Anda di halaman 1dari 16

INFORMATION TECHNOLOGY RISKS AND CONTROLS

MAKALAH
disusun untuk memenuhi tugas mata kuliah Audit Internal
Dosen Pembina
Ibnu Rachman, Dr., Drs., M.Si., M.M., Ak., QIA.
Oleh :
Kelompok XI
Dela Nurdiana Putri 0113U066
Mily Nur Amalia

0113U446

Kelas: D

JURUSAN AKUNTANSI
FAKULTAS EKONOMI
UNIVERSITAS WIDYATAMA
BANDUNG
2015

KATA PENGANTAR

Puji dan syukur kami ucapkan kepada Allah SWT atas rahmat dan karunia-Nya
yang selalu tercurah pada hambanya, sehingga kami dapat menyelesaikan makalah yang
berjudul Information Technology Risks and Controls.
Makalah

ini

mengulas

mengenai

risiko-risko

yang

timbul

karena

pengimplementasian teknologi informasi pada organisasi serta pengendaliannya. Makalah


ini tentunya masih jauh dari sempurna, untuk itu kami mengharapkan kritik dan saran yang
membangun dari semua pihak.
Akhir kata kami ucapkan terima kasih kepada semua pihak yang telah membantu
dan berpatisipasi dalam penyusunan makalah ini. Semoga Allah SWT senantiasa meridhoi
usaha kita. Aamiin.
Bandung, 3 November 2015

Kelompok XI

DAFTAR ISI

Kata Pengantar............................................................................................................................... i
Daftar Isi........................................................................................................................................ ii

BAB I PENDAHULUAN................................................................................................. 1
1.1

Latar Belakang............................................................................................. 1

1.2

Tujuan.......................................................................................................... 1

BAB II PEMBAHASAN.................................................................................................... 2
2.1

Komponen Kunci Sistem Informasi Modern............................................... 2

2.2

Peluang dan Risiko Teknologi Informasi..................................................... 4

2.3

Tata Kelola Teknologi Informasi.................................................................. 5

2.4

Manajemen Risiko Teknologi Informasi...................................................... 6

2.5

Kontrol TI.................................................................................................... 6

2.6

Kontrol Tata Kelola TI................................................................................. 7

2.7

Kontrol Manajemen TI................................................................................. 7

2.8

Kontrol Teknis TI......................................................................................... 8

2.9

Kontrol Keamanan Informasi....................................................................... 9

2.10 Implikasi TI untuk Internal Auditor............................................................. 9


2.11 Sumber Pedoman Audit TI...........................................................................11
BAB III PENUTUP.............................................................................................................12
3.1

Simpulan......................................................................................................12

Daftar Pustaka......................................................................................................................13

ii

BAB I
PENDAHULUAN

1.1 LATAR BELAKANG


Organisasi berinvestasi di TI karena beberapa alasan, yang semuanya berkaitan langsung
untuk mencapai tujuan bisnis organisasi. Misalnya, IT memungkinkan strategi bisnis,
meningkatkan kinerja proses bisnis, dan memfasilitasi pengambilan keputusan. Bahkan, TI
telah mencapai titik yang sangat terkait dengan tujuan organisasi bisnis, strategi, dan operasi
yang inisiatif TI harus dipertimbangkan bersama-sama dengan inisiatif bisnis untuk
memastikan keselarasan antara keduanya.
Dampak semakin meresap TI pada strategi bisnis organisasi dan hari-hari operasi operasi telah
mempengaruhi profesi audit internal. TI telah mengubah kompetensi yang berfungsi audit
internal harus memiliki dan bagaimana mereka melakukan jaminan dan layanan konsultasi.
Hal ini hampir tidak mungkin di dunia bisnis saat ini untuk setiap fungsi audit internal untuk
memberikan layanan nilai tambah bagi organisasi mereka kecuali fungsi ini sangat mahir
dalam pengetahuan IT risiko dan kontrol dan memiliki kemampuan untuk secara efektif
menerapkan teknik audit berbasis teknologi.
Internal auditor yang bekerja secara ekstensif dalam bidang sistem informasi terkomputerisasi
harus memiliki risiko dalam IT, kontrol, dan keahlian audit. Auditor tersebut sering disebut
sebagai sistem informasi (IS) auditor atau auditor IT. Meskipun semua auditor internal tidak
perlu memiliki keahlian auditor IT, minimal, setiap auditor internal harus memiliki
pemahaman yang baik tentang konsep-konsep TI fundamental tertentu. Sebagai contoh, semua
auditor internal perlu memahami komponen dasar dari tujuan organisasi mereka bisnis, dan
tata kelola TI organisasi mereka, manajemen risiko, dan proses kontrol.

1.2 TUJUAN
-

Memahami bagaimana teknologi informasi (TI) yang terkait dengan tujuan bisnis, strategi,
dan operasi.

Jelaskan komponen kunci dari sistem informasi modern.

Jelaskan sifat peluang IT dan risiko.

Memahami tata kelola mendasar IT, manajemen risiko, dan konsep kontrol.

Memahami implikasi TI untuk auditor internal.

Mengidentifikasi sumber-sumber pedoman audit TI.

BAB II
PEMBAHASAN

2.1 KOMPONEN KUNCI SISTEM INFORMASI MODERN


Sistem informasi modern bervariasi secara signifikan antara organisasi dan itu adalah di luar
lingkup buku ini untuk menutupi berbagai konfigurasi sistem yang ada di dunia bisnis saat ini.
Namun demikian, komponen kunci yang sama sistem informasi yang auditor internal perlu
memahami.
Perangkat keras komputer. Hardware komputer terdiri dari komponen fisik dari suatu sistem
informasi. Hardware meliputi, misalnya, unit pengolahan pusat (CPU), server, workstation dan
terminal, chip komputer, perangkat input / output seperti scanner dan printer, perangkat
penyimpanan seperti disk drive, dan perangkat komunikasi seperti modem dan router.
Jaringan Sebuah jaringan komputer menghubungkan dua atau lebih komputer sehingga
mereka dapat berbagi informasi dan / atau beban kerja. Ada banyak jenis jaringan:
o Sebuah jaringan client-service menghubungkan satu atau lebih komputer client dengan
server dan pengolahan data dibagi beetwen klien (s) dan server dengan cara yang
mengoptimalkan efisiensi pengolahan.
o Sebuah jaringan area lokal (LAN) mencakup area yang relatif kecil seperti sebuah
bangunan atau sekelompok bangunan yang berdekatan.
o Sebuah jaringan area luas (WAN) terdiri dari sistem LAN terhubung bersama-sama untuk
rentang area regional, nasional, maupun global.
o Sebuah intranet adalah jaringan pribadi organisasi hanya dapat diakses oleh personil yang
organisasi itu.
o Sebuah extranet dapat diakses oleh pihak ketiga yang dipilih seperti pemasok dan / atau
pelanggan yang berwenang.
o Sebuah nilai tambah jaringan (VAN) adalah jaringan pihak ketiga yang menghubungkan
organisasi dengan mitra dagangnya.
o Internet (jaringan interkoneksi) adalah sistem publik yang sangat besar dan kompleks
jaringan komputer yang memungkinkan pengguna untuk berkomunikasi secara global.
Perangkat lunak komputer Perangkat lunak komputer meliputi:
o Perangkat lunak sistem operasi: Kontrol dasar masukan, pengolahan, dan output dari
komputer dan mengelola interkonektivitas dari perangkat keras sistem.
o Software Utilitas: menambah sistem operasi dengan funtionality seperti enkripsi, optimasi
ruang disk, dan perlindungan terhadap virus.

o Perangkat lunak sistem manajemen database: Mengelola data yang disimpan dalam
database, mengontrol akses ke database, dan secara otomatis punggung atas database.
o Aplikasi software: Termasuk software akuntansi yang digunakan untuk memproses
transaksi serta jenis lain dari perangkat lunak, seperti pengolah kata dan spreadsheet
software, yang memungkinkan pengguna akhir untuk melakukan tugas-tugas mereka
ditugaskan.
o Software Firewall. Memberlakukan kontrol akses beetwen dua jaringan dengan
memungkinkan hanya transmisi data yang berwenang untuk melewati firewall di kedua
arah.
Database Database adalah repositori besar data, biasanya terdapat dalam banyak file terkait
dan disimpan dengan cara yang memungkinkan data yang akan mudah diakses, diambil, dan
dimanipulasi. Database operasi mendukung pemrosesan transaksi sehari-hari dan terus
menerus diperbarui sebagai transaksi diproses. Sebuah gudang data adalah kumpulan besar
data yang disimpan dari waktu ke waktu untuk mendukung analisis data secara online dan
pengambilan keputusan.
Informasi Bagi banyak perusahaan, informasi dan teknologi yang mendukung adalah
merupakan aset paling berharga mereka. Sistem informasi mengumpulkan dan menyimpan
data, mengubah data menjadi informasi yang berguna, dan memberikan informasi kepada
pengambil keputusan internal dan eksternal. Untuk informasi berguna, itu harus relevan, dapat
diandalkan, lengkap, akurat, dan tepat waktu.
Orang Peran sistem informasi spesifik bervariasi secara signifikan dari satu organisasi ke
yang lain. Biasanya, peran ini meliputi orang-orang dari:
o

Petugas Kepala Informasi (CIO): Bertanggung jawab untuk pengawasan sehari-hari dan
arah IT dan untuk memastikan bahwa tujuan dan strategi TI selaras dengan tujuan bisnis
organisasi dan strategi.

Administrator Database: Bertanggung jawab untuk mengawasi desain, pengembangan,


implementasi, dan pemeliharaan database, mengontrol akses ke database, pemantauan
kinerja database, dan meningkatkan database dalam menanggapi perubahan kebutuhan
pengguna.

Sistem pengembang: Sertakan analis dan programmer. Analis survei pengguna IT nedds,
melakukan "apa" versus "apa yang harus" analisis sistem IT, dan merancang sistem TI
baru. Programmer membangun dan menguji perangkat lunak yang digunakan untuk
menjalankan tugas-tugas pengolahan data.

Personil Pengolahan data: Mengelola sumber daya terpusat IT dan melakukan terpusat
sehari-hari masukan, pengolahan, dan kegiatan output.

Pengguna akhir adalah manajer dan karyawan untuk siapa sistem informasi dibangun.
Mereka menggunakan informasi yang dihasilkan oleh sistem untuk melaksanakan mereka
sehari-hari peran dan tanggung jawab.

2.2 PELUANG DAN RISIKO TEKNOLOGI INFORMASI


Kesempatan adalah kemungkinan bahwa suatu peristiwa akan terjadi dan positif
mempengaruhi pencapaian tujuan organisasi. Risiko adalah kemungkinan bahwa suatu
peristiwa akan terjadi dan berpengaruh negatif terhadap pencapaian tujuan organisasi. Peluang
dan risiko yang timbul dalam suatu organisasi beacuse TI mewakili porsi yang signifikan dari
peluang dan risiko organisasi perlu memahami dan mengelola secara efektif.
Peluang Diaktifkan oleh IT
-

Enterprise Resources Planning Sistem - Sebuah sistem ERP adalah perangkat lunak sistem
modular yang memungkinkan organisasi untuk mengintegrasikan proses bisnis mereka
menggunakan database operasi tunggal. Organisasi manfaat berharap untuk memperoleh
hasil dari penerapan sistem ERP mencakup secara online pemrosesan real-time transaksi,
interaksi mulus dan berbagi informasi di antara area fungsional, peningkatan kinerja
proses, penghapusan atau pengurangan redudancies data dan kesalahan, dan lebih tepat
waktu pengambilan keputusan. Namun, menerapkan sistem ERP yang efektif dan efisien
pada waktu dan anggaran adalah usaha besar yang penuh dengan risiko. Memanfaatkan
peluang yang sistem ERP yang ditawarkan tergantung pada efektif mengurangi risiko yang
dapat menyebabkan inisiatif untuk gagal.

Electronic Data Interchange (EDI) - EDI melibatkan komputer-ke-komputer pertukaran


dokumen bisnis secara elektronik dari beetwen organisasi dan mitra dagangnya. Organisasi
manfaat berharap untuk memperoleh hasil dari pelaksanaan EDI meliputi efisiensi proses
transaksi dan kesalahan pengolahan data yang lebih sedikit. Selain itu, kemajuan terbaru
dalam teknologi e-bisnis telah memungkinkan EDI Internet, yang kurang efektif dan
efisien melaksanakan EDI kecuali mitra dagangnya juga efektif menerapkan EDI. Selain
itu, melakukan bisnis melalui Internet tidak bebas risiko. Sepenuhnya memanfaatkan
peluang EDI memiliki tawaran tergantung pada mitigasi risiko yang terkait dengan ebisnis.

Risiko IT
Setiap komponen kunci dari sistem informasi dijelaskan sebelumnya dalam bab ini merupakan
sumber potensial risiko. Sebagai contoh:
-

Hardware komputer rentan terhadap pemadaman listrik yang mengganggu proses transaksi.

Jaringan mengirimkan informasi yang dapat disadap dan dicuri atau disalahgunakan.

Perangkat lunak komputer yang tidak akurat diprogram dapat menghasilkan informasi yang
tidak valid, tidak lengkap, dan / atau tidak akurat.

Database dapat menyusup untuk tujuan menggelapkan atau menyalahgunakan informasi.

Informasi yang tidak valid, lengkap, dan / atau tidak akurat dapat menyebabkan keputusan
yang buruk.

Seseorang dapat melakukan tugas IT yang tidak kompatibel dan dengan demikian berada
dalam posisi untuk memperbuat dan menyembunyikan kesalahan dan penipuan.

Penggunaan TI dalam sistem informasi membuka pintu untuk risiko TI. Spesifik risiko TI
yang organisasi tertentu menghadapi akan tergantung pada sifat dari bisnis organisasi dan
operasi, industri di mana organisasi beroperasi, konfigurasi sistem informasi organisasi, dan
beberapa faktor internal dan eksternal lainnya.
Ada beberapa jenis risiko TI yang cenderung umum di organisasi dan industri:
-

Seleksi Risiko - Pemilihan solusi TI sejajar dengan tujuan strategis dapat menghalangi
pelaksanaan strategi tergantung TI. Misalnya, pengambil keputusan tidak memenuhi syarat
dan informasi yang tidak memadai.

Pengembangan / Akuisisi dan Deployment Risiko - Masalah yang dihadapi sebagai solusi
IT yang sedang dikembangkan / diperoleh dan digunakan dapat menyebabkan penundaan
tak terduga, kelebihan biaya, atau bahkan meninggalkan proyek. Misalnya, dukungan
vendor yang tidak memadai dan resistensi terhadap perubahan.

Ketersediaan Risiko - Tidak tersedianya sistem bila diperlukan dapat menyebabkan


keterlambatan dalam pengambilan keputusan, interupsi bisnis, kehilangan pendapatan, dan
ketidakpuasan pelanggan.

Hadrware / Software Risiko - Kegagalan hardware / software untuk melakukan dengan


benar dapat menyebabkan gangguan usaha, kerusakan sementara atau permanen atau
kerusakan data, dan perangkat keras / lunak perbaikan atau penggantian biaya.

Risiko Access - akses fisik atau logis tidak sah ke sistem dapat mengakibatkan pencurian
atau penyalahgunaan hardware, modifikasi perangkat lunak berbahaya, dan pencurian,
penyalahgunaan, atau kerusakan data.

Sistem Keandalan dan Risiko Informasi Integritas - kesalahan sistematis dan inkonsistensi
dalam pengolahan dapat menghasilkan relevan, lengkap, akurat, dan / atau informasi
sebelum waktunya.

Kerahasiaan dan Privasi Risiko - pengungkapan yang tidak sah dari mitra bisnis
proprietary atau informasi pribadi individu dapat mengakibatkan hilangnya bisnis, tuntutan
hukum, pers negatif, dan penurunan reputasi.

Penipuan dan berbahaya Kisah Risiko - Pencurian sumber daya TI, penyalahgunaan yang
disengaja dari sumber daya TI, atau distorsi disengaja atau penghancuran informasi dapat
mengakibatkan kerugian keuangan dan / atau informasi salah saji yang pengambil
keputusan bergantung pada.

2.3 TATA KELOLA TEKNOLOGI INFORMASI


IT Governance Institute (ITGI), yang didirikan pada tahun 1998 wa, menyatakan bahwa IT
Governance adalah tanggung jawab dewan direksi dan manajemen eksekutif. Ini adalah bagian
integral dari pemerintahan perusahaan dan terdiri dari kepemimpinan dan organisasi struktur
dan proses yang memastikan bahwa organisasi ini IT menopang dan memperluas strategi dan
tujuan organisasi.

Definisi IIA dari IT Governance adalah terdiri dari kepemimpinan, struktur organisasi, dan
proses yang memastikan bahwa teknologi informasi perusahaan itu menopang dan mendukung
strategi dan tujuan organisasi.
The ITGI secara khusus menyatakan bahwa "Tujuan dari tata kelola TI adalah untuk
mengarahkan berupaya IT, untuk memastikan bahwa TI kinerja Anda memenuhi tujuan-tujuan
berikut:
-

Penyelarasan IT dengan perusahaan dan realisasi manfaat yang dijanjikan

Gunakan TI untuk memungkinkan perusahaan dengan memanfaatkan peluang dan


memaksimalkan manfaat

Penanggungjawab penggunaan sumber daya TI

Risiko manajemen yang tepat yang berkaitan dengan IT ".

2.4 MANAJEMEN RISIKO TEKNOLOGI INFORMASI


Masing-masing dari COSO Enterprise Risk Management - komponen Kerangka Terpadu
relevan dengan IT manajemen risiko. Sebagai contoh:
-

Lingkungan internal - Dewan dan manajemen senior yang bertanggung jawab untuk
memimpin dan mengawasi proses tata kelola TI organisasi. Mereka juga bertanggung
jawab untuk menetapkan risk appetite TI organisasi dan mendefinisikan IT risiko ambang
batas toleransi.

Pengaturan Tujuan - Proses tata kelola TI dimulai dengan definisi tujuan IT, yang didirikan
arah kegiatan TI.

Event Identifikasi - peristiwa Potensi yang timbul di dalam atau di luar organisasi yang
dapat mempengaruhi pelaksanaan strategi organisasi dan pencapaian tujuan yang harus
diidentifikasi.

Penilaian Risiko - Diidentifikasi kejadian risiko harus dinilai dalam hal dampak yang
melekat mereka dan kemungkinan. Dampak residu dan kemungkinan kejadian risiko TI
yang diidentifikasi juga harus dinilai.

Respon Risiko - risiko tanggapan yang tepat harus diformulasikan untuk kejadian risiko TI
diidentifikasi.

2.5 KONTROL TI
Kontrol didefinisikan dalam bab 1. "pengantar audit internal". Sebagai proses tertanam dalam
manajemen risiko dan dilakukan oleh manajemen untuk mengurangi risiko ke tingkat yang
dapat diterima. Bab 6 "pengendalian internal", menyediakan cakupan mendalam dari
pengendalian internal dan memperkenalkan konsep memberikan di -depth cakupan
pengendalian internal dan memperkenalkan konsep dari kontrol TI. Kontrol IT umumnya
diklasifikasikan sebagai kontrol umum atau aplikasi. Kontrol IT umumnya diklasifikasikan
sebagai kontrol umum atau aplikasi seperti yang dijelaskan dalam pasal 6:

kontrol Umum (huruf miring ditambahkan) ... berlaku untuk semua system Komponen,
proses, dan data untuk sebuah organisasi atau sistem lingkungan tertentu
Pengendalian aplikasi (huruf miring ditambahkan) berkaitan dengan ruang lingkup proses
bisnis individu atau sistem aplikasi

2.6 KONTROL TATA KELOLA TI


Seperti dibahas sebelumnya dalam bab ini, tata kelola TI adalah komponen integral dari
pemerintahan secara keseluruhan. Demikian juga, IT mengontrol di tingkat pemerintahan yang
bagian penting dari sistem secara keseluruhan organisasi pengendalian internal. Kontrol IT di
tingkat pemerintahan jatuh di bawah yurisdiksi dewan dan manajemen senior. Papan tanggung
jawab, bagaimanapun, adalah mengawasi sistem organisasi pengendalian internal, bukan
untuk mengeksekusi kontrol. Ini adalah tugas manajemen senior untuk melakukan proses
kontrol pada sehari-hari.

2.7 KONTROL MANAJEMEN TI


Manajemen bertanggung jawab untuk memastikan bahwa kontrol IT dirancang secara
memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan organisasi, risiko
yang mengancam pencapaian tujuan thos, dan proses bisnis organisasi dan sumber daya.

IT standar kebijakan dukungan TI dengan lebih spesifik mendefinisikan apa yang diperlukan
untuk mencapai tujuan organisasi. Standar-standar ini harus mencakup, misalnya:
Proses untuk merancang, mengembangkan, menguji, mengimplementasikan dan memelihara
sistem informasi dan perangkat lunak
Konfigurasi dari organisasi operasi, jaringan, dan sistem manajemen database.
Kontrol aplikasi diimplementasikan di seluruh organisasi, termasuk definisi data yang
konsisten dan dokumentasi yang sesuai.

Organisasi TI dan manajemen kontrol memberikan jaminan bahwa organisasi terstruktur


dengan garis yang jelas dari pelaporan dan tanggung jawab dan telah menerapkan proses
kontrol yang efektif. Tiga aspek penting dari kontrol ini adalah pemisahan tugas, pengendalian
keuangan, dan kontrol manajemen perubahan:
pemisahan yang tepat dari tugas TI memberikan jaminan bahwa tidak ada individu dapat
menggunakan IT untuk kedua memperbuat dan menyembunyikan kesalahan atau kecurangan.
Memulai, otorisasi, penginputan, pengolahan dan cheking data harus dipisahkan sejauh
mungkin.
IT kontrol keuangan melindungi terhadap pembengkakan biaya dalam mengembangkan dan
melaksanakan sistem informasi.

kontrol Perubahan manajemen memberikan jaminan bahwa perubahan ke environtment IT,


sistem, perangkat lunak, dan data telah diotorisasi dan tepat.

IT kontrol fisik dan lingkungan melindungi sumber daya sistem informasi (hardware,
software, dokumentasi, dan informasi) dari kecelakaan atau kerusakan internasional,
penyalahgunaan, atau kerugian. Kontrol tersebut meliputi, misalnya:
Menempatkan sumber nyata IT di kamar terkunci dengan akses terbatas
Instalasi deteksi kebakaran yang sesuai dan peralatan penindasan
Menemukan fasilitas IT jauh dari bahaya lingkungan seperti dataran banjir atau bahan yang
mudah terbakar.
Mengembangkan dan menguji rencana organisasi pemulihan bencana

2.8 KONTROL TEKNIS TI


Fasilitas software sistem penggunaan sistem Hardwar dan termasuk, misalnya, sistem operasi,
sistem jaringan, sistem manajemen database, firewall, dan perangkat lunak antivirus. Software
sistem
kontrol membatasi akses logis untuk sistem organisasi dan aplikasi, memantau penggunaan
sistem,
dan menghasilkan jejak audit. Kontrol perangkat lunak sistem meliputi, misalnya:
-

Menetapkan dan mengendalikan sistem hak akses sesuai dengan kebijakan organisasi

Melaksanakan kontrol konfigurasi online yang menegakkan tepat dalam perangkat lunak
dalam perangkat lunak

Menilai dan pengujian intrusi kerentanan.

Mencegah dan mendeteksi gangguan yang tidak sah

Mempekerjakan Prosedur dasar manajemen perubahan yang ketat dan sistematis

Pengembangan sistem dan akuisisi kontrol meliputi, misalnya:


-

Mendokumentasikan kebutuhan pengguna dan mengukur pencapaian persyaratan.

Setelah proses desain sistem formal untuk memastikan kebutuhan pengguna terpenuhi dan
kontrol yang tertanam sesuai dalam perangkat lunak

Pengujian sistem dan melibatkan pengguna dalam proses pengujian untuk memastikan
bahwa unsur-unsur tertentu dan interface dari sistem bekerja dengan baik dan memberikan
dimaksudkan fungsional.

Memvalidasi perubahan aplikasi dan menguji perubahan sebelum pelaksanaan

Kontrol aplikasi berbasis dilaksanakan untuk memastikan bahwa:


-

Data masukan ke dalam aplikasi yang valid, complet, dan akurat

Input data diproses sebagaimana dimaksud

Data tersimpan secara lengkap dan akurat

Output lengkap dan akurat

Gerakan data melalui sistem dicatat

Kontrol aplikasi berbasis meliputi, misalnya


kontrol Masukan dirancang untuk memeriksa integritas data yang dimasukkan ke aplikasi
kontrol Pengolahan dirancang untuk memastikan proses yang berlaku, lengkap, dan akurat
kontrol output dirancang untuk menguji validitas, kelengkapan, dan akurasi output aplikasi
dan untuk memastikan bahwa output pergi ke penerima yang dituju
Sebagai jejak audit yang memungkinkan manajemen untuk melacak transaksi forward dari
awal proses ke awal

2.9 KONTROL KEMANAN INFORMASI


Kontrol keamanan informasi tidak secara eksplisit disajikan dalam pameran 7-4 karena
"keamanan informasi merupakan bagian integral dari semua kontrol IT". Kontrol keamanan
informasi melindungi sistem informasi dari akses fisik dan logis yang tidak sah.

2.10 IMPLIKASI TI UNTUK INTERNAL AUDITOR


Bagian sebelumnya dari bab ini menjelaskan bagaimana TI telah mempengaruhi organisasi.
TI telah mengubah cara di mana organisasi merumuskan strategi, melakukan operasi seharihari, dan membuat keputusan. Perubahan ini telah menghasilkan risiko baru dan memaksa
organisasi untuk memodifikasi tata kelola, manajemen risiko dan pengendalian proses
mereka. Dampak meresap TI pada organisasi pada gilirannya memaksa auditor internal
untuk meningkatkan pengetahuan dan keterampilan TI mereka dan menyesuaikan bagaimana
mereka melakukan pekerjaan mereka.

IT Proviciency dan perawatan profesional karena


Dua standar pelaksanaan atribut khusus menangani kemampuan IT auditor internal harus
memiliki dan pertimbangan mereka harus memberikan menggunakan teknik audit berbasis
teknologi:

1210.A3 - Auditor internal harus memiliki pengetahuan yang cukup tentang risiko utama
teknologi informasi dan kontrol dan audit berbasis teknologi yang tersedia, teknik untuk
melakukan pekerjaan mereka ditugaskan. Namun, tidak semua auditor internal diharapkan
memiliki keahlian internal auditor yang, tanggung jawab utama adalah teknologi informasi
audit.
1220.A2 - Dalam melaksanakan karena auditor internal perawatan profesional harus
mempertimbangkan penggunaan teknologi
audit berbasis dan teknik analisis data lain

Jaminan Engagement IT Tanggung Jawab


Tiga standar pelaksanaan kinerja secara khusus menangani auditor internal jaminan
keterlibatan tanggung jawab mengenai sistem informasi dan teknologi:
2110.A2 - Aktivitas audit internal harus menilai apakah governanve teknologi informasi,
organisasi menopang dan mendukung strategi dan tujuan organisasi
2120.A1 - Aktivitas audit internal harus mengevaluasi eksposur risiko yang berkaitan dengan
organisasi ... sistem informasi ..
2130.A1 - Aktivitas audit internal harus mengevaluasi kecukupan dan efektivitas
pengendalian dalam merespon risiko dalam organisasi ... sistem informasi ...

Outsourcing
Proses bisnis outsourcing diperkenalkan dalam bab 5, "proses bisnis dan risiko," sebagai
tindakan mentransfer beberapa proses organisasi bisnis untuk penyedia luar untuk mencapai
cos pengurangan sementara meningkatkan kualitas pelayanan dan efisiensi. Hal ini untuk
alasan ini bahwa organisasi semakin Outsourcing fungsi TI untuk vendor yang
mengkhususkan diri dalam memberikan layanan TI.

Terintegrasi dan berkesinambungan Audit


Audit internal secara historis telah dilakukan secara retrospektif, misalnya setelah transaksi
terjadi. Ini pendekatan audit setelah-fakta cepat menjadi usang seperti kemajuan teknologi
menimbulkan IT-enabled proses bisnis di mana online, pemrosesan real-time dari transaksi
umum.
Audit kontinu. Audit terus menerus didefinisikan dalam GTAG 3 - berkelanjutan Audit:
implikasi untuk jaminan, pemantauan, dan penilaian risiko sebagai "metode apapun yang
digunakan oleh auditor internal untuk melakukan kegiatan yang berhubungan audir secara
lebih kontinu atau terus-menerus, seperti yang dijelaskan dalam GTAG 3, audit kontinu
terdiri dua kegiatan utama:

10

penilaian kontrol berkelanjutan, tujuan yang "untuk memusatkan perhatian audit


kekurangan kontrol sedini mungkin, dan
penilaian risiko berkelanjutan, tujuan yang adalah untuk menyoroti proses atau sistem yang
mengalami lebih tinggi dari tingkat yang diharapkan dari risiko

2.11 SUMBER PEDOMAN AUDIT TI


Lembaga auditor internal (IIA) memiliki tubuh yang tumbuh dari bimbingan audit TI. Dua
komponen kunci dari panduan ini. Dua komponen utama dari pedoman ini adalah panduan
praktek termasuk dalam IIA Internationaal Praktek Profesional Kerangka:
Global Technology Audit Guide (GTAG) seri
Panduan untuk penilaian risiko TI (GAIT) seri

11

BAB III
PENUTUP

3.1 SIMPULAN
Dampak meresap TI pada strategi organisasi, sistem informasi, dan proses telah
mempengaruhi profesi audit internal dan bab ini dibahas konsep IT mendasar bahwa setiap
internal auditor perlu memahami:
Enam komponen kunci dari sistem informasi modern - perangkat keras komputer, jaringan,
perangkat lunak komputer, database, informasi, dan orang-orang - yang dijelaskan dan
diilustrasikan.
Peluang diaktifkan oleh IT dan risiko yang timbul sebagai akibat dari TI dibahas. Peluangenabled IT mencakup hal-hal seperti penjualan online, integrasi proses bisnis, dan pertukaran
informasi elektronik antara mitra dagang. Jenis risiko umum di organisasi dan industri
termasuk:
- Risiko Seleksi
- Pengembangan / akuisisi dan risiko pengembangan
- Risiko Ketersediaan
- Hardware resiko / software
- Risiko Access
- Keandalan Sistem dan integritas informasi risiko
- Risiko Kerahasiaan dan privasi
- Penipuan dan tindakan berbahaya risiko
tata kelola TI diidentifikasi sebagai subkomponen penting everall pemerintahan; Manajemen
risiko TI dijelaskan dalam kontes komponen COSO ERM; dan ia mengendalikan disajikan
sebagai hirarki top-down dari tata kelola TI, manajemen, dan kontrol teknis.
Implikasi IT untuk auditor internal itu ditujukan. Fungsi audit internal yang perlu untuk
memahami sistem informasi organisasi mereka dan risiko TI yang mengancam
theachievement tujuan organisasi bisnis mereka. Mereka juga harus mahir dalam menilai
organisasi mereka kelola TI, manajemen risiko, dan proses kontrol dan dapat secara efektif
menerapkan teknik audit berbasis teknologi
Sumber pedoman audit TI diidentifikasi. Dua komponen kunci dari pertumbuhan tubuh IIA
bimbingan audit TI adalah seri GTAG dan seri GAIT. Bimbingan lain yang tersedia melalui
IIA mencakup berbagai sumber yang dapat dibeli melalui IIA mencakup berbagai sumber yang
dapat dibeli melalui IIA yayasan penelitian toko buku atau di-download dari bagian audit TI
auditor internal secara online
Singkatnya, TI telah berubah secara signifikan kompetensi auditor internal harus memiliki dan
bagaimana mereka melakukan pekerjaan mereka. Kapasitas fungsi audit internal untuk
menyediakan layanan nilai tambah jaminan dan konsultasi di sangat tergantung pada
pengalaman TI.

12

DAFTAR PUSTAKA
F. Reding, Kurt, et al. 2009. Internal Auditing: Assurance & Consulting Services. Florida
(USA). The Institute of Internal Auditors Research Foundation.

13