasi yang bekerja secara langsung dengan sistem sebagai bagian dari
tanggung jawab sehari-hari mereka. Stakeholder adalah individu dalam
atau di luar perusahaan yang memiliki kepentingan dalam sistem, tetapi
tidak pengguna akhir. Mereka termasuk akuntan, auditor internal, eksternal
auditor, dan lain-lain yang mengawasi pengembangan sistem. Setelah
sistem baru telah dirancang dan diimplementasikan, kelompok sistem
pemeliharaan bertanggung jawab untuk menjaga sistem saat ini dengan
kebutuhan pengguna.
Segregation of Incompatible IT Functions
Lingkungan TI cenderung untuk mengkonsolidasikan kegiatan. Sebuah
aplikasi tunggal dapat mengotorisasi, memproses, dan merekam semua aspek
transaksi. Dengan demikian, fokus pengendalian bergeser dari tingkat operasional
(tugas pemrosesan transaksi) ke tingkat yang lebih tinggi dalam fungsi layanan
komputer dalam organisasi.
1. Separating Systems Development from Computer Operations
Pemisahan pengembang sistem (baik pengembangan sistem baru dan
pemeliharaan) dan kegiatan operasi adalah hal yang penting. Hubungan
antara kelompok-kelompok ini harus sangat formal, dan tanggung jawab
mereka tidak boleh bercampur. Pengembang dan pemelihara sistem

4
 profesional harus menciptakan (dan mempertahankan) sistem bagi
pengguna, dan seharusnya tidak memiliki keterlibatan dalam memasukkan
data, atau menjalankan aplikasi (yakni, operasi komputer). Staf operasional
harus menjalankan sistem ini dan tidak memiliki keterlibatan dalam desain
mereka. Fungsi-fungsi ini secara bawaan tidak kompatibel, dan
mengkonsolidasikan mereka mengundang kesalahan dan penipuan.
Dengan pengetahuan rinci tentang logika aplikasi dan parameter
pengendalian serta akses ke sistem operasi komputer dan utilitas, seorang
individu bisa membuat perubahan tidak sah terhadap aplikasi selama
pelaksanaannya. Perubahan tersebut mungkin bersifat sementara ("on the
fly") dan akan hilang tanpa jejak saat aplikasi berakhir.
2. Separating Database Administration from Other Functions
Pengendalian organisasi lain yang penting adalah pemisahan administrasi
database (DBA) dari fungsi komputer lainnya. DBA bertanggung jawab
untuk sejumlah tugas-tugas penting yang berkaitan dengan keamanan
database, termasuk membuat skema database dan tampilan bagi user,
menetapkan kewenangan akses database untuk pengguna,
pemantauanpenggunaan database, dan perencanaan untuk ekspansi
masa depan.
3. Separating New Systems Development from Maintenance
Beberapa perusahaan mengatur fungsi pengembangan sistem menjadi dua
kelompok: analisis sistem dan pemrograman. Kelompok analisis sistem
bekerja sama dengan pengguna untuk menghasilkan desain rinci dari
sistem yang baru. Kelompok pemrograman membuat kode program sesuai
dengan spesifikasi desain ini. Dalam pendekatan ini, programmer yang
membuat kode program yang asli juga mempertahankan sistem selama
fase pemeliharaan siklus hidup pengembangan sistem. Meskipun
pengaturan yang umum, pendekatan ini dikaitkan dengan dua jenis
masalah pengendalian:
a. Inadequate Documentation
Dokumentasi sistem yang rendah adalah masalah kronis TI dan
tantangan yang signifikan bagi banyak organisasi. Setidaknya ada dua
penjelasan untuk fenomena ini. Pertama, pendokumentasian sistem
tidak semenarik merancang, menguji, dan menerapkannya. Profesional
sistem lebih memilih untuk pindah ke sebuah proyek baru yang menarik

5
 daripada mendokumentasikannya saat selesai. Alasan kedua yang
mungkin untuk rendahnya dokumentasi adalah keamanan kerja. Ketika
sistem kurang didokumentasikan, akan sulit untuk menafsirkan, menguji,
dan menggunakannya. Oleh karena itu, programer yang mengerti sistem
mempertahankan daya tawar dan menjadi relatif sangat diperlukan.
Ketika programmer meninggalkan perusahaan, programmer baru
mewarisi tanggung jawab pemeliharaan sistem yang tidak berdokumen.
b. Program Fraud
Ketika programmer asli dari sistem juga ditugaskan untuk pemeliharaan,
potensi kecurangan meningkat. Penipuan program melibatkan
pembuatan perubahan yang tidak sah untuk program modul dengan
tujuan melakukan tindakan ilegal. Programmer asli mungkin telah
berhasil menyembunyikan kode curang diantara ribuan baris kode yang
sah dan ratusan modul yang merupakan sebuah kesatuan. Agar
penipuan berjalan dengan sukses, programmer harus mampu
mengendalikan situasi melalui akses khusus dan terbatas untuk
program aplikasi. Pemrogram perlu melindungi kode penipuan dari
deteksi oleh orang lain, programmer yang melakukan perawatan atau
dengan pengujian pengendalian aplikasi oleh auditor.
4. A Superior Structure for Systems Development
Fungsi pengembangan sistem dipisahkan menjadi dua kelompok berbeda:
pengembangan sistem baru dan sistem pemeliharaan. Kelompok
pengembangan sistem baru bertanggung jawab untuk merancang,
pemrograman, dan melaksanakan proyek-proyek sistem baru. Setelah
pelaksanaan berhasil, tanggung jawab untuk pemeliharaan sistem yang
sedang berlangsung jatuh ke kelompok pemeliharaan sistem.
Restrukturisasi ini memiliki implikasi yang langsung menangani dua
masalah pengendalian.
Pertama, standar dokumentasi ditingkatkan karena kelompok
pemeliharaan membutuhkan dokumentasi untuk melakukan tugas
pemeliharaan. Tanpa dokumentasi yang lengkap dan memadai, transfer
tanggung jawab sistem baru dari pengembang sistem ke pemeliharaan
tidak dapat terjadi.
Kedua, menghalangi akses programmer asli untuk menghalangi program
penipuan. Kode curang, sering kali tersembunyi dalam sistem, dan berada

6
 diluar pengendalain programmer dan mungkin kemudian ditemukan
sehingga meningkatkan risiko program penipuan. Keberhasilan
pengendalian ini tergantung pada keberadaan kontrol lain yang membatasi,
mencegah, dan mendeteksi akses tidak sah ke program (seperti kontrol
program perpustakaan sumber).
The Distributed Model
Secara sederhana, DDP melibatkan reorganisasi fungsi TI pusat ke unit TI
kecil yang ditempatkan di bawah kendali pengguna akhir. Unit TI dapat
didistribusikan menurut fungsi bisnis, lokasi geografis, atau keduanya tergantung
pada filosofi dan tujuan organisasi manajemen.
Risks Associated with DDP
Potensi masalah DDP yaitu penggunaan sumber yang tidak efisien,
penghancuran jejak audit, pemisahan tugas yang tidak memadai, meningkatkan
potensi kesalahan pemrograman dan kegagalan sistem, dan kurangnya standar.
Tidak efisien dalam penggunaan sumber daya
Terdapat tiga risiko DDP antara lain:
1. Risiko kesalahan manajemen sumber daya organisasi TI oleh pengguna
akhir. Beberapa berpendapat bahwa ketika sumber organisasi TI melebihi
jumlah ambang batas, tata kelola TI yang efektif memerlukan pusat
pengelolaan dan pemantauan sumber daya tersebut.
2. Dapat meningkatkan risiko inefisiensi operasional karena tugas yang
berlebihan dilakukan dalam komite pengguna akhir.
3. Lingkungan DDP menimbulkan risiko hardware dan perangkat lunak tidak
kompatibel antara fungsi pengguna akhir. Mendistribusikan tanggung jawab
untuk pembelian TI kepada pengguna akhir dapat mengakibatkan
keputusan yang tidak terkoordinasi dan kurang dipahami.
Penghancuran Jejak Audit
Jejak audit menyediakan hubungan kegiatan keuangan antara perusahaan
(transaksi) dan laporan keuangan mereka. Auditor menggunakan jejak audit
untuk melacak transaksi keuangan yang dipilih dari dokumen sumber yang
merekam peristiwa, melalui jurnal, buku besar pembantu, dan rekening buku
besar yang mencatat peristiwa, dan akhirnya ke laporan keuangan itu sendiri.
Jejak audit sangat penting untuk jasa atestasi auditor. Dalam sistem DDP,
jejak audit terdiri dari satu set file transaksi digital dan file master yang
sebagian atau sepenuhnya berada pada komputer pengguna akhir. Jika

7
 pengguna akhir secara tidak sengaja menghapus salah satu file, jejak audit
dapat dihancurkan dan tidak dapat dipulihkan. Demikian pula, jika pengguna
akhir secara tidak sengaja menyisipkan kesalahan transaksi ke file jejak audit.

Pemisahan Tugas yang Tidak Memadai

Mencapai sebuah pembagian tugas yang memadai tidak mungkin dalam
lingkungan terdistribusi. Distribusi layanan TI untuk pengguna dapat
mengakibatkan pembentukan unit-unit independen kecil yang tidak
mengizinkan pemisahan yang diinginkan dari fungsi yang tidak kompatibel.
Misalnya, dalam satu unit, orang yang sama dapat menulis program aplikasi,
melakukan perawatan program, masukkan data transaksi ke dalam komputer,
dan mengoperasikan peralatan komputer. Situasi seperti itu akan menjadi
pelanggaran fundamental dalam pengendalian internal.
Mempekerjakan Profesional Berkualitas
Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI untuk
mengevaluasi teknis dan pengalaman yang relevan dari calon pelamar posisi
profesional TI. Juga, jika karyawan memasuki unit organisasi baru yang kecil,
kesempatan untuk berkembang, pendidikan berkelanjutan, dan promosi
mungkin terbatas. Untuk alasan ini, manajer mungkin mengalami kesulitan
untuk menarik personil yang berkualitas. Risiko kesalahan pemrograman dan
kegagalan sistem meningkat secara langsung dengan tingkat
ketidakmampuan karyawan.
Kurangnya Standar. Karena distribusi tanggung jawab dalam lingkungan
DDP, standar untuk mengembangkan dan mendokumentasikan sistem,
memilih bahasa pemrograman, memperoleh hardware dan software, dan
mengevaluasi kinerja mungkin tidak diterapkan secara merata atau bahkan
tidak ada. Penentang DDP berpendapat bahwa risiko yang berkaitan dengan
desain dan operasi dari sistem DDP dibuat bertoleransi hanya jika standar
tersebut secara konsisten diterapkan.
Advantages of DDP
Berikut ini terdapat beberapa keuntungan dari penerapan DDP:
Pengurangan Biaya
Mikrocomputer dan minicomputer yang kuat dan murah yang dapat
melakukan fungsi khusus telah mengubah ekonomis pengolahan data secara
dramatis. Biaya unit penyimpanan data, yang pernah menjadi pembenaran

8
untuk mengkonsolidasikan data dalam lokasi pusat, tidak lagi menjadi
pertimbangan utama. Selain itu, DDP telah mengurangi biaya dalam dua
wilayah lainnya: (1) data dapat diedit dan dimasukkan oleh pengguna akhir,
sehingga menghilangkan tugas terpusat persiapan data; dan (2) kompleksitas
aplikasi dapat berkurang, yang pada gilirannya mengurangi pengembangan
sistem dan biaya pemeliharaan.
Peningkatan Tanggung Jawab Pengendalian Biaya
Manajer pengguna akhir memiliki tanggung jawab untuk keberhasilan finansial
operasi mereka. Tanggung jawab ini mengharuskan mereka untuk lebih tegas
dalam membuat keputusan tentang sumber daya yang mempengaruhi
keberhasilan mereka secara keseluruhan. Ketika manajer dilarang membuat
keputusan yang diperlukan untuk mencapai tujuan mereka, kinerja mereka
bisa dipengaruhi secara negatif. Para pendukung DDP berpendapat bahwa
manfaat dari perbaikan sikap manajemen lebih besar daripada biaya
tambahan yang timbul dari penyebaran sumber daya ini. Mereka berpendapat
bahwa jika kemampuan TI memang penting untuk keberhasilan operasi bisnis,
maka manajemen harus diberikan kontrol atas sumber daya tersebut.
Peningkatan Kepuasan Pengguna
Pendukung DDP mengklaim bahwa penyebaran sistem untuk pengguna akhir
meningkatkan tiga bidang kebutuhan: (1) keinginan pengguna untuk
mengontrol sumber daya yang mempengaruhi profitabilitas mereka; (2)
pengguna ingin sistem profesional (analis, programmer, dan operator
komputer) responsif terhadap situasi mereka; dan (3) pengguna ingin menjadi
lebih aktif terlibat dalam mengembangkan dan menerapkan sistem mereka
sendiri.
Fleksibilitas Cadangan
Argumen terakhir dalam mendukung DDP adalah kemampuan untuk
membuat fasilitas cadangan komputasi untuk melindungi terhadap potensi
bencana, seperti kebakaran, banjir, sabotase, dan gempa bumi. Satu-satunya
cara untuk membuat cadangan situs komputer pusat terhadap bencana
adalah menyediakan fasilitas komputer kedua. Model distribusi menawarkan
organisasi untuk menyediakan cadangan yang fleksibel. Tentu, konfigurasi ini
membutuhkan koordinasi yang erat antara manajer pengguna akhir untuk
memastikan bahwa mereka tidak menerapkan perangkat keras dan perangkat
lunak yang tidak kompatibel.

9
 Controlling the DDP Environment
Berikut ialah beberapa perbaikan untuk DDP agar lebih sempurna, yakni:
1. Pengujian Terpusat untuk Software dan Hardware komersial.
Pertimbangan mengevaluasi hardware dan software komersial lebih baik
diberikan kepada kelompok pusat daripada pengguna akhir. Kelompok ini
dapat mengevaluasi fitur sistem, pengendalian, dan kecocokan dengan
industri dan standar organisasi. Hasil uji kemudian dapat didistribusikan ke
daerah-daerah pengguna sebagai standar untuk mengarahkan keputusan
akuisisi. Hal ini memungkinkan organisasi untuk secara efektif melakukan
sentralisasi untuk akuisisi, pengujian, dan implementasi perangkat lunak
dan perangkat keras.
2. Pengguna Jasa. Sebuah fitur yang berharga dari kelompok perusahaan
adalah fungsi layanan bagi pengguna. Kegiatan ini memberikan bantuan
teknis kepada pengguna selama instalasi perangkat lunak dan perangkat
keras yang baru yang mengalami masalah. Penciptaan buletin elektronik
untuk pengguna adalah cara terbaik untuk mendistribusikan informasi
tentang masalah umum dan memungkinkan pengguna berbagi program
dengan orang lain dalam organisasi. Selain itu, chat room dapat didirikan
untuk memberikan diskusi, pertanyaan yang sering diajukan (FAQ), dan
dukungan intranet. Fungsi TI perusahaan juga dapat memberikan help
desk, di mana pengguna bisa menelepon dan mendapatkan respon yang
cepat untuk pertanyaan dan masalah.
3. Badan Penyusun Standar. Lingkungan pengendalian yang relatif terbatas
yang diakibatkan oleh model DDP dapat ditingkatkan dengan mendirikan
beberapa petunjuk pusat. Kelompok korporasi dapat berkontribusi untuk
tujuan ini dengan membentuk dan mendistribusikan standar ke daerah
pengguna yang sesuai untuk pengembangan sistem, pemrograman, dan
dokumentasi.
4. Ulasan Personil. Kelompok perusahaan sering lebih siap daripada
pengguna untuk mengevaluasi calon profesional teknis sistem. Meskipun
sistem profesional akan benar-benar menjadi bagian dari kelompok
pengguna akhir, keterlibatan kelompok dalam keputusan kerja dapat
membuat layanan yang berharga bagi organisasi.

3. THE COMPUTER CENTER

10
Physical Location
Lokasi fisik yang harus diatur agar tidak terjadi kerusakan yang diakibatkan
oleh bencana alam ataupun kesalahan yang dilakukan oleh manusia. contoh :
perusahaan diusahakan mencari atau memilih lokasi tempat yang tepat untuk
menghindari terjadi bencana alam seperti gempa bumi dan banjir.
Construction
Kondisi bangunan tempat dimana komputer atau pusat data harus dalam
keadaan bagus dan kokoh agar tidak mudah rubuh dan diusahkan listrik jangan
sampai terputus. Supply listrik harus diperhatikan dan bangunan harus selalu dalam
keadaan bersih dijauhkan dari debu-debu agar pada saat mengakses data tidak
terjadi gangguan pada server.
Access
Keamanan pada pusat server harus diperketat, dapat dilakukan dengan cara
pintu dikunci atau menggunakan kartu pada saat pekerja masuk ruangan agar tidak
semua orang bisa masuk kedalam ruanga server untuk menjaga keamanan pada
penyimpanan data. Dan pada pintu darurat juga diperhatikan, serta ruangan
dipasang kamera perekam (CCTV) agar pada setiap kegiatan dapat diketahui dan
tidak menimbulkan kasus-kasus yang tidak baik dalam ruangan server.
Air Conditioning
Suhu pada ruangan server harus diperhatikan harus sesuai dengan
kebutuhan komputer karena bisa terjadi error atau pemrosesan yang lamban akibat
suhu yang panas. Jadi udara diusahakan agar tetap dingin supaya komputer tidak
terganggu pada saat bekerja.
Fire Suppression
Penyedia layanan penuh terhadap sistem, termasuk pencegahan kebakaran
harus terstruktur dengan baik. Contoh: Perusahaan harus bisa memilih penempatan
yang tepat untuk meletakkan alat tabung kebakaran atau alarm kebakaran dan
melakukan pelatihan jika terjadi musibah kebakaran maka user atau pekerja agar
mereka tidak panik
Fault Tolerance
Fault tolerance adalah kemampuan sistem untuk melanjutkan operasinya
ketika sebagian dari sistem tersebut gagal karena adanya kegagalan peranti keras,
kesalahan dalam program aplikasi, atau kesalahan operator. Cara di mana sistem
operasi merespon keras atas kegagalan perangkat lunak. Istilah ini pada dasarnya
mengacu pada kemampuan sistem untukmemungkinkan kegagalan atau kerusakan,

11
dan kemampuan ini dapat disediakan oleh perangkat lunak, perangkat keras atau
kombinasi keduanya. Untuk menangani kesalahan ini, beberapa sistem komputer
diharapkan memiliki dua atau lebih sistem data duplikat. Contoh: Perusahaan
sebaiknya membuat sistem bayangan. Jadi membuat data duplikat yang disimpan di
tempat lain jika terjadi kesalahan pada data pertama masih memiliki data duplikat.
Dan cara kedua dengan menggunakan Unit Power Supply (UPS), agar pada saat
supply listrik ke server terputus, terdapat jeda sebelum komputer mati, jadi masih
memilikiwaktu untuk menyimpan atau menyelamatkan data.
Audit Objectives
Audit Objective dari IT governance khususnya data center adalah untuk
memastikan bahwa kontrol-kontrol yang ada terhadap data center tersedia
keberadaannya dan berfungsi serta dimaintain dengan baik.
Audit Procedures
Rincian untuk memperoleh bukti audit yang cukup tepat dengan melakukan
pengecekan ulang atau observasi, apakah sudah sesuai dengan prosedur sistem
audit. Contohnya dengan melakukan pengecekan pada area-area terkait, sebagai
berikut :
a. Construction
Melakukan pengecekan pada bangunan apakah sudah terjamin kokoh dan
pemilihan ruangan atau penempatan computer center (yang lebih baik
ditempatkan di lantai atas), serta apakah instalasi listrik sudah dipasang
dengan baik agar tidak terjadi korsleting atau listrik putus pada saat melakukan
proses pada server
b. Access
Melakukan pengecekan pada alat tapping kartu, apakah alat tersebut sudah
dapat bekerja dengan baik dan tidak terjadi kerusakan, atau keberadaan CCTV
yang berfungsi dengan baik.
c. Air Conditioning
Melakukan pengecekan pada suhu pendingin, apakah sudah sesuai dengan
kebutuhan suhu yang dibutuhkan oleh komputer agar tidak terjadi error.
d. Fire Suppression
Melakukan pengecekan pada tabung alat pemadam kebakaran, apakah tabung
masih terisi dan dapat digunakan jika terjadi kebakaran. Dan Melakukan
pengecekan pada alarm kebakaran, apakah alarm berfungsi dengan baik jika
ada tanda-tanda terjadi kebakaran.

12
 e. Fault Tolerance
Melakukan pengecekan pada cara-cara mengatasi toleransi kesalahan,apakah
data yang di duplikat sudah terduplikasi dan tersimpan dengan baik pada
server yang lainnya. Dan melakukan pengecekan pada alat UPS apakah
baterai pada UPS masih dapat menyimpan energi listrik yang digunakan pada
saat terjadi pemadaman listrik.
f. Asuransi
Melakukan pendaftaran asuransi pada data server agar jika terjadi hal-hal yang
tidak diinginkan, maka tidak terlalu merugikan perusahaan,serta dicek apakah
asuransi tersebut diperpanjang tiap tahunnya.

4. DISASTER RECOVERY PLANNING

Ada tiga macam bencana yang mengancam perusahaan yakni bencana alam,
bencana karena manusia, dan kegagalan sistem. Bencana alam seperti badai,
banjir yang meluas dan gempa bumi adalah yang paling berpotensi merusak dari
ketiga bencana lainnya dari perspektif masyarakat hal ini dikarenakan bencana ini
dapat berdampak pada banyak organisasi di wilayah geografis yang terdampak
secara bersamaan. Bencana karena manusia, seperti sabotase atau eror, dapat
menjadi perusak perusahaan individu, tetapi cenderung pada ruang lingkup
dampaknya. Kegagalan sistem seperti listrik padam atau hard-drive rusak mungkin
tidak parah namun paling mungkin terjadi.
Seluruh bencana ini dapat menghilangkan organisasi dari fasilitas
pemrosesan datanya, menghentikan fungsi bisnis yang dipromosikan atau dibantu
oleh komputer,dan mengganggu kemampuan organisasi untuk mengirimkan produk
atau layanannya. Dengan kata lain, perusahaan kehilangan kemampuan untuk
berbisnis. Untuk menghadapi bencana ini, perusahaan mengembangkan prosedur
pemulihan dan meresmikannya ke Disaster Recovery Plan (DRP). Meskipun rincian
dari rencana ini berbeda sesuai kebutuhan perusahaan namun ada empat fitur
umum yang digunakan, yakni:
1. Mengidentifikasi aplikasi penting
Elemen penting pertama dari DRP adalah mengidentifikasi aplikasi kritis
perusahaan dan file data terkait. Upaya pemulihan harus berkonsentrasi
pada pemulihan aplikasi yang sangat penting untuk kelangsungan hidup
jangka pendek organisasi. Jelas, dalam jangka panjang, semua aplikasi
harus dikembalikan ke tingkat aktivitas bisnis sebelum bencana. DRP,

13
 bagaimanapun, adalah dokumen jangka pendek yang tidak boleh mencoba
memulihkan fasilitas pemrosesan data organisasi ke kapasitas penuh
segera setelah bencana.
2. Membuat tim pemulihan bencana
Memulihkan dari bencana tergantung pada tindakan korektif tepat waktu.
Keterlambatan dalam melakukan tugas-tugas penting memperpanjang
periode pemulihan dan mengurangi prospek pemulihan yang berhasil.
Untuk menghindari kelalaian serius atau duplikasi usaha selama
pelaksanaan rencana kontinjensi, tanggung jawab tugas harus didefinisikan
dengan jelas dan dikomunikasikan kepada personel yang terlibat.
3. Menyediakan situs cadangan
Bahan yang penting dalam sebuah DRP adalah rencana tersebut
memungkinkan adanya fasilitas pemrosesan data duplikat setalh terjadi
suatu bencana. Diantara berbagai pilihan yang tersedia adalah hot site
(pusat operasi pemulihan), cold site (ruang kosong), mutual aid pack dan
cadangan yang disediakan secara internal. Disini seorang auditor harus
mengevaluasi kecukupan pengaturan lokasi cadangan.
a. Mutual aid pact
Mutual aid pact adalah perjanjian antara dua perusahaan atau lebih
(dengan fasilitas komputer yang sesuai) untuk bekerjasama atas
kebutuhan pemrosesan data mereka pada saat bencana terjadi.
b. Empty shell (Cold site)
Empty shell adalah pengaturan dimana perusahaan membeli atau
menyewa gedung yang akan berfungsi sebagai pusat data pada saat
terjadi bencana.
c. Recovery operations center (Hot site)
Recovery operations center (ROC) adalah pusat data cadangan yang
dibagikan banyak perusahaan. Ini adalah lokasi dimana langsung
terhubung dengan data center utama sehingga dapat langsung
melakukan replika data.
d. Cadangan yang diberikan secara internal
Organisasi yang memiliki banyak pusat pemrosesan data
memungkinkan perusahaan mengembangkan konfigurasi perangkat
keras dan perangkat lunak guna memastikan kompatibilitas fungsional
diantara pusat pemrosesan dalam organisasi tersebut. Selain itu,

14
 adanya pengembangan konfigurasi ini ditujukan untuk meminimalkan
masalah cutover dalam kejadian bencana.
4. Tentukan cadangan dan prosedur penyimpanan di luar kantor.
Semua data file, aplikasi, dokumentasi, dan persediaan butuh untuk
melakukan bakcup dan disimpan di lokasi situs penyimpanan yang aman.
Pemrosesan data harus secara rutin melakukan pencadangan dan
prosedur penyimpanan untuk mendapatkan keamanan pada sumber daya
ini.
Cadangan sistem operasi
Apabila perusahaan menggunakan metode backup yang tidak kompetibel,
maka prosedur untuk mendapatkan versi sistem operasi harus ditentukan
dengan jelas.
Cadangan aplikasi
Berdasarkan hasil yang diperoleh pada tahap aplikasi kritis yang telah
dibahas sebelumnya, DRP harus mencakup prosedur untuk membuat
salinan dari aplikasi kritis versi terkini. Dalam kasus perangkat lunak
komersial, ini melibatkan pembelian salinan cadangan dari upgrade
perangkat lunak terbaru yang digunakan oleh organisasi.
File data cadangan
Di negara bagian dalam cadangan database adalah situs-situs yang
mampu diakses dari jarak jauh, yang menyediakan data terkini. Tidak
semua organisasi mau atau mampu menginvestasi dalam backup data.
Namun seharusnya database tercopy dalam kapasitas yang besar, media
yang cepat dan aman. Dalam hal pengarahan, rekonstruksi basis data
dicapai dengan memperbarui versi terkini dengan data transaksi
selanjutnya. Selain itu juga, file induk dan transaksi file harus dilindungi.
Dokumentasi Cadangan
Dokumentasi sistem untuk aplikasi kritis harus dicadangkan dan disimpan
di luar lokasi beserta aplikasi. Dokumentasi sistem dapat merupakan
jumlah material yang signifikan dan proses backup semakin rumit oleh
perubahan aplikasi yang sering terjadi (lihat Bab 5). Backup dokumentasi
mungkin, bagaimanapun, dengan disederhanakan dan dibuat lebih efisien
melalui penggunaan alat dokumentasi Computer Aided Software
Engineering (CASE). DRP juga harus menyertakan ketentuan yang
mendukung manual pengguna akhir karena pemrosesan transaksi

15
individual dalam kondisi bencana mungkin bukan staf biasa yang terbiasa
dengan sistem.
Persediaan Cadangan dan Dokumen Sumber
Organisasi harus membuat persediaan cadangan persediaan dan dokumen
sumber yang digunakan dalam memproses transaksi penting. Contoh
persediaan kritis adalah cek saham, faktur, pesanan pembelian, dan
bentuk tujuan khusus lainnya yang tidak dapat diperoleh dengan segera.
DRP harus menentukan jenis dan jumlah yang dibutuhkan dari barang-
barang khusus ini. Karena ini adalah elemen rutin dari operasi sehari-hari,
karena sering kali diabaikan oleh perencana kontinjensi bencana. Pada
intinya, perlu dicatat bahwa salinan dokumen DRP saat ini juga harus
disimpan di luar lokasi di lokasi yang aman.
Pengujian DRP
Yang paling diabaikan aspek dari rencana pencadangan adalah pengujian
DRP. Namun, test DRP itu penting dan harus dilakukan secara berkala.
Test untuk mengukur kesiapan dari pegawai dan mengidentifkasi kalalaian
atau kemacetan dalam perencanaan. Test ini sangat berguna ketika
mensimulasi terjadinya gangguan yang mengagetkan. Ketika
mempermainkan suatu bencana telah diumumkan. Status dari semua
proses yang mempengaruhi harus menjadi suatu dokumen. Ini akan
menyediakan pendekatan yang memiliki tolak ukur dalam menujukkan
penilaian. Perencanaan harus dilakukan sejauh ekonomi yang layak.
Idealnya, harus berisi backup dari fasilitas dan persediaan.
Tujuan Audit
Auditor harus memverifikasi bahwa rencana pemulihan bencana
manajemen memadai dan layak untuk menghadapi masalah yang dapat
menghilangkan oganisasi sumber daya komputasinya.
Prosedur Audit
Dalam memeriksa manajemen DRP adalah solusi yang realistis untuk
menghadapi masalah, tes berikut yang dapat dilakukan.
Situs backup
Auditor harus mengevaluasi kecukupan dalam pengaturan situs backup.
ketidak cocokan sistem dan sifat manusia yang keduanya sangat
menurunkan keefektifan yang saling menguntungkan. Auditor harus skpetis
terhadap pengaturan yang seperti itu untuk dua alasan. Pertama,

16
kecanggihan dari sistem komputer mungkin sulit untuk menemukan partner
yang memiliki potensi cocok. Kedua, sangat menegaskan tidak terjadi
kelebihan kapasitas untuk mendukung saat pasangannya telah dilanda
bencana dan sementara memproses pekerjaannya sendiri. Ketika keadaan
genting datang, manajemen dari perusahaan tidak tersentuh bencana dan
akan cenderung memiliki selera yang sedikit untuk mengorbankan
perjanjian kehormatannya. Lebih layak tetapi opsinya mahal adalah tempat
yang kosong dan pusat operasi pemulihan. Ini untuk diperiksa dengan
cermat. Jika organisasi klien menggunakan metode empty shell, maka
auditor butuh memeriksa kevalidan kontrak dengan penjual hardware untuk
menjamin pengiriman hardware komputer yang dibutuhkan dengan
meminimalisir keterlambatan setelah terjadinya bencana. Jika klien dari
member ROC, auditor harus prihatin tentang penomoran member ROC
dan penyebaran geografis mereka. Bencana yang meluas mungkin
membuat penerima tidak puas pada fasilitas ROC.
Daftar aplikasi yang kritis
Auditor harus mereview daftar aplikasi yang kritis untuk memastikan
keberhasilannya. Kehilangan aplikasi dapat menghasilkan kegagalan
dalam pemulihan. Sama benarnya juga apabila memerlukan pemulihan.
termasuk aplikasi di atas daftar kritis yang tidak dibutuhkan dalam
mencapai kelangsungan jangka pendek yang mendapatkan sumber daya
yang salah kaprah dan mengalihkan perhatian dari objek yang dituju
selama pemulihan berkala.
Backup perangkat lunak
Auditor harus memastikan copy dari aplikasi yang kritis dan sistem operasi
situs penyimpanan. Auditor juga harus memastikan jalannya aplikasi situs
penyimpanan dengan membandingkan nomer versinya dan penggunaan
aplikasi yang sebenarnnya.
Backup data
Auditor harus memastikan data file yang kritis terbackup sesuai dengan
DRP.
Backup persediaan, dokumen, dan dokumentasi
Sistem dokumentasi, persediaan, dan dokumen tentang sumber daya
butuh proses transaksi yang kritis harus didukung dan disitus yang aman.
Auditor harus memastikan tipe dan kuantitas dari spesifikasi item di dalam

17
 DRP seperti cek stok, persediaan, order pembelian, dan transaksi yang
penting untuk diamankan di tempat yang aman.
Tim penanggulangan bencana
DRP harus mendaftar dengan jelas nama, alamat, nomer telepon di
anggota tim penanggulangan bencana. Auditor harus memastikan yang
termasuk dalam anggota karyawan saat ini dan sadar untuk diberi
tanggung jawab. Disatu kesempatan, yang mana meninjau kembali DRP
perusahaan, ditemukan penulis pemimpin tim untuk mendaftar rencana
untuk sampai 9 bulan.

4. Outsourcing dalam Sumber Daya IT Perusahaan

Biaya, risiko, dan pertanggungjawaban dengan memertahankan keefektifitas
dari fungsi IT perusahaan memiliki keterkaitan yang signifikan. Tidak sedikit
perusahaan melakukan outsourcing terkait dengan fungsi IT dari perusahaannya
bersama dengan vendor yang memiliki keahlian dalam bidang penyediaan jasa IT,
seperti data entry, data center operations, applications development, applications
maintenance, dan network management. Manfaat dari melakukan kegiatan
outsourcing dari jasa IT oleh vendor ialah untuk meningkatkan kinerja utama
perusahaan baik kegiatan operasional maupun fungsi dari perusahaan, dan bahkan
mengurangi biaya operasional di sektor IT.
Teori yang mendukung dari outsourcing bidang IT, ialah teori core
competency, dimana pada teori ini menyatakan bahwa suatu entitas ataupun
perusahaan berfokus hanya pada kegiatan utama perusahaan, dengan cara
melakukan outsourcing, perusahaan juga dapat berfokus pada aktivitas utama dari
perusahaan. Kebutuhan IT dari perusahaan akan dijalankan oleh vendor dari
penyedia jasa IT tersebut.
Adapun dua jenis tipe aset IT yang diklasifikasikan berdasarkan jenis dan
sifatnya. Pertama, ialah Commodity IT Assets, dimana aset IT ini tersedia secara
umum dan luas jadi tidak terdapat keunikan dalam aset IT ini. Contoh dari aset IT ini
ialah network management, operasi sistem, perawatan server, dan help-desk
function. Specific IT Assets, ialah aset IT yang memiliki keunikan tersediri antara
perusahaan satu dengan yang lain. Hal ini guna untuk menyesuaikan dengan
kebutuhan perusahaan dengan karakteristik dari perusahaan itu sendiri. Contoh dari
aset IT ini seperti perkembangan sistem, perawatan aplikasi, data warehousing, dan
tenaga ahli.

18
 Transaction Cost Economics (TCE) ialah teori yang menentang dari core
competency theory dimana teori ini menyatakan bahwa apabila didasarkan dari
karakteristik perusahaan, aset IT yang spesifik tidak akan mudah untuk digantikan
ketika sudah dirancang. Apabila perusahaan memutuskan untuk membatalkan
kontrak dari vendor, maka kondisi dari perusahaan tidak dapat kembali seperti
semula. Akan tetapi, teori TCE mendukung untuk melakukan outsourcing dari aset
IT komoditas dikarenakan mudahnya untuk mengganti ataupun didapatkan dari
vendor IT.
Aktivitas outsourcing IT dalam skala besar cukup berisiko. Risiko dari kegiatan
outsourcing IT ialah sebagai berikut:
a. Kegagalan Kinerja
Ketika sebuah perusahaan melakukan outsourcing pada aset IT yang
spesifik, kinerja dari aset tersebut dihubungkan dengan kinerja vendor.
b. Ekploitasi Vendor
Outsourcing IT dalam skala besar melibatkan data-data atau informasi
penting dari perusahaan yang dapat mengancam keberlangsungan dari
perusahaan itu sendiri.
c. Biaya yang Melebihi Keuntungan dari Outsourcing
Biaya IT yang tidak terduga tidak memiliki keseimbangan dengan benefit
dari kegiatan tersebut.
d. Berkurangnya Keamananan
Dikarenakan terjalinnya kerjasama dengan pihak ketiga, maka tidak ada
yang dapat menjamin keamanan data personal.
e. Menghilangnya Keuntungan Strategis
Outsourcing IT dapat menyebabkan ketidakselarasan dari perencanaan
strategis dari sektor IT perusahaan, dengan tujuan perusahaan.
Perusahaan mungkin dapat melakukan outsourcing dalam kebutuhan IT
mereka, akan tetapi, perusahaan tidak dapat melimpahkan pertanggungjawaban
manajemen terkait dengan pengendalian internal dalam bidang IT. PCAOB
menyatakan dalam Auditing Standards No. 2, bahwa penggunaan dalam penyedia
jasa tidak mengurangi dari tanggung jawab perusahaan untuk memertahankan
pengendalian internal yang efektif terkait dengan pelaporan keuangan. Perusahaan
harus mengevaluasi atau mengontrol dari penyedia jasa apabila penyedia jasa
terlibat dalam upaya perusahaan untuk melakukan pengendalian internal atas
pelaporan keuangan. Apabila klien audit melakukan outsourcing dalam bidang IT

19
 pada sebuah vendor yang memproses berbagai aktivitas seperti, transaksi, kontrol
internal, dan penyediaan jasa yang lain, para auditor harus melakukan sebuah
evaluasi terhadap perusahaan vendor, dengan cara pihak vendor menerbitkan
sebuah laporan yaitu Statement on Auditing Standard No.70 (SAS 70).
SAS 70, ialah sebuah standar keuangan dimana auditor dari klien dapat
mendapatkan penjelasan terkait dengan pendendalian dari pihak ketiga yang terlibat
untuk menghindari ataupun mendeteksi kesalahan-kesalahan materiil yang dapat
memengaruhi pelaporan keuangan dari klien itu sendiri. Laporan SAS 70 disiapkan
oleh auditor dari vendor untuk memeriksa pengendalian internal dari vendor. Hal ini
berarti vendor dapat mendapatkan laporan audit yang dapat berguna dari auditor
klien untuk diperiksa.

5. Proses Auditing dalam Kegiatan Outsourcing dalam Kebutuhan IT Perusahaan

Gambar 1.1 Proses Auditing ketika Perusahaan Melakukan Kegiatan Outsourcing

dalam Sektor IT
Gambar 1.1 menunjukkan proses auditing apabila perusahaan melakukan
outsourcing. Proses auditing tersebut dihubungkan oleh sebuah laporan SAS 70
yang menjadi penghubung antara vendor, perusahaan klien, dan auditor masing-
masing perusahaan. Pertama, vendor menjadi penyedia jasa kepada perusahaan
klien dengan berbagai layanan jasa dalam sektor IT. Dalam vendor beraktivitas,
pihak vendor akan di audit oleh auditor vendor dimana akan memberikan opini dan
menerbitkan laporan SAS 70. Perusahaan klien akan diaudit oleh auditor yang
berbeda satu sama lain. Vendor akan menerbitkan dua tipe dari laporan SAS 70.
Laporan pertama akan membahas terkait dengan kesesuaian dengan desain

20
 pengendalian. Laporan kedua berisi mengenai bagaimana kontrol beroperasi secara
efektif dan efisien yang diuji oleh auditor organisasi vendor.

6. Perkembangan SAS 70
Meskipun Statement on Auditing Standard No. 70 dijadikan alat bantu proses
auditing dari perusahaan klien, akan tetapi, SAS 70 dirasa kurang kompatibel atau
sesuai dengan SOX (Sarbanes-Oxley Act). SOX menuntut perusahaan untuk
menunjukkan pengendalian internal terhadap pelaporan keuangan sehingga SAS
70 yang notabene tidak sesuai tergantikan oleh sebuah standar yang baru bernama
SSAE 16 dan ISAE 3402. Kedua standar ini membahas mengenai dua topik, yaitu:
Assertions
Sebuah laporan formal mengenai hal-hal yang tidak berkaitan dengan laporan
keuangan.
Assurance Engagement
Sebuah pernyataan yang berasal dari praktisi industri untuk meningkatkan
kepercayaan dari klien.
SSAE16 merupakan attestation standard, sedangkan ISAE 3402 adalah
assurance standard. Perbedaan antara SAS 70 dengan ISAE3402 dan SSAE16
disajikan dalam tabel dibawah ini:
No Perbedaan SAS 70 ISAE3402 dan SSAE16
1 Pencetus AICPA IAASB
2. Ruang Lingkup Pengendalian dalam Memiliki perluasan pada
pemrosesan dari pelaporan keuangan
transaksi keuangan
3. Tipe Standar Audit Standar Asuransi
4. Opini Auditor beropini Auditor beropini terhadap klien
terhadap subjek tanpa dengan menggunakan
pernyataan pernyataan formal seperti
manajemen formal memastikan akuntabilitas.
5. Disclosure Pekerjaan Auditor Pekerjaan Auditor Internal
Requirements Internal untuk yang digunakan untuk
untuk Internal mendukung pendapat membentuk opini auditor jasa
Auditor auditor jasa tidak harus
diungkapkan. termasuk rincian pekerjaan
auditor internal dan metode

21
 auditor jasa sehubungan
dengan pekerjaan itu.
6. Petunjuk Audit Panduan audit yang
diterbitkan setiap Tidak ada panduan Audit
tahun memberikan tersendiri dan panduan bagi
panduan yang auditor jasa hanya tertuang
mencakup tujuan dalam standar ISAE itu sendiri.
pengendalian
terperinci untuk
berbagai jenis
organisasi jasa.
7. Time Factor Untuk laporan Tipe II, Untuk laporan Tipe II, opini
opini tentang atas penyajian wajar sistem
penyajian yang wajar dan Kesesuaian desain adalah
dari sistem dan untuk periode yang dicakup
kesesuaian desain dalam laporan.
adalah pada titik
waktu tertentu.
8. Persyaratan Penjelasan dari Penjelasan dari Sistem
Pelaporan Pengendalian

KESIMPULAN
Adapun kesimpulan yang dapat diambil berdasarkan resume diatas, seperti:
1. Berkembangnya teknologi membuat perusahaan berlomba-lomba untuk
meningkatkan kinerja dalam sektor IT guna membantu pengendalian internal dari
perusahaan serta membantu perusahaan dalam lebih fokus dalam aktivitas utama
perusahaan.
2. Dalam meningkatkan atau menyediakan pengendalian internal berbasis IT,
perusahaan dapat melakukan kegiatan outsourcing untuk membantu meringankan
beban operasional dari perusahaan itu sendiri, terlebih lagi perusahaan vendor lebih
ter-spesialisasi pada sektor IT.
3. Menghadapi perkembangan ini, auditor juga melakukan sebuah standarisasi terkait
dengan implementasi dan penerapan outsourcing IT, AICPA mencetus sebuah
peraturan yaitu Statement on Auditing Standards No. 70 yang kemudian digantikan
oleh ISAE3402 dan SSAE16

22
REFERENSI
Sinha, A., Jaiswal, A., Gupta, R., & Chaurasiya, V. K. (2011). SAS 70 to SSAE 16/ISAE
3402: An insight into outsourcing security and process controls, and
significance of new service audit standards. ISSN 1931-0285 CD ISSN 1941-
9589 ONLINE, 315.
James A. Hall. 2011. Information Technology Auditing and Assurance. Cengage
Learning

23