MAKALAH
Di susun Oleh :
Lena Herlina 10090115095
Yola Septidiana 10090115096
Rani Jayafadila 10090115097
Daftar Isi........................................................................................................................................ i
BAB I PENDAHULUAN................................................................................................. 1
1.1 Latar Belakang............................................................................................. 1
BAB II PEMBAHASAN.................................................................................................... 2
2.1 Komponen Kunci Sistem Informasi Modern............................................... 2
2.2 Peluang dan Risiko Teknologi Informasi..................................................... 5
2.3 Tata Kelola Teknologi Informasi................................................................. 8
2.4 Manajemen Risiko Teknologi Informasi...................................................... 9
2.5 Kontrol TI....................................................................................................11
2.6 Kontrol Tata Kelola TI.................................................................................12
2.7 Kontrol Manajemen TI.................................................................................13
2.8 Kontrol Teknis TI.........................................................................................14
2.9 Kontrol Keamanan Informasi.......................................................................16
2.10 Implikasi TI untuk Internal Auditor.............................................................17
BAB III PENUTUP.............................................................................................................22
3.1 Simpulan......................................................................................................22
Daftar Pustaka......................................................................................................................24
i
BAB I
PENDAHULUAN
1
BAB II
PEMBAHASAN
Contoh: Perangkat keras komputer yang digambarkan dalam tampilan 7-2 termasuk
smartphone, komputer desktop, dua komputer laptop, printer, komputer mainframe, empat
server, dan dua firewall. Perangkat tambahan yang tidak diketahui oleh organisasi juga
2
dapat mengakses data dan memperbarui basis data di belakang firewall. Inilah sebabnya
mengapa aturan keamanan informasi sangat penting untuk orgnisasi.
Jaringan – Sebuah jaringan komputer menghubungkan dua atau lebih komputer sehingga
mereka dapat berbagi informasi dan / atau beban kerja. Ada banyak jenis jaringan:
Sebuah jaringan client-service menghubungkan satu atau lebih komputer client
dengan server dan pengolahan data dibagi antara klien (s) dan server dengan cara
yang mengoptimalkan efisiensi pengolahan.
Sebuah jaringan area lokal (LAN) mencakup area yang relatif kecil seperti sebuah
bangunan atau sekelompok bangunan yang berdekatan.
Sebuah jaringan area luas (WAN) terdiri dari sistem LAN terhubung bersama-sama
untuk rentang area regional, nasional, maupun global.
Sebuah intranet adalah jaringan pribadi organisasi yang hanya dapat diakses oleh
personil organisasi itu.
Sebuah extranet dapat diakses oleh pihak ketiga yang dipilih seperti pemasok dan /
atau pelanggan yang berwenang.
Sebuah nilai tambah jaringan (VAN) adalah jaringan pihak ketiga yang
menghubungkan organisasi dengan mitra dagangnya.
Internet (jaringan interkoneksi) adalah sistem publik yang sangat besar dan
kompleks jaringan komputer yang memungkinkan pengguna untuk berkomunikasi
secara global.
Dua perangkat dapat berbagi informasi hanya diantara mereka masing-masing
tanpa harus ikut ke jaringan lain.
Contoh: Tampilan 7-2 menggambarkan keterkaitan antara LAN, intranet organisasi,
dan internet.
Perangkat lunak komputer – Perangkat lunak komputer termasuk perangkat lunak sistem
operasi, perangkat lunak utilitas, perangkat lunak sistem manajemen basis data (DBMS),
perangkat lunak aplikasi, dan perangkat lunak firewall.
o Perangkat Lunak Sistem Operasi: Mengontrol input dasar, memproses, dan output
dari komputer dan mengatur interkoneksi dari perangkat keras system
o Perangkat Lunak Utilitas: Menambah sistem operasi dengan fungsionalitas seperti
enkripsi, pengoptimalan ruang disk, dan perlindungan terhadap virus.
3
o Perangkat lunak sistem manajemen database: Mengelola data yang disimpan dalam
database, mengontrol akses ke database, dan mencadangkan database secara
otomatis.
o Perangkat Lunak Aplikasi: Mencakup perangkat lunak akuntansi yang digunakan
untuk memproses transaksi serta jenis perangkat lunak lainnya, (seperti pengolah
kata dan perangkat lunak spreadsheet) yang memungkinkan pengguna akhir untuk
melakukan tugas yang mereka berikan.
o Perangkat Lunak Firewall. Memberlakukan kontrol akses antara dua jaringan
dengan hanya mengizinkan transmisi data resmi untuk melewati firewall di kedua
arah.
Database – Database adalah repositori data yang besar, biasanya file-file yang saling
terhubung dan disimpan dengan cara yang memungkinkan data yang akan mudah diakses,
diambil, dan dimanipulasi. Database operasional mendukung pemrosesan transaksi sehari-
hari dan terus diperbarui saat transaksi diproses. Sebuah gudang data adalah kumpulan
besar data yang disimpan dari waktu ke waktu untuk mendukung analisis data secara
online dan pengambilan keputusan.
Informasi – Informasi adalah sumber daya utama untuk semua perusahaan, dan sejak saat
informasi itu dibuat hingga hancur, teknologi memainkan peran penting. Sistem informasi
mengumpulkan dan menyimpan data, mengubah data menjadi informasi yang berguna, dan
memberikan informasi kepada pengambil keputusan internal dan eksternal. Agar informasi
menjadi berguna itu harus relevan, dapat diandalkan, lengkap, akurat, dan tepat waktu.
Orang – Peran sistem informasi bervariasi secara signifikan dari satu organisasi ke yang
lain. Biasanya, peran ini meliputi:
Kepala Petugas Informasi (CIO): Bertanggung jawab untuk pengawasan sehari-hari
dan pengawan langsung IT dan untuk memastikan bahwa tujuan dan strategi TI
selaras dengan tujuan bisnis organisasi dan strategi.
Administrator Database: Bertanggung jawab untuk mengawasi desain,
pengembangan, implementasi, dan pemeliharaan database, mengontrol akses ke
database, pemantauan kinerja database, dan meningkatkan database dalam
menanggapi perubahan kebutuhan pengguna.
4
Pengembang Sistem: meliputi analis dan programmer. Analis survei pengguna
kebutuhan TI , melakukan analisis "apa" versus "apa yang seharusnya" dari sistem
TI, dan merancang sistem TI baru. Programmer membangun dan menguji
perangkat lunak yang digunakan untuk menjalankan tugas-tugas pengolahan data.
Personil Pengolahan data: Mengelola sumber daya terpusat TI dan melakukan input
sehari-hari terpusat, pengolahan, dan kegiatan output.
Pengguna akhir adalah manajer dan karyawan untuk siapa sistem informasi
dibangun. Mereka menggunakan informasi yang dihasilkan oleh sistem untuk
melaksanakan peran mereka sehari-hari dan tanggung jawab.
5
Electronic Data Interchange (EDI) - EDI melibatkan komputer-ke-komputer
pertukaran dokumen bisnis secara elektronik dari di antara organisasi dan mitra
dagangnya. Organisasi berharap manfaat untuk memperoleh hasil dari pelaksanaan
EDI meliputi efisiensi proses transaksi dan kesalahan pengolahan data yang lebih
sedikit. Selain itu, kemajuan terbaru dalam teknologi e-bisnis telah memungkinkan
EDI Internet, yang kurang efektif dan efisien melaksanakan EDI kecuali mitra
dagangnya juga efektif menerapkan EDI. Selain itu, melakukan bisnis melalui
Internet tidak bebas risiko. Sepenuhnya memanfaatkan peluang EDI memiliki
tawaran tergantung pada mitigasi risiko yang terkait dengan e-bisnis.
Risiko TI
Setiap komponen kunci dari sistem informasi dijelaskan sebelumnya dalam bab ini
merupakan sumber potensial risiko. Sebagai contoh:
Hardware komputer rentan terhadap pemadaman listrik yang mengganggu proses
transaksi.
Jaringan mengirimkan informasi yang dapat disadap dan dicuri atau
disalahgunakan.
Perangkat lunak komputer yang tidak akurat diprogram dapat menghasilkan
informasi yang tidak valid, tidak lengkap, dan / atau tidak akurat.
Database dapat menyusup untuk tujuan menggelapkan atau menyalahgunakan
informasi.
Informasi yang tidak valid, lengkap, dan / atau tidak akurat dapat menyebabkan
keputusan yang buruk.
Seseorang dapat melakukan tugas IT yang tidak sesuai dan dengan demikian berada
dalam posisi untuk melakukan dan menyembunyikan kesalahan atau penipuan.
Penggunaan TI dalam sistem informasi membuka pintu bagi risiko TI. Risiko TI spesifik
yang dihadapi organisasi tertentu akan bergantung pada sifat bisnis dan operasi organisasi,
industri tempat organisasi beroperasi, konfigurasi sistem informasi organisasi, dan
beberapa faktor internal serta eksternal lainnya. Selain itu, risiko berubah sebagi akibat dari
perubahan dalam lingkungan internal dan eksternal organisasi dan tidak ada didunia bisnis
saat ini yang berubah lebih baik daripada TI. Dengan demikian, organisasi harus selalu
6
mengikuti kemajuan dalam TI dan terus mempertimbangkan konsekuensi risiko dari
kemajuan ini.
Ada beberapa jenis risiko TI yang cenderung umum di organisasi dan industri:
Seleksi Risiko - Pemilihan solusi TI sejajar dengan tujuan strategis dapat
menghalangi pelaksanaan strategi tergantung TI. Misalnya, pengambil keputusan
tidak memenuhi syarat dan informasi yang tidak memadai.
Pengembangan / Akuisisi dan Deployment Risiko - Masalah yang dihadapi sebagai
solusi TI yang sedang dikembangkan / diperoleh dan digunakan dapat
menyebabkan penundaan tak terduga, kelebihan biaya, atau bahkan meninggalkan
proyek. Misalnya, dukungan vendor yang tidak memadai dan resistensi terhadap
perubahan.
- Ketersediaan Risiko - Tidak tersedianya sistem bila diperlukan dapat menyebabkan
keterlambatan dalam pengambilan keputusan, interupsi bisnis, kehilangan
pendapatan, dan ketidakpuasan pelanggan.
- Hardware / Software Risiko - Kegagalan hardware / software untuk melakukan
dengan benar dapat menyebabkan gangguan usaha, kerusakan sementara atau
permanen atau kerusakan data, dan perangkat keras / lunak perbaikan atau
penggantian biaya.
- Risiko Access - akses fisik atau logis tidak sah ke sistem dapat mengakibatkan
pencurian atau penyalahgunaan hardware, modifikasi perangkat lunak berbahaya,
dan pencurian, penyalahgunaan, atau kerusakan data.
- Sistem Keandalan dan Risiko Informasi Integritas - kesalahan sistematis dan
inkonsistensi dalam pengolahan dapat menghasilkan informasi yang irrelevan,tidak
lengkap,tidak akurat, dan / atau informasi sebelum waktunya.
- Kerahasiaan dan Privasi Risiko - pengungkapan yang tidak sah dari informasi hak
milik mitra bisnis atau informasi pribadi individu dapat mengakibatkan hilangnya
bisnis, tuntutan hukum, tekanan negatif, dan penurunan reputasi.
- Risiko Penipuan dan Tindakan Jahat - Pencurian sumber daya TI, penyalahgunaan
sumber daya TI yang disengaja, atau distorsi yang disengaja atau perusakan
informasi dapat mengakibatkan kerugian finansial dan / atau informasi salah saji
yang bergantung pada pengambil keputusan.
7
Tata Kelola didefinisikan dalam bab 1, “Pengantar Audit Internal”, sebagai proses
yang dilakukan oleh dewan direksi untuk mengesahkan, mengarahkan, dan mengawasi
manajemen terhadap pencapaian tujuan organisasi. Sebagaimana dibahas secara rinci
dalam bab 3 “Tata Kelola”, struktur tata kelola organisasi memberikan jaminan bahwa
organisasi beroperasi dalam batas dan nilai yang ditetapkan oleh dewan dan manajemen
senior.
Sebagaimana ditunjukan dalam bab ini, organisasi menginvestasikan sejumlah bsar
uang dalam TI karena TI memungkinkan pelaksanaan strategi bisnis dan pencapaian tujuan
bisnis. Menanggapi dampak yang meluas TI terhadap strategi dan operasi bisnis mereka,
banyak organisasi telah memutuskan bahwa tata kelola TI dengan sendirinya cukup
penting untuk mendapatkan perhatian khusus.
Sebagaimana didefinisikan oleh the IIA, tata kelola TI:
“Terdiri dari struktur organisasi, dan proses yang memastikan bahwa teknologi informasi
perusahaan menopang dan mendukung strategi dan tujuan organisasi.”
Deskripsi dan definisi di atas dengan jelas menunjukkan bahwa dewan dan manajemen
senior “memiliki” tata kelola TI, sama seperti mereka memiliki semua aspek lain dari tata
kelola lainnya. Beberapa dewan telah membentuk komite tata kelola yang rentang
tanggung jawabnya termasuk tata kelola TI. Komite audit sering memainkan peran kunci
dalam tata kelola TI juga. Peran tata kelola TI dari dewan dan komitenya adalah untuk
memberikan arahan tata kelola TI kepada manajemen senior dan mengawasi kegiatan tata
kelola TI manajemen senior. Manajemen bertanggung jawab untuk mengarahkan dan
mengawasi pelaksanaan sehari-hari dari tata kelola TI. Beberapa organisasi telah
membentuk tata kelola TI komite, yang anggotanya termasuk CIO dan eksekutif senior
lainnya.
Sebagaimana dijelaskan dalam GTAG 17 : Audit IT Governance dan digambarkan dalam
tampilan 7-3, tata kelola TI merupakan kunci dari keseluruhan tata kelola perusahaan.
Gambar 7-3
8
IT GOVERNANCE FRAMEWORK
9
dan pencapaian tujuan bisnis, manajemen strategis opersai TI harus selaras dengan
manajemen strategis organisasi secara keseluruhan.
Identifikasi Peristiwa – Peristiwa potensial yang timbul di dalam atau di luar
organisasi yang dapat mempengaruhi strategi organisasi dan pencapaian tujuan
harus diidentifikasi.
Penilaian Risiko – Peristiwa risiko TI yang teridentifikasi harus dinilai berdasarkan
dampak dan kemungkinan bawaannya. Penilaian ini melibatkan analisis potensi
konsekuensi yang merugikan dan penyebab peristiwa risiko. Dampak residual dan
kemungkinan kejadian risiko TI yang diidentifikasi juga harus dinilai, dengan
mempertimbangkan defisiensi manajemen risiko yang ada.
Respon Risiko – Respons risiko yang sesuai harus diformulasikan untuk
mengidentifikasi kejadian risiko TI. Penerimaan risiko merupakan tanggapan yang
tepat untuk kejadian risiko TI dengan dampak yang melekat dan tingkat
kemungkinan yang tidak melebihi toleransi risiko manajemen. Kemungkinan
respons risiko untuk kejadian risiko TI dengan dampak yang melekat dan tingkat
kemungkinana yang melebihi toleransi risiko manajemen termasuk menghindari,
mengurangi, atau berbagi risiko.
Aktivitas Kontrol – Kebijakan respons risiko yang tepat harus ditetapkan dan
prosedur (tindakan yang diambil untuk menerapkan kebijakan) harus dirancang
secara memadai dan beroperasi secara efektif untuk memberikan jaminan bahwa
sisa tingkat risiko TI berada dalam toleransi risiko manajemen. Kontrol TI dibahas
di bagian selanjutnya dari bab ini.
Informasi dan Komunikasi – Tujuan dari sebuah system informasi organisasi adalah
untuk mengidentifikasi, menangkap, dan menyampaikan informasi yang berkualitas
tinggi kepada pembuat keputusan secara tepat waktu. Misalnya, informasi yang
berkaitan dengan mengidentifikasi, menilai, dan menanggapi peristiwa risiko TI
harus dikomunikasikan ke seluruh organisasi. Aspek penting dari manajemen risiko
TI adalah memastikan bahwa system informasi yang memungkinkan teknologi
organisasi dapat diandalkan menghasilkan mengasilkan informasi berkualitas
tinggi.
Pengawasan – Manajemen bertanggung jawab untuk memantau proses manajemen
risiko TI, termasuk proses kontrol TI, dari waktu ke waktu untuk memastikan
10
bahwa proses terus beroperasi secara efektif dan efisien sebagai faktor lingkungan
internal dan eksternal yang mempengaruhi perubahan organisasi.
2.5 PENGENDALIAN TI
Penegendalian didefinisikan dalam bab 1. "pengantar audit internal". Sebagai proses
tertanam dalam manajemen risiko dan dilakukan oleh manajemen untuk mengurangi risiko
ke tingkat yang dapat diterima. Bab 6 "pengendalian internal", menyediakan cakupan
mendalam dari pengendalian internal dan memperkenalkan konsep memberikan cakupan
mendalam dari pengendalian internal dan memperkenalkan konsep dari kontrol TI. Kontrol
TI umumnya diklasifikasikan sebagai kontrol umum atau aplikasi. Kontrol TI umumnya
diklasifikasikan sebagai kontrol umum atau aplikasi seperti yang dijelaskan dalam bab 6:
• Pengendalian Umum - berlaku untuk semua system Komponen, proses, dan data
untuk sebuah organisasi atau sistem lingkungan tertentu
• Pengendalian Aplikasi - berkaitan dengan ruang lingkup proses bisnis individu atau
sistem aplikasi dan termasuk control dalam suatu aplikasi meliputi input, pengolahan
dan output.
11
Gambar 7-4
IT CONTROL FRAMEWORK
Tata Kelola
Manajemen
Teknis
12
Kebijakan personal yang mendefinisikan dan menegakan kondisi untuk staff di
daerah sensitive.
Definisi persyaratan perencanaan kesinambungan bisnis secara keseluruhan.
13
data sampai sisa dengan satu individu. Fungsi memulai, otorisasi, memasukan,
memproses, dan memeriksa data harus dipisahkan untuk memastikan tidak ada
individu yang dapat membuat kesalahan, kelalaian, atau ketidakberesan lainnya
serta mengizinkan dan/atau mengaburkan bukti. Pemisahan tugas control system
aplikasi dilaksanakan dengan memberikan hak akses sesuai dengan persyaratan
pekerjaan untuk fungsi-fungsi pengolahan dan akses informasi.
Karena organisasi melakukan investasi besar dalam TI, anggaran dan control
keuangan lainnya yang diperlukan untuk memastikan teknologi menghasilkan laba
investasi yang diproyeksikan atau tabungan yang diusulkan. Proses manajemen
harus di tempat untuk mengumpulkan, menganalisis dan melaporkan masalah-
masalah ini. Sayangnya, perkembangan TI yang baru seringkali menderita biaya
besar selama berjalan dan gagal untuk memberikan penghematan biaya yang
diharapkan atau salah perhitungan atau perencanaan yang tidak memadai.
Mengubah proses manajemen memastikan bahwa perubahan lingkungan TI,
perangkat lunak system, system aplikasi, dan data diterapkan dengan cara yang
memberlakukan pemisahan tugas yang tepat; memastikan bahwa perubahan bekerja
dan diimplementasikan sesuai kebutuhan; dan mencegah perubahan dari
dieksploitasi untuk tujuan penipuan. Kurangnya manajemen perubahan dapat
berdampak serius pada ketersediaan system dan layanan.
14
organisasi.” Seperti yang diilustrasikan dalam gambar 7-4, pengendalian teknis TI
mencakup pengendalian perangkat lunak sistem, pengendalian pengembangan sistem, dan
pengendalian berbasis aplikasi.
Perangkat lunak system memfasilitasi pengunaan perangkat keras sistem dan
termasuk, misalnya, system operasi, system jaringan, system manajemen basis data,
firewall, dan perangkat lunak antivirus. Kontrol perangkat lunak system membatasi akses
logis ke system dan aplikasi organisasi, memantau penggunaan sisrem, dan menghasilkan
jejak audit. Perangkat lunak kontrol system termasuk, misalnya:
Menetapkan dan mengendalikan sistem hak akses sesuai dengan kebijakan
organisasi
Pembagian tugas diberlakukan melalui perangkat lunak system dan kontrol
konfigurasi lainnya.
Penilaian gangguan dan kerentanan pencegahan, dan deteksi di tempat dan terus
dipantau.
Pengujian gangguan dilakukan secara teratur.
Layanan enskripsi diterapkan di mana kerahasiaan merupakan persyaratan awal.
Mengubah proses manajemen –termasuk manajemen patch- di tempat untuk
memastikan proses yang dikontrol ketat untuk menerapkan semua perubahan dan
tambalan ke perangkat lunak, system, komponen jaringan, dan data.
Sistem aplikasi yang dikembangkan di rumah atau dibeli dari penjual, harus secara
efektif dan efisien memproses informasi sesuai dengan kebutuhan pengguna.
Pengembangan system dan pengendalian akuisisi termasuk, misalnya:
o Mendokumentasikan kebutuhan pengguna dan mengukur pencapaian persyaratan.
o Desain sistem harus mengikuti proses formal untuk memastikan kebutuhan
pengguna dan kontrol yang dirancang ke dalam system.
o Pengembangan sistem harus dilakukan secara terstruktur untuk memastikan dan
fitur desain yang disetujui dimasukkin ke dalam produk jadi.
o Pengujian harus memastikan bahwa elemen system individual bekerja sesuai yang
dibutuhkan, sistem antarmuka beroperasi sesuai dengan harapan, dan pemilik
sistem sudah memastikan fungsi yang dimaksud telah tersedia.
15
o Proses perawatan aplikasi harus memastikan bahwa perubahan dalam sistem
aplikasi mengikuti pola kontrol yang konsisten. Manajemen perubahan harus patuh
pada proses validasi jaminan terstruktur.
16
Pengendalian keamanan informasi melindungi sistem informasi dari akses fisik dan logis
yang tidak sah. Pengendalian akses fisik memberikan keamanan atas sumber daya TI yang
nyata dan mencakup hal-hal seperti pintu terkunci, kamera pengintai, dan penjaga
keamanan. Kontrol akses logis menyediakan keamana atas perangkat lunak dan informasi
yang tertanam dalam sistem dan mencakup hal-hal seperti firewall, enkripsi, ID masuk,
kata sandi, table otorisasi, dan log aktivitas komputer. Kekurangan dalam pengendalian
keamanan informasi membahayakan keefektifan semua tata kelola TI lainnya, manajemen,
dan pengendalian teknis.
Karena risiko yang meningkat ke organisasi dari ancaman cybersecurity, peraturan
pelaporan pengungkapan tambahan untuk pelaporan keuangan telah diberlakukan oleh
U.S. Securities and Exchange Commission AS (SEC) efektif Oktober 2011. Audit internal
kontrol keamanan informasi akan membantu memastikan bahwa organisasi mengambil
pendekatan proaktif untuk mengelola risisko cybersecurity dan mematuhi persyaratan
pelaporan SEC yang lebih ketat.
17
1220.A2 - Dalam melaksanakan perawatan profesional, auditor internal harus
mempertimbangkan penggunaan audit berbasis teknologi dan teknik analisis data
lainnya.
Standar 1210. A3 dan 1220 A.2 dengan jelas menunjukkan bahwa semua auditor
internal yang menyediakan layanan jaminan membutuhkan setidaknya tingkat dasar
risiko TI, pengendalian, dan keahlian audit. Konsep-konsep pengendalian dan risiko
TI yang mendasar yang perlu dipahami oleh semua auditor internal dibahas di bagian
sebelumnya. Computer-assisted audit techniques (CAATs), dijelaskan dalam bab 10.
“Bukti Audit dan Kertas Kerja” . CAATs termasuk perangkat lunak audit umum
(GAS) seperti ACL dan IDEA, keduanya adalah pada DVD-ROM yang menyertai
buku pelajaran ini, GAS adalah contoh audit TI bahwa fungsi audit internal semakin
mengharapkan semua anggota satf untuk memahami dan menerapkan secara efektid.
Perangkat lunak utilitas, data uji, pelacakan, dan pemetaan perangkat lunak aplikasi,
sistem pakar audit, dan audit kontinyu adalah CAATs lain yang dijelaskan pada bab
10.
Ketiga standar ini mencerminkan fakta sebuah fungsi audit internal tidak dapat
secara efektif mengevaluasi tata kelola, manajemen risiko, dan mengolah pengendalian
tanpa memberikan pertimbangan yang wajar kepada sistem informasi dan teknologi. Untuk
mengisi tanggung jawab TI terkait, sebuah fungsi audit internal harus:
Menyertakan sistem informasi organisasi dalam proses perencanaan audit
tahunannya.
Mengidentifikasi dan menilai risiko TI organisasi.
Pastikan bahwa ia memiliki keahlian audit TI yang memadai.
18
Menilai tata kelola, manajemen, dan kontrol teknis TI.
Menugaskan auditor dengan tingkat keahlian TI yang tepat untuk setiap
keterlibatan jaminan.
Gunakan teknik audit berbasis teknologi yang sesuai.
TI Outsourcing
Proses bisnis outsourcing diperkenalkan dalam bab 5, "proses bisnis dan risiko,"
sebagai tindakan memindahkan beberapa proses bisnis organisasi ke penyedia luar untuk
mencapai pengurangan biaya sambil meningkatkan kualitas dan efisiensi layanan. Ini
adalah alasan-alasan bahwa outsourcing fungsi TI untuk vendor yang mengkhususkan diri
dalam menyediakan layanan TI.
seperti halnya dengan semua jenis outsourcing, outsourcing TI membawa risiko pada
dewan organisasi dan manajemen harus memahami dan mengelola. Dengan demikian,
mereka akan mencari jaminan mengenai informasi yang menjadi dasar pengambilan
keputusan outsourcing mereka. Fungsi audit internal dapat memberikan jaminan seperti itu
dan, sebagai tambahan, menyarankan dewan dan manajemen tentang implikasi risiko dan
kontrol dari outsourcing TI.
Dewan dan manajemen juga mempertahankan tanggung jawab untuk kontrol atas
fungsi TI yang dialihdayakan dan akan memanggil CAE untuk memberi mereka jaminan
mengenai kecukupan desain dan efektifitas operasi dari kontrol ini. Bergantung pada
keadaan, CAE mungkin mengandalkan, sampai taraf tertentu pada laporan auditor internal
dan/atau auditor luar independen dari penyedia layanan TI saat merumuskan kesimpulan
tentang kontrol atas fungsi TI yang dialihdayakan. Jika fungsi TI berisko tinggi telah
dialihdayakan, CAE harus mengalokasikan sumber daya audit internal yang sesuai untuk
menguji kontrol atas fungsi-fungsi tersebut. GTAG 7: Information Technology Outsourcing
menjelaskan secara terperinci beberapa pertimbangan outsourcing TI kunci yang menjamin
perhatian fungsi audit.
19
pengolahan dan kontrol transaksi semakin digantikan dengan jalur audit tanpa kertas dan
kontrol otomatis yang tertanam yang dirancang untuk menguji kepatutan transaksi yang
terjadi. Dalam lingkungan sistem informasi ini, bukti langsung dari pengolahan transaksi
dan implementasi kontrol sering bersifat sementara. Ini berarti bahwa menjadi kurang dan
kurang layak bagi auditor internal “untuk mengaudit komputer” dan mencapai kesimpulan
yang valid tentang keefektifan pengendalian secara keseluruhan atas pelaporan keuangan,
operasi, dan kepatuhan. Mereka harus “mengaudit melalui komputer” untuk mengevaluasi
kontrol TI yang dibangun kedalam sistem.
Mengintegrasikan audit TI ke dalama keterlibatan jaminan. Integrasi kontrol TI
langsung ke dalama proses bisnis, bersama dengan ketersediaan CAAT yang mudah
digunakan, mendorong semakin banyak fungsi audit internal untuk memodifikasi
pendekatan audit mereka. Alih-alih melakukan perjanjian jaminan terpisah yang
difokuskan secara ketat pada risiko dan kontrol TI tingkat proses, fungsi internal ini akan
mengasimilasikan TI dan mengontrol penilaian ke dalam jaminan yang dilakukan untuk
menilai tingkat pelaporan keuangan, operasi, dan/atau resiko kepatuhan dan kontrol.
Fungsi audit internal yang telah mengadopsi pendekatan ini menemukan bahwa hal
itu menguntungkan organisasi mereka dengan meningkatkan baik efektivitas dan efisiensi
layanan jaminan audit internal mereka. Keterlibatan jaminan terpadu lebih efektif karena
auditor internal berada dalam posisi yang jauh lebih baik untuk menilai seluruh portofolio
risiko pihak yang diaudit dan mencapai kesimpulan menyeluruh tentang kecukupan desain
dan efektivitas operasi kontrol. Proses audit lebih efisien karena (1) keterlibatan yang
sebelumnya dilakukan secara terpisah digabungkan dan (2) identifikasi dan penilaian
semua risiko dan kontrol utama dikonsolidasikan dalam keterlibatan audit terpadu.
Audit berkesinambungan. Audit berkelanjutan didefinisikan dalam GTAG 3: Audit
Berkesinambungan: Implikasi untuk Jaminan, Pemantauan, dan Penilaian Resiko sebagai
“metode apapun yang digunakan [auditor internal] untuk melakukan kegiatan yang terkait
dengan audit secara lebih berkelanjutan atau terus menerus.” Seperti yang dijelaskan dalam
GTAG 3 , audit berkesinambungan terdiri dari dua kegiatan utama :
• Penilaian pengendalian berkesinambungan, tujuan yang "untuk memusatkan
perhatian audit pada defisiensi pengendalian sedini mungkin”, dan
• Penilaian risiko berkesinambungan, tujuan yang adalah untuk menyoroti proses
atau sistem yang mengalami tingkat risiko lebih tinggi dari tingkat yang
diharapkan.”
20
Penilaian pemantauan berkesinambungan adalah komponen integral ketiga dari
audit berkesinambungan. Sebagaimana ditunjukkan sebelumnya dalam bab ini, manajemen
bertanggung jawab untuk memantau proses manajemen risiko organisasi, termasuk proses
kontrol, dari waktu ke waktu untuk memastikan bahwa it uterus beroperasi secara efektif
dan efisien. Tanggung jawab audit kontinyu fungsi audit internal adalah untuk menilai
efektivitas kegiatan pemantauan berkelanjutan dari manajemen. Di area organisasi dimana
manajemen telah menerapkan proses pemantauan berkelanjutan yang efektif , auditor
internal dapat melakukan penilaian resiko dan kontrol yang lebih ketat secara
berkelanjutan. Sebaliknya, jika pemantauan berkelanjutan tidak ada atau tidak efektif,
fungsi audit internal harus melakukan penilaian resiko dan pengendalian berkelanjutan
yang lebih ketat.
21
BAB III
PENUTUP
3.1 SIMPULAN
Dampak menyeluruh dari TI terhadap strategi, sistem informasi, dan proses organisasi
telah sangat mempengaruhi profesi audit internal, dan bab ini membahas konsep-konsep
dasar TI yang harus dipahami oleh setiap auditor internal:
Enam komponen kunci dari sistem informasi modern - perangkat keras komputer,
jaringan, perangkat lunak komputer, basis data, informasi, dan orang-orang yang
dijelaskan dan diilustrasikan.
Peluang yang dimungkinkan oleh TI dan risiko yang timbul sebagai akibat dari TI
dibahas. Peluang yang didukung TI mencakup hal-hal seperti penjualan online,
integrasi proses bisnis, dan pertukaran informasi elektronik mitra dagang. Jenis
risiko yang umum di seluruh organisasi dan industri meliputi:
- Seleksi.
- Pengembangan / akuisisi dan penyebaran.
- Tersedianya.
- Perangkat keras lunak.
- Mengakses.
- Keandalan Sistem dan integritas informasi.
- Kerahasiaan dan privasi.
-Penipuan dan tindakan jahat.
Implikasi dari TI untuk auditor internal sangat penting. Fungsi audit internal perlu
memahami sistem informasi organisasi mereka dan risiko TI yang mengancam
pencapaian tujuan bisnis organisasi mereka. Mereka juga harus mahir dalam
22
menilai tata kelola TI organisasi mereka, manajemen risiko, dan proses kontrol dan
dapat secara efektif menerapkan teknik audit berbasis teknologi.
Sumber pedoman audit TI diidentifikasi. Dua komponen kunci dari penuntun audit
TI yang dikembangkan oleh IIA adalah panduan praktek GTAG dan GAIT.
Panduan lain yang tersedia melalui the IIA Research Fondation Bookstore dan,
untuk trend an praktik saat ini, diunduh dari bagian IIA audit dari Auditor Online.
Singkatnya, TI telah secara signifikan mengubah kompetensi yang harus dimiliki auditor
internal dan bagaimana mereka melakukan pekerjaan mereka. Kapasitas fungsi audit
internal untuk memberikan jaminan nilai tambah dan layanan konsultan sangat tergantung
pada keahlian TI-nya. Semua auditor internal harus memiliki dasar pengetahuan dan
keterampilan teknologi. Ini termasuk sistem kertas kerja otomatis, CAAT, dan terminologi
TI. Fungsi audit internal dapat memberikan wawasan tentang bagaimana organisasi dapat
memanfaatkna kemajuan terbaik dalam TI.
23
DAFTAR PUSTAKA
F. Reding, Kurt, et al. 2013. Internal Auditing: Assurance & Advisory Services. Florida
(USA). The Institute of Internal Auditors Research Foundation.
24