Bab 9

Sistem aplikasi: Risiko dan Kontrol

TUJUAN PEMBELAJARAN
1. Diskusikan risiko umum yang terkait dengan sistem aplikasi.
2. Diskusikan risiko umum yang terkait dengan sistem aplikasi pengembangan pengguna
akhir.
3. Diskusikan risiko pada sistem yang bertukar informasi bisnis dan jelaskan standar
umum
4. untuk penilaian audit mereka.
5. Jelaskan aplikasi Web, termasuk praktik pengkodean aman terbaik dan risiko umum.
6. Jelaskan kontrol aplikasi dan bagaimana mereka digunakan untuk melindungi input,
pemrosesan, dan
7. keluaran informasi.
8. Diskusikan keterlibatan auditor TI dalam pemeriksaan sistem aplikasi.
Sistem aplikasi menyediakan fungsi otomatis untuk secara efektif mendukung proses
bisnis. Aplikasi juga menimbulkan risiko bagi organisasi dalam bentuk peningkatan biaya,
hilangnya data
integritas, kelemahan dalam kerahasiaan, kurangnya ketersediaan, dan kinerja yang buruk,
antara lain. Selanjutnya, setelah diimplementasikan, aplikasi dapat dimodifikasi secara berkala
untuk memperbaiki kesalahan cukup terapkan peningkatan dan peningkatan (pemeliharaan).
Perawatan seperti itu perlu dilakukan konsisten dengan strategi bisnis atau TI; jika tidak, dapat
menyebabkan masalah kinerja dan tidak efisien penggunaan sumber daya.
Bab ini membahas risiko umum untuk berbagai jenis sistem aplikasi dan menyediakan
contoh risiko potensial tersebut. Itu juga menyentuh kontrol aplikasi yang relevan yang bisa
dilaksanakan oleh organisasi untuk mengurangi risiko yang dibahas. Terakhir, keterlibatan
Auditor TI ketika memeriksa aplikasi dibahas.
Risiko Sistem Aplikasi
Sistem aplikasi mencakup data terkonsentrasi dalam format yang dapat diakses dengan mudah.
Konsentrasi data seperti itu meningkatkan risiko dengan menempatkan ketergantungan yang
lebih besar pada selembar data atau pada file komputer tunggal atau pada tabel database. Jika
data yang dimasukkan salah, dampak kesalahan menjadi signifikan karena aplikasi
mengandalkan sepotong data tersebut. Demikian pula, semakin tinggi angkanya aplikasi yang
menggunakan data terkonsentrasi, semakin besar dampaknya ketika data itu menjadi tidak
tersedia karena masalah perangkat keras atau perangkat lunak.
 Contoh yang bagus untuk melanjutkan diskusi sistem aplikasi adalah sistem Enterprise
Resource Planning (ERP). Sistem ERP memberikan fungsionalitas bisnis standar dalam sistem
lingkungan TI terintegrasi (mis. pengadaan, inventaris, akuntansi, dan sumber daya manusia).
Sistem ERP memungkinkan banyak hal fungsi untuk mengakses basis data umum —
mengurangi biaya penyimpanan dan meningkatkan konsistensi dan akurasi data dari satu
sumber. Bahkan, memiliki satu basis data meningkatkan kualitas dan ketepatan waktu
informasi keuangan. Namun, kesalahan pemrosesan dapat dengan cepat berdampak pada
banyak fungsi karena informasi tersebut dibagikan tetapi bersumber dari database yang sama.
Menurut Aplikasi Run the World edisi Juni 2016, sebuah perusahaan riset pasar
teknologi yang ditujukan untuk ruang aplikasi, pasar aplikasi ERP di seluruh dunia akan
mencapai $ 84,1 miliar pada tahun 2020 dibandingkan 82,1 miliar pada tahun 2015. Beberapa
pemasok ERP utama hari ini termasuk SAP, FIS Global, Oracle, Fiserv, Intuit, Inc., Cerner
Corporation, Microsoft, Ericsson, Infor, dan McKesson.
Meskipun banyak keuntungan dari sistem ERP, mereka bukannya tanpa risiko. Sistem
ERP tidak jauh berbeda dari sistem aplikasi yang dibeli atau dikemas, dan karenanya mungkin
memerlukan modifikasi ekstensif untuk proses bisnis baru atau yang sudah ada. Modifikasi
ERP (mis., Rilis perangkat lunak) memerlukan pemrograman yang cukup untuk memperbaiki
semua kode khusus organisasi. Karena sistem paket bersifat generik, organisasi mungkin perlu
memodifikasi operasi bisnis mereka cocok dengan metode pemrosesan vendor, misalnya.
Perubahan dalam operasi bisnis mungkin tidak sesuai baik ke dalam budaya organisasi
atau proses lain, dan mungkin juga mahal karena pelatihan.
Selain itu, beberapa integrasi mungkin diperlukan untuk fungsionalitas yang bukan bagian dari
ERP, tetapi menyediakan informasi integral ke fungsi ERP. Selain itu, karena sistem ERP
ditawarkan oleh satu vendor, risiko yang terkait dengan memiliki satu pemasok berlaku (mis.,
bergantung pada satu pemasok untuk pemeliharaan dan dukungan, persyaratan perangkat keras
atau perangkat lunak tertentu, dll.).
Risiko lain dengan sistem ERP adalah sifat khusus sumber daya yang diperlukan untuk
menyesuaikan dan mengimplementasikan. Di sebagian besar organisasi, sumber daya khusus
ini harus diperoleh dari perusahaan konsultan mahal. Untuk mengurangi ketergantungan pada
konsultan mahal, organisasi perlu berinvestasi dalam mendidik staf mereka sendiri untuk
mengambil alih tanggung jawab untuk memelihara ERP sistem. Karena sumber daya ini sangat
diminati, tantangannya adalah untuk mempertahankan sumber daya ini begitu mereka
sepenuhnya terlatih.
 Sistem ERP bisa sangat kompleks dengan basis data yang mendasari, modul aplikasi,
dan
antarmuka dengan aplikasi pihak ketiga dan lawas. Kompleksitas sistem ERP sebenarnya biaya
lebih dari beberapa lingkungan aplikasi yang dimaksudkan untuk diganti. Sistem aplikasi
seperti sistem ERP sering terpapar berbagai jenis risiko. Tambahan risiko umum yang terkait
dengan sistem aplikasi meliputi:
1. Keamanan informasi yang lemah
2. Akses tidak sah ke program atau data
3. Akses jarak jauh tanpa izin
4. Informasi yang tidak akurat
5. Input data salah atau salah
6. Tidak lengkap, duplikat, dan pemrosesan sebelum waktunya
7. Failure Kegagalan sistem komunikasi
8. Output Output tidak akurat atau tidak lengkap
9. Dokumentasi tidak memadai
Keamanan Informasi yang Lemah
Keamanan informasi harus menjadi perhatian TI, pengguna, dan manajemen. Namun,
belum menjadi prioritas utama yang konsisten untuk banyak organisasi. Survei dan laporan
sebelumnya menunjukkan organisasi lebih peduli dengan kekurangan anggaran dan staf
daripada keamanan informasi.
Responden untuk survei tersebut masih terus mengidentifikasi hambatan untuk
mengurangi keamanan informasi risiko, seperti kurangnya sumber daya manusia, dana,
kesadaran manajemen, dan alat dan solusi. Sementara itu, teknologi canggih dan peningkatan
akses pengguna akhir ke informasi penting dan sensitif terus meningkatkan risiko keamanan
informasi.
Akses Tidak Sah ke Program atau Data
Sistem aplikasi harus dibangun dengan berbagai tingkat otorisasi untuk pengajuan dan
persetujuan transaksi. Setelah aplikasi masuk ke produksi, programmer tidak boleh lagi
memiliki akses ke program dan data. Jika programmer diberi akses, akses tersebut harus Akses
"hanya baca" untuk tujuan memahami masalah yang dilaporkan oleh pengguna.
Demikian pula, akses pengguna harus dibatasi pada basis "perlu tahu". Ini berarti bahwa
informasi yang disediakan untuk pengguna, apakah itu "hanya-baca" atau dengan akses terbuka
untuk modifikasi, harus sesuai dengan fungsi dan tanggung jawab pekerjaan pengguna.
Misalnya, daftar gaji Petugas membutuhkan akses ke sistem penggajian, tetapi tidak ke sistem
penagihan.
Akses Jarak Jauh Tidak Sah
Semakin banyak pengguna yang menuntut akses jarak jauh ke sumber daya komputer
organisasi. Terpencil akses memungkinkan pengguna dalam suatu organisasi untuk mengakses
sumber daya jaringan dan komputernya lokasi di luar tempat organisasi. Akses jarak jauh, jika
tidak sah, memang mewakili risiko karena perangkat klien (digunakan untuk akses jarak jauh)
cenderung memiliki perlindungan yang lebih lemah daripada perangkat klien berbasis standar
atau organisasi.
Perangkat ini mungkin belum tentu dikelola oleh organisasi dan, karenanya, tidak
didefinisikan di bawah aturan firewall dan antivirus, misalnya.Komunikasi akses jarak jauh
dapat dilakukan melalui jaringan yang tidak terpercaya, dengan tunduk pada komunikasi ke
pemantauan, kehilangan, atau manipulasi yang tidak sah. Dengan kata lain, jika pengguna di
dalam (atau di luar) jaringan organisasi untuk mendapatkan akses tidak sah:
a) informasi sensitif dan rahasia mungkin berisiko dan berdampak negatif; dan
b) virus komputer dapat diperkenalkan yang memengaruhi file perusahaan, kinerja
komputer
sistem, atau hanya memperlambat jaringan dan sumber dayanya.
Untuk memerangi akses jarak jauh yang tidak sah, minimal, ID pengguna dan kata sandi
harus digunakan enkripsi ketika dikirimkan melalui jalur publik. Selain itu, data rahasia yang
dikirim melalui jalur publik juga harus dienkripsi. Solusi keamanan enkripsi tergantung pada
sensitivitas data yang dikirim. Terakhir, ulasan akses pengguna harus secara berkala dilakukan
oleh personel keamanan IS, dan disetujui oleh manajemen, untuk memastikan akses jarak jauh
diberikan akurat dan konsisten dengan tugas dan tanggung jawab pekerjaan.
Informasi yang tidak akurat
Informasi yang akurat harus dipastikan apakah pengguna akhir mengakses data dari
aplikasi, basis data departemen, atau informasi di cloud. Pengguna akhir mungkin diminta
untuk membuat laporan untuk analisis dan pelaporan tanpa sepenuhnya memahami informasi
yang diunduh. Gudang data departemen (mis., Basis data, awan data, dll.) Mungkin memiliki
informasi yang berlebihan dengan kerangka waktu yang berbeda. Hasilnya adalah buang-buang
waktu untuk merekonsiliasi repositori ini tentukan data mana yang akurat. Bidang perhatian
utama lainnya adalah manajemen mungkin gagal untuk menggunakan informasi dengan baik
karena kegagalan dalam mengidentifikasi informasi penting; menafsirkan makna dan nilai
informasi yang diperoleh; dan / atau mengomunikasikan informasi penting kepada manajer
yang bertanggung jawab atau pengambil keputusan utama tepat waktu.
Input Data Salah atau Dipalsukan
Input data yang salah adalah ketika data yang tidak akurat dimasukkan dalam sistem
aplikasi secara tidak sengaja karena kesalahan manusia. Tindakan pencegahan termasuk
kontrol aplikasi bawaan, seperti cek digit dan entri ganda. Input data yang dipalsukan, di sisi
lain, adalah ketika data yang tidak akurat dimasukkan ke sistem aplikasi dengan sengaja
menipu organisasi atau pemangku kepentingannya. Di dalam kasus, tindakan pencegahan
mungkin termasuk melindungi akses ke program dan data melalui pengguna mekanisme
otentikasi dan otorisasi.
Tidak Lengkap, Duplikat, dan Sedang Diproses
Pemrosesan yang tidak lengkap terjadi ketika transaksi atau file tidak diproses karena
kesalahan. Mungkin terjadi dalam pemrosesan batch ketika file tidak ada, atau selama
pemrosesan online saat permintaan atau pemicu gagal memulai transaksi. Pemrosesan transaksi
duplikat termasuk melakukan transaksi lebih dari sekali. Itu dapat terjadi selama pemrosesan
batch jika file dieksekusi beberapa kali, atau selama pemrosesan online ketika pemicu transaksi
memulai transaksi lebih dari sekali.
Pemrosesan duplikat juga dapat terjadi ketika pekerjaan tidak normal berakhir (hilang),
tetapi beberapa di antaranya catatan yang telah diproses tidak diatur ulang. Pemrosesan
sebelum waktunya termasuk pemrosesan yang tertunda karena masalah produksi atau
kehilangan batas waktu. Misalnya, proses keuangan harus terjadi pada penutupan akhir bulan
untuk memastikan bahwa transaksi terperinci diproses dalam satu sistem aplikasi cocok dengan
posting transaksi ke buku besar. Selain itu, ketika posting sistem online transaksi ke sistem
batch, biasanya ada waktu cutoff di mana pemrosesan berakhir pada hari pertama dan dimulai
untuk hari kedua.
Kegagalan Sistem Komunikasi
Saat ini, sistem aplikasi dalam lingkungan TI bertanggung jawab atas banyak layanan penting,
termasuk layanan komunikasi (mis., email, intranet, Internet, pesan instan, dll.). Karena
meningkatnya ketergantungan pada layanan komunikasi TI, potensi kegagalan ini layanan
menghadirkan sumber risiko yang meningkat bagi organisasi. Informasi yang dialihkan dari
satu lokasi ke lokasi lain melalui jalur komunikasi rentan terhadap kegagalan yang tidak
disengaja, disengaja intersepsi, dan / atau modifikasi oleh pihak yang tidak berwenang.
Output tidak akurat atau Tidak Lengkap
 Jika tidak dijaga dengan baik, laporan keluaran mungkin mengandung kesalahan
setelah diproses (kompromi integritas mereka) dan juga didistribusikan secara tidak patut.
Kontrol keluaran harus ada, misalnya, untuk memverifikasi bahwa data itu akurat dan lengkap
(mis., Direkam dengan benar), dan prosedur pelaporan distribusi dan penyimpanan efektif.
Contoh kontrol output meliputi melakukan tinjauan, rekonsiliasi, dan memverifikasi untuk
transmisi data. Selain itu, akses ke laporan harus didasarkan pada dasar "perlu tahu" untuk
menjaga kerahasiaan.
Dokumentasi Tidak Cukup
Pengguna akhir biasanya fokus pada penyelesaian kebutuhan bisnis dan mungkin tidak
menyadari pentingnya dokumentasi. Sistem aplikasi apa pun yang digunakan oleh banyak
pengguna atau memiliki manfaat jangka panjang harus didokumentasikan, terutama jika
pengembang atau programmer asli tidak lagi tersedia. Dokumentasi menyediakan programmer
dengan informasi yang cukup untuk memahami bagaimana aplikasi berfungsi, dan membantu
memecahkan masalah untuk memastikan analisis perubahan dan pemecahan masalah program
yang efektif dan efisien. Dokumentasi harus diperbarui sebagai sistem aplikasi dimodifikasi.
Dokumentasi lebih lanjut memastikan pemeliharaan sistem dan komponennya dan
meminimalkan kemungkinan kesalahan. Dokumentasi harus didasarkan pada standar yang
ditentukan dan terdiri dari deskripsi prosedur, instruksi kepada personel, diagram alur, diagram
aliran data, menampilkan atau melaporkan tata letak, dan bahan lain yang menjelaskan sistem
aplikasi.
Risiko Aplikasi Pengembangan Pengguna Akhir
Pengembangan pengguna akhir (EUD) (juga dikenal sebagai komputasi pengguna
akhir) umumnya melibatkan penggunaan aplikasi yang dikembangkan oleh departemen, seperti
spreadsheet dan basis data, yang sering digunakan sebagai alat dalam melakukan pekerjaan
sehari-hari. Spreadsheet dan basis data ini pada dasarnya merupakan perpanjangan dari
lingkungan TI dan output yang dihasilkan darinya dapat digunakan dalam membuat keputusan
bisnis berdampak pada perusahaan. Akibatnya, penggunaan EUD telah memperluas cakupan
audit di luar lingkungan IS pusat. Tingkat risiko dan kontrol yang diperlukan untuk diterapkan
tergantung pada kekritisan aplikasi EUD. Misalnya, aplikasi EUD yang menggabungkan data
dari beberapa departemen yang nantinya akan menjadi input ke dalam sistem pelaporan
keuangan adalah yang utama target untuk audit.
Risiko penerapan EUD tidak mudah diidentifikasi karena kurangnya kesadaran dan
ketidakhadiran sumber daya yang memadai. Misalnya, komputer pribadi atau PC, notebook,
laptop, dan ponsel perangkat yang menampung spreadsheet dan / atau basis data yang
dikembangkan oleh departemen terkait dapat dianggap sebagai alat produktivitas pribadi, dan
karenanya diabaikan oleh organisasi. Demikian pula, banyak organisasi memiliki terbatas atau
tidak ada prosedur formal yang terkait dengan EUD. Kontrol atau peninjauan laporan
diproduksi oleh aplikasi EUD mungkin terbatas atau tidak ada. Risiko yang terkait adalah
bahwa manajemen dapat mengandalkan laporan dan informasi yang dikembangkan pengguna
akhir dengan tingkat yang sama dengan yang mereka miliki dikembangkan di bawah
lingkungan IS terpusat tradisional. Manajemen harus mempertimbangkan level-levelnya
risiko yang terkait dengan aplikasi EUD dan menetapkan tingkat kontrol yang sesuai. Umum
risiko yang terkait dengan sistem aplikasi EUD meliputi:
1. Biaya organisasi lebih tinggi
2. Sistem yang tidak kompatibel
3. Sistem redundan
4. Implementasi yang tidak efektif
5. Tidak adanya pemisahan tugas
6. Analisis sistem tidak lengkap
7. Akses tidak sah ke data atau program
8. Pelanggaran hak cipta
9. Kurangnya opsi pencadangan dan pemulihan
10. Penghancuran informasi oleh virus computer
Biaya Organisasi Lebih Tinggi
EUD mungkin awalnya tampak relatif murah dibandingkan dengan pengembangan TI
tradisional. Namun, sejumlah biaya tersembunyi terkait dengan EUD yang harus
dipertimbangkan organisasi. Selain biaya operasi, biaya dapat meningkat karena kurangnya
pelatihan dan dukungan teknis. Kekurangan pelatihan pengguna akhir dan pengalaman mereka
juga dapat mengakibatkan pembelian perangkat keras yang tidak sesuai dan implementasi
solusi perangkat lunak yang tidak kompatibel dengan organisasi. arsitektur sistem. Pengguna
akhir juga dapat meningkatkan biaya organisasi dengan membuat tidak efisien atau aplikasi
yang berlebihan.
Sistem Tidak Kompatibel
Sistem aplikasi yang dirancang pengguna akhir yang dikembangkan secara terpisah
mungkin tidak kompatibel arsitektur TI organisasi yang ada atau yang akan datang.
Pengembangan sistem TI tradisional memverifikasi kompatibilitas dengan perangkat keras
yang ada dan aplikasi perangkat lunak terkait. Tidak adanya perangkat keras dan standar
perangkat lunak dapat mengakibatkan ketidakmampuan untuk berbagi data dengan aplikasi
lain di Internet organisasi.
Sistem Redundan
Selain mengembangkan sistem yang tidak kompatibel, pengguna akhir mungkin
mengembangkan aplikasi atau database yang berlebihan karena kurangnya komunikasi antar
departemen. Karena ini kurangnya komunikasi, departemen pengguna akhir dapat membuat
database atau aplikasi baru itu departemen lain mungkin sudah dibuat. Proses implementasi
yang lebih efisien membuat departemen pengguna akhir mengoordinasikan proyek
pengembangan sistem mereka dengan TI dan bertemu dengannya departemen pengguna akhir
lainnya untuk mendiskusikan proyek yang diusulkan.
Implementasi yang tidak efektif
Pengguna akhir biasanya menggunakan bahasa pemrograman generasi keempat, seperti
basis data atau Internet Alat pengembangan web untuk mengembangkan aplikasi. Dalam kasus
ini, pengguna akhir biasanya belajar sendiri. Namun, mereka tidak memiliki pelatihan formal
dalam pengembangan aplikasi terstruktur, tidak menyadari pentingnya dokumentasi, dan
cenderung menghilangkan langkah-langkah kontrol yang diperlukan untuk itu implementasi
yang efektif. Selain itu, tidak ada pemisahan tugas. Karena tidak mencukupi analisis,
dokumentasi, dan pengujian, sistem yang dikembangkan pengguna akhir mungkin tidak
memenuhi manajemen harapan.
Tidak adanya Segregasi Tugas
Pengembangan sistem aplikasi tradisional dipisahkan oleh fungsi, dan diuji dan
diselesaikan oleh ahli terlatih di setiap bidang. Dalam banyak proyek EUD, satu individu
bertanggung jawab atas semua fase, seperti
sebagai menganalisis, merancang, membangun, menguji, dan menerapkan siklus hidup
pengembangan. Sana adalah risiko yang melekat, seperti mengabaikan kesalahan, ketika orang
yang sama membuat dan menguji suatu program. Lebih mungkin bahwa tinjauan independen
akan menangkap kesalahan yang dibuat oleh pengguna akhir pengembang, dan tinjauan
semacam itu membantu memastikan integritas sistem aplikasi yang baru dirancang.
Analisis Sistem Tidak Lengkap
Departemen pengguna akhir menghilangkan banyak langkah yang dibuat oleh
departemen TI pusat. Untuk Misalnya, tahap analisis pengembangan mungkin tidak lengkap
dan tidak semua aspek masalah diidentifikasi dengan tepat. Selain itu, dengan spesifikasi yang
tidak lengkap, sistem yang lengkap mungkin tidak memenuhi tujuan atau menyelesaikan
masalah bisnis. Pengguna akhir harus menentukan tujuan mereka untuk aplikasi tertentu
sebelum mereka memutuskan untuk membeli perangkat lunak yang ada, minta IT
mengembangkan aplikasi, atau menggunakan keahlian terbatas mereka untuk mengembangkan
aplikasi. Spesifikasi yang tidak lengkap akan kemungkinan kekurangan sistem yang cepat.
Akses Tidak Sah ke Data atau Program
Kontrol akses memberikan garis pertahanan pertama terhadap pengguna yang tidak sah yang
masuk program dan data sistem aplikasi. Penggunaan kontrol akses, seperti ID pengguna dan
kata sandi, biasanya lemah dalam sistem yang dikembangkan pengguna. Dalam beberapa
kasus, ID pengguna dan kata sandi mungkin bahkan tidak diperlukan, atau mereka akan sangat
sederhana dan mudah ditebak. Pengawasan ini bisa dikenakan aplikasi untuk perubahan atau
penghapusan yang tidak disengaja atau disengaja yang mengancam keandalan apa pun
informasi yang dihasilkan. Sistem membutuhkan perlindungan tambahan untuk mencegah
perubahan yang tidak terduga. Untuk mencegah perubahan yang tidak disengaja, pengguna
harus dibatasi untuk mengeksekusi saja.
Pelanggaran Hak Cipta
Organisasi bertanggung jawab untuk mengendalikan lingkungan komputasi untuk
mencegah perangkat lunak pelanggaran pembajakan dan hak cipta. Namun, beberapa
organisasi mungkin tidak secara khusus menangani pembajakan perangkat lunak dalam
pelatihan, kebijakan dan prosedur, atau dalam penerapan kontrol internal umum. Karena
program perangkat lunak dapat dengan mudah disalin atau diinstal pada banyak komputer,
banyak organisasi yang melanggar undang-undang hak cipta dan bahkan tidak menyadari
potensi risiko.
Organisasi menghadapi sejumlah risiko tambahan ketika mereka mentolerir
pembajakan perangkat lunak. Disalin perangkat lunak mungkin tidak dapat diandalkan dan
membawa virus. Litigasi yang melibatkan pelanggaran hak cipta sangat tinggi dipublikasikan,
dan organisasi berisiko kehilangan niat baik potensial. Selanjutnya, toleransi pembajakan
perangkat lunak mendorong kemunduran dalam etika bisnis yang dapat meresap ke dalam area
organisasi lain.
Organisasi harus memberi tahu pengguna akhir tentang undang-undang hak cipta dan
konsekuensi potensial yang dihasilkan dari pelanggaran undang-undang tersebut. Untuk
mencegah pemasangan perangkat lunak yang tidak sah, organisasi dapat membatasi
kemampuan pengguna untuk menginstal perangkat lunak dengan menonaktifkan akses
administratif ke perangkat PC mereka. Selain itu, ketika pengguna diberi akses ke komputer
pribadi atau desktop, mereka harus melakukannya menandatangani pengakuan yang
mencantumkan perangkat lunak yang diinstal, tanggung jawab individu, dan apa saja tindakan
disipliner untuk pelanggaran. Prosedur tertulis harus secara jelas mendefinisikan tanggung
jawab pengguna atas memelihara inventaris perangkat lunak, kepatuhan audit, dan menghapus
perangkat lunak yang tidak berlisensi.
Kurangnya Opsi Pencadangan dan Pemulihan
Organisasi yang gagal mempertahankan salinan data mereka benar-benar meminta
masalah. Sekarang ini sangat mudah untuk kehilangan data dan tidak mungkin untuk
membangun kembali data itu jika cadangan belum dilakukan. Aplikasi EUD sering disimpan
di PC seseorang dan tidak dicadangkan dengan benar. Dalam hal bencana atau serangan virus,
aplikasi ini (dan datanya) mungkin tidak dapat dipulihkan karena kurangnya cadangan. Oleh
karena itu mungkin tidak mungkin bagi pengguna akhir untuk membuat ulang aplikasi dan
aplikasi data dalam periode waktu yang wajar.
Tidak adanya strategi cadangan dan pemulihan mengakibatkan hilangnya data
komputer. Tidak mundur data secara terus-menerus berisiko, seperti penghapusan file, virus
dan malware yang merusak secara tidak disengaja, kegagalan hard drive, listrik mati atau
macet, pencurian komputer, kerusakan air, kebakaran, dan banyak lainnya.
Penghancuran Informasi oleh Virus Komputer
Sebagian besar pengguna akhir memiliki pengetahuan tentang serangan virus
komputer, tetapi efek dari virus tetap ada hanya ancaman sampai mereka benar-benar
mengalami kerugian. Berdasarkan Laporan Ancaman Lab McAfee untuk Desember 2016,
jumlah serangan mendekati 650 juta. Untuk perangkat seluler, angkanya untuk 2016 juga
signifikan, hampir mendekati angka 13,5 juta. Selanjutnya, dalam Ancaman 2017
Laporan prediksi, McAfee Labs memprediksi hal-hal berikut, antara lain:
◾ Penyerang akan terus mencari peluang untuk merusak komputer tradisional (non-mobile)
sistem, dan mengeksploitasi kerentanan. Penyerang mampu mengeksploitasi sistem yang
firmware (perangkat lunak permanen diprogram ke dalam memori read-only) mengontrol input
dan output operasi, serta firmware lainnya, seperti solid-state drive, kartu jaringan, dan Wi-Fi
perangkat. Jenis-jenis eksploitasi ini kemungkinan besar akan ditampilkan dalam serangan
malware yang umum.
◾ Ransomware pada perangkat seluler akan melanjutkan pertumbuhannya meskipun
penyerang kemungkinan akan menggabungkan kunci perangkat seluler ini dengan bentuk
serangan lain, seperti pencurian kredensial, memungkinkan mereka untuk mengakses hal-hal
seperti rekening bank dan kartu kredit.
Virus adalah istilah umum yang digunakan untuk menggambarkan program reproduksi
sendiri, cacing, tahi lalat, lubang, Kuda troya, dan bom waktu. Di lingkungan saat ini,
ancamannya tinggi karena jumlah sumber yang tidak terbatas dari mana virus dapat
diperkenalkan. Misalnya, virus dapat disalin dari disk atau diunduh dari halaman Web yang
terinfeksi. Mereka menyebar ke file lain, file-file itu di hidupkan menyebar ke file lain, dan
sebagainya. Sektor boot dari disk adalah salah satu yang paling rentan infeksi virus karena
diakses setiap kali komputer dihidupkan, memberikan kemudahan replikasi virus. Ketika virus
diaktifkan, ia menyalin kode ke hard drive, dan itu bisa menyebar ke media tambahan dengan
menjalankan aplikasi umum seperti pengolah kata atau surat program. Media yang
mengandung virus akan terus menginfeksi komputer lain dan menyebarkan virus virus di
seluruh organisasi.
Virus juga dapat menyebar di antara komputer yang terhubung dalam jaringan (lokal,
Internet, dll.). Mereka dapat menyebar ketika file atau program yang terinfeksi diunduh dari
komputer publik melalui lampiran ke email, kode tersembunyi di dalam hyperlink, dan
sebagainya. Virus dapat menyebabkan berbagai virus masalah seperti:
1. Menghancurkan atau mengubah data
2. Menghancurkan perangkat keras
3. Menampilkan pesan yang tidak diinginkan
4. Menyebabkan keyboard terkunci dan menjadi tidak aktif
5. Memperlambat jaringan dengan melakukan banyak tugas yang benar-benar hanya
merupakan loop berkelanjutantanpa akhir atau resolusi
6. Memproduksi spamming
7. Meluncurkan serangan penolakan layanan
Risiko bagi organisasi adalah waktu yang terlibat dalam menghilangkan virus,
membangun kembali yang terkena dampak sistem, dan merekonstruksi data yang rusak.
Organisasi juga harus memperhatikan pengiriman program yang terinfeksi virus ke organisasi
lain. Virus menyebabkan kerusakan finansial yang signifikan, dan penerima dapat mengajukan
tuntutan hukum terhadap organisasi lembaga.
Risiko Sistem Bertukar Informasi Bisnis Elektronik
Electronic Data Interchange (EDI) mengacu pada pertukaran elektronik dokumen
bisnis antara mitra bisnis (atau perdagangan) menggunakan format standar. EDI
memungkinkan organisasi untuk mengirim dan menerima informasi secara elektronik dalam
format standar sehingga komputer dapat membaca dan memahami dokumen yang
dipertukarkan. Format standar juga menjelaskan jenisnya
sebagai desain, gaya, atau presentasi (mis. integer, desimal, mmddyy, dll.) dari informasi yang
sedang diperdagangkan.
 Contoh umum informasi bisnis yang dipertukarkan melalui EDI termasuk faktur dan
order pembelian. Tampilan 9.1 menjelaskan risiko yang terkait dengan EDI atau sistem
pertukaran elektronik informasi bisnis.
◾ Menghasilkan spam
◾ Meluncurkan serangan penolakan layanan
Risiko bagi organisasi adalah waktu yang terlibat dalam menghilangkan virus,
membangun kembali yang terkena dampak sistem, dan merekonstruksi data yang rusak.
Organisasi juga harus memperhatikan pengiriman program yang terinfeksi virus ke organisasi
lain. Virus menyebabkan kerusakan finansial yang signifikan, dan penerima dapat mengajukan
tuntutan hukum terhadap organisasi pelembagaan.
Risiko Sistem Bertukar Informasi Bisnis Elektronik Pertukaran Data Elektronik
(EDI) mengacu pada pertukaran elektronik dokumen bisnis antara mitra bisnis (atau
perdagangan) menggunakan format standar. EDI memungkinkan organisasi mengirim dan
menerima informasi secara elektronik dalam format standar sehingga komputer dapat
membaca dan memahami dokumen yang dipertukarkan. Format standar menggambarkan jenis,
serta desain, gaya, atau presentasi (mis. Integer, desimal, mmddyy, dll.) Dari informasi yang
diperdagangkan. Contoh umum dari informasi bisnis yang dipertukarkan melalui EDI termasuk
faktur dan pesanan pembelian. Tampilan 9.1 menjelaskan risiko yang terkait dengan EDI atau
sistem yang bertukar informasi bisnis elektronik.
RISIKO Deskripsi
Hilangnya kontinuitas bisnis / masalah yang Korupsi yang tidak disengaja atau disengaja
menjadi perhatian aplikasi terkait EDI dapat memengaruhi
setiap transaksi EDI yang dilakukan oleh
suatu organisasi, yang berdampak pada
kepuasan pelanggan, hubungan pemasok,
dan kemungkinan kelanjutan bisnis pada
akhirnya.
Saling ketergantungan Ada peningkatan ketergantungan pada
sistem mitra dagang, yang berada di luar
kendali organisasi.
Hilangnya kerahasiaan informasi sensitif Informasi sensitif dapat secara tidak sengaja
atau sengaja diungkapkan di jaringan atau
dalam sistem penyimpanan kotak surat

Peningkatan eksposur terhadap penipuan
Manipulasi pembayaran
Kehilangan transaksi
Kesalahan dalam sistem informasi dan Kesalahan dalam pemrosesan dan sistem
komunikasi
Kehilangan jejak audit
kepada pihak yang tidak berwenang,
termasuk pesaing.
Akses ke sistem komputer dapat memberikan
peluang lebih besar untuk mengubah catatan
komputer baik dari satu organisasi maupun
dari mitra dagangnya oleh staf dari pihak
perdagangan atau oleh staf jaringan pihak
ketiga. Ini dapat mencakup pengenalan
transaksi tidak sah oleh organisasi pengguna
atau personel pihak ketiga.
Situasi di mana jumlah yang dibebankan atau
dibayarkan kepada pemasok tidak ditinjau
sebelum pengiriman. Karena itu, ada risiko
pembayaran dapat dilakukan untuk barang
yang tidak diterima, jumlah pembayaran bisa
berlebihan, atau pembayaran rangkap bisa
terjadi.
Transaksi dapat hilang sebagai akibat dari
gangguan pemrosesan di situs jaringan pihak
ketiga atau dalam perjalanan ke organisasi
penerima, yang dapat menyebabkan kerugian
dan pelaporan keuangan yang tidak akurat.
komunikasi, seperti perbaikan pesan yang
salah, dapat mengakibatkan pengiriman
informasi perdagangan yang salah atau
pelaporan yang tidak akurat kepada
manajemen.
EDI menghilangkan kebutuhan akan hard
copy. Akan ada lebih sedikit kertas untuk
diperiksa auditor. Pengguna EDI mungkin
tidak memberikan bukti audit yang memadai
atau sesuai, baik dalam bentuk cetak maupun

Konsentrasi kontrol
Kegagalan aplikasi
Potensi tanggung jawab hukum
media elektronik. Vendor pihak ketiga
mungkin tidak memiliki jalur audit untuk
waktu yang lama, atau jalur audit dapat
hilang saat pesan dilewatkan di beberapa
jaringan.
Akan ada peningkatan ketergantungan pada
kontrol komputer di mana mereka mengganti
kontrol manual, dan mereka mungkin tidak
cukup tepat waktu. Penggunaan EDI dengan
ketergantungan yang lebih besar pada sistem
komputer memusatkan kontrol di tangan staf
yang lebih sedikit, meningkatkan
ketergantungan pada orang-orang kunci, dan
meningkatkan risiko.
Kegagalan aplikasi atau komponen EDI
dapat memiliki dampak negatif yang
signifikan pada organisasi mitra dalam siklus
bisnis masing-masing, terutama untuk
manajemen persediaan, produksi, dan sistem
pembayaran Just-In-Time. Selain itu, ada
kemungkinan penyebaran kesalahan di
seluruh sistem lain karena integrasi dengan
aplikasi bisnis lainnya.
Suatu situasi di mana kewajiban tidak
didefinisikan secara jelas dalam perjanjian
mitra dagang, kewajiban hukum dapat timbul
karena kesalahan di luar kendali organisasi
atau oleh karyawannya sendiri. Masih ada
ketidakpastian tentang status hukum
dokumen EDI atau ketidakmampuan untuk
menegakkan kontrak dalam keadaan yang
tidak terduga
 Pengisian berlebihan oleh penyedia layanan Pemasok pihak ketiga mungkin secara tidak
pihak ketiga sengaja atau sengaja menjual terlalu mahal
suatu organisasi menggunakan layanan
mereka.
Manipulasi organisasi Informasi yang tersedia untuk pemilik
jaringan pihak ketiga dapat memungkinkan
mereka atau pesaing untuk mengambil
keuntungan secara tidak adil dari suatu
organisasi.
Tidak mencapai penghematan biaya yang Terjadi ketika penghematan biaya yang
diantisipasi diantisipasi dari investasi di EDI tidak
direalisasikan karena alasan tertentu oleh
suatu organisasi.

Sumber: Diadaptasi dari Senft, S., Gallegos, F., dan Davis, A. 2012. Kontrol dan Audit
Teknologi Informasi. Boca Raton: CRC Press / Taylor & Francis.
Implikasi yang timbul dari risiko ini meliputi:
1. Potensi KEHILANGAN jejak audit transaksi, sehingga menyulitkan atau tidak
mungkin untuk merekonsiliasi, merekonstruksi, dan meninjau catatan. Ini bisa menjadi
pelanggaran undang-undang dan menghasilkan penuntutan dan denda.
2. Peningkatan paparan tebusan, pemerasan, atau penipuan melalui gangguan potensial
terhadap layanan atau peningkatan peluang untuk mengubah catatan komputer dalam
suatu organisasi dan perdagangannya mitra adalah IS.
3. Gangguan arus kas ketika transaksi pembayaran dihasilkan karena kesalahan atau
dialihkan atau dimanipulasi.
4. Kehilangan profitabilitas yang terjadi karena meningkatnya biaya bunga atau pesanan
yang akan pesaing karena kurangnya penerimaan pesan EDI.
5. Kerusakan reputasi karena kehilangan pelanggan utama, terutama jika masalah EDI
dipublikasikan secara luas.
Standar untuk Penilaian Audit EDI
Auditor, manajemen, pengembang, dan konsultan keamanan harus menyadari risiko
bisnis yang terkait dengan sistem EDI. Beberapa standar terkenal yang memberikan dasar
untuk penilaian audit EDI meliputi: Kelompok standar Komite Akreditasi (ASC) X12 yang
didukung oleh Institut Standar Nasional Amerika (ANSI) Amerika Utara dan Pertukaran Data
Elektronik untuk Administrasi, Perdagangan dan Transportasi (EDIFACT ) standar
internasional yang didukung oleh Komisi Ekonomi PBB untuk Eropa.
 Standards Standar ASC X12 memfasilitasi pertukaran elektronik dari transaksi bisnis,
seperti menempatkan dan memproses pesanan, pengiriman, penerimaan, pembuatan
faktur, dan pembayaran. Secara khusus, standar ASC X12 mengidentifikasi data yang
digunakan dalam transaksi, urutan di mana data tersebut harus muncul, apakah data
wajib atau opsional, ketika data dapat diulang, dan bagaimana loop, jika berlaku,
disusun dan digunakan.
 Standar EDIFACT menyediakan serangkaian standar internasional umum untuk
transmisi elektronik data komersial. EDIFACT standar internasional menangani
pertukaran elektronik dari data terstruktur, seperti perdagangan barang dan jasa antara
sistem informasi terkomputerisasi yang independen.
Standar utama umum lainnya untuk penilaian EDI meliputi:
 Standar Tradacoms, yang dominan di sektor ritel Inggris. Itu
standar saat ini disebut sebagai GS1 UK.
 Standar Organisasi untuk Pertukaran Data oleh Transmisi Tele (ODETTE), yang
mewakili kepentingan industri otomotif di Eropa. ODETTE menciptakan standar,
mengembangkan praktik terbaik, dan menyediakan layanan yang mendukung
manajemen logistik, komunikasi e-bisnis, dan pertukaran data rekayasa di seluruh
Eropa
Industri otomotif.
 Standards Standar dan praktik terbaik Verband der Automobilindustrie (VDA) juga
berlaku untuk industri otomotif Eropa. Standar VDA terutama berfokus pada melayani
kebutuhan perusahaan otomotif Jerman.
 Standar kesehatan Level-7 (HL7) terkait dengan pertukaran elektronik dari data klinis
dan administrasi di antara penyedia layanan kesehatan. Standar HL7 telah diadopsi oleh
badan penerbit standar lain seperti ANSI dan Organisasi Internasional untuk
Standardisasi.
 Standar global GS1 EDI memandu komunikasi elektronik dan otomatisasi transaksi
bisnis yang biasanya terjadi di seluruh rantai pasokan. Standar-standar ini berlaku untuk
pengecer, produsen, pemasok bahan, dan penyedia layanan logistik, misalnya.
Risiko Aplikasi Web
 PC Magazine mendefinisikan aplikasi Web sebagai “aplikasi di mana semua atau
beberapa bagian dari perangkat lunak diunduh dari Web setiap kali dijalankan.” * Penggunaan
aplikasi Web telah menjadi strategi kunci untuk pengarahan bagi banyak perusahaan. Beberapa
perusahaan hanya menggunakan aplikasi Web untuk tujuan pemasaran, tetapi sebagian besar
menggunakannya untuk menggantikan aplikasi server klien tradisional. Karakteristik lain dari
aplikasi Web termasuk penggunaan browser Web di sisi klien yang biasanya platform
independen, dan membutuhkan daya komputasi yang lebih sedikit. Beberapa manfaat lain dari
aplikasi Web termasuk mengurangi waktu ke pasar, meningkatkan kepuasan pengguna, dan
mengurangi biaya yang berkaitan dengan pemeliharaan dan dukungan.
Dari sudut pandang pengembangan, aplikasi Web harus dirancang untuk melakukan
tugas-tugas spesifik yang disepakati dan didokumentasikan sebagai bagian dari persyaratan
fungsional. Saat mengembangkan aplikasi Web, tim harus memahami bahwa kontrol sisi klien
seperti validasi input, bidang tersembunyi, dan kontrol antarmuka, misalnya, tidak sepenuhnya
dapat diandalkan untuk tujuan keamanan. Penyerang dapat dengan mudah mem-bypass kontrol
sisi klien ini dan mendapatkan akses untuk menganalisis atau memanipulasi lalu lintas aplikasi,
mengirimkan permintaan, dll. Praktik terkenal yang dirujuk ketika mengembangkan sistem
aplikasi Web atau aplikasi termasuk 10 Praktik Pengkodean Aman Terbaik, yang dikeluarkan
pada Maret 2011 oleh Tim Kesiapan Darurat Komputer Amerika Serikat (US-CERT). Praktik
umum lainnya termasuk prinsip-prinsip pengkodean aman yang dijelaskan dalam Proyek
Keamanan Pengkodean Aplikasi Web Terbuka (OWASP). Sementara prinsip-prinsip
pengkodean aman OWASP berikut secara spesifik merujuk pada aplikasi Web, prinsip-prinsip
ini juga berlaku untuk aplikasi non-Web.
 Validasi input
 Pengkodean output
 Otentikasi dan manajemen kata sandi
 Manajemen sesi
 Kontrol akses
 Praktik kriptografi
 Penanganan kesalahan dan pencatatan
 Perlindungan data
 Keamanan komunikasi
 Keamanan sistem
 Keamanan basis data management Manajemen file
 Manajemen file
  Manajemen memori
 Manajemen koding practices Praktek pengkodean umum
OWASP menawarkan daftar periksa praktis † yang berfokus pada penerapan praktik dan
prinsip pengkodean aman. Daftar periksa dirancang untuk berfungsi sebagai alat kick-start
pengkodean yang aman untuk membantu tim pengembangan memahami (dan mematuhi)
praktik pengkodean yang aman.
Risiko yang dapat diatribusikan ke aplikasi Web, sebagaimana dinyatakan pada 2017
OWASP Top 10 Risiko Keamanan Aplikasi Web Paling Kritis,: meliputi:
a. Injeksi
b. Otentikasi dan manajemen sesi rusak
c. Skrip lintas situs
d. Kontrol akses yang rusak
e. Kesalahan konfigurasi keamanan
f. Pemaparan data sensitif
g. Perlindungan serangan tidak memadai
h. Pemalsuan permintaan lintas situs
i. Menggunakan komponen dengan kerentanan yang diketahui
j. Di bawah antarmuka program aplikasi yang dilindungi
Daftar periksa prinsip-prinsip dan praktik pengkodean aman OWASP adalah salah satu
cara efektif untuk meminimalkan risiko dan memastikan bahwa organisasi mengembangkan
aplikasi Web yang sukses. Namun, auditor, manajemen, pengembang, dan konsultan keamanan
harus mempertimbangkan tingkat risiko yang terkait semua jenis aplikasi untuk merancang dan
mengimplementasikan kontrol aplikasi yang sesuai.
Kontrol Aplikasi
Ada dua pengelompokan besar kontrol komputer yang membantu mengurangi aplikasi
risiko yang dibahas di atas, dan sangat penting untuk memastikan kelanjutan operasi aplikasi
yang tepat sistem. Mereka adalah: Kontrol Komputer Umum dan Kontrol Aplikasi. Komputer
umum kontrol ("kontrol umum" atau "ITGC") termasuk memeriksa kebijakan dan prosedur
yang terkait ke banyak aplikasi dan mendukung berfungsinya kontrol aplikasi. Umum kontrol
mencakup infrastruktur TI dan layanan dukungan, termasuk semua sistem dan aplikasi.
Kontrol umum biasanya mencakup kontrol atas (1) operasi sistem informasi; (2)
keamanan informasi; dan (3) manajemen kontrol perubahan (mis. akuisisi perangkat lunak
sistem, perubahan dan pemeliharaan, perubahan program, dan akuisisi, pengembangan, dan
sistem aplikasi pemeliharaan).
 Kontrol aplikasi memeriksa prosedur khusus dan unik untuk aplikasi tersebut. Aplikasi
kontrol juga disebut sebagai "kontrol otomatis." Mereka berkaitan dengan akurasi,
kelengkapan, validitas, dan otorisasi data yang diambil, dimasukkan, diproses, disimpan,
dikirim, dan dilaporkan. Contoh kontrol aplikasi termasuk memvalidasi input data, memeriksa
akurasi matematika dari catatan, dan melakukan pemeriksaan urutan numerik, antara lain.
Kontrol aplikasi cenderung efektif ketika kontrol umum efektif. Pameran 1.3 dari Bab
1 mengilustrasikan kontrol umum dan aplikasi, dan bagaimana mereka harus berada dalam
urutan untuk mengurangi risiko dan melindungi aplikasi. Perhatikan dalam pameran bahwa
sistem aplikasi selalu dikelilingi oleh risiko. Risiko diwakili dalam pameran oleh simbol
ledakan. Ini risikonya dapat berupa akses yang tidak sah, kehilangan atau pencurian atau
peralatan dan informasi, shutdown sistem, dll. Kontrol umum, yang ditunjukkan pada simbol
segi enam, juga mengelilingi aplikasi dan memberikan "perisai pelindung" terhadap risiko.
Terakhir, ada aplikasi atau kontrol otomatis yang berada di dalam aplikasi dan memberikan
perlindungan tangan pertama atas input, pemrosesan, dan output informasi.
Kontrol aplikasi yang diterapkan pada organisasi dapat mencakup, antara lain, sistem
dan / atau kontrol konfigurasi aplikasi; kontrol terkait keamanan yang menegakkan akses
pengguna, peran, dan pemisahan tugas; dan kontrol pemberitahuan otomatis untuk
memperingatkan pengguna bahwa ada transaksi atau proses sedang menunggu tindakan
mereka. Kontrol aplikasi juga memeriksa perhitungan matematika, penyeimbangan total antara
pekerjaan, kewajaran terhadap volume atau nilai yang diharapkan, rekonsiliasi antara sistem,
dan distribusi output yang terkontrol untuk memastikan keakuratan dan kelengkapan transaksi.
Kontrol aplikasi dapat digambarkan sebagai teknik yang digunakan untuk mengontrol
input, pemrosesan, dan keluaran informasi dalam suatu aplikasi. Mereka dipecah menjadi tiga
kategori utama: kontrol input, pemrosesan, dan output.
Kontrol Input
Kontrol input dimaksudkan untuk meminimalkan risiko yang terkait dengan input data
ke dalam sistem aplikasi. "Antarmuka pengguna" adalah sarana yang digunakan pengguna
untuk berinteraksi dengan sistem. Dalam kebanyakan kasus, ini adalah layar komputer, mouse,
dan keyboard. Antarmuka yang efektif untuk pengguna akan membantu mengurangi biaya
meja dan meningkatkan akurasi dan efisiensi. Juga, antarmuka pengguna harus menyediakan
sarana untuk pengguna untuk mendapatkan bantuan konteks-sensitif.
Menentukan persyaratan input memastikan bahwa metode pengambilan data sesuai
untuk tipe data yang diinput dan bagaimana selanjutnya digunakan. Masalah kinerja dan
masalah akurasi dapat diperkenalkan dengan metode yang tidak tepat untuk mengambil data.
Persyaratan input harus menentukan semua sumber yang valid untuk data serta metode untuk
memvalidasi data. Memasukkan kontrol mencegah transaksi yang tidak valid dimasukkan dan
mencegah data yang tidak valid dalam valid transaksi. Mereka secara khusus memastikan
keaslian, keakuratan, dan kelengkapan data yang dimasukkan ke dalam suatu aplikasi.
Keaslian
NIST mendefinisikan keaslian sebagai “properti menjadi asli dan dapat diverifikasi dan
tepercaya. ”* Keaslian memastikan bahwa hanya pengguna yang berwenang yang memiliki
akses untuk memasuki transaksi. Selama proses pengembangan sistem aplikasi, pengguna yang
berwenang harus didefinisikan bersama tingkat keamanan mereka untuk akses data. Informasi
ini dapat digunakan saat mendesain layar input membatasi layar atau bidang ke grup pengguna
tertentu. Kontrol juga dapat dirancang untuk menegakkan pemisahan tugas. Misalnya,
pengguna mungkin dapat memasukkan transaksi, tetapi pengawas mungkin perlu menyetujui
transaksi sebelum diajukan untuk diproses.
Otentikasi juga harus dipertimbangkan ketika aplikasi otomatis berinteraksi dengan
yang lain aplikasi. Otentikasi, menurut NIST, memverifikasi “identitas pengguna, proses, atau
perangkat sering sebagai prasyarat untuk memungkinkan akses ke sumber daya dalam sistem
informasi. "* Sering, dijadwalkan pekerjaan batch beroperasi di bawah otoritas dengan hak
akses khusus ke database. Risiko terkait dengan akun akses ini serta hak akses perlu ditinjau.
Umum akun tidak boleh digunakan. Pekerjaan batch harus diberikan hak istimewa minimal
dan tingkat system akun tidak boleh digunakan.
Ketepatan
Akurasi dipastikan melalui pemeriksaan edit yang memvalidasi data yang dimasukkan
sebelum menerima transaksi untuk diproses. Akurasi memastikan bahwa informasi yang
dimasukkan ke dalam aplikasi konsisten dan mematuhi kebijakan dan prosedur. Ini dilakukan
dengan merancang layar input dengan pengeditan dan validasi yang memeriksa data yang
dimasukkan terhadap aturan atau nilai yang telah ditentukan.
Keakuratan transaksi yang diproses dapat dipastikan dengan meminta semua transaksi
yang dimasukkan melalui pemeriksaan validasi data, apakah berasal dari layar online,
antarmuka dari aplikasi lain, atau dihasilkan oleh sistem. Program yang secara otomatis
menghasilkan transaksi (mis., Program yang dipicu waktu) harus memiliki suntingan bawaan
yang memvalidasi keakuratan transaksi yang serupa dengan transaksi yang dimasukkan oleh
pengguna. Penting juga untuk melacak volume dan frekuensi transaksi terhadap tren yang
diharapkan untuk memastikan bahwa transaksi dipicu dengan benar. Pemeriksaan yang hilang
dan duplikat juga harus diprogram jika terjadi kesalahan dalam logika pemicu. Edit dan validasi
rutin umumnya unik untuk sistem aplikasi yang digunakan, meskipun beberapa rutinitas tujuan
umum dapat dimasukkan. Tampilan 9,2 daftar edit umum dan validasi pemeriksaan rutin atau
kontrol saat memasukkan data. Edit dan validasi rutinitas ditempatkan dalam suatu sistem
untuk membantu memastikan kelengkapan dan keakuratan data. Oleh karena itu, rutinitas edit
utama tidak boleh dianggap remeh. Di sebagian besar sistem, pengguna tidak diberikan
kemampuan ini. Mengganti rutinitas edit hanya diizinkan bagi manajer atau pengawas
departemen pengguna yang diistimewakan, dan dari terminal master. Override harus secara
otomatis dicatat oleh aplikasi sehingga tindakan ini dapat dianalisis untuk kesesuaian dan
kebenaran.
Kelengkapan
Kelengkapan mengkonfirmasi bahwa semua data yang diperlukan untuk memenuhi
kebutuhan bisnis saat ini dan di masa depan benar-benar siap dan tersedia. Memiliki data
lengkap untuk bekerja dengan membantu manajemen ketika membuat keputusan bisnis yang
berdampak pada organisasi. Data lengkap, dalam bentuk laporan keuangan, daftar vendor,
laporan piutang pelanggan, laporan pinjaman, dll., Mencerminkan status organisasi yang akurat
dan bagaimana hal itu mengatasi pesaing dan tren serta pola industri. Kelengkapan dipastikan,
misalnya, melalui prosedur penanganan kesalahan yang menyediakan pencatatan, pelaporan,
dan koreksi kesalahan.
Kontrol Edit dan Validasi Saat Memasukkan Data
Kontrol: Deskripsi
1. Pemeriksaan lapangan: Mengonfirmasi bahwa karakter dalam bidang adalah jenis yang
tepat.
2. Tanda centang: Memvalidasi bahwa data dalam suatu bidang memiliki tanda positif
atau negatif yang sesuai.
3. Pemeriksaan batas atau rentang: Memverifikasi bahwa jumlah numerik yang
dimasukkan adalah dalam nilai minimum dan maksimum yang dapat diterima.
4. Pemeriksaan ukuran: Memeriksa apakah ukuran data yang dimasukkan sesuai dengan
bidang tertentu.
5. Pemeriksaan Kelengkapan: Mengonfirmasi bahwa semua data yang diperlukan dan
diperlukan dimasukkan.
6. Pemeriksaan validitas: Membandingkan data dari file transaksi dengan file master
untuk memverifikasi keberadaannya.
7. Pemeriksaan kewajaran: Memeriksa kebenaran hubungan logis antara dua item data.
 8. Periksa verifikasi digit: Hitung ulang digit periksa untuk memverifikasi kesalahan entri
data belum dilakukan.
Kontrol pemrosesan
Kontrol pemrosesan mencegah, mendeteksi, dan / atau memperbaiki kesalahan saat
pemrosesan data (batch atau online) berlangsung. Kontrol ini membantu memastikan bahwa
data diproses secara akurat dan lengkap melalui aplikasi (mis., Tidak ada data yang
ditambahkan, hilang, atau diubah selama pemrosesan, dll.). Pekerjaan yang dijadwalkan dalam
suatu aplikasi harus ditinjau untuk memastikan bahwa perubahan yang dilakukan sesuai dan
tidak menimbulkan risiko. Sebagai contoh, dalam sistem aplikasi ERP, program Struktur
Bahasa Query dapat ditulis untuk memodifikasi data secara langsung terhadap database,
menghindari kontrol dalam aplikasi dan beroperasi terhadap database dengan hak administrator
sistem. Namun, dari layar, program ini dapat terlihat seperti laporan jika kode yang
mendasarinya tidak dievaluasi.

Hasil Telusur
Hasil Terjemahan
Inggris
Indonesia
Accuracy and Completeness To ensure data accuracy and completeness (A&C), programs
should be built with logic to prevent, detect, and/or correct errors. Error handling procedures
should include:
◾ Logging error activity
◾ Approval of error correction and resubmission
◾ Defined responsibility for suspense files
◾ Reports of unresolved errors
◾ Aging and prioritization of unresolved errors
Pelajari pengucapannya
Keakuratan dan Kelengkapan Untuk memastikan keakuratan dan kelengkapan data
(A&C), program harus dibangun dengan logika untuk mencegah, mendeteksi, dan / atau
memperbaiki kesalahan. Prosedur penanganan kesalahan harus mencakup:
1. Aktivitas kesalahan pencatatan
2. Persetujuan koreksi kesalahan dan pengiriman ulang
 3. Tanggung jawab yang ditentukan untuk file suspense
4. Laporan kesalahan yang tidak terselesaikan
5. Penuaan dan prioritas kesalahan yang belum terselesaikan
A&C juga dapat dicapai dengan menyeimbangkan transaksi batch yang terjadi dengan
transaksi yang keluar dari pendahulunya. Langkah-langkah penyeimbangan harus terjadi di
titik-titik pemrosesan pekerjaan utama. Poin kontrol berikut adalah contoh poin pemrosesan
pekerjaan utama:
1. Poin input. Program yang menerima transaksi dari pemrosesan input (mis., Antarmuka
pengguna, dll.)
2. Modul pemrosesan utama. Program yang memodifikasi data (mis., Melakukan
perhitungan, dll.)
3. Poin percabangan. Program yang membagi atau menggabungkan data (mis., Program
yang menggabungkan data dari dua atau lebih sumber input yang berbeda menjadi satu
file; file ini kemudian digunakan sebagai umpan data untuk sistem pelaporan keuangan,
dll.)
4. Output poin. Hasil pemrosesan data (mis., Laporan keuangan atau operasional, cek
cetak, file data keluaran, dll.)
Dirancang dengan benar, menyeimbangkan total untuk jumlah dan jumlah transaksi dapat
mendeteksi transaksi yang hilang atau duplikat (lihat Tampilan 9.3, bagian A). Selain itu,
keseimbangan dan rekonsiliasi harus terjadi antara aplikasi yang berbagi data umum. Ini dapat
dicapai dengan membuat laporan rekonsiliasi yang mencantumkan data dari semua sistem
aplikasi yang terlibat, dan melaporkan setiap perbedaan untuk grup pengguna untuk meninjau
dan mengikuti pengecualian apa pun. Tampilan 9.3, bagian B digunakan untuk
menggambarkan contoh rekonsiliasi antara sistem Penagihan, Pembayaran, dan Piutang Usaha.
Perhatikan bagaimana sistem Piutang Usaha mengkonfirmasikan (atau merekonsiliasi) semua
17 catatan yang terlibat dan, yang paling penting, saldo $ 400 yang tertunda setelah penagihan
dikirimkan dan pengumpulan (atau pembayaran) diterima. Menyeimbangkan total juga harus
mencakup hitungan transaksi (kuantitas), total untuk semua bidang jumlah untuk setiap jenis
transaksi, dan total cross-foot untuk bidang detail ke bidang total. Perhatikan dalam Bukti 9.4
bagaimana jumlah total diverifikasi, dan bagaimana jumlah total per bagian
 (a) (c)

Sistem pembayaran- Sistem piutang—

faktur keluar: faktur di:

Hitung = 10 Hitung = 10

Total = $ 1.250 (b) Total = $ 1.250

(d)
Sistem pembayaran-
Sistem pembayaran-
faktur keluar:
pembayaran dalam:
Rekor hitungan = 10
Rekor hitungan = 7
Rekor jumlah = $
1.250 Rekor jumlah = $
850

Piutang
sistem
(rekonsiliasi dari
faktur dan
pembayaran):
Rekor hitungan = 17
Rekor jumlah = $ 400

Tampilan 9.3
Total penyeimbangan batch (A) dan rekonsiliasi lintas aplikasi (B). hasil dari Kuantitas silang
dan Harga Satuan. Dalam file di mana tidak ada total yang berarti, total cash dapat dibuat yang
menambahkan semua angka dalam kolom untuk memverifikasi bahwa total yang sama diterima
oleh proses selanjutnya. Misalnya, total nomor bagian tidak memberikan arti apa pun. Namun,
total ini dapat digunakan untuk memverifikasi bahwa semua nomor bagian yang benar telah
diterima. Arus transaksi harus diseimbangkan setiap hari dan secara kumulatif ke pekerjaan
bulanan sebelum register ditutup. Menyeimbangkan total juga harus mempertimbangkan kedua
transaksi yang salah masuk dan masuk aliran pengolahan. Dalam Pameran 9.5, misalnya, 10
total transaksi (dengan jumlah $ 1.250) minus 2 transaksi yang ditulis ke file kesalahan (dengan
jumlah $ 250) diproses dalam Akun Sistem Piutang. Jumlah dan jumlah total yang
direkonsiliasi / seimbang dalam Piutang Dagang Sistem sekarang masing-masing delapan dan
$ 1.000.
Contoh umum lain dari kontrol pemrosesan meliputi:
 Pencocokan data. Cocokkan dua atau lebih item sebelum menjalankan perintah atau
tindakan tertentu (misalnya, faktur yang sesuai dengan pesanan pembelian dan
menerima laporan sebelum melakukan pembayaran, dll.)
 Label file. Pastikan file yang benar dan terbaru sedang digunakan.
 Pijakan silang. Membandingkan dua cara alternatif untuk menghitung total yang sama
untuk memverifikasi untuk akurasi (mis., ditambahkan oleh baris dan kolom dalam
spreadsheet, dll.)
Tampilan 9.4
Total Penyeimbang Sampel
Pesanan Kuantitas Nomer Bagian Unit Harga Total
Bagian A 100 1288543 $1.20 $120.00
Bagian B 80 0982374 $0.60 $48.00
Bagian C 200 5436682 $0.45 $90.00
Total 380 $258.00
Sumber : Diadaptasi dari Senft, S., Gallegos, F., dan Davis, A. 2012. Kontrol Teknologi
Informasi
dan Audit. Boca Raton: CRC Press / Taylor & Francis.

Sistem pembayaran- File kesalahan—

faktur keluar:
faktur:
Hitung = 10
Hitung = 2
Total = $ 1.250
Total = $ 250

Piutang sistem (faktur

dalam — kesalahan):

Hitung = 8

Total = $ 1.000
Tampilan 9,5 Menyeimbangkan total dengan transaksi kesalahan.
1. Tes keseimbangan nol. Periksa bahwa akun tertentu (misalnya, Akun kliring gaji, dll.)
Mempertahankan saldo nol. Tes ini membantu organisasi dalam menghilangkan saldo
berlebih di Indonesiapisahkan akun dan pertahankan kontrol yang lebih besar atas
pencairan.
2. Mekanisme perlindungan menulis. Perlindungan terhadap menimpa atau menghapus
data.
3. Kontrol pembaruan bersamaan. Cegah kesalahan dua atau lebih pengguna memperbarui
catatan yang sama diwaktu yang sama.
Kontrol Keluaran
Kontrol keluaran dirancang untuk mendeteksi dan memperbaiki kesalahan setelah
pemrosesan selesai, memastikan integritas output yang dihasilkan. Secara khusus, kontrol
output meliputi: (1) prosedur untuk memverifikasi jika data akurat dan lengkap (mis., direkam
dengan benar) dan (2) prosedur untukdistribusi dan penyimpanan laporan yang memadai. Jika
output diproduksi secara terpusat, maka konvensional kontrol, seperti memiliki petugas
keamanan dan mendistribusikan log mungkin tepat. Jika output didistribusikan melalui
jaringan komunikasi data, kontrol penekanan bergeser ke kontrol akses untuk workstation
individu. Untuk menjaga kerahasiaan, akses ke laporan harus didasarkan pada Dasar "perlu
tahu". Akurasi dan Kelengkapan Keluaran harus diverifikasi terhadap sumber independen
untuk memverifikasi keakuratan dan kelengkapannya.
Tiga jenis kontrol output yang umum terkait dengan akurasi dan kelengkapan adalah
penggunaulasan, rekonsiliasi, dan kontrol transmisi data. Ulasan pengguna memastikan output
(laporan)dihasilkan aman, rahasia, dan pribadi melalui melakukan penyeimbangan dan
kelengkapanmemeriksa; perbandingan bidang data utama; memeriksa informasi yang hilang;
dan mendokumentasikan rekreasi.Rekonsiliasi mencakup prosedur untuk merekonsiliasi
laporan kontrol. Misalnya, total transaksidiposting ke buku besar umum harus direkonsiliasi
dengan saldo terperinci yang jatuh tempo dalam akunbuku besar pembantu piutang.
Contoh lain termasuk rekonsiliasi data eksternal, seperti rekonsiliasi rekening bank /
kas. Seperti disebutkan sebelumnya, data yang umum untuk dua atau lebih aplikasi harus
direkonsiliasi untuk memverifikasi konsistensi. Kontrol transmisi data diimplementasikan
untuk melindungi transfer fisik data melalui komunikasi point-to-point atau point-to-multipoint
saluran. Contoh di sini adalah penerapan teknik enkripsi lebih dari data yang dikirimkan.
Distribusi dan Retensi
 Distribusi output harus didefinisikan dengan jelas, dan akses fisik dan logis harus
dibatasi kepada personel yang berwenang. Kebutuhan akan keluaran harus ditinjau ulang
secara berkala sebagaimana adanya laporan diminta pada saat aplikasi dikembangkan, tetapi
mungkin tidak lagi berguna. Juga sama informasi dapat digunakan untuk lebih dari satu sistem
dengan pandangan, organisasi, dan penggunaan yang berbeda.
Misalnya, departemen pemasaran dapat menggunakan informasi penjualan untuk
membayar komisi dan memantau kuota penjualan, sedangkan departemen akuntansi
menggunakan informasi yang sama untuk menyiapkan keuangan pernyataan dan laporan.
Kedua sistem ini harus direkonsiliasi untuk memastikan jumlahnya dilaporkan untuk
membayar staf penjualan sama dengan jumlah yang dilaporkan pada laporan keuangan dan
laporan.
Keterlibatan Auditor IT
Auditor TI dapat membantu organisasi dengan meninjau sistem aplikasi mereka untuk
memastikan mereka patuh dengan strategi dan standar organisasi, serta menyediakan fungsi
otomatis untuk secara efektif mendukung proses bisnis. Aplikasi perlu dinilai risiko untuk
menentukan level keterlibatan audit. Jenis penilaian juga akan bervariasi tergantung pada risiko
tertentu aplikasi. Aplikasi memperkenalkan risiko kepada organisasi dalam bentuk peningkatan
biaya, kehilangan integritas data, kelemahan dalam kerahasiaan, kurangnya ketersediaan,
kinerja yang buruk, dan lainnya.
Risiko-risiko ini harus diatasi dengan pemilihan dan implementasi kontrol yang
memadai. Sistem aplikasi audit membutuhkan pengetahuan khusus tentang risiko dan kontrol
aplikasi. Memahami hal itu memungkinkan auditor TI untuk mengidentifikasi bidang-bidang
utama yang akan mendapat manfaat dari independen verifikasi. Selain itu, memahami kontrol
aplikasi memungkinkan auditor TI untuk mengevaluasi dan merekomendasikan yang akan
memastikan pemrosesan transaksi yang lengkap dan akurat.
Seperti yang dinyatakan sebelumnya, auditor TI dapat dilibatkan sebagai konsultan
kontrol atau pengulas independen. Tingkat keterlibatan ditentukan dengan menyelesaikan
penilaian risiko. Hasil dari risiko penilaian juga meminta jumlah waktu yang diperlukan untuk
mengalokasikan ke aplikasi tertentu, sumber daya yang diperlukan, dll. Persiapan rencana audit
kemudian menyusul. Rencana tersebut menggambarkan audit tujuan dan prosedur yang harus
dilakukan untuk memastikan aplikasi diimplementasikan secara memadai, dan menjaga
informasi. Auditor TI akhirnya mengkomunikasikan temuan yang diidentifikasi di seluruh
audit plus rekomendasi kepada manajemen.
Tugas beresiko
 Auditor TI mungkin tidak memiliki cukup waktu untuk menilai setiap sistem aplikasi
tertentu dalam organisasi. Keterlibatan dalam aplikasi tertentu akan tergantung pada penilaian
aplikasi risiko. Risiko aplikasi terkait dengan kompleksitas dan besarnya aplikasi, staf yang
tidak berpengalaman, kurangnya keterlibatan pengguna akhir, dan kurangnya komitmen
manajemen. Tingkat risiko mungkin fungsi kebutuhan akan informasi yang tepat waktu,
kompleksitas aplikasi, tingkat kepercayaan untuk keputusan penting, lamanya waktu aplikasi
akan digunakan, dan jumlah orang yang akan menggunakannya. Penilaian risiko menentukan
aspek mana dari aplikasi tertentu yang akan dicakup oleh audit. Ruang lingkup audit dapat
bervariasi tergantung pada risiko yang diidentifikasi.
Rencana Audit
Rencana audit merinci langkah-langkah dan prosedur untuk memenuhi tujuan audit.
Seperti dalam setiap audit, audit sistem aplikasi dimulai dengan analisis awal dari lingkungan
kontrol oleh meninjau standar, kebijakan, dan prosedur yang ada. Selama audit, standar-standar
ini, kebijakan-kebijakan, dan prosedur harus dinilai untuk kelengkapan dan efisiensi
operasional. Pendahuluan analisis harus mengidentifikasi strategi organisasi dan tanggung
jawab untuk mengelola dan mengendalikan aplikasi. Mendokumentasikan pemahaman tentang
sistem aplikasi juga merupakan keharusan di tahap ini.
Rencana audit selanjutnya akan mendokumentasikan prosedur yang diperlukan untuk
melakukan pemeriksaan untuk memastikan bahwa sistem aplikasi dirancang dan
diimplementasikan secara efektif, serta beroperasi konsisten dengan kebijakan dan prosedur
organisasi. Prosedur dilakukan oleh auditor TI harus memberikan jaminan yang masuk akal
bahwa aplikasi telah dirancang dan diimplementasikan secara memadai, dan:
1. Mematuhi standar, kebijakan, dan prosedur
2. Mencapai operasi yang efisien dan ekonomis
3. Memenuhi persyaratan hukum
4. Masukkan kontrol yang diperlukan untuk melindungi dari kehilangan atau kesalahan
serius
5. Menyediakan kontrol dan jalur audit yang diperlukan untuk manajemen, auditor, dan
untuk tinjauan operasional
Tujuan
Publikasi Khusus NIST 800-53A, Revisi 4, Menilai Kontrol Keamanan dan Privasi
dalam Sistem dan Organisasi Informasi Federal (2014), memberikan penilaian menyeluruh
Komunikasi Area pertama untuk berkomunikasi adalah ruang lingkup keterlibatan auditor TI.
Sangat penting untuk melakukannya pastikan bahwa harapan manajemen tentang peran auditor
TI dipahami dan dikomunikasikan dikhususkan untuk semua peserta. Auditor TI harus
mengembangkan jalur komunikasi terbuka dengan keduanya manajemen dan pengguna. Jika
hubungan yang baik antara kelompok-kelompok ini tidak ada, informasi mungkin ditahan dari
auditor TI. Meskipun auditor IT harus memupuk kerja yang baik hubungan dengan semua
kelompok dengan tanggung jawab desain, auditor TI harus tetap independen.
Selama audit, auditor TI akan membuat rekomendasi kontrol yang dihasilkan dari
temuan yang diidentifikasi. Bergantung pada budaya organisasi, rekomendasi ini mungkin
perlu ditangani secara informal dengan masing-masing pemilik aplikasi yang bertanggung
jawab atas area atau proses yang kurang, atau secara formal dengan menghadirkan mereka ke
komite pengarah. Dalam kedua kasus tersebut, auditor TI harus selalu pertimbangkan nilai
rekomendasi kontrol versus biaya penerapan kontrol. Rekomendasi harus spesifik. Mereka
harus mengidentifikasi masalah dan bukan gejalanya, dan memungkinkan kontrol yang tepat
untuk diimplementasikan dan diuji. Temuan, risiko sebagai akibatnya temuan, dan
rekomendasi audit biasanya didokumentasikan dalam surat resmi (mis., Manajemen Surat).
Lihat Lampiran 3.9 dari Bab 3 untuk contoh format Surat Manajemen dari audit TI.
Kesimpulan
Aplikasi sangat penting bagi organisasi dalam menjalankan bisnis mereka. Mereka
mewakili tidak dapat berinvestasi untuk banyak organisasi karena mereka menyediakan fungsi
otomatis untuk mendukung secara efektif proses bisnis. Aplikasi juga menimbulkan risiko bagi
organisasi. Risiko-risiko ini seharusnya ditangani dengan pemilihan dan implementasi kontrol
aplikasi yang memadai. EUD melibatkan penggunaan aplikasi yang dikembangkan oleh
departemen, seperti spreadsheet dan database, yang sering digunakan sebagai alat dalam
melakukan pekerjaan sehari-hari. Spreadsheet ini dan database pada dasarnya merupakan
perpanjangan dari lingkungan TI dan output yang dihasilkan darinya digunakan dalam
membuat keputusan bisnis yang berdampak pada perusahaan. Tingkat risiko dan yang
diperlukan kontrol yang akan diterapkan tergantung pada kekritisan aplikasi EUD.
Auditor, manajemen, pengembang, dan konsultan keamanan harus mewaspadai bisnis
risiko yang terkait dengan sistem pertukaran informasi bisnis elektronik. Elektronik seperti itu
pertukaran dokumen bisnis antara mitra bisnis (atau perdagangan) menggunakan standar
format ini disebut sebagai EDI. Contoh umum informasi bisnis yang dipertukarkan melalui
EDI termasuk faktur dan pesanan pembelian, dan risiko seperti kehilangan kesinambungan
bisnis, meningkat ketergantungan pada sistem, hilangnya kerahasiaan informasi sensitif, dan
peningkatan keterpaparan terhadap penipuan adalah beberapa dari banyak hal. Beberapa
standar yang memberikan dasar untuk penilaian audit EDI termasuk ASC X12 ANSI (Amerika
Utara) dan EDIFACT (Internasional).
Penggunaan aplikasi Web telah menjadi kunci arah bagi banyak perusahaan.
Perusahaan boleh menggunakan aplikasi Web untuk tujuan pemasaran, dan lainnya untuk
mengganti klien tradisional mereka–aplikasi server. Aplikasi web mencakup penggunaan
browser Web pada sisi klien yang ada Spreadsheet ini dan database pada dasarnya merupakan
perpanjangan dari lingkungan TI dan output yang dihasilkan darinya digunakan dalam
membuat keputusan bisnis yang berdampak pada perusahaan. Tingkat risiko dan yang
diperlukan kontrol yang akan diterapkan tergantung pada kekritisan aplikasi EUD.
Auditor, manajemen, pengembang, dan konsultan keamanan harus mewaspadai bisnis
risiko yang terkait dengan sistem pertukaran informasi bisnis elektronik. Elektronik seperti itu
pertukaran dokumen bisnis antara mitra bisnis (atau perdagangan) menggunakan standar
format ini disebut sebagai EDI. Contoh umum informasi bisnis yang dipertukarkan melalui
EDI termasuk faktur dan pesanan pembelian, dan risiko seperti kehilangan kesinambungan
bisnis, meningkat ketergantungan pada sistem, hilangnya kerahasiaan informasi sensitif, dan
peningkatan keterpaparan terhadap penipuan adalah beberapa dari banyak hal. Beberapa
standar yang memberikan dasar untuk penilaian audit EDI termasuk ASC X12 ANSI (Amerika
Utara) dan EDIFACT (Internasional).
Penggunaan aplikasi Web telah menjadi kunci arah bagi banyak perusahaan.
Perusahaan boleh menggunakan aplikasi Web untuk tujuan pemasaran, dan lainnya untuk
mengganti klien tradisional biasanya platform independen, dan membutuhkan daya komputasi
lebih sedikit. Beberapa manfaat aplikasi Web-Ini termasuk pengurangan waktu ke pasar,
peningkatan kepuasan pengguna, dan pengurangan biaya terkait pemeliharaan dan dukungan.
Aplikasi web juga memiliki risiko yang serupa dengan yang tradisional sistem aplikasi
terpapar.
Karena risiko-risiko ini, kontrol perlu diimplementasikan untuk memastikan bahwa
aplikasi terus berlanjut memenuhi kebutuhan bisnis secara efektif dan efisien. Kontrol aplikasi
bersifat spesifik dan unik untuk aplikasi. Mereka peduli dengan akurasi, kelengkapan, validitas,
dan wewenang rasionalisasi data yang ditangkap, dimasukkan, diproses, disimpan, dikirim, dan
dilaporkan. Aplikasi kontrol dipecah menjadi kontrol input, pemrosesan, dan output.
Auditor TI dapat membantu organisasi dengan meninjau sistem aplikasi mereka untuk
memastikannya mematuhi strategi dan standar organisasi, serta menyediakan fungsi otomatis
untuk secara efektif mendukung proses bisnis. Aplikasi perlu dinilai risiko untuk menentukan
tingkat keterlibatan audit. Hasil dari penilaian risiko juga meminta jumlah waktu yang
diperlukan penting untuk mengalokasikan ke aplikasi tertentu, sumber daya yang diperlukan,
dll. Persiapan rencana audit kemudian ikuti penjelasan tujuan dan prosedur audit yang akan
dilakukan. Terakhir, auditor TI mengomunikasikan temuan yang diidentifikasi di seluruh audit
plus rekomendasi kepada manajer