2016

AUDIT INTERNAL
MODUL 8: INFORMATION TECHNOLOGY
RISKS AND CONTROLS

Bunga Indah Bayunitri, S.E., M.M., Ak., C.A.

Universitas Widyatama
1
DESKRIPSI SINGKAT

Pada bab ini akan dijelaskan mengenai Risiko dan Kontrol dari IT, meliputi:

1. Komponen kunci dari sistem informasi,

2. Peluang dan risiko penggunaan IT,
3. IT Governance,
4. IT Risk Management,
5. IT Controls,
6. Implikasi IT bagi auditor internal,
7. Audit berbasis IT.

RELEVANSI

Sebelum mengikuti perkuliahan ini, mahasiswa diharapkan telah mengetahui mengenai

Information Technology secara umum.

CAPAIAN PEMBELAJARAN

Setelah menempuh mata kuliah ini mahasiswa semester 6 akan mampu menjelaskan
mengenai Internal Control dengan baik.

STANDAR KOMPETENSI/ TUJUAN PEMBELAJARAN

Setelah mengikuti perkuliahan ini diharapkan mahasiswa mampu:

1. Mengidentifikasikan komponen utama Modern Information Systems

2. Mengidentifikasikan IT Opportunities and Risks
3. Menjelaskan IT Governance, IT Risk Management, dan IT Controls
4. Mengembangkan definisi IT Risks and Controls serta menyesuaikan dengan peran Audit
Internal.

1
2
KEY COMPONENT OF MODERN SYSTEM INFORMATION

Sistem informasi modern setiap organisasi sangat bervariasi dan sangat dibutuhkan di
dunia bisnis saat ini. Komponen kunci sistem informasi yang perlu dipahami oleh auditor
internal meliputi:

1. Computer Hardware, terdiri dari komponen fisik dari sistem informasi (Ex: CPU,
Server, terminal, keyboard);
2. Network, jaringan komputer menghubungkan dua atau lebih komputer sehingga
mereka dapat berbagi informasi (Ex: LAN, WAN, intranet);
3. Software, perangkat Lunak Komputer, termasuk perangkat lunak sistem operasi,
perangkat lunak utilitas, perangkat lunak DBMS, aplikasi perangkat lunak, dan
perangkat lunak firewall;
4. Database, adalah gudang besar data, terdapat banyak file terkait dan disimpan, data
dapat dengan mudah diakses, diambil, dan dimanipulasi;
5. Information, mengubah data menjadi informasi yang berguna untuk pengambilan
keputusan;
6. People, termasuk: Chief Information Officer (CIO), database administrator,
pengembang sistem, personil pengolahan data, dan pengguna akhir.

3
 Database Server

Laptop Computer Desktop Computer

ww

Web Web
Server Server

Desktop Computer

Local Area
Network
(LAN)

Internet Firewall Firewall

Application Server

Laptop Computer
Mainframe Computer
Printer

Gambar 1
Information System sederhana

4
INFORMATION TECHNOLOGY (IT) OPPORTUNITIES AND RISKS

Peluang dan risiko yang timbul dalam suatu organisasi karena IT mewakili porsi yang
signifikan dari peluang dan risiko organisasi sehingga perlu dipahami dan dikelola secara
efektif.

Opportunities Enabled by IT

Peluang dengan adanya kemajuan IT yaitu munculnya sistem Enterprise

Resource Planning (ERP) systems dan Electronic Data Interchange (EDI) yaitu:

1. ERP System merupakan sistem perangkat lunak modular yang memungkinkan

organisasi untuk mengintegrasikan proses bisnis dengan menggunakan database
operasi tunggal.
2. EDI merupakan pertukaran dokumen bisnis dari komputer ke komputer dalam
bentuk elektronik antara organisasi dan mitra dagangnya.

IT Risks

Masing-masing komponen kunci dari sistem informasi digambarkan sebelumnya

merupakan potensi sumber risiko, misalnya:

a. Kualitas perangkat keras komputer kurang baik sehingga dapat mengganggu

proses transaksi;
b. Jaringan yang mengirimkan informasi dapat disadap dan dicuri atau
disalahgunakan;
c. Perangkat lunak komputer yang diprogram tidak lengkap dapat menghasilkan
informasi yang tidak valid, tidak lengkap, dan tidak akurat;
d. Database dapat disusupi dengan tujuan menyalahgunakan informasi;
e. Informasi yang tidak valid, lengkap, akurat atau dapat mengakibatkan pembuatan
keputusan yang buruk atau salah mengambil keputusan;
f. Seseorang yang kurang kompeten dan tidak kompatibel dalam melakukan tugas
IT dapat mengakibatkan errors dan fraud.

5
 Penggunaan IT dalam sistem informasi membuka pintu untuk risiko IT. Spesifik
risiko IT yang biasanya dihadapi oleh organisasi tertentu tergantung pada sifat dari
bisnis organisasi dan operasi, industri di mana organisasi beroperasi, konfigurasi sistem
informasi organisasi, dan beberapa faktor internal dan eksternal lainnya. Selain itu,
risiko perubahan IT sebagai akibat dari perubahan lingkungan baik internal dan
eksternal organisasi dalam bisnis saat ini berubah lebih cepat. Oleh karena itu,
organisasi harus senantiasa mengikuti perkembangan kemajuan IT dan terus
mempertimbangkan dampak risiko kemajuan tersebut.

Beberapa tipe risiko yang cenderung terjadi pada organisasi dan industri yaitu:

1. Selection Risk
Pemilihan IT yang salah sehingga IT yang digunakan tidak selaras dengan tujuan
dan strategi organisasi yang dapat menghambar dalam pelaksanan aktivitas
organisasi dalam pencapaian tujuannya.
2. Development/ Acquisition and Deployment Risk
Masalah yang dapat ditemui dalam melakukan pengembangan IT adalah
terjadinya penundaan kegiatan, biaya yang keluar terlalu besar dibandingkan
dengan manfaatnya, dan ada beberapa pekerjaan yang tertunda atau bahkan tidak
selesai.
3. Availibility Risk
Ketidaktersediaannya sistem IT pada saat dibutuhkan dapat menyebabkan
keterlambatan dalam membuat suatu keputusan, terganggunya bisnis, hilangnya
pendapatan, dan timbulnya ketidakpuasan pelangan.
4. Hardware/ Software Risk
Kesalahan hardware/ software juga dapat mengganggu operasional bisnis, data
rusak baik permanen atau temporer, biaya tinggi untuk perbaikan atau
penggantian.
5. Access Risk
Akses yang tidak sah dalam sebuah sistem dapat menyebabkan penyalahgunaan
atau pencurian hardware, masuknya malicious software (malware/ software
perusak), data dicuri, disalahgunakan, atau rusak.

6
 6. System Reliability and Information Integrity Risk
Kerusakan atau inkosistensi sistem dalam pengolahan data dapat menghasilkan
informasi yang buruk (tidak relevan, tidak akurat, dan tidak tepat waktu).
7. Confidentiality and Privacy Risk
Pengungkapan informasi secara tidak sah mengenai rekan bisnis atau seseorang
dapat menyebabkan kerugian bisnis, tuntutan hukum, berita negatif, turunnya
reputasi.
8. Fraud and Malicious Acts Risk
Pencurian sumber daya IT, penyalahgunaan seumber daya IT yang disengaja, atau
perusakan informasi yang disengaja dapat mengakibatkan kerugian financial atau
kesalahan salah saji atas informasi yang disediakan untuk para pembuat
keputusan.

IT GOVERNANCE

IT Governance merupakan proses kepemimpinan, struktur, dan pengawasan yang

menjamin bahwa teknologi informasi (IT) organisasi mendukung tujuan dan strategi
organisasi yang berada pada tanggung jawab BOD.

Tujuan Tata Kelola IT

a. Menyelaraskan IT dengan perusahaan dan realisasi atas manfaat yang dijanjikan

b. Menggunakan IT untuk memungkinkan perusahaan dalam mengeksploitasi peluang dan
memaksimalkan manfaat
c. Mempertanggungjawabkan penggunaan sumber daya UT
d. Menyesuaikan manajemen risiko yang berhubungan dengan IT

7
 Provide
Direction
Set Objective
IT Activities
IT is aligned with the
Increase automation (make
business
the business cost-effective)
IT enables the business and Compare Decrease cost (make the
maximizes benefits
enterprise efficient)
IT resources are used
Manage risks (security,
responsibly
reliability, and compliance)
IT related risks are managed
appropriately
Measure
Performance

Gambar 2
IT Govarnance Framework

IT RISK MANAGEMENT

IT Risk Management merupakan proses yang dilakukan oleh manajemen untuk

memahami dan menangani risiko IT dan segala peluang yang dapat mempengaruhi
kemampuan organisasi untuk mencapai tujuan organisasi tersebut.

Kaitannya IT dengan 8 komponen ERM yaitu:

1. Internal Environment BOD mengarahkan dan mengawasi proses IT di dalam

organisasi
2. Objective Setting IT organisasi diarahkan untuk dapat mencapai tujuan-tujuan
organisasi

8
3. Event Identification Risiko-risiko yang timbul dari IT harus dapat diidentifikasi
4. Risk Assessment Setelah diidentifikasi, risiko-risiko IT harus diukur atau dinilai
kemungkinan terjadinya (likelihood) dan dampaknya jika risiko tersebut terjadi
(impact)
5. Risk Response Proses ini dilakukan setelah melakukan risk assessment, apakah
akan dihindari? Atau dikurangi? Atau dibagi? Atau diterima?
6. Control Activities Sebagai tindakan pengendalian, risk response harus dibuatkan
prosedur yang sah agar operasional IT berjalan memadai dan efektif
7. Information and Communication Risiko-risiko IT yang ada dalam organisasi
harus diinformasikan kepada pihak yang berwenang untuk membantu dalam membuat
keputusan
8. Monitoring Memantau secara berkala apakah proses IT beroperasi secara efektif
dan efisien?

IT CONTROLS

IT Control, biasanya diklasifikasikan sebagai:

1. General Controls, berlaku untuk semua komponen sistem, proses, dan data untuk
sebuah organisasi atau sistem lingkungan tertentu.
2. Application Control, berkaitan dengan ruang lingkup proses bisnis individu atau sistem
aplikasi.

9
 Policies Governance

Standards

Organization and Management

Management

Physical and
Environment Controls

Systems Software Controls

Technical

Application Based Controls

Gambar 3
IT Control Framework

Penjelasan Gambar:

1. IT Governance Controls
IT Governance Controls terdiri dari kebijakan (policies) IT. Kebijakan ini
menetapkan kontrol yang harus ada, misalnya
Keamanan dan privasi IT;
Klasifikasi informasi dan hak atas akses informasi dan pembatasan penggunaan;
Siapa yang harus bertanggung jawab atas sistem organisasi dan data dan siapa
yang berwenang untuk membuat, memodifikasi, atau menghapus informasi;
Sejauh mana pengguna akhir sistem informasi memiliki kewenangan untuk
mengembangkan aplikasi TI mereka sendiri;
Kebijakan personil yang berkaitan dengan pemeriksaan personil baru IT dan
kontrol karyawan IT, keamanan, dan tanggung jawab kerahasiaan;
Perencanaan kelangsungan bisnis.

10
2. IT Management Controls
Manajemen bertanggung jawab untuk memastikan bahwa kontrol IT dirancang
secara memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan
organisasi, risiko yang mengancam dan menghambat dalam pencapaian tujuan, proses
bisnis organisasi dan sumber daya organisasi.
IT Management Controls, memiliki tingkat standar terdiri dari:
a. IT Standards, mendukung kebijakan IT lebih spesifik dalam mendefinisikan apa
yang diperlukan untuk mencapai tujuan organisasi;
b. IT Organization and Management Controls, memberikan jaminan bahwa
organisasi ini disusun dengan garis yang jelas dari pelaporan dan tanggung jawab
dan telah menerapkan proses kontrol yang efektif. Ada 3 aspek penting: (1)
Pemisahan tugas IT yang tepat; (2) Kontrol IT keuangan; (3) Kontrol perubahan
manajemen (IT Environment, system, software, dan data).
c. IT Physical and Environmental Controls, melindungi sumber daya sistem
informasi (hardware, software, documentation, dan information) dari disengaja
atau kerusakan, penyalahgunaan, atau kerugian.

3. IT Technical Controls

Technical Controls membentuk fondasi yang menjamin keandalan hampir setiap

kontrol lainnya dalam organisasi. Kontrol ini khusus untuk teknologi yang digunakan
dalam infrastruktur IT organisasi.

IT Technical Controls, memiliki 3 spesifik kontrol:

a. System Software Controls, meliputi:

Menetapkan dan mengendalikan hak akses sistem sesuai dengan kebijakan
organisasi;
Menerapkan kontrol konfigurasi online yang menetapkan pemisahan tugas
yang tepat;
Menilai dan pengujian terhadap kerentanan kontrol;
Mencegah dan mendeteksi intrusi yang tidak sah;
Mengimplementasikan prosedur perubahan manajemen dengan ketat dan
sistematis.

11
 b. System Development Controls, meliputi:
Mendokumentasikan kebutuhan pengguna dan mengukur pencapaian
kebutuhan tersebut;
Membuat desain proses sistem secara formal untuk memastikan kebutuhan
pengguna terpenuhi dan kontrol yang ada sesuai dalam software-nya;
Pengujian sistem dan melibatkan pengguna dalam proses pengujian untuk
memastikan bahwa unsur-unsur tertentu dan implementasi dari kerja sisten
berjalan dengan baik dan fungsionalitasnya;
Memvalidasi perubahan aplikasi dan menguji perubahan sebelum
implementasi.

c. Application-Based Controls, meliputi:

Kontrol input yang dirancang untuk memeriksa integritas data yang
dimasukkan ke dalam aplikasi;
Kontrol proses yang dirancang untuk memastikan proses tersebut valid,
lengkap, dan akurat;
Kontrol output yang dirancang untuk menguji validitas, kelengkapan, dan
akurasi output aplikasi dan untuk memastikan bahwa output diterima oleh
penerima yang dituju;
Sebuah jejak audit yang memungkinkan manajemen untuk melacak
transaksi maju dari awal proses sampai akhir dan mundur dari akhir proses
ke awal

Information Security Control, merupakan bagian integral dari semua IT Controls,

untuk menjaga sistem informasi dari akses fisik dan logis yang tidak sah:
1. Physical Access Controls, memberikan keamanan atas sumber daya IT yang berwujud.
2. Logical Access Control, memberikan keamanan pada perangkat lunak (software) dan
informasi yang berada dalam sistem.

12
IMPLICATION OF IT FOR INTERNAL AUDITORS

Dampak penggunaan IT pada organisasi memaksa auditor internal untuk meningkatkan

pengetahuan dan keterampilan IT dan menyesuaikannya dengan bagaimana mereka
melakukan pekerjaannya.

1. IT Proficiency and Due Professional Care

Terdapat 2 Attribute Implementation Standards khusus untuk membahas
kemampuan IT dimana auditor internal harus memilikinya dan dalam memberikan
pertimbangan harus menggunakan teknik audit berbasis teknologi:
a. 1210.A3 Auditor internal harus memiliki kecukupan pengetahuan mengenai
risiko dan kontrol kunci dari IT dan dalam penugasannya harus menggunakan
teknik audit berbasis teknologi. Namun tidak semua auditor internal memiliki
kemampuan tersebut.
b. 1220.A2 Dalam menjaga profesionalisme seorang auditor internal harus
mempertimbangkan penggunaan basis teknologi dalam audit dan teknik analisis
data lainnya.

2. Assurance Engagement IT Responsibilities

Terdapat 3 Performance Implementation Standards khusus untuk tanggung jawab
penugasan assurance engagement bagi auditor internal terkait dengan sistem informasi
dan IT:
a. 2110.A2 Aktivitas audit internal menilai apakah IT governance dapat
menopang tujuan dan strategi organisasi?
b. 2120.A1 Aktivitas audit internal harus mengevaluasi kerugian risiko terkait
dengan IT organisasi
c. 2130.A3 Aktivitas audit internal harus mengevaluasi kontrol yang digunakan
untuk mengatasi risiko yang terkait IT apakah sudah memadai dan efektif atau
belum?

13
 Untuk pemenuhan tanggung jawab terkait IT, fungsi audit internal harus
melakukan:

a. Memasukkan sistem informasi organisasi dalam proses perencanaan audit

tahunan;
b. Mengidentifikasi dan menilai risiko IT organisasi;
c. Memastikan kecukupan ahli/ pakar bidang audit IT;
d. Menilai IT Governance, Management, dan Technical Controls
e. Menetapkan auditor yang ahli IT dengan tepat untuk setiap penugasan assurance
engagement;
f. Melakukan penugasan audit dengan menggunakan teknik berbasis teknologi.

3. IT Outsourcing
Merupakan proses mentransfer fungsi IT kepada penyedia luar untuk mencapai
pengurangan biaya sekaligus meningkatkan kualitas pelayanan dan efisiensi.

4. Integrated and Continous Auditing

Integrated Auditing, penilaian risiko dan kontrol IT menjadi satu dengan proses
assurance engagement untuk menilai pelaporan keuangan tingkat proses, operasi, dan/
atau kepatuhan risiko dan kontrol.
Continuous Auditing, merupakan implikasi dari proses assurance, monitoring,
dan penilaian risiko dengan menggunakan beberapa metode yang digunakan oleh
auditor internal dalam melakukan penugasan audit kegiatan sehari-hari dengan berbasis
keberlanjutan.

SOURCES OF IT AUDIT GUIDANCE

IIA memiliki IT Audit Guidance:

1. The Global Technology Audit Guide (GTAG) Series, menyediakan pedoman bagi
Auditor Internal yang membantu mereka lebih memahami tata kelola, RM, dan kontrol
berkaitan dengan IT.

14
2. The Guide To The Assessment of IT Risk (GAIT) Series, menggambarkan hubungan
antara risiko pelaporan keuangan, kontrol proses kunci, kontrol otomatis dan fungsi TI
penting lainnya, serta kontrol kunci IT umum.

REFERENSI

Reding, et., al. 2009. Internal Auditing: Assurance & Consulting Services. The Institute of
Internal Auditors Research Foundation (IIARF): Second Edition. Florida.

15