Anda di halaman 1dari 13

INFORMATION TECHNOLOGY RISKS AND CONTROLS

BAB I PENDAHULUAN

1.1 LATAR BELAKANG

Organisasi berinvestasi di TI karena beberapa alasan, yang semuanya berkaitan langsung untuk mencapai tujuan bisnis organisasi. Misalnya, IT memungkinkan strategi bisnis, meningkatkan kinerja proses bisnis, dan memfasilitasi pengambilan keputusan. Bahkan, TI telah mencapai titik yang sangat terkait dengan tujuan organisasi bisnis, strategi, dan operasi yang inisiatif TI harus dipertimbangkan bersama-sama dengan inisiatif bisnis untuk memastikan keselarasan antara keduanya.

Dampak semakin meresap TI pada strategi bisnis organisasi dan hari-hari operasi operasi telah mempengaruhi profesi audit internal. TI telah mengubah kompetensi yang berfungsi audit internal harus memiliki dan bagaimana mereka melakukan jaminan dan layanan konsultasi. Hal ini hampir tidak mungkin di dunia bisnis saat ini untuk setiap fungsi audit internal untuk memberikan layanan nilai tambah bagi organisasi mereka kecuali fungsi ini sangat mahir dalam pengetahuan IT risiko dan kontrol dan memiliki kemampuan untuk secara efektif menerapkan teknik audit berbasis teknologi.

Internal auditor yang bekerja secara ekstensif dalam bidang sistem informasi terkomputerisasi harus memiliki risiko dalam IT, kontrol, dan keahlian audit. Auditor tersebut sering disebut sebagai sistem informasi (IS) auditor atau auditor IT. Meskipun semua auditor internal tidak perlu memiliki keahlian auditor IT, minimal, setiap auditor internal harus memiliki pemahaman yang baik tentang konsep-konsep TI fundamental tertentu. Sebagai contoh, semua auditor internal perlu memahami komponen dasar dari tujuan organisasi mereka bisnis, dan tata kelola TI organisasi mereka, manajemen risiko, dan proses kontrol.

1.2 TUJUAN

- Memahami bagaimana teknologi informasi (TI) yang terkait dengan tujuan bisnis, strategi,

dan operasi.

- Jelaskan komponen kunci dari sistem informasi modern.

- Jelaskan sifat peluang IT dan risiko.

- Memahami tata kelola mendasar IT, manajemen risiko, dan konsep kontrol.

- Memahami implikasi TI untuk auditor internal.

- Mengidentifikasi sumber-sumber pedoman audit TI.

BAB II PEMBAHASAN

2.1 KOMPONEN KUNCI SISTEM INFORMASI MODERN

Sistem informasi modern bervariasi secara signifikan antara organisasi dan itu adalah di luar lingkup buku ini untuk menutupi berbagai konfigurasi sistem yang ada di dunia bisnis saat ini. Namun demikian, komponen kunci yang sama sistem informasi yang auditor internal perlu memahami.

Perangkat keras komputer. Hardware komputer terdiri dari komponen fisik dari suatu sistem informasi. Hardware meliputi, misalnya, unit pengolahan pusat (CPU), server, workstation dan terminal, chip komputer, perangkat input / output seperti scanner dan printer, perangkat penyimpanan seperti disk drive, dan perangkat komunikasi seperti modem dan router.

Jaringan Sebuah jaringan komputer menghubungkan dua atau lebih komputer sehingga mereka dapat berbagi informasi dan / atau beban kerja. Ada banyak jenis jaringan:

o

Sebuah jaringan client-service menghubungkan satu atau lebih komputer client dengan server dan pengolahan data dibagi beetwen klien (s) dan server dengan cara yang mengoptimalkan efisiensi pengolahan.

o

Sebuah jaringan area lokal (LAN) mencakup area yang relatif kecil seperti sebuah bangunan atau sekelompok bangunan yang berdekatan.

o

Sebuah jaringan area luas (WAN) terdiri dari sistem LAN terhubung bersama-sama untuk rentang area regional, nasional, maupun global.

o

Sebuah intranet adalah jaringan pribadi organisasi hanya dapat diakses oleh personil yang organisasi itu.

o

Sebuah extranet dapat diakses oleh pihak ketiga yang dipilih seperti pemasok dan / atau pelanggan yang berwenang.

o

Sebuah nilai tambah jaringan (VAN) adalah jaringan pihak ketiga yang menghubungkan organisasi dengan mitra dagangnya.

o

Internet (jaringan interkoneksi) adalah sistem publik yang sangat besar dan kompleks jaringan komputer yang memungkinkan pengguna untuk berkomunikasi secara global.

Perangkat lunak komputer Perangkat lunak komputer meliputi:

o

Perangkat lunak sistem operasi: Kontrol dasar masukan, pengolahan, dan output dari komputer dan mengelola interkonektivitas dari perangkat keras sistem.

o

Software Utilitas: menambah sistem operasi dengan funtionality seperti enkripsi, optimasi ruang disk, dan perlindungan terhadap virus.

o

Perangkat lunak sistem manajemen database: Mengelola data yang disimpan dalam database, mengontrol akses ke database, dan secara otomatis punggung atas database.

o

Aplikasi software: Termasuk software akuntansi yang digunakan untuk memproses transaksi serta jenis lain dari perangkat lunak, seperti pengolah kata dan spreadsheet software, yang memungkinkan pengguna akhir untuk melakukan tugas-tugas mereka ditugaskan.

o

Software Firewall. Memberlakukan kontrol akses beetwen dua jaringan dengan memungkinkan hanya transmisi data yang berwenang untuk melewati firewall di kedua arah.

Database Database adalah repositori besar data, biasanya terdapat dalam banyak file terkait dan disimpan dengan cara yang memungkinkan data yang akan mudah diakses, diambil, dan dimanipulasi. Database operasi mendukung pemrosesan transaksi sehari-hari dan terus menerus diperbarui sebagai transaksi diproses. Sebuah gudang data adalah kumpulan besar data yang disimpan dari waktu ke waktu untuk mendukung analisis data secara online dan pengambilan keputusan.

Informasi Bagi banyak perusahaan, informasi dan teknologi yang mendukung adalah merupakan aset paling berharga mereka. Sistem informasi mengumpulkan dan menyimpan data, mengubah data menjadi informasi yang berguna, dan memberikan informasi kepada pengambil keputusan internal dan eksternal. Untuk informasi berguna, itu harus relevan, dapat diandalkan, lengkap, akurat, dan tepat waktu.

Orang Peran sistem informasi spesifik bervariasi secara signifikan dari satu organisasi ke yang lain. Biasanya, peran ini meliputi orang-orang dari:

o

Petugas Kepala Informasi (CIO): Bertanggung jawab untuk pengawasan sehari-hari dan arah IT dan untuk memastikan bahwa tujuan dan strategi TI selaras dengan tujuan bisnis organisasi dan strategi.

o

Administrator Database: Bertanggung jawab untuk mengawasi desain, pengembangan, implementasi, dan pemeliharaan database, mengontrol akses ke database, pemantauan kinerja database, dan meningkatkan database dalam menanggapi perubahan kebutuhan pengguna.

o

Sistem pengembang: Sertakan analis dan programmer. Analis survei pengguna IT nedds, melakukan "apa" versus "apa yang harus" analisis sistem IT, dan merancang sistem TI baru. Programmer membangun dan menguji perangkat lunak yang digunakan untuk menjalankan tugas-tugas pengolahan data.

o

Personil Pengolahan data: Mengelola sumber daya terpusat IT dan melakukan terpusat sehari-hari masukan, pengolahan, dan kegiatan output.

o

Pengguna akhir adalah manajer dan karyawan untuk siapa sistem informasi dibangun. Mereka menggunakan informasi yang dihasilkan oleh sistem untuk melaksanakan mereka sehari-hari peran dan tanggung jawab.

2.2

PELUANG DAN RISIKO TEKNOLOGI INFORMASI

Kesempatan adalah kemungkinan bahwa suatu peristiwa akan terjadi dan positif mempengaruhi pencapaian tujuan organisasi. Risiko adalah kemungkinan bahwa suatu peristiwa akan terjadi dan berpengaruh negatif terhadap pencapaian tujuan organisasi. Peluang dan risiko yang timbul dalam suatu organisasi beacuse TI mewakili porsi yang signifikan dari peluang dan risiko organisasi perlu memahami dan mengelola secara efektif.

Peluang Diaktifkan oleh IT

- Enterprise Resources Planning Sistem - Sebuah sistem ERP adalah perangkat lunak sistem modular yang memungkinkan organisasi untuk mengintegrasikan proses bisnis mereka menggunakan database operasi tunggal. Organisasi manfaat berharap untuk memperoleh hasil dari penerapan sistem ERP mencakup secara online pemrosesan real-time transaksi, interaksi mulus dan berbagi informasi di antara area fungsional, peningkatan kinerja proses, penghapusan atau pengurangan redudancies data dan kesalahan, dan lebih tepat waktu pengambilan keputusan. Namun, menerapkan sistem ERP yang efektif dan efisien pada waktu dan anggaran adalah usaha besar yang penuh dengan risiko. Memanfaatkan peluang yang sistem ERP yang ditawarkan tergantung pada efektif mengurangi risiko yang dapat menyebabkan inisiatif untuk gagal.

- Electronic Data Interchange (EDI) - EDI melibatkan komputer-ke-komputer pertukaran dokumen bisnis secara elektronik dari beetwen organisasi dan mitra dagangnya. Organisasi manfaat berharap untuk memperoleh hasil dari pelaksanaan EDI meliputi efisiensi proses transaksi dan kesalahan pengolahan data yang lebih sedikit. Selain itu, kemajuan terbaru dalam teknologi e-bisnis telah memungkinkan EDI Internet, yang kurang efektif dan efisien melaksanakan EDI kecuali mitra dagangnya juga efektif menerapkan EDI. Selain itu, melakukan bisnis melalui Internet tidak bebas risiko. Sepenuhnya memanfaatkan peluang EDI memiliki tawaran tergantung pada mitigasi risiko yang terkait dengan e- bisnis.

Risiko IT

Setiap komponen kunci dari sistem informasi dijelaskan sebelumnya dalam bab ini merupakan sumber potensial risiko. Sebagai contoh:

- Hardware komputer rentan terhadap pemadaman listrik yang mengganggu proses transaksi.

- Jaringan mengirimkan informasi yang dapat disadap dan dicuri atau disalahgunakan.

- Perangkat lunak komputer yang tidak akurat diprogram dapat menghasilkan informasi yang tidak valid, tidak lengkap, dan / atau tidak akurat.

- Database dapat menyusup untuk tujuan menggelapkan atau menyalahgunakan informasi.

- Informasi yang tidak valid, lengkap, dan / atau tidak akurat dapat menyebabkan keputusan yang buruk.

- Seseorang dapat melakukan tugas IT yang tidak kompatibel dan dengan demikian berada dalam posisi untuk memperbuat dan menyembunyikan kesalahan dan penipuan.

Penggunaan TI dalam sistem informasi membuka pintu untuk risiko TI. Spesifik risiko TI yang organisasi tertentu menghadapi akan tergantung pada sifat dari bisnis organisasi dan operasi, industri di mana organisasi beroperasi, konfigurasi sistem informasi organisasi, dan beberapa faktor internal dan eksternal lainnya.

Ada beberapa jenis risiko TI yang cenderung umum di organisasi dan industri:

- Seleksi Risiko - Pemilihan solusi TI sejajar dengan tujuan strategis dapat menghalangi pelaksanaan strategi tergantung TI. Misalnya, pengambil keputusan tidak memenuhi syarat dan informasi yang tidak memadai.

- Pengembangan / Akuisisi dan Deployment Risiko - Masalah yang dihadapi sebagai solusi IT yang sedang dikembangkan / diperoleh dan digunakan dapat menyebabkan penundaan tak terduga, kelebihan biaya, atau bahkan meninggalkan proyek. Misalnya, dukungan vendor yang tidak memadai dan resistensi terhadap perubahan.

- Ketersediaan Risiko - Tidak tersedianya sistem bila diperlukan dapat menyebabkan keterlambatan dalam pengambilan keputusan, interupsi bisnis, kehilangan pendapatan, dan ketidakpuasan pelanggan.

- Hadrware / Software Risiko - Kegagalan hardware / software untuk melakukan dengan benar dapat menyebabkan gangguan usaha, kerusakan sementara atau permanen atau kerusakan data, dan perangkat keras / lunak perbaikan atau penggantian biaya.

- Risiko Access - akses fisik atau logis tidak sah ke sistem dapat mengakibatkan pencurian atau penyalahgunaan hardware, modifikasi perangkat lunak berbahaya, dan pencurian, penyalahgunaan, atau kerusakan data.

- Sistem Keandalan dan Risiko Informasi Integritas - kesalahan sistematis dan inkonsistensi dalam pengolahan dapat menghasilkan relevan, lengkap, akurat, dan / atau informasi sebelum waktunya.

- Kerahasiaan dan Privasi Risiko - pengungkapan yang tidak sah dari mitra bisnis proprietary atau informasi pribadi individu dapat mengakibatkan hilangnya bisnis, tuntutan hukum, pers negatif, dan penurunan reputasi.

- Penipuan dan berbahaya Kisah Risiko - Pencurian sumber daya TI, penyalahgunaan yang disengaja dari sumber daya TI, atau distorsi disengaja atau penghancuran informasi dapat mengakibatkan kerugian keuangan dan / atau informasi salah saji yang pengambil keputusan bergantung pada.

2.3 TATA KELOLA TEKNOLOGI INFORMASI

IT Governance Institute (ITGI), yang didirikan pada tahun 1998 wa, menyatakan bahwa IT Governance adalah tanggung jawab dewan direksi dan manajemen eksekutif. Ini adalah bagian integral dari pemerintahan perusahaan dan terdiri dari kepemimpinan dan organisasi struktur dan proses yang memastikan bahwa organisasi ini IT menopang dan memperluas strategi dan tujuan organisasi.

Definisi IIA dari IT Governance adalah terdiri dari kepemimpinan, struktur organisasi, dan proses yang memastikan bahwa teknologi informasi perusahaan itu menopang dan mendukung strategi dan tujuan organisasi.

The ITGI secara khusus menyatakan bahwa "Tujuan dari tata kelola TI adalah untuk mengarahkan berupaya IT, untuk memastikan bahwa TI kinerja Anda memenuhi tujuan-tujuan berikut:

- Penyelarasan IT dengan perusahaan dan realisasi manfaat yang dijanjikan

- Gunakan

TI

untuk

memungkinkan

memaksimalkan manfaat

perusahaan

dengan

memanfaatkan

peluang

- Penanggungjawab penggunaan sumber daya TI

dan

- Risiko manajemen yang tepat yang berkaitan dengan IT ".

2.4 MANAJEMEN RISIKO TEKNOLOGI INFORMASI

Masing-masing dari COSO Enterprise Risk Management - komponen Kerangka Terpadu relevan dengan IT manajemen risiko. Sebagai contoh:

- Lingkungan internal - Dewan dan manajemen senior yang bertanggung jawab untuk memimpin dan mengawasi proses tata kelola TI organisasi. Mereka juga bertanggung jawab untuk menetapkan risk appetite TI organisasi dan mendefinisikan IT risiko ambang batas toleransi.

- Pengaturan Tujuan - Proses tata kelola TI dimulai dengan definisi tujuan IT, yang didirikan arah kegiatan TI.

- Event Identifikasi - peristiwa Potensi yang timbul di dalam atau di luar organisasi yang dapat mempengaruhi pelaksanaan strategi organisasi dan pencapaian tujuan yang harus diidentifikasi.

- Penilaian Risiko - Diidentifikasi kejadian risiko harus dinilai dalam hal dampak yang melekat mereka dan kemungkinan. Dampak residu dan kemungkinan kejadian risiko TI yang diidentifikasi juga harus dinilai.

- Respon Risiko - risiko tanggapan yang tepat harus diformulasikan untuk kejadian risiko TI diidentifikasi.

2.5 KONTROL TI

Kontrol didefinisikan dalam bab 1. "pengantar audit internal". Sebagai proses tertanam dalam manajemen risiko dan dilakukan oleh manajemen untuk mengurangi risiko ke tingkat yang dapat diterima. Bab 6 "pengendalian internal", menyediakan cakupan mendalam dari pengendalian internal dan memperkenalkan konsep memberikan di -depth cakupan pengendalian internal dan memperkenalkan konsep dari kontrol TI. Kontrol IT umumnya diklasifikasikan sebagai kontrol umum atau aplikasi. Kontrol IT umumnya diklasifikasikan sebagai kontrol umum atau aplikasi seperti yang dijelaskan dalam pasal 6:

• kontrol Umum (huruf miring ditambahkan)

proses, dan data untuk sebuah organisasi atau sistem lingkungan tertentu

berlaku untuk semua system Komponen,

• Pengendalian aplikasi (huruf miring ditambahkan) berkaitan dengan ruang lingkup proses

bisnis

individu atau sistem aplikasi

2.6 KONTROL TATA KELOLA TI

Seperti dibahas sebelumnya dalam bab ini, tata kelola TI adalah komponen integral dari pemerintahan secara keseluruhan. Demikian juga, IT mengontrol di tingkat pemerintahan yang bagian penting dari sistem secara keseluruhan organisasi pengendalian internal. Kontrol IT di tingkat pemerintahan jatuh di bawah yurisdiksi dewan dan manajemen senior. Papan tanggung jawab, bagaimanapun, adalah mengawasi sistem organisasi pengendalian internal, bukan untuk mengeksekusi kontrol. Ini adalah tugas manajemen senior untuk melakukan proses kontrol pada sehari-hari.

2.7 KONTROL MANAJEMEN TI

Manajemen bertanggung jawab untuk memastikan bahwa kontrol IT dirancang secara memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan organisasi, risiko yang mengancam pencapaian tujuan thos, dan proses bisnis organisasi dan sumber daya.

IT standar kebijakan dukungan TI dengan lebih spesifik mendefinisikan apa yang diperlukan untuk mencapai tujuan organisasi. Standar-standar ini harus mencakup, misalnya:

• Proses untuk merancang, mengembangkan, menguji, mengimplementasikan dan memelihara sistem informasi dan perangkat lunak

• Konfigurasi dari organisasi operasi, jaringan, dan sistem manajemen database.

• Kontrol aplikasi diimplementasikan di seluruh organisasi, termasuk definisi data yang konsisten dan dokumentasi yang sesuai.

Organisasi TI dan manajemen kontrol memberikan jaminan bahwa organisasi terstruktur dengan garis yang jelas dari pelaporan dan tanggung jawab dan telah menerapkan proses kontrol yang efektif. Tiga aspek penting dari kontrol ini adalah pemisahan tugas, pengendalian keuangan, dan kontrol manajemen perubahan:

• pemisahan yang tepat dari tugas TI memberikan jaminan bahwa tidak ada individu dapat

menggunakan IT untuk kedua memperbuat dan menyembunyikan kesalahan atau kecurangan. Memulai, otorisasi, penginputan, pengolahan dan cheking data harus dipisahkan sejauh

mungkin.

• IT kontrol keuangan melindungi terhadap pembengkakan biaya dalam mengembangkan dan melaksanakan sistem informasi.

• kontrol Perubahan manajemen memberikan jaminan bahwa perubahan ke environtment IT, sistem, perangkat lunak, dan data telah diotorisasi dan tepat.

IT kontrol fisik dan lingkungan melindungi sumber daya sistem informasi (hardware, software, dokumentasi, dan informasi) dari kecelakaan atau kerusakan internasional, penyalahgunaan, atau kerugian. Kontrol tersebut meliputi, misalnya:

• Menempatkan sumber nyata IT di kamar terkunci dengan akses terbatas

• Instalasi deteksi kebakaran yang sesuai dan peralatan penindasan

• Menemukan fasilitas IT jauh dari bahaya lingkungan seperti dataran banjir atau bahan yang mudah terbakar.

• Mengembangkan dan menguji rencana organisasi pemulihan bencana

2.8 KONTROL TEKNIS TI

Fasilitas software sistem penggunaan sistem Hardwar dan termasuk, misalnya, sistem operasi,

sistem jaringan, sistem manajemen database, firewall, dan perangkat lunak antivirus. Software sistem

kontrol membatasi akses logis untuk sistem organisasi dan aplikasi, memantau penggunaan sistem,

dan menghasilkan jejak audit. Kontrol perangkat lunak sistem meliputi, misalnya:

- Menetapkan dan mengendalikan sistem hak akses sesuai dengan kebijakan organisasi

- Melaksanakan kontrol konfigurasi online yang menegakkan tepat dalam perangkat lunak dalam perangkat lunak

- Menilai dan pengujian intrusi kerentanan.

- Mencegah dan mendeteksi gangguan yang tidak sah

- Mempekerjakan Prosedur dasar manajemen perubahan yang ketat dan sistematis

Pengembangan sistem dan akuisisi kontrol meliputi, misalnya:

- Mendokumentasikan kebutuhan pengguna dan mengukur pencapaian persyaratan.

- Setelah proses desain sistem formal untuk memastikan kebutuhan pengguna terpenuhi dan kontrol yang tertanam sesuai dalam perangkat lunak

- Pengujian sistem dan melibatkan pengguna dalam proses pengujian untuk memastikan bahwa unsur-unsur tertentu dan interface dari sistem bekerja dengan baik dan memberikan dimaksudkan fungsional.

- Memvalidasi perubahan aplikasi dan menguji perubahan sebelum pelaksanaan

Kontrol aplikasi berbasis dilaksanakan untuk memastikan bahwa:

- Data masukan ke dalam aplikasi yang valid, complet, dan akurat

- Input data diproses sebagaimana dimaksud

- Data tersimpan secara lengkap dan akurat

- Output lengkap dan akurat

- Gerakan data melalui sistem dicatat

Kontrol aplikasi berbasis meliputi, misalnya

kontrol Masukan dirancang untuk memeriksa integritas data yang dimasukkan ke aplikasi

kontrol Pengolahan dirancang untuk memastikan proses yang berlaku, lengkap, dan akurat

kontrol output dirancang untuk menguji validitas, kelengkapan, dan akurasi output aplikasi dan untuk memastikan bahwa output pergi ke penerima yang dituju

Sebagai jejak audit yang memungkinkan manajemen untuk melacak transaksi forward dari awal proses ke awal

2.9 KONTROL KEMANAN INFORMASI

Kontrol keamanan informasi tidak secara eksplisit disajikan dalam pameran 7-4 karena "keamanan informasi merupakan bagian integral dari semua kontrol IT". Kontrol keamanan informasi melindungi sistem informasi dari akses fisik dan logis yang tidak sah.

2.10 IMPLIKASI TI UNTUK INTERNAL AUDITOR

Bagian sebelumnya dari bab ini menjelaskan bagaimana TI telah mempengaruhi organisasi. TI telah mengubah cara di mana organisasi merumuskan strategi, melakukan operasi sehari- hari, dan membuat keputusan. Perubahan ini telah menghasilkan risiko baru dan memaksa organisasi untuk memodifikasi tata kelola, manajemen risiko dan pengendalian proses mereka. Dampak meresap TI pada organisasi pada gilirannya memaksa auditor internal untuk meningkatkan pengetahuan dan keterampilan TI mereka dan menyesuaikan bagaimana mereka melakukan pekerjaan mereka.

IT Proviciency dan perawatan profesional karena Dua standar pelaksanaan atribut khusus menangani kemampuan IT auditor internal harus memiliki dan pertimbangan mereka harus memberikan menggunakan teknik audit berbasis teknologi:

1210.A3 - Auditor internal harus memiliki pengetahuan yang cukup tentang risiko utama teknologi informasi dan kontrol dan audit berbasis teknologi yang tersedia, teknik untuk melakukan pekerjaan mereka ditugaskan. Namun, tidak semua auditor internal diharapkan memiliki keahlian internal auditor yang, tanggung jawab utama adalah teknologi informasi audit.

1220.A2

- Dalam

melaksanakan

karena

auditor

internal

mempertimbangkan penggunaan teknologi

audit berbasis dan teknik analisis data lain

Jaminan Engagement IT Tanggung Jawab

perawatan

profesional

harus

Tiga standar pelaksanaan kinerja secara khusus menangani auditor internal jaminan keterlibatan tanggung jawab mengenai sistem informasi dan teknologi:

2110.A2 - Aktivitas audit internal harus menilai apakah governanve teknologi informasi, organisasi menopang dan mendukung strategi dan tujuan organisasi

2120.A1 - Aktivitas audit internal harus mengevaluasi eksposur risiko yang berkaitan dengan

organisasi

sistem informasi

2130.A1 - Aktivitas audit internal harus mengevaluasi kecukupan dan efektivitas

pengendalian dalam merespon risiko dalam organisasi

sistem informasi

Outsourcing

Proses bisnis outsourcing diperkenalkan dalam bab 5, "proses bisnis dan risiko," sebagai tindakan mentransfer beberapa proses organisasi bisnis untuk penyedia luar untuk mencapai cos pengurangan sementara meningkatkan kualitas pelayanan dan efisiensi. Hal ini untuk alasan ini bahwa organisasi semakin Outsourcing fungsi TI untuk vendor yang mengkhususkan diri dalam memberikan layanan TI.

Terintegrasi dan berkesinambungan Audit

Audit internal secara historis telah dilakukan secara retrospektif, misalnya setelah transaksi terjadi. Ini pendekatan audit setelah-fakta cepat menjadi usang seperti kemajuan teknologi menimbulkan IT-enabled proses bisnis di mana online, pemrosesan real-time dari transaksi umum.

Audit kontinu. Audit terus menerus didefinisikan dalam GTAG 3 - berkelanjutan Audit:

implikasi untuk jaminan, pemantauan, dan penilaian risiko sebagai "metode apapun yang digunakan oleh auditor internal untuk melakukan kegiatan yang berhubungan audir secara lebih kontinu atau terus-menerus, seperti yang dijelaskan dalam GTAG 3, audit kontinu terdiri dua kegiatan utama:

penilaian

kontrol

berkelanjutan,

tujuan

yang

kekurangan kontrol sedini mungkin, dan

"untuk

memusatkan

perhatian

audit

penilaian risiko berkelanjutan, tujuan yang adalah untuk menyoroti proses atau sistem yang mengalami lebih tinggi dari tingkat yang diharapkan dari risiko

2.11 SUMBER PEDOMAN AUDIT TI

Lembaga auditor internal (IIA) memiliki tubuh yang tumbuh dari bimbingan audit TI. Dua komponen kunci dari panduan ini. Dua komponen utama dari pedoman ini adalah panduan praktek termasuk dalam IIA Internationaal Praktek Profesional Kerangka:

• Global Technology Audit Guide (GTAG) seri

• Panduan untuk penilaian risiko TI (GAIT) seri

3.1 SIMPULAN

BAB III

PENUTUP

Dampak meresap TI pada strategi organisasi, sistem informasi, dan proses telah mempengaruhi profesi audit internal dan bab ini dibahas konsep IT mendasar bahwa setiap internal auditor perlu memahami:

• Enam komponen kunci dari sistem informasi modern - perangkat keras komputer, jaringan, perangkat lunak komputer, database, informasi, dan orang-orang - yang dijelaskan dan diilustrasikan.

• Peluang diaktifkan oleh IT dan risiko yang timbul sebagai akibat dari TI dibahas. Peluang-

enabled IT mencakup hal-hal seperti penjualan online, integrasi proses bisnis, dan pertukaran

informasi elektronik antara mitra dagang. Jenis risiko umum di organisasi dan industri termasuk:

- Risiko Seleksi

- Pengembangan / akuisisi dan risiko pengembangan

- Risiko Ketersediaan

- Hardware resiko / software

- Risiko Access

- Keandalan Sistem dan integritas informasi risiko

- Risiko Kerahasiaan dan privasi

- Penipuan dan tindakan berbahaya risiko

• tata kelola TI diidentifikasi sebagai subkomponen penting everall pemerintahan; Manajemen risiko TI dijelaskan dalam kontes komponen COSO ERM; dan ia mengendalikan disajikan sebagai hirarki top-down dari tata kelola TI, manajemen, dan kontrol teknis.

• Implikasi IT untuk auditor internal itu ditujukan. Fungsi audit internal yang perlu untuk

memahami sistem informasi organisasi mereka dan risiko TI yang mengancam theachievement tujuan organisasi bisnis mereka. Mereka juga harus mahir dalam menilai organisasi mereka kelola TI, manajemen risiko, dan proses kontrol dan dapat secara efektif menerapkan teknik audit berbasis teknologi

• Sumber pedoman audit TI diidentifikasi. Dua komponen kunci dari pertumbuhan tubuh IIA

bimbingan audit TI adalah seri GTAG dan seri GAIT. Bimbingan lain yang tersedia melalui IIA mencakup berbagai sumber yang dapat dibeli melalui IIA mencakup berbagai sumber yang dapat dibeli melalui IIA yayasan penelitian toko buku atau di-download dari bagian audit TI auditor internal secara online

Singkatnya, TI telah berubah secara signifikan kompetensi auditor internal harus memiliki dan bagaimana mereka melakukan pekerjaan mereka. Kapasitas fungsi audit internal untuk menyediakan layanan nilai tambah jaminan dan konsultasi di sangat tergantung pada pengalaman TI.

DAFTAR PUSTAKA

F. Reding, Kurt, et al. 2009. Internal Auditing: Assurance & Consulting Services. Florida (USA). The Institute of Internal Auditors Research Foundation.