AUDIT KONTROL TATA KELOLA TI

Oleh:
Diah Dwi Utami NIM. 150810301104
Yuni Citra Andini NIM. 150810301054
Aprilina Dyah Anggraeni NIM. 150810301050
Erfita Mutiara Citra NIM. 150810301017
Intan Anizurrahmah NIM. 150810301037
TATA KELOLA TEKNIS INFORMASI

Merupakan subset terbaru dari tata kelola

perusahaan yang berfokus pada pengelolaan dan
penilaian sumber daya TI strategis.
Tujuannya adalah mengurangi risiko dan
memastikan bahwa investasi sumber daya TI
memberi nilai tambah bagi korporasi.
 Kontrol Tata Kelola TI
Terdapat tiga masalah tata kelola TI yang
ditangani oleh SOX dan kerangka pengendalian
internal COSO:
1. Struktur organisasi fungsi TI
2. Operasi di pusat komputer
3. Perencanaan pemulihan bencana
 Administrasi
Konversi data
Database
Struktur organisasi fungsi TI

Pengolahan data Operasi komputer

Pengolahan data
Perpustakaan data
terpusat

Model Pendekatan
Sistem profesional
terdistribusi

Pengembangan dan
Pengguna akhir
Pemeliharaan Sistem

Pemangku
kepentingan
 Segregasi fungsi TI yang tidak
kompatibel
Secara khusus, tugas operasional harus menjadi:
1. pemisahan otorisasi transaksi dari proses
transaksi,
2. pencatatan terpisah dari penitipan aset,
3. pembagian tugas antar rekening di antara
individu-individu karena rupa kekurangan kolusi
antara dua atau lebih penipuan individu tidak
akan mungkin dilakukan.
 Segregasi fungsi TI yang tidak
kompatibel
• Memisahkan Pengembangan Sistem dari
Operasi Komputer
• Memisahkan Administrasi Database dari
Fungsi LainMemisahkan pengembangan
sistem baru dari perawatan Dokumentasi
yang tidak memadai
• Program Penipuan
• Struktur superior untuk pengembangan
sistem
 Model Terdistribusi

• Resiko yang terkait dengan DDP

• Penggunaan sumber daya yang tidak efisien
 Lanjutan….
• Pemusnahan jalur audit.
• Pemisahan tugas yang tidak memadai
• Mempekerjakan Profesional Berkualitas.
• Kurangnya Standar
 KEUNTUNGAN DDP
1. Pengurangan biaya.
2. Tanggung Jawab Kontrol Biaya yang Lebih
Baik
3. Peningkatan Kepuasan Pengguna.
4. Fleksibilitas Cadangan
MENGONTROL LINGKUNGAN DDP
• Melaksanakan Fungsi Perusahaan
• Pengujian Pusat Perangkat Lunak dan
Perangkat Lunak Komersial
• Layanan Pengguna
• Standard-Setting Body
• Ulasan personalia
 Tujuan auditor
Tujuan auditor adalah untuk memverifikasi
struktur fungsi TI dengan memisahkan setiap
individu sesuai dengan tingkat risiko potensial
serta dengan cara mempromosikan lingkungan
kerja.
 Prosedur Audit
Prosedur audit berikut akan berlaku untuk sebuah organisasi dengan
fungsi TI terpusat:
• Meninjau dokumentasi yang relevan
• Meninjau dokumentasi sistem dan catatan pemeliharaan
• Pastikan operator komputer tidak memiliki akses ke rincian
operasional logika internal sistem.
• Melalui pengamatan

Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI

terdistribusi:
• Tinjau bagan organisasi saat ini
• Verifikasi bahwa kebijakan dan standar perusahaan untuk
perancangan sistem
• Pastikan kontrol kompensasi
• Review dokumentasi
 PUSAT KOMPUTER
Akuntan secara rutin memeriksa lingkungan
fisik pusat komputer sebagai bagian dari audit
tahunan mereka. Tujuan dari bagian ini adalah
untuk menyajikan risiko pusat komputer dan
kontrol yang membantu mengurangi risiko dan
menciptakan lingkungan yang aman.
Lokasi fisik
Lokasi fisik pusat komputer secara langsung mempengaruhi risiko kerusakan
akibat bencana alam atau buatan manusia.
Konstruksi
Idealnya, pusat komputer harus berada di gedung berlantai satu konstruksi
padat dengan akses terkontrol (dibahas selanjutnya).
Mengakses
Akses ke pusat komputer harus dibatasi oleh operator dan karyawan lain
yang bekerja di sana.
AC
Komputer berfungsi paling baik di lingkungan ber-AC, dan menyediakan
pendingin udara yang memadai sering menjadi persyaratan vendor.
Pemadam kebakaran
Kebakaran adalah ancaman paling serius bagi peralatan komputer
perusahaan.
Toleransi kesalahan
Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan
operasinya saat bagian dari sistem gagal karena kegagalan perangkat keras,
kesalahan program aplikasi, atau kesalahan operator.
 Tujuan Audit
Tujuan auditor adalah mengevaluasi kontrol
yang mengatur keamanan pusat komputer.
Secara khusus, auditor harus memverifikasi
bahwa:
• Kontrol keamanan fisik cukup memadai
• Cakupan asuransi atas peralatan memadai
untuk memberi kompensasi
 Prosedur Audit
Berikut ini adalah pengujian kontrol keamanan
fisik.
– Uji Konstruksi Fisik.
– Pengujian Sistem Deteksi Kebakaran.
– Uji Kontrol Akses.
– Uji Raid
– Uji Uninterruptible Power Supply.
– Uji Cakupan Asuransi.
 Disaster Recovery Plan (DRP)
Disaster recovery plan (DRP) adalah
sebuah proses atau kemampuan dari organisasi
untuk menanggapi bencana atau gangguan
dalam pelayanan melalui implementasi rencana
pemulihan bencana untuk menstabilkan dan
memulihkan fungsi kritis organisasi.
 Disaster recovery plan terdiri atas tiga
perencanaan yaitu
1. perencanaan proteksi.
2. perencanaan pengatasan bencana.
3. perencanaan pemulihan.
 Tujuan audit pada fungsi DRP adalah untuk
memverifikasi bahwa rencana pemulihan
bencana perusahaan cukup untuk memenuhi
kebutuhan perusahaan dan bahwa
implementasinya dapat dilakukan serta praktis.
 Spesifikasi Disaster recovery plan itu sendiri, terdiri dari
tiga aktivitas dasar, yakni :

 Mengikdentifikasi aplikasi penting

Pada komponen ini, perusahaan atau organisasi harus
menentukan daftar aplikasi penting yang menunjang
operasional perusahaan.

 Membangun tim penanganan bencana

Disaster recovery plan (DRP) harus mencantumkan nama,
alamat, dan nomor telepon darurat para anggota tim
pemulihan dari bencana.

 Menyediakan situs back-up cadangan

Bahan yang sangat penting di dalam sebuah DRP adalah
rencana tersebut memungkinan adanya fasilitas pemprosesan
data duplikat setelah terjadi suatu bencana.
 Outsourcing Fungsi TI

Outsourcing atau contracting out adalah

pemindahan pekerjaan dari satu perusahaan ke
perusahaan lain.
IT outsourcing sendiri tidak berbeda jauh
dengan definisi outsourcing secara umum. IT
outsourcing adalah penyediaan tenaga ahli yang
profesional dibidang teknologi informasi untuk
mendukung dan memberikan solusi guna
meningkatkan kinerja perusahaan.
 Terdapat keuntungan-keuntungan yang dirasakan
perusahaan apabila melakukan IT outsourcing, antara lain:

a. Perusahaan dapat fokus pada core business-nya dengan

tetap menikmati nilai-nilai positif dari sistem dan
teknologi informasi.
b. Teknologi yang maju. IT outsourcing memberikan akses
kepada organisasi klien berupa kemajuan teknologi dan
pengalaman personil.
c. Waktu yang digunakan menjadi lebih singkat untuk
pengadaan sumber daya TI
d. Mengurangi biaya dari pengadaan fungsi TI di perusahaan
e. Jasa yang diberikan oleh outsourcer lebih berkualitas
dibandingkan dikerjakan sendiri secara internal, karena
outsourcer memang spesialisasi dan ahli di bidang
tersebut.
 1. Risks Inherent to IT Outsourcing
Ada resiko-resiko yang mungkin terjadi bila perusahaan meng-
outsource fungsi TI-nya, antara lain:

a) Performa dari sumber daya IT dapat gagal karena itu semua

bergantung pada vendor atau penyedia layanan.
b) Dapat terjadi ketidakseimbangan biaya dengan manfaat yang
dirasakan.
c) Resiko terhadap keamanan data perusahaan, dimana IT outsource
sangat berhubungan dengan data perusahaan.
d) Rentan dapat ditiru oleh pesaing lain bila aplikasi yang
dioutsourcingkan adalah aplikasi strategik.
e) Kegagalan dalam keselarasan strategi antara perencanaan TI
dengan perencanaan bisnis perusahaan secara keseluruhan.
f) Adanya kecenderungan outsourcer untuk merahasiakan sistem
yang digunakan dalam membangun sistem informasi bagi
pelanggannya agar jasanya tetap digunakan.
2. Audit Implications of IT Outsourcing
Area-area yang berhubungan dengan audit pada IT
oursourcing, seperti: software development, application
support and maintenance, infrastructure management
services.
Tujuan dari audit ini sendiri, antara lain:

a. Menilai resiko yang terkait dengan outsourcing,

seperti ketersediaan kelanjutan dari jasa, tingkat
layanan dan keamanan informasi.
b. Menelaah apakah tujuan dari outsourcing tercapai.
c. Menilai strategi TI apakah telah dimodifikasi sehingga
sesuai dengan rencana IT outsourcing.
 Seorang auditor dapat membuat checklist mengenai
hal-hal penting selama mengaudit IT out sourcing, seperti:

 Contract
Untuk auditor, titik awal yang baik dalam mengaudit
adalah dari kontrak outsourcing. Auditor harus membuat
pengawasan menyeluruh terhadap kontrak, seperti yang akan
dilakukan untuk setiap kontrak komersial besar, dan
mengevaluasi semua risiko seperti yang dilakukan dalam
pemeriksaan kontrak.

 Statement of work
Informasi penting berikutnya dari sebuah kontrak
adalah statement of work atau laporan kerja yang berisi daftar
pekerjaan yang harus dilakukan oleh penyedia layanan.
Auditor harus memeriksa apakah proyek pekerjaan benar-
benar dilakukan oleh penyedia layanan dan sama dengan yang
disebutkan dalam kontrak.
 Data security
Keamanan berkaitan dengan menjaga
kerahasiaan, integritas dan ketersediaan informasi.
Auditor harus memeriksa apakah kebijakan keamanan
dan proses dari penyedia layanan sinkron dengan
orang-orang dari perusahaan. Auditor harus memeriksa
apakah mekanisme telah ditetapkan untuk pemantauan
keamanan dan proses yang terkait.

 Impact on IT strategy