Anda di halaman 1dari 26

INFORMATION TECHNOLOGY RISKS AND CONTROLS

MAKALAH

Diajukan untuk memenuhi tugas mata kuliah Pengauditan Internal

Di susun Oleh :
Lena Herlina 10090115095
Yola Septidiana 10090115096
Rani Jayafadila 10090115097

FAKULTAS EKONOMI DAN BISNIS


UNIVERSITAS ISLAM BANDUNG
BANDUNG
2018
DAFTAR ISI

Daftar Isi........................................................................................................................................ i

BAB I PENDAHULUAN................................................................................................. 1
1.1 Latar Belakang............................................................................................. 1
BAB II PEMBAHASAN.................................................................................................... 2
2.1 Komponen Kunci Sistem Informasi Modern............................................... 2
2.2 Peluang dan Risiko Teknologi Informasi..................................................... 5
2.3 Tata Kelola Teknologi Informasi................................................................. 8
2.4 Manajemen Risiko Teknologi Informasi...................................................... 9
2.5 Kontrol TI....................................................................................................11
2.6 Kontrol Tata Kelola TI.................................................................................12
2.7 Kontrol Manajemen TI.................................................................................13
2.8 Kontrol Teknis TI.........................................................................................14
2.9 Kontrol Keamanan Informasi.......................................................................16
2.10 Implikasi TI untuk Internal Auditor.............................................................17
BAB III PENUTUP.............................................................................................................22
3.1 Simpulan......................................................................................................22

Daftar Pustaka......................................................................................................................24

i
BAB I
PENDAHULUAN

1.1 LATAR BELAKANG


Organisasi berinvestasi di TI karena beberapa alasan, yang semuanya berkaitan
langsung untuk mencapai tujuan bisnis organisasi. Misalnya, IT memungkinkan strategi
bisnis, meningkatkan kinerja proses bisnis, dan memfasilitasi pengambilan keputusan.
Bahkan, TI telah mencapai titik yang sangat terkait dengan tujuan organisasi bisnis,
strategi, dan operasi yang inisiatif TI harus dipertimbangkan bersama-sama dengan inisiatif
bisnis untuk memastikan keselarasan antara keduanya.
Dampak semakin meresap TI pada strategi bisnis organisasi dan hari-hari operasi
operasi telah mempengaruhi profesi audit internal. TI telah mengubah kompetensi yang
berfungsi audit internal harus memiliki dan bagaimana mereka melakukan jaminan dan
layanan konsultasi. Hal ini hampir tidak mungkin di dunia bisnis saat ini untuk setiap
fungsi audit internal untuk memberikan layanan nilai tambah bagi organisasi mereka
kecuali fungsi ini sangat mahir dalam pengetahuan IT risiko dan kontrol dan memiliki
kemampuan untuk secara efektif menerapkan teknik audit berbasis teknologi.
Internal auditor yang bekerja secara ekstensif dalam bidang sistem informasi
terkomputerisasi harus memiliki risiko dalam IT, kontrol, dan keahlian audit. Auditor
tersebut sering disebut sebagai sistem informasi (IS) auditor atau auditor IT. Meskipun
semua auditor internal tidak perlu memiliki keahlian auditor IT, minimal, setiap auditor
internal harus memiliki pemahaman yang baik tentang konsep-konsep TI fundamental
tertentu. Sebagai contoh, semua auditor internal perlu memahami komponen dasar dari
tujuan organisasi mereka bisnis, dan tata kelola TI organisasi mereka, manajemen risiko,
dan proses kontrol.

1
BAB II
PEMBAHASAN

2.1 KOMPONEN KUNCI SISTEM INFORMASI MODERN


Sistem informasi modern bervariasi secara signifikan antara organisasi dan itu adalah
di luar lingkup buku ini untuk menutupi berbagai konfigurasi sistem yang ada di dunia
bisnis saat ini. Namun demikian, komponen kunci yang sama sistem informasi yang
auditor internal perlu memahami.
Perangkat keras komputer. Hardware komputer terdiri dari komponen fisik dari suatu
sistem informasi. Hardware meliputi, misalnya, unit pengolahan pusat (CPU), server,
workstation dan terminal, chip komputer, perangkat input / output seperti scanner dan
printer, perangkat penyimpanan seperti disk drive, dan perangkat komunikasi seperti
modem dan router.

Contoh: Perangkat keras komputer yang digambarkan dalam tampilan 7-2 termasuk
smartphone, komputer desktop, dua komputer laptop, printer, komputer mainframe, empat
server, dan dua firewall. Perangkat tambahan yang tidak diketahui oleh organisasi juga

2
dapat mengakses data dan memperbarui basis data di belakang firewall. Inilah sebabnya
mengapa aturan keamanan informasi sangat penting untuk orgnisasi.
Jaringan – Sebuah jaringan komputer menghubungkan dua atau lebih komputer sehingga
mereka dapat berbagi informasi dan / atau beban kerja. Ada banyak jenis jaringan:
 Sebuah jaringan client-service menghubungkan satu atau lebih komputer client
dengan server dan pengolahan data dibagi antara klien (s) dan server dengan cara
yang mengoptimalkan efisiensi pengolahan.
 Sebuah jaringan area lokal (LAN) mencakup area yang relatif kecil seperti sebuah
bangunan atau sekelompok bangunan yang berdekatan.
 Sebuah jaringan area luas (WAN) terdiri dari sistem LAN terhubung bersama-sama
untuk rentang area regional, nasional, maupun global.
 Sebuah intranet adalah jaringan pribadi organisasi yang hanya dapat diakses oleh
personil organisasi itu.
 Sebuah extranet dapat diakses oleh pihak ketiga yang dipilih seperti pemasok dan /
atau pelanggan yang berwenang.
 Sebuah nilai tambah jaringan (VAN) adalah jaringan pihak ketiga yang
menghubungkan organisasi dengan mitra dagangnya.
 Internet (jaringan interkoneksi) adalah sistem publik yang sangat besar dan
kompleks jaringan komputer yang memungkinkan pengguna untuk berkomunikasi
secara global.
 Dua perangkat dapat berbagi informasi hanya diantara mereka masing-masing
tanpa harus ikut ke jaringan lain.
Contoh: Tampilan 7-2 menggambarkan keterkaitan antara LAN, intranet organisasi,
dan internet.

Perangkat lunak komputer – Perangkat lunak komputer termasuk perangkat lunak sistem
operasi, perangkat lunak utilitas, perangkat lunak sistem manajemen basis data (DBMS),
perangkat lunak aplikasi, dan perangkat lunak firewall.
o Perangkat Lunak Sistem Operasi: Mengontrol input dasar, memproses, dan output
dari komputer dan mengatur interkoneksi dari perangkat keras system
o Perangkat Lunak Utilitas: Menambah sistem operasi dengan fungsionalitas seperti
enkripsi, pengoptimalan ruang disk, dan perlindungan terhadap virus.

3
o Perangkat lunak sistem manajemen database: Mengelola data yang disimpan dalam
database, mengontrol akses ke database, dan mencadangkan database secara
otomatis.
o Perangkat Lunak Aplikasi: Mencakup perangkat lunak akuntansi yang digunakan
untuk memproses transaksi serta jenis perangkat lunak lainnya, (seperti pengolah
kata dan perangkat lunak spreadsheet) yang memungkinkan pengguna akhir untuk
melakukan tugas yang mereka berikan.
o Perangkat Lunak Firewall. Memberlakukan kontrol akses antara dua jaringan
dengan hanya mengizinkan transmisi data resmi untuk melewati firewall di kedua
arah.

Database – Database adalah repositori data yang besar, biasanya file-file yang saling
terhubung dan disimpan dengan cara yang memungkinkan data yang akan mudah diakses,
diambil, dan dimanipulasi. Database operasional mendukung pemrosesan transaksi sehari-
hari dan terus diperbarui saat transaksi diproses. Sebuah gudang data adalah kumpulan
besar data yang disimpan dari waktu ke waktu untuk mendukung analisis data secara
online dan pengambilan keputusan.

Informasi – Informasi adalah sumber daya utama untuk semua perusahaan, dan sejak saat
informasi itu dibuat hingga hancur, teknologi memainkan peran penting. Sistem informasi
mengumpulkan dan menyimpan data, mengubah data menjadi informasi yang berguna, dan
memberikan informasi kepada pengambil keputusan internal dan eksternal. Agar informasi
menjadi berguna itu harus relevan, dapat diandalkan, lengkap, akurat, dan tepat waktu.

Orang – Peran sistem informasi bervariasi secara signifikan dari satu organisasi ke yang
lain. Biasanya, peran ini meliputi:
 Kepala Petugas Informasi (CIO): Bertanggung jawab untuk pengawasan sehari-hari
dan pengawan langsung IT dan untuk memastikan bahwa tujuan dan strategi TI
selaras dengan tujuan bisnis organisasi dan strategi.
 Administrator Database: Bertanggung jawab untuk mengawasi desain,
pengembangan, implementasi, dan pemeliharaan database, mengontrol akses ke
database, pemantauan kinerja database, dan meningkatkan database dalam
menanggapi perubahan kebutuhan pengguna.

4
 Pengembang Sistem: meliputi analis dan programmer. Analis survei pengguna
kebutuhan TI , melakukan analisis "apa" versus "apa yang seharusnya" dari sistem
TI, dan merancang sistem TI baru. Programmer membangun dan menguji
perangkat lunak yang digunakan untuk menjalankan tugas-tugas pengolahan data.
 Personil Pengolahan data: Mengelola sumber daya terpusat TI dan melakukan input
sehari-hari terpusat, pengolahan, dan kegiatan output.
 Pengguna akhir adalah manajer dan karyawan untuk siapa sistem informasi
dibangun. Mereka menggunakan informasi yang dihasilkan oleh sistem untuk
melaksanakan peran mereka sehari-hari dan tanggung jawab.

2.2 PELUANG DAN RISIKO TEKNOLOGI INFORMASI


Peluang adalah kemungkinan bahwa suatu peristiwa akan terjadi dan secara positif
mempengaruhi pencapaian tujuan organisasi. Risiko adalah kemungkinan bahwa suatu
peristiwa akan terjadi dan berpengaruh negatif terhadap pencapaian tujuan organisasi.
Peluang dan risiko yang timbul dalam suatu organisasi karena TI mewakili porsi yang
signifikan dari peluang dan risiko organisasi perlu memahami dan mengelola secara
efektif.
Peluang yang ditimbulkan oleh TI
Menjual barang secara online adalah peluang yang dimungkinkan oleh teknologi e-
commerce yang telah dimanfaatkan banyak organisasi. Peluang lain yang telah dimajukan
oleh kemajuan TI termasuk sistem perencanaan sumber daya perusahaan (ERP) dan
pertukaran data elektronik (EDI):
 Enterprise Resources Planning Sistem - Sebuah sistem ERP adalah perangkat lunak
sistem modular yang memungkinkan organisasi untuk mengintegrasikan proses
bisnis mereka menggunakan database operasi tunggal. Keuntungan organisasi
mengharapkan untuk memperoleh hasil dari penerapan sistem ERP mencakup
pemrosesan online realtime processing, interaksi tanpa batas dan berbagi informasi
di antara area fungsional, meningkatkan kinerja proses, penghapusan atau
pengurangan kelebihan data dan kesalahan, dan lebih tepat waktu pengambilan
keputusan. Namun, menerapkan sistem ERP yang efektif dan efisien pada waktu
dan anggaran adalah usaha besar yang penuh dengan risiko. Memanfaatkan peluang
yang ditawarkan sistem ERP tergantung pada efektif mengurangi risiko yang dapat
menyebabkan inisiatif untuk gagal.

5
 Electronic Data Interchange (EDI) - EDI melibatkan komputer-ke-komputer
pertukaran dokumen bisnis secara elektronik dari di antara organisasi dan mitra
dagangnya. Organisasi berharap manfaat untuk memperoleh hasil dari pelaksanaan
EDI meliputi efisiensi proses transaksi dan kesalahan pengolahan data yang lebih
sedikit. Selain itu, kemajuan terbaru dalam teknologi e-bisnis telah memungkinkan
EDI Internet, yang kurang efektif dan efisien melaksanakan EDI kecuali mitra
dagangnya juga efektif menerapkan EDI. Selain itu, melakukan bisnis melalui
Internet tidak bebas risiko. Sepenuhnya memanfaatkan peluang EDI memiliki
tawaran tergantung pada mitigasi risiko yang terkait dengan e-bisnis.

Risiko TI
Setiap komponen kunci dari sistem informasi dijelaskan sebelumnya dalam bab ini
merupakan sumber potensial risiko. Sebagai contoh:
 Hardware komputer rentan terhadap pemadaman listrik yang mengganggu proses
transaksi.
 Jaringan mengirimkan informasi yang dapat disadap dan dicuri atau
disalahgunakan.
 Perangkat lunak komputer yang tidak akurat diprogram dapat menghasilkan
informasi yang tidak valid, tidak lengkap, dan / atau tidak akurat.
 Database dapat menyusup untuk tujuan menggelapkan atau menyalahgunakan
informasi.
 Informasi yang tidak valid, lengkap, dan / atau tidak akurat dapat menyebabkan
keputusan yang buruk.
 Seseorang dapat melakukan tugas IT yang tidak sesuai dan dengan demikian berada
dalam posisi untuk melakukan dan menyembunyikan kesalahan atau penipuan.

Penggunaan TI dalam sistem informasi membuka pintu bagi risiko TI. Risiko TI spesifik
yang dihadapi organisasi tertentu akan bergantung pada sifat bisnis dan operasi organisasi,
industri tempat organisasi beroperasi, konfigurasi sistem informasi organisasi, dan
beberapa faktor internal serta eksternal lainnya. Selain itu, risiko berubah sebagi akibat dari
perubahan dalam lingkungan internal dan eksternal organisasi dan tidak ada didunia bisnis
saat ini yang berubah lebih baik daripada TI. Dengan demikian, organisasi harus selalu

6
mengikuti kemajuan dalam TI dan terus mempertimbangkan konsekuensi risiko dari
kemajuan ini.
Ada beberapa jenis risiko TI yang cenderung umum di organisasi dan industri:
 Seleksi Risiko - Pemilihan solusi TI sejajar dengan tujuan strategis dapat
menghalangi pelaksanaan strategi tergantung TI. Misalnya, pengambil keputusan
tidak memenuhi syarat dan informasi yang tidak memadai.
 Pengembangan / Akuisisi dan Deployment Risiko - Masalah yang dihadapi sebagai
solusi TI yang sedang dikembangkan / diperoleh dan digunakan dapat
menyebabkan penundaan tak terduga, kelebihan biaya, atau bahkan meninggalkan
proyek. Misalnya, dukungan vendor yang tidak memadai dan resistensi terhadap
perubahan.
- Ketersediaan Risiko - Tidak tersedianya sistem bila diperlukan dapat menyebabkan
keterlambatan dalam pengambilan keputusan, interupsi bisnis, kehilangan
pendapatan, dan ketidakpuasan pelanggan.
- Hardware / Software Risiko - Kegagalan hardware / software untuk melakukan
dengan benar dapat menyebabkan gangguan usaha, kerusakan sementara atau
permanen atau kerusakan data, dan perangkat keras / lunak perbaikan atau
penggantian biaya.
- Risiko Access - akses fisik atau logis tidak sah ke sistem dapat mengakibatkan
pencurian atau penyalahgunaan hardware, modifikasi perangkat lunak berbahaya,
dan pencurian, penyalahgunaan, atau kerusakan data.
- Sistem Keandalan dan Risiko Informasi Integritas - kesalahan sistematis dan
inkonsistensi dalam pengolahan dapat menghasilkan informasi yang irrelevan,tidak
lengkap,tidak akurat, dan / atau informasi sebelum waktunya.
- Kerahasiaan dan Privasi Risiko - pengungkapan yang tidak sah dari informasi hak
milik mitra bisnis atau informasi pribadi individu dapat mengakibatkan hilangnya
bisnis, tuntutan hukum, tekanan negatif, dan penurunan reputasi.
- Risiko Penipuan dan Tindakan Jahat - Pencurian sumber daya TI, penyalahgunaan
sumber daya TI yang disengaja, atau distorsi yang disengaja atau perusakan
informasi dapat mengakibatkan kerugian finansial dan / atau informasi salah saji
yang bergantung pada pengambil keputusan.

2.3 TATA KELOLA TEKNOLOGI INFORMASI

7
Tata Kelola didefinisikan dalam bab 1, “Pengantar Audit Internal”, sebagai proses
yang dilakukan oleh dewan direksi untuk mengesahkan, mengarahkan, dan mengawasi
manajemen terhadap pencapaian tujuan organisasi. Sebagaimana dibahas secara rinci
dalam bab 3 “Tata Kelola”, struktur tata kelola organisasi memberikan jaminan bahwa
organisasi beroperasi dalam batas dan nilai yang ditetapkan oleh dewan dan manajemen
senior.
Sebagaimana ditunjukan dalam bab ini, organisasi menginvestasikan sejumlah bsar
uang dalam TI karena TI memungkinkan pelaksanaan strategi bisnis dan pencapaian tujuan
bisnis. Menanggapi dampak yang meluas TI terhadap strategi dan operasi bisnis mereka,
banyak organisasi telah memutuskan bahwa tata kelola TI dengan sendirinya cukup
penting untuk mendapatkan perhatian khusus.
Sebagaimana didefinisikan oleh the IIA, tata kelola TI:
“Terdiri dari struktur organisasi, dan proses yang memastikan bahwa teknologi informasi
perusahaan menopang dan mendukung strategi dan tujuan organisasi.”
Deskripsi dan definisi di atas dengan jelas menunjukkan bahwa dewan dan manajemen
senior “memiliki” tata kelola TI, sama seperti mereka memiliki semua aspek lain dari tata
kelola lainnya. Beberapa dewan telah membentuk komite tata kelola yang rentang
tanggung jawabnya termasuk tata kelola TI. Komite audit sering memainkan peran kunci
dalam tata kelola TI juga. Peran tata kelola TI dari dewan dan komitenya adalah untuk
memberikan arahan tata kelola TI kepada manajemen senior dan mengawasi kegiatan tata
kelola TI manajemen senior. Manajemen bertanggung jawab untuk mengarahkan dan
mengawasi pelaksanaan sehari-hari dari tata kelola TI. Beberapa organisasi telah
membentuk tata kelola TI komite, yang anggotanya termasuk CIO dan eksekutif senior
lainnya.
Sebagaimana dijelaskan dalam GTAG 17 : Audit IT Governance dan digambarkan dalam
tampilan 7-3, tata kelola TI merupakan kunci dari keseluruhan tata kelola perusahaan.

Gambar 7-3

8
IT GOVERNANCE FRAMEWORK

2.4 MANAJEMEN RISIKO TEKNOLOGI INFORMASI


Manajemen risiko didefinisikan dalam bab 1 “Pengantar Audit Internal”, sebagai
proses yang dilakukan oleh manajemen untuk memahami dan menangani ketidakpastian
{risiko dan peluang) yang dapat mempengaruhi kemampuan organisasi untuk mencapai
tujuannya. Bab 3 “Manajemen Risiko”, membahas secara terperinci bagaimana proses
manajemen risiko organisasi beroprasi dalam struktur tata kelola organisasi untuk (1)
mengidentifikasi dan mengurangi risiko yang mengancam keberhasilan organisasi dan (2)
mengidentifikasi dan memanfaatkan peluang yang memungkinkan keberhasilan organisasi.
Masing-masing dari COSO Enterprise Risk Management - komponen Kerangka
Terpadu relevan dengan I T manajemen risiko. Sebagai contoh:
 Lingkungan internal - Dewan dan manajemen senior yang bertanggung jawab
untuk mengarahkan dan mengawasi proses tata kelola TI organisasi. Mereka juga
bertanggung jawab untuk membangun keinginan risiko TI organisasi dan
mendefinisikan batas toleransi risiko TI.
 Pengaturan Tujuan - Proses tata kelola TI dimulai dengan definisi tujuan TI yang
menetapkan arah kegiatan TI. Karena TI memungkinkan pelaksanaan strategi bisnis

9
dan pencapaian tujuan bisnis, manajemen strategis opersai TI harus selaras dengan
manajemen strategis organisasi secara keseluruhan.
 Identifikasi Peristiwa – Peristiwa potensial yang timbul di dalam atau di luar
organisasi yang dapat mempengaruhi strategi organisasi dan pencapaian tujuan
harus diidentifikasi.
 Penilaian Risiko – Peristiwa risiko TI yang teridentifikasi harus dinilai berdasarkan
dampak dan kemungkinan bawaannya. Penilaian ini melibatkan analisis potensi
konsekuensi yang merugikan dan penyebab peristiwa risiko. Dampak residual dan
kemungkinan kejadian risiko TI yang diidentifikasi juga harus dinilai, dengan
mempertimbangkan defisiensi manajemen risiko yang ada.
 Respon Risiko – Respons risiko yang sesuai harus diformulasikan untuk
mengidentifikasi kejadian risiko TI. Penerimaan risiko merupakan tanggapan yang
tepat untuk kejadian risiko TI dengan dampak yang melekat dan tingkat
kemungkinan yang tidak melebihi toleransi risiko manajemen. Kemungkinan
respons risiko untuk kejadian risiko TI dengan dampak yang melekat dan tingkat
kemungkinana yang melebihi toleransi risiko manajemen termasuk menghindari,
mengurangi, atau berbagi risiko.
 Aktivitas Kontrol – Kebijakan respons risiko yang tepat harus ditetapkan dan
prosedur (tindakan yang diambil untuk menerapkan kebijakan) harus dirancang
secara memadai dan beroperasi secara efektif untuk memberikan jaminan bahwa
sisa tingkat risiko TI berada dalam toleransi risiko manajemen. Kontrol TI dibahas
di bagian selanjutnya dari bab ini.
 Informasi dan Komunikasi – Tujuan dari sebuah system informasi organisasi adalah
untuk mengidentifikasi, menangkap, dan menyampaikan informasi yang berkualitas
tinggi kepada pembuat keputusan secara tepat waktu. Misalnya, informasi yang
berkaitan dengan mengidentifikasi, menilai, dan menanggapi peristiwa risiko TI
harus dikomunikasikan ke seluruh organisasi. Aspek penting dari manajemen risiko
TI adalah memastikan bahwa system informasi yang memungkinkan teknologi
organisasi dapat diandalkan menghasilkan mengasilkan informasi berkualitas
tinggi.
 Pengawasan – Manajemen bertanggung jawab untuk memantau proses manajemen
risiko TI, termasuk proses kontrol TI, dari waktu ke waktu untuk memastikan

10
bahwa proses terus beroperasi secara efektif dan efisien sebagai faktor lingkungan
internal dan eksternal yang mempengaruhi perubahan organisasi.

2.5 PENGENDALIAN TI
Penegendalian didefinisikan dalam bab 1. "pengantar audit internal". Sebagai proses
tertanam dalam manajemen risiko dan dilakukan oleh manajemen untuk mengurangi risiko
ke tingkat yang dapat diterima. Bab 6 "pengendalian internal", menyediakan cakupan
mendalam dari pengendalian internal dan memperkenalkan konsep memberikan cakupan
mendalam dari pengendalian internal dan memperkenalkan konsep dari kontrol TI. Kontrol
TI umumnya diklasifikasikan sebagai kontrol umum atau aplikasi. Kontrol TI umumnya
diklasifikasikan sebagai kontrol umum atau aplikasi seperti yang dijelaskan dalam bab 6:
• Pengendalian Umum - berlaku untuk semua system Komponen, proses, dan data
untuk sebuah organisasi atau sistem lingkungan tertentu
• Pengendalian Aplikasi - berkaitan dengan ruang lingkup proses bisnis individu atau
sistem aplikasi dan termasuk control dalam suatu aplikasi meliputi input, pengolahan
dan output.

Cara lain untuk mengklasifikasikan pengendalian adalah “oleh kelompok yang


bertanggung jawab untuk memastikan mereka diimplementasikan dan dipelihara dengan
baik.” Misalnya, seperti yang disajikan dalam tampilan 7-4, kontrol TI dapat dikategorikan
sebagai hierarki top-down tata kelola, manajemen, dan kontrol teknis TI. Enam lapisan
teratas kontrol TI yang diilustrasikan pada tampilan 7-4 mewakili kontrol aplikasi. Penting
untuk dipahami, bagaimanapun, bahwa “elemen-elemen berbeda dari hirearki tidak saling
ekslusif; mereka semua terhubung dan dapat berbaur.” Bagian selanjutnya dari bagian ini
menjelaskan pengendalian TI dari perspektif “kelompok yang bertanggung jawab”.

11
Gambar 7-4
IT CONTROL FRAMEWORK

Tata Kelola

Manajemen

Teknis

2.6 PENGENDALIAN TATA KELOLA TI


Seperti dibahas sebelumnya dalam bab ini, tata kelola TI adalah komponen integral
dari tata kelola secara keseluruhan. Demikian juga, kontrol TI di tingkat tata kelola
merupakan bagian penting dari keseluruhan system pengendalian internal organisasi.
Kontrol TI di tingkat tata kelola di bawah yurisdiksi dewan dan manajemen senior.
Tanggung jawab dewan, bagaimanapun, adalah mengawasi system kontrol internal, bukan
untuk melaksanakan kontrol. Ini adalah tugas manajemen senior untuk melakukan proses
kontrol sehari-hari.
Tata kelola kontrol TI terdiri dari kebijakan TI. Kebijakan ini membentuk sifat kontrol
yang sesuai dengan tempat dan alamatnya. Seperti contohnya:
 Kebijakan umum tentang tingkat keamanan dan privasi di seluruh organisasi.
 Pernyataan tentang klasifikasi informasi dan hak akses pada setiap tingkat.
 Definisi konsep data dan kepemilikan system, serta otoritas yang diperlukan untuk
memulai, memodifikasi, atau menghapus informasi.

12
 Kebijakan personal yang mendefinisikan dan menegakan kondisi untuk staff di
daerah sensitive.
 Definisi persyaratan perencanaan kesinambungan bisnis secara keseluruhan.

2.7 PENGENDALIAN MANAJEMEN TI


Manajemen bertanggung jawab untuk memastikan bahwa kontrol TI dirancang secara
memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan organisasi,
risiko yang mengancam pencapaian tujuan dan proses bisnis organisasi dan sumber daya.
Standar kebijakan dukungan TI dengan lebih spesifik mendefinisikan apa yang
diperlukan untuk mencapai tujuan organisasi. Standar-standar ini harus mencakup,
misalnya:
o Proses pengembangan sistem. Ketika organisasi mengembangkan aplikasi mereka
sendiri, standar berlaku untuk proses, merancang, mengembangkan, menguji,
menerapkan dan memelihara sistem serta program informasi.
o Konfigurasi perangkat lunak sistem. Karena perangkat lunak system menyediakan
elemen kontrol yang besar dalam lingkungan TI, standar yang terkait dengan
konfigurasi system yang aman mulai mendapatkan penerimaan yang luas dari
organisasi terkemuka dan penyedia teknologi.
o Kontrol aplikasi. Semua aplikasi yang mendukung aktivitas bisnis perlu di kontrol.
o Struktur data. Memiliki definisi data yang konsisten di seluruh tentang aplikasi
memastikan bahwa system yang berbeda dapat mengakses data secara mulus dan
control keamanan untuk data pribadi serta data sensitive lainnya dapat diterapkan
secara beragam.
o Dokumentasi. Strandar harus menentukan tingkat minimum dokumentasi yang
diperlukan untuk setiap system aplikasi atau instalasi TI, serta untuk berbagai kelas
aplikasi, proses, dan proses pengolahan.

Organisasi TI dan pengendalian manajemen menyediakan jaminan bahwa organisasi


terstruktur dengan garis yang jelas dari pelaporan dan tanggung jawab dan telah
menerapkan proses kontrol yang efektif. Tiga aspek penting dari pengendalian ini adalah
pemisahan tugas, pengendalian keuangan, dan mengubah pengendalian manajemen:
 Pemisahan tugas merupakan elemen penting dari banyak kontrol. Struktur
organisasi tidak boleh membiarkan tanggung jawab untuk semua aspek pengolahan

13
data sampai sisa dengan satu individu. Fungsi memulai, otorisasi, memasukan,
memproses, dan memeriksa data harus dipisahkan untuk memastikan tidak ada
individu yang dapat membuat kesalahan, kelalaian, atau ketidakberesan lainnya
serta mengizinkan dan/atau mengaburkan bukti. Pemisahan tugas control system
aplikasi dilaksanakan dengan memberikan hak akses sesuai dengan persyaratan
pekerjaan untuk fungsi-fungsi pengolahan dan akses informasi.
 Karena organisasi melakukan investasi besar dalam TI, anggaran dan control
keuangan lainnya yang diperlukan untuk memastikan teknologi menghasilkan laba
investasi yang diproyeksikan atau tabungan yang diusulkan. Proses manajemen
harus di tempat untuk mengumpulkan, menganalisis dan melaporkan masalah-
masalah ini. Sayangnya, perkembangan TI yang baru seringkali menderita biaya
besar selama berjalan dan gagal untuk memberikan penghematan biaya yang
diharapkan atau salah perhitungan atau perencanaan yang tidak memadai.
 Mengubah proses manajemen memastikan bahwa perubahan lingkungan TI,
perangkat lunak system, system aplikasi, dan data diterapkan dengan cara yang
memberlakukan pemisahan tugas yang tepat; memastikan bahwa perubahan bekerja
dan diimplementasikan sesuai kebutuhan; dan mencegah perubahan dari
dieksploitasi untuk tujuan penipuan. Kurangnya manajemen perubahan dapat
berdampak serius pada ketersediaan system dan layanan.

Pengendalian fisik dan lingkungan TI melindungi sumber daya sistem informasi


(perangkat keras, perangkat lunak, dokumentasi, dan informasi) dari kerusakan yang tidak
disengaja atau disengaja, penyalahgunaan, atau kerugian. Kontrol semacam itu termasuk,
misalnya:
 Menempatkan server di ruangan terkunci yang dimana aksesnya dibatasi
 Membatasi akses server kepada individu tertentu.
 Menyediakan alat pendeteksi dan pencegah kebakaran.
 Peralatan kerangka mesin sensitif, aplikasi dan data jauh dari bahaya lingkungan,
seperti dataran banjir, jalur penerbangan, atau toko cairan yang mudah terbakar.

2.8 PENGENDALIAN TEKNIS TI


“Pengendalian teknis sering membentuk tulang punggung kerangka kerja manajemen
kerja. Pengendalian ini khusus untuk teknologi yang digunakan dalam infrastruktur TI

14
organisasi.” Seperti yang diilustrasikan dalam gambar 7-4, pengendalian teknis TI
mencakup pengendalian perangkat lunak sistem, pengendalian pengembangan sistem, dan
pengendalian berbasis aplikasi.
Perangkat lunak system memfasilitasi pengunaan perangkat keras sistem dan
termasuk, misalnya, system operasi, system jaringan, system manajemen basis data,
firewall, dan perangkat lunak antivirus. Kontrol perangkat lunak system membatasi akses
logis ke system dan aplikasi organisasi, memantau penggunaan sisrem, dan menghasilkan
jejak audit. Perangkat lunak kontrol system termasuk, misalnya:
 Menetapkan dan mengendalikan sistem hak akses sesuai dengan kebijakan
organisasi
 Pembagian tugas diberlakukan melalui perangkat lunak system dan kontrol
konfigurasi lainnya.
 Penilaian gangguan dan kerentanan pencegahan, dan deteksi di tempat dan terus
dipantau.
 Pengujian gangguan dilakukan secara teratur.
 Layanan enskripsi diterapkan di mana kerahasiaan merupakan persyaratan awal.
 Mengubah proses manajemen –termasuk manajemen patch- di tempat untuk
memastikan proses yang dikontrol ketat untuk menerapkan semua perubahan dan
tambalan ke perangkat lunak, system, komponen jaringan, dan data.

Sistem aplikasi yang dikembangkan di rumah atau dibeli dari penjual, harus secara
efektif dan efisien memproses informasi sesuai dengan kebutuhan pengguna.
Pengembangan system dan pengendalian akuisisi termasuk, misalnya:
o Mendokumentasikan kebutuhan pengguna dan mengukur pencapaian persyaratan.
o Desain sistem harus mengikuti proses formal untuk memastikan kebutuhan
pengguna dan kontrol yang dirancang ke dalam system.
o Pengembangan sistem harus dilakukan secara terstruktur untuk memastikan dan
fitur desain yang disetujui dimasukkin ke dalam produk jadi.
o Pengujian harus memastikan bahwa elemen system individual bekerja sesuai yang
dibutuhkan, sistem antarmuka beroperasi sesuai dengan harapan, dan pemilik
sistem sudah memastikan fungsi yang dimaksud telah tersedia.

15
o Proses perawatan aplikasi harus memastikan bahwa perubahan dalam sistem
aplikasi mengikuti pola kontrol yang konsisten. Manajemen perubahan harus patuh
pada proses validasi jaminan terstruktur.

Pengendalian aplikasi berbasis dilaksanakan untuk memastikan bahwa:


 Semua data input akurat, lengkap, resmi dan benar. Input data diproses
sebagaimana dimaksud.
 Semua data diproses sebagaimana dimaksud.
 Seamua data yang disimpan akurat dan lengkap.
 Catatan dipertahankan untuk melacak proses data dari input ke penyimpanan dan
ke output pada akhirnya.

Pengendalian aplikasi berbasis meliputi, misalnya


 Pengendalian masukan. Pengendalian ini digunakan terutama untuk memeriksa
integritas data yang dimasukkan ke dalam aplikasi bisnis, apakah sumbernya
diinput secara langsung oleh staf,secara jarak jauh oleh mitra bisnis, atau melalui
aplikasi yang didukung oleh Web.
 Pengendalian pengolahan. Pengendalian ini menyediakan sarana otomats untuk
memastikan pengolahan selesai, akurat dan sah.
 Pengendalian output. Pengendalian-pengendalian ini membahas yang dilakukan
dengan data. Mereka harus membandingkan hasil dengan hasil yang diinginkan dan
memeriksanya terhadap input.
 Pengendalian integritas. Pengendalian ini dapat memantau data dalam proses dan/
atau penyimpanan untuk memastikan bahwa data tetap konsisten dan benar.
 Jejak manajemen. Mengolah kendali riwayat, sering disebut sebagai jejak audit,
memungkinkan manajemen untuk melacak transaksi dari sumber ke hasil akhir dan
menelusuri mundur dari hasil untuk mengidentifikasi transaksi dan peristiwa yang
mereka catat.

2.9 PENGENDALIAN KEMANAN INFORMASI


Pengendalian keamanan informasi tidak secara eksplisit disajikan dalam tampilan 7-4
karena "keamanan informasi merupakan bagian integral dari semua kontrol IT".

16
Pengendalian keamanan informasi melindungi sistem informasi dari akses fisik dan logis
yang tidak sah. Pengendalian akses fisik memberikan keamanan atas sumber daya TI yang
nyata dan mencakup hal-hal seperti pintu terkunci, kamera pengintai, dan penjaga
keamanan. Kontrol akses logis menyediakan keamana atas perangkat lunak dan informasi
yang tertanam dalam sistem dan mencakup hal-hal seperti firewall, enkripsi, ID masuk,
kata sandi, table otorisasi, dan log aktivitas komputer. Kekurangan dalam pengendalian
keamanan informasi membahayakan keefektifan semua tata kelola TI lainnya, manajemen,
dan pengendalian teknis.
Karena risiko yang meningkat ke organisasi dari ancaman cybersecurity, peraturan
pelaporan pengungkapan tambahan untuk pelaporan keuangan telah diberlakukan oleh
U.S. Securities and Exchange Commission AS (SEC) efektif Oktober 2011. Audit internal
kontrol keamanan informasi akan membantu memastikan bahwa organisasi mengambil
pendekatan proaktif untuk mengelola risisko cybersecurity dan mematuhi persyaratan
pelaporan SEC yang lebih ketat.

2.10 IMPLIKASI TI UNTUK AUDITOR INTERNAL


Bagian sebelumnya dari bab ini menjelaskan bagaimana TI telah mempengaruhi
organisasi. TI telah mengubah cara di mana organisasi merumuskan strategi, melakukan
operasi sehari-hari, dan mengambil keputusan. Perubahan ini telah menghasilkan risiko
baru dan organisasi yang dipaksa untuk mengubah tata kelola mereka, manajemen risiko
dan proses pengendalian. Dampak menyeluruh TI di organisasi pada gilirannya memaksa
auditor internal untuk meningkatkan pengetahuan dan keterampilan TI mereka dan
menyesuaikan bagaimana mereka melakukan pekerjaan mereka.

Kemahiraan TI dan perawatan profesional


Dua standar penerapan atribut khusus yang ditujukan kepada para profesional TI
internal harus memiliki dan menangani kemampuan IT auditor internal harus memiliki dan
pertimbangan mereka harus berikan untuk menggunakan teknik audit berbasis teknologi:
1210.A3 - Auditor internal harus memiliki pengetahuan yang cukup tentang risiko
dan pengendalian teknologi informasi utama dan teknik audit berbasis teknologi
yang tersedia untuk melakukan pekerjaan mereka ditugaskan. Namun, tidak semua
auditor internal diharapkan memiliki keahlian internal auditor yang tanggung jawab
utamanya adalah teknologi informasi audit.

17
1220.A2 - Dalam melaksanakan perawatan profesional, auditor internal harus
mempertimbangkan penggunaan audit berbasis teknologi dan teknik analisis data
lainnya.
Standar 1210. A3 dan 1220 A.2 dengan jelas menunjukkan bahwa semua auditor
internal yang menyediakan layanan jaminan membutuhkan setidaknya tingkat dasar
risiko TI, pengendalian, dan keahlian audit. Konsep-konsep pengendalian dan risiko
TI yang mendasar yang perlu dipahami oleh semua auditor internal dibahas di bagian
sebelumnya. Computer-assisted audit techniques (CAATs), dijelaskan dalam bab 10.
“Bukti Audit dan Kertas Kerja” . CAATs termasuk perangkat lunak audit umum
(GAS) seperti ACL dan IDEA, keduanya adalah pada DVD-ROM yang menyertai
buku pelajaran ini, GAS adalah contoh audit TI bahwa fungsi audit internal semakin
mengharapkan semua anggota satf untuk memahami dan menerapkan secara efektid.
Perangkat lunak utilitas, data uji, pelacakan, dan pemetaan perangkat lunak aplikasi,
sistem pakar audit, dan audit kontinyu adalah CAATs lain yang dijelaskan pada bab
10.

Jaminan Keterlibatan Tanggung Jawab TI


Tiga standar pelaksanaan kinerja secara khusus menangani auditor internal jaminan
keterlibatan tanggung jawab mengenai sistem informasi dan teknologi:
2110.A2 - Aktivitas audit internal harus menilai apakah tata kelola teknologi
informasi dari organisasi menopang dan mendukung strategi dan tujuan organisasi
2120.A1 - Aktivitas audit internal harus mengevaluasi eksposur risiko yang berkaitan
dengan sistem informasi
2130.A1 - Aktivitas audit internal harus mengevaluasi kecukupan dan efektivitas
pengendalian dalam menanggapi risiko dalam sistem informasi organisasi.

Ketiga standar ini mencerminkan fakta sebuah fungsi audit internal tidak dapat
secara efektif mengevaluasi tata kelola, manajemen risiko, dan mengolah pengendalian
tanpa memberikan pertimbangan yang wajar kepada sistem informasi dan teknologi. Untuk
mengisi tanggung jawab TI terkait, sebuah fungsi audit internal harus:
 Menyertakan sistem informasi organisasi dalam proses perencanaan audit
tahunannya.
 Mengidentifikasi dan menilai risiko TI organisasi.
 Pastikan bahwa ia memiliki keahlian audit TI yang memadai.

18
 Menilai tata kelola, manajemen, dan kontrol teknis TI.
 Menugaskan auditor dengan tingkat keahlian TI yang tepat untuk setiap
keterlibatan jaminan.
 Gunakan teknik audit berbasis teknologi yang sesuai.

TI Outsourcing
Proses bisnis outsourcing diperkenalkan dalam bab 5, "proses bisnis dan risiko,"
sebagai tindakan memindahkan beberapa proses bisnis organisasi ke penyedia luar untuk
mencapai pengurangan biaya sambil meningkatkan kualitas dan efisiensi layanan. Ini
adalah alasan-alasan bahwa outsourcing fungsi TI untuk vendor yang mengkhususkan diri
dalam menyediakan layanan TI.
seperti halnya dengan semua jenis outsourcing, outsourcing TI membawa risiko pada
dewan organisasi dan manajemen harus memahami dan mengelola. Dengan demikian,
mereka akan mencari jaminan mengenai informasi yang menjadi dasar pengambilan
keputusan outsourcing mereka. Fungsi audit internal dapat memberikan jaminan seperti itu
dan, sebagai tambahan, menyarankan dewan dan manajemen tentang implikasi risiko dan
kontrol dari outsourcing TI.
Dewan dan manajemen juga mempertahankan tanggung jawab untuk kontrol atas
fungsi TI yang dialihdayakan dan akan memanggil CAE untuk memberi mereka jaminan
mengenai kecukupan desain dan efektifitas operasi dari kontrol ini. Bergantung pada
keadaan, CAE mungkin mengandalkan, sampai taraf tertentu pada laporan auditor internal
dan/atau auditor luar independen dari penyedia layanan TI saat merumuskan kesimpulan
tentang kontrol atas fungsi TI yang dialihdayakan. Jika fungsi TI berisko tinggi telah
dialihdayakan, CAE harus mengalokasikan sumber daya audit internal yang sesuai untuk
menguji kontrol atas fungsi-fungsi tersebut. GTAG 7: Information Technology Outsourcing
menjelaskan secara terperinci beberapa pertimbangan outsourcing TI kunci yang menjamin
perhatian fungsi audit.

Integrasi dan Audit Berkesinambungan


Audit internal secara historis telah dilakukan secara retrospektif, misalnya setelah
transaksi terjadi. Pendekatan audit setelah fakta ini dengan cepat menjadi usang karena
kemajuan teknologi menimbulkan proses bisnis yang dapat diandalkan dimana pengolahan
transaksi secara online dan real time adalah hal yang umum. Jalur audit berbasis kertas dari

19
pengolahan dan kontrol transaksi semakin digantikan dengan jalur audit tanpa kertas dan
kontrol otomatis yang tertanam yang dirancang untuk menguji kepatutan transaksi yang
terjadi. Dalam lingkungan sistem informasi ini, bukti langsung dari pengolahan transaksi
dan implementasi kontrol sering bersifat sementara. Ini berarti bahwa menjadi kurang dan
kurang layak bagi auditor internal “untuk mengaudit komputer” dan mencapai kesimpulan
yang valid tentang keefektifan pengendalian secara keseluruhan atas pelaporan keuangan,
operasi, dan kepatuhan. Mereka harus “mengaudit melalui komputer” untuk mengevaluasi
kontrol TI yang dibangun kedalam sistem.
Mengintegrasikan audit TI ke dalama keterlibatan jaminan. Integrasi kontrol TI
langsung ke dalama proses bisnis, bersama dengan ketersediaan CAAT yang mudah
digunakan, mendorong semakin banyak fungsi audit internal untuk memodifikasi
pendekatan audit mereka. Alih-alih melakukan perjanjian jaminan terpisah yang
difokuskan secara ketat pada risiko dan kontrol TI tingkat proses, fungsi internal ini akan
mengasimilasikan TI dan mengontrol penilaian ke dalam jaminan yang dilakukan untuk
menilai tingkat pelaporan keuangan, operasi, dan/atau resiko kepatuhan dan kontrol.
Fungsi audit internal yang telah mengadopsi pendekatan ini menemukan bahwa hal
itu menguntungkan organisasi mereka dengan meningkatkan baik efektivitas dan efisiensi
layanan jaminan audit internal mereka. Keterlibatan jaminan terpadu lebih efektif karena
auditor internal berada dalam posisi yang jauh lebih baik untuk menilai seluruh portofolio
risiko pihak yang diaudit dan mencapai kesimpulan menyeluruh tentang kecukupan desain
dan efektivitas operasi kontrol. Proses audit lebih efisien karena (1) keterlibatan yang
sebelumnya dilakukan secara terpisah digabungkan dan (2) identifikasi dan penilaian
semua risiko dan kontrol utama dikonsolidasikan dalam keterlibatan audit terpadu.
Audit berkesinambungan. Audit berkelanjutan didefinisikan dalam GTAG 3: Audit
Berkesinambungan: Implikasi untuk Jaminan, Pemantauan, dan Penilaian Resiko sebagai
“metode apapun yang digunakan [auditor internal] untuk melakukan kegiatan yang terkait
dengan audit secara lebih berkelanjutan atau terus menerus.” Seperti yang dijelaskan dalam
GTAG 3 , audit berkesinambungan terdiri dari dua kegiatan utama :
• Penilaian pengendalian berkesinambungan, tujuan yang "untuk memusatkan
perhatian audit pada defisiensi pengendalian sedini mungkin”, dan
• Penilaian risiko berkesinambungan, tujuan yang adalah untuk menyoroti proses
atau sistem yang mengalami tingkat risiko lebih tinggi dari tingkat yang
diharapkan.”

20
Penilaian pemantauan berkesinambungan adalah komponen integral ketiga dari
audit berkesinambungan. Sebagaimana ditunjukkan sebelumnya dalam bab ini, manajemen
bertanggung jawab untuk memantau proses manajemen risiko organisasi, termasuk proses
kontrol, dari waktu ke waktu untuk memastikan bahwa it uterus beroperasi secara efektif
dan efisien. Tanggung jawab audit kontinyu fungsi audit internal adalah untuk menilai
efektivitas kegiatan pemantauan berkelanjutan dari manajemen. Di area organisasi dimana
manajemen telah menerapkan proses pemantauan berkelanjutan yang efektif , auditor
internal dapat melakukan penilaian resiko dan kontrol yang lebih ketat secara
berkelanjutan. Sebaliknya, jika pemantauan berkelanjutan tidak ada atau tidak efektif,
fungsi audit internal harus melakukan penilaian resiko dan pengendalian berkelanjutan
yang lebih ketat.

21
BAB III
PENUTUP

3.1 SIMPULAN
Dampak menyeluruh dari TI terhadap strategi, sistem informasi, dan proses organisasi
telah sangat mempengaruhi profesi audit internal, dan bab ini membahas konsep-konsep
dasar TI yang harus dipahami oleh setiap auditor internal:
 Enam komponen kunci dari sistem informasi modern - perangkat keras komputer,
jaringan, perangkat lunak komputer, basis data, informasi, dan orang-orang yang
dijelaskan dan diilustrasikan.

 Peluang yang dimungkinkan oleh TI dan risiko yang timbul sebagai akibat dari TI
dibahas. Peluang yang didukung TI mencakup hal-hal seperti penjualan online,
integrasi proses bisnis, dan pertukaran informasi elektronik mitra dagang. Jenis
risiko yang umum di seluruh organisasi dan industri meliputi:
- Seleksi.
- Pengembangan / akuisisi dan penyebaran.
- Tersedianya.
- Perangkat keras lunak.
- Mengakses.
- Keandalan Sistem dan integritas informasi.
- Kerahasiaan dan privasi.
-Penipuan dan tindakan jahat.

 Tata kelola TI diidentifikasi sebagai subkomponen penting dari keseluruhan tata


kelola; Manajemen risiko TI dijelaskan dalam kontes komponen TI; dan
pengendalian TI disajikan sebagai hirarki top-down tata kelola TI, manajemen, dan
kontrol teknis.

 Implikasi dari TI untuk auditor internal sangat penting. Fungsi audit internal perlu
memahami sistem informasi organisasi mereka dan risiko TI yang mengancam
pencapaian tujuan bisnis organisasi mereka. Mereka juga harus mahir dalam

22
menilai tata kelola TI organisasi mereka, manajemen risiko, dan proses kontrol dan
dapat secara efektif menerapkan teknik audit berbasis teknologi.

 Sumber pedoman audit TI diidentifikasi. Dua komponen kunci dari penuntun audit
TI yang dikembangkan oleh IIA adalah panduan praktek GTAG dan GAIT.
Panduan lain yang tersedia melalui the IIA Research Fondation Bookstore dan,
untuk trend an praktik saat ini, diunduh dari bagian IIA audit dari Auditor Online.

Singkatnya, TI telah secara signifikan mengubah kompetensi yang harus dimiliki auditor
internal dan bagaimana mereka melakukan pekerjaan mereka. Kapasitas fungsi audit
internal untuk memberikan jaminan nilai tambah dan layanan konsultan sangat tergantung
pada keahlian TI-nya. Semua auditor internal harus memiliki dasar pengetahuan dan
keterampilan teknologi. Ini termasuk sistem kertas kerja otomatis, CAAT, dan terminologi
TI. Fungsi audit internal dapat memberikan wawasan tentang bagaimana organisasi dapat
memanfaatkna kemajuan terbaik dalam TI.

23
DAFTAR PUSTAKA

F. Reding, Kurt, et al. 2013. Internal Auditing: Assurance & Advisory Services. Florida
(USA). The Institute of Internal Auditors Research Foundation.

24

Anda mungkin juga menyukai