Auditing IT Governance Control Tugas Mata Kuliah Auditing EDP
Oleh: Dea Eprimia
160810301013
Bela Putri Hernanda
160810301017
Vista Febryanti
160810301030
Mohammad Agil Huzein
160810301038
Program Studi Akuntansi Fakultas Ekonomi dan Bisnis Universitas Jember 2018
DAFTAR ISI
BAB 1. PENDAHULUAN .................................................................................................... 1 1.1 LATAR BELAKANG ................................................................................................. 1 1.2 MANFAAT DAN TUJUAN ......................................................................................... 2 BAB 2. PEMBAHASAN ...................................................................................................... 3 2.1 Tata Kelola Teknologi Informasi ............................................................................... 3 2.2 Struktur Fungsi Teknologi Informasi ......................................................................... 4 2.3 Risiko yang Berhubungan dengan DDP ................................................................. 10 2.4 Keuntungan DDP ................................................................................................... 12 2.5 Pengendalian Lingkungan DDP .............................................................................. 13 2.6 Prosedur Audit........................................................................................................ 14 2.7 Pusat Komputer...................................................................................................... 15 2.8 Perencanaan Pemulihan Bencana ......................................................................... 17 2.9 Fungsi Outsourcing Teknologi Informasi................................................................. 19 BAB 3. KESIMPULAN...................................................................................................... 23 DAFTAR PUSTAKA ......................................................................................................... 24
i
BAB 1. PENDAHULUAN 1.1 LATAR BELAKANG Dewasa ini perkembangan teknologi dan informasi (TI) tidak dapat terpisahkan dari suatu entitas bisnis. Perkembangan teknologi dan informasi tidak terlepas dari beberapa masalah yang mungkin timbul terutama dalam hal kompleksitas dan tantangan yang semakin berat. Oleh karena itu, pembuat kebijakan dituntut untuk berpikir kreatif dalam menemukan beberapa strategi baru yang dapat berkontribusi secara optimal untuk mencapai tujuan bisnis. Salah satu strategi yang dapat dilakukan oleh suatu entitas bisnis adalah dengan menerapkan manajemen informasi efektif serta pemanfaatan teknologi secara efisien. IT Governance merupakan sebuah struktur dari hubungan relasi dan proses yang mengarahkan dan mengendalikan suatu entitas bisnis untuk mencapai tujuan dengan memberikan nilai tambah serta menyeimbangkan resiko melalui proses penyesuaian antara teknologi informasi (TI) dan proses bisnis. Pada bab Auditing TI Governance Control ini akan menyajikan mengenai resiko, pengawasan, dan uji pengendalian yang berhubungan dengan tata kelola teknologi informasi. Diawali dengan definisi dari tata kelola teknologi informasi beserta pengendalian internal dan implikasinya terhadap pelaporan keuangan. Pertama, bab ini menyajikan eksposur yang akan ditimbulkan dari dalam fungsi penataan yang disesuaikan. Selanjutnya bab ini meninjau ancaman beserta pengendalian terhadap pusat komputer seperti perlindungan dari kerusakan akibat bencana alam, dan kebakaran. Kemudian, bab ini akan membahas mengenai elemen kunci dari perencanaan penanggulangan bencana termasuk penyediaan situs cadangan, pengindetifikasian aplikasi-aplikasi penting, dan pembuatan cadangan dan prosedur penyimpanan. Di akhir bab ini akan disajikan penambaan alih daya teknologi informasi dan pengungkapan keuntungan dari alih daya resiko beserta penyimpulan dari suatu keputusan isu audit dalam lingkungan alih daya dan peran dari laporan SAS 70.
1
1.2 MANFAAT DAN TUJUAN Manfaat dari mempelalajari bab ini adalah memperoleh pengetahuan mengenai bagaiaman sebuah entitas bisnis melakukan pengelolaan fungsi teknologi informasi dengan baik agar kerusakan dan resiko buruk lainnya dapat diantisipasi dengan maksimal. Pentingnya tata kelola entitas menjadi suatu gambaran terkait bagaimana entitas tersebut akan bertahan di masa yang akan datang karena entitas tidak dapat dipisahkan dengan penggunaan dan penyimpanan informasi dari teknologi informasi.
2
BAB 2. PEMBAHASAN 2.1 Tata Kelola Teknologi Informasi Tata kelola teknologi informasi (TI) adalah sekumpulan tata kelola baru di perusahaan yang berfokus pada manajemen dan penilaian strategis dari sumber daya teknologi informasi. Sebelum ada Sarbanes Oxley Act, praktik umum mengenai investasi teknologi informasi adalah menunda keputusan untuk saling bekerja sama. Pada pengaturan TI yang modern namun masih mengikuti filosofi para pemangku kepentingan perusahaan yang terdiri dari Dewan Direksi, manajemen puncak dan pengguna departemental (akuntansi dan keuangan) yang menjadi peserta aktif dalam pengambilan keputusan yang akan diambil. Adapun beberapa keberhasilan dari tata kelola berbasis teknologi informasi meliputi pengurangan risiko, peningkatan pengambilan keputusan yang sesuai dengan kebutuhan pengguna, kebijakan perusahaan, serta persyaratan pengendalian internal di bawah SOX. 2.1.1 Tata Kelola Pengendalian Teknologi Informasi Meskipun setiap isu – isu tata kelola teknologi informasi TIu penting bagi organisasi, namun tidak semua isu tersebut merupakan pengendalian intenal di bawah SOX, dimana hal tersebut dapat berdampak pada proses pelaporan keuangan. Pada bab ini, kTIa memperhatikan tiga tata kelola TI yang dikerjakan oleh SOX dan kerangka pengendalian internal COSO yang meliputi: 1. Struktur organisasi dari fungsi TI 2. Pusat operasi komputer 3. Perencaaan pemulihan bencana Diskusi pada setiap isu – isu dari tata kelola dimulai dari penjelasan mengenai sifat dari risiko dan deskripsi dari pengendalian yang diperlukan untuk pemulihan risiko itu sendiri. Kemudian, tujuan dari audit akan disajikan, dimana hal ini penentuan mengenai apa yang harus dideverfikasi pada fungsi pengendalian di tempat dilakukan. Pengujian tersebut dapat dilakukan oleh auditor eksternal sebagai bagian dari layanannya kepada auditor internal atau penasihat profesional yang menyediakan bukti manajemen dengan SOX.
3
2.2 Struktur Fungsi Teknologi Informasi Organisasi dari fungsi IT memiliki implikasi untuk alam dan efektivitas dari pengendalian internal yang pada gilirannya akan memiliki implikasi untuk audit. Pada bagian ini, beberapa isu penting pengendalian yang berkaitan dengan struktur itu diperiksa. Hal ini diilustrasikan melalui dua model pendekatan yaitu terpusat dan terdistribusi. 2.2.1 Pemrosesan Data Terpusat Dalam model pemrosesan data terpusat, semua pengolahan data dilakukan oleh satu atau lebih komputer besar yang terletak di pusat situs yang melayani pengguna di seluruh organisasi, dimana aktivitas pelayanan TI dikonsolidasikan dan dikelola sebagai sumber daya organisasi milik bersama. Pengguna akhir bersaing untuk sumber daya berdasarkan apa yang mereka butuhkan. Fungsi pelayanan teknologi informasi biasanya diperlakukan sebagai pusat biaya yang dan biaya operasi yang dikenai biaya kembali ke pengguna akhir. Dalam pemrosesan data terpusat ditunjukkan area layanan utama seperti database administrasi, pengolahan data, dan pengembangan sistem serta pemeliharaan. Di bawah ini merupakan deskripsi dari fungsi utama masing – masing bidang yang dijelaskan sebelumnya: 1. Database Administrasi Perusahaan yang terorganisir secara sentral akan menjaga sumber daya data mereka yang dibagi untuk semua pengguna akhir. Dalam pengaturan untuk pembagian data dilakukan oleh sebuah kelompok independen yang dipimpin oleh Database Administrator (DBA) yang bertanggungjawab untuk keamanan dan integritas database. 2. Pemrosesan Data Pengolahan data dalam kelompok manajer sumber daya menggunakan komputer untuk melakukan pengolahan transaksi sehari-hari. Adapun beberapa fungsi yang digunakan oleh organisasi antara lain: a
Konversi data Fungsi konversi data memperoleh data yang bersumber dari hardcopy dokumen ke komputer. Sebagai contoh, konversi data dapat melibatkan catatan order penjualan ke dalam aplikasi order
4
penjualan yang lebih modern, atau melakukan transkrip data kedalam media magnetik (pita magnetik atau disk) yang cocok untuk pemrosesan dalam jenis sistem komputer yang digunakan.s b
Operasi Komputer File elektronik yang telah dihasilkan dalam konversi data diproses oleh pusat komputer, yang dikelola oleh kelompok operasi komputer. Aplikasi akuntansi biasanya digunakan sesuai dengan jadwal yang ketat dan dikendalikan oleh sistem operasi komputer pusat.
c
Perpustakaan Data Perpustakan data adalah sebuah ruangan yang bersebelahan dengan komputer pusat yang menyediakan penyimpanan yang aman untuk file offline. File-file tersebut mencakup backup atau file data saat ini. Seoran pustakawan data bertanggung jawab dalam hal
penerimaan,
penyimpanan,
pengambilan
dan
akses
pengendalian ke perpustakaan data. 3. Pengembangan Sistem dan Pemeliharaan Sistem informasi yang digunakan dipenuhi oleh dua fungsi terkait, yaitu: sistem
pengembangan
bertanggungjawab
dan
untuk
sistem
pemeliharaan.
menganalisis
kebutuhan
Fungsi
tersebut
pengguna
dan
merancang sistem baru. Para peserta dalam pembangunan sistem termasuk profesional sistem, pengguna akhir dan pemangku kepentingan. Sistem profesional mencakup sistem analis database, desainer dan pemrogram yang merancang dan membangun sistem. Sistem profesional mengumpulkan fakta – fakta mengenai masalah pengguna, menganilisis fakta dan merumuskan solusi. Hasil dari proses ini adalah sistem informasi yang baru/ Pengguna akhir adalah mereka yang menggunakan sistem yang telah dibangun. Mereka adalah manajer, yang menerima laporan dari sistem dan personil operasi yang bekerja secara langsung dengan sistem sebagai bagian dari tanggung jawab mereka sehari – hari. Pemangku kepentingan adalah individu baik di dalam maupun di luar perusahaan yang berminat dalam sistem, tetapi bukan pengguna akhir. 5
Pemangku kepentingan mencakup akuntan, auditor internal, auditor eksternal dan lain nya yang mengawasi pengembangan sistem. Setelah sistem baru dirancang dan dilaksanakan maka kelompok pemeliharaan sistem bertanggungawab untuk menjaganya agar tetap aktif dengan kebutuhan pengguna. Pemeliharaan mengacu pada pembuatan perubahan terhadap logika program untuk mengakomodasi perubahan dalam kebutuhan pengguna dari waktu ke waktu. Selama sistem tersebut digunakan sebanyak 80 atau 90 persen dari total biaya akan timbul karena kegiatan pemeliharaan ini. 2.2.2 Pemisahan Fungsi Teknologi Informasi yang Tidak Kompatibel Secara khusus, tugas operasional harus terpisah untuk: 1. Memisahkan otorisasi transaksi dari pengolahan transaksi 2. Memisahkan pencatatan dari penitipan aset fisik 3. Membagi tugas-tugas pengolahan transaksi antar individu sehingga risiko kecurangan dapat diminilasir. Lingkungan teknologi informasi cenderung untuk mengkonsolidasolan kegiatan. Satu aplikasi mungkin dapat mengotorisasi, memproses, dan merekam semua aspek transaksi. Dengan demikian, fokus pemisahan pengendalian bergeser dari tingkat operasional ke tingkat yang lebih tinggi yaitu relasi organisasi dalam fungsi layanan organisasi. a
Memisahkan Sistem Pengembangan dari Operasi Komputer Pemisahan kegiatan operasi dan pengembangan sistem (baik sistem baru maupun pemeliharaan sistem) merupakan hal yang sangat penting. Hubungan diantara kelompok-kelompok
tersebut harus sangat formal, dan tanggung jawab mereka
tidak boleh dicampur satu sama lain. Para profesional sistem harus membuat dan mempertahankan sistem bagi pengguna dan harus ada keterlibatan dalam memasukkan data atau menjalankan operasi komputer. Staf operasi harus menjalankan sistem tersebut dan melibatkan desain mereka. Fungsi tersebut telah secara turun temurun tidak kompatibel, dan telah mengkonsolidasikan antara kesalahan dan penipuan. Melalui pengetahuan yang rinci akan logika aplikasi dan
6
parameter pengendalian serta akses ke sistem operasi komputer, seorang individu dapat membuat perubahan secara tidak sah ke aplikasi selama pelaksanaannya. Perubahan tersebut mungkin sementara akan menghilang tanpa jejak saat aplikasi berakhir. b
Memisahkan Administrasi Database dari Fungsi Lain Pengendalian organisasi penting yang lain adalah pemisahan administrasi database (DBA) dari fungsi pusat komputer yang lain. Fungsi DBA bertanggungjawab dalam sejumlah tugas penting yang berkaitan dengan keamanan database, termasuk menciptakan skema database dan pengguna, menetapkan otoritas akses database kepada pengguna, memantau penggunaan database, dan rencana untuk ekspansi di masa depan. Mendelegasikan tanggung jawab dan melakukan tugas-tugas yang tidak kompatibel akan mengancam integritas dari database.
c
Memisahkan Pengembangan Sistem Baru dari Pemeliharaan Beberapa perusahaan mengatur fungsi pengembangan mereka menjadi dua kelompok yaitu analisis sistem dan pemrograman. Kelompok analis sistem bekerja dengan pengguna untuk menghasilkan detail dari desain sistem yang baru. Sedangkan kelompok pemrograman membuat kode program sesuai dengan spesifikasi desain. Melalui pendekatan ini, para programmer yang membuat kode program – program asli, juga mempertahankan sistem selama fase pemeliharaan siklus hidup pengembangan sistem. Meskipun pengaturan umum, pendekatan ini dikaitkan dengan dua jenis pengendalian masalah yaitu dokumentasi yang tidak memadai dan potensi untuk penipuan.
Dokumentasi yang tidak memadai Buruknya kualitas sistem dokumentasi merupakan masalah dan tantangan yang signifikan untuk banyak organisasi. Setidaknya ada dua penjelasan untuk fenomena ini. Pertama, mendokumentasikan sistem tidak begitu menarik seperti merancang, menguji dan menerapkan. Para profesional sistem lebih memilih untuk beralih ke proyek baru yang lebih menarik daripada hanya menyelesaikan dokumen. Alasan kedua untuk dokumentasi yang tidak memadai adalah keamanan pekerjaan. Ketika sistem tidak terdokumentasi dengan baik, akan sangat sulit dilakuka pengujian. Oleh karena itu, pemrogram yang memahami sistem yang mempertahankan kekuatan tawar menawar akan sangat relatif 7
diperlukan. Saat programmer meninggalkan perusahaan, maka progammer baru akan mewarisi tanggung jawab dalam memelihara sistem yang tidak terdokumentasikan, tergantung kompleksitas dan periode transisi yang panjang dan mahal.
Program Penipuan Ketika para programmer asli dari sistem diberikan tanggung jawab pemeliharaan maka potensi untuk penipuan akan meningkat. Program penipuan melibatkan perubahan yang tidak sah dan membuat program untuk melakukan tindakan ilegal. Programmer asli mungkin berhasil menyembunyikan penipuan kode diantara seribu baris kode yang sah dan ratusan modul yang membentuk sebuah sistem. Agar penipuan yang dilakukan sukses, programmer harus mampu untuk mengendalikan situasi melalui akses eksklusif dan tidak terbatas untuk aplikasi tersebut. Programmer perlu melindungi kode penipuan dari deteksi yang disengaja oleh programmer lain yang melakukan pemeliharaan atau oleh auditor yang menguji aplikasi pengendalian. Oleh karena itu, memiliki tanggung jawab untuk pemeliharaan merupakan unsur penting dalam skema programmer. Melalui otoritas pemeliharaan ini, programmer dapat mengakses sistem dengan bebas, menonaktifkan penipuan kode selama proses audit dan memulihkan kode. Penipuan seperti ini dapat terjadi secara terus-menerus tanpa terdeteksi.
Struktur yang Unggul untuk Pengembangan Sistem Fungsi pengembangan sistem terbagi menjadi pengembangan sistem baru dan
sistem
pemeliharaan.
Fungsi
pengembangan
sistem
baru
bertanggungjawab untuk merancang, memprogram, dan melaksanakan proyek-proyek yang baru. Setelah sukses mengimplementasikan sistem baru, maka tanggung jawab pemeliharaan sistem jatuh ke fungsi pemeliharaan. Proses restrukturisasi ini memiliki implikasi untuk kedua masalah terkait pengendalian yang dijelaskan di bawah ini. Pertama, standar dokumentasi ditingkatkan karena kelompok fungsi pemeliharaan memerlukan dokumentasi untuk melaksanakan tugasnya. Tanpa dokumentasi lengkap dan memadai, transfer informasi beserta
8
tanggung jawab sistem dari pengembangan sistem baru ke pemeliharaan sistem tidak akan terjadi. Kedua, menutup akses programmer asli untuk menghalangi penipuan. Kode penipuan, sekali disembunyikan di dalam sistem oleh programmer pengendalian kemungkinan akan ditemukan peningkatan risiko yang terkait dengan program penipuan. Keberhasilan dari pengendalian ini tergantung pada adanya pengendalian yang membatasi, mencegah, dan mendeteksi akses tidak sah ke suatu program. Meskipun organisasi pemisahan tidak dapat menjamin bahwa penipuan tidak akan terjadi, penting bagi mereka untuk menciptakan lingkungan pengendalian yang dibutuhkan. 2.2.3 Model Terdistribusi Alternatif model terpusat adalah konsep pengolahan data terdistribusi. Topik DDP cukup luas, menyentuh topik terkait seperti komputasi pengguna akhri, perangkat lunak komersial, jaringan dan otomatisasi kantor. Secara sederhana, DDP melibatkan reorganisasi fungsi TI pusat menjadi unit TI kecil yang berada di bawah kendali pengguna akhir. Unit TI dapat didistribusikan sesuai dengan fungsi bisnis, lokasi geografis, atau keduanya. Alternatif A sebenarnya adalah varian dari model terpusat; Perbedaannya adalah bahwa terminal (atau mikrokomputer) didistribusikan ke pengguna akhir untuk menangani input dan output. Ini menghilangkan kebutuhan akan kelompok konversi data terpusat, karena pengguna sekarang melakukan tugas demikian. Namun, di bawah model ini, pengembangan sistem, dan operasi komputer dan administrasi basis data tetap terpusat. Alternatif B adalah keberangkatan yang signifikan dari model terpusat. Alternatif ini mendistribusikan semua layanan komputer kepada pengguna akhir, dimana beroperasi sebagai unit mandiri. Hasilnya adalah penghapusan fungsi TI pusat dari struktur organisasi. Sub bab ini membahas risiko organisasi yang perlu dipertimbangkan saat menerapkan DDP. Diskusi berfokus pada isu-isu penting mengenai implikasi pengendalian yang harus diketahui auditor. Masalah potensial meliputi penggunaan sumber daya yang tidak efisien,
9
penghancuran jalur audit, pemisahan tugas yang tidak memadai, potensi peningkatan kesalahan pemrograman dan kegagalan sistem dan kurangnya standar.
2.3 Risiko yang Berhubungan dengan DDP 2.3.1 Penggunaan sumber daya yang tidak efisien DDP dapat mengekspos dan mengorganisir tiga jenis resiko yang berkaitan dengan penggunaan sumber daya organisasi yang tidak efisien. Dibawah ini adalah beberapa uraian dari resiko tersebut: Pertama, adalah resiko salah urus sumber daya TI di seluruh organisasi oleh pengguna akhir. Ketika sumber daya TI yang luas melebihi jumlah ambang batas, misalnya 5 persen dari total anggaran operasi yang efektif, tata kelola TI memerlukan pengelolaan pusat dan pemantauan sumber daya semacam itu. Bagi banyak organisasi, Layanan TI termasuk operasi komputer, pemrograman, konversi data dan pengelolaan basis data memenuhi atau melampaui ambang batas ini. Kedua, DDP dapat meningkatkan risiko ketidakefektifan operasional karena adanya tugas yang berlebihan yang dilakukan panitia pengguna aktif. Inisiatif pengembangan sistem otonom yang didistribusikan ke seluruh perusahaan dapat mengakibatkan setiap pengguna menemukan kembali kemudi daripada mendapatkan manfaat dari pekerjaan orang lain. Misalnya, program aplikasi yang dibuat oleh satu pengguna, yang bisa digunakan dengan sedikit atau tanpa perubahan oleh orang lain, akan didesain ulang dari awal dan bukan dibagikan. Ketiga, lingkungan DDP menimbulkan risiko perangkat keras dan perangkat lunak yang tidak kompatibel di antara fungsi pengguna akhir. Mendistribusikan tanggung jawab untuk pembelian TI kepada pengguna akhir dapat menyebabkan keputusan yang disusun dengan tidak terkoordinasi. Misalnya, pengambil keputusan di unit organisasi yang berbeda yang bekerja secara independen dapat menyelesaikan sistem operasi yang berbeda dan tidak kompatibel, platform teknologi, spreadsheet, pengolah kata, dan paket data. 2.3.2 Penghancuran jalur audit
10
Jejak audit memberikan keterkaitan antara aktivitas keuangan (transaksi) perusahaan dan laporan keuangan yang melapor pada kegiatan tersebut. Auditor menggunakan jejak audit untuk melacak transaksi keuangan terpilih dari dokumen sumber yang menangkap kejadian tersebut. Dalam Sistem DDP, jejak audit terdiri dari serangkaian file transaksi digital yang berada sebagian atau seluruhnya pada komputer pengguna akhir. Jika pengguna akhir secara tidak sengaja menghapus salah satu file, percobaan audit bisa dihancurkan dan tidak dapat dibuka lagi. Demikian pula, jika pengguna akhir secara tidak sengaja memasukkan transaksi ke file audit trail, itu bisa menjadi rusak.
2.3.3 Pemisahan tugas yang tidak memadai Mencapai pemisahan tugas yang memadai mungkin tidak dapat dilakukan di beberapa lingkungan terdistribusi. Distribusi layanan TI kepada pengguna dapat menghasilkan unit kecil tak berdampingan yang tidak memungkinkan pemisahan yang diinginkan dari fungsi yang tidak sesuai. Misalnya, dalam satu unit orang yang sama dapat menulis program aplikasi, melakukan pemeliharaan program, memasukkan data transaksi ke komputer, dan mengoperasikan peralatan komputer.
2.3.4 Mempekerjakan profesional yang berkualitas Manajer pengguna akhir mungkin tidak memiliki pengetahuan TI untuk mengevaluasi kredensial teknis dan pengalaman relevan kandidat yang mengajukan permohonan untuk posisi profesional TI. Juga, jika unit organisasi di mana seorang karyawan baru masuk adalah kecil, kesempatan untuk pertumbuhan pribadi, melanjutkan pendidikan, dan promosi mungkin terbatas. Untuk alasan ini, manajer mungkin mengalami kesulitan untuk menarik personil berkualifikasi tinggi. Risiko kesalahan pemrograman dan kegagalan sistem meningkat secara langsung dengan tingkat ketidakmampuan karyawan.
2.3.5 Kurangnya standar Karena
distribusi
tanggung
jawab
di
lingkungan
DDP,
standar
untuk
mengembangkan dan mendokumentasikan sistem, memilih bahasa pemrograman, memperoleh perangkat keras dan perangkat lunak, dan mengevaluasi kinerja mungkin tidak rata diterapkan atau bahkan tidak ada. Penentang DDP berpendapat bahwa risiko
11
yang terkait dengan perancangan dan pengoperasian sistem DDP dapat dilakukan hanya jika standar tersebut diterapkan secara konsisten.
2.4 Keuntungan DDP Pada bagian ini akan dibahas pertimbangan mengenai keunggulan potensial dari DDP termasuk pengurangan biaya, pengendalian biaya yang lebih baik, peningkatan kepuasan pengguna dan cadangan. Pengurangan biaya: Komputer mikro dan mikrokomputer yang kuat dan murah yang dapat menggerakkan fungsi khusus telah mengubah ekonomi pengolahan data secara dramatis. Selain itu, biaya unit penyimpanan data, yang pernah menjadi pembenaran untuk mengkonsolidasikan data di lokasi sentral, sudah tidak menjadi pertimbangan utama. Selain itu, perpindahan ke DDP telah mengurangi biaya di dua area lainnya: (1) data dapat ditingkatkan dan dimasukkan oleh pengguna akhir, sehingga menghilangkan tugas terpusat dari persiapan data dan (2) ketuntasan aplikasi dapat dikurangi, yang pada gilirannya mengurangi pengembangan sistem dan biaya perawatan Tanggung jawab pengendalian biaya meningkat: Manajer pengguna akhir bertanggung jawab atas keberhasilan operasi mereka. Tanggung jawab ini mengharuskan mereka diberi wewenang yang benar dengan wewenang untuk membuat sumber daya pengambilan
keputusan
yang
mempengaruhi
keseluruhan
kesuksesan
mereka.
Pendukung DDP berpendapat bahwa manfaat dari sikap manajemen yang lebih baik melebihi biaya tambahan yang dikeluarkan untuk mendistribusikan sumber daya ini. Meningkatkan kepuasan pengguna: Pendukung DDP mengklaim bahwa sistem pendistribusian ke pengguna akhir memperbaiki sebagian kebutuhan yang terlalu sering tidak terpuaskan pada model terpusat. 1. Seperti yang dinyatakan sebelumnya, pengguna ingin mengendalikan sumber daya yang mempengaruhi profitabilitas mereka 2. Pengguna menginginkan profesional sistem bersikap responsif terhadap situasi spesifik mereka 3. Pengguna ingin lebih aktif terlibat dalam pengembangan dan penerapan sistem mereka sendiri Fleksibilitas cadangan: Argumen terakhir yang mendukung DDP adalah kemampuan untuk mendukung fasilitas komputasi untuk melindungi dari potensi bencana
12
seperti kebakaran, banjir, sabotase, dan gempa bumi. Satu-satunya cara untuk mendukung situs komputer di sekitar bencana tersebut adalah dengan menyediakan fasilitas komputer kedua.
2.5 Pengendalian Lingkungan DDP DDP memiliki nilai presetise terdepan, akan tetapi terdapa pro dan kontranya yang dapat membebani pertimbangan penting manfaat ekonomi dan kelayakan operasional. Beberapa organisasi telah beralih ke DDP tanpa mempertimbangkan sepenuhnya apakah struktur organisasi terdistribusi akan mencapai tujuan bisnis mereka dengan lebih baik. Banyak inisiatif DDP dan bahkan kontraproduktif, karena pembuat keputusan melihat kebajikan sistem ini yang lebih simbolis daripada nyata. Sebelum mengambil langkah yang tidak dapat dipulihkan, pengambil keputusan harus menilai manfaat sebenarnya dari DDP untuk organisasinya. 2.5.1 Melaksanakan fungsi IT perusahaan Model yang sepenuhnya terpusat dan terdistribusi mewakili posisi ekstrim pada rangkaian alternatif struktural. Kebutuhan perusahaan kebanyakan berada diantara titik akhir ini. 2.5.2 Pengujian terpusat perangkat lunak dan perangkat keras komersial Papan TI perusahaan yang terpusat lebih baik dilengkapi daripada pengguna akhir untuk mengevaluasi kelebihan perangkat lunak komersial dan produk perangkat keras yang bersaing di bawah pertimbangan. Dorongan teknis secara umum seperti ini dapat mengevaluasi fitur, kontrol dan kompatibilitas sistem dengan standar industri dan organisasi. Hasil uji kemudian dapat didistribusikan ke area pengguna sebagai standar untuk membimbing keputusan pengambil keputusan. Hal ini memungkinkan organisasi untuk secara efektif memusatkan akuisisi, pengujian dan implementasi perangkat lunak dan perangkat keras dan menghindari banyak masalah yang dibahas sebelumnya. 2.5.3 Layanan pengguna Sebuah sifat yang berharga dari grup perusahaan adalah fungsi layanan penggunanya. Kegiatan ini memberikan bantuan teknis kepada pengguna selama pemasangan perangkat lunak baru dan dalam mengatasi masalah masalah perangkat keras dan perangkat lunak. Pembuatan papan buletin elektronik untuk pengguna dengan cara yang sangat baik untuk menyumbang informasi tentang masalah umum dan
13
memungkinkan berbagi program yang dikembangkan pengguna dengan orang lain dalam organisasi. 2.5.4 Standar pengaturan tubuh Lingkungan pengendalian yang relatif buruk yang diberlakukan oleh model DDP dapat ditingkatkan dengan menetapkan beberapa panduan utama. Kelompok perusahaan dapat berkontribusi pada tujuan ini dengan menetapkan dan mendistribusikan ke area pengguna sesuai standar untuk pengembangan, pemrograman, dan dokumentasi sistem. 2.5.5 Tinjauan Personalia Kelompok korporat seringkali lebih baik dilengkapi daripada pengguna untuk mengevaluasi kredensial teknis dari proffesional sistem prospektif. Meskipun profesional sistem benar-benar akan menjadi bagian dari kelompok pengguna akhir, penyatuan kelompok perusahaan dalam keputusan kerja dapat memberi nilai berharga bagi organisasi. 2.6 Prosedur Audit Prosedur audit berikut akan diterapkan pada organisasi dengan fungsi TI terpusat 1. Tinjau dokumentasi yang relevan, termasuk bagan organisasi saat ini, pernyataan misi dan uraian tugas untuk fungsi utama, untuk menentukan apakah individu atau kelompok melakukan fungsi yang tidak sesuai. 2. Tinjau dokumentasi sistem dan catatan pemeliharaan untuk contoh aplikasi. Verifikasi bahwa pemrogram pemeliharaan yang ditugaskan ke proyek tertentu juga bukan pemrogram desain asli. 3. Pastikan operator komputer tidak memiliki akses ke rincian operasional logika internal sistem. Dokumentasi sistem Seperti diagram alir sistem, diagram alur logika dan daftar kode program, seharusnya tidak menjadi bagian dari dokumentasi operasi Anda. 4. Melalui pengamatan, tentukan bahwa kebijakan segregasi sedang diikuti dalam praktik. Tinjau log akses ruang operasi untuk menentukan apakah pemrogram memasukkan fasilitas untuk alasan selain kegagalan sistem. Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi:
14
1. Tinjau bagan orgnizational terkini, pernyataan misi dan uraian tugas untuk fungsi utama untuk menentukan apakah individu atau kelompok melakukan tugas yang tidak sesuai. 2. Verifikasi bahwa rancangan, dokumentasi, dan perangkat keras dan perangkat lunak rancangan dan kebijakan perusahaan standar dipublikasikan dan diserahkan ke unit TI terdistribusi. 3. Verifikasi bahwa kontrol kompensasi, seperti pengawasan dan pemantauan manajemen, digunakan saat pemisahan tugas yang tidak kompatibel secara ekonomi dapat infesible. 4. Tinjau ulang dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur dan database dirancang dan berfungsi sesuai dengan standar perusahaan. 2.7 Pusat Komputer Bagian ini menyajikan risiko pusat komputer dan kontrol yang membantu untuk mengurangi risiko dan menciptakan lingkungan yang aman. bidang-bidang berikut merupakan paparan potensial yang dapat mempengaruhi kualitas informasi catatan akuntansi, transaksi pengolahan dan efektivitas pengendalian internal konvensional lain. 2.7.1 Lokasi Fisik Lokasi fisik dari pusat komputer secara langsung berpengaruh pada resiko kerusakan yang disebakan secara alami maupun yang dibuat oleh manusia. Untuk menekan kemungkinan tersebut maka pusat komputer baiknya dijauhkan dari kegiatan manusia maupun kesalahan struktur tanah yang menyebabkan bencana. 2.7.2 Konstruksi Idealnya, sebuah pusat komputer semestinya berada di gedung tersendiri dengan konstruksi kokoh yang aksesnya diawasi. Kabel daya dan telepon harus berada dibawah bangunan.Jendela bangunan seharusnya tidak dibuka dan sistem penyaringan udara mampu mencegah adanya debu masuk. 2.7.3 Akses Akses ke pusat komputer harus dibatasi pada operator dan karyawan lainnya yang bekerja. Kontrol fisik, seperti pintu terkunci harusnya memberikan akses terbatas pada pusat komputer. Akses mestinya diawasi dengan menggunkan kartu gesek, pintu darurat terdekat dengan alarm. Untuk mencapai level keamanan yang lebih tinggi harusnya di awasi dengan CCTV. Pusat komputer juga seharusnya diakses dengan sandi.
15
2.7.4 Pengaruh Keadaan udara Fungsi komputer terbaik ada pada pengaruh keadaan udara dan jaminan garansi pemasok.Komputer paling baik dioperasikan pada suhu berkisar antara 70 -75 derajat farenheit dan kelembapan relatif skekitar 50 persen.Kelembapan udara yang terlalu tinggi dapat menyebabkan jamur tumbuh pada kertas. 2.7.5 Pemadam Api Api merupakan ancaman paling serius bagi peralatan komputer. Banyak perusahaan mengalami kerugian kebakaran karena kehilangan data seperti data piutang. Sistem yang dapat dibangun untuk mengatasi hal tersebut melalui
Memasang alarm pendeteksi otomatis dibeberapa titik strategis
Harus ada sistem otomatis yang melakukan pemadaman api secara otomatis melalui semprotan air dan cairan kimia pada komputer sebanyak kerusakan yang ditimbulkan api
Pemadam manual yang diletkakkan di lokasi strategis
Konstruksi bangunan harusnya tahan dari kerusakan air
Arah pintu keluar jika terjadi kebakaran
Toleransi Kesalahan 2.7.6 Tujuan Audit Tujuan auditor adalah mengevaluasi pengawasan tata kelola keamanan
komputer pusat yang meliputi pengawasan keamanan fisik, dan penanggulangan melalui asuransi. 2.7.7 Prosedur Audit a. Uji konstruksi fisik Auditor harus memerika fasilitas yang digunakan seharusnya di letakkan di area yang meminimalisir kedapatan api, kerusuhan masyarakat, dan bahaya lainnya b. Uji sistem deteksi kebakaran Auditor semestinya menguji pendeteksi api dan peralatan pemadam baik manual maupun otomatis dilokasi dan uji secara tetap c. Uji Pengawasan akses Auditor harus menetapkan akses secara rutin kepada pusat komputer melalui karyawan yang disahkan d. Uji dari redudansi data
16
Auditor
harus
melakukan
peninjauan
ulang
terhadap
sistem
prosedur
administrasi alternatif untuk melindungi kegagalan penyimpanan e. Uji kegagalan pasokan daya Pusat komputer harusnya melakukan uji berkala dengan sumber daya yang cukup setidaknya untuk menjalankan komputer dan pengatur udara f.
Uji penanggulangan asuransi Auditor seharusnya secara berkala melakukan peninjauan ulang atas asuransi
perlindungan milik organisasi pada perangkat keras komputer, perangkat lunak dan fasilitas fisik. Auditor memverifikasi semua akuisisi baru yang terdaftar pada kebijakan dan penghapusan peralatan dan perangkat lunak yang telah dihapuskan. 2.7.8 Toleransi Kesalahan Toleransi kesalahan adalah kemampuan sistem bisa melanjutkan operasinya ketika bagian sistem yang gagal karena kegagalan perangkat keras, kesalahan program aplikasi, kesalahan pengoperasi. a. Redudansi dalam penyimpanan data karena penyimpanan paralel b. Sumber daya yang tidak dapat diinterupsi 2.8 Perencanaan Pemulihan Bencana Bencana dapat disebabkan oleh alam, perbuatan manusia dan kegagalan sistem. Bencana yang disebabkan oleh alam yaitu kebakaran, banjir dan tornado. Bencana yang disebabkan oleh perbuatan manusia yaitu sabotase dan kesalahan manusia. Bencana yang disebabkan oleh kegagalan sistem yaitu lebih dari kapasitas, kegagalan operasi, kerusakan sistem. Meskipun setiap detail perencanaan berbeda pada masing masing organisasi, hampir semua organisasi memiliki fitur umum diantaranya: 1. Identifikasi aplikasi kritis Upaya penanggulangan harus berkonsentrasi pada memulihkan aplikasi penting mereka demi kelangsungan hidup organisasi. Utamanya organisasi membutuhkan pengembalian fungsi yang dibutuhkang kelangsungan hidup dalam jangka pendek mereka yang menghasilkan aruskan yang cukup untuk memenuhi kewajiban jangka pendek. Contohnya, diasumsikan fungsi berikut ini berdampak pada posisi arus kas perusahaan:
Jasa dan penjualan pelanggan
Pemenuhan kewajiban hukum
Pemeliharaan piutang dan penagihan
17
Keputusan produksi dan distribusi
Fungsi pembelian
Pengeluaran kas
2. Menyediakan situs backup Membuat kesepakaan diantara dua atau lebih organisasi untuk melindungi satu sama lain kebutuhan proses data. 3. Spesifik backup dan prosedur penyimpanan situs offline 4. Membuat tim pemulihan bencana Pemulihan
bencana
tergantung
pada
tindakan
korektif
yang
diambil.
Berdasarkan bencana anggota tim akan mendelegasikan tugasnya pada anggota bawahan. 5. Tujuan Audit Auditor harus memverifikasi bahwa rencana pemulihan bencana manajemen telah memadai dan layak dilakukan untuk mengatasi masalah yang dapat menghambat perusahaan. 6. Prosedur Audit
Site Backup Auditor harus mengevaluasi kecukupan pengaturan situs cadangan. Ketidaksesuaian sistem dan sifat manusia dapat mengurangi keefektifan sistem.
Critical Application List Auditor harus meninjau critical application list untuk memastikan ia telah selesai. Aplikasi yang hilang dapat menyebabkan kegagalan pemulihan.
Software Backup Auditor harus memverifikasi bahwa salinan aplikasi dan sistem operasi kritis terletak di luar lokasi.
Data Backup Auditor
harus memverifikasi
bahwa file
data
dicadangkan sesuai dengan DRP.
Backup Supplies, Documents, and Documentation
18
yang
penting telah
Dokumentasi sistem, persediaan, dan sumber yang diperlukan untuk memproses transaksi penting harus dicadangkan dan disimpan di luar lokasi.
Disaster Recovery Team DRP harus mencantumkan daftar nama, alamat, dan nomor telepon darurat dari anggota tim pemulihan bencana dengan jelas.
2.9 Fungsi Outsourcing Teknologi Informasi Biaya, risiko, dan tanggung jawab yang terkait dengan pemeliharaan fungsi perusahaan dan TI yang efektif sangatlah penting. Oleh karena itu banyak ecxecutives memilih untuk mengalihkan fungsi TI mereka ke vendor pihak ketiga yang mengambil alih tanggung jawab atas pengelolaan aset dan staf TI dan untuk pengiriman layanan TI, seperti entri data, operasi data center, pengembangan aplikasi, pemeliharaan aplikasi, dan manajemen network. Logika yang mendasari TI outsourcing mengikuti teori kompetensi inti, yang berpendapat bahwa sebuah organisasi harus berfokus secara eksklusif pada kompetensi bisnis intinya, sementara mengizinkan vendor outsourcing untuk secara efisien mengelola area non-inti seperti fungsi TI. Namun, premisnya mengabaikan perbedaan impor antara komoditas dan aset TI spesifik. Teori Biaya Transaksi Ekonomi (TCE) bertentangan dengan sekolah kompetensi inti dengan menyarankan bahwa perusahaan harus mempertahankan aset inti non-inti tertentu tertentu. Karena sifat esoteriknya, aset spesifik tidak dapat dengan mudah diganti begitu mereka menyerah dalam pengaturan alih daya. Oleh karena itu, jika organisasi harus mencalonkan untuk membatalkan kontrak outsourcing dengan vendor, perusahaan tersebut mungkin tidak dapat kembali ke negara bagian sebelum melakukan pembayaran. Di sisi lain, teori TCE mendukung outsourcing aset komoditas, yang mudah diganti atau diperoleh dari vendor alternatif. Tentu, persepsi CEO tentang apa yang merupakan komoditas aset TI berperan penting dalam keputusan outsourcing TI. Seringkali ini berujung pada masalah definisi dan interpretasi. Sebagai contoh, kebanyakan CEO akan mendefinisikan fungsi TI mereka sebagai
komoditas
non-inti,
kecuali
jika
mereka
menjalankan
bisnis
untuk
mengembangkan dan menjual aplikasi TI. Akibatnya, keyakinan bahwa semua TI dapat,
19
dan
seharusnya,
dikelola
oleh
organisasi
layanan
besar
cenderung
menang.
Kesalahpahaman tersebut mengenai kebajikan dan keterbatasan IT outsourcing.
2.9.1 Risiko Inheren untuk IT Outsourcing Kegiatan outsourcing dalam skala besar adalah usaha yang berisiko karena sebagian ukuran dari kesepakatan keuangan yang telah disetujui. Bagian dibawah ini akan dibahas beberapa masalah terdokumentasi dengan baik.
Gagal tampil
Begitu perusahaan klien telah mengalihkan aset TI spesifik, kinerjanya menjadi terkait dengan kinerja vendor. Implikasi negatif dari ketergantungan tersebut diilustrasikan dalam masalah keuangan yang telah melanda vendor outsourcing besar Electronic Data System Corp (EDS). Dalam usaha pemotongan biaya, EDS menghentikan tujuh ribu karyawan, yang berdampak pada kemampuannya untuk melayani klien lainnya.
Eksploitasi vendor
Pengalihan IT skala besar melibatkan transeferring ke "aset spesifik" vendor, seperti perancangan, pengembangan, dan pemeliharaan aplikasi bisnis unik yang penting bagi kelangsungan hidup organiasi. Aset spesifik, sementara berharga bagi klien, nilainya kecil bagi vendor di luar kontrak langsung dengan klien. Vendor dapat memanfaatkan ketergantungan ini dengan menaikkan tarif layanan ke tingkat selangit. Seiring kebutuhan TI klien berkembang dari waktu ke waktu di luar persyaratan kontrak awal, risiko akan berlanjut jika layanan baru atau tambahan akan dinegosiasikan dengan harga premium.
Biaya Outsourcing melebihi manfaat
IT outsourcing telah dikritik karena biaya tak terduga muncul dan tingkat keuntungan yang diharapkan tidak direalisasikan. Satu survei mengungkapkan bahwa 47 persen dari 66 perusahaan yang disurvei melaporkan bahwa biaya outsourcing TI melebihi keuntungan outsourcing. Salah satu alasannya adalah bahwa klien outsourcing sering gagal mengantisipasi biaya pemilihan vendor, kontrak, dan transisi operasi TI ke vendor.
Mengurangi keamanan
Informasi yang dikirim ke vendor TI di luar negeri menimbulkan pertanyaan unik dan serius yang mencakup pengendalian internal dan perlindungan data pribadi senstive. Ketika sistem keuangan korporat dikembangkan, iklan di luar negeri, dan kode program dikembangkan melalui antarmuka dengan jaringan perusahaan induk.
20
Hilangnya keuntungan strategis
IT outsourcing dapat mempengaruhi ketidaksesuaian antara perencanaan strategis TI perusahaan dengan rancangan bisnisnya. Organisasi yang menggunakan TI strategis harus menyelaraskan strategi bisnis dan strategi TI atau menjalankan risiko penurunan kinerja bisnis. Untuk mempromosikan keselarasan tersebut, perusahaan membutuhkan manajer TI dan chief information officer (CIO) yang memiliki pengetahuan kerja yang kuat mengenai bisnis organisasi. Sebuah survei terhadap 213 pelaku TI di industri jasa keuangan memastikan bahwa kepemimpinan TI perusahaan perlu disesuaikan dengan strategi persaingan perusahaan. Memang, ada yang berpendapat bahwa kompetensi busing CIO lebih penting daripada kompetensi TI mereka dalam memfasilitasi kongruensi strategis. Untuk mencapai keselarasan tersebut, diperlukan adanya hubungan kerja yang erat antara manajemen perusahaan dan manajemen TI dalam pengembangan strategi bisnis dan TI bersamaan. Namun, ini sulit dilakukan ketika TI menyusut secara geografis dipindahtangankan ke luar negeri atau bahkan di dalam negeri. Lebih jauh lagi, karena pembenaran finansial untuk outsourcing TI bergantung pada vendor yang mencapai skala ekonomis, vendor secara alami didorong untuk mencari solusi umum yang dapat digunakan oleh banyak klien daripada menciptakan solusi unik untuk masing-masing perusahaan. Pendanaan fundamnetal IT outsourcing tidak konsisten dengan usaha mengejar keuntungan strategis di pasar. 2.9.2 Implikasi Audit IT outsourcing Manajemen dapat mengalihkan fungsi TI perusahaannya, namun tidak dapat mengalihkan tanggung jawab manajemennya di bawah SOX untuk memastikan adanya kontingan internal TI yang memadai. PCAOB secara khusus menyatakan dalam Standar Audit No. 2, "Penggunaan organisasi layanan tidak mengurangi tanggung jawab manajemen untuk menjaga pengendalian internal yang efektif atas pelaporan keuangan. Sebaliknya, manajemen pengguna harus mengevaluasi kontrol pada organisasi layanan, serta kontrol terkait di perusahaan pengguna, saat membuat penilaian tentang pengendalian internal atas pelaporan keuangan. "Oleh karena itu, jika perusahaan audit melakukan outsourcing fungsi TInya kepada vendor yang memproses transaksinya, menginangi data utama, atau melakukan layanan penting lainnya, auditor harus
21
melakukan evaluasi terhadap kontrol organisasi vendor, atau dengan alternatif memperoleh SAS No. 70 laporan auditor dari organisasi vendor. Pernyataan Standar Audit No. 70 (SAS 70) adalah standar definitif dimana auditor organisasi klien dapat memperoleh pengetahuan bahwa kontrol pada vendor pihak ketiga memadai
untuk
mencegah
atau
mendeteksi
kesalahan
material
yang
dapat
mempengaruhi laporan keuangan klien. Laporan SAS 70, yang disiapkan oleh auditor vendor, sesuai dengan kecukupan kontrol internal vendor. Ini adalah cara dimana vendor outsorching dapat memperoleh satu laporan audit yang dapat digunakan oleh auditor kliennya dan dengan demikian menghalangi kebutuhan setiap auditor perusahaan auditor untuk melakukan audit sendiri terhadap pengendalian internal organisasi vendor. Auditor provider Tujuh menerbitkan dua jenis laporan SAS 70. Laporan SAS 70 Type I kurang ketat dari keduanya dan hanya berkomentar mengenai kesesuaian desain kontrol. Laporan SAS 70 Type II berjalan lebih jauh dan menilai apakah pengendalian beroperasi secara efektif berdasarkan uji yang dilakukan oleh auditor organisasi vendor. Sebagian besar laporan SAS 70 yang diterbitkan adalah Tipe II. Karena Bagian 404 memerlukan pengujian kontrol secara eksplisit, laporan SAS 70 Type I tidak banyak nilainya di dunia ost-SOX.
22
BAB 3. KESIMPULAN Bab ini menyajikan risiko dan kontrol yang terkait dengan tata kelola TI. Ini dimulai dengan definisi singkat tentang tata kelola TI dan mengidentifikasi implikasinya terhadap pengendalian internal dan pelaporan keuangan. Selanjutnya disajikan eksposur yang bisa timbul dari penataan fungsi TI yang tidak tepat dalam organisasi. Bab ini beralih ke ulasan tentang ancaman dan kontrol pusat komputer, termasuk melindunginya dari kerusakan dan penghancuran dari bencana alam, kebakaran, suhu, kelembaban iklan. Bab ini kemudian mempresentasikan elemen kunci dari rencana pemulihan bencana. Beberapa faktor perlu dipertimbangkan dalam rencana seperti itu, termasuk menyediakan cadangan lokasi kedua, mengidentifikasi aplikasi penting, melakukan prosedur penyimpanan cadangan dan off-site, menciptakan tim pemulihan bencana, dan menerapkan DRP. Bagian akhir bab ini membahas masalah seputar tren yang berkembang terhadap IT outsourcing. Secara khusus, ia meninjau logika yang mendasari outsourcing dan manfaat yang diharapkannya. IT outsourcing juga dikaitkan dengan risiko signifikan, yang dibahas. Bab ini diakhiri dengan diskusi tentang masalah audit di lingkungan outsourcing.
23
DAFTAR PUSTAKA
Hall, J. A. (2011). Information Technology Auditing. USA: South Western Cengage Learning.
24