Anda di halaman 1dari 14

Novrizal Nugroho Kelompok 7

Shella Keshia P
Impact of IT on Internal Audit

IT General Controls and ITIL Best Practices [CH 18]
Dalam dunia proses teknologi informasi (IT) dan sistem komputer sekarang ini, mulai
dari aplikasi untuk mengontrol akuntansi buku besar suatu perusahaan ke semua yang meliputi
internet, auditor internal harus memiliki pemahaman yang kuat tentang IT teknik pengendalian
internal. Bab ini membahas kontrol umum IT dari perspektif audit internal dan dengan
penekanan pada pengendalian umum IT didasarkan pada set praktek terbaik yang diakui di
seluruh dunia yang disebut information technology infrastructure library (ITIL). Kontrol umum
IT mencakup kontrol internal yang penting bagi semua aspek suatu operasi IT perusahaan;
mereka mencakup lebih dari aplikasi IT yang spesifik dan termasuk kontrol IT yang menjalar
pada perusahaan.

18.1 Importance of IT General Controls
Pada masa awal pengolahan data bisnis, kebanyakan sistem komputer dianggap "besar",
dan standar menetapkan tujuan pengendalian auditor dan prosedur dikembangkan untuk
meninjau pengendalian. Banyak tujuan pengendalian ini yang masih berlaku hari ini, tetapi
auditor internal harus melihat tujuan pengendalian IT ini dari perspektif yang agak berbeda
ketika meninjau kontrol dalam lingkungan IT modern. Profesi mulai berpikir IT kontrol dalam
aplikasi spesifik dan kontrol umum yang meliputi semua operasional IT. Kontrol umum IT
mencakup semua informasi operasi sistem dan meliputi:
Keandalan pengolahan sistem informasi.
Integritas sebuah data.
Integritas sebuah program.
Kontrol dari pengembangan yang tepat dan implementasi sistem.
Keberlangsungan proses.

18.2 Client-Server and Smaller Systems General IT Controls
Perusahaan saat ini telah menerapkan banyak jaringan dan sistem untuk mendukung unit
bisnis yang lebih kecil atau komputasi departemen tertentu, atau untuk menyediakan IT untuk
seluruh perusahaan. Meskipun ukurannya yang lebih kecil, sistem ini sering mewakili perhatian
pada pengendalian umum yang signifikan. Auditor Internal harus memahami kontrol umum
Novrizal Nugroho Kelompok 7
Shella Keshia P
seputar sistem komputer yang lebih kecil. Kontrol umum yang memadai diperlukan untuk
mengandalkan kontrol aplikasi tertentu.


a) General Controls for Small Business Systems
Sistem yang lebih kecil dapat diimplementasikan dalam berbagai cara, tergantung pada
konfigurasi sistem dan ukuran perusahaan. Auditor internal harus mampu mengenali
perbedaan-perbedaan ini dan mengembangkan prosedur pengendalian internal secara umum
tepat untuk meninjau kontrol umum mereka. Bagian ini membahas ini kontrol umum dalam
hal sistem komputer usaha kecil, Internet dan sistem jaringan, kontrol sistem client-server,
dan sistem yang besar klasik kontrol umum.
(i) SMALL BUSINESS COMPUTER SYSTEM CONTROLS
Audit internal sering bekerja dalam lingkungan di mana sistem bisnis yang digunakan
lebih kecil, terutama ketika di perusahaan-perusahaan yang relatif kecil. Contohnya
sebuah perusahaan non-profit yang sumber daya IT-nya hanya server dan sistem
desktop untuk mendukung direct mailing dan aplikasi yang sebatas berhubungan
dengan akuntansi. Audit internal harus meninjau kontrol umum atas suatu sistem
server seolah-olah sistem klasik, sistem perusahaan yang lebih besar. Artinya, masih
ada kebutuhan untuk sistem keamanan, integritas, dan prosedur backup. Jenis-jenis
sistem bisnis yang lebih kecil umumnya memiliki karakteristik umum:
Staff IT yang terbatas.
Kapabilitas pemrograman yang terbatas.
Pengendalian lingkungan yang terbatas.
Pengendalian keamanan fisik yang terbatas.
Jaringan telekomunikasi yang luas.

(ii) CLIENT-SERVER COMPUTER SYSTEMS
Arsitektur client-server telah menjadi konfigurasi IT yang sangat populer di semua
ukuran perusahaan dan sistem. Dalam lingkungan jaringan lokal, misalnya, masing-
masing workstation adalah klien. Sebuah prosesor terpusat, yang berisi file bersama
umum dan sumber daya lainnya, yang disebut server. Mungkin juga ada server
khusus untuk tugas-tugas seperti manajemen penyimpanan atau pencetakan.
Pengguna workstation mengirimkan permintaan dari mesin klien ke server, yang
kemudian memberikan dukungan, atau fungsi, bahwa klien dengan melakukan proses
yang diperlukan.
Novrizal Nugroho Kelompok 7
Shella Keshia P

(iii) NONBUSINESS SPECIALIZED PROCESSOR COMPUTER SYSTEMS
Dalam banyak perusahaan saat ini, sistem lain dapat ditemukan di wilayah di luar
operasi TI seperti laboratorium teknik, operasi pengendalian manufaktur, departemen
pemasaran, dan di tempat lain. Sistem ini dapat digunakan untuk pengendalian proses,
karya desain otomatis, pengolahan analisis statistik, atau aplikasi lainnya. Beberapa
benar-benar didedikasikan untuk aplikasi spesifik; yang lain dapat digunakan untuk
berbagai tugas dalam fungsi sebagaimana mereka ditugaskan. Meskipun sistem ini
tidak digunakan untuk kebutuhan informasi bisnis tradisional, seperti memelihara
rekening catatan piutang, mereka sering mendukung aplikasi kritis untuk perusahaan.

b) Smaller Systems IT Operations Internal Controls
Pemisahan tugas kontrol yang ditemukan di toko yang lebih besar tidak ada dalam
lingkungan kecil ini, tetapi harus ada kompensasi kontrol, termasuk:
Pembelian perangkat lunak.
Peningkatan perhatian manajemen.
Pemisahan tugas input dan pengolahan.
Bahkan dengan control yang mengkompensasi dalam sistem IT usaha kecil yang modern,
audit internal juga harus menyadari untuk mengendalikan risiko potensial dan kelemahan.
Beberapa contoh kelemahan kontrol di perusahaan dengan IT kecil yang tidak biasanya ada
di departemen yang lebih besar meliputi:
Karyawan "Setia" yang tidak mengambil liburan atau waktu libur mereka
Penggunaan khusus, program berdokumen yang hanya diketahui oleh manajer TI
Partisipasi departemen IT langsung dalam transaksi sistem input, seperti penyesuaian
dengan sistem persediaan
Novrizal Nugroho Kelompok 7
Shella Keshia P

c) Auditing IT General Controls for Smaller IT Systems
Audit internal akan menghadapi berbagai merek perangkat keras komputer atau nama produk
dalam sistem lingkungan yang lebih kecil, tetapi sebagian besar merupakan sistem terbuka
dengan sistem operasi umum yang dapat berfungsi tidak peduli apa merek hardware yang
digunakan. Auditor internal akan lebih efektif dalam meninjau kontrol sistem komputer
usaha kecil jika mereka memiliki pengetahuan yang menyeluruh dari beberapa kemampuan
mereka. Meskipun sifat bisnis kecil yang lebih informal atas sebuah sistem komputer, audit
internal dapat mengharapkan beberapa masalah pengendalian internal yang akan dibahas
berikut.
(i) SMALLER SYSTEM CONTROLS OVER ACCESS TO DATA AND PROGRAMS ARE
OFTEN WEAK
Audit internal harus mempertimbangkan akses ke data dan program agar menjadi
tujuan kontrol umum utama ketika meninjau perusahaan IT kecil. Sistem yang kecil,
seringkali tidak memiliki kontrol keamanan yang canggih seperti pada kebanyakan
system yang lebih besar. Dalam rangka untuk meninjau kontrol di daerah ini, audit
internal harus terlebih dahulu mendapatkan pemahaman umum dari sistem keamanan
data yang terpasang, yang bisa berkisar dari sistem berbasis password yang baik
sampai satu set prosedur yang sangat terstruktur dari. Langkah berikutnya adalah
untuk memahami bagaimana sistem keamanan telah dilaksanakan dan sedang
digunakan. Untuk melakukan hal ini, auditor internal harus meluangkan waktu
meninjau bagaimana pengendalian aplikasi yang digunakan di daerah pengguna.
(ii) UNAUTHORIZED USE OF UTILITY PROGRAMS
Audit internal harus memahami jenis-jenis program utilitas standar yang tersedia
untuk sistem dalam kajian. Penggunaan suatu program ini oleh perusahaan dapat
ditentukan melalui penyelidikan dan observasi.
(iii) IMPROPER IT DATA AND PROGRAM ACCESS REQUESTS
Sifat yang informal dari banyak perusahaan yang lebih kecil sering memungkinkan data
yang akan diakses tidak dilakukan dengan benar melalui prosedur operasional IT yang
normal. Audit internal harus dapat menemukan kontrol untuk mencegah permintaan IT
tersebut. Kontrol terbaik bisa menjadi "permintaan untuk layanan data" tipe form yang
seperti itu dan disetujui oleh manajemen. Selain itu, log harus dijaga dalam membuat
daftar semua kegiatan produksi IT serta nama pemohon dan penerima laporan.

18.3 Components and Controls of Mainframe and Legacy Systems
Auditor internal dulu lebih tertarik pada ukuran sistem komputer untuk ditinjau kembali
karena dampaknya pada review pengendalian prosedur audit internal. Ini telah berubah dengan
pengenalan banyak perkembangan teknologi baru. Hari ini tidak ada lagi hubungan langsung
Novrizal Nugroho Kelompok 7
Shella Keshia P
antara ukuran mesin dan kompleksitas audit. Namun demikian, beberapa kontrol yang audit
internal temukan dalam operasi pusat komputer yang sangat besar belum tentu berlaku untuk
sistem komputer bisnis kecil.

a) Characteristics of Larger IT Systems
b) Classic Mainframe or Legacy Computer Systems
c) Operating Systems Software

18.4 Legacy System General Controls Reviews
Sebuah langkah penting dalam kajian audit internal operasi kontrol umum IT sistem besar
adalah untuk mendefinisikan dengan jelas apa yang menjadi tujuan tujuan review tersebut.
Meskipun tinjauan kontrol umum system IT yang lebih besar dapat memiliki berbagai tujuan,
terkadang masuk kedalam salah satu dari empat jenis ulasan:
1. Preliminary reviews of IT general controls.
2. Detailed general controls reviews of IT operations.
3. Specialized or limited-scope reviews.
4. Reviews to assess compliance with laws or regulations.

18.5 ITIL Service Support and Delivery Infrastructure Best Practices
ITIL adalah kerangka rinci praktik terbaik IT yang signifikan, dengan checklist yang
komprehensif, tugas, prosedur, dan tanggung jawab yang dirancang untuk disesuaikan dengan
setiap organisasi IT. Membagi proses utama antara mereka yang meliputi penyediaan layanan IT
dan dukungan layanan, ITIL telah menjadi standar de facto untuk menggambarkan banyak
proses fundamental dalam pengelolaan layanan IT, seperti konfigurasi atau manajemen
perubahan. Proses ITIL secara tradisional telah dibagi antara mereka yang mencakup dukungan
layanan dan orang-orang untuk penyediaan layanan . Proses dukungan layanan membantu
membuat aplikasi IT beroperasi secara efisien dan memuaskan pelanggan , sedangkan proses
pelayanan meningkatkan efisiensi dan kinerja dari elemen infrastruktur IT . Ada lima proses
praktik terbaik dukungan layanan ITIL mulai dari manajemen rilis , menempatkan proses ke
dalam produksi , manajemen insiden , sampai pelaporan tertib mengenai masalah atau kejadian
IT. Proses dukungan layanan ITIL mencakup praktek-praktek yang baik untuk setiap perusahaan
IT , apakah operasi terpusat dengan menggunakan sistem warisan mainframe terutama yang
klasik , sebagai titik kontrol pusat IT, hingga operasi client-server yang sangat terdistribusi.
Karena banyak variasi yang mungkin dalam fungsi operasional TI , ITIL tidak menetapkan
rincian " bagaimana " untuk melaksanakan proses layanan dukungan , seperti konfigurasi atau
manajemen perubahan . Sebaliknya , ITIL menyarankan praktek yang baik dan cara-cara untuk
Novrizal Nugroho Kelompok 7
Shella Keshia P
mengelola input dan hubungan antara proses-proses tersebut. Tidak ada urutan atau mana yang
lebih dulu di antara masing-masingnya . Mereka dapat dipertimbangkan dan dikelola secara
terpisah, tetapi semuanya agak terkait satu sama lain.

18.6 Service Delivery Best Practices
Layanan dukungan meliputi pengolahan aplikasi IT dan komponen yang akurat mulai
dari menerima insiden dilaporkan, mendefinisikan masalah, memperkenalkan perubahan dan
kemudian melepaskannya ke produksi. Proses pelayanan ITIL yang sama pentingnya mencakup
wilayah yang lebih diselaraskan dengan kelancaran dan efisien infrastruktur IT secara
keseluruhan. Beberapa di antaranya, seperti proses manajemen kontinuitas, secara tradisional
telah dekat di hati banyak auditor internal. Lainnya, seperti SLA yang menentukan kinerja dan
harapan antara TI dan pelanggan, harus akrab bagi auditor internal yang mengalami pengaturan
serupa di daerah lain.

18.7 Auditing IT Infrastructure Management
Proses Dukungan layanan dan layanan pengiriman ITIL memperkenalkan pendekatan
yang diperluas dan ditingkatkan untuk melihat semua aspek dari infrastruktur IT. Proses ini tidak
independen dan berdiri sendiri. Sementara setiap proses dapat beroperasi dengan sendirinya,
mereka semua bergantung pada masukan dan dukungan proses terkait lainnya.



Novrizal Nugroho Kelompok 7
Shella Keshia P

18.8 Internal Auditor CBOK Needs for IT General Controls
Pemahaman audit internal terhadap kontrol umum IT sangat penting. Tidak peduli apa
ukuran atau ruang lingkup operasional IT, kontrol tertentu prosedur-seperti revisi Program
kontrol-berlaku untuk semua operasi. Selain itu, pemahaman keseluruhan praktik terbaik ITIL
harus memungkinkan auditor internal untuk memahami dan mengevaluasi kontrol umum IT di
banyak lingkungan.










Novrizal Nugroho Kelompok 7
Shella Keshia P
Reviewing and Assessing IT Application Controls [CH 19]

Aplikasi Teknologi informasi (TI) mendorong sebagian besar proses perusahaan saat ini.
Aplikasi TI ini berkisar dari yang relatif sederhana, seperti sistem akun hutang untuk membayar
faktur vendor, hingga yang sangat kompleks, seperti manajemen sumber daya perusahaan (ERM)
mengatur aplikasi database yang saling terkait untuk mengontrol hampir semua proses
perusahaan. Banyak aplikasi IT didasarkan pada vendorpurchased software; peningkatan jumlah
berasal dari layanan berbasis web; ada pula yang dikembangkan oleh tim pengembangan in-
house; dan banyak lainnya mungkin didasarkan pada spreadsheet atau aplikasi desktop database.
Dalam rangka untuk melakukan ulasan kontrol internal di daerah tertentu seperti akuntansi,
distribusi, atau rekayasa, auditor internal harus memiliki keterampilan untuk memahami,
mengevaluasi, dan menguji kontrol atas aplikasi pendukung TI. Ulasan kontrol aplikasi yang
spesifik sering lebih penting untuk mencapai tujuan audit secara keseluruhan daripada tinjauan
kontrol TI yang umum.
Seorang auditor internal harus memahami unsur-unsur dari aplikasi TI dan kebutuhan
mereka untuk pengendalian pendukung. Orang-orang yang tidak akrab dengan IT kadang-kadang
berpikir aplikasi IT hanya dalam hal laporan output sistem atau data yang ditampilkan pada layar
terminal. Namun, setiap aplikasi, baik berbasis web, sistem mainframe yang lebih tua, aplikasi
client-server, atau paket produktivitas kantor yang diinstal pada sistem desktop lokal, memiliki
tiga komponen dasar: (1) input sistem, (2) program yang digunakan untuk pengolahan, dan (3)
output sistem. Masing-masing memiliki peran penting dalam struktur pengendalian internal suatu
aplikasi.
Sementara semua operasi utama TI dan aplikasi kunci harus tunduk pada tinjauan rutin,
audit internal biasanya tidak memiliki sumber daya atau waktu untuk secara teratur meninjau
kontrol untuk semua aplikasi TI. Selain itu, banyak aplikasi TI yang merupakan tingkat minimal
risiko pengendalian. Sebagai bagian dari kajian operasional tertentu atau pengendalian IT umum,
audit internal harus memilih aplikasi yang lebih penting untuk diperiksa. Karena aplikasi TI
sangat penting untuk operasi perusahaan, auditor internal sering menerima permintaan khusus
dari komite audit atau manajemen untuk meninjau kontrol aplikasi spesifik. Beberapa faktor
yang dapat mempengaruhi keputusan audit internal untuk memilih satu aplikasi tertentu atas
yang lain mungkin termasuk:
Management requests.
Preimplementation reviews of new applications.
Postimplementation applications reviews.
Internal control assessment considerations.
Other audit application selection criteria.
Novrizal Nugroho Kelompok 7
Shella Keshia P
Setelah aplikasi telah dipilih untuk review, audit internal harus memperoleh pemahaman
tentang maksud atau tujuan, pendekatan teknologi yang digunakan, dan hubungan aplikasi
tersebut untuk proses otomatis atau signifikan terkait lainnya. Mungkin perlu untuk auditor
internal yang ditugaskan untuk melakukan beberapa bacaan mengenai latar belakang dan
mempelajari aspek-aspek teknis khusus dari aplikasi tersebut. Seringkali pemahaman auditor ini
dapat dicapai melalui review dari kertas kerja audit yang lalu, wawancara dengan IT dan personil
pengguna, dan review dari aplikasi dokumentasi. Sebagai langkah awal dalam proses peninjauan
ini, audit internal harus melakukan walkthrough pada aplikasi untuk lebih memahami cara
kerjanya dan bagaimana kontrol yang ada berfungsi. Langkah-langkah awal ini akan
memungkinkan auditor internal untuk mengembangkan tes audit tertentu terhadap kontrol
aplikasi yang lebih signifikan. Saat melakukan review, audit internal biasanya harus mencari
unsur-unsur dokumentasi ini:
Systems development methodology (SDM) initiating documents.
Functional design specification.
Program change histories.
User documentation manuals.

Prosedur audit aplikasi IT yang mendetil biasanya lebih sulit untuk ditentukan daripada
tujuan umum audit internal. Prosedur bervariasi dan tergantung pada apakah (1) aplikasi utama
yang digunakan dibeli atau komponen perangkat lunak yang dikembangkan sendiri; (2) aplikasi
terintegrasi dengan yang lain atau proses yang terpisah; (3) menggunakan penyedia layanan
berbasis Web, client-server atau yang lebih tua lagi, metode sistem komputer warisan; dan (4)
apakah kontrol yang sebagian besar otomatis atau memerlukan tindakan intervensi manusia. Sifat
dari suatu aplikasi juga dapat bervariasi. Meskipun penekanan audit internal dulunya terutama
melalui kontrol dalam aplikasi yang berhubungan dengan akuntansi, auditor internal saat ini
harus meninjau aplikasi di daerah lain juga, seperti perencanaan sumber daya manufaktur atau
analisis portofolio kredit.
Auditor Internal harus menempatkan penekanan utama pada meninjau aplikasi TI yang
mendukung saat melakukan tinjauan di daerah lain dari perusahaan. Meskipun prosedur
pengendalian TI baik yang umum atau yang saling tergantung mungkin telah cukup baik, kontrol
aplikasi individu mungkin tidak semuanya kuat. Aplikasi suatu perusahaan mungkin telah
dikembangkan melalui serangkaian kompromi antara pengguna atau tanpa tingkat jaminan
kualitas yang tepat. Untuk mengevaluasi aplikasi TI kontrol dengan benar, audit internal
membutuhkan pemahaman yang baik dari kedua prosedur IT dan kontrol tertentu dan
karakteristik prosedural dari setiap aplikasi.

Novrizal Nugroho Kelompok 7
Shella Keshia P
CH 20 Cybersecurity and Privacy Control
Karena ada tingkat besar kompleksitas praktik IT cybersecurity, banyak fungsi audit internal mungkin
tidak memiliki keahlian teknis yang memadai di bidang ini. Namun, meskipun mereka mungkin tidak
spesialis cybersecurity, semua auditor internal harus memiliki pemahaman Common Body Of Knowledge
(CBOK) mengenai risiko cybersecurity, kontrol tingkat tinggi, dan mekanisme pencegahan. Internal
auditor juga harus memahami ketika ia harus mencari bantuan dan saran dari para ahli cybersecurity
berpengalaman saat melakukan audit internal.
Dasar Keamanan Jaringan IT
Karena tidak memiliki prosedur pengendalian internal yang tepat, sistem TI hardware suatu perusahaan,
perangkat lunak, dan data mungkin menghadapi salah satu atau empat dasar ancaman:
1. Interupsi. Aset sistem dapat menjadi hilang, tidak tersedia atau tidak dapat digunakan melalui
penghancuran berbahaya dari program, pencurian komponen hardware, atau penyalahgunaan
sumber daya jaringan.
2. Intersepsi. Pihak luar, seperti orang, program, atau sistem komputer total, dapat memperoleh
akses ke aset IT. Contoh dari jenis ancaman dapat penyadapan untuk memperoleh data atau
penggunaan ilegal sumber daya program. intersepsi sering dapat berlangsung dengan beberapa
jejak dan bisa sulit untuk dideteksi.
3. Modifikasi. penyusup yang tidak sah tidak hanya mengakses tapi membuat perubahan data,
program, atau bahkan komponen hardware. Sementara modifikasi sering dapat cepat
terdeteksi, dalam beberapa kasus mereka bisa pergi pada hampir tanpa disadari.
4. Fabrikasi. Ancaman ini terjadi ketika orang yang tidak berhak memperkenalkan objek palsu ke
dalam lingkungan TI. Ini mungkin termasuk transaksi palsu ke sistem komunikasi kerja baru atau
memasukkan catatan dalam database didirikan.

a. Security of Data
Dalam beberapa kasus, data mungkin memerlukan beberapa perlindungan kerahasiaan.
Berdasarkan gambar ilustrasi di bawah, kontrol penekanan di sini adalah bukan pada
kerahasiaan dan integritas ancaman melalui luar tembok pelindung; bukan, kontrol ketersediaan
diperlukan untuk melindungi program dan data. Contoh ekstrim kerahasiaan dan integritas
kontrol di sini adalah landasan bangunan di mana beberapa catatan penting disegel dalam batu
fondasi dan tidak pernah terlihat lagi, sementara bangunan itu berdiri. Landasan umumnya tidak
banyak gunanya dalam kebanyakan situasi, dan data harus tersedia, dan secara rahasia
dilindungi. Meskipun selalu ada ancaman, data harus dilindungi dari tumpahan atau rembesan
yang tak terduga.
Novrizal Nugroho Kelompok 7
Shella Keshia P

b. Importance of IT Passwords
Beberapa praktik dalam penggunaan password IT adalah:
1. Password adalah tanggung jawab pengguna untuk membangun aturan-aturan administratif
dan dibentuk untuk membuat sulit ditebak oleh orang lain.
2. Password harus disusun sedemikian rupa sehingga mereka sulit untuk menebak dengan
mudah. Misalnya, keamanan IT dapat menetapkan aturan yang memerlukan campuran
huruf dan angka dalam password.
3. Adanya permintaan perubahan password.
4. Proses harus dilakukan untuk memantau password, menolak akses jika mungkin dua upaya
sandi tidak valid, dan memungkinkan password diatur ulang melalui prosedur administrasi.
Proses-proses ini harus memungkinkan pengguna untuk menerima duplikat jika password
telah terlupakan.
5. Sistem tidak boleh dipasang jika menghasilkan atau membutuhkan password yang sangat
panjang atau kompleks yang biasanya akan sulit untuk diingat. Jika terlalu kompleks,
pengguna akan posting password mereka sebagai self-help, dan tujuan dari password
rahasia hilang.
6. Perusahaan degan prosedur yang kuat harus ada penggunaan password. Artinya, harus ada
larangan berbagi password atau posting dimana semua orang dapat melihatnya.
Novrizal Nugroho Kelompok 7
Shella Keshia P


c. Viruses and Malicious Program Code
Virus, istilah ini digunakan karena merupakan jenis program yang dapat menempelkan dirinya
ke sistem lain dan kemudian menyebar sendiri ke orang lain ketika mereka datang dalam kontak
dengan set kode virus. Sebuah virus dapat menyebar dari satu komputer ke komputer lain hanya
bila kode virus dibawa ke beberapa komputer yang tidak terinfeksi, misalnya, pengguna
mengirimnya melalui jaringan atau Internet, atau dengan membawanya pada removable media
seperti compact disc atau USB drive. Virus juga dapat menyebar ke komputer lain dengan
menginfeksi file pada sistem file jaringan yang diakses oleh komputer lain.

d. Phishing and other identity threat
Phishing. Aktivitas penipuan yang dikenal sebagai phishing, istilah hacker, berasal dari
paralel penipuan. Berikut e-mail palsu dan Website digunakan sebagai umpan untuk
menangkap informasi rahasia korban yang sedang terjaring sebagai "phish." Dalam
serangan phishing, scammers mengirimkan e-mail otentik yang mengaku berasal dari
lembaga yang sah terkenal. Penerima didorong untuk mengklik link situs Web dalam e-
mail. Dengan demikian, korban kemudian dibawa ke situs yang palsu.
Phaxing. Sebagai ancaman otentikasi terkait, penjahat dapat mengirim faks kepada
pelanggan suatu perusahaan meminta mereka untuk login ke Internet dan meminta
Novrizal Nugroho Kelompok 7
Shella Keshia P
mereka untuk mengirim kembali URL alamat Internet mereka. Versi-fax terkait phishing
ini disebut disebut "phaxing."
e. IT System Firewalls
Firewall adalah sebuah perangkat lunak yang menyaring lalu lintas antara "di luar" lingkungan
yang dilindungi atau "di dalam". Ini adalah jenis khusus dari perangkat lunak yang baik
memungkinkan atau mencegah jenis transaksi tertentu. Suatu perusahaan perlu untuk
menginstal firewall antara jaringan sistem dan dunia luar melalui internet atau sumber informasi
lainnya. Firewall memonitor lalu lintas, rute tertentu untuk lokasi jaringan yang ditunjuk, dan
blok lain.
f. Other Computer Security Issues
Jaringan IT saat ini harus berurusan dengan banyak ancaman keamanan dan kode berbahaya.
Metode mengatasi termasuk password dan firewall, ditambah kontrol akses rumit, kebutuhan
untuk menggunakan enkripsi ketika transmisi data, keamanan bertingkat dalam administrasi
database, dan banyak lagi. Dari perspektif audit internal, beberapa masalah keamanan
komputer yang paling penting fokus pada kebutuhan untuk membangun dukungan manajemen
yang kuat untuk program keamanan IT di tempat dan untuk program pendidikan pemangku
kepentingan keseluruhan untuk mengesankan semua orang IT jaringan ancaman keamanan dan
kerentanan.
Kekhawatiran Sistem Privasi IT
Privasi adalah harapan bahwa informasi pribadi yang bersifat rahasia yang diungkapkan di tempat
pribadi tidak akan diungkapkan kepada pihak ketiga. Informasi harus ditafsirkan secara luas untuk
memasukkan gambar (misalnya, foto, kaset video), dan opini yang meremehkan. Ini tentu mencakup
semua aspek sistem IT dan jaringan.
Keamanan dan privasi dalam departemen audit internal
Auditor internal sebagai fungsi operasi dalam perusahaan dan sebagai auditor internal individu perlu
menetapkan prosedur keamanan dan privasi mereka sendiri. Auditor internal secara teratur
mengunjungi sebuah situs dan menangkap informasi dan data, baik dalam format hard atau soft-copy,
mencakup wilayah kajian mereka serta informasi lainnya dari situs diaudit. Tergantung pada sifat dari
tinjauan, bahwa bahan bukti audit yang diambil harus dipertahankan dengan cara yang aman dan
rahasia.
a. Security and Control for Auditor Computers
Komputer auditor internal sering digunakan untuk narasi auditor, salinan dokumen, dan bukti
audit penting lainnya. Prosedur keamanan yang baik harus dibentuk untuk melindungi sumber
daya penting audit internal. Bahkan ketika fungsi audit internal tidak menggunakan laptop dan
bergantung pada mesin desktop, auditor praktik keamanan serupa harus dipasang.
b. Workpaper Security
Kertas kerja adalah dokumen penting yang membawa bukti auditor dan hasil audit internal
tugas pekerjaan. Keamanan kertas kerja selalu menjadi perhatian, dan apakah file-file tersebut
dalam format hard atau soft-copy, prosedur harus ditetapkan untuk mendukung dan melindungi
Novrizal Nugroho Kelompok 7
Shella Keshia P
mereka. Dokumen hard copy harus disimpan di tempat yang aman, terkunci fasilitas dengan
akses terbatas. Karena akumulasi tujuh tahun dapat membuat cukup volume bahan, persiapan
harus dibuat untuk mengirim kertas kerja yang lebih tua untuk layanan repositori dokumen
aman. Bahan telaah kertas kerja Soft-copy harus didukung juga. Ada bisa menjadi perhatian
khusus di sini, namun, seperti format file dapat berubah.
c. Audit Reports and Privacy
Laporan audit internal adalah dokumen yang menggambarkan kegiatan audit internal untuk
proyek audit yang direncanakan, prosedur yang dilakukan, temuan dan rekomendasi, dan
tanggapan auditee manajemen untuk temuan tersebut bersama dengan rencana mereka untuk
tindakan korektif. Secara alami mereka, laporan audit bukan merupakan dokumen untuk
distribusi massa. Mereka hanya harus dibagi dengan manajemen auditee, manajemen senior
perusahaan, audit eksternal, dan komite audit. Anggota tim audit harus secara teratur
menekankan kerahasiaan kebutuhan untuk dokumen-dokumen ini.
d. Internal Audit Security and Privacy Standards and Training
Audit internal harus menetapkan standar untuk keamanan departemen telaah kertas kerja dan
privasi. Pengaturan untuk repositori perpustakaan formal harus ditetapkan dalam perusahaan.
Hal ini biasanya akan terletak dekat CAE dan kantor pusat perusahaan; Namun, untuk yang
besar, multi-unit usaha dan fungsi audit internal yang lebih besar, off-site atau beberapa
repositori perpustakaan telaah kertas kerja dapat dibentuk. Lokasi harus aman dengan kontrol
administratif keseluruhan ditugaskan untuk anggota staf administrasi. Dengan tujuh tahun
persyaratan retensi yang sedang berlangsung, repositori telaah kertas kerja keras dan soft-copy
dan perpustakaan harus diatur sedemikian rupa sehingga pengambilan nanti akan relatif mudah.