AUDITING IT GOVERNANCE CONTROLS

A. Information Technology Governance

Tujuan utama dari tata kelola TI adalah untuk :

mengurangi risiko

memastikan bahwa investasi dalam sumber daya TI menambah nilai bagi perusahaan.

Sebelum SOX Act, praktek umum mengenai investasi pada TI adalah menyerahkan semua

keputusan kepada profesional TI. Sekarang semua elemen organisasi dituntut aktif berpartisipasi

dalam perencanaan s.d pengembangan TI.

a.IT Governance Controls

Based on SOX dan COSO ada 3 isu tata kelola IT:

Organizational structure of the IT function

Computer center operations

Disaster recovery planning

B. Structure of the Information Technology

a.Centralized Data Processing

Berdasarkan model pengolahan data terpusat, semua pemrosesan data dilakukan oleh satu atau

lebih komputer yang lebih besar bertempat di situs pusat yang melayani pengguna di seluruh

organisasi.

DBA: Central Location, Shared. DBA n teamnya responsible pada keamanan dan integritas

database.

Pemrosesan Data mengelola SDIT terdiri dari:

Konversi Data: HardCopy to SoftCopy (inputable to computer)

Operasi Komputer: memproses hasil konversi melalui suatu aplikasi

Data Library: Storage offline data-> Real Time data Procesing dan direct acces mengurangi peran

DL

Sys Dev and Maintenis: Analisis kebutuhan, partisipasi dalam desain sistem baru (Profesional, End

Users dan Stakeholder). Menjaga sistem beroperasi sesuai kebutuhan, 80-90% cost dalam IT

biasanya ada pada maintanance (tidak hanya soal merawat/membersihkan HW namun lebih kepada

tambal sulam SI.

Masalah control yang harus diperhatikan dalam proses data tersentralisasi adalah pengamanan DB.

Karena jika accesnya lemah maka seluruh informasi dapat terpapar resiko, bentuk topologi jaringan

juga mempengaruhi keandalan data informasi. Hal ini akan lebih jelas di appendix.

b.Segregation of Incompatible IT Functions

Pemisahan antara suatu fungsi tertentu demi menjaga IC yang baik:

Sys Dev pisahkan dengan Operasional

DBA fisahkan dari unit lain

Sys Dev pisahkan dengan Maintanance (merupakan superior structure) karena adanya resiko:

Inadequate Documentation: Programmer lebih suka mengembangkan sistem baru daripada

mendokumentasikan kinerja sistem lama, juga soal job security perlu diperhatikan karena dpat

menyusun program yang tidak sempurna biar ada kerjaan terus.

Program Fraud: unauthorized change karena programer faham seluk beluk operasi normal.

c. The Distributed Model

Small, powerful, and inexpensive systems. DisDataProc (DDP) melibatkan reorganisasi fungsi IT

pusat ke IT unit kecil yang ditempatkan di bawah kendali pengguna akhir (End Users). Unit IT dapat

didistribusikan menurut fungsi bisnis, lokasi geografis, atau keduanya.

Resikonya mnggunakan model DDP: tidak efisiennya penggunaan sumber daya, perusakan jejak

audit, pemisahan tugas kurang memadai, meningkatkan potensi kesalahan pemrograman dan

kegagalan sistem serta kurangnya standarisasi.

Keuntungannya termasuk pengurangan biaya, peningkatan kontrol biaya, meningkatkan kepuasan

pengguna, dan adanya fleksibilitas dalam backup sistem.

d. Controlling the DDP Environment

Central Testing of Commercial Software and Hardware diuji dipusat

User Services-> ada Chat room, FAQ, Intranet support dll

Standard-Setting Body -> untuk improve keseragaman prog and doc

Personnel Review-> ada assesment.

Audit Objective: Tujuan auditor adalah untuk memastikan bahwa struktur fungsi TI adalah

sedemikian rupa sehingga individu di daerah yang tidak kompatibel dipisahkan sesuai dengan

tingkat potensi risiko dan dengan suatu cara yang mempromosikan lingkungan kerja yang kondusif.

Audit Procedures:

Centralized

Tinjau dokumentasi yang relevan, untuk menentukan apakah individu atau kelompok yang

melakukan fungsi-fungsi yang tidak kompatibel.

Review catatan pemeliharaan,verifikasi bahwa programmer pemeliharaan tertentu tidakmerangkap

programer desain.

Pastikan bahwa operator komputer tidak memiliki akses ke logic sistem dokumentasi, seperti sistem

diagram alur, logika diagram alur, dan daftar kode program.

Review akses programer untuk alasan selain kegagalan sistem

Distributed

Tinjau bagan organisasi saat ini , pernyataan misi , dan uraian tugas incompatible duties .

• Pastikan bahwa desain sistem ,dokumentasi,hardware dan perangkat lunak hasil akuisisi

diterbitkan dan diberikan to unit TI.

• Pastikan kontrol kompensasi ->supervisi monitoring

• Dokumentasi sistem aplikasi , prosedur , dan databasesare dirancang dan berfungsi sesuai dengan

standar perusahaan .

Dalam sistem terdistribusi pemrosesan dan pengamanan data disebar ke berbagai titik,

pengamanan menjadi di banyak pintu namun tersebar, resikonya tidak seluruh titik memiliki

pengamanan yang sama. Dalam topologi STAR lebih aman karena kalo satu mati yg lain relatif tidak

terganggu sedang pada Topologi BUS jika satu titik mati akan menggangu yang lain meskipun

secara umum keunggulanya dia lebih cepat dan murah. Sayangnya sistem Bus akan rentan

tabrakan data (lebih lengkap di appendix) fokus auditor adalah kepada seringnya sistem down atau

kerusakan jaringan maupun software yang mengakibatkan gangguan komunikasi dan pada

database, resiko ini berbeda2 dalam masing2 topologi jaringan.

C.The Computer Center

a. Physical Location : Antisipasi bencana alam maupun manusia cari lokasi yang aman.

b. Construction : kontruksi fasilitas IT-> tunggal, acces terbatas dan filtrasi bagus.

c. Access : LIMITED

d. Air Conditioning : Adequate untuk menjaga database

e. Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door

f. Fault Tolerance : Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasi ketika

bagian dari sistem gagal (masih bisa running kalau ada sesuatu gangguan) karena kegagalan

hardware, error program aplikasi, atau kesalahan operator.

Redundant arrays of independent disks (RAID)->data

UPS->Listrik

g. Audit Objectives

Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur keamanan pusat komputer .

Secara khusus , auditor harus memastikan bahwa : kontrol keamanan fisik yang memadai untuk

cukup melindungi organisasi dari eksposur fisik DAN cakupan asuransi pada peralatan memadai

untuk mengkompensasi kerusakan pusat komputernya

h. Audit Procedures

Tests of Physical Construction. Fisik bangunan server, lokasi dan keamanan terhadap HAZARD

EVENT.

Tests of the Fire Detection System.

Tests of Access Control.

Tests of Raid, BU HD

Tests of the Uninterruptible Power Supply.

Tests for Insurance Coverage.

D. Disaster Recovery Planning

Dengan perencanaan kontinjensi yang hati-hati, dampak dari bencana dapat diredam dan organisasi

dapat pulih dengan cepat. Untuk bertahan hidup dari peristiwa darurat seperti itu, perusahaan harus

mengembangkan prosedur pemulihan dan meresmikan mereka ke dalam suatu rencana pemulihan

bencana (DRP), suatu skema dalam menghadapi keadaan darurat.Prosesnya adalah sbb:

a. Identify Critical Applications->Buat daftar aplikasi yang paling penting

b. Creating a Disaster Recovery Team ->buat Tim..langgar IC boleh

c. Providing Second- Site Backup buat lokasi data cadangan (duplikasi)

mutual aid pact->dua atau lebih, join SD IT pas bencana

empty shell or cold site; ->sewa tempat pada penyedia backup

recovery operations center or hot site; ->sewa full equipped backup

internally provided backup->buat sendiri (mirroring di tmpt lain)

Audit Objective: The auditor should verify that management’s disaster recovery plan is adequate

and feasible for dealing with a catastrophe that could deprive the organization of its computing

resources. Audit Procedures memastikan hal2 dibawah ini berfungsi dengan baik

Site Backup…lokasi HW IT dll

Daftar Aplikasi penting oke

Software Backup.

Data dan Dokumentasi Backup.

Backup Supplies dan Source Documents.

Disaster Recovery Team di test

E.Outsourcing the IT Function

Outsourcing IT kadangkala meningkatkan kinerja bisnis inti, meningkatkan Kinerja IT (karena keahlian

vendor), dan mengurangi biaya TI. Logika yang mendasari outsourcing TI dari teori kompetensi inti,

yang berpendapat bahwa organisasi harus fokus secara eksklusif pada kompetensi bisnis intinya saja,

sementara outsourcing vendor memungkinkan untuk secara efisien mengelola daerah non-inti seperti

fungsi TI (IT dianggap supporting).

Premis ini, bagaimanapun, mengabaikan perbedaan penting antara komoditas dan aset TI yang

spesifik. Commodity IT assets are not unique to a particular organization and are thus easily

acquired in the marketplace sementara Specific IT assets dapat merupakan keunggulan strategis

perusahaan. Transaction Cost Economics (TCE) theory is in conflict with the core competency

school by suggesting that firms should retain certain specific non–core IT assets inhouse. Jadi

disarankan boleh outsource pada SumberDaya IT yang bisa digantikan (SW/HW) atau tidak terlalu

kritikal..SD IT yang penting dan unggulan bagi organisasi jangan.

a. Risks Inherent to IT Outsourcing

Failure to Perform

Vendor Exploitation

Outsourcing Costs Exceed Benefit

Reduced Security

Loss of Strategic Advantage

b. Audit Implications of IT Outsourcing

Manajemen boleh saja mengalihdayakan fungsi ITnya namun tidak dapat mengalihkan tanggungjawab

manajemen pada penyediaan Pengendalian Intern yang memadai. SAS 70 merupakan standar yang

mendefinisikan perlunya auditor mengetahui kontrol jika IT dilaksanakan oleh vendor pihak ketiga.

Vendornya sendiri tentu diaudit oleh auditornya sehingga IT review dilaksanakan satu kali saja

supaya praktis dan murah.