AUDIT INTERNAL
MODUL 8: INFORMATION TECHNOLOGY
RISKS AND CONTROLS
Pada bab ini akan dijelaskan mengenai Risiko dan Kontrol dari IT, meliputi:
RELEVANSI
CAPAIAN PEMBELAJARAN
Setelah menempuh mata kuliah ini mahasiswa semester 6 akan mampu menjelaskan
mengenai Internal Control dengan baik.
1
2
KEY COMPONENT OF MODERN SYSTEM INFORMATION
Sistem informasi modern setiap organisasi sangat bervariasi dan sangat dibutuhkan di
dunia bisnis saat ini. Komponen kunci sistem informasi yang perlu dipahami oleh auditor
internal meliputi:
1. Computer Hardware, terdiri dari komponen fisik dari sistem informasi (Ex: CPU,
Server, terminal, keyboard);
2. Network, jaringan komputer menghubungkan dua atau lebih komputer sehingga
mereka dapat berbagi informasi (Ex: LAN, WAN, intranet);
3. Software, perangkat Lunak Komputer, termasuk perangkat lunak sistem operasi,
perangkat lunak utilitas, perangkat lunak DBMS, aplikasi perangkat lunak, dan
perangkat lunak firewall;
4. Database, adalah gudang besar data, terdapat banyak file terkait dan disimpan, data
dapat dengan mudah diakses, diambil, dan dimanipulasi;
5. Information, mengubah data menjadi informasi yang berguna untuk pengambilan
keputusan;
6. People, termasuk: Chief Information Officer (CIO), database administrator,
pengembang sistem, personil pengolahan data, dan pengguna akhir.
3
Database Server
Web Web
Server Server
Desktop Computer
Local Area
Network
(LAN)
Application Server
Laptop Computer
Mainframe Computer
Printer
Gambar 1
Information System sederhana
4
INFORMATION TECHNOLOGY (IT) OPPORTUNITIES AND RISKS
Peluang dan risiko yang timbul dalam suatu organisasi karena IT mewakili porsi yang
signifikan dari peluang dan risiko organisasi sehingga perlu dipahami dan dikelola secara
efektif.
Opportunities Enabled by IT
IT Risks
5
Penggunaan IT dalam sistem informasi membuka pintu untuk risiko IT. Spesifik
risiko IT yang biasanya dihadapi oleh organisasi tertentu tergantung pada sifat dari
bisnis organisasi dan operasi, industri di mana organisasi beroperasi, konfigurasi sistem
informasi organisasi, dan beberapa faktor internal dan eksternal lainnya. Selain itu,
risiko perubahan IT sebagai akibat dari perubahan lingkungan baik internal dan
eksternal organisasi dalam bisnis saat ini berubah lebih cepat. Oleh karena itu,
organisasi harus senantiasa mengikuti perkembangan kemajuan IT dan terus
mempertimbangkan dampak risiko kemajuan tersebut.
Beberapa tipe risiko yang cenderung terjadi pada organisasi dan industri yaitu:
1. Selection Risk
Pemilihan IT yang salah sehingga IT yang digunakan tidak selaras dengan tujuan
dan strategi organisasi yang dapat menghambar dalam pelaksanan aktivitas
organisasi dalam pencapaian tujuannya.
2. Development/ Acquisition and Deployment Risk
Masalah yang dapat ditemui dalam melakukan pengembangan IT adalah
terjadinya penundaan kegiatan, biaya yang keluar terlalu besar dibandingkan
dengan manfaatnya, dan ada beberapa pekerjaan yang tertunda atau bahkan tidak
selesai.
3. Availibility Risk
Ketidaktersediaannya sistem IT pada saat dibutuhkan dapat menyebabkan
keterlambatan dalam membuat suatu keputusan, terganggunya bisnis, hilangnya
pendapatan, dan timbulnya ketidakpuasan pelangan.
4. Hardware/ Software Risk
Kesalahan hardware/ software juga dapat mengganggu operasional bisnis, data
rusak baik permanen atau temporer, biaya tinggi untuk perbaikan atau
penggantian.
5. Access Risk
Akses yang tidak sah dalam sebuah sistem dapat menyebabkan penyalahgunaan
atau pencurian hardware, masuknya malicious software (malware/ software
perusak), data dicuri, disalahgunakan, atau rusak.
6
6. System Reliability and Information Integrity Risk
Kerusakan atau inkosistensi sistem dalam pengolahan data dapat menghasilkan
informasi yang buruk (tidak relevan, tidak akurat, dan tidak tepat waktu).
7. Confidentiality and Privacy Risk
Pengungkapan informasi secara tidak sah mengenai rekan bisnis atau seseorang
dapat menyebabkan kerugian bisnis, tuntutan hukum, berita negatif, turunnya
reputasi.
8. Fraud and Malicious Acts Risk
Pencurian sumber daya IT, penyalahgunaan seumber daya IT yang disengaja, atau
perusakan informasi yang disengaja dapat mengakibatkan kerugian financial atau
kesalahan salah saji atas informasi yang disediakan untuk para pembuat
keputusan.
IT GOVERNANCE
7
Provide
Direction
Set Objective
IT Activities
IT is aligned with the
Increase automation (make
business
the business cost-effective)
IT enables the business and Compare Decrease cost (make the
maximizes benefits
enterprise efficient)
IT resources are used
Manage risks (security,
responsibly
reliability, and compliance)
IT related risks are managed
appropriately
Measure
Performance
Gambar 2
IT Govarnance Framework
IT RISK MANAGEMENT
8
3. Event Identification Risiko-risiko yang timbul dari IT harus dapat diidentifikasi
4. Risk Assessment Setelah diidentifikasi, risiko-risiko IT harus diukur atau dinilai
kemungkinan terjadinya (likelihood) dan dampaknya jika risiko tersebut terjadi
(impact)
5. Risk Response Proses ini dilakukan setelah melakukan risk assessment, apakah
akan dihindari? Atau dikurangi? Atau dibagi? Atau diterima?
6. Control Activities Sebagai tindakan pengendalian, risk response harus dibuatkan
prosedur yang sah agar operasional IT berjalan memadai dan efektif
7. Information and Communication Risiko-risiko IT yang ada dalam organisasi
harus diinformasikan kepada pihak yang berwenang untuk membantu dalam membuat
keputusan
8. Monitoring Memantau secara berkala apakah proses IT beroperasi secara efektif
dan efisien?
IT CONTROLS
1. General Controls, berlaku untuk semua komponen sistem, proses, dan data untuk
sebuah organisasi atau sistem lingkungan tertentu.
2. Application Control, berkaitan dengan ruang lingkup proses bisnis individu atau sistem
aplikasi.
9
Policies Governance
Standards
Physical and
Environment Controls
Gambar 3
IT Control Framework
Penjelasan Gambar:
1. IT Governance Controls
IT Governance Controls terdiri dari kebijakan (policies) IT. Kebijakan ini
menetapkan kontrol yang harus ada, misalnya
Keamanan dan privasi IT;
Klasifikasi informasi dan hak atas akses informasi dan pembatasan penggunaan;
Siapa yang harus bertanggung jawab atas sistem organisasi dan data dan siapa
yang berwenang untuk membuat, memodifikasi, atau menghapus informasi;
Sejauh mana pengguna akhir sistem informasi memiliki kewenangan untuk
mengembangkan aplikasi TI mereka sendiri;
Kebijakan personil yang berkaitan dengan pemeriksaan personil baru IT dan
kontrol karyawan IT, keamanan, dan tanggung jawab kerahasiaan;
Perencanaan kelangsungan bisnis.
10
2. IT Management Controls
Manajemen bertanggung jawab untuk memastikan bahwa kontrol IT dirancang
secara memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan
organisasi, risiko yang mengancam dan menghambat dalam pencapaian tujuan, proses
bisnis organisasi dan sumber daya organisasi.
IT Management Controls, memiliki tingkat standar terdiri dari:
a. IT Standards, mendukung kebijakan IT lebih spesifik dalam mendefinisikan apa
yang diperlukan untuk mencapai tujuan organisasi;
b. IT Organization and Management Controls, memberikan jaminan bahwa
organisasi ini disusun dengan garis yang jelas dari pelaporan dan tanggung jawab
dan telah menerapkan proses kontrol yang efektif. Ada 3 aspek penting: (1)
Pemisahan tugas IT yang tepat; (2) Kontrol IT keuangan; (3) Kontrol perubahan
manajemen (IT Environment, system, software, dan data).
c. IT Physical and Environmental Controls, melindungi sumber daya sistem
informasi (hardware, software, documentation, dan information) dari disengaja
atau kerusakan, penyalahgunaan, atau kerugian.
3. IT Technical Controls
11
b. System Development Controls, meliputi:
Mendokumentasikan kebutuhan pengguna dan mengukur pencapaian
kebutuhan tersebut;
Membuat desain proses sistem secara formal untuk memastikan kebutuhan
pengguna terpenuhi dan kontrol yang ada sesuai dalam software-nya;
Pengujian sistem dan melibatkan pengguna dalam proses pengujian untuk
memastikan bahwa unsur-unsur tertentu dan implementasi dari kerja sisten
berjalan dengan baik dan fungsionalitasnya;
Memvalidasi perubahan aplikasi dan menguji perubahan sebelum
implementasi.
12
IMPLICATION OF IT FOR INTERNAL AUDITORS
13
Untuk pemenuhan tanggung jawab terkait IT, fungsi audit internal harus
melakukan:
3. IT Outsourcing
Merupakan proses mentransfer fungsi IT kepada penyedia luar untuk mencapai
pengurangan biaya sekaligus meningkatkan kualitas pelayanan dan efisiensi.
14
2. The Guide To The Assessment of IT Risk (GAIT) Series, menggambarkan hubungan
antara risiko pelaporan keuangan, kontrol proses kunci, kontrol otomatis dan fungsi TI
penting lainnya, serta kontrol kunci IT umum.
REFERENSI
Reding, et., al. 2009. Internal Auditing: Assurance & Consulting Services. The Institute of
Internal Auditors Research Foundation (IIARF): Second Edition. Florida.
15