Anda di halaman 1dari 13

INFORMATION TECHNOLOGY RISKS AND CONTROLS

Diajukan untuk memenuhi salah satu syarat mata kuliah Pengauditan Internal

Disusun Oleh:
FEDRO CHRISTIAN M
1451153
SONYA KRISTINA HERIANTO
1451138

PROGRAM STUDI AKUNTANSI


FAKULTAS EKONOMI
UNIVERSITAS KRISTEN MARANATHA
BANDUNG
2017
I. Penggunaan media sosial memberikan banyak kesempatan bagi organisasi untuk
meningkatkan kesopanan pencapaian tujuan. Digunakan secara efektif, media sosial
dapat membantu organisasi:
Meningkatkan pendapatan
Meningkatkan kepuasan dan loyalitas pelanggan
Merekrut dan merebut kembali bakat terbaik
Enchance pengembangan dan inovasi produk
Menerapkan brand awareness dan persepsi pelanggan

Pada saat yang sama, penggunaan media sosial tanpa pengawasan yang tepat dapat
menimbulkan risiko tambahan, termasuk

Kurangnya, atau tidak efektif, tata kelola perusahaan di sekitar penggunaan media
sosial
Kurangnya pertimbangan persyaratan peraturan
Gagal membangun atau memantau metrik di sekitar media sosial Gagal
membentuk kebijakan jaringan sosial yang efektif

Auditor internal yang bekerja secara ekstensif di bidang sistem informasi komputer
harus memiliki keahlian TI, pengendalian, dan audit TI yang mendalam. Auditor suck
biasanya disebut sebagai auditor sistem informasi (IS) atau auditor TI. Meskipun semua
auditor internal tidak memerlukan keahlian spesialis audit TI, minimal, setiap auditor internal
harus memiliki pemahaman yang baik mengenai konsep TI mendasar tertentu.

Bab ini pertama memberikan gambaran umum komponen kunci terpilih dari sistem
informasi modern. Peluang dan risiko yang terkait dengan TI kemudian dijelaskan. Hal ini
diikuti oleh cakupan tata kelola TI, manajemen risiko, dan pengendalian. Bab ini kemudian
membahas implikasi TI untuk auditor internal dan diakhiri dengan identifikasi sumber
panduan audit TI.

II. KOMPONEN KUNCI SISTEM INFORMASI MODERN

Perangkat keras komputer. Perangkat keras komputer terdiri dari komponen fisik
suatu sistem informasi. Perangkat keras meliputi, misalnya, pemrosesan sentral sistem
informasi. Perangkat keras mencakup, misalnya, unit pemrosesan pusat (CPU), server,
stasiun kerja dan terminal, chip komputer, perangkat input / output seperti pemindai
dan printer, perangkat penyimpanan disedot seperti driver disk, dan perangkat
komunikasi seperti modem dan router nirkabel.

Jaringan. Jaringan komputer menghubungkan dua atau lebih komputer atau perangkat
sehingga mereka dapat berbagi informasi dan / atau beban kerja. Ada banyak jenis
jaringan:

Jaringan client-server menghubungkan satu ore lebih banyak komputer klien


dengan server, dan pengolahan data dibagi antara klien dan server dengan cara yang
mengoptimalkan efisiensi pemrosesan.
Sparta daerah lokal (LAN) sparis e area yang relatif kecil seperti bangunan atau
kelompok bangunan yang berdekatan.
Jaringan area luas (WAN) terdiri dari sistem LAN yang terhubung bersama untuk
menjangkau wilayah regional, nasional, atau global.
Intranet adalah jaringan pribadi organisasi yang hanya dapat diakses oleh personil
organisasi tersebut.
Ekstranet dapat diakses oleh pihak ketiga yang dipilih seperti pemasok dan / atau
pelanggan yang sah
Jaringan bernilai tambah (VAN) adalah jaringan pihak ketiga yang
menghubungkan organisasi dengan mitra tranding
Internet (jaringan yang saling terhubung) adalah sistem jaringan komputer umum
yang sangat besar dan kompleks sehingga pengguna dapat berkomunikasi secara
global.
Dua perangkat dapat berbagi informasi hanya di antara mereka sendiri tanpa
terhubung ke jaringan lain.

Perangkat lunak komputer. Perangkat lunak komputer mencakup perangkat lunak


sistem operasi, perangkat lunak utilitas, perangkat lunak sistem manajemen basis data
(DBMS), perangkat lunak aplikasi, dan perangkat lunak firewall.

Database Database adalah gudang data yang besar, typicall terdapat di banyak file
terkait dan disimpan dengan cara yang memungkinkan data diakses, diambil, dan
dimanipulasi dengan mudah.

Informasi. Informasi adalah sumber kunci bagi semua perusahaan, dan sejak saat
informasi diciptakan pada saat dihancurkan, teknologi memainkan peran penting.
Peopke. Peran sistem informasi spesifik sangat bervariasi dari satu organisasi ke
organisasi lainnya. Biasanya, peran ini termasuk peran kepala informasi (CIO),
administrator database, pengembang sistem, personil pemrosesan data, dan pengguna
akhir.

III. PELUANG DAN RESIKO TI


A. Peluang Diaktifkan oleh TI

Peluang lain yang kemajuan TI telah diaktifkan termasuk sistem perencanaan


sumber daya perusahaan (ERP) dan electronic data enterchange (EDI):

Sistem ERP. Sistem ERP adalah sistem perangkat lunak modular yang
memungkinkan organisasi mengintegrasikan proses bisnis mereka
menggunakan satu database operasi.
EDI. EDI melibatkan dokumen bisnis pertukaran komputer-ke-komputer
secara elektronik dari antara organisasi dan mitra dagangnya
.
B. Risiko TI

Masing-masing komponen kunci dari sistem informasi yang dijelaskan di awal


bab ini merupakan sumber risiko potensial. Namun, ada beberapa jenis risiko TI
yang cenderung umum terjadi di seluruh organisasi dan industri.

Seleksi Rik. Pemilihan solusi TI yang tidak sejajar dengan tujuan strategis
dapat menghalangi pelaksanaan strategi yang bergantung pada TI.
Risiko pengembangan / akuisisi dan penerapan. Masalah yang dihadapi saat
solusi TI dikembangkan / diakuisisi dan diterapkan dapat menyebabkan
penundaan yang tak terduga, overruns biaya, atau bahkan pengabaian proyek.
Ketersediaan risiko. Tidak tersedianya sistem bila diperlukan dapat
menyebabkan penundaan dalam gangguan bisnis pengambilan keputusan,
kehilangan pendapatan, dan ketidakpuasan pelanggan.
Risiko perangkat keras / perangkat lunak. Kegagalan perangkat keras /
perangkat lunak untuk melakukan dengan benar dapat menyebabkan gangguan
bisnis, kerusakan sementara atau permanen terhadap atau penghancuran data,
dan perbaikan perangkat keras / perangkat lunak atau penggantian biaya.
Akses resiko. Akses fisik atau logis yang tidak sah ke sistem dapat
mengakibatkan kesalahan perangkat keras, modifikasi perangkat lunak
berbahaya, dan pencurian, penyalahgunaan, atau penghancuran data.
Realibilitas sistem dan integritas integritas informasi. Kesalahan sistematis
atau inkonsistensi dalam pemrosesan dapat menghasilkan informasi yang tidak
relevan, tidak lengkap, tidak akurat, dan / atau terlalu dini.
Risiko kerahasiaan dan privasi. Pengungkapan informasi informasi pribadi
atau informasi personal individu yang tidak sah dapat mengakibatkan
hilangnya bisnis, tuntutan hukum, pers negatif, dan kerusakan reputasi.
Penipuan dan tindakan berbahaya berisiko. Pencurian sumber daya TI,
penyalahgunaan sumber daya TI secara sengaja, atau distorsi atau
penghancuran informasi yang disengaja dapat mengakibatkan kerugian
finansial dan / atau informasi salah yang diandalkan oleh para pengambil
keputusan.

IV. TATA KELOLA TI

Seperti yang didefinisikan oleh IIA, IT Governance:

"Terdiri dari kepemimpinan, struktur organisasi, dan proses yang memastikan bahwa
teknologi informasi perusahaan mendukung dan mendukung strategi dan sasaran
organisasi"

A. MANAJEMEN RISIKO

Seperti yang didefinisikan oleh IIA, IT Governance:

"Terdiri dari kepemimpinan, struktur organisasi, dan proses yang memastikan


bahwa teknologi informasi perusahaan mendukung dan mendukung strategi dan
sasaran organisasi"

B. MANAJEMEN RISIKO

Masing-masing komponen ini relevan dengan manajemen risiko TI. Sebagai


contoh :

Lingkungan internal
Pengaturan obyektif
Identifikasi acara
Tugas beresiko
Respon risiko
Aktivitas pengendalian
Informasi dan Komunikasi
Monitoring

V. KONTROL TI
A. Kontrol Tata Kelola TI

Seperti yang ditunjukkan pada pameran 7-4, kontrol tata kelola TI terdiri dari
kebijakan TI. Kebijakan ini menetapkan sifat kontrol yang harus ada di tempat
dan alamat, misalnya:

Kebijakan umum mengenai tingkat keamanan dan privasi di seluruh


organisasi
Pernyataan tentang klasifikasi informasi dan hak akses di setiap tingkat
Definisi konsep kepemilikan data dan sistem, serta wewenang yang
diperlukan untuk memulai, memodifikasi, atau menghapus informasi.
Kebijakan personil yang menentukan dan memberlakukan kondisi bagi staf
di area sensitif.
Definisi persyaratan perencanaan kesinambungan bisnis secara keseluruhan
B. Kontraktor IT Management

Manajemen bertanggung jawab untuk memastikan bahwa pengendalian TI


dirancang secara memadai dan berjalan efektif, dengan mempertimbangkan
tujuan organisasi, risiko yang mengancam pencapaian tujuan tersebut, dan proses
bisnis dan sumber daya organisasi.

Standar TI mendukung kebijakan TI dengan menentukan secara lebih spesifik


apa yang diperlukan untuk mencapai tujuan organisasi. Standar ini harus
mencakup, misalnya:

Proses pengembangan sistem


Konfigurasi perangkat lunak sistem
Kontrol aplikasi
Struktur data
Dokumentasi

Kontrol Organisasi dan Manajemen TI memberikan kepastian bahwa


organisasi tersebut terstruktur dengan garis pelaporan dan tanggung jawab yang
jelas dan telah menerapkan proses pengendalian yang efektif. Ada aspek penting
dari kontrol ini adalah pemisahan tugas, kontrol keuangan, dan kontrol
manajemen perubahan:

Pemisahan tugas adalah unsur virus dari banyak kontrol. Struktur organisasi
seharusnya tidak membiarkan tanggung jawab atas semua aspek
pemrosesan data untuk beristirahat dengan satu individu.
Karena organisasi melakukan investasi yang besar di bidang TI, anggaran
dan kontrol keuangan lainnya diperlukan untuk memastikan agar proses
teknologi dihasilkan untuk mengumpulkan, menganalisa, dan melaporkan
masalah ini.
Mengubah proses manajemen memastikan bahwa perubahan terhadap
lingkungan TI, perangkat lunak sistem, sistem aplikasi, dan data diterapkan
dengan cara yang memberlakukan pemisahan tugas yang sesuai;
memastikan bahwa perubahan bekerja dan dilaksanakan sesuai kebutuhan;
dan mencegah perubahan dari eksploitasi untuk tujuan penipuan.

Kontrol fisik dan lingkungan melindungi sumber daya sistem informasi


(perangkat keras, perangkat lunak, dokumentasi, dan informasi) dari kerusakan,
penyalahgunaan, atau kerugian yang disengaja atau disengaja. Kontrol seperti itu
meliputi, misalnya.

Lokasi berfungsi di ruang terkunci yang aksesnya dibatasi


Membatasi akses server ke individu tertentu
Menyediakan alat deteksi kebakaran dan penindasan
Peralatan, aplikasi, dan data perumahan yang sensitif dari bahaya
lingkungan seperti dataran banjir, jalur penerbangan, atau toko cairan
yang mudah terbakar.
C. Kontrol Teknis IT

Perangkat lunak sistem memudahkan penggunaan sistem haedware dan


mencakup, misalnya sistem operasi, sistem jaringan, sistem manajemen basis
data, firewall, dan perangkat lunak antivirus. Kontrol perangkat lunak sistem
membatasi akses logis ke sistem dan aplikasi organisasi, memantau penggunaan
sistem, dan menghasilkan jalur audit. Sistem kontrol perangkat lunak meliputi,
misalnya:

Hak akses yang dialokasikan dan dikendalikan sesuai dengan kebijakan


awal organisasi
Pembagian tugas yang ditegakkan melalui perangkat lunak sistem dan
kontrol konfigurasi lainnya.
Pengujian intrusi dilakukan secara teratur
Layanan enkripsi diterapkan dimana kerahasiaan merupakan persyaratan
awal
Mengubah proses manajemen - termasuk manajemen patch - untuk
memastikan proses yang dikontrol ketat untuk menerapkan semua
perubahan dan tambalan ke perangkat lunak, komponen jaringan sistem,
dan data.
D. Kontrol Keamanan Informasi

Kontrol keamanan informasi memproyeksikan sistem informasi dari akses


fisik dan logis yang tidak sah. Kontrol akses fisik memberikan keamanan atas
sumber daya TI yang nyata dan mencakup hal-hal seperti pintu terkunci, kamera
pengintai, dan penjaga keamanan. Kontrol akses logis memberikan keamanan
atas perangkat lunak dan informasi yang tertanam dalam sistem dan mencakup
hal-hal seperti firewall, enkripsi, ID masuk, kata sandi, tabel otorisasi, dan log
aktivitas komputer.

VI. IMPLIKASI ITU UNTUK AUDITOR INTERNAL


A. IT Proficiency and Due Professional Care

Dua Atase Penerapan Atribut secara khusus menangani kemampuan internal


yang harus dimiliki oleh auditor internal dan pertimbangan yang harus
diberikannya dengan menggunakan teknik audit berbasis teknologi:
1210.A3 - Auditor internal harus memiliki pengetahuan yang cukup tentang
risiko dan kontrol teknologi informasi utama dan teknik audit berbasis teknologi
yang tersedia untuk melakukan pekerjaan yang ditugaskan.

1220-A2 - Dalam melaksanakan perawatan profesional, auditor internal harus


mempertimbangkan penggunaan audit berbasis teknologi dan teknik analisis data
lainnya.

B. Assurance Englingement IT Tanggung Jawab

2110.A2 - Aktivitas audit internal harus dinilai. Apakah tata kelola teknologi
informasi organisasi te mendukung strategi dan tujuan organisasi.

2120.A1 - Aktivitas audit internal harus mengevaluasi eksposur risiko yang


berkaitan dengan sistem informasi organisasi ...

2130.A1 - Kegiatan audit internal harus mengevaluasi kecukupan dan efektivitas


pengendalian dalam menanggapi risiko di dalam sistem informasi organisasi .

C. IT Outsourcing

GTAG 7: Outsourcing Teknologi Informasi menjelaskan secara rinci beberapa


pertimbangan utama outsourcing TI yang memerlukan perhatian fungsi audit
internal.

IT Sourching. Mentransfer fungsi TI ke penyedia luar untuk mencapai


pengurangan biaya sambil meningkatkan kualitas dan efisiensi layanan.

VII. Audit Terpadu dan Berkelanjutan

Mengintegrasikan audit TI ke dalam perjanjian penjaminan. Integrasi TI secara


langsung mengendalikan proses bisnis, bersamaan dengan tersedianya CAAT
pengguna, mendorong semakin banyaknya fungsi audit internal untuk memodifikasi
pendekatan audit mereka. Alih-alih melakukan keterikatan jaminan terpisah terfokus
secara ketat pada risiko dan pengendalian TI tingkat proses, fungsi audit internal ini
mengasimilasi penilaian risiko dan pengendalian TI ke dalam keterlibatan penjaminan
yang dilakukan untuk menilai risiko dan kontrol pelaporan tingkat operasional, operasi,
dan / atau kepatuhan.
Proses audit lebih efisien karena: (1) keterlibatan yang sebelumnya dilakukan secara
terpisah digabungkan dan (2) identifikasi dan penilaian semua risiko dan kontrol utama
dikonsolidasikan dalam perjanjian audit terpadu.

Seperti yang dijelaskan dalam GTAC 3, audit berkelanjutan terdiri dari dua kegiatan
utama:

Penilaian kontrol terus-menerus, yang tujuannya adalah "memusatkan perhatian


audit pada kekurangan kontrol sedini mungkin"
Penilaian risiko terus-menerus, yang tujuannya adalah "menyoroti proses atau
sistem yang mengalami tingkat risiko yang lebih tinggi dari perkiraan."

VIII. SUMBER PANDUAN AUDIT

IIA memiliki panduan bimbingan audit TI yang semakin berkembang. Dua komponen
utama dari panduan ini adalah Pedoman Audit Teknologi Global (GTAC) dan Panduan
untuk Penilaian terhadap Risiko TI (GAIN) Praktik Panduan yang termasuk dalam
Kerangka Praktik Profesional Internasional IIA:

Panduan Praktik GTAG. Panduan Praktik GTAG "... menangani masalah tepat
waktu yang berkaitan dengan manajemen, kontrol, dan keamanan informasi (TI)."
Panduan Praktik GAIT. Panduan Praktik GAID menggambarkan "hubungan
antara risiko bisnis, kontrol kunci dalam proses bisnis, kontrol otomatis dan
fungsi TI penting lainnya, dan kontrol kunci dalam pengendalian umum TI.
Setiap panduan membahas aspek spesifik dari penilaian risiko dan pengendalian
TI. "

Panduan audit TI lainnya yang tersedia melalui IIA meliputi:

Sejumlah publikasi termasuk buku pegangan IIA Research Foundation dan


monografi penelitian, yang dapat dibeli dari The IIA Research Foundation
Bookstore.
Bagian ITAudit dari Internal Auditor Online, yang sebelum Januari 2009
merupakan publikasi online terpisah dari artikel audit TI.
A. PELUANG UNTUK WAJAR
10 Peluang untuk fungsi audit internal memberikan wawasan tentang risiko dan
kontrol TI:

1. Pastikan risiko TI termasuk dalam penilaian risiko tahunan.


2. Memberikan wawasan untuk pengembangan sistem baru dan proyek
infrastruktur TI.
3. Mengintegrasikan kajian TI di setiap audit.
4. Memahami bagaimana TI dapat meningkatkan produktivitas dan proses
pengendalian internal audit di seluruh organisasi.
5. Berikan rekomendasi kontrol saat teknologi baru diterapkan.
6. Mendidik manajemen tentang risiko dan pengendalian TI yang muncul
yang dapat diimplementasikan untuk mengurangi risiko tersebut.
7. Volumfeer untuk menjadi pilot, emerging IT, memproyeksikan untuk
memberikan wawasan untuk mengendalikan masalah sebelum penyebaran
teknologi baru.
8. Mempekerjakan pakar TI sebagai pakar materi untuk keterlibatan audit
yang melibatkan kompleksitas TI yang ekstensif.
9. Pertahankan manajemen dan dewan pengurus tentang risiko TI utama yang
mungkin berdampak pada organisasi.
10. Pahami teknologi baru yang mempengaruhi organisasi terlepas dari apakah
organisasi saat ini memakainya.
Lampiran

DOKUMENTASI BUKTI AUDIT: KERTAS KERJA

Adalah penting bahwa bukti audit didokumentasikan secara tepat di papaer kerja audit,
seperti yang dijelaskan secara singkat di Bab 4. Kertas kerja audit melakukan beberapa fungsi
yang penting untuk audit yang berhasil:

1. Mereka mendokumentasikan dan mengatur akumulasi bukti yang digunakan untuk


mengembangkan laporan audit.
2. Mereka memberikan referensi yang terus berlanjut selama audit, termasuk informasi
perencanaan dan bukti yang berkembang, sehingga audit dapat berjalan efektif dan efisien.
3. Mereka memberikan referensi yang mudah digunakan untuk tindak lanjut audit, pekerjaan
yang sebagian besar bergantung pada hasil kerja, temuan, dan rekomendasi audit
sebelumnya.
4. Mereka memfasilitasi tinjauan yang mudah dan terdokumentasi dengan baik mengenai
keseluruhan kinerja tim audit dan auditor individual.

Lampiran ini membahas lima aspek kertas kerja audit: (1) isi dan organisasi, (2) manajemen,
(3) penyusunan surat kerja individu, (4) tanda centang, (5) komputerisasi.

1. Konten dan Organisasi

Isi spesifik dari sekumpulan kertas kerja akan tergantung pada operasi atau aktivitas
yang sedang diperiksa, tujuan dan cakupan audit, sifat dari tes audit spesifik, dan bahkan
preferensi pribadi auditor yang melakukan pekerjaan tersebut. Selain itu, berbagai auditor
dan departemen audit mengatur kertas kerja dengan cara yang berbeda. Diskusi kami
menyajikan satu pendekatan yang menggambarkan isi umum dari kertas kerja audit,
organisasi mereka, dan sistem penomorannya.

2. Pengelolaan Makalah Kerja

Dua pertimbangan penting dalam pengelolaan kertas kerja meliputi (1) review, (2)
kepemilikan dan keamanan.
Ulasan. Seiring kemajuan audit dari langkah ke langkah, makalah kerja ditinjau oleh
tingkat di atas auditor yang mempersiapkannya. Misalnya, bentuk otorisasi biasanya
disiapkan oleh manajer audit yang ditugaskan ke audit.

Kepemilikan dan Keamanan. Kertas kerja audit termasuk dalam organisasi dan bukan
milik auditor individual jika seorang pribadi menghentikan pekerjaan di departemen audit
internal sebuah organisasi, kertas kerja yang disiapkan oleh individu tersebut tetap
diajukan di departemen tersebut.

3. Prepartion Makalah Kerja Individu

Seperti yang telah Anda pelajari tentang pentingnya kertas kerja auditor secara
umum, Anda mungkin sudah menduga bahwa kertas kerja individual dipersiapkan.
Pedoman ini mencakup hal-hal berikut:

a. Kelengkapan dan ketepatan


b. Kejelasan dan dimengerti
c. Keterbacaan dan kerapian
d. Relevansi dan tingkat detail yang sesuai
e. Perhatian pada disain dan tata letak

Meskipun standar ini cukup umum, mereka menguraikan dimensi-dimensi yang


diperlukan untuk persiapan kertas kerja berkualitas.

4. Tanda centang

Dalam makalah kerja ilustratif ini, Anda melihat bermacam-macam tanda cek, huruf
tulisan tangan kecil, dan gambar geometris yang ditulis di samping item yang berkaitan
dengan informasi spesifik dalam tes audit. Tokoh-tokoh ini disebut "tanda centang." Tanda
centang mewakili tes audit khusus dilakukan pada item yang terdaftar Karena tidak ada
tanda centang standar atau yang berlaku umum, auditor berbeda dan departemen audit
cenderung mengembangkan dan menggunakan sistem mereka sendiri.