You are on page 1of 26

AUDIT KONTROL TATA KELOLA TI

Oleh:
Diah Dwi Utami NIM. 150810301104
Yuni Citra Andini NIM. 150810301054
Aprilina Dyah Anggraeni NIM. 150810301050
Erfita Mutiara Citra NIM. 150810301017
Intan Anizurrahmah NIM. 150810301037

TATA KELOLA TEKNIS INFORMASI

Merupakan subset terbaru dari tata kelola
perusahaan yang berfokus pada pengelolaan dan
penilaian sumber daya TI strategis.
Tujuannya adalah mengurangi risiko dan
memastikan bahwa investasi sumber daya TI
memberi nilai tambah bagi korporasi.

Struktur organisasi fungsi TI 2. Operasi di pusat komputer 3. Kontrol Tata Kelola TI Terdapat tiga masalah tata kelola TI yang ditangani oleh SOX dan kerangka pengendalian internal COSO: 1. Perencanaan pemulihan bencana .

Administrasi Konversi data Database Struktur organisasi fungsi TI Pengolahan data Operasi komputer Pengolahan data Perpustakaan data terpusat Model Pendekatan Sistem profesional terdistribusi Pengembangan dan Pengguna akhir Pemeliharaan Sistem Pemangku kepentingan .

pencatatan terpisah dari penitipan aset. pembagian tugas antar rekening di antara individu-individu karena rupa kekurangan kolusi antara dua atau lebih penipuan individu tidak akan mungkin dilakukan. 2. pemisahan otorisasi transaksi dari proses transaksi. Segregasi fungsi TI yang tidak kompatibel Secara khusus. . 3. tugas operasional harus menjadi: 1.

Segregasi fungsi TI yang tidak kompatibel • Memisahkan Pengembangan Sistem dari Operasi Komputer • Memisahkan Administrasi Database dari Fungsi LainMemisahkan pengembangan sistem baru dari perawatan Dokumentasi yang tidak memadai • Program Penipuan • Struktur superior untuk pengembangan sistem .

Model Terdistribusi • Resiko yang terkait dengan DDP • Penggunaan sumber daya yang tidak efisien .

• Pemisahan tugas yang tidak memadai • Mempekerjakan Profesional Berkualitas. Lanjutan…. • Pemusnahan jalur audit. • Kurangnya Standar .

Peningkatan Kepuasan Pengguna. Fleksibilitas Cadangan . Tanggung Jawab Kontrol Biaya yang Lebih Baik 3. Pengurangan biaya. KEUNTUNGAN DDP 1. 2. 4.

MENGONTROL LINGKUNGAN DDP • Melaksanakan Fungsi Perusahaan • Pengujian Pusat Perangkat Lunak dan Perangkat Lunak Komersial • Layanan Pengguna • Standard-Setting Body • Ulasan personalia .

. Tujuan auditor Tujuan auditor adalah untuk memverifikasi struktur fungsi TI dengan memisahkan setiap individu sesuai dengan tingkat risiko potensial serta dengan cara mempromosikan lingkungan kerja.

• Melalui pengamatan Prosedur audit berikut akan berlaku untuk organisasi dengan fungsi TI terdistribusi: • Tinjau bagan organisasi saat ini • Verifikasi bahwa kebijakan dan standar perusahaan untuk perancangan sistem • Pastikan kontrol kompensasi • Review dokumentasi . Prosedur Audit Prosedur audit berikut akan berlaku untuk sebuah organisasi dengan fungsi TI terpusat: • Meninjau dokumentasi yang relevan • Meninjau dokumentasi sistem dan catatan pemeliharaan • Pastikan operator komputer tidak memiliki akses ke rincian operasional logika internal sistem.

Tujuan dari bagian ini adalah untuk menyajikan risiko pusat komputer dan kontrol yang membantu mengurangi risiko dan menciptakan lingkungan yang aman. . PUSAT KOMPUTER Akuntan secara rutin memeriksa lingkungan fisik pusat komputer sebagai bagian dari audit tahunan mereka.

Pemadam kebakaran Kebakaran adalah ancaman paling serius bagi peralatan komputer perusahaan. AC Komputer berfungsi paling baik di lingkungan ber-AC. Konstruksi Idealnya. kesalahan program aplikasi. Mengakses Akses ke pusat komputer harus dibatasi oleh operator dan karyawan lain yang bekerja di sana. dan menyediakan pendingin udara yang memadai sering menjadi persyaratan vendor.Lokasi fisik Lokasi fisik pusat komputer secara langsung mempengaruhi risiko kerusakan akibat bencana alam atau buatan manusia. Toleransi kesalahan Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasinya saat bagian dari sistem gagal karena kegagalan perangkat keras. pusat komputer harus berada di gedung berlantai satu konstruksi padat dengan akses terkontrol (dibahas selanjutnya). atau kesalahan operator. .

Secara khusus. Tujuan Audit Tujuan auditor adalah mengevaluasi kontrol yang mengatur keamanan pusat komputer. auditor harus memverifikasi bahwa: • Kontrol keamanan fisik cukup memadai • Cakupan asuransi atas peralatan memadai untuk memberi kompensasi .

– Pengujian Sistem Deteksi Kebakaran. . Prosedur Audit Berikut ini adalah pengujian kontrol keamanan fisik. – Uji Raid – Uji Uninterruptible Power Supply. – Uji Cakupan Asuransi. – Uji Konstruksi Fisik. – Uji Kontrol Akses.

. Disaster Recovery Plan (DRP) Disaster recovery plan (DRP) adalah sebuah proses atau kemampuan dari organisasi untuk menanggapi bencana atau gangguan dalam pelayanan melalui implementasi rencana pemulihan bencana untuk menstabilkan dan memulihkan fungsi kritis organisasi.

3. perencanaan pengatasan bencana. . Disaster recovery plan terdiri atas tiga perencanaan yaitu 1. 2. perencanaan proteksi. perencanaan pemulihan.

. Tujuan audit pada fungsi DRP adalah untuk memverifikasi bahwa rencana pemulihan bencana perusahaan cukup untuk memenuhi kebutuhan perusahaan dan bahwa implementasinya dapat dilakukan serta praktis.

yakni :  Mengikdentifikasi aplikasi penting Pada komponen ini. dan nomor telepon darurat para anggota tim pemulihan dari bencana. perusahaan atau organisasi harus menentukan daftar aplikasi penting yang menunjang operasional perusahaan.  Menyediakan situs back-up cadangan Bahan yang sangat penting di dalam sebuah DRP adalah rencana tersebut memungkinan adanya fasilitas pemprosesan data duplikat setelah terjadi suatu bencana. terdiri dari tiga aktivitas dasar. . alamat.  Membangun tim penanganan bencana Disaster recovery plan (DRP) harus mencantumkan nama. Spesifikasi Disaster recovery plan itu sendiri.

. IT outsourcing adalah penyediaan tenaga ahli yang profesional dibidang teknologi informasi untuk mendukung dan memberikan solusi guna meningkatkan kinerja perusahaan. Outsourcing Fungsi TI Outsourcing atau contracting out adalah pemindahan pekerjaan dari satu perusahaan ke perusahaan lain. IT outsourcing sendiri tidak berbeda jauh dengan definisi outsourcing secara umum.

Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya TI d. karena outsourcer memang spesialisasi dan ahli di bidang tersebut. Teknologi yang maju. Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan dikerjakan sendiri secara internal. Perusahaan dapat fokus pada core business-nya dengan tetap menikmati nilai-nilai positif dari sistem dan teknologi informasi. IT outsourcing memberikan akses kepada organisasi klien berupa kemajuan teknologi dan pengalaman personil. Terdapat keuntungan-keuntungan yang dirasakan perusahaan apabila melakukan IT outsourcing. antara lain: a. Mengurangi biaya dari pengadaan fungsi TI di perusahaan e. b. . c.

c) Resiko terhadap keamanan data perusahaan. e) Kegagalan dalam keselarasan strategi antara perencanaan TI dengan perencanaan bisnis perusahaan secara keseluruhan. Risks Inherent to IT Outsourcing Ada resiko-resiko yang mungkin terjadi bila perusahaan meng- outsource fungsi TI-nya. dimana IT outsource sangat berhubungan dengan data perusahaan. b) Dapat terjadi ketidakseimbangan biaya dengan manfaat yang dirasakan. d) Rentan dapat ditiru oleh pesaing lain bila aplikasi yang dioutsourcingkan adalah aplikasi strategik. 1. antara lain: a) Performa dari sumber daya IT dapat gagal karena itu semua bergantung pada vendor atau penyedia layanan. . f) Adanya kecenderungan outsourcer untuk merahasiakan sistem yang digunakan dalam membangun sistem informasi bagi pelanggannya agar jasanya tetap digunakan.

seperti ketersediaan kelanjutan dari jasa. Menelaah apakah tujuan dari outsourcing tercapai. Menilai resiko yang terkait dengan outsourcing. infrastructure management services. c. b. . application support and maintenance.2. tingkat layanan dan keamanan informasi. Menilai strategi TI apakah telah dimodifikasi sehingga sesuai dengan rencana IT outsourcing. Audit Implications of IT Outsourcing Area-area yang berhubungan dengan audit pada IT oursourcing. Tujuan dari audit ini sendiri. seperti: software development. antara lain: a.

Auditor harus memeriksa apakah proyek pekerjaan benar- benar dilakukan oleh penyedia layanan dan sama dengan yang disebutkan dalam kontrak.  Statement of work Informasi penting berikutnya dari sebuah kontrak adalah statement of work atau laporan kerja yang berisi daftar pekerjaan yang harus dilakukan oleh penyedia layanan. Auditor harus membuat pengawasan menyeluruh terhadap kontrak. seperti:  Contract Untuk auditor. . dan mengevaluasi semua risiko seperti yang dilakukan dalam pemeriksaan kontrak. titik awal yang baik dalam mengaudit adalah dari kontrak outsourcing. Seorang auditor dapat membuat checklist mengenai hal-hal penting selama mengaudit IT out sourcing. seperti yang akan dilakukan untuk setiap kontrak komersial besar.

integritas dan ketersediaan informasi.  Impact on IT strategy . Auditor harus memeriksa apakah mekanisme telah ditetapkan untuk pemantauan keamanan dan proses yang terkait. Data security Keamanan berkaitan dengan menjaga kerahasiaan. Auditor harus memeriksa apakah kebijakan keamanan dan proses dari penyedia layanan sinkron dengan orang-orang dari perusahaan.