Chapter 10 Auditing IT Governance Controls

A. TATA KELOLA TEKNOLOGI INFORMASI

Tata kelola teknologi informasi (TI) adalah bagian penting dari tata kelola
perusahaan yang berfokus pada pengelolaan dan penilaian sumber daya TI strategis.
Tata kelola TI juga membantu perusahaan dalam mengurangi risiko dan memastikan
bahwa investasi pada sumber daya TI memberikan nilai tambah bagi
perusahaan. Sebelum SOX Act, praktek umum mengenai investasi pada TI adalah
menyerahkan semua keputusan kepada profesional TI. Sekarang semua elemen
organisasi dituntut aktif berpartisipasi dalam perencanaan hingga pengembangan TI.

Kontrol Tata Kelola TI

Ada 3 masalah tata kelola TI dalam SOX dan kerangka kerja pengendalian
internal COSO yaitu struktur informasi, operasi pusat computer dan perencanaan
pemulihan bencana.

B. STRUKTUR FUNGSI TEKNOLOGI INFORMASI

Fungsi TI dalam sebuah organisasi memiliki dampak pada sifat dan efektivitas
pengendalian internal, yang kemudian mempengaruhi proses audit.

1. Pemrosesan Data Terpusat

Berdasarkan model pengolahan data terpusat, semua pemrosesan data

dilakukan oleh satu atau lebih komputer yang lebih besar bertempat di situs pusat
yang melayani pengguna di seluruh organisasi.
Chapter 10 Auditing IT Governance Controls

Pada gambar 2.1 mengilustrasikan pendekatan ini, di mana kegiatan

layanan TI dikonsolidasikan dan dikelola sebagai sumber daya organisasi bersama.
Layanan TI diperlakukan sebagai pusat biaya yang biaya operasi dibebankan
kembali kepengguna akhir. Dalam gambar tersebut, terdapat beberapa komputer
yang terhubung ke server pusat yang digunakan untuk melakukan pemrosesan
data. Seluruh pengguna dalam organisasi dapat mengakses server pusat tersebut
untuk mengakses data dan layanan TI yang diperlukan. Gambar 2.2
menggambarkan struktur terpusat layanan IT dan menunjukkan layanan utama
daerah: administrasi database, pengolahan data, dan sistem pengembangan dan
pemeliharaan. Penjelasan kunci fungsi masing-masing daerah berikut.

a. Administrasi Basis Data

Chapter 10 Auditing IT Governance Controls

Perusahaan yang terorganisir secara terpusat mengelola sumber daya data

mereka di lokasi pusat yang digunakan bersama oleh semua pengguna akhir.
Dalam pengaturan data bersama ini, sebuah kelompok independen yang
dikepalai oleh administrator database (DBA) bertanggung jawab atas
keamanan dan integritas database.
b. Pengolahan data
Grup pemrosesan data mengelola sumber daya komputer yang digunakan
untuk melakukan pemrosesan transaksi sehari-hari. Grup ini terdiri dari fungsi-
fungsi organisasi berikut:
1. Konversi data, Fungsi konversi data untuk menyalin data transaksi dari
dokumen sumber cetak ke dalam input komputer.
2. Operasi komputer, File elektronik yang dihasilkan dalam konversi data
kemudian diproses oleh komputer pusat, yang dikelola oleh kelompok
operasi komputer.
3. Perpustakaan data adalah ruangan yang berdekatan dengan pusat
komputer yang menyediakan penyimpanan yang aman untuk file data off-
line. Pustakawan data, yang bertanggung jawab atas penerimaan,
penyimpanan, pengambilan, dan pemeliharaan file data, mengontrol akses
ke perpustakaan. Biaya operasi layanan TI dibebankan kembali ke
pengguna akhir melalui sistem IT chargeback. Data governance dan
auditing penting dalam pendekatan pengolahan data terpusat untuk
memastikan keamanan dan keandalan data.
c. Pengembangan dan Pemeliharaan Data
Pengembangan dan pemeliharaan sistem informasi terdiri dari dua fungsi
terkait yaitu pengembangan sistem dan pemeliharaan sistem. Kelompok
pengembangan sistem bertanggung jawab untuk menganalisis kebutuhan
pengguna dan merancang sistem baru untuk memenuhi kebutuhan tersebut.
Para peserta dalam kegiatan pengembangan sistem meliputi para profesional
sistem, pengguna akhir, dan pemangku kepentingan.
1. Para profesional sistem meliputi analis sistem, perancang basis data, dan
pemrogram yang merancang dan membangun sistem.
2. Pengguna akhir adalah mereka yang menggunakan sistem tersebut,
seperti para manajer yang menerima laporan dari sistem dan personil
Chapter 10 Auditing IT Governance Controls

operasi yang bekerja dengan sistem sebagai bagian dari tanggung jawab
harian mereka.
3. Pemangku kepentingan adalah individu di dalam atau di luar perusahaan
yang memiliki kepentingan dalam sistem, tetapi bukan pengguna akhir.

Setelah sistem baru dirancang dan diimplementasikan, kelompok

pemeliharaan sistem bertanggung jawab untuk menjaganya agar tetap sesuai
dengan kebutuhan pengguna.

2. Pemisahan Fungsi TI yang Tidak Kompatibel

Untuk mencapai pemisahan tugas yang efektif maka tugas-tugas

operasional harus dipisahkan :

a. Memisahkan otorisasi transaksi dari pemrosesan transaksi

Pemisahan antara pengembangan sistem dan operasi komputer adalah
hal yang paling penting. Para ahli pengembangan dan pemeliharaan sistem
harus membuat dan memelihara sistem untuk pengguna, dan tidak boleh
terlibat dalam operasi komputer. Fungsi-fungsi ini pada dasarnya tidak
kompatibel, dan menggabungkannya akan mengundang kesalahan dan
kecurangan.
b. Memisahkan Administrasi Basis Data dari Fungsi Lainnya
Pemisahan administrator database (DBA) dari fungsi pusat komputer
lainnya adalah penting untuk menjaga keamanan database. Fungsi DBA
bertanggung jawab atas tugas-tugas penting seperti membuat skema database,
memberikan otoritas akses database kepada pengguna, dan memantau
penggunaan database. Mendelegasikan tanggung jawab ini kepada orang lain
yang melakukan tugas yang tidak sesuai dapat mengancam integritas
database.
c. Memisahkan Pengembangan Sistem Baru dari Pemeliharaan
Pemisahan antara pengembangan sistem baru dan pemeliharaan
sangat penting. Beberapa perusahaan mengorganisir fungsi pengembangan
sistem internal mereka ke dalam dua kelompok: analisis sistem dan
pemrograman. Kelompok analisis sistem bekerja dengan pengguna untuk
menghasilkan desain rinci dari sistem baru, sedangkan kelompok
Chapter 10 Auditing IT Governance Controls

pemrograman membuat kode program sesuai dengan spesifikasi desain ini.

Pemisahan ini menghindari masalah pengendalian seperti :
1) Dokumentasi yang tidak memadai, dokumentasi sistem yang buruk
merupakan masalah TI yang kronis dan menjadi tantangan bagi banyak
organisasi yang ingin memenuhi kepatuhan terhadap SOX. Ada dua
penjelasan untuk fenomena ini, yaitu kurangnya minat para profesional
sistem untuk mendokumentasikan sistem dan keamanan pekerjaan. Para
programmer yang memahami sistem mempertahankan kekuatan tawar-
menawar dan menjadi sangat diperlukan. Namun, ketika programmer
meninggalkan perusahaan, programmer baru mewarisi tanggung jawab
pemeliharaan untuk sistem yang tidak terdokumentasi, yang dapat
memakan waktu dan biaya yang besar tergantung pada kompleksitasnya.
2) Potensi kecurangan program, potensi kecurangan akan meningkat ketika
pemrogram asli suatu sistem juga diberi tanggung jawab pemeliharaan.
Penipuan program melibatkan perubahan yang tidak sah pada modul
program dengan tujuan untuk melakukan tindakan ilegal. Oleh karena itu,
memiliki tanggung jawab tunggal untuk pemeliharaan merupakan elemen
penting dalam skema programmer yang bermuka dua. Melalui otoritas
pemeliharaan ini, pemrogram dapat dengan bebas mengakses sistem,
menonaktifkan kode yang curang selama audit dan kemudian
mengembalikan kode tersebut ketika keadaan sudah aman. Penipuan
semacam ini dapat berlanjut selama bertahun-tahun tanpa terdeteksi.
3. Model Distribusi

Model terdistribusi adalah konsep pemrosesan data terdistribusi (DDP)

alternatif dari model terpusat yang melibatkan pengorganisasian ulang fungsi TI
pusat menjadi unit-unit TI kecil yang berada di bawah kendali pengguna akhir.
Semua atau salah satu fungsi TI yang diwakili dalam Gambar 2.2 dapat
didistribusikan. Tingkat pendistribusiannya akan bervariasi tergantung pada filosofi
dan tujuan manajemen organisasi. Model terdistribusi dapat dilakukan dengan dua
alternatif pendekatan, yaitu alternatif A adalah varian dari model terpusat, di mana
terminal atau komputer mikro didistribusikan ke pengguna akhir untuk menangani
input dan output. Sedangkan alternatif B merupakan perubahan yang signifikan
Chapter 10 Auditing IT Governance Controls

dari model terpusat, di mana semua layanan komputer didistribusikan ke pengguna

akhir, di mana mereka beroperasi sebagai unit mandiri.

a. Risiko-risiko yang Terkait dengan DDP

1) Penggunaan sumber daya yang tidak efisien. DDP dapat mengekspos dan
organisasi untuk tiga jenis risiko yang terkait dengan penggunaan efisien
sumber daya organisasi. Pertama, adalah risiko kesalahan manajemen
sumber daya organisasi IT oleh pengguna akhir. Kedua, DDP dapat
meningkatkan risiko inefisiensi operasional karena berlebihan tugas yang
dilakukan dalam komite pengguna akhir. Ketiga, lingkungan DDP
menimbulkan risiko hardware tidak kompatibel (mampu bergerak dan
bekerja dengan keserasian, kesesuaian) dan perangkat lunak antara fungsi
pengguna akhir.
2) Kerusakan jejak audit. Jejak audit memberikan keterkaitan antara aktivitas
keuangan (transaksi) perusahaan komputer dan laporan keuangan yang
melapor pada kegiatan tersebut. Auditor menggunakan jejak audit untuk
melacak laporan keuangan. Penggunaan DDP dapat mempengaruhi
secara negatif jejak audit. Karena jejak audit dalam sistem modern
cenderung bersifat elektronik, merupakan hal biasa jika seluruh jejak audit
berada dalam berbagai komputer pengguna terakhir.
3) Pemisahan Tugas yang Tidak Memadai: Distribusi layanan TI ke para
pengguna dapat menghasilkan terciptanya banyak unit kecil yang tidak
memungkinkan adanya pemisahan berbagai fungsi yang tidak
saling berkesesuaian.
4) Kesulitan Mempekerjakan Profesional Berkualitas: Manajer yang juga
pengguna akhir dapat saja kurang memiliki pengetahuan dalam
mengevaluasi kualifikasi dan pengalaman terkait beberapa kandidat yang
melamar untuk posisi sebagai profesional komputer. Juga, unit organisasi
memiliki kesempatan yang kecil bagi karyawan baru untuk pengembangan
diri, melanjutkan pendidikan dan terbatasnya promosi.
5) Kurangnya Standar: Kurangnya standar dalam lingkungan DDP dapat
menyebabkan tidak adanya atau tidak meratanya penerapan standar untuk
mengembangkan dan mendokumentasikan sistem, memilih alat bantu
Chapter 10 Auditing IT Governance Controls

pemrograman, memperoleh perangkat keras dan perangkat lunak, dan

mengevaluasi kinerja.
b. Keuntungan dari DDP
1) Pengurangan biaya : Pengurangan biaya terjadi dengan pergeseran ke
komputer mikro dan mini yang murah dan kuat, serta pengurangan biaya
penyimpanan data. Tanggung jawab manajer pengguna akhir dalam
pengendalian biaya juga meningkat, dan pendukung DDP berpendapat
bahwa manfaat manajemen yang lebih baik lebih penting daripada biaya
tambahan..
2) Tanggung jawab pengendalian biaya yang lebih baik : Tanggung jawab
manajer pengguna akhir dalam pengendalian biaya juga meningkat, dan
pendukung DDP berpendapat bahwa manfaat manajemen yang lebih baik
lebih penting daripada biaya tambahan.
3) Peningkatan Kepuasan Pengguna : Peningkatan kepuasan pengguna
mencakup kontrol sumber daya, responsifnya profesional sistem, dan
keterlibatan pengguna dalam pengembangan sistem.
4) Fleksibilitas Cadangan : Fleksibilitas cadangan memungkinkan penyediaan
cadangan fasilitas komputasi untuk melindungi dari bencana.
4. Mengendalikan Lingkungan DDP
Dalam mengelola lingkungan DDP, penting untuk mempertimbangkan manfaat
ekonomi dan kelayakan operasional, menghindari keputusan yang tidak dapat
diubah, dan menerapkan kontrol yang cermat. Dimana beberapa perusahaan telah
bergeser ke DDP tanpa secara penuh mempertimbangkan apakah struktur
organiasional yang terdistribusi tersebut akan dapat membuat mereka secara
lebihbaik mencapai tujuan perusahaan atau tidak.
a. Menerapkan Fungsi TI Perusahaan
Model terpusat penuh dan model terdistribusi penuh mewakili dua posisi
ekstrimdalam sebuah area alternatif struktur. Kebutuhan kebanyakan
perusahaan masukdiantara ke dua titik ekstrim ini. Dalam kebanyakan
perusahaan, masalahpengendalian dapat ditangani dengan
mengimplementsaikan fungsi TI perusahaan.
1) Pengujian Perangkat Lunak dan Perangkat Keras Komersial secara
terpusat : Grup TI perusahaan yang terpusat dapat menguji perangkat lunak
dan perangkat keras komersial untuk mengevaluasi fitur-fitur sistem,
 Chapter 10 Auditing IT Governance Controls

kontrol, dan kompatibilitas dengan standar industri. Hasil pengujian ini

digunakan sebagai panduan dalam pengambilan keputusan akuisisi.
2) Layanan Pengguna: Fungsi TI perusahaan memberikan bantuan teknis
kepada pengguna selama instalasi perangkat lunak baru dan dalam
memecahkan masalah perangkat keras dan perangkat lunak. Ini bisa
meliputi pembuatan papan buletin elektronik, ruang obrolan, dan meja
bantuan untuk memberikan dukungan kepada pengguna.
3) Badan Penetapan Standar: Grup perusahaan dapat berkontribusi pada
penetapan standar dalam organisasi dengan menetapkan dan
mendistribusikan pedoman yang sesuai untuk pengembangan sistem,
pemrograman, dan dokumentasi.
4) Tinjauan Personil: Kelompok korporat bisa membantu dalam mengevaluasi
kredensial teknis calon profesional sistem, sehingga organisasi bisa memilih
personil yang sesuai untuk kebutuhan teknisnya.
b. Tujuan Audit
Untuk memverifikasi bahwa struktur fungsi TI mendukung pemisahan
tugas yang sesuai dengan tingkat potensi risiko, sehingga hubungan formal dan
tidak santai diterapkan dalam tugas yang tidak sesuai.
c. Prosedur Audit
Prosedur Audit untuk Organisasi dengan Fungsi TI Terpusat meliputi:
 Tinjau dokumentasi organisasi untuk memastikan pemisahan tugas yang sesuai.
 Tinjau dokumentasi sistem dan catatan pemeliharaan untuk memeriksa
pemrogram pemeliharaan.
 Verifikasi bahwa operator komputer tidak memiliki akses ke rincian logika internal
sistem.
 Melalui observasi, pastikan bahwa kebijakan pemisahan telah diikuti.

Prosedur Audit untuk Organisasi dengan Fungsi TI Terdistribusi mencakup:

Tinjau dokumentasi organisasi untuk memastikan pemisahan tugas yang sesuai.

Verifikasi bahwa kebijakan dan standar perusahaan telah dipublikasikan dan
tersedia untuk unit TI yang terdistribusi.
 Pastikan bahwa kontrol kompensasi digunakan jika pemisahan tugas yang sesuai
tidak ekonomis.
 Tinjau dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur, dan
basis data sesuai dengan standar perusahaan.
C. PUSAT KOMPUTER
Chapter 10 Auditing IT Governance Controls

Akuntan melakukan audit tahunan untuk memeriksa pusat komputer dengan tujuan
mengidentifikasi risiko dan kontrol yang membantu menjaga keamanan lingkungan. Beberapa
aspek yang diperiksa meliputi:

1. Lokasi Fisik : Pusat komputer harus terhindar dari bahaya buatan manusia dan alam,
seperti banjir, kejahatan, atau patahan geologi.
2. Konstruksi: Pusat komputer harus memiliki konstruksi yang kokoh.
3. Akses : akses ke pusat komputer harus terkendali, dengan sistem keamanan seperti
keypad atau kartu gesek.
4. Pendingin Udara : Pusat komputer harus memelihara suhu dan kelembapan yang optimal
untuk menjaga kinerja komputer.
5. Pemadaman Kebakaran: Pusat komputer harus dilengkapi dengan sistem pencegahan
dan pemadaman kebakaran yang efektif.
6. Toleransi Kesalahan : Sistem harus dirancang dengan toleransi kesalahan untuk
mencegah kegagalan total. . Kegagalan total hanya dapat terjadi jika beberapa komponen
gagal. Dua contoh teknologi toleransi kesalahan :
 Susunan disk independen yang berlebihan (RAID). RAID ini merujuk kepada sebuah
teknologi di dalam penyimpanan data komputer yang digunakan untuk
mengimplementasikan fitur toleransi kesalahan pada media penyimpanan komputer
(terutama hard disk) dengan menggunakan cara redundansi (penumpukan) data, baik itu
dengan menggunakan perangkat lunak, maupun unit perangkat keras RAID terpisah.
 Uninterruptible Power Supplies (UPS) Ketersediaan listrik dengan regulator voltase dan
cadangan baterai sangat penting untuk menunjang operasional pusat komputer. Dengan
menggunakan Unit Power Supply (UPS), pada saat supply listrik ke server terputus,
terdapat jeda sebelum komputer mati, jadi masih memiliki waktu untuk menyimpan atau
menyelamatkan data apabila terjadi pemadaman listrik.
7. Tujuan Audit : Auditor mengevaluasi kontrol yang mengatur keamanan pusat komputer,
termasuk Kontrol keamanan fisik memadai untuk melindungi organisasi secara wajar dari
paparan fisik dan Perlindungan asuransi pada peralatan memadai untuk memberikan
kompensasi kepada organisasi untuk penghancuran, atau kerusakan pada pusat
komputernya.
8. Prosedur Audit :
a. Pengujian Konstruksi Fisik. Auditor memeriksa rencana arsitektur pusat komputer
untuk memastikan bangunan kokoh dan tahan api, serta adanya drainase yang
memadai. Lokasi fisik pusat komputer harus minim risiko dari kebakaran, kerusuhan
sipil, dan bahaya lainnya.
b. Pengujian Sistem Deteksi Kebakaran: Auditor harus meyakini alat deteksi kebakaran
dan tabung telah ada, danberfungsi normal baik manual maupun otomatis dengan
mengkaji catatan daridepartemen pemadam kebakaran.
c. Pengujian Pengendalian Akses: Auditor memastikan bahwa akses rutin ke pusat
komunikasi dibatasi hanya untuk karyawan yang berwenang. Auditor memeriksa log
 Chapter 10 Auditing IT Governance Controls

akses untuk rincian pengunjung dan dapat juga menggunakan rekaman video dari
kamera di titik akses.
d. Pengujian RAID: Auditor mengevaluasi sistem yang menggunakan RAID untuk
memastikan tingkat RAID yang ada memadai mengingat risiko bisnis yang terkait
dengan kegagalan disk. Jika organisasi tidak menggunakan RAID, auditor memeriksa
prosedur alternatif untuk pemulihan dari kegagalan disk.
e. Pengujian Uninterruptible Power Supply: Auditor memeriksa pengujian berkala catu
daya cadangan untuk memastikan kapasitas yang cukup untuk menjalankan
komputer dan AC. Pengujian ini penting untuk memastikan kelancaran operasi dalam
situasi pemadaman listrik atau gangguan daya.
f. Pengujian terhadap Cakupan Asuransi: Auditor meninjau cakupan asuransi
organisasi untuk perangkat keras, perangkat lunak, dan fasilitas fisik, memastikan
bahwa akuisisi baru tercantum dalam polis asuransi dan aset usang dihapus. Polis
asuransi harus sesuai dengan kebutuhan manajemen dalam hal pertanggungan.
D. PERENCANAAN PEMULIHAN BENCANA

Bencana seperti gempa bumi, banjir, sabotase, dan bahkan kegagalan sistem bisa
menjadi bencana bagi pusat komputer dan sistem informasi organisasi atau perusahaan
Gambar dibawah ini merupakan tiga kategori bencana yang dapat merusak sumberdaya
teknologi informasi sebuah organisasi yaitu fenomena alam, bencana buatanmanusia, dan
kegagalan sistem.

Rencana yang mencakup langkah-langkah yang harus diambil sebelum, selama, dan
setelah bencana untuk memastikan kelangsungan operasi organisasi. Terdapat empat fitur
umum dalam DRP (Disaster Recovery Planning), yaitu:
Chapter 10 Auditing IT Governance Controls

1. Mengidentifikasi Aplikasi Penting: Elemen penting pertama dari DRP adalah untuk
mengidentifikasi aplikasipenting perusahaan dan file data terkait. Upaya pemulihan harus
berkonsentrasipada pemulihan penerapan yang sangat penting bagi kelangsungan
hiduporganisasi jangka pendek. Tentunya, dalam jangka panjang, semua aplikasi
harusdikembalikan ke tingkat aktivitas bisnis predisaster.
2. Membentuk Tim Pemulihan Bencana: Pemulihan dari bencana bergantung pada tindakan
korektif yang tepat waktu.Keterlambatan dalam melakukan tugas penting
memperpanjang masa pemulihandan mengurangi prospek pemulihan yang berhasil.
Untuk menghindari kelalaianatau duplikasi usaha yang serius selama pelaksanaan rencana
kontinjensi,tanggung jawab tugas harus didefinisikan secara jelas dan dikomunikasikan
kepadapersonil yang terlibat.
3. Menyediakan backup situs kedua : Bahan yang diperlukan dalam DRP adalah
menyediakan fasilitas pengolahan data duplikat setelah terjadi bencana. Di antara pilihan
yang tersedia, yang palingumum adalah:
a. Pakta Bantuan Mutual : Ini adalah perjanjian antara dua atau lebih organisasi dengan
fasilitas komputer yang kompatibel untuk saling membantu dalam memproses data
jika terjadi bencana.
b. Empty Shell : Rencana lokasi shell kosong atau cold site adalah pengaturan
dimanaperusahaan membeli atau menyewa bangunan yang akan berfungsi
sebagaipusat data. Jika terjadi bencana, cangkangnya tersedia dan siap
menerimaperangkat keras apa pun yang dibutuhkan pengguna sementara
untukmenjalankan sistem penting.
c. Pusat operasi pemulihan : Pusat operasi pemulihan (ROC) atau situs yang panas
adalah pusat data cadangan lengkap yang dimiliki banyak perusahaan.
d. Cadangan yang disediakan secara internal : Organisasi yang lebih besar dengan
beberapa pusat pemrosesan data seringkali memilih untuk mengembangkan
kapasitas cadangan internal. Ini memungkinkan perusahaan mengendalikan
konfigurasi perangkat keras dan perangkat lunak serta meminimalkan masalah
pemotongan selama bencana.
4. Backup dan prosedur penyimpanan off-site
Semua file data, aplikasi, dan dokumentasi, dan persediaan yang diperlukan untuk
melakukan fungsi penting harus dicadangkan secara otomatis dan disimpan di lokasi yang
aman di luar lokasi. Pengolahan data secara pribadi harus secara rutin melakukan
prosedur backup dan penyimpanan untuk mendapatkan dan mengamankan sumber daya
kritis ini.
a. Cadangan sistem operasi : Jika perusahaan menggunakan situs cadangan yang tidak
menyertakan sistem operasi yang kompatibel, perlu ada prosedur yang jelas untuk
mendapatkan versi terbaru dari sistem operasi yang digunakan. Pustakawan data
dapat berperan penting dalam tugas ini.
Chapter 10 Auditing IT Governance Controls

b. Aplikasi backup : DRP harus mencakup prosedur untuk membuat salinan dari aplikasi
penting yang selalu diperbarui. Ini melibatkan pembelian salinan cadangan dari
upgrade perangkat lunak terbaru jika aplikasi komersial.
c. Backup file data : Backup database berkualitas terbaik adalah situs mirror jarak jauh,
yang menyediakan data lengkap yang selalu diperbarui. Tidak semua organisasi
mengadopsi pendekatan ini, tetapi paling tidak, file database harus disalin secara rutin
ke media berkapasitas tinggi dan berkecepatan tinggi untuk penyimpanan luar lokasi.
d. Dokumentasi cadangan : Dokumentasi sistem untuk aplikasi penting harus
dicadangkan dan disimpan di luar lokasi bersama dengan aplikasinya. Alat
dokumentasi bantu komputer (CASE/ Computer Aided Software En- gineering) dapat
membantu dalam proses pencadangan dokumen ini.
e. Cadangan persediaan dan dokumen sumber : Organisasi harus mencadangkan
persediaan dan dokumen sumber yang diperlukan untuk pemrosesan transaksi
penting. Ini termasuk item seperti cek saham, faktur, pesanan pembelian, dan
formulir lainnya yang mungkin tidak tersedia secara segera setelah bencana.
f. Menguji DRP : Tes DRP penting dan harus dilakukan secara berkala. Ini membantu
mengukur kesiapan personel dan mengidentifikasi kelalaian atau masalah dalam
pelaksanaan rencana. Pengujian ini juga melibatkan pihak yang terlibat dalam DRP
untuk melihat sejauh mana DRP dapat bekerja dalam situasi bencana.

Tujuan Audit (Audit Objective

Auditor bertujuan memverifikasi bahwa rencana pemulihan bencana manajemen

memadai untuk mengatasi bencana yang dapat mengganggu pengorganisasian sumber
daya komputasi.

Prosedur Audit (Audit Procedures)

Dalam memverifikasi DRP, auditor dapat melakukan pengujian berikut:

1) Site Backup, Auditor harus mengevaluasi kecukupan pengaturan situs cadangan.

Auditor mengevaluasi pengaturan situs cadangan, dengan kekhawatiran terhadap
ketidakcocokan sistem dan sifat manusia yang dapat mengurangi efektivitas pakta
bantuan mutual.
2) Critical Application List. Auditor meninjau daftar aplikasi kritis dan memastikan bahwa
hanya aplikasi yang benar-benar kritis terdaftar. Memasukkan aplikasi yang tidak kritis
dapat mengganggu prioritas sumber daya selama pemulihan.
3) Software Backup. Auditor juga harus memverifikasi antaraaplikasi yang saat ini yang
disimpan off-site dengan membandingkan nomor versiaplikasi dengan orang-orang
yang menggunakan aplikasi.
4) Data backup. Auditor harus memverifikasi bahwa file data penting yang didukung
sesuai dengan DRP.
 Chapter 10 Auditing IT Governance Controls

5) Back up Supplies, Documents, and Documentation. Semua perlengkapan, dokumentasi

sistem, dan dokumen sumber penting harus dicadangkan dan disimpan di luar lokasi.
Auditor memverifikasi keberadaan jenis dan jumlah barang yang sesuai dengan DRP.
6) Disaster Recovery Team. Auditor memeriksa bahwa DRP mencantumkan informasi
lengkap tentang anggota tim pemulihan bencana, termasuk nama, alamat, dan nomor
telepon darurat. Auditor juga memastikan bahwa anggota tim adalah karyawan saat ini
dan memahami tugas mereka.
E. PENGALIHDAYAAN FUNGSI TI

Perusahaan dapat memilih untuk mengoutsourcse fungsi TI mereka kepada pihak

ketiga untuk mengelola aset, staf TI, dan layanan IT seperti entri data, operasi pusat data,
pengembangan aplikasi, perawatan aplikasi, dan manajemen jaringan. Alasan utama
perusahaan melakukan outsourcing TI kepada pihak ketiga meliputi peningkatan kinerja bisnis
inti, peningkatan kinerja TI (karena keahlian vendor), dan pengurangan biaya TI.

1. Risiko Bawaan untuk Outsourcing TI: Outsourcing TI dapat memiliki risiko yang signifikan,
termasuk:
a. Kegagalan Implementasi: Kinerja perusahaan klien terkait dengan kinerja vendor, dan
kesulitan terjadi ketika tergantung pada vendor.
b. Vendor Eksploitasi: Vendor mengelola aset khusus dan unik yang penting bagi
perusahaan, dan ini bisa menjadi masalah.
c. Biaya Lebih Besar dari Manfaat: Dalam beberapa kasus, biaya outsourcing TI melebihi
manfaat yang diperoleh.
d. Keamanan berkurang: Outsourcing TI ke luar negeri dapat menimbulkan masalah
keamanan dan perlindungan data pribadi yang sensitif.
e. Kehilangan Keuntungan Strategis: Outsourcing TI dapat mengganggu keselarasan
antara strategi TI dan strategi bisnis perusahaan.
2. Implikasi Audit terhadap Sourcing TI: Standar audit, seperti Statement on Auditing
Standard No. 70 (SAS 70), digunakan untuk mendapatkan pengetahuan yang mengontrol
vendor pihak ketiga dan mencegah kesalahan yang dapat memengaruhi laporan keuangan
klien. Hal ini menghalangi auditor perusahaan klien untuk mengaudit pengendalian
internal vendor tersebut secara terpisah.