AUDITING IT GOVERNANCE CONTROLS

Tugas Mata Kuliah

Auditing EDP

Oleh:
Kelompok 7
Rini Fatmasari 160810301045
Afifatul Atikah 160810301057
Sri Puspita Sari 160810301127
Antonius Hari Surya Djara 160810301110

Program Studi Akuntansi

Fakultas Ekonomi dan Bisnis
Universitas Jember
2019
 PENDAHULUAN

Teknologi informasi adalah suatu aset yang sangat berharga dalam suatu
perusahaan, dimana peranan teknologi informasi (TI) telah mampu mengubah pola
pekerjaan, kinerja karyawan bahkan sistem manajemen dalam mengelola sebuah
organisasi. Teknologi informasi bisa memiliki peranan penting menggantikan peran
manusia secara otomatis terhadap suatu siklus sistem mulai dari input, proses dan
output di dalam melaksanakan aktivitas pekerjaan serta telah menjadi fasilitator utama
bagi kegiatan-kegiatan bisnis yang memberikan andil besar terhadap perkembangan
organisasi. Selain itu pelaku bisnis juga harus mempertimbangkan faktor eksternal
perusahaan yang semakin sulit untuk diprediksi. Keunggulan daya saing dapat
diciptakan salah satunya karena perusahaan mampu mengelola sumber daya
informasi dengan baik sehingga menjadi nilai tambah bagi perusahaan.
Keberhasilan penerapan dan pengembangan sistem informasi saat ini telah
menjadi salah satu indikator dari kinerja perusahaan yang menjadi sorotan.
Perusahaan dengan dukungan teknologi informasi yang baik dan memadai akan
memiliki nilai tambah dari pesaingnya baik berupa respon yang lebih cepat, sampai
dengan penanganan masalah yang lebih akurat.
Materi “Auditing TI Governance Control” menarik untuk dibahas karena semakin
berkembangnya tekhnologi maka banyak orang mulai menyadari bahwa TI terkait
dengan semua aspek bisnis perusahaan, maka tata kelola TI harus dilihat sama nilai
pentingnya dengan standar pengelolaan bisnis.Tata kelola TI yang efektif mampu
menghasilkan keuntungan-keuntungan bisnis yang nyata misalnya reputasi,
kepercayaan, dan pangsa pasara. Hal itu mampu menurunkan resiko manajemen
Terdapat beberapa alasan penting mengapa audit TI perlu dilakukan, antara lain:
(1) kerugian akibat kehilangan data; (2) kesalahan dalam pengambilan keputusan (3)
risiko kebocoran data; (4) penyalahgunaan komputer; (5) kerugian akibat kesalahan
proses perhitungan; dan (6) tingginya nilai investasi perangkat keras dan perangkat
lunak komputer serta semakin ketatnya persaingan antar perusahaan dalam
menjalankan bisnisnya yang berbasis teknologi informasi
Oleh karena itu topik pada bab ini memaparkan penyajian eksposur yang dapat
timbul dari struktur pemalsuan TI yang tidak tepat, perlindungan sistem dari kerusakan
baik bencana alam, kebakaran, sampai hal tak terduga lainnya, dan elemen kunci
rencana pemulihan bencana dengan harapan pembaca dapat memahami cara
penyusunan fungsi TI, mengenal kontrol dan tindakan pencegahan yang diperlukan
untuk menjamin keamanan fasilitas komputer, memahami elemen kunci dari rencana
pemulihan bencana, sampai dengan mengenal manfaat, risiko dan masalah audit
terkait dengan outsourcing TI.
 PEMBAHASAN
2.1 Information Technology Governance (Tata Kelola Teknologi Informasi)
Tata Kelola Teknologi Informasi (IT Governance) merupakan bagian yang
baru didalam tata kelola perusahaan yang fokus pada manajemen dan penilaian
strategis sumber daya teknologi informasi. Tujuan utama IT Governance adalah
mengurangi risiko dan memastikan bahwa investasi dalam bentuk sumberdaya
IT dapat memberikan nilai tambah bagi perusahaan. sebelum adanya Sarbanes-
Oxley Act, praktk umum yang dilakukan mengenai investasi IT adalah untuk
menunda semua keputusan profesional IT perusahaan. Tata kelola IT yang
modern mengikuti filosofi semua pemangku kepentingan perusahaan, termasuk
direktur, manajemen tingkat atas dan pengguna departemen menjadi peserta
aktif didalam keputusan kunci IT. Keterlibatan berbasis luas seperti mengurangi
risiko dan meningkatkan kemungkinan bahwa keputusan teknologi informasi
akan sesuai dengan kebutuhan pengguna, kebijakan perusahaan, inisiatif
strategis dan persyaratan pengendalian internal di bawah SOX.
IT Governance Controls (Kontrol Tata Kelola Teknologi Informasi)
Isu-isu tata kelola TI yang ditangani oleh SOX dan Kerangka COSO
pengendalian internal adalah sebagai berikut:
1. Struktur organisasi dari fungsi IT
2. Operasi komputer pusat
3. Perencanaan pemulihan dari bencana
Diskusi setiap isu-isu tata kelola ini diawali dengan penjelasan tentang sifat
risiko dan deskripsi kontrol diperlukan untuk mengurangi risiko. Kemudian, tujuan
audit disajikan, yang menetapkan apa yang perlu diverifikasi mengenai fungsi
kontrol. Akhirnya, contoh tes kontrol yang ditawarkan untuk menggambarkan
bagaimana auditor mengumpulkan bukti untuk memenuhi tujuan audit. Pengujian
ini dapat dilakukan oleh auditor eksternal sebagai bagian dari jasa atestasi atau
oleh auditor internal yang menyediakan bukti kepatuhan manajemen dengan
SOX.
2.2 Structure Of The Information Technology Function (Struktur dari Fungsi TI)
Struktur organisasi dari fungsi IT memiliki dampak alam dan efektivitas
pengendalian internal, dimana hal tersebut juga berdampak pada audit.
Beberapa isu yang terkait dengan struktur IT harus diperiksa. Sebagai gambaran
terdapat dua model struktur yang ekstrim, yaitu pendekatan secara terpusat dan
pendekatan secara terdistribusi.
2.2.1 Centralized Data Processing (CDP)
Centralized data processing adalah merupakan suatu gambaran tentang
pengolahan data, sekelompok unit komputer menjalankan semua proses
data yang lebih besar pada sebuah central site yang akan membantu para
pemakainya dalam organisasi.

Dari gambar tersebut menjelaskan bahwa terdapat Aktivitas layanan TI

yang menjadi pusat dan mengelola sumber daya organisasi yang
dibutuhkan oleh beberapa pengguna akhir. Pengguna akhir yang ada pada
gambar ini adalah keuangan, distributor, akuntansi, produksi dan
pemasaran yang bersaing untuk mendapatkan informasi dari sumber daya
berdasarkan kebutuhan. Fungsi layanan Teknologi Informasi biasanya
berlaku sebagai pusat biaya yang kemudian biaya operasinya
dibebabankan kepada masing-masing pengguna akhir.
Gambar 2.2 mengilustrasikan bagan organisasi fungsi teknologi
informasi terpusat dan menunjukan area layanan utamanya yaitu
administrasi database, pengolahan data dan pengembangan dan
pemeliharaan sistem.
 Layanan Teknologi Informasi memiliki tiga layanan utamanya beserta
fungsinya, sebagai berikut:
1. Administrasi Database
Perusahan yang dikelola secara sentral akan mempertahankan
sumber data mereka di lokasi pusat yang dimiliki oleh semua
pengguna akhir. Pengaturan data bersama ini merupakan sebuah
kelompok independen yang dipimpin oleh Administrator Database
(DBA) yang bertanggungjawab terhadap keamanan dan integrasi
database.
2. Manajer Pengolahan Data
Pengelolaan data mengelola sumber data komputer yang digunakan
untuk melakukan pemrosesan transaksi sehari-hai. Yang terdiri dari
fungsi organisasi sebagai berikut :
 Konversi data, yang berfungsi untuk mentranskipsikan data
transaksi dari dokumen sumber hard copy ke dalam input komputer.
 Operasi komputer, jadi setelah dilakukannya konversi data
kemudian diproses oleh komputer pusat yang dikelola oleh
kelompok operasi komputer.
 Perpustakaan data, perpustakaan data ini merupakan sebuah ruang
yang digunakan untuk menyimpan file-file yang telah diproses atau
off-line baik itu file yang berupa data saat ini atau berupa backup
data. Misalnya, perpustakaan data dapat digunakan untuk
menyimpan data cadangan pada DVD, CD-ROM, kaset, atau
perangkat penyimpanan lainnya
3. Manajer Pengembangan Sistem
 Sistem informasi kebutuhan pengguna terbagi menjadi 2 fungsi yaitu
pengembangan sistem dan pemeliharaan sistem. Kelompok terdahului
bertanggungjawab untuk menganalisis kebutuhan pengguna dan
merancang sistem baru untuk memenuhi kebutuhan tersebut.
pengambil bagian dalam kegiatan pengembangan sistem yaitu
 Profesional Sistem, yaitu mecakup analis sistem, perancang
database, dan program yang merancang serta membangun sistem.
Profesional sistem mengumpulkan fakta tentang maslah pengguna,
menganalisis fakta dan merumuskan solusi. Produk unggulan
mereka adalah berupa sistem informasi baru.
 Pengguna Akhir, adalah mereka yang sistemnya dibangun. Mereka
adalah manajer yang menerima laporan dari sistem dan personil
operasi yang bekerja secara langsung dengan sistem tersebut
sebagian bagian dari tanggungjawab harian mereka.
 Pemangku kepentingan, adalah individu yang berasal dari dalam
maupun luar perusahaan yang memiliki kepentingan denga sistem
namun nukan sebagai pengguna akhir. Seperti akuntan, auditor
internal, auditor eksternal dan pihak lainnya yang mengawasi
perkembangan sistem.
2.2.2 Pemisahan Fungsi Teknologi Informasi yang Tidak Sesuai
Pentingnya dilakukan pemisahan tugas yang tidak sesuai dengan
aktivitas manual, hal tersebut telah dijelaskan pada bab sebelumnya.
Sehingga secara khusus, tugas operasional harus dipisahkan menjadi :
 Otorisasi Transaksi terpisah dari proses transaksi.
 Memisahkan catatan dari penitipan aset
 Bagi tugas pemrosesan transaksi di antara individu-individu sehingga
kolusi antara dua atau lebih kecurangan individu tidak akan mungkin
dilakukan.
Lingkungan TI cenderung mengkonsolidasikan kegiatan. satu aplikasi
mungkin memberikan kekuasaan, memproses dan mencatat semua aspek
transaksi. Dengan demikian, fokus pengendalian pemisahan dari tingkat
oprasional (tugas pemrosesan transaksi yang dilakukan oleh komputer
sekarang) ke hubungan organisasi yang lebih tinggi dalam fungsi
komputer. Berdasarkan bagan pada gambar 2.2 maka terdapat keterkaitan
antara pemisahan ini dengan pengembangan sistem, pemeliharaan sistem,
 administrasi database, dan aktivitas operasi komputer yang diperiksa
selanjutnya.
 Memisahkan Pengembangan Sistem dari Operasi Komputer
Pemisahan proses pengembangan sistem dan kegiatan operasional
merupakan hal yang perlu dilakukan. Proses pengembangan sistem harus
dapat menentukan hak akses dari setiap pengguna mana yang dapat
memasukkan data dan menjalankan program.
Bagian operasional harus dapat menjalankan sistem tersebut dan tidak
berhubungan langsung selama proses pembuatan sistem. Jika bagian
operasional mengetahui logika dasar pemrograman aplikasi komputer yang
dijalankannya, maka bagian operasional tersebut dapat mengubah dengan
sengaja cara kerja aplikasi selama menjalankan aplikasi tersebut.
 Memisahkan Administrasi Database dari Fungsi lainnya
Fungsi dari database administration adalah membuat skema database,
memberikan hak akses database ke user, mengawasi penggunaan
database, merencanakan pengembangan dari database itu sendiri.
 Memisahkan Pengembangan Sistem Baru dari Pemeliharaan
Dalam pengembangan sistem, perusahaan mengatur sistemnya ke
dalam 2 kelompok yaitu:
 Analisis Sistem, bertugas untuk menentukan desain dari sistem yang
baru dengan melakukan pendekatan dengan user yang akan
menggunakan sistem yang baru tersebut dengan cara melakukan
wawancara atau membagikan kuesioner
 Tim programming membuat program atau aplikasi yang akan
digunakan dalam sistem dengan menggunakan source code yang
sesuai dengan aplikasi yang diinginkan.
Cara ini juga dapat menimbulkan masalah dalam pelaksanaannya di
antara lain :
o Dokumentasi yang tidak memadai
Proses mendokumentasikan biasanya tidak terlalu diperhatikan oleh
programmer, karena hal ini tidak terlalu menarik perhatian
programmer. Mereka lebih senang mengerjakan proyek baru,
daripada untuk membuat sebuah laporan pada saat satu proyek telah
selesai.
 Job Security. Ketika dokumen tidak dicatat dengan baik, maka akan
susah untuk dilakukan interpretasi, pengetesan, dan menjalankan
program atau aplikasi yang sudah dibuat. Terlebih lagi jika
programmer yang sudah membuat program meninggalkan
perusahaan, akan menjadi sebuah kesulitan yang sangat besar bagi
programmer baru yang menggantikannya untuk menangani program
tersebut
o Kecurangan Program
Ketika programmer yang membuat aplikasi juga melakukan
pemeliharaan terhadap program yang dibuatnya sendiri, maka
potensi terjadinya kecurangan akan semakin besar. Programmer
dapat secara sengaja melakukan perubahan hal-hal yang
menimbulkan program menjadi error sehingga tidak dapat digunakan.
Pada saat proses maintenance, programmer dapat dengan bebas
mengakses sistem, dan membetulkan source code yang sebenarnya
sengaja dibuat salah pada proses pembuatan program. Hal ini tentu
sangat merugikan perusahaan yang harus mengeluarkan biaya
tambahan untuk membayar jasa programmer tersebut.
2.2.3 Pengolahan Data Terdistribusi
Distributed data processing (DDP) merupakan bentuk yang sering
digunakan akhir-akhir ini sebagai perkembangan dari time sharing system.
Bila beberapa sistem komputer yang bebas tersebar yang masing-masing
dapat memproses data sendiri dan dihubungkan dengan jaringan
telekomunikasi, maka istilah time sharing sudah tidak tepat lagi. DDP dapat
didefinisikan sebagai suatu sistem komputer interaktif yang terpencar
secara geografis dan dihubungkan dengan jalur telekomunikasi dan seitap
komputer mampu memproses data secara mandiri dan mempunyai
kemampuan berhubungan dengan komputer lain dalam suatu sistem.
a. Risiko Terkait dengan Distributed Data Processing (DDP)
Bagian ini membahas risiko organisasi yang perlu
dipertimbangkan saat menerapkan DDP. Diskusi berfokus pada isu-isu
penting yang membawa dampak pengendalian yang harus diakui oleh
auditor. Masalah potensial meliputi :
 Penggunaan Sumber Daya
DDP yang tidak efisien dapat mengekspos dan mengorganisir tiga
jenis risiko yang terkait dengan penggunaan sumber daya organisasi
yang tidak efisien, diantaranya :
 Risiko salah urus sumber daya TI di seluruh organisasi oleh
pengguna akhir. Beberapa berpendapat bahwa ketika sumber
daya keseluruhan organisasi melebihi ambang batas, misalnya 5
persen dari total anggaran operasi, tata kelola TI yang efektif
memerlukan pengelolaan pusat dan pemantauan sumber daya
semacam itu. Bagi banyak organisasi, layanan TI dalam
menggabungkan operasi komputer, pemrograman, konversi
data, dan pengelolaan basis data memenuhi atau melampaui
ambang batas ini.
 DDP dapat meningkatkan risiko inefisiensi operasional karena
adanya tugas berlebihan yang dilakukan dalam komite pengguna
akhir. Inisiatif pengembangan sistem otonom yang didistribusikan
ke seluruh perusahaan dapat menghasilkan setiap area
pengguna yang ditemukan kembali roda daripada memanfaatkan
hasil kerja orang lain. Misalnya, aplikasi program yang dibuat
oleh satu pengguna, yang bisa digunakan dengan sedikit atau
tanpa perubahan akan didesain ulang dari awal. Demikian juga,
data yang umum bagi banyak pengguna dapat diciptakan
kembali untuk masing-masing, menghasilkan tingkat redundansi
data yang tinggi. Keadaan ini berimplikasi pada akurasi data dan
konsistensi.
 Lingkungan DDP menimbulkan risiko perangkat keras dan
perangkat lunak yang tidak kompatibel di antara fungsi pengguna
akhir. Mendistribusikan tanggung jawab untuk pembelian TI
kepada pengguna akhir dapat mengakibatkan keputusan yang
tidak terkoordinasi dan kurang dipahami. Misalnya, manajer
keputusan di unit organisasi yang berbeda yang bekerja secara
independen dapat menyesuaikan diri dengan sistem operasi,
platform teknologi, spreadsheet, pengolah kata, dan paket
database yang berbeda dan tidak kompatibel. Perangkat keras
dan perangkat lunak tidak kompatibel dapat menurunkan dan
mengganggu konektivitas antar unit, menyebabkan hilangnya
 transaksi dan kemungkinan kerusakan jejak audit.
 Kerusakan jejak Audit.
Jejak audit memberikan keterkaitan antara kegiatan keuangan
(transaksi) perusahaan dan laporan keuangan yang melapor pada
kegiatan tersebut. Auditor menggunakan jejak audit untuk melacak
transaksi keuangan terpilih dari dokumen sumber yang menangkap
kejadian tersebut, melalui jurnal, buku besar pembantu,dan akun
buku besar yang mencatat kejadian tersebut, dan akhirnya pada
laporan keuangan itu sendiri.
Dalam sistem DDP, jalur audit terdiri dari satu set file transaksi digital
dan file-file yang paling banyak yang berada sebagian atau
seluruhnya pada komputer pengguna akhir. Jika pengguna akhir
secara tidak sengaja menghapus salah satu file , jejak audit dapat
dihancurkan dan tidak dapat dipulihkan. Demikian pula, jika
pengguna akhir secara tidak sengaja memasukkan kesalahan
transaksi ke dalam file jejak audit, hal itu bisa menjadi rusak.
 Pemisahan tugas yang tidak memadai.
Pemisahan tugas untuk orang yang menulis program aplikasi dengan
yang melakukan pemeliharaan program, dan yang memasukkan data
transaksi ke dalam komputer, dan yang mengoperasikan
perlengkapan komputer kadang tidak dapat dilakukan dalam
beberapa lingkungan terdistribusi.
 Memperkerjakan Profesional yang berkualitas
Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI
untuk mengevaluasi kredensial teknis dan pengalaman dalam
mengoperasikan TI. Dan juga, jika unit organisasi dioperasikan oleh
seorang karyawan baru yang belum berpengalaman kemungkinan
besar akan banyak terjadi kesalahan. Manajer mungkin mengalami
kesulitan menarik personil berkualifikasi tinggi. Risiko kesalahan
pemrograman dan kegagalan sistem meningkat secara langsung
dengan tingkat ketidakmampuan karyawan.
 Kurangnya Standar
Penentang DDP berpendapat bahwa risiko yang terkait dengan
perancangan dan pengoperasian sistem DDP dapat ditolerir hanya
jika standar tersebut diterapkan secara konsisten.
b. Keuntungan Distributed Data Processing
Keuntungan Potensial dari pengolahan data terdistribusi diantaranya
adalah :
 Pengurangan Biaya
Pada tahun-tahun sebelumnya pengolahan data menggunakan
pendekatan terpusat dimana biaya yang digunakan untuk
mendapatkan sistem tersebut tidak sedikit, dan juga, dapat
mengurangi keuntungan.
Mikrokomputer canggih dan murah dan komputer mini yang dapat
melakukan fungsi khusus telah mengubah ekonomi pengolahan data
secara dramatis. Selain itu, biaya unit penyimpanan data, yang
dulunya merupakan pembenaran untuk mengkonsolidasikan data di
lokasi sentral, sudah tidak menjadi pertimbangan utama. Selain itu,
pindah ke DDP telah mengurangi biaya di dua bidang lainnya: (1)
data dapat diedit dan dimasukkan oleh pengguna akhir, sehingga
menghilangkan tugas terpusat dari persiapan data; dan (2)
kompleksitas aplikasi dapat dikurangi, yang pada gilirannya
mengurangi biaya pengembangan dan pemeliharaan sistem.
 Tanggung Jawab Kontrol Biaya yang Lebih Baik.
Manajer pengguna akhir bertanggung jawab atas keberhasilan
operasi mereka. Tanggung jawab ini mengharuskan mereka diberi
wewenang yang benar dengan wewenang untuk membuat keputusan
tentang sumber daya yang mempengaruhi kesuksesan mereka
secara keseluruhan. Ketika manajer dilarang membuat keputusan
yang diperlukan untuk mencapai tujuan mereka, kinerjanya dapat
terpengaruh secara negatif. Manajemen yang kurang agresif dan
kurang efektif dapat berkembang.
Pendukung DDP berpendapat bahwa manfaat dari sikap manajemen
yang lebih baik lebih besar daripada biaya tambahan yang
dikeluarkan untuk mendistribusikan sumber daya ini. Mereka
berpendapat bahwa jika kemampuan TI memang penting bagi
keberhasilan operasi bisnis, maka manajemen harus diberi kontrol
atas sumber daya ini. Argumen ini membantah diskusi sebelumnya
yang mendukung sentralisasi sumber daya organisasi.
  Peningkatan Kepuasan Pengguna
Pendukung DDP mengklaim bahwa sistem pendistribusian ke
pengguna akhir memperbaiki tiga area kebutuhan yang sering kali
tidak terpuaskan dalam model terpusat (1) seperti yang dinyatakan
sebelumnya, pengguna ingin mengendalikan sumber daya yang
mempengaruhi profitabilitas mereka, (2) pengguna menginginkan
profesional sistem (analis, pemrogram , dan operator komputer
bersikap responsif terhadap situasi spesifik mereka dan (3) pengguna
ingin lebih terlibat secara aktif dalam mengembangkan dan
menerapkan sistem mereka sendiri.
 Fleksibilitas Cadangan
DDP adalah kemampuan untuk mencadangkan fasilitas komputasi
untuk melindungi terhadap potensi bencana seperti kebakaran, banjir,
sabotase, dan gempa bumi. Satu-satunya cara untuk membuat
cadangan situs komputer utama mencadangkan dari bencana
tersebut adalah dengan menyediakan fasilitas komputer kedua.
c. Mengendalikan lingkungan DDP
DDP membawa nilai prestise mutakhir tertentu,DDP memberikan
pertimbangan penting mengenai manfaat ekonomi dan kemampuan
operasional. Beberapa organisasi telah beralih ke DDP .Namun banyak
inisiatif DDP terbukti tidak efektif, dan bahkan kontraproduktif, karena
para pengambil keputusan melihat kebajikan sistem ini yang lebih
simbolis daripada nyata Sebelum mengambil langkah yang tidak dapat
dipulihkan, para pengambil keputusan harus menilai manfaat
sebenarnya dari DDP untuk organisasinya.
 Menerapkan Fungsi IT Perusahaan
 Pengujian Pusat Perangkat Lunak dan Perangkat keras.
Kelompok TI korporat terpusat lebih siap daripada pengguna akhir
untuk mengevaluasi kelebihan produk perangkat lunak dan
perangkat keras komersial yang bersaing yang dipertimbangkan.
Kelompok teknikal sentral, teknis sebagai tute seperti ini dapat
mengevaluasi fitur, kontrol, dan kompatibilitas sistem dengan
industri dan organisasi. standar. Hasil uji kemudian dapat
didistribusikan ke area pengguna sebagai standar untuk
membimbing keputusan akuisisi. Hal ini memungkinkan organisasi
 untuk secara efektif memusatkan akuisisi, pengujian, dan
implementasi perangkat lunak dan perangkat keras dan
menghindari banyak masalah yang dibahas sebelumnya.
 Layanan Pengguna.
Fitur yang berharga dari grup perusahaan adalah fungsi layanan
penggunanya Aktivitas ini memberikan bantuan teknis kepada
pengguna selama pemasangan perangkat lunak baru dan dalam
mengatasi masalah masalah perangkat keras dan perangkat lunak.
Pembuatan papan buletin elektronik untuk pengguna adalah cara
terbaik untuk mendistribusikan informasi tentang masalah umum
dan memungkinkan berbagi program yang dikembangkan
pengguna dengan orang lain di organisasi. Selain itu, ruang obrolan
dapat dibuat untuk memberikan diskusi berulir, sering tanya jawab
(FAQ), dan dukungan intranet. Fungsi TI perusahaan juga bisa
menyediakan meja bantuan, di mana pengguna dapat menelepon
dan mendapat tanggapan cepat terhadap pertanyaan dan
pertanyaan.
 Badan pengaturan standar.
Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh
model DDP dapat ditingkatkan dengan menetapkan beberapa
panduan utama. Salah satunya perusahaan menetapkan dan
mendistribusikan ke standar yang sesuai bagi pengembangan,
pemrograman dan dokumentasi sistem.
 Ulasan personalia.
Kelompok perusahaan seringkali lebih siap melengkapi pengguna
untuk mengevaluasi kredensial teknis profesional sistem prospektif.
Meskipun profesional sistem sebenarnya akan menjadi bagian dari
kelompok pengguna akhir, keterlibatan kelompok perusahaan
dalam keputusan kerja dapat memberikan layanan yang berharga
bagi organisasi.
2.2.4 Tujuan Audit
Tujuan auditor adalah untuk memverifikasi bahwa struktur fungsi TI
sehingga pada dividen di daerah yang tidak sesuai dipisahkan sesuai
dengan tingkat risiko potensialnya
2.2.5 Prosedur Audit
 Prosedur audit berikut akan diterapkan pada organisasi dengan fungsi TI
terpusat.
 Meninjau dokumentasi yang relevan
 Meninjau dokumentasi sistem dan catatan pemeliharaan untuk
contoh aplikasi.
 Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan untuk
proyek tertentu juga bukan programmer desain asli.
 Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang
diikuti dalam praktik
2.3 The Computer Center
a) Physical Location (Lokasi Fisik)
Lokal fisik yang harus diatur agar tidak mengalami kerusakan akibat
bencana alam ataupun kesalahan yang dilakukan oleh manusia. Contoh:
Perusahaan diusahakan mencari atau memilih lokasi tempat yang tepat
untuk menghindari terjadi bencana alam seperti gempa bumi atau banjir.
b) Construction (Konstruksi)
Sebuah kondisi bangunan tempat dimana komputer harus dalam keadaan
bagus dan kokoh agar terhindar dari ganggunan pada server saat
melakukan pengelolaan data. Supply listrik harus diperhatikan dan
bangunan harus selalu dalam keadaan bersih dijauhkan dari debu-debu
agar pada saat mengakses data tidak terjadi gangguan pada server.
c) Access (Akses)
Sebuah keamanan pada pusat server yang dilakukan dengan cara pintu
diunci atau menggunakan kartu pada saat pekerja masuk kedalam ruangan
server ataupun melakukan pemasangan kamera perekam (CCTV) guna
untuk melakukan penjagaan keamanan pada penyimpanan data.
d) Air Conditioning
Merupakan suhu pada ruangan server yang harus disesuaikan dengan
kebutuhan komputer karena hal ini bisa membuat komputer eror atau
pemrosesan yang lambat akibat suhu yang panas.
e) Fire Suppression (Pemadam Kebakaran)
Penyedia layanan penuh terhadap sistem, termasuk pencegahan
kebakaran harus terstruktur dengan baik. Contoh: Perusahaan harus bisa
memilih penempatan yang tepat untuk meletakkan alat tabung kebakaran
 atau alarm kebakaran dan melakukan pelatihan jika terjadi musibah
kebakaran maka user atau pekerja agar mereka tidak panik.
f) Fault Tolerance (Toleransi Kesalahan Tujuan Audit)
Merupakan sebuah kemampuan sistem dalam melanjutkan operasinya
ketika sebagian dari sistem tersebut gagal karena adanya kegagalan
perangkat keras, kesalahan dalam program aplikasi, atau kesalahan
operator.
g) Audit Objective (Tujuan Audit)
Digunakan untuk memastikan bahwa kontrol-kontrol yang ada terhadap
data center tersedia keberadaanya dan berfungsi serta di maintain
dengan baik
h) Audit Procedures (Prosedur Audit)
Prosedur Audit Berikut ini adalah pengujian kontrol keamanan fisik.
 Pengujian Konstruksi Fisik.
 Pengujian Sistem Deteksi Kebakaran
 Pengujian Kontrol Akses.
 Pengujian Sebagian besar yang menggunakan RAID menyediakan
pemetaan grafis dari mereka.
 Pengujian Uninterruptible Power Supply.
 Pengujian Cakupan Asuransi.
2.4 Disaster Recovery Planning
Menurut Maiwald-Sieglein (2002), suatu bencana didefinisikan sebagai
kejadian tentang segala peristiwa yang menyebabkan gangguan penting pada
kemampuan teknologi informasi. Bencana itu sendiri ada yang berasal dari alam,
bencana yang bersumber dari manusia, maupun bencana yang berasal dari
sistem itu sendiri.
Disaster recovery plan merupakan kemampuan organisasi menanggapi
bencana atau gangguan pelayanan melalui implementasi rencana pemulihan
bencana untuk menstabilkan dan memulihkan fungsi kritis organisasi yang dibuat
untuk membantu mengembalikan serta mengurangi dampak bila terjadi bencana
yang mengakibatkan kerusakan data elektronik yang mendukung proses
bisnis perusahaan.
Disaster recovery plan terdiri atas tiga perencanaan yaitu: (a)
Perencanaan proteksi adalah perencanaan yang dibuat untuk mencegah
terjadinya bencana, (b) Perencanaan pengatasan bencana adalah perencanaan
yang dibuat untuk mengurangi dampak dari bencana terhadap perusahaan, dan
(c) Perencanaan pemulihan adalah perencanaan yang dibuat untuk membantu
perusahaan dalam melakukan pemulihan agar proses bisnis dapat berjalan
kembali. Spesifikasi dari disaster rocovery plan itu sendiri, terdiri dari tiga
aktivitas dasar, yakni:
a) Mengidektifikasi aplikasi penting
b) Membangun tim penanganan bencana
c) Menyediakan situs back-up cadangan
2.4.1 Identify Critical Applications (mengidentifikasi aplikasi kritis)
Elemen penting dari DRP melibatkan prosedur mengidentifikasi aplikasi
dan file data perusahaan yang akan dipulihkan. Namun, upaya pemulihan
harus difokuskan pada pemulihan aplikasi dan data yang sangat penting
bagi kelangsungan hidup jangka pendek yang menentukan kelangsungan
hidup jangka panjang yang membutuhkan pemulihan fungsi-fungsi yang
menghasilkan arus kas yang cukup untuk memenuhi kewajiban jangka
pendek. Misalnya:
a) Penjualan dan layanan pelanggan
b) Pemenuhan kewajiban hukum
c) Pemeliharaan dan pengumpulan piutang usaha
d) Produksi dan distribusi
e) Pembelian
f) Komunikasi antar cabang atau agensi
Prioritas aplikasi dapat berubah dari waktu ke waktu, dan keputusan ini
harus dinilai ulang secara berkala. Sistem terus direvisi dan diperluas
untuk mencerminkan perubahan dalam kebutuhan pengguna. Demikian
pula, DRP harus diperbarui untuk mencerminkan perkembangan baru dan
mengidentifikasi aplikasi penting.
2.4.2 Creating a Disaster Recovery Team (membuat tim pemulihan
bencana)
DRP harus dengan jelas mencantumkan nama, alamat, dan nomor
telepon darurat para anggota tim pemulihan dari bencana. Auditor harus
memverifikasi bahwa para anggota tim merupakan karyawan yang
masih bekerja dan menyadari tanggung jawab yang diberikan kepada
mereka. Para anggota tim haruslah para ahli dalam bidang masing-
masing dan memiliki pekerjaan tertentu yang ditugaskan padanya.
 Setelah terjadinya bencana, anggota tim akan mendelegasikan berbagai
subpekerjaan ke bawahan mereka. Lingkungan yang terbentuk akibat
rencana mungkin mengharuskan dilakukannya pelanggaran atas teknik
pengendalian, seperti pemisahan pekerjaan, pengendalian akses, dan
pengawasan.
2.4.3 Providing Second-Site Backup (menyediakan situs backup)
Bahan yang diperlukan dalam DRP adalah menyediakan fasilitas
pengolahan data duplikat setelah terjadi bencana. Di antara pilihan yang
tersedia, yang paling umum adalah mutual aid pact (pakta bantuan
bersama); empty shell or cold site (situs kosong atau dingin); recovery
operations center or hot site (pusat operasi pemulihan atau situs yang
panas); dan internally provided backup (cadangan yang disediakan
secara internal). masing-masing dibahas pada bagian berikut :
 Mutual Aid Pact (pakta bantuan bersama).
Pakta bantuan bersama adalah kesepakatan antara dua atau lebih
organisasi (dengan fasilitas komputer yang kompatibel) untuk saling
membantu dengan kebutuhan pengolahan data mereka jika terjadi
bencana.
 Empty Shell (Situs kosong)
Situs kosong atau situs dingin adalah pengaturan dimana
perusahaan membeli atau menyewa bangunan yang akan berfungsi
sebagai pusat data. Jika terjadi bencana, situsnya tersedia dan siap
menerima perangkat keras apapun yang dibutuhkan penguna
sementara untuk menjalankan sistem penting. Walau bagaimanapun
pendekatan ini memiliki kelemahan mendasar. Pemulihan tergantung
pada ketersediaan perangkat keras komputer yang diperlukan untuk
mengembalikan fungsi pemrosesan data. manajemen harus
mendapatkan jaminan melalui kontrak dengan vendor perangkat
keras yang meski dalam bencana, vendor akan memberi prioritas
pada kebutuhan perusahaan. Masalah pasokan perangkat keras
yang tak terduga pada titik kritis ini bisa menjadi pukulan fatal.
 Recorvery Operations Center (Pusat operasi pemulihan)
pusat operasi pemulihan atau situs panas. Pusat operasi pemulihan
(ROC) atau situs yang panas adalah pusat data cadangan lengkap
yang dimiliki banyak perusahaan. Selain fasilitas perangkat keras dan
 cadangan, penyedia layanan ROC menawarkan berbagai layanan
teknis kepada klien mereka, yang membayar biaya tahunan untuk
hak yang benar. Jika terjadi bencana besar, pelanggan dapat
melakukan premissi dan, beberapa saat kemudian, melanjutkan
pemrosesan aplikasi penting.
 Internally provided backup ( cadangan yang disediakan secara
internal)
Organisasi yang lebih besar dengan banyak pusat pemrosesan data
sering memilih kemandirian yang menciptakan kapasitas kelebihan
internal. Hal ini memungkinkan perusahaan untuk mengembangkan
konfigurasi perangkat keras dan perangkat lunak standar, yang
memastikan kompatibilitas fungsional di antara pusat pemrosesan
data dan meminimalkan masalah pemotongan jika terjadi bencana.
Backup and Off-Site Strorage Producers (menentukan cadangan
penyimpanan diluar kantor)
Semua file data, aplikasi, dokumentasi, dan persediaan yang
diperlukan untuk melakukan fungsi penting harus dicadangkan secara
otomatis dan disimpan di lokasi yang aman di luar lokasi. Personel
pengolahan data harus secara rutin melakukan prosedur backup dan
penyimpanan untuk mendapatkan sumber daya kritis.
 Operating System Backup (Cadangan Sistem Operasi)
Jika perusahaan menggunakan situs yang dingin atau metode
pencadangan situs lainnya yang tidak termasuk sistem operasi yang
kompatibel, prosedur untuk mendapatkan versi sistem operasi terkini
harus ditentukan dengan jelas. Pustakawan data jika ada akan
menjadi orang kunci untuk terlibat dalam melakukan tugas ini pada
tambahan aplikasi dan prosedur backup data yang dibahas
selanjutnya.
 Application Backup (Cadangan Aplikasi)
Berdasarkan hasil yang diperoleh pada tahap aplikasi kritis yang
telah dibahas sebelumnya, DRP harus mencakup prosedur untuk
membuat salinan dari aplikasi kritis versi terkini. Dalam kasus
perangkat lunak komersial, ini melibatkan pembelian salinan
cadangan dari upgrade perangkat lunak terbaru yang digunakan oleh
organisasi.
 Backup Data Files (File data cadangan)
Backup state-of-the-art dalam backup database adalah situs mirror
jarak jauh, yang menyediakan data lengkap mata uang. Tidak semua
organisasi bersedia atau mampu menginvestasikan sumber daya
cadangan tersebut. Seminimal mungkin Namun, database harus
disalin setiap hari ke media berkapasitas tinggi dan berkecepatan
tinggi, seperti DVD tape atau CD dan diamankan di luar lokasi. Jika
terjadi gangguan, rekonstruksi database dicapai dengan
memperbarui versi cadangan terbaru dengan data transaksi
berikutnya. Demikian juga, file master dan file transaksi harus
dilindungi.
 Backup Documentation
Dokumentasi cadangan Dokumentasi sistem untuk aplikasi kritis
harus dicadangkan dan disimpan di luar lokasi beserta aplikasi.
Dokumentasi sistem dapat merupakan jumlah material yang
signifikan dan proses backup diperumit lebih lanjut dengan
perubahan aplikasi yang buram. Backup dokumentasi mungkin
disederhanakan dan dibuat lebih efisien melalui penggunaan alat
dokumentasi Computer Aided Software Engineering (CASE). DRP
juga harus menyertakan ketentuan yang mendukung manual
pengguna akhir karena individu yang memproses transaksi dalam
kondisi bencana mungkin bukan staf biasa yang terbiasa dengan
sistem.
 Backup supplies and source documents
Persediaan Cadangan dan Dokumen Sumber. Organisasi harus
membuat persediaan cadangan persediaan dan dokumen sumber
yang digunakan dalam memproses transaksi penting. Contoh
persediaan kritis adalah cek saham, faktur, pesanan pembelian, dan
bentuk tujuan khusus lainnya yang tidak dapat diperoleh dengan
segera. DRP harus secara khusus jenis dan jumlah yang dibutuhkan
dari barang-barang khusus ini Karena ini adalah elemen rutin dari
operasi sehari-hari, seringkali mereka diabaikan oleh rencana
 kontinjensi bencana. Pada titik ini ada baiknya jika salinan dokumen
DRP saat ini juga harus disimpan di luar lokasi di lokasi yang aman.
 Testing the DRP (Menguji DRP)
Aspek perencanaan kontinjensi yang paling diabaikan adalah
menguji DRP. Meskipun demikian, tes DRP penting dan harus
dilakukan secara berkala. Pengujian mengukur kesiapan personil dan
mengidentifikasi kelalaian atau kemacetan dalam rencana.
Tes yang paling berguna saat simulasi gangguan adalah kejutan.
Ketika bencana tiruan diumumkan, status semua pemrosesan yang
terkena dampaknya harus didokumentasikan. Pendekatan ini
memberikan tolok ukur untuk penilaian kinerja selanjutnya. Rencana
tersebut harus dilakukan sejauh memungkinkan secara ekonomi.
Idealnya, itu termasuk penggunaan fasilitas dan persediaan cadangan.
Kemajuan rencana harus dicatat pada poin-poin kunci selama
periode pengujian. Pada akhir pengujian, hasilnya kemudian dapat
dianalisis dan laporan kinerja DRP disiapkan. Tingkat kinerja yang dicapai
memberikan masukan untuk keputusan untuk memodifikasi DRP atau
menjadwalkan tes tambahan. Manajemen organisasi harus mencari
ukuran kinerja di masing-masing bidang berikut: (1) keefektifan personil
tim DRP dan tingkat pengetahuan mereka: (2) tingkat keberhasilan
konversi (Jumlah catatan yang hilang); (3) perkiraan kerugian finansial
akibat kehilangan catatan atau fasilitas, dan (4) efektivitas program. data.
dan dokumentasi prosedur backup dan recovery
2.4.4 Audit objective
Auditor harus memverifikasi bahwa rencana pemulihan bencana
manajemen cukup layak dilakukan untuk mengatasi malapetaka yang
dapat menghambat penyelenggaraan sumber daya komputasi.
2.4.5 Audit Procedures
Dalam memverifikasi bahwa DRP manajemen adalah solusi realistis
untuk menghadapi malapetaka, tes berikut dapat dilakukan.
 Situs backup
Backup Situs Auditor harus mengevaluasi kecukupan pengaturan situs
cadangan. Ketidakcocokan sistem dan sifat manusia keduanya sangat
mengurangi keefektifan kesepakatan bersama. Auditor harus skeptis
terhadap pengaturan semacam itu karena dua alasan, yaitu pertama
 kecanggihan sistem komputer bisa menyulitkan mencari pasangan
potensial dengan konfigurasi yang kompatibel. Kedua, kebanyakan
perusahaan tidak memiliki kelebihan kapasitas yang diperlukan untuk
mendukung mitra yang mengalami bencana dan juga memproses
pekerjaan mereka sendiri ketika menghadapi krisis, manajemen
perusahaan yang tidak tersentuh oleh bencana kemungkinan akan memiliki
sedikit nafsu makan untuk pengorbanan yang harus dilakukan. dibuat untuk
menghormati kesepakatan tersebut.
Jika organisasi klien menggunakan metode shell kosong, maka auditor
perlu memverifikasi adanya kontrak yang valid dengan vendor perangkat
keras yang menjamin pemborosan perangkat keras komputer yang
dibutuhkan dengan penundaan minimum setelah bencana. Jika klien
adalah anggota ROC, auditor harus memperhatikan jumlah anggota ROC
dan penyebaran geografisnya. Bencana yang meluas dapat menciptakan
permintaan yang tidak dapat dipenuhi oleh fasilitas ROC.
 Critical application list
Auditor harus meninjau kembali daftar aplikasi penting untuk memastikan
bahwa aplikasi itu lengkap. aplikasi yang hilang dapat mengakibatkan
kegagalan untuk dipulihkan. Hal yang sama berlaku untuk memulihkan
aplikasi yang tidak diperlukan. Untuk memasukkan aplikasi pada daftar
kritis yang tidak diperlukan untuk mencapai kelangsungan hidup jangka
pendek, hal tersebut dapat menyesatkan dan mengalihkan perhatian dari
tujuan utama selama periode pemulihan.
 Software backup
Auditor harus memverifikasi bahwa salinan aplikasi kritis dan sistem
operasi disimpan dalam off-site. Auditor juga harus memverifikasi bahwa
aplikasi yang saat ini disimpan dalam off-site dengan membandingkan
nomor versi mereka dengan yang digunakan oleh orang lain.
 Data backup
Auditor harus memverifikasi bahwa file data penting dicadangkan atau
didukung sesuai dengan DRP.
 Backup supplies, documents, and documentatins
Persediaan dokumentasi sistem, dan dokumen sumber yang diperlukan
untuk memproses transaksi penting harus dicadangkan dan disimpan
dalam off-site. Auditor harus memverifikasi bahwa jenis dan jumlah barang
 yang ditentukan dalam DRP seperti memeriksa saham, faktur, pesanan
pembelian, dan formulir tujuan khusus ada di lokasi yang aman.
 Disaster recorvery team
DRP harus secara jelas mencantumkan nama, alamat, dan nomor darurat
anggota tim pemulihan bencana. Auditor harus memverifikasi bahwa
anggota tim adalah karyawan saat ini dan menyadari tanggung jawab
mereka yang ditugaskan.
2.5 Outsoucing Fungsi IT
Dalam iklim persaingan usaha yang semakin ketat, perusahaan berusaha
untuk melakukan efisiensi biaya produksi. Salah satu solusinya adalah dengan
sistem outsourcing, dimana dengan sistem ini perusahaan diharapkan dapat
menghemat pengeluaran dalam membiayai sumber daya manusia (SDM)
yang bekerja di perusahaan yang bersangkutan. Outsourcing atau contracting
out adalah pemindahan pekerjaan dari satu perusahaan ke perusahaan lain.
IT outsourcing sendiri tidak berbeda jauh dengan definisi
outsourcing secara umum. IT outsourcing adalah penyediaan tenaga ahli yang
profesional dibidang teknologi informasi untuk mendukung dan memberikan
solusi guna meningkatkan kinerja perusahaan.
Salah satu bidang yang menjadi obyek outsourcing pada berbagai
perusahaan adalah fungsi TI. Bagi perusahaan, fungsi TI merupakan bidang
penunjang untuk mendukung operasional perusahaan yang lebih efektif dan
efisien. Sebagai support function fungsi IT di- outsource pada perusahaan
outsourcing TI, dengan pertimbangan untuk meningkatkan efisiensi dan agar
perusahaan dapat lebih memfokuskan diri pada bidang usaha yang ditekuninya.
Melalui outsourcing, perusahaan dapat memfokuskan segenap
sumberdaya yang dimilikinya untuk mencapai misi organisasi, sehingga
perusahaan mampu memberikan layanan terbaik pada konsumen. Selain itu,
dengan outsourcing, perusahaan juga dapat meningkatkan efisiensinya karena
dikerjakan oleh pemberi jasa yang mempunyai spesialisasi pada bidangnya dan
perusahaan dapat mengurangi biaya langsung dan biaya overhead pada bidang
yang di-outsource.
Terdapat keuntungan-keuntungan yang dirasakan perusahaan apabila
melakukan IT outsourcing, antara lain:
a) Perusahaan dapat fokus pada core business-nya dengan tetap menikmati
nilai-nilai positif dari sistem dan teknologi informasi.
b) Teknologi yang maju. IT outsourcing memberikan akses kepada organisasi
klien berupa kemajuan teknologi dan pengalaman personil.
c) Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya
TI
d) Mengurangi biaya dari pengadaan fungsi TI di perusahaan
e) Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan dikerjakan
sendiri secara internal, karena outsourcer
2.5.1 Risks Inherent to IT Outsourcing
Walau demikian penerapan strategi outsourcing fungsi TI bukan berarti
tanpa kendala. Ada resiko-resiko yang mungkin terjadi bila perusahaan
meng-outsource fungsi TI-nya, antara lain:
a) Performa dari sumber daya IT dapat gagal karena itu
semua bergantung pada vendor atau penyedia layanan.
b) Dapat terjadi ketidakseimbangan biaya dengan manfaat yang
dirasakan
c) Resiko terhadap keamanan data perusahaan, dimana IT outsource
sangat berhubungan dengan data perusahaan
d) Rentan dapat ditiru oleh pesaing lain bila aplikasi yang
dioutsourcingkan adalah aplikasi strategik
e) Kegagalan dalam keselarasan strategi antara perencanaan TI
dengan perencanaan bisnis perusahaan secara keseluruhan
f) Adanya kecenderungan outsourcer untuk merahasiakan sistem yang
digunakan dalam membangun sistem informasi bagi pelanggannya
agar jasanya tetap digunakan.
2.5.2 Audit Implication of IT Outsourcing
Dalam situasi dimana perusahaan melakukan outsourcing terhadap
sumber daya TI yang dimiliki, auditor harus mampu melakukan audit,
dimana tujuan audit dan metodologinya tetap sama, outsourcing tidak
memperkenalkan unsur-unsur baru tertentu yang perlu dipertimbangkan.
Area-area yang berhubungan dengan audit pada IT oursourcing, seperti:
software development, application support and maintenance, infrastructure
management services. Tujuan dari audit ini sendiri, antara lain:
a) Menilai resiko yang terkait dengan outsourcing, seperti ketersediaan
kelanjutan dari jasa, tingkat layanan dan keamanan informasi
b) Menelaah apakah tujuan dari outsourcing tercapai
c) Menilai strategi TI apakah telah dimodifikasi sehingga sesuai dengan
rencana IT outsourcing.
Seorang auditor dapat membuat checklist mengenai hal-hal penting
selama mengaudit IT outsourcing, seperti:
a) Contract
Kebanyakan pengaturan outsourcing diberlakukan setelah proses rinci
evaluasi, due diligence dan negosiasi, dengan pertukaran komunikasi
antara perusahaan dan penyedia layanan selama periode waktu.
Penting bagi kedua belah pihak untuk memiliki dokumen kontrak yang
memiliki kekuatan hukum dan merinci harapan yang disepakati
mengenai berbagai aspek pengaturan. Untuk auditor, titik awal
yang baik dalam mengaudit adalah dari kontrak outsourcing. Auditor
harus membuat pengawasan menyeluruh terhadap kontrak, seperti
yang akan dilakukan untuk setiap kontrak komersial besar, dan
mengevaluasi semua risiko seperti yang dilakukan dalam pemeriksaan
kontrak.
b) Statement of work
Informasi penting berikutnya dari sebuah kontrak adalah statement of
work atau laporan kerja yang berisi daftar pekerjaan yang harus
dilakukan oleh penyedia layanan. Auditor harus memeriksa
apakah proyek pekerjaan benar-benar dilakukan oleh penyedia
layanan dan sama dengan yang disebutkan dalam kontrak.
c) Data security
Berbagai tingkat akses ke aplikasi dan sistem harus diberikan
kepada personil penyedia layanan untuk memungkinkan mereka
melaksanakan pekerjaan. Prosedur yang tepat harus ditentukan untuk
menentukan bagaimana akses tersebut diberikan dan dipelihara.
Keamanan berkaitan dengan menjaga kerahasiaan, integritas dan
ketersediaan informasi. Auditor harus memeriksa apakah kebijakan
keamanan dan proses dari penyedia layanan sinkron dengan orang-
orang dari perusahaan. Auditor harus memeriksa apakah mekanisme
telah ditetapkan untuk pemantauan keamanan dan proses yang terkait.
Dalam beberapa kasus, tergantung pada sifat dari pekerjaan
outsourcing, personil dari penyedia layanan bahkan mungkin diberi
akses superuser ke beberapa sistem.
d) Impact on IT strategy
IT outsourcing sering dilakukan dalam skala yang cukup besar.
Outsourcing perlu dimasukkan ke dalam bisnis dan strategi
TI perusahaan. Dalam proses outsourcing, perusahaan tidak boleh
melupakan kenyataan bahwa TI berdampak pada bisnis secara
signifikan dan bermanfaat bagi perusahaan. Auditor harus melakukan
cek dari keseluruhan skenario TI perusahaan setelah outsourcing.
 KESIMPULAN
Tata Kelola Teknologi Informasi (IT Governance) merupakan bagian yang baru
didalam tata kelola perusahaan yang fokus pada manajemen dan penilaian strategis
sumber daya teknologi informasi. Tujuan utama IT Governance adalah mengurangi
risiko dan memastikan bahwa investasi dalam bentuk sumberdaya IT dapat
memberikan nilai tambah bagi perusahaan. Dimulai dari definisi singkat mengenai tata
kelola TI dan dilanjutkan dengan mengidentifikasi implikasi TI terhadap pengendalian
internal dan pelaporan keuangan. Dalam bab ini, kita mempertimbangkan tiga isu tata
kelola TI yang ditangani oleh SOX dan kerangka pengendalian internal COSO. yaitu:
a) Struktur organisasi fungsi IT
b) Pusat Operasi Komputer
c) Perencanaan pemulihan bencana.
Komputer center yang ada di perusahaan harus ditempatkan pada tempat yang
tepat, yaitu dengan suhu yang rendah, terdapat alat pencegah kebakaran baik secara
manual maupun yang otomatis, hanya dapat diakses oleh pihak yang memiliki
wewenang.
Dalam proses pemulihan dari setelah bencana ini, harus dilakukan di waktu
yang tepat. Tepatnya sesaat setelah terjadi bencana. Perusahaan juga sebelumnya
harus memiliki fasilitas pengelolaan penggandaan data. Untuk berjaga-jaga dari
kehilangan data yang tidak diinginkan dengan kejadian yang tidak terduga.
 REFERENSI

James A. Hall. 2011. Information Technology Auditing and Assurance. Cengage

Learning.