Chapter 1
Chapter 1
Asosiasi profesi dan organisasi, dan lembaga pemerintah mengakui kebutuhan untuk
mengontrol IT dan auditability.
Komponen awal IT audit diambil dari beberapa daerah. Pertama, audit tradisional
memberikan kontribusi pengetahuan tentang praktek pengendalian internal dan filosofi
kontrol secara keseluruhan. Kontributor lain adalah IS manajemen, yang menyediakan
metodologi yang diperlukan untuk mencapai desain yang sukses dan implementasi sistem.
Bidang ilmu perilaku disediakan pertanyaan tersebut dan analisis untuk kapan dan mengapa
IS cenderung gagal karena masalah orang. Akhirnya, bidang ilmu komputer memberikan
kontribusi pengetahuan tentang konsep kontrol, disiplin, teori, dan model-model formal yang
mendasari hardware dan software desain sebagai dasar untuk menjaga validitas data,
reliabilitas, dan integritas.
IT audit merupakan bagian integral dari fungsi audit karena mendukung pertimbangan
auditor pada kualitas informasi yang diproses oleh sistem komputer. Awalnya, auditor dengan
keahlian audit TI dipandang sebagai sumber daya teknologi untuk staf audit. Staf audit sering
tampak kepada mereka untuk bantuan teknis. Seperti yang akan Anda lihat dalam buku ini,
ada banyak jenis audit perlu dalam audit TI, seperti audit organisasi TI (kontrol manajemen
atas IT), audit IT teknis (infrastruktur, pusat data, komunikasi data), pemeriksaan aplikasi IT
(bisnis / keuangan / operasional), pengembangan / implementasi audit IT (spesifikasi /
persyaratan, desain, pengembangan, dan tahap pasca implementasi), dan kepatuhan audit IT
melibatkan standar nasional atau internasional. Peran IT auditor telah berkembang untuk
memberikan jaminan bahwa kontrol yang memadai dan tepat berada di tempat. Tentu saja,
tanggung jawab untuk memastikan bahwa pengendalian internal yang memadai di tempat
bersandar dengan manajemen. Peran utama audit, kecuali di bidang jasa konsultasi
manajemen, adalah untuk memberikan pernyataan jaminan apakah pengendalian internal
yang memadai dan dapat diandalkan di tempat dan beroperasi secara efisien dan efektif. Oleh
karena itu, sedangkan manajemen adalah untuk memastikan, auditor harus menjamin.
Hari ini, audit IT adalah profesi dengan perilaku, tujuan, dan kualitas yang ditandai
dengan standar teknis di seluruh dunia, satu set etika aturan (Sistem Informasi Audit dan
Control Association [ISACA] Kode Etik), dan program sertifikasi profesi (Informasi
Bersertifikat Sistem Auditor [CISA]). Hal ini membutuhkan pengetahuan khusus dan
kemampuan praktis, dan persiapan akademik sering panjang dan intensif. Seringkali, di mana
program-program akademik yang tidak tersedia, pelatihan yang signifikan dalam rumah dan
pengembangan profesional harus dikeluarkan oleh pengusaha. Kebanyakan akuntansi, audit,
dan IT masyarakat profesional percaya bahwa perbaikan dalam penelitian dan pendidikan
pasti akan memberikan auditor IT dengan teoritis dan empiris pengetahuan dasar yang lebih
baik untuk fungsi audit TI. Mereka merasa bahwa penekanan harus ditempatkan pada
pendidikan yang diperoleh di tingkat universitas.
Luas dan kedalaman pengetahuan yang dibutuhkan untuk mengaudit sistem TI yang luas.
Misalnya, IT audit melibatkan
Penerapan standar (nasional atau internasional) seperti ISO 9000/3 dan ISO 17799
untuk meningkatkan dan menerapkan sistem mutu dalam pengembangan perangkat
lunak dan memenuhi standar keamanan
Memahami peran bisnis dan harapan dalam audit sistem dalam pengembangan serta
pembelian kemasan perangkat lunak dan manajemen proyek
lingkungan global yang dinamis multienterprise dengan berorientasi tim. Kolaborasi tempat
dan persyaratan yang sangat ketat pada jaringan dia telekomunikasi. Desain sistem tersebut
adalah kompleks dan manajemen bisa sangat sulit. Organisasi sangat tergantung pada aliran
informasi secara tepat waktu yang akurat. Cara yang baik untuk melihat bagaimana ketat
jaringan persyaratan adalah untuk menganalisis mereka dalam hal kualitas layanan
telekomunikasi. Mungkin, dua contoh ketergantungan dunia pada IT datang sebagai sult
ulang dua Peristiwa dilaporkan di masa lalu di mana kegagalan TI berdampak dunia
perdagangan dan komunikasi
Peningkatan penggunaan Internet telah membawa dengan itu suatu bentuk baru
pertukaran: perdagangan virtual (Virtual Commerce) yang melibatkan ditinggalkannya era
penggunaan uang fisik dalam perdagangan sehari-hari. Virtual commerce ini melibatkan uang
tunai elektronik (e-cash). Virtual Commerce ini sebetulnya tetap mempergunakan currency
atau mata uang yang berlaku, namun proses pertukarannya adalah bersifat digital yang mana
dapat memperbesar timbulnya gangguan keamaan dan privasi. Sementara perkembangan
yang kini terjadi mengarahkan pada persaingan dengan melakukan bisnis online yang
mentargetkan pelanggan yang juga pengguna Internet, yang biasa kita kenal dengan sebutan
E-commerce. Bidang-bidang utama yang menjadi perhatian dengan E-commerce adalah
kerahasiaan, integritas, non-repudiation, dan authentication. Cara-cara yang biasa
dipergunakan dalam menjawab perhatian pada bidang utama ini adalah enkripsi, kriptografi,
dan keterlibatan pihak ketiga.
Meskipun banyak produk yang cukup efisien dalam mengamankan mayoritas
serangan pada jaringan, tidak ada produk tunggal yang dapat melindungi sistem dari setiap
serangan penyusup. Meski undang-undang keamanan yang berlaku telah melindungi terhadap
kemungkinan bahaya penyerangan ke dalam system jaringan, namun terkadang tetap
seringkali menyebabkan beberapa penjahat bisa lolos dari jeratan hukum meskipun mereka
telah melanggar dengan melakukan akses tanpa ijin ke dalam sistem komputer. Belum lagi
permasalahan lain yang timbul adalah perundang-undangan tersebut seringkali tidak
dilakukan tinjauan periodik sehingga kerap kali terjadi kebijakan dan prosedur menjadi usang
dan tidak efektif.
Dari sudut pandang privasi, telah terlihat bahwa di dalam dunia Internet, informasi
pribadi dapat diakses dengan mudah oleh siapapun, termasuk juga oleh orang yang
bermaksud untuk menyalahgunakannya. Disini perundang-undangan juga sudah mengatur
beberapa hal, namun tetap saja tidak melindungi pengguna terhadap unsur penyerangan
privasi.
Untuk mengontrol proses IT, kita perlu memiliki seperangkat memadai keterampilan.
Keterampilan ini kemudian didefinisikan oleh beberapa organisasi seperti IFAC (International
Federation of Accountants) atau IIA (Institute of Internal Auditors), atau banyak organisasi
terkait.
Pertumbuhan teknologi pertumbuhan diperlukan pada set keterampilan.
Dampak teknologi:
o Apa yang bisa Technology lakukan dalam bisnis dalam hal informasi
(enabler bisnis).
o Teknologi
telah
secara
signifikan
berdampak
pada
proses
pengendalian.
o Teknologi telah berdampak profesi audit dalam hal bagaimana
pemeriksaan dilakukan.
Global Concern for Control and Audit
E-Commerce
Dikenal sebagai (pemasaran elektronik) e-commerce atau eCommerce, terdiri
dari pembelian dan penjualan produk atau jasa melalui sistem elektronik
seperti internet dan jaringan komputer lainnya.
Layanan web
Sistem perangkat lunak yang dirancang untuk mendukung interoperable
interaksi mesin-ke-mesin melalui jaringan
Proses pembayaran
Sebuah proses pembayaran hanyalah transaksi uang antara pengguna dan
pedagang (pemilik produk).
Growth of E-Commerce
Confidentiality
Integrity
Non-Repudiation
Authentication
Encryption
Cryptography
Keamanan
Komputer
Act
tahun
1987
Tindakan lain yang penting adalah Undang-Undang Keamanan Komputer 1987, yang
dirancang karena kekhawatiran kongres dan kesadaran masyarakat tentang isu-isu yang
berkaitan dengan keamanan komputer dan karena perselisihan pada kontrol informasi
unclassified. Tujuan umum dari tindakan itu deklarasi dari pemerintah yang meningkatkan
keamanan dan privasi informasi sensitif dalam sistem komputer federal untuk kepentingan
umum. Tindakan menetapkan program keamanan komputer pemerintah federal yang akan
melindungi informasi sensitif dalam sistem komputer pemerintah federal. Hal ini juga akan
mengembangkan standar dan pedoman untuk sistem komputer federal yang unclassified dan
memfasilitasi perlindungan tersebut.
Undang-Undang
Keamanan
Komputer
tanggung
jawab
juga
ditugaskan
untuk
standar
federal
menjaga
informasi
unclassified
dan
membangun
melaksanakan kebijakan keamanan dan privasi dalam pemerintah federal. Hal ini juga
penting dalam mengatasi isu-isu tentang kontrol pemerintah kriptografi, yang baru-baru ini
menjadi topik diperebutkan
Tidak ada saat ini akan menjamin keamanan sistem, tetapi titik awal yang baik
mungkin untuk mengembangkan dan menerapkan dari keamanan komputer yang baik,
yang dapat meliputi.
o Menentukan fitur keamanan yang diperlukan.
o Mendefinisikan "ekspektasi yang wajar" privasi mengenai isu-isu seperti
pemantauan kegiatan masyarakat.
o Mendefinisikan hak akses dan previledge dan melindungi aset dari kerugian,
pengungkapan, atau kerusakan dengan menentukan pedoman penggunaan
diterima bagi pengguna dan juga, memberikan pedoman untuk komunikasi
eksternal (jaringan).
o Mendefinisikan tanggung jawab dari semua pengguna.
o Membangun kepercayaan melalui kebijakan password yang efektif.
o Menentukan prosedur pemulihan.
o Mewajibkan pelanggaran dicatat.
o Menyediakan pengguna dengan dukungan informasi.
Hal ini tanggung jawab semua orang untuk merancang, melaksanakan, dan menjaga
lingkungan yang aman
Skandal-skandal keuangan yang melibatkan Enron dan Arthur Andersen LLP, dan
lain-lain menghasilkan permintaan untuk undang-undang baru untuk mencegah, mendeteksi,
dan mengoreksi penyimpangan tersebut. Selain itu, kemajuan dalam lingkungan teknologi
jaringan telah mengakibatkan membawa ke garis depan masalah keamanan dan privasi yang
dulunya hanya menarik bagi ahli hukum dan teknis, tetapi yang saat ini topik yang
mempengaruhi hampir setiap pengguna Internet. Internet telah tumbuh secara eksponensial
dari sebuah hubungan yang sederhana dari pemerintah relatif sedikit dan komputer
pendidikan untuk jaringan di seluruh dunia yang kompleks yang digunakan oleh hampir
semua orang dari teroris yang memiliki kemampuan komputer untuk pengguna pemula dan
semua orang di antara.
Menggunakan umum untuk Internet termasuk segala sesuatu dari tujuan pemasaran,
penjualan, dan hiburan ke e-mail, penelitian, perdagangan, dan hampir semua jenis lain
berbagi informasi. Sayangnya, karena dengan terobosan dalam teknologi, kemajuan juga
telah menimbulkan berbagai masalah baru yang harus ditangani, seperti keamanan dan
privasi. Masalah ini sering dibawa ke perhatian spesialis TI audit dan kontrol karena
dampaknya terhadap organisasi publik dan swasta.
Enron-Arthur Andersen LLP skandal keuangan terus menghantui pasar keuangan saat
ini sebagai kepercayaan dari konsumen, investor, dan pemerintah untuk memungkinkan
industri untuk mengatur diri sendiri semuanya telah dilanggar. Sarbanes-Oxley Act of 2002
akan menjadi pengingat jelas tentang pentingnya perawatan profesional karena. SarbanesOxley Act melarang semua perusahaan akuntan publik memberikan pelayanan jasa audit dan
non-audit (termasuk outsourcing internal audit, keuangan-informasi-sistem desain dan
implementasi layanan, dan layanan ahli) secara bersamaan.
Protection against Computer Fraud
Mengingat tidak adanya peraturan yang efektif saat ini, pertahanan terbaik terhadap
penipuan komputer adalah meningkatkan kewaspadaan. IT auditor harus waspada klien
mereka terhadap bahaya yang hadir, dan ada beberapa cara mereka dapat melindungi klien
mereka dari penipuan komputer. Ini umumnya dalam bentuk kontrol, firewall, atau enkripsi.
Penggunaan gabungan dari metode ini tentu akan membantu mengurangi risiko akses tidak
sah ke IS.
Komputer Nasional FBI Skuad Kejahatan saran berikut untuk membantu melindungi
terhadap penipuan komputer:
Tempatkan
log-in
banner
untuk
memastikan
bahwa
pengguna
tidak
sah
Menjaga backup agar tetap dalam kondisi asli (tidak ada upaya perubahan terhadap
backup yang tersimpan).
Menunjuk satu orang untuk mengamankan bukti potensial. Bukti dapat terdiri dari
backup tape dan printout. Potongan-potongan bukti harus didokumentasikan dan
diverifikasi oleh orang mendapatkan bukti. Bukti harus disimpan di lemari terkunci
dengan akses terbatas pada satu orang.
Mencatat resources yang digunakan untuk membangun kembali sistem dan mencari
pelaku.
Mengenkripsi file.
Mengenkripsi transmisi.
Gunakan firewall.
Ledakan dari era informasi telah menciptakan banyak peluang untuk meningkatkan
bisnis. Hal ini juga menciptakan lebih banyak peluang bagi para penjahat. Tiga tahun yang
lalu, Komisi Perdagangan Internasional melaporkan bahwa pembajakan perangkat lunak
komputer adalah $4 milyar per tahun masalah dunia. Hari ini, para ahli percaya bahwa
pembajakan perangkat lunak biaya industri komputer lebih dari $ 11 miliar per tahun dan
pencurian perangkat lunak menguras ekonomi AS pekerjaan dan upah. Organisasi lain
memperkirakan bahwa ada satu salinan ilegal dari masing-masing program perangkat lunak
komputer untuk setiap dua salinan yang sah. Organisasi seperti Business Software Alliance,
Software Publishers Association, Institute of Internal Auditors, dan Audit Sistem Informasi
dan Pengendalian telah berperan dalam meningkatkan kesadaran untuk jenis kejahatan.
Selain fungsi utama auditor TI audit sistem komputer, ia telah memperoleh tanggung
jawab tambahan dari keamanan sistem. Pemerintah lewat undang-undang baru dan
meningkatkan yang sudah ada untuk membantu memerangi kejahatan komputer. Namun,
bantuan terbesar untuk keamanan informasi adalah kombinasi dari kontrol pengawasan,
firewall, dan enkripsi. Peran auditor TI terus berkembang, dan keamanan data adalah
merupakan hal yang penting.
Sebuah survei yang dilakukan oleh Computer Security Institute (CSI) dan FBI
mengungkapkan hal berikut:
Dimana komputer adalah target kejahatan informasi pencurian yang disimpan pada
komputer. Techno-vandalisme dan Techno-pelanggaran.
Audit Standards
Komite AICPA, dibebankan dengan tanggung jawab meninjau standar audit sebagai
akibat dari runtuhnya EFCA, menyatakan bahwa "umumnya standar auditing yang diterima
secara memadai dan tidak ada perubahan yang disebut dalam prosedur yang biasa digunakan
oleh auditor."
Persamaan
Tampaknya bahwa setiap kali proses audit memiliki breakdown, standar audit baru
yang diperlukan untuk pemeriksaan laporan keuangan berdasarkan catatan yang dihasilkan
komputer. Secara umum, standar pekerjaan lapangan adalah sama seperti yang diterapkan
pada catatan manual yang dihasilkan. Juga, unsur-unsur dasar dari pengendalian internal yang
memadai tetap sama. Tujuan utama dari studi dan evaluasi pengendalian internal masih untuk
memberikan bukti untuk pendapat dan menentukan dasar bagi lingkup, waktu, dan luasnya
pemeriksaan yang akan dilakukan di masa depan.
Perbedaan
Dengan komputer berbasis sistem pelaporan keuangan, prosedur audit baru harus
terus dikembangkan dan ditingkatkan. Perhitungan dilakukan, penambahan atau penghapusan
catatan atau bidang dalam catatan, dan jaminan bahwa transaksi itu disahkan harus dilakukan
melalui komputer dalam konser dengan aliran transaksi. Sebagai salah satu dapat
pengalaman, ada perbedaan yang signifikan dalam teknik memelihara pengendalian internal
yang memadai di komputer berbasis proses. Juga, ada beberapa variasi dalam cara di mana
studi dan evaluasi pengendalian internal dibuat. Sebuah perbedaan utama adalah bahwa
keterlibatan orang telah dihapus dari beberapa fase pengendalian akuntansi internal, karena
komputer yang melakukan proses validasi dan prosedur.
controls,
segregation
of
responsibilities,
information
gilirannya memerlukan kontrol baru. IT auditor juga dalam posisi yang unik untuk
mengevaluasi relevansi dari sebuah sistem khusus untuk perusahaan secara keseluruhan.
Karena itu, auditor TI sering memainkan peran dalam pengambilan keputusan manajemen
senior.
Peran auditor TI dapat diperiksa melalui tata kelola proses TI dan standar praktek
profesional yang ada untuk profesi ini. Seperti disebutkan sebelumnya, tata kelola TI adalah
keterlibatan organisasi dalam pengelolaan dan meninjau penggunaan TI dalam mencapai
tujuan dan sasaran yang ditetapkan oleh organisasi. Karena dampak TI operasi seluruh
organisasi, setiap orang harus memiliki minat dan peran dalam mengatur penggunaan dan
aplikasi. Hal ini telah menyebabkan meningkatnya kesadaran organisasi untuk mengakui
bahwa, jika mereka ingin membuat sebagian besar investasi TI mereka dan melindungi
investasi itu, mereka memerlukan proses formal untuk mengaturnya.
Tipe Auditor:
Auditor Intern adalah fungsi kontrol dalam perusahaan atau organisasi dengan
tujuan utama adalah untuk memastikan bahwa manajemen berwenang sedang
diterapkan secara efektif.