Chapter 1

Why control and audit are important?

Peran teknologi informasi (TI) kontrol dan audit yang telah menjadi mekanisme
penting untuk memastikan integritas sistem informasi (IS) dan pelaporan keuangan organisasi
untuk menghindari dan mudah-mudahan mencegah fiascos keuangan masa depan, seperti
Enron dan WorldCom. Ekonomi global lebih saling tergantung dari sebelumnya dan risiko
geopolitik dampak semua orang. Infrastruktur elektronik dan perdagangan yang terintegrasi
dalam proses bisnis di seluruh dunia. Kebutuhan untuk mengontrol dan mengaudit TI belum
pernah lebih besar.
Awalnya, IT audit (sebelumnya disebut pengolahan data elektronik (EDP), sistem
informasi komputer (CIS), dan IS audit) berkembang sebagai perpanjangan audit tradisional.
Pada saat itu, kebutuhan untuk fungsi audit IT datang dari beberapa arah

Auditor menyadari bahwa komputer telah berdampak kemampuan mereka untuk

melakukan fungsi pengesahan.

Manajemen pengolahan perusahaan dan informasi diakui bahwa komputer yang

sumber utama untuk bersaing dalam lingkungan bisnis dan mirip dengan sumber daya
bisnis yang berharga lainnya di dalam organisasi, dan karena itu, kebutuhan untuk
kontrol dan auditability sangat penting.

Asosiasi profesi dan organisasi, dan lembaga pemerintah mengakui kebutuhan untuk
mengontrol IT dan auditability.

Komponen awal IT audit diambil dari beberapa daerah. Pertama, audit tradisional
memberikan kontribusi pengetahuan tentang praktek pengendalian internal dan filosofi
kontrol secara keseluruhan. Kontributor lain adalah IS manajemen, yang menyediakan
metodologi yang diperlukan untuk mencapai desain yang sukses dan implementasi sistem.
Bidang ilmu perilaku disediakan pertanyaan tersebut dan analisis untuk kapan dan mengapa
IS cenderung gagal karena masalah orang. Akhirnya, bidang ilmu komputer memberikan
kontribusi pengetahuan tentang konsep kontrol, disiplin, teori, dan model-model formal yang
mendasari hardware dan software desain sebagai dasar untuk menjaga validitas data,
reliabilitas, dan integritas.

IT audit merupakan bagian integral dari fungsi audit karena mendukung pertimbangan
auditor pada kualitas informasi yang diproses oleh sistem komputer. Awalnya, auditor dengan
keahlian audit TI dipandang sebagai sumber daya teknologi untuk staf audit. Staf audit sering
tampak kepada mereka untuk bantuan teknis. Seperti yang akan Anda lihat dalam buku ini,
ada banyak jenis audit perlu dalam audit TI, seperti audit organisasi TI (kontrol manajemen
atas IT), audit IT teknis (infrastruktur, pusat data, komunikasi data), pemeriksaan aplikasi IT
(bisnis / keuangan / operasional), pengembangan / implementasi audit IT (spesifikasi /
persyaratan, desain, pengembangan, dan tahap pasca implementasi), dan kepatuhan audit IT
melibatkan standar nasional atau internasional. Peran IT auditor telah berkembang untuk
memberikan jaminan bahwa kontrol yang memadai dan tepat berada di tempat. Tentu saja,
tanggung jawab untuk memastikan bahwa pengendalian internal yang memadai di tempat
bersandar dengan manajemen. Peran utama audit, kecuali di bidang jasa konsultasi
manajemen, adalah untuk memberikan pernyataan jaminan apakah pengendalian internal
yang memadai dan dapat diandalkan di tempat dan beroperasi secara efisien dan efektif. Oleh
karena itu, sedangkan manajemen adalah untuk memastikan, auditor harus menjamin.
Hari ini, audit IT adalah profesi dengan perilaku, tujuan, dan kualitas yang ditandai
dengan standar teknis di seluruh dunia, satu set etika aturan (Sistem Informasi Audit dan
Control Association [ISACA] Kode Etik), dan program sertifikasi profesi (Informasi
Bersertifikat Sistem Auditor [CISA]). Hal ini membutuhkan pengetahuan khusus dan
kemampuan praktis, dan persiapan akademik sering panjang dan intensif. Seringkali, di mana
program-program akademik yang tidak tersedia, pelatihan yang signifikan dalam rumah dan
pengembangan profesional harus dikeluarkan oleh pengusaha. Kebanyakan akuntansi, audit,
dan IT masyarakat profesional percaya bahwa perbaikan dalam penelitian dan pendidikan
pasti akan memberikan auditor IT dengan teoritis dan empiris pengetahuan dasar yang lebih
baik untuk fungsi audit TI. Mereka merasa bahwa penekanan harus ditempatkan pada
pendidikan yang diperoleh di tingkat universitas.
Luas dan kedalaman pengetahuan yang dibutuhkan untuk mengaudit sistem TI yang luas.
Misalnya, IT audit melibatkan

Penerapan pendekatan audit yang berorientasi risiko

Penggunaan perangkat audit dengan bantuan komputer dan teknik

Penerapan standar (nasional atau internasional) seperti ISO 9000/3 dan ISO 17799
untuk meningkatkan dan menerapkan sistem mutu dalam pengembangan perangkat
lunak dan memenuhi standar keamanan

Memahami peran bisnis dan harapan dalam audit sistem dalam pengembangan serta
pembelian kemasan perangkat lunak dan manajemen proyek

Penilaian masalah keamanan informasi dan privasi yang dapat menempatkan

organisasi pada risiko

Pemeriksaan dan verifikasi kepatuhan organisasi dengan masalah hukum terkait IT

yang dapat membahayakan atau menempatkan organisasi pada risiko

Evaluasi kompleks siklus hidup pengembangan sistem (SDLC) atau teknik

pengembangan baru; misalnya, prototyping, komputasi pengguna akhir, sistem yang
cepat, atau pengembangan aplikasi

Pelaporan ke manajemen dan melakukan ulasan tindak lanjut untuk memastikan

tindakan yang diambil di tempat kerja
Audit teknologi yang kompleks dan protokol komunikasi melibatkan internet,
intranet, extranet, pertukaran data elektronik, server client, jaringan area lokal dan
luas, komunikasi data, telekomunikasi, teknologi nirkabel, dan sistem suara / data /
video terintegrasi.
kategorisasi:

Organisasi IT Audit (kontrol lebih tentang manajemen atas IT).

Teknis IT Audit (tentang infrastruktur)

Aplikasi IT Audit (bisnis / keuangan / operasi)

Pembangunan / Pelaksanaan Audit IT

Kepatuhan IT Audit (sekitar / standar internasional nasional)

Tujuan untuk ini jika untuk mempertahankan data validitas, reliabilitas, dan
integritas.
Informasi Integritas, Keandalan, dan Validitas:
Pentingnya di Lingkungan Bisnis Global Hari ini Organisasi saat ini beroperasi dalam

lingkungan global yang dinamis multienterprise dengan berorientasi tim. Kolaborasi tempat

dan persyaratan yang sangat ketat pada jaringan dia telekomunikasi. Desain sistem tersebut
adalah kompleks dan manajemen bisa sangat sulit. Organisasi sangat tergantung pada aliran
informasi secara tepat waktu yang akurat. Cara yang baik untuk melihat bagaimana ketat
jaringan persyaratan adalah untuk menganalisis mereka dalam hal kualitas layanan
telekomunikasi. Mungkin, dua contoh ketergantungan dunia pada IT datang sebagai sult
ulang dua Peristiwa dilaporkan di masa lalu di mana kegagalan TI berdampak dunia
perdagangan dan komunikasi
Peningkatan penggunaan Internet telah membawa dengan itu suatu bentuk baru
pertukaran: perdagangan virtual (Virtual Commerce) yang melibatkan ditinggalkannya era
penggunaan uang fisik dalam perdagangan sehari-hari. Virtual commerce ini melibatkan uang
tunai elektronik (e-cash). Virtual Commerce ini sebetulnya tetap mempergunakan currency
atau mata uang yang berlaku, namun proses pertukarannya adalah bersifat digital yang mana
dapat memperbesar timbulnya gangguan keamaan dan privasi. Sementara perkembangan
yang kini terjadi mengarahkan pada persaingan dengan melakukan bisnis online yang
mentargetkan pelanggan yang juga pengguna Internet, yang biasa kita kenal dengan sebutan
E-commerce. Bidang-bidang utama yang menjadi perhatian dengan E-commerce adalah
kerahasiaan, integritas, non-repudiation, dan authentication. Cara-cara yang biasa
dipergunakan dalam menjawab perhatian pada bidang utama ini adalah enkripsi, kriptografi,
dan keterlibatan pihak ketiga.
Meskipun banyak produk yang cukup efisien dalam mengamankan mayoritas
serangan pada jaringan, tidak ada produk tunggal yang dapat melindungi sistem dari setiap
serangan penyusup. Meski undang-undang keamanan yang berlaku telah melindungi terhadap
kemungkinan bahaya penyerangan ke dalam system jaringan, namun terkadang tetap
seringkali menyebabkan beberapa penjahat bisa lolos dari jeratan hukum meskipun mereka
telah melanggar dengan melakukan akses tanpa ijin ke dalam sistem komputer. Belum lagi
permasalahan lain yang timbul adalah perundang-undangan tersebut seringkali tidak
dilakukan tinjauan periodik sehingga kerap kali terjadi kebijakan dan prosedur menjadi usang
dan tidak efektif.
Dari sudut pandang privasi, telah terlihat bahwa di dalam dunia Internet, informasi
pribadi dapat diakses dengan mudah oleh siapapun, termasuk juga oleh orang yang
bermaksud untuk menyalahgunakannya. Disini perundang-undangan juga sudah mengatur
beberapa hal, namun tetap saja tidak melindungi pengguna terhadap unsur penyerangan

privasi.
Untuk mengontrol proses IT, kita perlu memiliki seperangkat memadai keterampilan.
Keterampilan ini kemudian didefinisikan oleh beberapa organisasi seperti IFAC (International
Federation of Accountants) atau IIA (Institute of Internal Auditors), atau banyak organisasi
terkait.
Pertumbuhan teknologi pertumbuhan diperlukan pada set keterampilan.

Dampak teknologi:
o Apa yang bisa Technology lakukan dalam bisnis dalam hal informasi
(enabler bisnis).
o Teknologi

telah

secara

signifikan

berdampak

pada

proses

pengendalian.
o Teknologi telah berdampak profesi audit dalam hal bagaimana
pemeriksaan dilakukan.
Global Concern for Control and Audit

E-Commerce
Dikenal sebagai (pemasaran elektronik) e-commerce atau eCommerce, terdiri
dari pembelian dan penjualan produk atau jasa melalui sistem elektronik
seperti internet dan jaringan komputer lainnya.

Layanan web
Sistem perangkat lunak yang dirancang untuk mendukung interoperable
interaksi mesin-ke-mesin melalui jaringan

Proses pembayaran
Sebuah proses pembayaran hanyalah transaksi uang antara pengguna dan
pedagang (pemilik produk).

Growth of E-Commerce

Primary concern with e-commerce:

Confidentiality

Integrity

Non-Repudiation

Authentication

To address the primary concern:

Encryption

Cryptography

Use of 3rd parties

Legal Issues Impacting IT

Berdasarkan apa yang terjadi dengan Enron, WorldCom, dan Arthur Andersen;
membawa lebih banyak permintaan pada 'bagaimana' untuk mencegah, mendeteksi, dan
memperbaiki situasi sebelum nya benar-benar terjadi.

Keamanan Federal Legislasi

o Komputer Penipuan dan Penyalahgunaan Act
o Keamanan Komputer Act tahun 1987

Privasi pada Raya Informasi

Legislasi privasi dan Privacy Act Pemerintah Federal

o Komunikasi elektronik Privacy Act
o Komunikasi UU Kesusilaan 1995
o Asuransi Kesehatan Portabilitas dan Akuntabilitas Act of 1996

Keamanan

Komputer

Act

tahun

1987

Tindakan lain yang penting adalah Undang-Undang Keamanan Komputer 1987, yang
dirancang karena kekhawatiran kongres dan kesadaran masyarakat tentang isu-isu yang
berkaitan dengan keamanan komputer dan karena perselisihan pada kontrol informasi
unclassified. Tujuan umum dari tindakan itu deklarasi dari pemerintah yang meningkatkan
keamanan dan privasi informasi sensitif dalam sistem komputer federal untuk kepentingan
umum. Tindakan menetapkan program keamanan komputer pemerintah federal yang akan
melindungi informasi sensitif dalam sistem komputer pemerintah federal. Hal ini juga akan
mengembangkan standar dan pedoman untuk sistem komputer federal yang unclassified dan
memfasilitasi perlindungan tersebut.
Undang-Undang

Keamanan

Komputer

tanggung

jawab

juga

ditugaskan

untuk

mengembangkan standar governmentwide sistem keamanan komputer, pedoman, dan

program pelatihan keamanan kepada Biro Standar Nasional. Lebih lanjut membentuk Sistem
Komputer Keamanan dan Privasi Dewan Penasehat dalam Departemen Perdagangan, dan
diperlukan lembaga federal untuk mengidentifikasi sistem komputer yang berisi informasi
sensitif dan mengembangkan rencana keamanan untuk sistem tersebut. Akhirnya, itu
memberikan pelatihan berkala keamanan komputer untuk semua karyawan federal dan
kontraktor yang berhasil, digunakan, atau dioperasikan sistem komputer federal.
Undang-Undang Keamanan Komputer sangat penting karena merupakan dasar untuk
pengembangan

standar

federal

menjaga

informasi

keseimbangan antara isu-isu non-rahasia lainnya

unclassified

dan

membangun

keamanan dan nasional dalam

melaksanakan kebijakan keamanan dan privasi dalam pemerintah federal. Hal ini juga
penting dalam mengatasi isu-isu tentang kontrol pemerintah kriptografi, yang baru-baru ini
menjadi topik diperebutkan

Tidak ada saat ini akan menjamin keamanan sistem, tetapi titik awal yang baik

mungkin untuk mengembangkan dan menerapkan dari keamanan komputer yang baik,
yang dapat meliputi.
o Menentukan fitur keamanan yang diperlukan.
o Mendefinisikan "ekspektasi yang wajar" privasi mengenai isu-isu seperti
pemantauan kegiatan masyarakat.
o Mendefinisikan hak akses dan previledge dan melindungi aset dari kerugian,
pengungkapan, atau kerusakan dengan menentukan pedoman penggunaan
diterima bagi pengguna dan juga, memberikan pedoman untuk komunikasi
eksternal (jaringan).
o Mendefinisikan tanggung jawab dari semua pengguna.
o Membangun kepercayaan melalui kebijakan password yang efektif.
o Menentukan prosedur pemulihan.
o Mewajibkan pelanggaran dicatat.
o Menyediakan pengguna dengan dukungan informasi.

Kebijakan keamanan yang baik akan bervariasi untuk setiap organisasi.

Fokus utama kebijakan ini adalah untuk:

o Menargetkan kerugian menjadi "diterima" tingkat.
o Diminimalkan kebocoran informasi.

Hal ini tanggung jawab semua orang untuk merancang, melaksanakan, dan menjaga
lingkungan yang aman
Skandal-skandal keuangan yang melibatkan Enron dan Arthur Andersen LLP, dan
lain-lain menghasilkan permintaan untuk undang-undang baru untuk mencegah, mendeteksi,
dan mengoreksi penyimpangan tersebut. Selain itu, kemajuan dalam lingkungan teknologi
jaringan telah mengakibatkan membawa ke garis depan masalah keamanan dan privasi yang
dulunya hanya menarik bagi ahli hukum dan teknis, tetapi yang saat ini topik yang
mempengaruhi hampir setiap pengguna Internet. Internet telah tumbuh secara eksponensial
dari sebuah hubungan yang sederhana dari pemerintah relatif sedikit dan komputer
pendidikan untuk jaringan di seluruh dunia yang kompleks yang digunakan oleh hampir
semua orang dari teroris yang memiliki kemampuan komputer untuk pengguna pemula dan
semua orang di antara.
Menggunakan umum untuk Internet termasuk segala sesuatu dari tujuan pemasaran,

penjualan, dan hiburan ke e-mail, penelitian, perdagangan, dan hampir semua jenis lain
berbagi informasi. Sayangnya, karena dengan terobosan dalam teknologi, kemajuan juga
telah menimbulkan berbagai masalah baru yang harus ditangani, seperti keamanan dan
privasi. Masalah ini sering dibawa ke perhatian spesialis TI audit dan kontrol karena
dampaknya terhadap organisasi publik dan swasta.
Enron-Arthur Andersen LLP skandal keuangan terus menghantui pasar keuangan saat
ini sebagai kepercayaan dari konsumen, investor, dan pemerintah untuk memungkinkan
industri untuk mengatur diri sendiri semuanya telah dilanggar. Sarbanes-Oxley Act of 2002
akan menjadi pengingat jelas tentang pentingnya perawatan profesional karena. SarbanesOxley Act melarang semua perusahaan akuntan publik memberikan pelayanan jasa audit dan
non-audit (termasuk outsourcing internal audit, keuangan-informasi-sistem desain dan
implementasi layanan, dan layanan ahli) secara bersamaan.
Protection against Computer Fraud
Mengingat tidak adanya peraturan yang efektif saat ini, pertahanan terbaik terhadap
penipuan komputer adalah meningkatkan kewaspadaan. IT auditor harus waspada klien
mereka terhadap bahaya yang hadir, dan ada beberapa cara mereka dapat melindungi klien
mereka dari penipuan komputer. Ini umumnya dalam bentuk kontrol, firewall, atau enkripsi.
Penggunaan gabungan dari metode ini tentu akan membantu mengurangi risiko akses tidak
sah ke IS.
Komputer Nasional FBI Skuad Kejahatan saran berikut untuk membantu melindungi
terhadap penipuan komputer:

Tempatkan

log-in

banner

untuk

memastikan

bahwa

pengguna

tidak

sah

memperingatkan bahwa mereka mungkin dikenakan pemantauan.

Aktifkan audit pada.

Pertimbangkan pemantauan keystroke tingkat jika banner yang memadai ditampilkan.

Permintaan perangkap dan pelacakan dari perusahaan telepon lokal Anda.

Pertimbangkan untuk menginstal caller identification.

Membuat backup file yang rusak atau diubah.

Menjaga backup agar tetap dalam kondisi asli (tidak ada upaya perubahan terhadap
backup yang tersimpan).

Menunjuk satu orang untuk mengamankan bukti potensial. Bukti dapat terdiri dari
backup tape dan printout. Potongan-potongan bukti harus didokumentasikan dan
diverifikasi oleh orang mendapatkan bukti. Bukti harus disimpan di lemari terkunci
dengan akses terbatas pada satu orang.

Mencatat resources yang digunakan untuk membangun kembali sistem dan mencari
pelaku.

Mengenkripsi file.

Mengenkripsi transmisi.

Gunakan one-time password (OTP) generator.

Gunakan firewall.

Ledakan dari era informasi telah menciptakan banyak peluang untuk meningkatkan
bisnis. Hal ini juga menciptakan lebih banyak peluang bagi para penjahat. Tiga tahun yang
lalu, Komisi Perdagangan Internasional melaporkan bahwa pembajakan perangkat lunak
komputer adalah $4 milyar per tahun masalah dunia. Hari ini, para ahli percaya bahwa
pembajakan perangkat lunak biaya industri komputer lebih dari $ 11 miliar per tahun dan
pencurian perangkat lunak menguras ekonomi AS pekerjaan dan upah. Organisasi lain
memperkirakan bahwa ada satu salinan ilegal dari masing-masing program perangkat lunak
komputer untuk setiap dua salinan yang sah. Organisasi seperti Business Software Alliance,
Software Publishers Association, Institute of Internal Auditors, dan Audit Sistem Informasi
dan Pengendalian telah berperan dalam meningkatkan kesadaran untuk jenis kejahatan.
Selain fungsi utama auditor TI audit sistem komputer, ia telah memperoleh tanggung
jawab tambahan dari keamanan sistem. Pemerintah lewat undang-undang baru dan
meningkatkan yang sudah ada untuk membantu memerangi kejahatan komputer. Namun,

bantuan terbesar untuk keamanan informasi adalah kombinasi dari kontrol pengawasan,
firewall, dan enkripsi. Peran auditor TI terus berkembang, dan keamanan data adalah
merupakan hal yang penting.
Sebuah survei yang dilakukan oleh Computer Security Institute (CSI) dan FBI
mengungkapkan hal berikut:

90% responden mendeteksi pelanggaran komputer keamanan dalam 12 bulan

terakhir.

80% mengakui kerugian keuangan karena pelanggaran keamanan komputer.

44% dihitung kerugian keuangan mereka untuk total $ 455.848.000 kerugian

antara 223 responden.

74% dikutip koneksi internet mereka sebagai titik sering menyerang.

33% dikutip sistem internal mereka sebagai titik sering menyerang.

34% melaporkan intrusi untuk penegakan hukum.

Tiga kategori utama kejahatan yang melibatkan komputer:

Dimana komputer adalah target kejahatan informasi pencurian yang disimpan pada
komputer. Techno-vandalisme dan Techno-pelanggaran.

Ketika komputer digunakan sebagai alat kejahatan komputer digunakan untuk

membantu penjahat dalam melakukan kejahatan. Penipuan digunakan Automatic
Teller Machine.

Komputer tidak diperlukan untuk melakukan kejahatan. Sebuah komputer adalah

insidental dan digunakan untuk melakukan kejahatan lebih cepat, proses jumlah yang
lebih besar dari informasi, dan membuat kejahatan lebih sulit untuk mengidentifikasi
dan melacak.

Audit Standards
Komite AICPA, dibebankan dengan tanggung jawab meninjau standar audit sebagai
akibat dari runtuhnya EFCA, menyatakan bahwa "umumnya standar auditing yang diterima
secara memadai dan tidak ada perubahan yang disebut dalam prosedur yang biasa digunakan
oleh auditor."
Persamaan

Tampaknya bahwa setiap kali proses audit memiliki breakdown, standar audit baru
yang diperlukan untuk pemeriksaan laporan keuangan berdasarkan catatan yang dihasilkan
komputer. Secara umum, standar pekerjaan lapangan adalah sama seperti yang diterapkan
pada catatan manual yang dihasilkan. Juga, unsur-unsur dasar dari pengendalian internal yang
memadai tetap sama. Tujuan utama dari studi dan evaluasi pengendalian internal masih untuk
memberikan bukti untuk pendapat dan menentukan dasar bagi lingkup, waktu, dan luasnya
pemeriksaan yang akan dilakukan di masa depan.
Perbedaan
Dengan komputer berbasis sistem pelaporan keuangan, prosedur audit baru harus
terus dikembangkan dan ditingkatkan. Perhitungan dilakukan, penambahan atau penghapusan
catatan atau bidang dalam catatan, dan jaminan bahwa transaksi itu disahkan harus dilakukan
melalui komputer dalam konser dengan aliran transaksi. Sebagai salah satu dapat
pengalaman, ada perbedaan yang signifikan dalam teknik memelihara pengendalian internal
yang memadai di komputer berbasis proses. Juga, ada beberapa variasi dalam cara di mana
studi dan evaluasi pengendalian internal dibuat. Sebuah perbedaan utama adalah bahwa
keterlibatan orang telah dihapus dari beberapa fase pengendalian akuntansi internal, karena
komputer yang melakukan proses validasi dan prosedur.

Frameworks: COSO and COBIT

Organizations structure their assessment of their internal controls according to

the COSO framework. COSO stands for Committee of Sponsoring
Organizations of the Treadway Commission. This framework takes a holistic
approach to the five elements of internal control, which are:
1. Control environment The tone that senior management sets
provides the basis for all the other components of internal control. The
tone at the top influences organizational structure, determines authority
and responsibility, directs human resource decisions and more.
2. Risk assessment The organization identif es risks that would
interfere with achieving its business objectives, and develops strategies
for managing those risks.

3. Control activities These policies and procedures ensure the

implementation of risk management strategies. They may include
physical

controls,

segregation

of

responsibilities,

information

processing, reviews and so on.

4. Information/communication These accounting, information and
computer systems enable people to gather and communicate
information. Information technology (IT) has its own risk management
framework, COBIT (Control Objectives for Information and Related
Technology), which is similar to COSO. Both systems consider
controls in the context of business objectives and risks. ITs purpose is
to help the organization achieve its objectives. In the phrase
information technology, COBIT puts the accent on information over
technology.
5. Monitoring An ongoing system of scrutinizing and adjusting risk.
Role of the IT Auditor
Auditor mengevaluasi sistem yang kompleks saat ini harus memiliki keterampilan
teknis yang perlu terus berkembang untuk memahami metode yang selalu mengalami
perkembangan dalam pemrosesan informasi. Sistem kontemporer membawa risiko seperti
platform noncompatible, metode baru untuk menembus keamanan melalui jaringan
komunikasi (misalnya, Internet), dan desentralisasi yang cepat pengolahan informasi dengan
hilangnya kontrol terpusat.
Audit lingkungan pengolahan dibagi menjadi dua bagian. Bagian pertama dan paling
teknis audit adalah evaluasi dari lingkungan operasi, dengan paket perangkat lunak utama
(misalnya, operasi dan sistem keamanan) yang mewakili kontrol umum atau lingkungan di
lingkungan pemrosesan otomatis. Bagian ini biasanya diaudit oleh spesialis audit TI. Bagian
kedua dari lingkungan pengolahan adalah aplikasi otomatis, yang diaudit oleh auditor umum
yang memiliki beberapa keterampilan komputer.
Sebagai penggunaan TI dalam organisasi terus berkembang, audit sistem
komputerisasi harus dicapai tanpa banyak pedoman yang ditetapkan bagi upaya audit
tradisional. Selain itu, penggunaan baru dari TI memperkenalkan risiko baru, yang pada

gilirannya memerlukan kontrol baru. IT auditor juga dalam posisi yang unik untuk
mengevaluasi relevansi dari sebuah sistem khusus untuk perusahaan secara keseluruhan.
Karena itu, auditor TI sering memainkan peran dalam pengambilan keputusan manajemen
senior.
Peran auditor TI dapat diperiksa melalui tata kelola proses TI dan standar praktek
profesional yang ada untuk profesi ini. Seperti disebutkan sebelumnya, tata kelola TI adalah
keterlibatan organisasi dalam pengelolaan dan meninjau penggunaan TI dalam mencapai
tujuan dan sasaran yang ditetapkan oleh organisasi. Karena dampak TI operasi seluruh
organisasi, setiap orang harus memiliki minat dan peran dalam mengatur penggunaan dan
aplikasi. Hal ini telah menyebabkan meningkatnya kesadaran organisasi untuk mengakui
bahwa, jika mereka ingin membuat sebagian besar investasi TI mereka dan melindungi
investasi itu, mereka memerlukan proses formal untuk mengaturnya.

Top 10 alasan untuk Start Up IT Audit:

1. Audit sekitar komputer itu menjadi tidak memuaskan untuk tujuan data
ketergantungan.
2. Ketergantungan pada kontrol itu menjadi sangat dipertanyakan.
3. Lembaga keuangan yang kehilangan uang karena pemrograman kreatif.
4. database Payroll tidak bisa diandalkan untuk akurasi karena programmer
canggih.
5. Keamanan data tidak bisa lagi ditegakkan secara efektif.
6. Kemajuan terjadi dalam teknologi.
7. Jaringan internal yang sedang diakses oleh komputer desktop karyawan.
8. Komputer Personal menjadi diakses untuk kantor dan digunakan di rumah.
9. Sejumlah besar data yang diperlukan program perangkat lunak canggih untuk
mengaudit mereka, yang dikenal sebagai CAATs (Computer Assisted Audit
Technique).
10. Pertumbuhan yang luar biasa dari hacker perusahaan, baik internal maupun
eksternal, dijamin kebutuhan IT Auditor.

Tipe Auditor:

Auditor Intern adalah fungsi kontrol dalam perusahaan atau organisasi dengan
tujuan utama adalah untuk memastikan bahwa manajemen berwenang sedang
diterapkan secara efektif.

Auditor Eksternal adalah untuk mengevaluasi keandalan dan validitas kontrol

sistem dalam segala bentuk. Tujuan utama dalam evaluasi mereka adalah
untuk meminimalkan jumlah audit besar atau pengujian transaksi yang
diperlukan untuk memberikan pendapat atas laporan keuangan.