Tata kelola teknologi informasi (TI) adalah bagian penting dari tata kelola
perusahaan yang berfokus pada pengelolaan dan penilaian sumber daya TI strategis.
Tata kelola TI juga membantu perusahaan dalam mengurangi risiko dan memastikan
bahwa investasi pada sumber daya TI memberikan nilai tambah bagi
perusahaan. Sebelum SOX Act, praktek umum mengenai investasi pada TI adalah
menyerahkan semua keputusan kepada profesional TI. Sekarang semua elemen
organisasi dituntut aktif berpartisipasi dalam perencanaan hingga pengembangan TI.
Ada 3 masalah tata kelola TI dalam SOX dan kerangka kerja pengendalian
internal COSO yaitu struktur informasi, operasi pusat computer dan perencanaan
pemulihan bencana.
Fungsi TI dalam sebuah organisasi memiliki dampak pada sifat dan efektivitas
pengendalian internal, yang kemudian mempengaruhi proses audit.
operasi yang bekerja dengan sistem sebagai bagian dari tanggung jawab
harian mereka.
3. Pemangku kepentingan adalah individu di dalam atau di luar perusahaan
yang memiliki kepentingan dalam sistem, tetapi bukan pengguna akhir.
Akuntan melakukan audit tahunan untuk memeriksa pusat komputer dengan tujuan
mengidentifikasi risiko dan kontrol yang membantu menjaga keamanan lingkungan. Beberapa
aspek yang diperiksa meliputi:
1. Lokasi Fisik : Pusat komputer harus terhindar dari bahaya buatan manusia dan alam,
seperti banjir, kejahatan, atau patahan geologi.
2. Konstruksi: Pusat komputer harus memiliki konstruksi yang kokoh.
3. Akses : akses ke pusat komputer harus terkendali, dengan sistem keamanan seperti
keypad atau kartu gesek.
4. Pendingin Udara : Pusat komputer harus memelihara suhu dan kelembapan yang optimal
untuk menjaga kinerja komputer.
5. Pemadaman Kebakaran: Pusat komputer harus dilengkapi dengan sistem pencegahan
dan pemadaman kebakaran yang efektif.
6. Toleransi Kesalahan : Sistem harus dirancang dengan toleransi kesalahan untuk
mencegah kegagalan total. . Kegagalan total hanya dapat terjadi jika beberapa komponen
gagal. Dua contoh teknologi toleransi kesalahan :
Susunan disk independen yang berlebihan (RAID). RAID ini merujuk kepada sebuah
teknologi di dalam penyimpanan data komputer yang digunakan untuk
mengimplementasikan fitur toleransi kesalahan pada media penyimpanan komputer
(terutama hard disk) dengan menggunakan cara redundansi (penumpukan) data, baik itu
dengan menggunakan perangkat lunak, maupun unit perangkat keras RAID terpisah.
Uninterruptible Power Supplies (UPS) Ketersediaan listrik dengan regulator voltase dan
cadangan baterai sangat penting untuk menunjang operasional pusat komputer. Dengan
menggunakan Unit Power Supply (UPS), pada saat supply listrik ke server terputus,
terdapat jeda sebelum komputer mati, jadi masih memiliki waktu untuk menyimpan atau
menyelamatkan data apabila terjadi pemadaman listrik.
7. Tujuan Audit : Auditor mengevaluasi kontrol yang mengatur keamanan pusat komputer,
termasuk Kontrol keamanan fisik memadai untuk melindungi organisasi secara wajar dari
paparan fisik dan Perlindungan asuransi pada peralatan memadai untuk memberikan
kompensasi kepada organisasi untuk penghancuran, atau kerusakan pada pusat
komputernya.
8. Prosedur Audit :
a. Pengujian Konstruksi Fisik. Auditor memeriksa rencana arsitektur pusat komputer
untuk memastikan bangunan kokoh dan tahan api, serta adanya drainase yang
memadai. Lokasi fisik pusat komputer harus minim risiko dari kebakaran, kerusuhan
sipil, dan bahaya lainnya.
b. Pengujian Sistem Deteksi Kebakaran: Auditor harus meyakini alat deteksi kebakaran
dan tabung telah ada, danberfungsi normal baik manual maupun otomatis dengan
mengkaji catatan daridepartemen pemadam kebakaran.
c. Pengujian Pengendalian Akses: Auditor memastikan bahwa akses rutin ke pusat
komunikasi dibatasi hanya untuk karyawan yang berwenang. Auditor memeriksa log
Chapter 10 Auditing IT Governance Controls
akses untuk rincian pengunjung dan dapat juga menggunakan rekaman video dari
kamera di titik akses.
d. Pengujian RAID: Auditor mengevaluasi sistem yang menggunakan RAID untuk
memastikan tingkat RAID yang ada memadai mengingat risiko bisnis yang terkait
dengan kegagalan disk. Jika organisasi tidak menggunakan RAID, auditor memeriksa
prosedur alternatif untuk pemulihan dari kegagalan disk.
e. Pengujian Uninterruptible Power Supply: Auditor memeriksa pengujian berkala catu
daya cadangan untuk memastikan kapasitas yang cukup untuk menjalankan
komputer dan AC. Pengujian ini penting untuk memastikan kelancaran operasi dalam
situasi pemadaman listrik atau gangguan daya.
f. Pengujian terhadap Cakupan Asuransi: Auditor meninjau cakupan asuransi
organisasi untuk perangkat keras, perangkat lunak, dan fasilitas fisik, memastikan
bahwa akuisisi baru tercantum dalam polis asuransi dan aset usang dihapus. Polis
asuransi harus sesuai dengan kebutuhan manajemen dalam hal pertanggungan.
D. PERENCANAAN PEMULIHAN BENCANA
Bencana seperti gempa bumi, banjir, sabotase, dan bahkan kegagalan sistem bisa
menjadi bencana bagi pusat komputer dan sistem informasi organisasi atau perusahaan
Gambar dibawah ini merupakan tiga kategori bencana yang dapat merusak sumberdaya
teknologi informasi sebuah organisasi yaitu fenomena alam, bencana buatanmanusia, dan
kegagalan sistem.
Rencana yang mencakup langkah-langkah yang harus diambil sebelum, selama, dan
setelah bencana untuk memastikan kelangsungan operasi organisasi. Terdapat empat fitur
umum dalam DRP (Disaster Recovery Planning), yaitu:
Chapter 10 Auditing IT Governance Controls
1. Mengidentifikasi Aplikasi Penting: Elemen penting pertama dari DRP adalah untuk
mengidentifikasi aplikasipenting perusahaan dan file data terkait. Upaya pemulihan harus
berkonsentrasipada pemulihan penerapan yang sangat penting bagi kelangsungan
hiduporganisasi jangka pendek. Tentunya, dalam jangka panjang, semua aplikasi
harusdikembalikan ke tingkat aktivitas bisnis predisaster.
2. Membentuk Tim Pemulihan Bencana: Pemulihan dari bencana bergantung pada tindakan
korektif yang tepat waktu.Keterlambatan dalam melakukan tugas penting
memperpanjang masa pemulihandan mengurangi prospek pemulihan yang berhasil.
Untuk menghindari kelalaianatau duplikasi usaha yang serius selama pelaksanaan rencana
kontinjensi,tanggung jawab tugas harus didefinisikan secara jelas dan dikomunikasikan
kepadapersonil yang terlibat.
3. Menyediakan backup situs kedua : Bahan yang diperlukan dalam DRP adalah
menyediakan fasilitas pengolahan data duplikat setelah terjadi bencana. Di antara pilihan
yang tersedia, yang palingumum adalah:
a. Pakta Bantuan Mutual : Ini adalah perjanjian antara dua atau lebih organisasi dengan
fasilitas komputer yang kompatibel untuk saling membantu dalam memproses data
jika terjadi bencana.
b. Empty Shell : Rencana lokasi shell kosong atau cold site adalah pengaturan
dimanaperusahaan membeli atau menyewa bangunan yang akan berfungsi
sebagaipusat data. Jika terjadi bencana, cangkangnya tersedia dan siap
menerimaperangkat keras apa pun yang dibutuhkan pengguna sementara
untukmenjalankan sistem penting.
c. Pusat operasi pemulihan : Pusat operasi pemulihan (ROC) atau situs yang panas
adalah pusat data cadangan lengkap yang dimiliki banyak perusahaan.
d. Cadangan yang disediakan secara internal : Organisasi yang lebih besar dengan
beberapa pusat pemrosesan data seringkali memilih untuk mengembangkan
kapasitas cadangan internal. Ini memungkinkan perusahaan mengendalikan
konfigurasi perangkat keras dan perangkat lunak serta meminimalkan masalah
pemotongan selama bencana.
4. Backup dan prosedur penyimpanan off-site
Semua file data, aplikasi, dan dokumentasi, dan persediaan yang diperlukan untuk
melakukan fungsi penting harus dicadangkan secara otomatis dan disimpan di lokasi yang
aman di luar lokasi. Pengolahan data secara pribadi harus secara rutin melakukan
prosedur backup dan penyimpanan untuk mendapatkan dan mengamankan sumber daya
kritis ini.
a. Cadangan sistem operasi : Jika perusahaan menggunakan situs cadangan yang tidak
menyertakan sistem operasi yang kompatibel, perlu ada prosedur yang jelas untuk
mendapatkan versi terbaru dari sistem operasi yang digunakan. Pustakawan data
dapat berperan penting dalam tugas ini.
Chapter 10 Auditing IT Governance Controls
b. Aplikasi backup : DRP harus mencakup prosedur untuk membuat salinan dari aplikasi
penting yang selalu diperbarui. Ini melibatkan pembelian salinan cadangan dari
upgrade perangkat lunak terbaru jika aplikasi komersial.
c. Backup file data : Backup database berkualitas terbaik adalah situs mirror jarak jauh,
yang menyediakan data lengkap yang selalu diperbarui. Tidak semua organisasi
mengadopsi pendekatan ini, tetapi paling tidak, file database harus disalin secara rutin
ke media berkapasitas tinggi dan berkecepatan tinggi untuk penyimpanan luar lokasi.
d. Dokumentasi cadangan : Dokumentasi sistem untuk aplikasi penting harus
dicadangkan dan disimpan di luar lokasi bersama dengan aplikasinya. Alat
dokumentasi bantu komputer (CASE/ Computer Aided Software En- gineering) dapat
membantu dalam proses pencadangan dokumen ini.
e. Cadangan persediaan dan dokumen sumber : Organisasi harus mencadangkan
persediaan dan dokumen sumber yang diperlukan untuk pemrosesan transaksi
penting. Ini termasuk item seperti cek saham, faktur, pesanan pembelian, dan
formulir lainnya yang mungkin tidak tersedia secara segera setelah bencana.
f. Menguji DRP : Tes DRP penting dan harus dilakukan secara berkala. Ini membantu
mengukur kesiapan personel dan mengidentifikasi kelalaian atau masalah dalam
pelaksanaan rencana. Pengujian ini juga melibatkan pihak yang terlibat dalam DRP
untuk melihat sejauh mana DRP dapat bekerja dalam situasi bencana.
1. Risiko Bawaan untuk Outsourcing TI: Outsourcing TI dapat memiliki risiko yang signifikan,
termasuk:
a. Kegagalan Implementasi: Kinerja perusahaan klien terkait dengan kinerja vendor, dan
kesulitan terjadi ketika tergantung pada vendor.
b. Vendor Eksploitasi: Vendor mengelola aset khusus dan unik yang penting bagi
perusahaan, dan ini bisa menjadi masalah.
c. Biaya Lebih Besar dari Manfaat: Dalam beberapa kasus, biaya outsourcing TI melebihi
manfaat yang diperoleh.
d. Keamanan berkurang: Outsourcing TI ke luar negeri dapat menimbulkan masalah
keamanan dan perlindungan data pribadi yang sensitif.
e. Kehilangan Keuntungan Strategis: Outsourcing TI dapat mengganggu keselarasan
antara strategi TI dan strategi bisnis perusahaan.
2. Implikasi Audit terhadap Sourcing TI: Standar audit, seperti Statement on Auditing
Standard No. 70 (SAS 70), digunakan untuk mendapatkan pengetahuan yang mengontrol
vendor pihak ketiga dan mencegah kesalahan yang dapat memengaruhi laporan keuangan
klien. Hal ini menghalangi auditor perusahaan klien untuk mengaudit pengendalian
internal vendor tersebut secara terpisah.