Mengaudit Pengendalian Tata Kelola TI
Tugas Mata Kuliah Auditing EDP
Oleh : Febrian Prasetya
160810301001
Ika Anisa Putri
160810301014
Kevin Dwijaya P.S.
160810301035
Alma Alfarini
160810301039
Risna Astri Linanda
160810301117
PROGRAM STUDI AKUNTANSI FAKULTAS EKONOMI DAN BISNIS UNIVERSITAS JEMBER 2019
PENDAHULUAN
Pada resume ini menyajikan risiko, kontrol, dan uji kontrol yang terkait dengan tata kelola TI. Ini terbuka dengan mendefinisikan tata kelola TI dan elemen tata kelola TI yang memiliki pengendalian internal dan implikasi pelaporan keuangan. Pertama, menyajikan eksposur yang bisa timbul dari penataan fungsi TI yang tidak tepat. Selanjutnya, bab ini mengulas ancaman dan kontrol pusat komputer, termasuk melindunginya dari kerusakan dan kerusakan akibat bencana alam, suhu api, dan kelembaban. bab ini menghadirkan elemen kunci dari rencana pemulihan bencana, termasuk menyediakan cadangan lokasi kedua, mengidentifikasi aplikasi kritis, melakukan prosedur penyimpanan cadangan dan off-site, menciptakan tim pemulihan bencana, dan menguji rencana tersebut. Bagian terakhir dari bab ini menyajikan isu-isu mengenai tren yang berkembang menuju outsourcing TI. Logika di balik keputusan manajemen untuk melakukan outsourcing dieksplorasi. Bab ini juga mengungkapkan harapan akan adanya manfaat dan risiko yang terkait dengan lingkungan outsourcing dan peran laporan SAS 70. Setelah mempelajari bab ini, harapan kami dapat: • Memahami risiko fungsi yang tidak sesuai dan bagaimana menyusun fungsi TI. • Mengenal kontrol dan tindakan pencegahan yang diperlukan untuk memastikan keamanan fasilitas komputer organisasi. • Mengenal keuntungan, risiko, dan audit yang terkait dengan IT outsourcing.
PEMBAHASAN
1. TATA KELOLA TEKNIS INFORMASI Tata kelola teknologi informasi (TI) merupakan subset yang relatif baru dari tata kelola perusahaan yang berfokus pada pengelolaan dan penilaian sumber daya TI strategis. Tujuan utama tata kelola TI adalah mengurangi risiko dan memastikan investasi sumber daya TI memberi nilai tambah bagi korporasi. Tata kelola TI modern, bagaimanapun, mengikuti filosofi bahwa semua pemangku kepentingan perusahaan, termasuk dewan direksi, manajemen puncak, dan pengguna departemen yaitu, keuangan akuntansi menjadi peserta aktif dalam keputusan TI utama. Keterlibatan berbasis luas tersebut mengurangi risiko dan meningkatkan kemungkinan bahwa Keputusan TI akan sesuai dengan kebutuhan pengguna, kebijakan perusahaan, halal strategis, dan persyaratan pengendalian internal di bawah SOX. 1.1 Pengendalian Tata Kelola TI Meskipun semua masalah tata kelola TI penting bagi organisasi, tidak semuanya merupakan masalah yang berpotensi mempengaruhi proses pelaporan keuangan. Dalam bab ini, kami mempertimbangkan tiga masalah tata kelola TI yang ditangani oleh SOX dan kerangka pengendalian internal COSO ini adalah :
Struktur organisasi fungsi TI
Operasi di pusat komputer
Perencanaan pemulihan bencana Diskusi mengenai masing-masing masalah tata kelola ini dimulai dengan
penjelasan tentang sifat risiko dan deskripsi kontrol yang diperlukan untuk mengurangi
risiko. Kemudian, tujuan audit disajikan, yang menetapkan apa yang harus diverifikasi mengenai fungsi kontrol di tempat. 2. STRUKTUR FUNGSI TEKNOLOGI INFORMASI Organisasi fungsi TI memiliki implikasi untuk sifat dan efektivitas pengendalian internal, yang pada gilirannya memiliki implikasi untuk audit. Pada bagian ini, beberapa masalah kontrol penting yang terkait dengan struktur TI diperiksa. Ini diilustrasikan melalui dua model organisasi ekstrim yaitu pendekatan terpusat dan pendekatan pendistribusian. 2.1 Pengolahan Data Centralized Di bawah model Pengolahan Data Centralized, semua pemrosesan data dilakukan oleh rumah komputer besar atau raksasa di lokasi pusat yang berfungsi digunakan di seluruh organisasi pengolahan data, dan pengembangan sistem dan pemeliharaan. Deskripsi fungsi kunci dari masing-masing bidang berikut. A. Administrasi Database Perusahaan yang dikelola secara sentral mempertahankan sumber data mereka di lokasi sentral yang dikomandoi oleh semua pengguna akhir. Dalam pengaturan data bersama ini, group independen yang dipimpin oleh administrator database (DBA) bertanggung jawab atas ketajaman dan keterkaitan database. B. Pengolahan Data Kelompok pengolahan data mengelola sumber daya komputer yang digunakan untuk melakukan pemrosesan transaksi sehari-hari. Ini terdiri dari fungsi organisasi yaitu :
Konversi data. Fungsi konversi data mentranskripsikan data transaksi dari dokumen sumber hard copy menjadi input komputer: misalnya, konversi data bisa membuat perintah penjualan ke dalam aplikasi pesanan penjualan dalam sistem modern, atau mentranskripsikan data ke dalam media magnetik (tape atau disk) yang sesuai untuk pengolahan komputer dalam sistem tipe warisan.
Operasi komputer. File elektronik yang dihasilkan dalam konversi data kemudian diproses oleh komputer pusat, yang dikelola oleh kelompok
operasi komputer. Aplikasi akuntansi biasanya dijalankan sesuai jadwal yang ketat yang dikontrol oleh sistem operasi komputer pusat.
Perpustakaan data. Perpustakaan data adalah ruangan yang berdekatan dengan pusat komputer yang menyediakan penyimpanan penyimpanan untuk file data off-line. File-file itu bisa berupa backup atau file data saat ini. Selain itu, perpustakaan data digunakan untuk menyimpan salinan asli perangkat lunak komersial dan lisensi mereka untuk penyimpanan. Seorang pustakawan data, yang bertanggung jawab atas penerimaan, penyimpanan, pengambilan, dan penyimpanan file data, mengendalikan akses ke perpustakaan.
C. Pengembangan dan Pemeliharaan Sistem Sistem informasi kebutuhan pengguna dipenuhi oleh dua fungsi terkait: pengembangan
sistem
dan
pemeliharaan
sistem.
Kelompok
terdahulu
bertanggung jawab untuk menganalisis kebutuhan pengguna dan merancang syetem baru untuk memenuhi kebutuhan tersebut. Peserta dalam kegiatan pengembangan sistem meliputi profesional sistem, pengguna akhir, dan pemangku kepentingan. 2.2 Pemisahan Fungsi TI Yang Tidak Kompatibel Bab sebelumnya menekankan pentingnya memisahkan tugas yang tidak sesuai dalam aktivitas manual. Secara spesifik, tugas operasional harus dipisahkan menjadi : 1. Memisahkan otorisasi transaksi dari proses transaksi, 2. Pencatatan terpisah dari penitipan aset 3. Bagi tugas pemrosesan transaksi di antara individu-individu yang kekurangan kolusi antara dua atau lebih kecurangan individu tidak akan mungkin dilakukan. Pengembangan Sistem Sengketa dari Operasi Komputer. Segregasi pengembangan sistem (baik pengembangan dan pemeliharaan sistem baru) dan kegiatan operasi sangat penting. Hubungan antara kelompok-kelompok ini harus
sangat
Pengembangan
formal, sistem
dan dan
tanggung
jawab
profesional
mereka
pemeliharaan
tidak harus
akan
digabungkan.
menciptakan
(dan
memelihara) sistem bagi pengguna, dan seharusnya tidak terlibat dalam memasukkan data, atau menjalankan aplikasi (seperti operasi komputer).
Kontrol organisasi dan pengarsipan lainnya adalah pemisahan administrator database (DBA) dari fungsi pusat komputer lainnya yang bertanggung jawab atas sejumlah tugas penting yang berkaitan dengan keamanan database kto, termasuk membuat skema database dan wiew pengguna, menetapkan otoritas akses satabase kepada pengguna, memantau penggunaan database , dan merencanakan ekspansi ke depan. Mendelegasikan tanggung jawab ini kepada orang lain yang melakukan tugas yang tidak sesuai mengancam integratif database. Memisahkan Pembangunan Sistem Baru dari Pemeliharaan Beberapa perusahaan mengatur fungsi pengembangan sistem in-house mereka menjadi dua kelompok: analisis dan pemrograman sistem. Kelompok analisis sistem bekerja dengan pengguna untuk menghasilkan perancangan detil sistem baru. Kelompok pemrograman mengkodekan program sesuai dengan spesifikasi desain ini. Dengan pendekatan ini, programer yang mengkode program asli juga memelihara sistem selama tahap pemeliharaan siklus hidup pengembangan sistem. Meskipun pengaturan yang sama, pendekatan ini dikaitkan dengan dua jenis masalah kontrol yaitu dokumentasi dan potensi kecurangan program yang tidak memadai. Struktur Unggulan Untuk Pengembangan Sistem Fungsi pengembangan sistem dipisahkan menjadi dua kelompok yang berbeda yaitu pengembangan sistem baru dan pemeliharaan sistem. Kelompok pengembangan sistem
baru
bertanggung
jawab
untuk
merancang,
memprogram,
dan
mengimplementasikan proyek sistem baru. Dengan implementasi yang berhasil, tanggung jawab untuk pemeliharaan sistem terus berlanjut sampai ke kelompok pemeliharaan system. 2.3 Model Terdistribusi Alternatif model terpusat merupakan konsep dari distributed data processing (DDP). Topik DDP cukup luas, menyentuh topik terkait seperti komputasi pengguna akhir, perangkat lunak komersial, jaringan, dan otomasi kantor. DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI kecil yang berada di bawah kendali pengguna akhir. Unit TI dapat didistribusikan sesuai dengan fungsi bisnis, lokasi geografis, atau keduanya. A. Risiko yang Terkait dengan DDP Risiko yang perlu dipertimbangkan saat menerapkan DDP meliputi :
- Penggunaan Sumber Daya yang tidak efisien - Penghilangan jejak audit - Segregasi tugas yang tidak memadai. - Mempekerjakan profesional yang berkualitas - Kurangnya standar. B. Kelebihan DDP Keunggulan potensial yang dimiliki DDP adalah sebagai berikut : - Pengurangan Biaya - Tanggung jawab pengendalian biaya yang lebih baik. - Meningkatkan kepuasan pengguna - Fleksibilitas cadangan 2.4 Mengendalikan lingkungan DDP Untuk melakukan pengendalian terhadap lingkungan DDP, terdapat beberapa perbaikan model DDP yang ketat yaitu : a. Menerapkan fungsi IT perusahaan Dalam hal ini, kelompok TI perusahaan menyediakan pengembangan sistem dan pengelolaan basis data untuk sistem keseluruhan entitas selain saran teknis dan keahlian kepada komunitas TI terdistribusi. Berikut beberapa layanan yang diberikan oleh kelompok IT perusahaan : Pengujian Pusat Perangkat Lunak dan Perangkat Lunak Komersial Layanan Pengguna Standard-Setting Body Ulasan personalia o
Pengujian Pusat Perangkat Lunak dan Perangkat Lunak Komersial Grup TI perusahaan terpusat lebih siap daripada dan pengguna
mengevaluasi kelebihan perangkat lunak komersial dan produk perangkat keras yang bersaing yang sedang dipertimbangkan. Kelompok sentral yang secara teknis cerdik seperti ini dapat mengevaluasi fitur, kontrol, dan kompatibilitas sistem dengan standar industri dan organisasi.
o
Layanan Pengguna Fitur
berharga
dari
grup
perusahaan
adalah
fungsi
layanan
penggunanya. Kegiatan ini memberikan bantuan teknis kepada pengguna selama pemasangan perangkat lunak baru dan dalam mengatasi masalah masalah perangkat keras dan perangkat lunak. o
Standard-Setting Body
Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh model DPD dapat ditingkatkan dengan menetapkan beberapa panduan utama. Kelompok perusahaan dapat berkontribusi pada tujuan ini dengan menetapkan dan mendistribusikan ke area pengguna sesuai standar untuk pengembangan, pemrograman, dan dokumentasi sistem. o
Ulasan personalia Kelompok perusahaan seringkali lebih siap daripada pengguna untuk
mengevaluasi kredensial teknis profesional sistem prospektif. Meskipun profesional sistem sebenarnya akan menjadi bagian dari kelompok pengguna akhir, keterlibatan kelompok perusahaan dalam keputusan kerja dapat memberikan layanan yang berharga bagi organisasi. 3.0 Prosedur Audit Prosedur audit berikut akan berlaku untuk sebuah organisasi dengan fungsi TI terpusat:
Meninjau dokumentasi yang relevan, termasuk bagan organisasi saat ini, pernyataan misi, dan uraian tugas untuk fungsi utama, untuk menentukan apakah individu atau kelompok melakukan fungsi yang tidak sesuai.
Review dokumentasi dan catatan pemeliharaan sistem untuk contoh aplikasi. Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan ke proyek tertentu juga bukan pemrogram desain asli.
Pastikan operator komputer tidak memiliki akses ke rincian operasional logika internal sistem. Dokumentasi sistem, seperti diagram alir sistem, diagram alur logika, dan daftar kode program, tidak boleh menjadi bagian dari dokumentasi operasi.
Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti dalam praktik. Tinjau log akses ruang operasi untuk menentukan apakah pemrogram memasukkan fasilitas tersebut dengan alasan selain kegagalan sistem. Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi:
Tinjau bagan organisasi saat ini, pernyataan misi, dan uraian tugas untuk fungsi utama untuk menentukan apakah individu atau kelompok melakukan tugas yang tidak sesuai.
Verifikasi bahwa kebijakan dan standar perusahaan untuk sistem yang dirancang, disain, dokumentasi, dan akuisisi perangkat keras dan perangkat lunak dipublikasikan dan diserahkan ke unit TI terdistribusi.
Pastikan kontrol kompensasi, seperti pemantauan pengawasan dan manajemen, dipekerjakan bila pemisahan tugas yang tidak kompatibel secara ekonomi tidak layak dilakukan.
Mengkaji ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur, dan database dirancang dan berfungsi sesuai dengan standar perusahaan.
4.0 PUSAT KOMPUTER Akuntan secara rutin memeriksa lingkungan fisik pusat komputer sebagai bagian dari audit tahunan mereka. Tujuan dari bagian ini adalah untuk menyajikan risiko pusat komputer dan kontrol yang membantu mengurangi risiko dan menciptakan lingkungan yang aman. Berikut ini adalah area eksposur potensial yang dapat mempengaruhi kualitas informasi, catatan akuntansi, pemrosesan transaksi, dan efektivitas pengendalian internal lainnya yang lebih konvensional. Diantaranya seperti pengecekan terkait :
Lokasi Fisik
Konstruksi
Mengakses
Kondisi Udara
Pemadam Kebakaran
Toleransi Fault
Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasinya saat sebagian sistem gagal karena kegagalan perangkat keras, program aplikasi error, atau kesalahan operator lmplementing fault kontrol toleransi memastikan bahwa tidak ada satu titik kegagalan sistem potensial yang ada. Kegagalan total hanya dapat terjadi jika beberapa komponen Dua contoh teknologi toleransi kesalahan dibahas selanjutnya. 4.l Redundant Array Disk Independen (RAID). Serangan melibatkan penggunaan disk paralel yang mengandung unsur data dan aplikasi yang berlebihan. Jika satu disk gagal, data yang hilang secara otomatis direkonstruksi dari komponen berlebihan yang tersimpan pada disk lainnya. 4.2 Pengujian Uninterruptible Power Supply. Pusat komputer harus melakukan tes berkala terhadap cadangan catudaya guna memastikan kapasitasnya memadai untuk menjalankan komputer dan pendingin ruangan. Ini adalah tes yang sangat penting, dan hasilnya harus dicatat secara formal 4.3 Pengujian Untuk Cakupan Asuransi. Auditor setiap tahun harus meninjau ulang perlindungan asuransi untuk perangkat keras komputer, perangkat lunak, dan fasilitas fisik perusahaan . Auditor harus memverifikasi bahwa semua akuisisi baru dicantumkan pada polis dan perangkat usang telah dihapus. Polis asuransi harus mencerminkan pengelolaan kebutuhan dalam hal cakupan yang dibutuhkan. 4.4 PERENCANAAN DARI PENCEGAHAN BENCANA
Kebakaran Alam
Banjir Tornado
Sabotase Bencana
Akibat Manusia
Eror
Kehabisan Daya Kegagalan sistem
Kegagalan Hard drive Kegagalan Software
Perusahaan mengembangkan prosedur pemulihan dan memformalkannya menjadi rencana pemulihan bencana (Disaster Recovery Plant/DRP). Ini adalah pernyataan komprehensif dari semua tindakan yang harus dilakukan sebelum,selama, dan setelah terjadinya dalam bencana apapun. Meskipun rincian masing-masing rencana untuk kebutuhan organisasi berbeda-beda, semua rencana kerja tetap memiliki empat ciri umum:
Identifikasi aplikasi kritis
Buat tim pemulihan bencana
Menyediakan backup situs.
Tentukan prosedur penyimpanan backup dan off-site
Sisadari bagian ini dikhususkan untuk diskusi tentang elemen pentingdari DRP yang efektif. 5.0 Mengidentifikasi Aplikasi Kritis Bagi kebanyakan organisasi, kelangsungan hidup jangka pendek memerlukan pemulihan fungsi-fungsi yang menghasilkan arus kas yang cukup untuk memenuhi
kewajiban
jangka
pendek.
Sebagaicontoh,
asumsikan
bahwa
fungsi
berikut
mempengaruhi posisi arus kas perusahaan tertentu:
Penjualan dan layanan pelanggan
Pemenuhan kewajiban hukum
Pemeliharaan dan pengumpulan piutang produksi
Keputusan produksi dan distribusi
Fungsi pembelian
Pencairan uang tunai (akun perdagangan dan gaji) Aplikasi komputer yang mendukung fungsi bisnis ini secara langsung sangat
penting. Oleh karena itu, aplikasi ini harus diidentifikasi dan diprioritaskan dalam rencana restorasi. 5.1 Membentuk Tim Pemulihan Kendala atau Hambatan Pemulihan dari hambatan bergantung pada tindakan korektif yang tepat waktu. Penundaan dalam melakukan tugas penting memperpanjang masa pemulihan dan mengurangi prospek pemulihan yang berhasil. Anggota tim harus menjadi ahli di bidang mereka dan telah menugaskan tugas. Setelah kendala, anggota tim akan mendelegasikan subtugas ke bawahan mereka. Perlu dicatat bahwa masalah kontrol tradisional tidak berlaku dalam situasi ini. 5.2 Menyiapkan Backup Cadangan Bahan yang diperlukan dalam DRP adalah menyediakan fasilitas pengolahan data duplikat setelah terjadi kendala. Di antara pilihan yang tersedia, yang paling umum adalah pakta bantuan bersama; situs kosong atau dingin; pusat operasi pemulihan atau situs yang panas; dan cadangan yang disediakan secara internal. Masing-masing dibahas pada bagian berikut :
Pakta Reksa Dana Pakta bantuan bersama adalah kesepakatan antara dua atau lebih organisasi (dengan fasilitas komputer yang kompatibel) untuk saling membantu dengan kebutuhan pengolahan data mereka jika terjadi kendala. Dalam acara seperti itu,
perusahaan induk harus mengganggu jadwal pemrosesannya untuk memproses transaksi kritis perusahaan yang dilanda dasater.
Shell Kosong Rencana lokasi shell kosong atau cold site adalah pengaturan dimana perusahaan membeli atau menyewa bangunan yang akan berfungsi sebagai pusat data. Jika terjadi kendala, cangkangnya tersedia dan siap menerima perangkat keras apa pun yang dibutuhkan pengguna sementara untuk menjalankan sistem penting.
Pusat Operasi Pemulihan Pusat operasi pemulihan (ROC) atau situs yang panas adalah pusat data cadangan sepenuhnya yang dimiliki banyak perusahaan. Selain fasilitas perangkat keras dan cadangan, penyedia layanan ROC menawarkan berbagai layanan teknis untuk layanan mereka.
Backup yang diberikan secara internal Organisasi yang lebih besar dengan banyak pusat pemrosesan data sering memilih kemandirian yang
menciptakan kapasitas kelebihan
internal.
Ini
memungkinkan perusahaan mengembangkan konfigurasi perangkat keras dan perangkat lunak standar, yang memastikan kompatibilitas fungsional di antara pusat pemrosesan data mereka dan meminimalkan masalah cutover dalam kejadian bencana. A. Backup dan Off-Site Storage Procedures
Cadangan Sistem Operasi Jika perusahaan menggunakan situs yang dingin atau metode backup situs lainnya yang tidak termasuk sistem operasi yang kompatibel (O / S), prosedur untuk mendapatkan versi sistem operasi saat ini harus ditentukan secara jelas.
Cadangan Aplikasi DRP harus mencakup prosedur untuk membuat salinan dari aplikasi kritis versi terkini. Dalam kasus perangkat lunak komersial, ini melibatkan pembelian salinan cadangan dari upgrade perangkat lunak terbaru yang digunakan oleh organisasi.
File Data Cadangan Backup state-of-the-art dalam backup database adalah situs mirror jarak jauh, yang menyediakan data lengkap mata uang.
Dokumentasi Cadangan
Dokumentasi sistem untuk aplikasi kritis harus dicadangkan dan disimpan di luar lokasi beserta aplikasi.
Persediaan Cadangan dan Dokumen Sumber Organisasi harus membuat persediaan cadangan persediaan dan dokumen sumber yang digunakan dalam memproses transaksi penting.
Menguji DRP Aspek perencanaan kontinjensi yang paling diabaikan adalah menguji DRP. Meskipun demikian, tes DRP penting dan harus dilakukan secara berkala. Kemajuan rencana harus dicatat pada poin-poin kunci selama periode pengujian.
Pada akhir pengujian, hasilnya kemudian dapat dianalisis dan laporan kinerja DRP disiapkan. Tingkat kinerja yang dicapai memberikan masukan untuk keputusan untuk memodifikasi DRP atau menjadwalkan tes tambahan. Manajemen organisasi harus mencari ukuran kinerja di masing-masing bidang berikut: (1) keefektifan personil tim DRP dan tingkat pengetahuan mereka; (2) tingkat keberhasilan konversi (yaitu, jumlah catatan yang hilang); (3) perkiraan kerugian finansial karena kehilangan catatan atau fasilitas; dan (4) efektivitas prosedur backup dan pemulihan program, data, dan dokumentasi. B. Tujuan Audit Auditor harus memverifikasi bahwa rencana pemulihan bencana manajemen harus memadai dan layak untuk menghadapi bencana yang dapat menghilangkan oganisasi sumber daya komputasinya. C. Prosedur audit DRP manajemen adalah solusi yang realistis untuk menghadapi bencana manajemen, tes berikut dapat dilakukan : 1. Cadangan situs 2. Daftar Aplikasi Kritis 3. Backup Perangkat Lunak 4. Cadangan data 5. Persediaan Cadangan, Dokumen, dan Dokumentasi 6. Tim pemulihan bencana
6.0 Fungsi Outsourcing Banyak eksekutif memilih untuk menggunakan futsal TI ke vendor pihak ketiga yang mengambil alih tanggung jawab untuk memilih melakukan outsourcing. Manfaat IT Outsourcing mencakup peningkatan kinerja bisnis inti, peningkatan kinerja TI (karena keahlian vendor), dan mengurangi biaya TI. Logika yang mendasari TI outsourcing adalah teori kompetensi inti, yang berpendapat bahwa sebuah organisasi harus berfokus secara eksklusif pada kompetensi bisnis intinya, sementara memungkinkan vendor outsourcing untuk secara efisien mengelola area non-inti seperti fungsi TI. Premis ini, mengabaikan perbedaan penting antara com-modity dan aset TI yang spesifik.
Aset TI komoditi tidak unik untuk organisasi tertentu dan mudah didapat di pasar. Hal
ini
mencakup
hal-hal
seperti
manajemen
jaringan,
operasi
sistem,
pemeliharaan server, dan fungsi help desk.
Teori Biaya Biaya Ekonomi (TCE) bertentangan dengan sekolah kompetensi inti dengan menyarankan bahwa perusahaan harus mempertahankan aset TI non-inti spesifik tertentu di-rumah.
6.1 Risiko yang melekat pada IT Outsourcing Kegiatan outsourcing IT skala besar adalah usaha yang berisiko, sebagian karena ukuran semata dari kesepakatan keuangan ini, tetapi juga karena sifatnya. Tingkat risiko terkait dengan tingkat kekhususan aset dari fungsi outsourcing. Berikut beberapa masalah terdokumentasi dengan baik.
Kegagalan untuk melakukan
Eksploitasi vendor
Biaya Outsourcing Melebihi Manfaat
Mengurangi keamanan
Hilangnya Keuntungan Strategis
Implikasi Audit IT Outsourcing Menurut Standar Auditing No.2, PCAOB menyatakan bahwa penggunaan
organisasi layanan tidak mengurangi tanggung jawab manajemen untuk mempertahankan pengendalian internal yang efektif atas pelaporan keuangan. Sebaliknya, manajemen pengguna harus mengevaluasi pengendalian di organisasi layanan, dan juga kontrol
terkait di perusahaan pengguna, saat melakukan penilaian tentang pengendalian internal atas pelaporan keuangan. Sehingga, jika perusahaan audit mengalihkan fungsi TI-nya kepada vendor yang memproses transaksinya, menjadi tuan rumah data utama, atau melakukan layanan penting lainnya, auditor perlu melakukan evaluasi terhadap kontrol organisasi vendor, atau dengan alternatif memperoleh laporan auditor SAS No. 70 dari organisasi vendor.
KESIMPULAN Tata kelola teknologi informasi (TI) merupakan subset yang relatif baru dari tata kelola perusahaan yang berfokus pada pengelolaan dan penilaian sumber daya TI strategis. Tujuan utama tata kelola TI adalah mengurangi risiko dan memastikan investasi sumber daya TI memberi nilai tambah bagi korporasi. Dalam pengendalian tata kelola TI terdapat tiga masalah tata kelola TI yang ditangani oleh SOX dan kerangka pengendalian internal COSO ini adalah struktur organisasi fungsi TI, operasi di pusat komputer, dan perencanaan pemulihan bencana. Resume ini menyajikan risiko dan kontrol yang terkait dengan tata kelola TI. Ini dimulai dengan definisi singkat tentang tata kelola TI dan mengidentifikasi implikasinya terhadap pengendalian internal dan pelaporan keuangan. Selanjutnya disajikan eksposur yang bisa timbul dari penataan fungsi IT yang tidak tepat dalam organisasi. resume ini juga membahas ulasan tentang ancaman dan kontrol pusat komputer, termasuk melindunginya dari kerusakan dan perusakan dari rencana pemulihan bencana alam. Beberapa faktor perlu dipertimbangkan dalam rencana seperti itu, termasuk menyediakan cadangan situs kedua, mengidentifikasi aplikasi penting, melakukan prosedur penyimpanan cadangan dan off-site, menciptakan tim pemulihan bencana, dan menguji DRP. Bagian terakhir resume ini membahas masalah seputar tren yang berkembang terhadap outsourcing TI. Secara khusus, ditinjau logika yang mendasari outsourcing dan manfaat yang diharapkan. Pengambilalihan TI juga diasosiasikan dengan risiko signifikan, yang ditangani. Bab ini diakhiri dengan diskusi tentang masalah audit di lingkungan outsourcing.
REFERENSI e-book.Hall A James. 2011. Information Technologi Auditing 3E. United State of America :PreMediaGlobal