com
BAB 2
Mengaudit Pengendalian Tata Kelola TI
TUJUAN PEMBELAJARAN
Setelah mempelajari bab ini, Anda harus:
• Memahami risiko fungsi-fungsi yang tidak kompatibel dan bagaimana menyusun fungsi TI.
• Memahami pengendalian dan tindakan pencegahan yang diperlukan untuk menjamin
keamanan fasilitas komputer organisasi.
• Memahami elemen-elemen kunci dari rencana pemulihan bencana.
T bab ini menyajikan risiko, pengendalian, dan pengujian pengendalian terkait tata
kelola TI. Bab ini dibuka dengan mendefinisikan tata kelola TI dan elemen tata kelola
TI yang memiliki implikasi pengendalian internal dan pelaporan keuangan. Pertama,
menyajikan paparan yang dapat timbul dari penataan fungsi TI yang tidak tepat.
Selanjutnya, bab ini mengulas ancaman dan pengendalian pusat komputer, termasuk
melindunginya dari kerusakan dan kehancuran akibat bencana alam, kebakaran, suhu,
dan kelembapan. Bab ini kemudian menyajikan elemen-elemen kunci dari rencana
pemulihan bencana, termasuk menyediakan cadangan di lokasi kedua, mengidentifikasi
aplikasi-aplikasi penting, melakukan prosedur pencadangan dan penyimpanan di luar
lokasi, membentuk tim pemulihan bencana, dan menguji rencana tersebut. Bagian
terakhir dari bab ini menyajikan isu-isu mengenai tren yang berkembang terhadap
outsourcing TI. Logika di balik keputusan manajemen untuk melakukan outsourcing
dieksplorasi. Bab ini juga mengungkapkan manfaat yang diharapkan dan risiko yang
terkait dengan outsourcing. Bab ini diakhiri dengan pembahasan masalah audit di
lingkungan outsourcing dan peran laporan SAS 70.
35
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
36 Bab 2:Mengaudit Pengendalian Tata Kelola TI
Di bawahpemrosesan data terpusatmodel, semua pemrosesan data dilakukan oleh satu atau lebih
komputer besar yang ditempatkan di situs pusat yang melayani pengguna di seluruh dunia
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Struktur Fungsi Teknologi Informasi 37
organisasi. Gambar 2.1 mengilustrasikan pendekatan ini, di mana aktivitas layanan TI dikonsolidasikan dan
dikelola sebagai sumber daya organisasi bersama. Pengguna akhir bersaing untuk mendapatkan sumber
daya ini berdasarkan kebutuhan. Fungsi layanan TI biasanya diperlakukan sebagai pusat biaya yang biaya
operasionalnya dibebankan kembali kepada pengguna akhir. Gambar 2.2 mengilustrasikan struktur layanan
TI terpusat dan menunjukkan area layanan utamanya: administrasi basis data,
GAMBAR 2.1
Terpusat Pemasaran
Data
Pengolahan
Mendekati Keuangan
DIA
Jasa Produksi
Distribusi
Data
Akuntansi
Informasi
Penagihan Biaya
GAMBAR 2.2
Presiden
Organisasi
Bagan a
Terpusat
Informasi
Teknologi
Fungsi
Wakil Presiden Wakil Presiden Wakil Presiden Wakil Presiden Wakil Presiden
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
38 Bab 2:Mengaudit Pengendalian Tata Kelola TI
pemrosesan data, serta pengembangan dan pemeliharaan sistem. Penjelasan mengenai fungsi utama masing-masing
bidang tersebut adalah sebagai berikut.
Pengolahan data
Kelompok pemrosesan data mengelola sumber daya komputer yang digunakan untuk
melakukan pemrosesan transaksi sehari-hari. Ini terdiri dari fungsi organisasi berikut:
konversi data,operasi komputer, dan ituperpustakaan data.
Konversi data.Fungsi konversi data mentranskripsikan data transaksi dari dokumen sumber
hardcopy ke dalam input komputer. Misalnya, konversi data dapat melibatkan penekanan tombol
pesanan penjualan ke dalam aplikasi pesanan penjualan dalam sistem modern, atau menyalin data ke
dalam media magnetik (tape atau disk) yang sesuai untuk pemrosesan komputer dalam sistem tipe
lama.
Profesional sistemtermasuk analis sistem, perancang basis data, dan pemrogram yang
merancang dan membangun sistem. Profesional sistem mengumpulkan fakta tentang
masalah pengguna, menganalisis fakta, dan merumuskan solusi. Produk dari upaya
mereka adalah sistem informasi baru.
Pengguna akhiradalah mereka yang menjadi tujuan sistem ini dibangun. Mereka adalah manajer yang
menerima laporan dari sistem dan personel operasi yang bekerja langsung dengan sistem sebagai
bagian dari tanggung jawab sehari-hari mereka.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Struktur Fungsi Teknologi Informasi 39
Pemangku kepentinganadalah individu di dalam atau di luar perusahaan yang mempunyai kepentingan
dalam sistem, namun bukan pengguna akhir. Mereka termasuk akuntan, auditor internal, auditor
eksternal, dan pihak lain yang mengawasi pengembangan sistem.
Setelah sistem baru dirancang dan diimplementasikan, kelompok pemeliharaan sistem mengambil
tanggung jawab untuk menjaga sistem tetap terkini sesuai dengan kebutuhan pengguna. Syarat
pemeliharaanmengacu pada perubahan logika program untuk mengakomodasi perubahan kebutuhan
pengguna dari waktu ke waktu. Selama masa pakai sistem (seringkali beberapa tahun), sebanyak 80 atau 90
persen dari total biaya mungkin dikeluarkan melalui aktivitas pemeliharaan.
Bab sebelumnya menekankan pentingnya memisahkan tugas-tugas yang tidak kompatibel dalam
aktivitas manual. Secara khusus, tugas operasional harus dipisahkan menjadi:
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
40 Bab 2:Mengaudit Pengendalian Tata Kelola TI
GAMBAR 2.3
Sistem
Alternatif
Perkembangan
Organisasi
Sistem
Perkembangan
Sistem Aplikasi
Analisis Pemrograman
bagaimana fungsi DBA secara organisasi independen terhadap operasi, pengembangan sistem,
dan pemeliharaan.
Penipuan Program.Ketika pemrogram asli suatu sistem juga diberi tanggung jawab
pemeliharaan, potensi penipuan akan meningkat. Penipuan program melibatkan
perubahan tanpa izin pada modul program dengan tujuan melakukan tindakan ilegal.
Pemrogram asli mungkin telah berhasil menyembunyikan kode palsu di antara ribuan
baris kode yang sah dan ratusan modul yang membentuk suatu sistem. Namun, agar
penipuan berhasil, pemrogram harus mampu mengendalikan situasi melalui akses
eksklusif dan tidak terbatas ke program aplikasi. Pemrogram perlu melindungi kode palsu
agar tidak terdeteksi secara tidak sengaja oleh pemrogram lain yang melakukan
pemeliharaan atau oleh auditor yang menguji kontrol aplikasi. Oleh karena itu, tanggung
jawab penuh atas pemeliharaan merupakan elemen penting dalam
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Struktur Fungsi Teknologi Informasi 41
skema programmer duplikat. Melalui otoritas pemeliharaan ini, pemrogram dapat dengan bebas
mengakses sistem, menonaktifkan kode palsu selama audit dan kemudian memulihkan kode tersebut
ketika keadaan aman. Penipuan semacam ini bisa berlanjut selama bertahun-tahun tanpa terdeteksi.
Model Terdistribusi
Selama bertahun-tahun, skala ekonomi lebih menyukai komputer yang besar dan kuat
serta pemrosesan terpusat. Namun saat ini, sistem yang kecil, kuat, dan murah telah
mengubah gambaran ini secara dramatis. Alternatif model terpusat adalah konsep
pemrosesan data terdistribusi (DDP). Topik DDP cukup luas, menyentuh topik-topik
terkait seperti komputasi pengguna akhir, perangkat lunak komersial, jaringan, dan
otomatisasi kantor. Sederhananya, DDP melibatkan reorganisasi fungsi TI pusat menjadi
unit TI kecil yang ditempatkan di bawah kendali pengguna akhir. Unit TI dapat
didistribusikan menurut fungsi bisnis, lokasi geografis, atau keduanya. Semua atau salah
satu fungsi TI yang ditunjukkan pada Gambar 2.2 dapat didistribusikan. Tingkat
distribusinya akan bervariasi tergantung pada filosofi dan tujuan manajemen organisasi.
Gambar 2.4 menyajikan dua pendekatan DDP alternatif.
Alternatif A sebenarnya merupakan varian dari model terpusat; perbedaannya adalah
terminal (atau mikrokomputer) didistribusikan ke pengguna akhir untuk menangani input dan
output. Hal ini menghilangkan kebutuhan akan grup konversi data terpusat, karena pengguna
sekarang melakukan tugas ini. Namun dalam model ini, pengembangan sistem, pengoperasian
komputer, dan administrasi basis data tetap terpusat.
Alternatif B merupakan perubahan yang signifikan dari model terpusat. Alternatif ini
mendistribusikan seluruh layanan komputer kepada pengguna akhir, di mana mereka
beroperasi sebagai unit yang berdiri sendiri. Hasilnya adalah penghapusan fungsi pusat TI dari
struktur organisasi. Perhatikan interkoneksi antar unit yang terdistribusi pada Gambar 2.4.
Koneksi ini mewakili ajaringanpengaturan yang memungkinkan komunikasi dan transfer data
antar unit. Gambar 2.5 menunjukkan kemungkinan struktur organisasi yang mencerminkan
distribusi semua tugas pemrosesan data tradisional ke area pengguna akhir.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
42 Bab 2:Mengaudit Pengendalian Tata Kelola TI
GAMBAR 2.4
Dua Didistribusikan
Akuntansi Pemasaran
Data Fungsi Terpusat Fungsi
Pengolahan Komputer
Pendekatan Jasa
Basis data
Sistem
Perkembangan
Pengolahan
Keuangan Produksi
Fungsi Fungsi
Akuntansi Pemasaran
Fungsi Fungsi
Keuangan
Produksi
Fungsi
Fungsi
B
Penggunaan Sumber Daya yang Tidak Efisien.DDP dapat memaparkan organisasi pada tiga jenis risiko
yang terkait dengan penggunaan sumber daya organisasi yang tidak efisien. Hal ini diuraikan di bawah ini.
Pertama, risiko kesalahan pengelolaan sumber daya TI di seluruh organisasi oleh pengguna akhir.
Beberapa orang berpendapat bahwa ketika sumber daya TI di seluruh organisasi melebihi jumlah ambang
batas, misalnya 5 persen dari total anggaran operasi, tata kelola TI yang efektif memerlukan pengelolaan dan
pemantauan terpusat terhadap sumber daya tersebut. Bagi banyak organisasi, layanan TI termasuk operasi
komputer, pemrograman, konversi data, dan manajemen basis data memenuhi atau melampaui ambang
batas ini.
Kedua, DDP dapat meningkatkan risiko inefisiensi operasional karena tugas-tugas berlebihan yang
dilakukan dalam komite pengguna akhir. Inisiatif pengembangan sistem otonom yang didistribusikan ke
seluruh perusahaan dapat menghasilkan penemuan kembali di setiap area pengguna
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Struktur Fungsi Teknologi Informasi 43
GAMBAR 2.5
Presiden
Organisasi
Bagan untuk a
Didistribusikan
Data
Pengolahan
Lingkungan
Wakil Presiden Wakil Presiden Wakil Presiden Wakil Presiden
Pengelola Pengelola
Bendahara Pengendali
Tanaman X Tanaman Y
Perusahaan
DIA
Jasa
Pengelola
DIA
Fungsi
roda daripada mengambil keuntungan dari pekerjaan orang lain. Misalnya, program aplikasi yang dibuat oleh
satu pengguna, yang dapat digunakan dengan sedikit atau tanpa perubahan oleh pengguna lain, akan
didesain ulang dari awal, bukan dibagikan. Demikian pula, data yang umum bagi banyak pengguna dapat
dibuat ulang untuk masing-masing pengguna, sehingga mengakibatkan tingkat redundansi data yang tinggi.
Situasi ini berimplikasi pada keakuratan dan konsistensi data.
Ketiga, lingkungan DDP menimbulkan risiko ketidakcocokan perangkat keras dan perangkat lunak di
antara fungsi pengguna akhir. Mendistribusikan tanggung jawab pembelian TI kepada pengguna akhir dapat
mengakibatkan keputusan yang tidak terkoordinasi dan disusun dengan buruk. Misalnya, pengambil
keputusan di unit organisasi berbeda yang bekerja secara independen mungkin memilih sistem operasi,
platform teknologi, spreadsheet, pengolah kata, dan paket database yang berbeda dan tidak kompatibel.
Ketidakcocokan perangkat keras dan perangkat lunak dapat menurunkan dan mengganggu konektivitas
antar unit, menyebabkan hilangnya transaksi dan kemungkinan rusaknya jejak audit.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
44 Bab 2:Mengaudit Pengendalian Tata Kelola TI
dan akun-akun buku besar yang mencatat peristiwa-peristiwa tersebut, dan pada akhirnya menghasilkan
laporan keuangan itu sendiri. Jejak audit sangat penting untuk layanan pengesahan auditor.
Dalam sistem DDP, jejak audit terdiri dari sekumpulan file transaksi digital dan file induk (Bab 6
membahas teknik pemrosesan transaksi) yang sebagian atau seluruhnya berada di komputer
pengguna akhir. Jika pengguna akhir secara tidak sengaja menghapus salah satu file, jejak audit dapat
hancur dan tidak dapat dipulihkan. Demikian pula, jika pengguna akhir secara tidak sengaja
memasukkan kesalahan transaksi ke dalam file jejak audit, file tersebut dapat rusak.
Pemisahan Tugas yang Tidak Memadai.Mencapai pemisahan tugas yang memadai mungkin
tidak dapat dilakukan di beberapa lingkungan terdistribusi. Distribusi layanan TI kepada pengguna
dapat mengakibatkan terciptanya unit-unit kecil yang independen yang tidak memungkinkan
pemisahan fungsi-fungsi yang tidak kompatibel. Misalnya, dalam satu unit, orang yang sama dapat
menulis program aplikasi, melakukan pemeliharaan program, memasukkan data transaksi ke dalam
komputer, dan mengoperasikan peralatan komputer. Situasi seperti ini merupakan pelanggaran
mendasar terhadap pengendalian internal.
Kurangnya Standar.Karena pembagian tanggung jawab dalam lingkungan DDP, standar untuk
mengembangkan dan mendokumentasikan sistem, memilih bahasa pemrograman, memperoleh
perangkat keras dan perangkat lunak, dan mengevaluasi kinerja mungkin diterapkan secara tidak
merata atau bahkan tidak ada sama sekali. Penentang DDP berpendapat bahwa risiko yang terkait
dengan desain dan pengoperasian sistem DDP dapat ditoleransi hanya jika standar tersebut
diterapkan secara konsisten.
Kelebihan DDP
Bagian ini membahas potensi keuntungan DDP, termasuk pengurangan biaya, peningkatan pengendalian
biaya, peningkatan kepuasan pengguna, dan pencadangan.
Peningkatan Tanggung Jawab Pengendalian Biaya.Manajer pengguna akhir memikul tanggung jawab
atas keberhasilan finansial operasi mereka. Tanggung jawab ini mengharuskan mereka diberdayakan secara
tepat dengan wewenang untuk mengambil keputusan mengenai sumber daya yang mempengaruhi
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Struktur Fungsi Teknologi Informasi 45
kesuksesan mereka secara keseluruhan. Ketika manajer dilarang mengambil keputusan yang diperlukan untuk
mencapai tujuan mereka, kinerja mereka dapat terpengaruh secara negatif. Pengelolaan yang kurang agresif dan
kurang efektif mungkin akan berkembang.
Para pendukung DDP berpendapat bahwa manfaat dari perbaikan sikap pengelolaan lebih
besar daripada biaya tambahan yang timbul dari pendistribusian sumber daya ini. Mereka
berpendapat bahwa jika kemampuan TI memang penting bagi keberhasilan operasi bisnis,
maka manajemen harus diberi kendali atas sumber daya tersebut. Argumen ini berlawanan
dengan diskusi sebelumnya yang mendukung sentralisasi sumber daya organisasi.
Peningkatan Kepuasan Pengguna.Mungkin manfaat DDP yang paling sering disebutkan adalah
peningkatan kepuasan pengguna. Para pendukung DDP menyatakan bahwa pendistribusian sistem kepada
pengguna akhir memperbaiki tiga bidang kebutuhan yang seringkali tidak terpenuhi dalam model terpusat:
(1) seperti yang dinyatakan sebelumnya, pengguna ingin mengendalikan sumber daya yang mempengaruhi
profitabilitas mereka; (2) pengguna menginginkan profesional sistem (analis, pemrogram, dan operator
komputer) responsif terhadap situasi spesifik mereka; dan (3) pengguna ingin lebih aktif terlibat dalam
pengembangan dan implementasi sistem mereka sendiri.
Fleksibilitas Cadangan.Argumen terakhir yang mendukung DDP adalah kemampuan untuk membuat cadangan
fasilitas komputasi untuk melindungi dari potensi bencana seperti kebakaran, banjir, sabotase, dan gempa bumi.
Satu-satunya cara untuk membuat cadangan situs komputer pusat terhadap bencana tersebut adalah dengan
menyediakan fasilitas komputer kedua. Nanti di bab ini kita akan membahas perencanaan pemulihan bencana untuk
kemungkinan-kemungkinan seperti itu. Model terdistribusi menawarkan fleksibilitas organisasi untuk menyediakan
cadangan. Setiap unit TI yang terpisah secara geografis dapat dirancang dengan kapasitas berlebih. Jika suatu
bencana menghancurkan satu situs, situs lain dapat menggunakan kelebihan kapasitasnya untuk memproses
transaksi di situs yang hancur tersebut. Tentu saja, pengaturan ini memerlukan koordinasi yang erat antara manajer
pengguna akhir untuk memastikan bahwa mereka tidak mengimplementasikan perangkat keras dan perangkat lunak
yang tidak kompatibel.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
46 Bab 2:Mengaudit Pengendalian Tata Kelola TI
Pengujian Pusat Perangkat Lunak dan Perangkat Keras Komersial.Sebuah perusahaan terpusat
Kelompok TI lebih siap dibandingkan pengguna akhir untuk mengevaluasi keunggulan produk perangkat
lunak dan perangkat keras komersial pesaing yang sedang dipertimbangkan. Kelompok sentral yang secara
teknis cerdik seperti ini dapat mengevaluasi fitur sistem, kontrol, dan kompatibilitas dengan standar industri
dan organisasi. Hasil pengujian kemudian dapat didistribusikan ke area pengguna sebagai standar untuk
memandu keputusan akuisisi. Hal ini memungkinkan organisasi untuk secara efektif memusatkan akuisisi,
pengujian, dan implementasi perangkat lunak dan perangkat keras dan menghindari banyak masalah yang
dibahas sebelumnya.
Layanan Pengguna.Fitur berharga dari grup korporat adalah fungsi layanan penggunanya.
Aktivitas ini memberikan bantuan teknis kepada pengguna selama instalasi perangkat lunak
baru dan dalam pemecahan masalah perangkat keras dan perangkat lunak. Pembuatan papan
buletin elektronik untuk pengguna adalah cara terbaik untuk mendistribusikan informasi
tentang masalah umum dan memungkinkan berbagi program yang dikembangkan pengguna
dengan orang lain dalam organisasi. Selain itu, ruang obrolan dapat dibentuk untuk
menyediakan diskusi berulir, pertanyaan umum (FAQ), dan dukungan intranet. Fungsi TI
perusahaan juga dapat menyediakan layanan bantuan (help desk), di mana pengguna dapat
menelepon dan mendapatkan respons cepat terhadap pertanyaan dan masalah. Di banyak
organisasi, staf layanan pengguna mengajarkan kursus teknis untuk pengguna akhir serta
personel layanan komputer.
Badan Penetapan Standar.Lingkungan pengendalian yang relatif buruk yang disebabkan oleh model
DDP dapat diperbaiki dengan menetapkan beberapa pedoman pusat. Kelompok perusahaan dapat
berkontribusi terhadap tujuan ini dengan menetapkan dan mendistribusikan standar yang sesuai untuk
pengembangan sistem, pemrograman, dan dokumentasi ke area pengguna.
Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI sedemikian rupa sehingga
individu-individu di area yang tidak kompatibel dipisahkan sesuai dengan tingkat potensi risiko
dan dengan cara yang mendukung lingkungan kerja. Ini adalah lingkungan di mana hubungan
formal, bukan hubungan biasa, harus ada antara tugas-tugas yang tidak kompatibel.
Prosedur Audit
Prosedur audit berikut akan diterapkan pada organisasi dengan fungsi TI
terpusat:
• Tinjau dokumentasi yang relevan, termasuk bagan organisasi saat ini, pernyataan misi, dan
uraian tugas untuk fungsi-fungsi utama, untuk menentukan apakah individu atau
kelompok menjalankan fungsi yang tidak sesuai.
• Tinjau dokumentasi sistem dan catatan pemeliharaan untuk contoh aplikasi. Verifikasi
bahwa pemrogram pemeliharaan yang ditugaskan pada proyek tertentu juga bukan
pemrogram desain asli.
• Verifikasi bahwa operator komputer tidak memiliki akses ke rincian operasional logika
internal sistem. Dokumentasi sistem, seperti diagram alur sistem, diagram alur
logika, dan daftar kode program, tidak boleh menjadi bagian dari kumpulan
dokumentasi operasi.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Pusat Komputer 47
• Tinjau bagan organisasi saat ini, pernyataan misi, dan deskripsi pekerjaan untuk fungsi-fungsi
utama guna menentukan apakah individu atau kelompok melakukan tugas yang tidak sesuai.
• Verifikasi bahwa kebijakan dan standar perusahaan untuk desain sistem, dokumentasi, dan akuisisi
perangkat keras dan perangkat lunak dipublikasikan dan diberikan kepada unit TI yang didistribusikan.
PUSAT KOMPUTER
Akuntan secara rutin memeriksa lingkungan fisik pusat komputer sebagai bagian dari audit
tahunan mereka. Tujuan dari bagian ini adalah untuk menyajikan risiko pusat komputer dan
pengendalian yang membantu mengurangi risiko dan menciptakan lingkungan yang aman.
Berikut ini adalah area potensi paparan yang dapat berdampak pada kualitas informasi, catatan
akuntansi, pemrosesan transaksi, dan efektivitas pengendalian internal konvensional lainnya.
Lokasi Fisik
Lokasi fisik pusat komputer secara langsung mempengaruhi risiko kehancuran akibat bencana
alam atau bencana akibat ulah manusia. Sebisa mungkin, pusat komputer harus jauh dari
bahaya yang disebabkan oleh manusia dan alam, seperti pabrik pengolahan, saluran gas dan
air, bandara, daerah dengan tingkat kriminalitas tinggi, dataran banjir, dan patahan geologi.
Pusatnya harus jauh dari lalu lintas normal, seperti lantai atas sebuah gedung atau di gedung
tersendiri yang terpisah. Menempatkan komputer di ruang bawah tanah meningkatkan risiko
banjir.
Konstruksi
Idealnya, pusat komputer harus berlokasi di gedung satu lantai dengan konstruksi kokoh
dengan akses terkendali (dibahas selanjutnya). Jalur utilitas (listrik dan telepon) harus berada di
bawah tanah. Jendela gedung tidak boleh terbuka dan harus ada sistem penyaringan udara
yang mampu mengeluarkan serbuk sari, debu, dan tungau debu.
Mengakses
Akses ke pusat komputer harus dibatasi hanya untuk operator dan karyawan lain yang bekerja
di sana. Pengendalian fisik, seperti pintu terkunci, harus diterapkan untuk membatasi akses ke
pusat. Akses harus dikontrol dengan keypad atau kartu gesek, meskipun api
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
48 Bab 2:Mengaudit Pengendalian Tata Kelola TI
pintu keluar dengan alarm diperlukan. Untuk mencapai tingkat keamanan yang lebih tinggi, akses
harus dipantau oleh kamera sirkuit tertutup dan sistem perekaman video. Pusat komputer juga harus
menggunakan log masuk untuk pemrogram dan analis yang memerlukan akses untuk memperbaiki
kesalahan program. Pusat komputer harus menyimpan catatan akurat tentang semua lalu lintas
tersebut.
AC
Komputer berfungsi paling baik di lingkungan ber-AC, dan menyediakan AC yang memadai sering kali
merupakan persyaratan garansi vendor. Komputer beroperasi paling baik pada kisaran suhu 70
hingga 75 derajat Fahrenheit dan kelembapan relatif 50 persen. Kesalahan logika dapat terjadi pada
perangkat keras komputer ketika suhu menyimpang secara signifikan dari kisaran optimal ini. Selain
itu, risiko kerusakan sirkuit akibat listrik statis meningkat ketika kelembapan turun. Sebaliknya,
kelembapan yang tinggi dapat menyebabkan tumbuhnya jamur dan produk kertas (seperti dokumen
sumber) membengkak dan membuat peralatan macet.
Pemadaman Kebakaran
Kebakaran adalah ancaman paling serius terhadap peralatan komputer perusahaan. Banyak
perusahaan yang mengalami kebakaran pusat komputer gulung tikar karena hilangnya catatan
penting, seperti piutang. Penerapan sistem pemadaman kebakaran yang efektif memerlukan
konsultasi dengan para ahli. Namun, beberapa fitur utama dari sistem tersebut adalah sebagai
berikut:
1.Alarm otomatis dan manual sebaiknya ditempatkan di lokasi strategis di sekitar instalasi.
Alarm ini harus dihubungkan ke stasiun pemadam kebakaran yang memiliki staf
tetap.
2.Harus ada sistem pemadam kebakaran otomatis yang menyalurkan jenis bahan pemadam kebakaran yang
sesuai dengan lokasinya.2Misalnya, menyemprotkan air dan bahan kimia tertentu ke komputer dapat
menyebabkan kerusakan yang sama besarnya dengan kebakaran.
3.Alat pemadam kebakaran manual sebaiknya ditempatkan di lokasi yang strategis.
4.Bangunan tersebut harus memiliki konstruksi yang kokoh agar tahan terhadap kerusakan akibat air yang disebabkan oleh
peralatan pemadam kebakaran.
5.Pintu keluar kebakaran harus ditandai dengan jelas dan diberi penerangan selama terjadi kebakaran.
Toleransi kesalahan
Toleransi kesalahanadalah kemampuan sistem untuk melanjutkan operasi ketika bagian dari sistem
gagal karena kegagalan perangkat keras, kesalahan program aplikasi, atau kesalahan operator.
Menerapkan kontrol toleransi kesalahan memastikan bahwa tidak ada satu pun titik potensi
kegagalan sistem. Kegagalan total hanya dapat terjadi jika beberapa komponen gagal. Dua contoh
teknologi toleransi kesalahan dibahas selanjutnya.
1. Array disk independen yang berlebihan (RAID). Raid melibatkan penggunaan disk paralel
yang berisi elemen data dan aplikasi yang berlebihan. Jika salah satu disk gagal, data yang
hilang secara otomatis direkonstruksi dari komponen berlebihan yang disimpan di disk
lain.
2 Beberapa gas pemadam kebakaran, seperti halon, telah dilarang oleh pemerintah federal. Pastikan gas apa pun yang
digunakan tidak melanggar hukum federal.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Pusat Komputer 49
2. Catu daya yang tidak pernah terputus.Daya listrik yang disediakan secara komersial menimbulkan
beberapa masalah yang dapat mengganggu pengoperasian pusat komputer, termasuk kegagalan daya
total, pemadaman listrik, fluktuasi daya, dan variasi frekuensi. Peralatan yang digunakan untuk
mengendalikan permasalahan tersebut antara lain pengatur tegangan, pelindung lonjakan arus,
genset, dan baterai cadangan. Jika terjadi pemadaman listrik, perangkat ini menyediakan daya
cadangan selama jangka waktu yang wajar untuk memungkinkan pemulihan layanan listrik komersial.
Jika terjadi pemadaman listrik yang berkepanjangan, daya cadangan akan memungkinkan sistem
komputer untuk mati secara terkendali dan mencegah kehilangan data serta kerusakan yang dapat
diakibatkan oleh kerusakan sistem yang tidak terkendali.
Tujuan Audit
Tujuan auditor adalah untuk mengevaluasi pengendalian yang mengatur keamanan pusat komputer. Secara
khusus, auditor harus memverifikasi bahwa:
Prosedur Audit
Berikut ini adalah pengujian kontrol keamanan fisik.
Tes Kontrol Akses.Auditor harus menetapkan bahwa akses rutin ke pusat komputer dibatasi
hanya untuk karyawan yang berwenang. Detail tentang akses pengunjung (oleh programmer
dan lainnya), seperti waktu kedatangan dan keberangkatan, tujuan, dan frekuensi akses, dapat
diperoleh dengan meninjau log akses. Untuk menetapkan kebenaran dokumen ini, auditor
dapat secara diam-diam mengamati proses yang mengizinkan akses, atau meninjau rekaman
video dari kamera pada titik akses, jika rekaman video tersebut digunakan.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
50 Bab 2:Mengaudit Pengendalian Tata Kelola TI
Tes untuk Perlindungan Asuransi.Auditor harus setiap tahun meninjau cakupan asuransi
organisasi atas perangkat keras komputer, perangkat lunak, dan fasilitas fisiknya. Auditor harus
memverifikasi bahwa semua akuisisi baru tercantum dalam kebijakan dan bahwa peralatan dan
perangkat lunak yang usang telah dihapus. Polis asuransi harus mencerminkan kebutuhan
manajemen dalam hal cakupan pertanggungan. Misalnya, perusahaan mungkin ingin
mengasuransikan dirinya sebagian dan memerlukan cakupan minimum. Di sisi lain, perusahaan
mungkin mengupayakan cakupan biaya penggantian yang lengkap.
GAMBAR 2.6
Api
Jenis dari
Bencana
Alami Banjir
Angin topan
Sabotase
Kesalahan
Kekuatan
Pemadaman listrik
Menyetir
Kegagalan sistem
Kegagalan
HAI/S
Kecelakaan/Kunci
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Perencanaan Pemulihan Bencana 51
bencana alam, bencana akibat perbuatan manusia, dan kegagalan sistem. Bencana alam seperti angin topan,
banjir besar, dan gempa bumi adalah bencana yang paling berpotensi menimbulkan dampak buruk dari
sudut pandang masyarakat karena bencana tersebut dapat berdampak pada banyak organisasi di wilayah
geografis yang terkena dampak secara bersamaan. Bencana yang disebabkan oleh manusia, seperti sabotase
atau kesalahan, dapat menimbulkan dampak yang sama merusaknya terhadap suatu organisasi, namun
cenderung terbatas cakupan dampaknya. Kegagalan sistem seperti pemadaman listrik atau kegagalan hard
drive umumnya tidak terlalu parah, namun paling mungkin terjadi.
Semua bencana ini dapat menghilangkan fasilitas pemrosesan data suatu organisasi, menghentikan
fungsi bisnis yang dilakukan atau dibantu oleh komputer, dan mengganggu kemampuan organisasi untuk
menghasilkan produk atau layanannya. Dengan kata lain, perusahaan kehilangan kemampuannya dalam
menjalankan bisnis. Semakin besar ketergantungan suatu organisasi terhadap teknologi, semakin rentan
organisasi tersebut terhadap risiko-risiko tersebut. Untuk bisnis seperti Amazon.com atau eBay, hilangnya
kemampuan pemrosesan komputer hanya untuk beberapa jam saja bisa menjadi bencana besar.
Bencana-bencana seperti yang diuraikan di atas biasanya tidak dapat dicegah atau dihindari. Ketika perusahaan
yang terkena dampak terkena dampaknya, kelangsungan hidup perusahaan korban akan ditentukan oleh seberapa
baik dan cepat perusahaan tersebut bereaksi. Oleh karena itu, dengan perencanaan kontinjensi yang cermat, dampak
bencana sepenuhnya dapat diserap dan organisasi dapat pulih kembali. Untuk bertahan dari kejadian seperti itu,
perusahaan mengembangkan prosedur pemulihan dan memformalkannya menjadi arencana pemulihan bencana
(DRP). Ini adalah pernyataan komprehensif mengenai semua tindakan yang harus diambil sebelum, selama, dan
setelah bencana apa pun. Meskipun rincian setiap rencana bersifat unik sesuai dengan kebutuhan organisasi, semua
rencana yang dapat diterapkan memiliki empat ciri umum:
Sisa dari bagian ini dikhususkan untuk diskusi tentang elemen penting dari DRP yang
efektif.
Bagi sebagian besar organisasi, kelangsungan hidup jangka pendek memerlukan pemulihan fungsi-
fungsi yang menghasilkan arus kas yang cukup untuk memenuhi kewajiban jangka pendek. Misalnya,
asumsikan bahwa fungsi-fungsi berikut mempengaruhi posisi arus kas suatu perusahaan tertentu:
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
52 Bab 2:Mengaudit Pengendalian Tata Kelola TI
Aplikasi komputer yang mendukung fungsi bisnis ini secara langsung sangatlah penting. Oleh karena
itu, penerapan-penerapan ini harus diidentifikasi dan diprioritaskan dalam rencana restorasi.
Prioritas aplikasi dapat berubah seiring berjalannya waktu, dan keputusan ini harus dikaji ulang
secara berkala. Sistem terus-menerus direvisi dan diperluas untuk mencerminkan perubahan
kebutuhan pengguna. Demikian pula, DRP harus diperbarui untuk mencerminkan perkembangan
baru dan mengidentifikasi aplikasi penting. Prioritas terkini sangatlah penting karena mempengaruhi
aspek lain dari rencana strategis. Misalnya, perubahan prioritas aplikasi dapat menyebabkan
perubahan sifat dan cakupan persyaratan pencadangan situs kedua dan prosedur pencadangan
spesifik, yang akan dibahas nanti.
Tugas mengidentifikasi item penting dan memprioritaskan aplikasi memerlukan partisipasi
aktif dari departemen pengguna, akuntan, dan auditor. Seringkali, tugas ini secara keliru
dipandang sebagai masalah teknis komputer dan oleh karena itu didelegasikan kepada
profesional TI. Meskipun bantuan teknis dari profesional TI diperlukan, tugas ini merupakan
keputusan bisnis dan harus dilakukan oleh mereka yang paling siap untuk memahami masalah
bisnis.
Pemulihan dari bencana bergantung pada tindakan perbaikan yang tepat waktu. Keterlambatan dalam
melakukan tugas-tugas penting akan memperpanjang masa pemulihan dan mengurangi prospek
keberhasilan pemulihan. Untuk menghindari kelalaian serius atau duplikasi upaya selama implementasi
rencana kontinjensi, tanggung jawab tugas harus didefinisikan dengan jelas dan dikomunikasikan kepada
personel yang terlibat.
Gambar 2.7 menyajikan bagan organisasi yang menggambarkan komposisi tim pemulihan
bencana. Anggota tim harus ahli di bidangnya dan telah memberikan tugas. Setelah terjadi bencana,
anggota tim akan mendelegasikan subtugas kepada bawahannya. Perlu dicatat bahwa permasalahan
pengendalian tradisional tidak berlaku dalam situasi ini. Lingkungan yang diciptakan oleh bencana
mungkin mengharuskan adanya pelanggaran prinsip-prinsip pengendalian seperti pemisahan tugas,
pengendalian akses, dan pengawasan.
Unsur penting dalam DRP adalah menyediakan fasilitas pemrosesan data duplikat setelah terjadinya
bencana. Di antara opsi yang tersedia, yang paling umum adalahperjanjian saling membantu;
cangkang kosongatausitus dingin;pusat operasi pemulihanatausitus panas; dan cadangan yang
disediakan secara internal. Masing-masing hal ini dibahas pada bagian berikut.
Pakta Gotong Royong.Pakta bantuan timbal balik adalah kesepakatan antara dua organisasi atau
lebih (dengan fasilitas komputer yang kompatibel) untuk saling membantu dalam kebutuhan
pemrosesan data jika terjadi bencana. Dalam kejadian seperti itu, perusahaan tuan rumah harus
mengganggu jadwal pemrosesannya untuk memproses transaksi penting perusahaan yang terkena
bencana. Akibatnya, perusahaan tuan rumah sendiri harus beralih ke mode operasi darurat dan
mengurangi pemrosesan aplikasi dengan prioritas lebih rendah untuk mengakomodasi peningkatan
permintaan sumber daya TI yang tiba-tiba.
Popularitas perjanjian timbal balik ini didorong oleh faktor ekonomi; penerapannya relatif bebas
biaya. Faktanya, pakta saling membantu lebih efektif jika diterapkan secara teori dibandingkan
praktik. Jika terjadi bencana, perusahaan yang terkena dampak tidak mempunyai jaminan bahwa
perusahaan mitra akan memenuhi janji bantuannya. Untuk mengandalkan pengaturan bantuan
substantif seperti itu pada saat bencana memerlukan tingkat keyakinan dan kepercayaan yang belum
teruji, yang tidak merupakan ciri manajemen yang canggih dan auditornya.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Perencanaan Pemulihan Bencana 53
GAMBAR 2.7
Koordinator Tim DRP
Bencana Wakil Presiden Operasi
Tim Pemulihan
Audit internal
Perwakilan
Tujuan: Mempersiapkan situs cadangan Tujuan: Menyediakan arus Tujuan: Membangun kembali
untuk pengoperasian dan memperoleh versi semua aplikasi konversi data dan fungsi
perangkat keras dari vendor. penting, file data, dan kontrol data yang diperlukan
dokumentasi. untuk proses kritis
aplikasi.
Cangkang Kosong.Shell kosong atau cold site plan adalah pengaturan dimana perusahaan membeli
atau menyewa gedung yang akan berfungsi sebagai pusat data. Jika terjadi bencana, shell tersedia
dan siap menerima perangkat keras apa pun yang dibutuhkan pengguna sementara untuk
menjalankan sistem penting. Namun pendekatan ini mempunyai kelemahan mendasar. Pemulihan
bergantung pada ketersediaan tepat waktu perangkat keras komputer yang diperlukan untuk
memulihkan fungsi pemrosesan data. Manajemen harus mendapatkan jaminan melalui kontrak
dengan vendor perangkat keras bahwa, jika terjadi bencana, vendor akan mengutamakan kebutuhan
perusahaan. Masalah pasokan perangkat keras yang tidak terduga pada saat kritis ini dapat menjadi
pukulan yang fatal.
Pusat Operasi Pemulihan.Pusat operasi pemulihan (ROC) atau situs panas adalah pusat data
cadangan lengkap yang digunakan bersama oleh banyak perusahaan. Selain fasilitas perangkat keras
dan cadangan, penyedia layanan ROC menawarkan serangkaian layanan teknis kepada mereka
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
54 Bab 2:Mengaudit Pengendalian Tata Kelola TI
klien, yang membayar biaya tahunan untuk hak akses. Jika terjadi bencana besar, pelanggan
dapat menempati lokasi tersebut dan, dalam beberapa jam, melanjutkan pemrosesan aplikasi
penting.
Tanggal 11 September 2001 merupakan ujian nyata atas keandalan dan efektivitas
pendekatan ROC. Comdisco, penyedia ROC besar, memiliki 47 klien yang menyatakan 93
bencana terpisah pada hari serangan tersebut. Ke-47 perusahaan tersebut pindah dan bekerja
di pusat pemulihan Comdisco. Pada suatu saat, 3.000 karyawan klien bekerja di luar pusat
tersebut. Ribuan komputer dikonfigurasikan untuk kebutuhan klien dalam 24 jam pertama, dan
tim pemulihan sistem berada di lokasi di mana pun polisi mengizinkan akses. Pada tanggal 25
September, hampir separuh klien dapat kembali ke fasilitas mereka dengan sistem yang
berfungsi penuh.
Meskipun kisah Comdisco menggambarkan keberhasilan ROC, kisah ini juga menunjukkan potensi
masalah dalam pendekatan ini. Bencana alam yang meluas, seperti banjir atau gempa bumi, dapat merusak
kemampuan pemrosesan data beberapa anggota ROC yang berlokasi di wilayah geografis yang sama. Semua
perusahaan korban akan berlomba-lomba mendapatkan akses terhadap fasilitas terbatas yang sama. Karena
beberapa penyedia layanan ROC menjual kapasitas mereka secara berlebihan dengan rasio 20:1, situasi ini
dapat dianalogikan dengan kapal yang tenggelam namun jumlah sekocinya tidak mencukupi.
Masa kebingungan setelah bencana bukanlah waktu yang ideal untuk menegosiasikan hak
milik. Oleh karena itu, sebelum mengadakan pengaturan ROC, manajemen harus
mempertimbangkan potensi masalah kepadatan penduduk dan pengelompokan geografis dari
keanggotaan saat ini.
Cadangan yang Disediakan Secara Internal.Organisasi yang lebih besar dengan banyak pusat pemrosesan
data sering kali lebih memilih kemandirian daripada menciptakan kelebihan kapasitas internal. Hal ini memungkinkan
perusahaan untuk mengembangkan konfigurasi perangkat keras dan perangkat lunak yang terstandarisasi, yang
menjamin kompatibilitas fungsional antara pusat pemrosesan data mereka dan meminimalkan masalah peralihan jika
terjadi bencana.
Pershing, sebuah divisi dari Donaldson, Lufkin & Jenrette Securities Corporation, memproses
lebih dari 36 juta transaksi per hari, sekitar 2.000 per detik. Manajemen Pershing menyadari bahwa
vendor ROC tidak dapat memberikan waktu pemulihan yang mereka inginkan dan butuhkan. Oleh
karena itu, perusahaan membuat remote sendiripusat data cermin. Fasilitas ini dilengkapi dengan
perangkat penyimpanan berkapasitas tinggi yang mampu menyimpan lebih dari 20 terabyte data dan
dua mainframe IBM yang menjalankan perangkat lunak penyalinan berkecepatan tinggi. Semua
transaksi yang diproses oleh sistem utama ditransmisikan secara real time melalui kabel serat optik ke
fasilitas cadangan jarak jauh. Kapan pun, pusat data yang dicerminkan mencerminkan peristiwa
ekonomi perusahaan saat ini. Sistem cermin telah mengurangi waktu pemulihan data Pershing dari 24
jam menjadi 1 jam.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Perencanaan Pemulihan Bencana 55
Cadangan Aplikasi.Berdasarkan hasil yang diperoleh pada langkah aplikasi kritis yang dibahas
sebelumnya, DRP harus mencakup prosedur untuk membuat salinan versi aplikasi kritis saat ini.
Dalam kasus perangkat lunak komersial, hal ini melibatkan pembelian salinan cadangan
pemutakhiran perangkat lunak terbaru yang digunakan oleh organisasi. Untuk aplikasi yang
dikembangkan sendiri, prosedur pencadangan harus menjadi langkah integral dalam pengembangan
sistem dan proses perubahan program, yang dibahas secara rinci di Bab 5.
File Data Cadangan.Pencadangan basis data yang canggih adalah situs cermin jarak jauh,
yang menyediakan mata uang data lengkap. Tidak semua organisasi bersedia atau mampu
berinvestasi pada sumber daya cadangan tersebut. Namun minimal, database harus disalin
setiap hari ke media berkapasitas tinggi dan berkecepatan tinggi, seperti tape atau CD/DVD dan
diamankan di luar lokasi. Jika terjadi gangguan, rekonstruksi database dilakukan dengan
memperbarui versi cadangan terkini dengan data transaksi berikutnya. Demikian pula, file
master dan file transaksi harus dilindungi.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
56 Bab 2:Mengaudit Pengendalian Tata Kelola TI
Tujuan Audit
Auditor harus memverifikasi bahwa rencana pemulihan bencana manajemen memadai dan
layak untuk menangani bencana yang dapat menghilangkan sumber daya komputasi
organisasi.
Prosedur Audit
Untuk memverifikasi bahwa DRP manajemen merupakan solusi realistis untuk menghadapi bencana,
pengujian berikut dapat dilakukan.
Daftar Aplikasi Penting.Auditor harus meninjau daftar aplikasi penting untuk memastikan
kelengkapannya. Aplikasi yang hilang dapat mengakibatkan kegagalan pemulihan. Namun hal yang
sama juga berlaku untuk memulihkan aplikasi yang tidak diperlukan. Memasukkan aplikasi ke dalam
daftar kritis yang tidak diperlukan untuk mencapai kelangsungan hidup jangka pendek dapat
menyesatkan sumber daya dan mengalihkan perhatian dari tujuan utama selama periode pemulihan.
Cadangan Perangkat Lunak.Auditor harus memverifikasi bahwa salinan aplikasi penting dan
sistem operasi disimpan di luar lokasi. Auditor juga harus memverifikasi bahwa aplikasi yang disimpan
di luar lokasi adalah yang terbaru dengan membandingkan nomor versinya dengan aplikasi
sebenarnya yang digunakan. Nomor versi aplikasi dijelaskan secara rinci di Bab 5.
Cadangan data.Auditor harus memverifikasi bahwa file data penting telah dicadangkan
sesuai dengan DRP. Prosedur pencadangan data khusus untuk file datar dan database
relasional dibahas secara rinci di Bab 4.
Tim Pemulihan Bencana.DRP harus dengan jelas mencantumkan nama, alamat, dan nomor
telepon darurat anggota tim pemulihan bencana. Auditor harus memverifikasi bahwa anggota tim
adalah karyawan saat ini dan menyadari tanggung jawab yang diberikan kepada mereka. Pada suatu
kesempatan, saat meninjau DRP sebuah perusahaan, penulis menemukan bahwa seorang pemimpin
tim yang tercantum dalam rencana tersebut telah meninggal selama sembilan bulan.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Mengalihdayakan Fungsi TI 57
OUTSOURCING FUNGSI TI
Biaya, risiko, dan tanggung jawab yang terkait dengan pemeliharaan fungsi TI perusahaan yang
efektif sangatlah besar. Oleh karena itu, banyak eksekutif memilih untuk melakukan outsourcing
fungsi TI mereka kepada vendor pihak ketiga yang mengambil alih tanggung jawab pengelolaan aset
dan staf TI serta penyampaian layanan TI, seperti entri data, pengoperasian pusat data,
pengembangan aplikasi, pemeliharaan aplikasi, dan lain-lain. manajemen jaringan. Manfaat yang
sering disebutkanPengalihdayaan TImencakup peningkatan kinerja bisnis inti, peningkatan kinerja TI
(karena keahlian vendor), dan pengurangan biaya TI. Dengan memindahkan fasilitas TI ke luar negeri
ke wilayah dengan biaya tenaga kerja rendah dan/atau melalui skala ekonomi (dengan
menggabungkan pekerjaan beberapa klien), vendor dapat melakukan fungsi outsourcing dengan
lebih murah dibandingkan yang dapat dilakukan oleh perusahaan klien. Penghematan biaya yang
dihasilkan kemudian diteruskan ke organisasi klien. Selain itu, banyak pengaturan outsourcing TI
melibatkan penjualan aset TI perusahaan klien—baik manusia maupun mesin—kepada vendor, yang
kemudian disewakan kembali oleh perusahaan klien. Transaksi ini menghasilkan pemasukan tunai
satu kali yang signifikan ke perusahaan.
Logika yang mendasari outsourcing TI adalah sebagai berikutkompetensi intiteori ini,
yang berpendapat bahwa sebuah organisasi harus fokus secara eksklusif pada kompetensi
bisnis intinya, sambil membiarkan vendor outsourcing mengelola bidang non-inti seperti fungsi
TI secara efisien. Namun premis ini mengabaikan perbedaan penting antara komoditas dan
aset TI tertentu.
Aset TI komoditastidak unik untuk organisasi tertentu dan dengan demikian mudah
diperoleh di pasar. Ini termasuk hal-hal seperti manajemen jaringan, operasi sistem,
pemeliharaan server, dan fungsi meja bantuan.Aset TI tertentuSebaliknya, bersifat unik bagi
organisasi dan mendukung tujuan strategisnya. Karena sifatnya yang istimewa, aset tertentu
mempunyai nilai yang kecil di luar penggunaannya saat ini. Aset tersebut dapat berwujud
(peralatan komputer), intelektual (program komputer), atau manusia. Contoh aset spesifik
mencakup pengembangan sistem, pemeliharaan aplikasi, pergudangan data, dan karyawan
berketerampilan tinggi yang dilatih untuk menggunakan perangkat lunak khusus organisasi.
Ekonomi Biaya Transaksi (TCE)Teori ini bertentangan dengan sekolah kompetensi inti yang
menyarankan agar perusahaan mempertahankan aset TI non-inti tertentu secara internal. Karena
sifatnya yang esoteris, aset tertentu tidak dapat dengan mudah diganti begitu aset tersebut
diserahkan dalam pengaturan outsourcing. Oleh karena itu, jika organisasi memutuskan untuk
membatalkan kontrak outsourcing dengan vendor, organisasi tersebut mungkin tidak dapat kembali
ke keadaan sebelum outsourcing. Di sisi lain, teori TCE mendukung outsourcing aset komoditas, yang
mudah diganti atau diperoleh dari vendor alternatif.
Tentu saja, persepsi CEO tentang apa yang merupakan komoditas aset TI memainkan peran
penting dalam keputusan outsourcing TI. Seringkali hal ini bermuara pada masalah definisi dan
interpretasi. Misalnya, sebagian besar CEO akan mendefinisikan fungsi TI mereka sebagai komoditas
non-inti, kecuali jika mereka menjalankan bisnis pengembangan dan penjualan aplikasi TI. Oleh
karena itu, muncullah keyakinan bahwasemuaTI dapat, dan seharusnya, dikelola oleh organisasi jasa
besar. Persepsi yang salah tersebut mencerminkan, sebagian, kurangnya pendidikan eksekutif dan
penyebaran informasi yang salah mengenai manfaat dan keterbatasan outsourcing TI.3
3 Pemutusan pengetahuan ini tidak hanya terjadi pada outsourcing TI; hal ini telah diamati oleh Ramiller dan Swanson dalam
penelitian mereka tentang bagaimana eksekutif merespons apa yang disebut visi pengorganisasian untuk TI [101].
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
58 Bab 2:Mengaudit Pengendalian Tata Kelola TI
Kegiatan outsourcing TI berskala besar merupakan upaya yang berisiko, sebagian karena besarnya
kesepakatan keuangan ini, namun juga karena sifatnya. Tingkat risiko terkait dengan tingkat
kekhususan aset dari fungsi yang dialihdayakan. Bagian berikut menguraikan beberapa permasalahan
yang terdokumentasi dengan baik.
Eksploitasi Vendor
Pengalihdayaan TI skala besar melibatkan pengalihan “aset spesifik” ke vendor, seperti desain,
pengembangan, dan pemeliharaan aplikasi bisnis unik yang sangat penting bagi kelangsungan hidup
organisasi. Aset tertentu, meskipun berharga bagi klien, hanya bernilai kecil bagi vendor di luar
kontrak langsung dengan klien. Memang benar, mereka mungkin tidak bernilai jika organisasi klien
bangkrut. Karena vendor menanggung risiko dengan mengakuisisi aset dan tidak dapat mencapai
skala ekonomi dengan mempekerjakannya di tempat lain, organisasi klien akan membayar mahal
untuk mengalihkan fungsi tersebut ke pihak ketiga. Lebih lanjut, ketika perusahaan klien telah
mendivestasi aset spesifik tersebut, maka perusahaan tersebut menjadi bergantung pada vendor.
Vendor dapat mengeksploitasi ketergantungan ini dengan menaikkan tarif layanan ke tingkat yang
selangit. Karena kebutuhan TI klien berkembang dari waktu ke waktu melampaui ketentuan kontrak
awal, terdapat risiko bahwa layanan baru atau tambahan akan dinegosiasikan dengan harga yang
mahal. Ketergantungan ini dapat mengancam fleksibilitas, ketangkasan, dan daya saing klien dalam
jangka panjang dan mengakibatkan ketergantungan vendor yang lebih besar.
Keamanan Berkurang
Informasi yang dialihdayakan ke vendor TI luar negeri menimbulkan pertanyaan unik dan serius
mengenai pengendalian internal dan perlindungan data pribadi yang sensitif. Ketika sistem keuangan
perusahaan dikembangkan dan dihosting di luar negeri, dan kode program dikembangkan melalui
antarmuka dengan jaringan perusahaan tuan rumah, perusahaan-perusahaan AS berisiko kehilangan
kendali atas informasi mereka. Perusahaan-perusahaan AS sebagian besar bergantung pada langkah-
langkah keamanan vendor outsourcing, kebijakan akses data, dan undang-undang privasi di negara
tuan rumah. Misalnya, seorang wanita di Pakistan memperoleh data medis sensitif terhadap pasien
dari Pusat Medis Universitas California di San Francisco. Dia memperoleh akses ke data dari vendor
transkripsi medis tempat dia bekerja. Wanita tersebut mengancam akan mempublikasikan catatan
tersebut di Internet jika dia tidak mendapat kenaikan gaji.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Mengalihdayakan Fungsi TI 59
Asia dan Timur Tengah menimbulkan kekhawatiran keamanan tambahan bagi perusahaan yang melakukan
outsourcing teknologi di luar negeri. Misalnya, pada tanggal 5 Maret 2005, polisi di Delhi, India, menangkap
sel tersangka teroris yang berencana menyerang perusahaan outsourcing di Bangalore, India.
Manajemen dapat melakukan outsourcing fungsi TI organisasinya, namun tidak dapat melakukan
outsourcing tanggung jawab manajemennya berdasarkan SOX untuk memastikan pengendalian
internal TI yang memadai. PCAOB secara khusus menyatakan dalam Standar Audit No. 2,
“Penggunaan organisasi jasa tidak mengurangi tanggung jawab manajemen untuk memelihara
pengendalian internal yang efektif atas pelaporan keuangan. Sebaliknya, manajemen pengguna harus
mengevaluasi pengendalian di organisasi jasa, serta pengendalian terkait di perusahaan pengguna,
ketika membuat penilaian mengenai pengendalian internal atas pelaporan keuangan.” Oleh karena
itu, jika perusahaan klien audit melakukan outsourcing fungsi TI-nya kepada vendor yang memproses
transaksinya, menyimpan data penting, atau melakukan layanan penting lainnya, auditor perlu
melakukan evaluasi terhadap pengendalian organisasi vendor, atau sebagai alternatif, memperoleh
SAS No.
Pernyataan Standar Audit No. 70 (SAS 70)adalah standar definitif yang dengannya auditor
organisasi klien dapat memperoleh pengetahuan bahwa pengendalian di vendor pihak ketiga
memadai untuk mencegah atau mendeteksi kesalahan material yang dapat berdampak pada laporan
keuangan klien. Laporan SAS 70, yang disiapkan oleh auditor vendor, membuktikan kecukupan
pengendalian internal vendor. Ini adalah cara dimana vendor outsourcing dapat memperoleh laporan
audit tunggal yang dapat digunakan oleh auditor kliennya dan dengan demikian menghilangkan
kebutuhan setiap auditor perusahaan klien untuk melakukan auditnya sendiri terhadap pengendalian
internal organisasi vendor.
Gambar 2.8 mengilustrasikan cara kerja laporan SAS 70 dalam kaitannya dengan vendor,
perusahaan klien, dan auditor masing-masing. Vendor outsourcing melayani klien 1, 2, 3, dan 4
dengan berbagai layanan IT. Kontrol internal atas layanan outsourcing berada di lokasi vendor.
Mereka diaudit oleh auditor vendor, yang menyatakan pendapat dan
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
60 Bab 2:Mengaudit Pengendalian Tata Kelola TI
GAMBAR 2.8
Klien Klien
Laporan SAS 70
SAS 70 1 Auditor A
Ringkasan
70
S
SA
r an
po
La
Klien Klien
2 Laporan SAS 70 Auditor B
70
SAS
ran
Pengalihdayaan Lapo
Penjual
Lap
ora
nS
AS
70
l
o
ntr
Klien
70
La
po
3
AS
Auditor C
ra
jau
nS
n
SA
ora
Tin
S
70
Lap
Penjual
Klien Klien
Auditor Laporan SAS 70
4 Auditor D
menerbitkan laporan SAS 70 tentang kecukupan kontrol. Masing-masing perusahaan klien diaudit
oleh auditor A, B, C, dan D yang berbeda, yang sebagai bagian dari auditnya masing-masing,
mengandalkan laporan SAS 70 vendor dan dengan demikian tidak dipaksa untuk menguji
pengendalian vendor secara individual. Mengingat bahwa vendor mungkin memiliki ratusan atau
bahkan ribuan klien, pengujian individu di bawah SOX akan sangat mengganggu operasi vendor,
merugikan klien, dan tidak praktis.
Auditor penyedia layanan menerbitkan dua jenis laporan SAS 70. Laporan SAS 70 Tipe I
kurang teliti dari keduanya dan hanya mengomentari kesesuaian desain kontrol. Laporan SAS
70 Tipe II melangkah lebih jauh dan menilai apakah pengendalian beroperasi secara efektif
berdasarkan pengujian yang dilakukan oleh auditor organisasi vendor. Sebagian besar laporan
SAS 70 yang dikeluarkan adalah Tipe II. Karena Bagian 404 memerlukan pengujian kontrol yang
eksplisit, laporan SAS 70 Tipe I tidak banyak berguna di dunia pasca-SOX.
RINGKASAN
Bab ini menyajikan risiko dan pengendalian terkait tata kelola TI. Hal ini dimulai dengan
definisi singkat tata kelola TI dan mengidentifikasi implikasinya terhadap pengendalian
internal dan pelaporan keuangan. Selanjutnya disajikan paparan yang dapat timbul dari
penataan fungsi TI yang tidak tepat dalam organisasi. Bab ini beralih ke tinjauan terhadap
ancaman dan pengendalian pusat komputer, yang mencakup perlindungannya dari
kerusakan dan kehancuran akibat bencana alam, kebakaran, suhu, dan kelembapan. Bab
ini kemudian menyajikan elemen-elemen kunci dari rencana pemulihan bencana.
Beberapa faktor perlu dipertimbangkan dalam rencana tersebut, termasuk menyediakan
cadangan situs kedua, mengidentifikasi aplikasi penting, melakukan prosedur cadangan
dan penyimpanan di luar lokasi, membentuk tim pemulihan bencana, dan menguji DRP.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Mengalihdayakan Fungsi TI 61
tren ke arah outsourcing TI. Secara khusus, makalah ini mengkaji logika yang mendasari
outsourcing dan manfaat yang diharapkan. Pengalihdayaan TI juga dikaitkan dengan risiko-
risiko signifikan, yang telah diatasi. Bab ini diakhiri dengan pembahasan masalah audit di
lingkungan outsourcing.
ISTILAH UTAMA
PERTANYAAN TINJAUAN
1. Apa yang dimaksud dengan tata kelola TI? 11. Apa itu RAID?
2. Apa tujuan tata kelola TI? 12. Apa peran pustakawan data?
3. Apa yang dimaksud dengan pemrosesan data terdistribusi? 13. Apa peran departemen layanan komputer
4. Apa kelebihan dan kekurangan pengolahan perusahaan? Apa bedanya dengan
data terdistribusi? konfigurasi lainnya?
5. Jenis tugas apa yang menjadi mubazir dalam sistem 14. Apa saja lima risiko yang terkait dengan pemrosesan
pemrosesan data terdistribusi? data terdistribusi?
6. Menjelaskan mengapa tugas-tugas tertentu yang 15. Sebutkan fitur kontrol yang secara langsung berkontribusi
dianggap tidak sesuai dalam sistem manual dapat terhadap keamanan lingkungan pusat komputer.
digabungkan dalam lingkungan sistem informasi 16. Apa yang dimaksud dengan konversi data?
berbasis komputer CBIS. Berikan contoh. 17. Apa saja yang mungkin terdapat dalam perpustakaan data?
7. Apa tiga fungsi utama CBIS yang harus 18. Apa itu ROC?
dipisahkan? 19. Apa yang dimaksud dengan situs dingin?
8. Paparan apa yang ditimbulkan oleh konsolidasi data 20. Apa yang dimaksud dengan toleransi kesalahan?
dalam lingkungan CBIS? 21. Apa manfaat outsourcing TI yang sering disebutkan?
9. Masalah apa yang mungkin timbul akibat 22. Mendefinisikan aset TI komoditas.
menggabungkan tugas pemrograman aplikasi dan 23. Definisikan aset tertentu.
pemeliharaan ke dalam satu posisi? 24. Sebutkan lima risiko yang terkait dengan outsourcing TI.
10. Mengapa dokumentasi sistem yang berkualitas buruk
merupakan masalah umum?
PERTANYAAN DISKUSI
1. Apa perbedaan tata kelola TI sebelum SOX dengan bab tersebut. Sebutkan nama topik tersebut dan jelaskan
tata kelola TI pasca SOX? mengapa topik tersebut dipilih.
2. Meskipun tata kelola TI merupakan bidang yang 3. Jenis kegiatan yang tidak kompatibel apa yang
luas, hanya tiga aspek tata kelola TI yang dibahas cenderung terkonsolidasi dalam suatu terdistribusi
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
62 Bab 2:Mengaudit Pengendalian Tata Kelola TI
sistem pengolahan data? Bagaimana hal ini dapat cadangan. Urutkan dari yang paling berisiko hingga yang paling tidak
dicegah? berisiko, serta dari yang paling mahal hingga yang paling tidak mahal.
4. Mengapa seorang manajer operasional bersedia 11. Siapa yang harus menentukan dan memprioritaskan penerapan
melakukan lebih banyak pekerjaan dalam bentuk kritis? Bagaimana hal ini dilakukan? Seberapa sering hal itu
pengawasan fungsi TI? dilakukan?
5. Bagaimana data dapat dipusatkan dalam sistem pemrosesan 12. Mengapa programmer lebih mudah melakukan penipuan
data terdistribusi? dibandingkan operator?
6. Haruskah standar dipusatkan pada lingkungan 13. Mengapa organisasi harus memusatkan akuisisi,
pemrosesan data terdistribusi? Menjelaskan. pengujian, dan implementasi perangkat lunak dan
7. Bagaimana perilaku manusia dapat dianggap sebagai salah perangkat keras dalam fungsi TI perusahaan?
satu potensi ancaman terbesar terhadap integritas sistem 14. Organisasi terkadang menempatkan pusat
operasi? komputernya di ruang bawah tanah gedungnya
8. Sebuah bank di California mempunyai tiga belas cabang untuk menghindari arus lalu lintas normal.
yang tersebar di seluruh California utara, masing-masing Komentari praktik ini.
memiliki komputer mini sendiri yang menyimpan 15. Pemadaman listrik pada tahun 2003 yang melanda wilayah Timur
datanya. Bank lain memiliki sepuluh cabang yang Laut AS menyebabkan banyak kegagalan komputer. Apa yang
tersebar di seluruh California, dan datanya disimpan di dapat dilakukan sebuah organisasi untuk melindungi dirinya dari
mainframe di San Francisco. Sistem mana yang menurut pemadaman listrik yang tidak terkendali?
Anda lebih rentan terhadap akses tidak sah? Kerugian 16. Diskusikan potensi masalah dengan ROC.
yang berlebihan akibat bencana? 17. Diskusikan dua potensi masalah yang terkait dengan
9. Komputasi pengguna akhir telah menjadi sangat populer lokasi dingin.
di organisasi pemrosesan data terdistribusi. Pengguna 18. Diskusikan tiga teknik yang digunakan untuk mencapai toleransi
akhir menyukainya karena mereka merasa dapat lebih kesalahan.
mudah merancang dan mengimplementasikan aplikasi 19. Jelaskan risiko kegagalan kinerja outsourcing.
mereka sendiri. Apakah lingkungan seperti ini selalu 20. Jelaskan eksploitasi vendor.
mendorong pengembangan aplikasi yang lebih efisien? 21. Jelaskan mengapa berkurangnya keamanan merupakan risiko outsourcing.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Mengalihdayakan Fungsi TI 63
5. Manakah dari berikut ini yang merupakan fitur kendali langsung ke operator komputer di data
toleransi kesalahan? center
A. pasokan listrik yang dapat terputus C. meminta administrator basis data melapor
B. SERANGAN kepada manajer operasi komputer.
C. DDP D. menugaskan tanggung jawab pemeliharaan kepada
D. MDP perancang sistem asli yang paling mengetahui
6. Manakah dari teknik pemulihan bencana logikanya
berikut yang memiliki risiko paling kecil? 9. Berikut ini adalah contoh aset komoditi,
A. cangkang kosong kecuali
B. Gereja Ortodoks Rusia A. manajemen jaringan
C. cadangan yang disediakan secara internal B. operasi sistem
D. semuanya sama-sama berisiko C. pengembangan sistem
7. Manakah dari berikut ini yang BUKAN merupakan ancaman potensial D. pemeliharaan server
terhadap perangkat keras dan periferal komputer? 10. Manakah pernyataan berikut ini yang benar?
MASALAH
1. Pengendalian Internal Dokumentasi untuk sistem EDP terdiri dari:
Dalam meninjau proses, prosedur, dan pengendalian tata letak rekaman, daftar program, log, dan daftar
internal salah satu klien audit Anda, Steeplechase kesalahan.
Enterprises, Anda memperhatikan praktik berikut ini. Setelah barang dikirim dari salah satu dari tiga gudang
Steeplechase baru-baru ini menginstal sistem komputer Steeplechase, personel gudang meneruskan pemberitahuan
baru yang mempengaruhi catatan piutang, penagihan, pengiriman ke departemen akuntansi. Petugas penagihan
dan pengiriman. Operator komputer yang diidentifikasi menerima pemberitahuan pengiriman dan mencatat urutan
secara khusus telah ditugaskan secara permanen untuk manual pemberitahuan pengiriman. Setiap pemberitahuan
setiap fungsi piutang, penagihan, dan pengiriman. yang hilang akan diselidiki. Petugas penagihan juga secara
Masing-masing operator komputer ini diberi tanggung manual memasukkan harga barang, dan menyiapkan total
jawab menjalankan program untuk pemrosesan transaksi, harian (didukung dengan menambahkan pita mesin) dari unit
membuat perubahan program, dan merekonsiliasi log yang dikirim dan jumlah penjualan. Pemberitahuan
komputer. Untuk mencegah salah satu operator memiliki pengiriman dan penambahan kaset mesin dikirim ke
akses eksklusif terhadap kaset dan dokumentasi, ketiga departemen komputer untuk entri data.
operator komputer ini secara acak merotasi tugas Output komputer yang dihasilkan terdiri dari dua salinan
penjagaan dan pengendalian setiap dua minggu atas pita faktur dan saran pengiriman uang serta register penjualan harian.
magnetik dan dokumentasi sistem. Kontrol akses ke Faktur dan pemberitahuan pengiriman uang diteruskan ke
ruang komputer terdiri dari kartu magnetik dan kode petugas penagihan, yang mengirimkan satu salinan faktur dan
digital untuk setiap operator. Akses ke ruang komputer pemberitahuan pengiriman uang kepada pelanggan dan
tidak diperbolehkan baik untuk analis sistem atau mengarsipkan salinan lainnya dalam file faktur terbuka, yang
supervisor operasi komputer. berfungsi sebagai dokumen piutang. Penjualan harian
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
64 Bab 2:Mengaudit Pengendalian Tata Kelola TI
register berisi total unit yang dikirim dan jumlah penjualan. Manajemen baru-baru ini mulai mencari alternatif
Operator komputer membandingkan total yang dihasilkan lain untuk menampung server karena pabrik akan
komputer dengan rekaman mesin yang ditambahkan. ditutup. Manajemen mempunyai kekhawatiran besar
mengenai kerahasiaan lokasi dan tindakan terkait. Ia
Diperlukan:
ingin menggabungkan metode perlindungan data fisik
Identifikasi kelemahan pengendalian yang ada dan
yang lebih baru. Auditor perusahaan juga menyatakan
buatlah rekomendasi khusus untuk memperbaikinya.
kekhawatirannya bahwa beberapa tindakan yang
2. Pengendalian Internal dilakukan saat ini tidak memadai dan alternatif baru
Gustave, CPA, selama peninjauan awal atas laporan keuangan harus ditemukan.
Comet, Inc., menemukan kurangnya pemisahan tugas yang
Diperlukan:
tepat antara fungsi pemrograman dan operasi. Comet
1.Mengapa auditor Avatar menekankan perlunya lingkungan
memiliki fasilitas komputasi sendiri. Gustave, CPA, dengan
fisik yang lebih baik untuk server? Jika Avatar memiliki
tekun mengintensifkan studi pengendalian internal dan tugas
kontrol perangkat lunak yang tepat, bukankah itu cukup
penilaian yang berkaitan dengan fasilitas komputer. Gustave
untuk mengamankan informasi?
menyimpulkan dalam laporan akhirnya bahwa pengendalian
umum kompensasi yang memadai memberikan jaminan yang 2.Sebutkan enam fitur kontrol penting yang berkontribusi
masuk akal bahwa tujuan pengendalian internal telah langsung terhadap keamanan lingkungan server
terpenuhi. komputer.
Diperlukan:
4. Rencana Pemulihan Bencana
Pengendalian kompensasi apa yang paling mungkin diterapkan?
Kantor pusat Hill Crest Corporation, sebuah perusahaan
3. Keamanan Fisik swasta dengan penjualan tahunan sebesar $15,5 juta, terletak
Avatar Financials, Inc., berlokasi di Madison Avenue, di California. Hill Crest menyediakan layanan perangkat lunak
New York City, adalah perusahaan yang memberikan hukum online kepada 150 kliennya yang mencakup
nasihat keuangan kepada individu dan usaha kecil penyimpanan data dan aktivitas administratif untuk kantor
hingga menengah. Operasi utamanya adalah hukum. Perusahaan ini telah berkembang pesat sejak
manajemen kekayaan dan nasihat keuangan. Setiap didirikan 3 tahun lalu, dan departemen pemrosesan datanya
klien memiliki akun tempat informasi pribadi dasar telah berkembang untuk mengakomodasi pertumbuhan ini.
disimpan di server di kantor utama di New York City. Karena presiden dan staf penjualan Hill Crest menghabiskan
Perusahaan juga menyimpan informasi tentang banyak waktu di luar kantor untuk mencari klien baru,
jumlah investasi setiap klien di server terpisah di pusat perencanaan fasilitas TI diserahkan kepada para profesional
datanya di Bethlehem, Pennsylvania. Informasi ini pemrosesan data.
mencakup nilai total portofolio, jenis investasi yang Hill Crest baru-baru ini memindahkan kantor pusatnya ke
dilakukan, struktur pendapatan setiap klien, dan gudang yang telah direnovasi di pinggiran kota. Saat merombak
kewajiban pajak terkait. gudang, para arsitek mempertahankan sebagian besar struktur
Dalam beberapa tahun terakhir, bank-bank komersial besar aslinya, termasuk eksterior sirap kayu dan balok kayu terbuka di
telah mulai menyediakan layanan tersebut dan bersaing untuk seluruh interior. Perangkat keras pemrosesan distributif komputer
mendapatkan pelanggan yang sama. Avatar, yang bangga dengan mini terletak di area terbuka yang luas dengan langit-langit tinggi
hubungan konsumen pribadinya, kini mencoba menyiapkan dan jendela atap. Keterbukaan membuat area pemrosesan data
layanan tambahan untuk mempertahankan pelanggannya saat ini. dapat diakses oleh seluruh staf dan mendorong pendekatan tim
Baru-baru ini mereka memperbarui situs Web-nya, yang dalam pemecahan masalah. Sebelum menempati fasilitas baru,
sebelumnya hanya mengizinkan klien memperbarui informasi pengawas kota menyatakan bangunan tersebut aman; yaitu,
pribadi mereka. Kini klien dapat mengakses informasi tentang mempunyai alat pemadam kebakaran yang memadai, pintu keluar
investasi, pendapatan, dan kewajiban pajak mereka yang disimpan yang memadai, dan sebagainya.
di pusat data di Pennsylvania.
Sebagai hasil dari kesepakatan sebelumnya, Avatar telah Dalam upaya untuk memberikan perlindungan lebih lanjut untuk
diberikan akses gratis untuk menggunakan ruang komputer database informasi kliennya yang besar, Hill Crest menerapkan prosedur
di pabrik produksi lama. Perusahaan merasa yakin bahwa pencadangan rekaman yang secara otomatis membuat cadangan
lokasi ini cukup aman dan akan menjaga data tetap utuh dari database setiap Minggu malam, menghindari gangguan dalam operasi
penyusup fisik. Server ditempatkan di ruangan yang dan prosedur sehari-hari. Semua kaset kemudian diberi label dan
digunakan pabrik produksi untuk menampung sistem disimpan dengan hati-hati di rak yang disediakan untuk tujuan ini di
lamanya. Ruangan ini memiliki detektor asap dan alat departemen pemrosesan data. Panduan operator departemen berisi
penyiram terkait. Itu tertutup, tanpa jendela, dan memiliki instruksi tentang cara menggunakan rekaman ini untuk memulihkan
saluran udara khusus yang dikontrol suhu. basis data, jika diperlukan. Daftar
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
Mengalihdayakan Fungsi TI 65
nomor telepon rumah individu di departemen pemrosesan data mikrokomputer dalam organisasi, ada tiga produsen
tersedia jika terjadi keadaan darurat. Hill Crest baru-baru ini perangkat keras yang berbeda. Selain itu, terdapat empat
meningkatkan asuransi pertanggungjawabannya atas kehilangan hingga lima vendor perangkat lunak berbeda untuk
data dari $50.000 menjadi $100.000. spreadsheet, pengolah kata, dan aplikasi database, serta
Sabtu lalu, gedung kantor pusat Hill Crest hancur beberapa aplikasi jaringan untuk kelompok
total akibat kebakaran, dan perusahaan kini harus mikrokomputer.
memberi tahu kliennya bahwa semua informasi Mikrokomputer diperoleh di departemen operasi
mereka telah musnah. untuk memungkinkan karyawan di setiap departemen
melakukan analisis khusus. Banyak departemen juga
Diperlukan:
menginginkan kemampuan mengunduh data dari
A. Jelaskan kelemahan keamanan komputer yang ada di Hill
mainframe. Oleh karena itu, setiap departemen operasi
Crest Corporation yang memungkinkan terjadinya
telah meminta bimbingan dan bantuan dari departemen
kehilangan data yang parah.
layanan pemrosesan data. Namun, pemrosesan data
B. Buat daftar komponen yang seharusnya disertakan dalam
menjawab bahwa mereka kekurangan staf dan harus
rencana pemulihan bencana di Hill Crest Corporation untuk
mengerahkan upaya penuh pada prioritas utamanya,
memastikan pemulihan komputer dalam waktu 72 jam.
sistem komputer mainframe.
C. Faktor-faktor apa saja, selain yang termasuk dalam rencana itu
Menanggapi laporan audit internal tersebut, direktur
sendiri, yang harus dipertimbangkan oleh perusahaan ketika
layanan pemrosesan data, Stan Marten, telah
merumuskan rencana pemulihan bencana?
mengeluarkan memorandum berikut.
5. Pemisahan Tugas KE: Semua pegawai
Arcadia Plastics mengikuti filosofi pemindahan karyawan dari satu DARI: Stan Marten, Direktur
pekerjaan ke pekerjaan lain di dalam perusahaan. Manajemen REFERENSI:Standardisasi Komputer Mikro
percaya bahwa rotasi pekerjaan mencegah karyawan merasa Kebijakan harus segera dilembagakan untuk
bahwa mereka mengalami stagnasi dalam pekerjaan mereka dan menstandardisasi akuisisi mikrokomputer dan perangkat lunak
meningkatkan pemahaman yang lebih baik tentang perusahaan. aplikasi. Langkah pertama adalah menentukan perangkat lunak
Seorang karyawan layanan komputer biasanya bekerja selama spreadsheet yang harus digunakan oleh semua personel. Mulai
enam bulan sebagai pustakawan data, satu tahun sebagai sekarang, semua orang akan menggunakan Micromate. Semua
pengembang sistem, enam bulan sebagai administrator basis perangkat keras komputer mikro harus kompatibel dengan MS-
data, dan satu tahun dalam pemeliharaan sistem. Pada saat itu, dia DOS. Selama bulan depan, kami juga akan memilih perangkat
ditugaskan ke posisi permanen. lunak standar untuk aplikasi pengolah kata dan database. Anda
hanya akan menggunakan paket pengguna yang ditentukan oleh
Diperlukan:
departemen layanan pemrosesan data. Di masa depan, setiap
Diskusikan pentingnya pemisahan tugas dalam departemen
pembelian baru mikrokomputer, perangkat keras, atau perangkat
sistem informasi. Bagaimana Arcadia Plastics dapat memiliki
lunak harus mendapat persetujuan dari direktur layanan
rotasi pekerjaan dan tugas yang dipisahkan dengan baik?
pemrosesan data.
Beberapa manajer departemen operasi lain telah
6. Risiko DDP mengeluhkan memorandum Marten. Rupanya, sebelum
Tulis esai yang membahas risiko utama yang terkait mengeluarkan nota ini, Marten belum berkonsultasi dengan
dengan lingkungan pemrosesan terdistribusi. salah satu pengguna komputer mikro mengenai kebutuhan
software mereka saat ini dan di masa depan.
7.Kunjungi situs Web SunGard, http://www.sungard.com, dan teliti
layanan pemulihan yang ditawarkan untuk kelas berikut: Diperlukan:
ketersediaan tinggi, pemulihan sistem, dan pemulihan A. Saat memperoleh mikrokomputer untuk berbagai departemen
pengguna akhir. Tulis laporan temuan Anda. dalam suatu organisasi, jelaskan faktor-faktor yang berkaitan
dengan: i. Perangkat keras komputer yang perlu
8. Komputasi Pengguna Akhir dipertimbangkan selama tahap desain awal dan
CMA 1287 5-3 pengaturan lingkungan mikrokomputer.
Departemen audit internal Perusahaan Manufaktur ii. Prosedur operasi dan pengendalian sistem yang
Hastone baru-baru ini menyelesaikan pemeriksaan rutin perlu diperhatikan.
terhadap fasilitas komputer perusahaan. Laporan auditor B. Diskusikan manfaat memiliki perangkat keras dan perangkat
mengidentifikasi kelemahan fakta bahwa tidak ada lunak standar untuk mikrokomputer dalam suatu organisasi.
koordinasi oleh departemen layanan pemrosesan data C. Diskusikan kekhawatiran yang mungkin timbul dari
dalam pembelian sistem komputer mikro untuk masing- memorandum tersebut bagi pengguna komputer mikro di
masing departemen di Hastone. Di antara dua belas Hastone Manufacturing.
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.
66 Bab 2:Mengaudit Pengendalian Tata Kelola TI
9. Komputasi Pengguna Akhir dapat bertindak seolah-olah itu adalah salah satu terminal
CMA Diadaptasi 688 5-Y6 mainframe. Cabang juga menggunakan mikrokomputer ini
Buat daftar masalah yang melekat dalam penggunaan, oleh orang lain,
untuk mengunduh informasi dari mainframe dan, dalam
sistem.
mikrokomputer pada awalnya dilengkapi dengan paket
aplikasi pengolah kata untuk merumuskan korespondensi
10. Pengendalian Internal dan Sistem Terdistribusi dengan pelanggan, paket spreadsheet untuk melakukan
Hingga setahun yang lalu, Dagwood Printing Company analisis kredit dan pinjaman keuangan di luar paket analisis
selalu beroperasi di lingkungan komputer yang terpusat. kredit dasar pada mainframe, dan paket manajemen database
Kini, 75 persen pegawai kantoran memiliki PC. Pengguna untuk merumuskan informasi pasar dan sensitivitas
telah dapat memilih paket perangkat lunak mereka pelanggan. . Departemen pemrosesan data terpusat di
sendiri, dan tidak diperlukan dokumentasi aplikasi yang National hanya bertanggung jawab atas operasi mainframe;
dikembangkan oleh pengguna akhir. Bulan depan, setiap keamanan komputer mikro menjadi tanggung jawab masing-
PC akan dihubungkan ke jaringan area lokal dan masing cabang.
mainframe perusahaan. Karena pemeriksa bank percaya bahwa National mempunyai
risiko, mereka menyarankan bank untuk meninjau rekomendasi
Diperlukan:
yang disarankan dalam surat yang dikeluarkan oleh badan
A. Buat garis besar rencana tindakan untuk Dagwood Printing
pengatur perbankan pada tahun 2008. Surat ini menekankan risiko
Company untuk memastikan bahwa kontrol yang tepat
yang terkait dengan operasi pengguna akhir dan mendorong
atas perangkat keras, perangkat lunak, data, orang,
manajemen perbankan untuk membangun kontrol yang baik.
prosedur, dan dokumentasi ada.
kebijakan. Lebih khusus lagi, operasi pengguna akhir komputer
B. Diskusikan segala risiko yang mungkin dihadapi perusahaan jika rencana
mikro telah melampaui penerapan pengendalian yang memadai
yang telah disusun tidak dilaksanakan.
dan telah menghilangkan kendali pemrosesan dari lingkungan
11. Tanggung Jawab Pengendalian Internal untuk TI terpusat, sehingga menimbulkan kerentanan di area baru bank.
yang Dialihdayakan
Jelaskan mengapa manajer yang melakukan outsourcing fungsi TI
Surat tersebut juga menekankan bahwa tanggung jawab
atas pengendalian TI. Opsi apa saja yang terbuka bagi auditor
pengendalian manajemen untuk semua bidang aktivitas
Bank Komersial Nasional memiliki lima belas cabang dan A. Identifikasi tiga jenis pengendalian untuk operasi
memelihara sistem komputer mainframe di kantor pusat pengguna akhir komputer mikro yang mungkin berisiko
perusahaannya. National baru-baru ini menjalani bagi Bank Umum Nasional.
pemeriksaan oleh pemeriksa perbankan negara, dan para B. Merekomendasikan prosedur pengendalian spesifik yang harus
pemeriksa mempunyai kekhawatiran tentang operasi diterapkan oleh Nasional untuk setiap jenis pengendalian yang
Hak Cipta 2011 Cengage Learning, Inc. Semua Hak Dilindungi Undang-undang. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian.