AUDITING IT GOVERNANCE CONTROL

Tugas Mata Kuliah

Auditing EDP

Oleh: Kelompok B
Della Putri Rahmawati 210810301011
Lila Fitrianisya 210810301020
Siti Mahmudah 210810301050
Ayun Ulfatul Jannah 210810301051

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS JEMBER
2024
 PENDAHULUAN

Audit pengendalian tata kelola IT menarik untuk dipelajari karena

menggabungkan dua bidang yang krusial: teknologi informasi dan tata kelola
perusahaan. Ini memungkinkan kita untuk memahami bagaimana teknologi dapat
mendukung tujuan bisnis sambil memastikan keamanan, integritas, dan ketersediaan
data. Selain itu, mempelajari audit pengendalian tata kelola IT dapat memberikan
wawasan tentang bagaimana organisasi mengelola risiko dan kepatuhan terkait
dengan teknologi informasi.
 PEMBAHASAN

A. TATA KELOLA TEKNOLOGI INFORMASI

Tata kelola teknologi informasi merupakan suatu tata kelola perusahaan yang
berfokus pada penilaian, yaitu proses yang digunakan untuk menyatukan dan
mengendalikan keputusan kapabilitas informasi teknologi untuk memastikan
pengiriman nilai kepada pemangku kepentingan utama dalam suatu organisasi dengan
tujuan untuk meminimalisir biaya dan memastikan bahwa investasi pada sumber daya
TI menambah nilai bagi perusahaan.

Kontrol Tata Kelola TI

Terdapat tiga isu dalam tata kelola TI yang perlu dipertimbangkan oleh SOX
dan kerangka pengendalian internal COSO, yaitu

1. Organizational structure of the IT function

2. Computer center operations
3. Disaster recovery planning

Pembahasan terkait ke tiga isu tata kelola ini diawali dengan penjelasan
mengenai sifat risiko dan uraian mengenai pengendalian yang diperlukan untuk
memitigasi risiko. Kemudian disajikan tujuan audit yang menetapkan apa saja yang
perlu diverifikasi mengenai fungsi pengendalian tersebut.

B. STRUKTUR FUNGSI TEKNOLOGI INFORMASI

Pengorganisasian fungsi TI mempunyai keterlibatan terhadap audit, yaitu

memeriksa pada beberapa masalah pengendalian penting terkait dengan struktur TI.
Hal ini diilustrasikan melalui dua model organisasi yang ekstrim dengan pendekatan
terpusat dan pendekatan terdistribusi. kemudian, masalah risiko, pengendalian, dan
audit yang terkait dengan masing-masing model akan dibahas. Namun, harus disadari
bahwa sebagian besar struktur organisasi mencakup unsur-unsur dari kedua model
tersebut.

1. Centralized Data Processing

Di bawah model pemrosesan data terpusat, semua pemrosesan data dilakukan

oleh satu atau lebih komputer besar yang ditempatkan sebagai situs pusat yang
melayani pengguna di seluruh dunia.
 a. Databes Administration
Databes administration yaitu fungsi mengelola dan memelihara
perangkat lunak sebuah perusahaan yang terorganisir secara terpusat dalam
memelihara sumber daya data yang digunakan bersama oleh semua pengguna
akhir, yaitu manajer yang menerima laporan dari sistem dan personel operasi
yang bekerja langsung dengan sistem. Dalam penyusunan data bersama ini,
dipimpin oleh kelompok independen dan administrator database (DBA) sebagai
penanggung jawab atas keamanan dan integritas basis data.
b. Data Processing
Merupakan kelompok pemrosesan data mengelola sumber daya
komputer yang digunakan untuk melakukan pemrosesan transaksi sehari-hari.
yang terdiri dari konversi data, operasi komputer, dan perpustakaan data.
Data Convertion. Fungsi data convertion yaitu mentranskripsikan data
transaksi dari dokumen sumber hardcopy ke dalam input komputer.
Computer Operation. File elektronik yang dihasilkan dalam konversi data
kemudian diproses oleh komputer pusat, kemudian dikelola oleh kelompok
operasi komputer. Aplikasi akuntansi biasanya dijalankan sesuai dengan jadwal
ketat yang dikendalikan oleh sistem operasi komputer pusat.
Data Library. Data Library adalah ruangan yang bersebelahan dengan pusat
komputer yang menyediakan penyimpanan aman untuk file data offline. File-file
tersebut dapat berupa file cadangan atau file data terkini. Pustakawan data,
yang bertanggung jawab atas penerimaan, penyimpanan, pengambilan, dan
penyimpanan file data, mengontrol akses ke perpustakaan. Pustakawan
mengeluarkan file data ke operator komputer sesuai dengan permintaan
program dan mengambil hak asuh file ketika prosedur pemrosesan atau
pencadangan selesai.
c. System Development and Maintance
Profesional sistem meliputi analis sistem, perancang basis data, dan
programmer yang merancang dan membangun sistem. Para profesional sistem
mengumpulkan fakta tentang masalah pengguna, menganalisis fakta, dan
merumuskan solusi. Hasil dari upaya mereka adalah sistem informasi baru.
2. Segregation of Incompatible IT Function

Bab sebelumnya menekankan pentingnya memisahkan tugas-tugas yang tidak

kompatibel dalam aktivitas manual. Secara khusus, tugas operasional harus
dipisahkan menjadi:
 1. Pisahkan otorisasi transaksi dari pemrosesan transaksi
2. Pisahkan pencatatan dari penyimpanan aset.
3. Membagi tugas pemrosesan transaksi di antara individu sedemikian rupa
sehingga tidak terjadi kolusi antara dua individu atau lebih.

Lingkungan TI cenderung mengkonsolidasikan aktivitas. maka, dibutuhkannya

aplikasi tunggal untuk mengotorisasi, memproses, dan mencatat semua aspek
transaksi.

a. Sparating System Development from Computer Operational

Memisahkan Pengembangan Sistem dari Operasi Komputer Pemisahan
pengembangan sistem (baik pengembangan sistem baru maupun
pemeliharaan keuangan) dan kegiatan operasi merupakan hal penting dalam
hubungan antara kelompok-kelompok yang harus formal, dan tanggung jawab
mereka tidak boleh dicampuradukkan. Fungsi-fungsi ini pada dasarnya tidak
kompatibel, dan menggabungkannya akan mengundang kesalahan dan
penipuan.
b. Sparating Database Administration From Other Function
Pengendalian organisasi penting lainnya adalah pemisahan
administrator basis data (DBA) dari fungsi pusat komputer lainnya. Fungsi DBA
bertanggung jawab atas sejumlah tugas penting yang berkaitan dengan
keamanan basis data, termasuk membuat skema basis data dan tampilan
pengguna, menetapkan otoritas akses basis data kepada pengguna, memantau
penggunaan basis data, dan merencanakan perluasan di masa depan. Sesuai
dengan spesifikasi desain ini, pemrogram yang membuat kode program asli
juga memelihara sistem selama fase pemeliharaan siklus hidup dengan
pengembangan sistem. Meskipun pendekatan ini dikaitkan dengan dua jenis
masalah pengendalian yaitu dokumentasi yang tidak memadai dan potensi
penipuan program.
Dokumentasi yang Tidak Memadai. Dokumentasi sistem yang berkualitas
buruk merupakan masalah TI yang kronis dan tantangan yang signifikan bagi
banyak organisasi yang mencari kepatuhan SOX. Ada dua penjelasan atas
fenomena ini. Pertama, mendokumentasikan sistem tidak semenarik
merancang, menguji, dan mengimplementasikannya. Kedua yang mungkin
menyebabkan buruknya dokumentasi adalah keamanan kerja. Ketika suatu
sistem tidak terdokumentasi dengan baik, maka sulit untuk menafsirkan,
 menguji, dan melakukan debug. Oleh karena itu, pembuat program yang
memahami sistem (orang yang membuat kodenya) tetap memiliki daya tawar
dan menjadi sangat diperlukan.
Penipuan Program. Penipuan program melibatkan perubahan tanpa izin pada
modul program dengan tujuan melakukan tindakan ilegal. Oleh karena itu,
tanggung jawab penuh atas pemeliharaan merupakan elemen penting dalam
skema programmer duplikat. Melalui otoritas pemeliharaan ini, pemrogram
dapat mengakses sistem dengan mudah, menonaktifkan kode palsu selama
audit dan kemudian memulihkan kode ketika keadaan aman. Penipuan
semacam ini bisa berlanjut selama bertahun-tahun tanpa terdeteksi.
c. A Superrior Structure for System Development
Kelompok pengembangan sistem baru bertanggung jawab untuk
merancang, memprogram, dan mengimplementasikan proyek sistem baru.
Setelah implementasi berhasil, tanggung jawab atas pemeliharaan sistem yang
berkelanjutan berada pada kelompok pemeliharaan sistem. Restrukturisasi ini
mempunyai implikasi yang secara langsung mengatasi dua masalah
pengendalian yang baru saja dijelaskan
Pertama, standar dokumentasi ditingkatkan karena kelompok
pemeliharaan memerlukan dokumentasi untuk melaksanakan tugas
pemeliharaannya. Kedua, menolak akses programmer asli ke program di masa
depan akan mencegah penipuan program.

3. The Distributed Model

Alternatif terhadap model terpusat adalah konsep pemrosesan data terdistribusi

(DDP). Topik DDP cukup luas, menyentuh topik terkait seperti komputasi pengguna
akhir, perangkat lunak komersial, jaringan, dan otomasi kantor: Sederhananya. DDP
melibatkan reorganisasi fungsi TI pusat menjadi unit II kecil yang ditempatkan di bawah
kendali pengguna akhir. Unit II dapat didistribusikan menurut fungsi bisnis, lokasi
geografis, atau keduanya. Semua atau salah satu fungsi TI.

a. Risiko Terkait dengan DDP

Pada bagian ini, membahasa mengenai risiko organisasi yang perlu
dipertimbangkan ketika menerapkan DDP. Diskusi ini berfokus pada isu-isu
penting yang membawa implikasi pengendalian yang harus dikenali oleh
auditor. Permasalahan potensial mencakup penggunaan sumber daya yang
tidak efisien, rusaknya jalur audit, pemisahan tugas yang tidak memadai,
meningkatnya potensi kesalahan pemrograman dan kegiatan sistem, serta
kurangnya standar.
Penggunaan Sumber Daya yang Tidak Efisien. DDP dapat memaparkan
organisasi pada tiga jenis risiko yang terkait dengan penggunaan sumber daya
organisasi yang tidak efisien.
1. Risiko kesalahan pengelolaan sumber daya TI di seluruh organisasi oleh
pengguna akhir. Ketika sumber daya TI di seluruh organisasi melebihi
jumlah ambang batas, misalnya 5% dari total anggaran operasi, tata kelola
TI yang efektif memerlukan pengelolaan dan pemantauan terpusat terhadap
sumber daya tersebut. Bagi banyak organisasi, layanan TI termasuk operasi
komputer, pemrograman, konversi data, dan manajemen bisnis data
memenuhi atau melampaui ambang batas ini.
2. DPP dapat meningkatkan risiko inefisiensi operasional karena mubazir
tugas yang dilakukan dalam komite penggunaan akhir. Inisiatif
pengembangan sistem otonom yang didistribusikan ke seluruh perusahaan
dapat menghasilkan penemuan kembali di setiap area pengguna roda
daripada mengambil keuntungan dari pekerjaan orang lain. Misal, program
aplikasi yang dibuat oleh satu pengguna, yang dapat digunakan dengan
sedikit atau tanpa perubahan oleh pengguna lain, akan didesain ulang dari
awal dan bukan dibagikan.
3. Lingkungan DPP menimbulkan risiko ketidakcocokan perangkat keras dan
perangkat lunak di antara fungsi pengguna akhir. Mendistribusikan
tanggung jawab pembelian TI kepada pengguna akhir dapat mengakibatkan
keputusan yang tidak terkoordinasi dan disusun dengan buruk. Misal,
pengambil keputusan di unit organisasi berbeda yang bekerja secara
independen mungkin memilih sistem operasi, platform teknologi,
spreadsheet, pengolah kata, dan paket database yang berbeda dan tidak
kompatibel.

Penghancuran Jejak Audit. Jejak audit memberikan hubungan antara

aktivitas keuangan (transaksi) perusahaan dan laporan keuangan yang
melaporkan aktivitas tersebut. Auditor menggunakan jejak audit untuk
menelusuri transaksi keuangan yang dipilih dari dokumen sumber yang
mencatat peristiwa tersebut, melalui jurnal, buku besar pembantu, dan lain-lain.
Jejak audit sangat penting untuk layanan pengesahan auditor. Jika pengguna
 akhir secara tidak sengaja menghapus salah satu file, jejak audit dapat hancur
dan tidak dapat dipulihkan. Jika pengguna akhir secara tidak sengaja
memasukkan kesalahan transaksi ke dalam file jejak audit, file tersebut dapat
rusak.

Pemisahan Tugas yang Tidak Memadai. Mencapai pemisahan tugas yang

memadai mungkin tidak dapat dilakukan di beberapa lingkungan terdistribusi.
Distribusi layanan TI kepada pengguna dapat mengakibatkan terciptanya unit-
unit independen kecil yang tidak memungkinkan pemisahan fungsi-fungsi yang
tidak kompatibel.

Mempekerjakan Profesional Berkualitas. Manajer pengguna akhir mungkin

kurang memiliki pengetahuan TI untuk mengevaluasi kredensial teknis dan
pengalaman relevan dari kandidat yang melamar posisi profesional TI. Jika unit
dimasuki karyawan baru berukuran kecil, peluang untuk mengembangkan diri,
melanjutkan pendidikan, dan promosi mungkin terbatas.

Kurangnya Standar. Karena pembagian tanggung jawab di lingkungan DDP,

standar untuk mengembangkan dan mendokumentasikan sistem, memilih
bahasa pemrograman, memperoleh perangkat keras dan perangkat lunak, dan
mengevaluasi kinerja mungkin diterapkan secara tidak merata atau bahkan
tidak ada sama sekali.

b. Kelebihan DDP
Bagian ini membahas potensi keuntungan DDP, termasuk pengurangan
biaya, peningkatan pengendalian biaya, peningkatan kepuasa pengguna, dan
pencadangan.
Pengurangan Biaya. Selama bertahun-tahun, mencapai skala ekonomi adalah
pembenaran utama kation untuk pendekatan pemrosesan data terpusat.
Ekonomi pemrosesan data lebih menyukai komputer yang besar, mahal, dan
kuat. Beragamnya kebutuhan yang diharapkan dapat dipenuhi oleh sistem
terpusat juga memerlukan komputer yang sangat digeneralisasikan dan
menggunakan sistem operasi yang kompleks. Selain itu, peralihan ke DDP
telah mengurangi biaya di dua bidang lainnya : (1) data dapat diedit dan
dimasukkan oleh pengguna akhir, sehingga menghilangkan tugas penyiapan
data yang terpusat, (2) kompleksitas aplikasi dapat dikurangi, yang pada
gilirannya mengurangi biaya pengembangan dan pemeliharaan sistem.
 Peningkatan Tanggung Jawab Pengendalian Biaya. Manajer pengguna
akhir memikul tanggung jawab atas keberhasilan finansial operasi mereka.
Tanggung jawab ini mengharuskan mereka diberdayakan secara tepat dengan
wewenang untuk mengambil keputusan mengenai sumber daya yang
mempengaruhi kesuksesan mereka secara keseluruhan. Menurut pendukung
DDP manfaat dari perbaikan sikap manajemen melebihi biaya tambahan apa
pun yang timbul dari pendistribusian sumber daya ini. Mereka berpendapat jika
kemampuan TI memang penting bagi keberhasilan operasi bisnis, maka
manajemen harus diberi kendali atas sumber daya tersebut.
Peningkatan Kepuasa Pengguna. Para pendukung DDP menyatakan bahwa
pendistribusian sistem kepada pengguna akhir memperbaiki tiga bidang
kebutuhan yang seringkali tidak terpenuhi dalam model terpusat: (1) seperti
yang dinyatakan sebelumnya, pengguna ingin mengendalikan sumber daya
yang mempengaruhi profitabilitas mereka, (2) pengguna menginginkan
profesional sistem responsif terhadap situasi spesifik mereka, (3) pengguna
ingin lebih aktif terlibat dalam pengembangan dan implementasi sistem mereka
sendiri.
Fleksibilitas Cadangan. Argumen terakhir yang mendukung DDP adalah
kemampuan untuk membuat cadangan fasilitas komputasi untuk melindungi
dari potensi bencana seperti kebakaran, banjir, sabotase, dan gempa bumi.
Satu-satunya cara untuk membuat cadangan situs komputer pusat terhadap
bencana tersebut adalah menyediakan fasilitas komputer kedua.

4. Mengontrol Lingkungan DDP

DDP mempunyai nilai prestise tertentu yang, ketika menganalisis pro dan
kontranya, mungkin melebihi pertimbangan penting mengenai manfaat ekonomi dan
kelayakan operasional. Sebelum mengambil langkah yang tidak dapat diubah, para
pengambil keputusan harus menilai manfaat DPD yang sebenarnya bagi organisasi
mereka. Bagian ini mengulas beberapa perbaikan pada model DPD yang ketat.

a. Menerapkan Fungsi TI Perusahaan

Model yang sepenuhnya tersentralisasi dan model yang terdistribusi
mewakili posisi ekstrim pada kontinum alternatif struktural.
Pengujian Pusat Perangkat Lunak dan Perangkat Keras Komersial. Grup
IT korporat memiliki yang tersentralisasi memiliki perlengkapan dibandingkan
 pengguna akhir untuk mengevaluasi keunggulan produk perangkat lunak dan
perangkat keras komersial yang bersaing.
Layanan Pengguna. Fitur berharga dari grup korporat adalah fungsi layanan
penggunanya.
Badan Penetapan Standar. Lingkungan pengendalian yang relatif buruk yang
disebabkan oleh model DPD dapat diperbaiki dengan menetapkan pedoman
pusat.
Tinjauan Personil. Kelompok korporat seringkali lebih siap dibandingkan
pengguna untuk mengevaluasi kredensial teknis calon profesional
sistemLayanan Pengguna.
b. Tujuan Audit
Untuk memverifikasi bahwa struktur fungsi TI sedemikian rupa sehingga
individu-individu di area yang tidak kompatibel dipisahkan sesuai dengan
tingkat potensi resiko dan dengan cara mendukung lingkungan kerja.
c. Prosedur Audit
Akan diterapkan pada organisasi dengan fungsi TI terpusat:
1. Tinjau dokumentasi yang relevan
2. Tinjau dokumentasi sistem dan catatan pemeliharaan untuk sampel aplikasi
3. Verifikasi bahwa operator komputer tidak memiliki akses ke rincian
operasional logika internal sistem
4. Melalui observasi
5. Tinjau bagan organisasi saat ini
6. Verfikasi bahwa pengendalian kompensasi
7. Tinjau dokumentasi sistem untuk memverifikasi aplikasi

C. PUSAT KOMPUTER

Akuntan secara rutin memeriksa lingkungan fisik pusat komputer sebagai

bagian dari audit tahunan mereka. Tujuan dari bagian ini adalah untuk menyajikan
resiko pusat komputer dan pengendalian yang membantu mengurangi resiko dan
menciptakan lingkungan yang aman.

1. Lokasi Fisik

Lokasi fisik pusat komputer secara langsung memengaruhi resiko kehancuran

akibat bencana alam atau akibat ulah manusia.

2. Konstruksi
 Pusat komputer harus berlokasi digedung lantai satu dengan konstruksi kokoh.

3. Mengakses

Akses ke pusat komputer harus dibatasi hanya untuk operator dan karyawan
lainnya.

4. AC (Air Conditioning)

Komputer berfungsi paling baik di lingkungan ber-AC dan menyediakan AC

yang memadai sering kali merupakan persyaratan garansi vendor. Komputer
beroperasi paling baik pada kisaran suhu 70 hingga 75 derajat farenheit dan
kelembapan relative 50%. Kesalahan logika dapat terjadi pada perangkat keras
komputer ketika suhu menyimpang secara signifikan dari kisaran optimal ini.

5. Pemadaman Kebakaran

Kebakaran adalah ancaman paling serius terhadap peralatan komputer

perusahaan. Penerapan sistem pemadaman kebakaran yang efektif memerlukan
konsultasi dengan para ahli. Namun, beberapa fitur utama dari sistem tersebut adalah
sebagai berikut.

1. Alarm otomatis dan manual sebaiknya ditempatkan pada lokasi strategis di

sekitar instalasi dan dihubungkan ke stasiun pemadam kebakaran yang
memiliki staf tetap.
2. Harus ada sistem pemadam kebakaran otomatis yang mengeluarkan cairan
yang sesuai jenis penekanan untuk lokasi tersebut.
3. Alat pemadam kebakaran manual sebaiknya ditempatkan di lokasi yang
strategis.
4. Bangunan harus memiliki konstruksi yang kokoh agar tahan terhadap
kerusakan akibat air yang disebabkan oleh peralatan pemadam kebakaran.
5. Pintu keluar kebakaran harus diberi tanda dan penerangan yang jelas jika
terjadi kebakaran.
6. Toleransi Kesalahan

Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasi

ketika bagian dari sistem gagal karena kegagalan perangkat keras, kesalahan program
aplikasi, atau kesalahan operator. Ada dua contoh teknologi toleransi kesalahan
sebagai berikut.

1. Array Disk Independen (RAID) yang berlebihan. Raid melibatkan penggunaan

disk paralel yang berisi elemen data dan aplikasi yang berlebihan. Jika satu
disk gagal, data bekas yang hilang secara otomatis direkonstruksi dari
komponen berlebihan yang disimpan di disk lain.
2. Catu daya yang tidak pernah terputus. Tenaga listrik yang disediakan secara
komersial menimbulkan beberapa masalah yang dapat mengganggu
pengoperasian pusat komputer, termasuk kegagalan daya total, pemadaman
listrik, fluktuasi daya, dan variasi frekuensi. Peralatan yang digunakan untuk
mengendalikan masalah ini meliputi pengatur tegangan, pelindung lonjakan
arus, generator, dan baterai cadangan. Jika terjadi pemadaman listrik,
perangkat ini menyediakan daya cadangan selama jangka waktu yang wajar
untuk memungkinkan pemulihan layanan listrik komersial. Jika terjadi
pemadaman listrik yang berkepanjangan, kekuatan peretasan akan
memungkinkan sistem komputer dimatikan secara terkendali dan mencegah
kehilangan data serta kerusakan yang dapat diakibatkan oleh kerusakan sistem
yang tidak terkendali.
7. Tujuan Audit

Tujuan auditor adalah untuk mengevaluasi pengendalian yang mengatur

keamanan pusat komputer secara khusus, auditor harus memverifikasi bahwa:

1. Pengendalian keamanan fisik memadai untuk melindungi organisasi dari

serangan paparan fisik.
2. Perlindungan asuransi atas peralatan cukup untuk memberikan komputer
kepada organisasi penghancuran, atau kerusakan pada pusat komputernya.
8. Prosedur Audit

Berikut pengujian control keamanan fisik sebagai berikut.

Pengujian Konstruksi Fisik. Auditor harus mendapatkan rencana arsitektur untuk

menentukan bahwa pusat komputer dibuat kokoh dari bahan tahan api dan auditor
harus menilai lokasi fisik pusat komputer.

Pengujian Sistem Deteksi Kebakaran. Auditor harus menetapkan bahwa peralatan

deteksi dan pemadam kebakaran manual maupun otomatis tersedia dan diuji secara
teratur.
Tes Kontrol Akses. Auditor harus menetapkan bahwa akses rutin ke pusat komputer
dibatasi hanya untuk karyawan yang berwenang.

Tes Serangan. Kebanyakan sistem yang menggunakan RAID menyediakan pemetaan

grafis dari penyimpanan disk yang berlebihan. Dari pemetaan ini, auditor harus
menentukan apakah tingkat RAID yang diterapkan memadai untuk organisasi,
mengingat tingkat risiko bisnis yang terkait dengan kegagalan disk. Jika organisasi
tidak menggunakan RAID, ada potensi kegagalan sistem pada satu titik. Auditor harus
meninjau prosedur alternatif dengan administrator sistem untuk memulihkan kegagalan
disk.

Pengujian Catu Daya Tak Terputus. Pusat komputer harus bekerja pengujian berkala
terhadap catu daya cadangan untuk memastikan bahwa catu daya tersebut memiliki
kapasitas yang cukup untuk menjalankan komputer dan AC. Ini adalah tes yang sangat
penting, dan hasilnya harus dicatat secara formal. Ketika sistem komputer suatu
perusahaan berkembang, dan ketergantungannya meningkat, kebutuhan daya
cadangan cenderung meningkat secara proporsional. Tanpa pengujian tersebut,
sebuah organisasi mungkin tidak menyadari bahwa kapasitas cadangannya telah
melampaui batasnya hingga semuanya sudah terlambat.

Tes untuk Perlindungan Asuransi. Auditor harus meninjau organisasi setiap

tahunnya. Perlindungan asuransi atas perangkat keras komputer, perangkat lunak, dan
fasilitas fisiknya itu auditor harus memverifikasi bahwa semua akuisisi baru tercantum
dalam kebijakan dan sudah using peralatan dan perangkat lunak telah dihapus.

D. DISASTER RECOVERY PLANNING

Disaster Recovery Planning (DRP) adalah perencanaan untuk pengelolaan

rasional dan cost effective bencana terhadap sistem informasi yang telah atau akan
terjadi. Bencana yang dimaksud dapat meliputi bencana alami seperti kebakaran,
banjir atau angin topan, dan bencana karena buatan manusia seperti sabotase dan
error, atau pun karena kegagalan sistem seperti pemadaman listrik dan kegagalan
hard drive. Bencana seperti yang telah disebutkan tidak dapat dicegah atau dihindari.
Ketika perusahaan terkena dampaknya maka kelangsungan hidup perusahaan akan
terancam atau seberapa cepat perusahaan bereaksi terhadap bencana yang terjadi.
Maka dari itu Disaster Recovery Planning (DRP) dilakukan dengan tujuan agar
perusahaan memiliki perencanaan untuk dapat meminimalisir risiko dan optimalisasi
suatu perusahaan dalam menghadapi risiko benca Semua bencana yang terjadi dapat
menghilangkan fasilitas pemrosesan data suatu organisasi, menghentikan fungsi bisnis
yang dilakukan atau dibantu oleh komputer, dan mengganggu kemampuan organisasi
untuk menghasilkan produk atau layanannya. Perusahaan akan mengalami
kelumpuhan dalam menjalankan bisnisnya. Semakin besar ketergantungan suatu
organisasi terhadap teknologi, maka akan semakin rentan organisasi tersebut terhadap
risiko-risiko tersebut. Oleh karena itu dengan perencanaan kontinjensi yang cermat,
dampak bencana sepenuhnya dapat diserap oleh organisasi dan dipulihkan kembali.
Perusahaan mengembangkan prosedur pemulihan dan memformalkannya menjadi
Disaster Recovery Planning (DRP). Semua rencana yang dapat diterapkan memiliki
empat ciri umum:na yang sewaktu-waktu terjadi.

1. Identify Critical Applications

Mengidentifikasi aplikasi penting perusahaan dan file data terkait merupakan

elemen penting pertama dari DRP. Perusahaan atau organisasi harus menentukan
daftar aplikasi penting yang menunjang operasional perusahaan. Upaya pemulihan
harus dikonsentrasikan pada pemulihan aplikasi-aplikasi penting untuk kelangsungan
hidup organisasi dalam jangka pendek. Karena dalam organisasi, kelangsungan hidup
jangka pendek memerlukan pemulihan fungsi yang menghasilkan arus kas untuk
memenuhi kewajiban jangka pendek, Misalnya:

a. Penjualan dan layanan pelanggan

b. Pemenuhan kewajiban hukum
c. Pemeliharaan dan penagihan piutang keputusan produksi dan distribusi
d. Fungsi pembelian
e. Pengeluaran tunai (rekening dan penggajian)

Aplikasi komputer yang mendukung fungsi bisnis ini secara langsung sangatlah
penting. Oleh karena itu, penerapan-penerapan ini harus diidentifikasi dan
diprioritaskan dalam rencana restorasi.

2. Creating a Disaster Recovery Team

Pembentukan tim bertujuan untuk menjelaskan peran dari masing-masing

anggota tim agar perbaikan dapat dilakukan tepat waktu. Dalam hal ini gambaran dari
komposisi tim dapat dibagi menjadi tiga bagian dengan tanggung jawab pemulihan
yang berbeda, yaitu:
 a. Tim second-site facilities yang terdiri dari manajer DP, manajer operasi
komputer, dan manajer teleproses. Memiliki tanggung jawab Mempersiapkan
situs cadangan untuk pengoperasian dan memperoleh perangkat keras dari
vendor.
b. Tim Data program dan pencadangan terdiri dari manajer pengembangan
sistem, manajer pemeliharaan sistem, pemrogram sistem senior, pemrogram
pemeliharaan senior, perwakilan departemen pengguna, dan perwakilan audit
internal. Memiliki tanggung jawab menyediakan versi terkini dari semua aplikasi
penting, file data, dan dokumentasi.
c. Tim Konversi dan control data terdiri dari kontrol data manajer, konversi data
manajer, pengawas pergeseran konversi data, perwakilan departemen
pengguna, dan perwakilan audit internal. Memiliki tanggung jawab untuk
membangun kembali fungsi konversi data dan kontrol data yang diperlukan
untuk memproses aplikasi penting.

3. Providing Second-Site Backup

Unsur penting dalam DRP adalah menyediakan fasilitas pemrosesan duplikat

data setelah terjadinya bencana. Diantaranya adalah:

Mutual Aid Pact (Pakta bantuan timbal balik), adalah kesepakatan antara dua
organisasi atau lebih (dengan fasilitas komputer yang kompatibel) untuk saling
membantu dalam kebutuhan pemrosesan data jika terjadi bencana.

Shell kosong atau cold site plan adalah pengaturan dimana perusahaan membeli
atau menyewa gedung yang akan berfungsi sebagai pusat data. Jika terjadi bencana,
shell tersedia dan siap menerima perangkat keras apa pun yang dibutuhkan pengguna
sementara untuk menjalankan sistem penting. Namun pendekatan ini mempunyai
kelemahan mendasar. Pemulihan bergantung pada ketersediaan tepat waktu
perangkat keras komputer yang diperlukan untuk memulihkan fungsi pemrosesan data.

Recovery Operation Center (ROC), situs panas adalah pusat data cadangan lengkap
yang digunakan bersama oleh banyak perusahaan.

Internally Provided Backup, perusahaan mengembangkan konfigurasi perangkat

keras dan perangkat lunak yang terstandarisasi, yang menjamin kompatibilitas
fungsional antara pusat pemrosesan data mereka dan meminimalkan masalah
peralihan jika terjadi bencana.
a. Backup and Off-Site storage Procedures
Operating System Backup. Jika perusahaan menggunakan cold side atau
situs lainnya cadangan yang tidak mencakup sistem operasi yang kompatibel.
Data pada sistem ini jika ada akan menjadi orang kunci yang terlibat dalam
melaksanakan tugas ini sebagai tambahan yang kaitannya dengan prosedur
pencadangan aplikasi dan data yang dibahas selanjutnya.
Application Backup. Berdasarkan yang diperoleh dari application critical step
yang dibahas sebelumnya drp harus mencakup prosedur untuk membuat
salinan versi critical application saat ini. Pada kasus perangkat lunak komersial
dapat melibatkan pembelian salinan cadangan pemuda akhiran perangkat
lunak terbaru yang digunakan oleh organisasi. Untuk aplikasi yang digunakan
sendiri prosedur pencadangan harus menjadi langkah integral dalam
pengembangan sistem dan proses perubahan program yang dibahas secara
rinci.
Backup Data Files. Pencadangan basis data yang canggih adalah the remoted
mirrored site yang menyediakan mata uang data lengkap. Tidak semua
organisasi bersedia atau mampu berinvestasi pada sumber daya cadangan
tersebut. Namun minimal database harus disalin setiap hari ke media
berkapasitas tinggi dengan berkecepatan tinggi seperti tape atau CD atau DVD.
Backup Documentation. Dalam suatu sistem dokumentasi untuk aplikasi
penting harus dicadangkan d dan disimpan di luar lokasi bersama dengan
aplikasi tersebut. Namun beberapa pencadangan dokumentasi dapat
disederhanakan dengan dibuat lebih efisien melalui penggunaan alat
dokumentasi Computer Aided Software Engineering.
Backup Supplies and Source Documents. Beberapa organisasi harus
membuat inventaris cadangan persediaan dan dokumen sumber yang
digunakan dalam pemrosesan transaksi penting sebagai contoh persediaan
penting adalah cek stock, faktur, pesanan pembelian dan formulir tujuan khusus
lainnya yang tidak dapat diperoleh dengan segera. Di FB harus menentukan
jenis dan jumlah yang dibutuhkan dalam barang-barang khusus ini karena hal
ini merupakan elemen rutin dalam operasi sehari-hari.
Testing the DRP. Pada tes di Rp penting dan harus dilakukan secara berkala
karena pengujian mengukur kesiapan personel dan mengidentifikasi kelalaian
atau hambatan dalam rencana.
b. Audit Objective
 Auditor harus memverifikasi bahwa rencana pemulihan bencana
manajemen memadai dan layak untuk menangani hal tersebut yang dapat
menghilangkan sumber daya komputasi.
c. Audit Procedures
Site Backup. Seorang auditor harus skeptis terhadap pengaturan tersebut
karena dua alasan yang pertama kecanggihan sistem komputer yang mungkin
menyulitkan pencarian calon mitra dengan konfigurasi yang kompatibel. Yang
kedua sebagian besar perusahaan tidak mempunyai kapasitas berlebih yang
diperlukan untuk mendukung mitra mereka yang terkena bencana dan juga
memproses pekerjaan mereka sendiri.
Critical Application List. Seorang auditor harus meninjau daftar aplikasi
penting untuk memastikan ke depannya dan kelengkapannya. Aplikasi yang
hilang dapat mengakibatkan kegagalan pemulihan namun hal yang sama juga
berlaku untuk memulihkan aplikasi yang tidak diperlukan.
Software Backup. Seorang auditor harus memverifikasi bahwa salinan aplikasi
penting dan sistem operasi disimpan di luar lokasi. Auditor juga harus
memverifikasi kalau aplikasi yang disimpan di luar lokasi adalah yang terbaru
dengan membandingkan nomor versinya dengan aplikasi sebenarnya yang
digunakan.
Data Backup. Seorang editor harus memverifikasi bahwa file data penting telah
dicandakan sesuai dengan DRP.
Backup SUpplies, Documents, Documentation. Persediaan dan dokumen
sumber daya yang diperlukan untuk memproses transaksi penting harus
didukung dan disimpan di luar lokasi auditor harus memverifikasi jenis dan
jumlah barang ditemukan dalam drp seperti cek stok, faktur pesanan pembelian
dan pesanan khusus lainnya.
Disaster Recovery Team. Auditor harus memverifikasi bahwa anggota tim
adalah karyawan saat ini dan mengetahui karyawan mereka tanggung jawab
apa yang telah diberikan.

E. OUTSOURCING THE IT FUNCTION

1. Risk Inherent to It Outsourcing
a. Failure to Perform
Ketika perusahaan klien melakukan outsourcing aset TI tertentu
kinerjanya menjadi terkait dengan kinerja vendor karena implikasi negatif dari
 ketergantungan tersebut terlihat dari permasalahan keuangan yang menimpa
vendor outsourcing besar elektronik data sistem corp.
b. Vendor Exploitation
Pengalihdayaan ti skala besar melibatkan pengalihan aset spesifik ke
vendor seperti desain, pengembangan, dan pemeliharaan aplikasi bisnis unik
yang sangat penting bagi kelangsungan hidup ke organisasi. Aset tertentu
meskipun beragam bagi klien hanya bernilai kecil bagi vendor di luar kontrak
langsung dengan klien.
c. Outsourcing Costs Ezceed Benefits
Pengalihdayaan ti telah dikritik dengan alasan timbulnya biaya tak
terduga dan manfaat yang diharapkan tidak terwujud sepenuhnya. Sebuah
survei menggunakan bahwa 47% dari 66 perusahaan yang disurvei melakukan
bahwa biaya outsourcing melebihi manfaat outsourcing.
d. Reduce Security
Informasi yang dialihkan ke vendor luar negeri menimbulkan pertanyaan
unik dan serius mengenai hal ini menjaga pengendalian internal dan
perlindungan data pribadi sensitif. Ketika perusahaan sistem keuangan
dikembangkan dan diposting di luar negeri dan kode program dikembangkan
melalui atas muka dengan cara yang perusahaan tuan rumah perusahaan-
perusahaan beresiko diposting di luar negeri dan kode program dikembangkan
melalui atas muka dengan cara yang perusahaan tuan rumah perusahaan-
perusahaan beresiko kehilangan mengendalikan informasi mereka.
2. Audit Implications of It Outsourcing

Manajemen dapat melakukan outsourcing fungsi TI atau organisasinya namun

tidak dapat melakukan outsourcing tanggung jawab manajemennya berdasarkan sox
untuk memasukkan pengendalian internal di yang memadai. Pernyataan standar audit
nomor 70 (SAS) Adalah standar definitif oleh auditor organisasi klient yang mana dapat
memperoleh pengetahuan yang bisa mengendalikan pihak ketiga vendor untuk
mencegah atau mendeteksi kesalahan material yang dapat berdampak pada laporan
keuangan klien. Laporan sas 70 yang disiapkan oleh auditor vendor menunjukkan
pengujian terhadap kecukupan pengendalian internal vendor ini adalah cara yang
digunakan seseorang vendor outsourcing dapat memperoleh satu laporan audit yang
dapat digunakan oleh audit lainnya dan dengan demikian menghilangkan kebutuhan
bagi setiap auditor perusahaan klien untuk melakukan auditnya sendiri. Menerbitkan
lapangan SHS 70 tentang kecukupan keuntungan masing-masing perusahaan klient di
audit oleh auditor ABC dan D yang berbeda yang sebagai bagian dari auditnya
masing-masing mengandalkan laporan SKS 70 vendor Dengan demikian tidak dipaksa
untuk menguji pengujian pendek secara individual. Mengingat bahwa vendor mungkin
memiliki ratusan atau hewan ribuan klien pengujian individu dikenal x akan sangat
mengganggu operasi vendor merugikan klien dan tidak praktis.
 KESIMPULAN

Bab ini menyajikan risiko dan pengendalian terkait tata kelola TI. Hal ini dimulai
dengan definisi singkat tata kelola TI dan mengidentifikasi implikasinya terhadap
pengendalian internal dan pelaporan keuangan. Selanjutnya disajikan paparan yang
dapat timbul dari penataan fungsi TI yang tidak tepat dalam organisasi. Bab ini beralih
ke tinjauan terhadap anacaman dan pengendalian pusat computer yang mecakup
perlindungannya dari kerusakan dan kehancuran akibat bencana alam, kebakaran,
suhu, dan kelembapan. Bab ini juga menyajikan elemen-elemen kunci dari rencana
pemulihan bencana. Beberapa faktor perlu dipertimbangkan dalam rencana tersebut,
termasuk menyediakan cadangan situs kedua, megidentifikasi aplikasi penting,
melakukan prosedur cadangan dan penyimpanan di luar lokasi, membentuk tim
pemulihan bencana, dan menguji DRP.
 REFERENSI

Hall, James A dan Singleton Tommie. 2011. Information Technology Auditing and
Assurance 3 rd Edition. South-Western Cengange Learning: Amerika Serikat.