Dosen Pengampu:
Dr. Paulus Th Basuki Hadiprajitno, MBA, MSAcc, Ak, CA
Disusun Oleh:
Departemen Akuntansi
Fakultas Ekonomi dan Bisnis
Universitas Diponegoro
2018/2019
Chapter 19
Selanjutnya, pada bab ini akan dibahas tentang IT General Control dari perspektif auditor
internal dan praktik terbaik IT General Control yang telah diakui di seluruh dunia, yaitu
Information Technology Infrastructure Library (I'ITL). Di dalam ITIL telah dijabarkan
jenis kerangka audit yang harus dipertimbangkan ketika mereviu resiko pengendalian
internal pada teknologi informasi dan merekomendasikan perbaikan yang efektif dari
general control.
Auditor Internal mulai terlibat dalam audit IT dan prosedur pengendalian ketika
aplikasi akuntansi pertama kali terinstal pada saat kartu masukan ditekan ke dalam sistem
komputer. Sistem-sistem perusahaan pada awal mulanya sering dipasang pada kamar
berdinding kaca dalam lobi perusahaan untuk member kesan kepada pengunjung baw;a
sistem dalam perusahaan tersebut sangat canggih. Namun pada kenyataannya, sistem-
sistem tersebut tidak canggih. Auditor internal yang tidak mengenal teknologi pengolahan
data tersebut akan melakukan audit around the computer.
Artinya auditor internal akan berfokus pada prosedur pengendalian input dan penerapan
pada output untuk memeriksa apakah input seimbang untuk menghasilkan laporan output.
Di era ini, ada sedikit pertanyaan tentang akurasi dan kontrol dari laporan yang dihasilkan
oleh sistem computer. Auditor internal hanya berfokus pada input dan output, sementara
yang terjadi di sekitar komputer adalah prosedur pengolahan program.
Perusahaan saat ini telah menerapkan banyak jaringan dan sistem untuk
mendukung unit bisnis yang lebih kecil atau komputasi departemen tertentu, atau untuk
menyediakan IT untuk seluruh perusahaan. Meskipun ukurannya yang lebih kecil, sistem
ini sering mewakili perhatian pada pengendalian umum yang signifikan. Auditor Internal
harus memahami kontrol umum seputar sistem komputer yang lebih kecil. Kontrol umum
yang memadai diperlukan untuk mengandalkan kontrol aplikasi tertentu.
Sistem yang lebih kecil dapat diimplementasikan dalam berbagai cara, tergantung
pada konfigurasi sistem dan ukuran perusahaan. Auditor internal harus mampu
mengenali perbedaan-perbedaan ini dan mengembangkan prosedur pengendalian
internal secara umum tepat untuk meninjau kontrol umum mereka. Bagian ini
membahas ini kontrol umum dalam hal sistem komputer usaha kecil, Internet dan
sistem jaringan, kontrol sistem client-server, dan sistem yang besar klasik kontrol
umum.
Audit internal sering bekerja dalam lingkungan di mana sistem bisnis yang
digunakan lebih kecil, terutama ketika di perusahaan-perusahaan yang relatif
kecil. Contohnya sebuah perusahaan non-profit yang sumber daya IT-nya
hanya server dan sistem desktop untuk mendukung direct mailing dan
aplikasi yang sebatas berhubungan dengan akuntansi. Audit internal harus
meninjau kontrol umum atas suatu sistem server seolah-olah sistem klasik,
sistem perusahaan yang lebih besar. Artinya, masih ada kebutuhan untuk
sistem keamanan, integritas, dan prosedur backup. Jenis-jenis sistem bisnis
yang lebih kecil umumnya memiliki karakteristik umum:
Dalam banyak perusahaan saat ini, sistem lain dapat ditemukan di wilayah di
luar operasi TI seperti laboratorium teknik, operasi pengendalian manufaktur,
departemen pemasaran, dan di tempat lain. Sistem ini dapat digunakan untuk
pengendalian proses, karya desain otomatis, pengolahan analisis statistik,
atau aplikasi lainnya. Beberapa benar-benar didedikasikan untuk aplikasi
spesifik; yang lain dapat digunakan untuk berbagai tugas dalam fungsi
sebagaimana mereka ditugaskan. Meskipun sistem ini tidak digunakan untuk
kebutuhan informasi bisnis tradisional, seperti memelihara rekening catatan
piutang, mereka sering mendukung aplikasi kritis untuk perusahaan.
Pemisahan tugas kontrol yang ditemukan di toko yang lebih besar tidak ada dalam
lingkungan kecil ini, tetapi harus ada kompensasi kontrol, termasuk:
Bahkan dengan control yang mengkompensasi dalam sistem IT usaha kecil yang
modern, audit internal juga harus menyadari untuk mengendalikan risiko potensial dan
kelemahan. Beberapa contoh kelemahan kontrol di perusahaan dengan IT kecil yang
tidak biasanya ada di departemen yang lebih besar meliputi:
1) Karyawan "Setia" yang tidak mengambil liburan atau waktu libur mereka
2) Penggunaan khusus, program berdokumen yang hanya diketahui oleh manajer TI
3) Partisipasi departemen IT langsung dalam transaksi sistem input, seperti
penyesuaian dengan sistem persediaan
Audit internal akan menghadapi berbagai merek perangkat keras komputer atau
nama produk dalam sistem lingkungan yang lebih kecil, tetapi sebagian besar
merupakan sistem terbuka dengan sistem operasi umum yang dapat berfungsi
tidak peduli apa merek hardware yang digunakan. Auditor internal akan lebih
efektif dalam meninjau kontrol sistem komputer usaha kecil jika mereka memiliki
pengetahuan yang menyeluruh dari beberapa kemampuan mereka. Meskipun sifat
bisnis kecil yang lebih informal atas sebuah sistem komputer, audit internal dapat
mengharapkan beberapa masalah pengendalian internal yang akan dibahas
berikut.
Sifat yang informal dari banyak perusahaan yang lebih kecil sering
memungkinkan data yang akan diakses tidak dilakukan dengan benar melalui
prosedur operasional IT yang normal. Audit internal harus dapat menemukan
kontrol untuk mencegah permintaan IT tersebut. Kontrol terbaik bisa menjadi
"permintaan untuk layanan data" tipe form yang seperti itu dan disetujui oleh
manajemen. Selain itu, log harus dijaga dalam membuat daftar semua
kegiatan produksi IT serta nama pemohon dan penerima laporan.
Auditor internal dulu lebih tertarik pada ukuran sistem komputer untuk ditinjau
kembali karena dampaknya pada review pengendalian prosedur audit internal. Ini telah
berubah dengan pengenalan banyak perkembangan teknologi baru. Hari ini tidak ada lagi
hubungan langsung antara ukuran mesin dan kompleksitas audit. Namun demikian,
beberapa kontrol yang audit internal temukan dalam operasi pusat komputer yang sangat
besar belum tentu berlaku untuk sistem komputer bisnis kecil.
Sebuah langkah penting dalam kajian audit internal operasi kontrol umum IT
sistem besar adalah untuk mendefinisikan dengan jelas apa yang menjadi tujuan tujuan
review tersebut. Meskipun tinjauan kontrol umum system IT yang lebih besar dapat
memiliki berbagai tujuan, terkadang masuk kedalam salah satu dari empat jenis ulasan:
ITIL adalah kerangka rinci praktik terbaik IT yang signifikan, dengan checklist
yang komprehensif, tugas, prosedur, dan tanggung jawab yang dirancang untuk
disesuaikan dengan setiap organisasi IT. Membagi proses utama antara mereka yang
meliputi penyediaan layanan IT dan dukungan layanan, ITIL telah menjadi standar de facto
untuk menggambarkan banyak proses fundamental dalam pengelolaan layanan IT, seperti
konfigurasi atau manajemen perubahan. Proses ITIL secara tradisional telah dibagi antara
mereka yang mencakup dukungan layanan dan orang-orang untuk penyediaan layanan.
Proses dukungan layanan membantu membuat aplikasi IT beroperasi secara efisien dan
memuaskan pelanggan sedangkan proses pelayanan meningkatkan efisiensi dan kinerja
dari elemen infrastruktur IT . Ada lima proses praktik terbaik dukungan layanan ITIL mulai
dari manajemen rilis , menempatkan proses ke dalam produksi , manajemen insiden ,
sampai pelaporan tertib mengenai masalah atau kejadian IT. Proses dukungan layanan ITIL
mencakup praktek-praktek yang baik untuk setiap perusahaan IT , apakah operasi terpusat
dengan menggunakan sistem warisan mainframe terutama yang klasik , sebagai titik
kontrol pusat IT, hingga operasi client-server yang sangat terdistribusi. Karena banyak
variasi yang mungkin dalam fungsi operasional TI ITIL tidak menetapkan rincian
"bagaimana " untuk melaksanakan proses layanan dukungan, seperti konfigurasi atau
manajemen perubahan. Sebaliknya, ITIL menyarankan praktek yang baik dan cara-cara
untuk mengelola input dan hubungan antara proses-proses tersebut. Tidak ada urutan atau
mana yang lebih dulu di antara masing-masingnya. Mereka dapat dipertimbangkan dan
dikelola secara terpisah, tetapi semuanya agak terkait satu sama lain.
Pemahaman audit internal terhadap kontrol umum IT sangat penting. Tidak peduli
apa ukuran atau ruang lingkup operasional IT, kontrol tertentu prosedur-seperti revisi
Program kontrol-berlaku untuk semua operasi. Selain itu, pemahaman keseluruhan praktik
terbaik ITIL harus memungkinkan auditor internal untuk memahami dan mengevaluasi
kontrol umum IT di banyak lingkungan.
Chapter 20
Apakah digunakan sebagai sistem pribadi atau untuk tugas-tugas kerja, sistem BYOD yang
umum hari ini. Sementara BYODs dapat meningkatkan kekhawatiran tentang keamanan
atau sekitar mengelola data dalam jumlah besar perangkat ini menghasilkan, mereka juga
mengangkat isu-isu pengendalian internal melampaui keamanan IT untuk mencakup
berbagai isu-isu manajemen endpoint. Masalah mencapai melampaui beban data untuk
mencakup dampak yang lebih luas perangkat memiliki infrastruktur TI dan operasi.
Penggunaan berat BYODs di suatu perusahaan dapat meningkatkan beberapa isu-isu kunci
yang manajemen perusahaan TI dan audit internal harus siap untuk mengatasi.
Dari perspektif organisasi, adopsi yang cepat dari smartphone dan tablet mengikis budaya
di banyak perusahaan di mana fungsinya pernah berhasil teknologi IT dan dikendalikan
akses ke sumber daya dengan memilih, pembelian, menyebarkan, dan mendukung
perangkat mobile karyawan. Dalam banyak perusahaan hari ini, BYOD skenario dan kuat,
aplikasi-Fokus berdasarkan smartphone dan tablet yang mengambil alih. Perubahan ini
poin untuk lingkungan yang heterogen yang lebih kompleks untuk TI dan peluang
fungsionalitas lebih produktif bagi pengguna bisnis daripada di masa lalu.
Untuk hampir setiap review operasi perusahaan atau review yang dilakukan dalam
unit c bisnis spesifik atau departemen, audit internal harus mendapatkan pemahaman umum
toleransi risiko BYOD unit dan kebijakan secara keseluruhan di tempat yang meliputi
kegiatan tersebut. Memahami toleransi suatu perusahaan untuk risiko, seperti dibahas
dalam Bab 7, adalah langkah pertama untuk memahami bagaimana BYOD bekerja di suatu
perusahaan. industri Sebuah perusahaan mungkin menjadi indikator utama untuk toleransi
risiko ini. Misalnya, organisasi dalam perawatan kesehatan, jasa keuangan, pemerintah,
atau layanan keamanan kemungkinan akan mengadopsi posisi yang lebih defensif terhadap
BYOD dari Internet-perusahaan teknologi berbasis.
BYOD Security Policy Elements
BYOD adalah tren yang relatif baru yang masih digunakan untuk membangun praktik
terbaik IT. Akibatnya, banyak perusahaan masih bergegas untuk membuat kebijakan dan
proses yang hanya tidak berkelanjutan dalam jangka panjang. Maklum, perusahaan
terutama con-berkeberatan terhadap biaya implementasi dan keamanan, dan cenderung
berfokus pada isu-isu di awal. Tapi tanpa menghormati pengalaman pengguna, program
BYOD perusahaan bahkan mungkin tidak pernah turun tanah. Jika kebijakan BYOD yang
terlalu ketat, kekurangan dukungan yang memadai untuk perangkat yang lebih disukai
karyawan, atau hanya terlalu rumit dan membingungkan, karyawan akan menemukan cara
untuk baik menghindari kebijakan atau mengakhiri partisipasi mereka sama sekali. Hal ini
tidak berbeda ketika para pemangku kepentingan perusahaan diberi akses ke Internet di
tempat kerja tetapi diberitahu untuk tidak menggunakannya kecuali untuk bisnis
perusahaan. Aturan-aturan ini secara teratur dilanggar. Dalam hal ini, kebutuhan
perusahaan tidak terpenuhi-baik keamanan terganggu atau nilai bisnis hilang. Jadi
sementara biaya dan secu-ritas kekhawatiran adalah isu-isu penting untuk mengelola,
keberlanjutan Program BYOD tergantung sepenuhnya pada memberikan pengalaman
pengguna yang konsisten positif dalam jangka panjang.
Saat ini, rata-rata karyawan menggunakan beberapa perangkat untuk bekerja, termasuk
komputer desktop, laptop, tablet, dan smartphone. Mengelola banyaknya dan berbagai
perangkat-apakah ini dimiliki oleh karyawan atau perusahaan-telah memperkenalkan
masalah keamanan sangat dinamis dan kompleks. Oleh karena itu, sangat penting
bahwa setiap BYOD kebijakan keamanan upaya untuk membangun model
kepercayaan yang mengidentifikasi jika, bagaimana, dan kapan perangkat jatuh dari
kepatuhan, langkah-langkah untuk perbaikan, dan sejauh mana tindakan ini dapat
diterima pengguna. Sebuah model kepercayaan BYOD harus:
Media aplikasi IT sosial sampai awal mereka dengan baik sebelum era saat ini semua-
Internet meresap dan bahkan sebelum hari ini laptop pribadi komputer, BlackBerry, atau
iPhone. Berikut ini adalah beberapa tren utama dalam pengembangan komputasi media
sosial dari awal hingga saat ini:
Audit internal dan manajemen perusahaan perlu memahami dan membangun, bila
sesuai, praktek pendidikan menguraikan dos dan tidak boleh dilakukan untuk berbagai
sistem media sosial serta beberapa kebijakan yang sangat spesifik yang meliputi
penggunaan pemangku kepentingan alat ini. kebijakan media sosial ini harus hampir bagian
dari kebijakan perusahaan seperti kode etik serta kebijakan keamanan dan privasi IT yang
dikomunikasikan kepada seluruh karyawan dan stakeholder. Misalnya dan dibahas secara
lebih rinci dalam Bab 26, perusahaan harus mengembangkan kode pemangku kepentingan
secara keseluruhan yang menguraikan perusahaan poli-badan-dalam yang sangat tinggi-
tingkat tapi mudah-untuk-memahami cara. Kode harus refresh dan diperbarui secara teratur
dan semua pemangku kepentingan harus diminta untuk secara berkala Affi rm bahwa
mereka telah membacanya, memahaminya, dan setuju untuk mematuhi itu. Menerapkan
kode tersebut etik penting bagi praktik tata perusahaan IT yang kuat dan efektif.
Aplikasi media sosial menyajikan beberapa kontrol dan tata kelola masalah internal yang
kuat untuk perusahaan hari ini. Sedangkan aplikasi Facebook, Twitter, dan LinkedIn yang
telah diperkenalkan secara singkat dalam bab ini mungkin adalah yang paling umum saat
ini, ini ada jaminan bahwa mereka akan menjadi seperti menonjol beberapa tahun maka.
Namun, konsep mereka mewakili perubahan laut mengenai cara di mana informasi devel-
oped dan olahan yang hampir pasti tidak akan berubah. Meskipun banyak manajer senior
mungkin terlihat pada sebagian besar aplikasi ini sebagai alat untuk anak-anak remaja
mereka dan rekan muda pada staf, setiap manajer senior dan tentu setiap auditor internal
harus setidaknya menjadi tangan-pada akrab dengan dan memiliki CBOK memahami-ing
dari alat ini dalam rangka untuk lebih memahami mereka dan berkomunikasi dengan orang
lain di perusahaan.
Chapter 21
“Big Data” yang tinggi-volume, -kecepatan dan -aset informasi berbagai yang menuntut
biaya-efektif, bentuk-bentuk inovatif dari pengolahan informasi untuk wawasan
ditingkatkan dan pengambilan keputusan.
Auditor internal harus ingat bahwa data pengendalian internal besar mencakup lebih dari
sekedar volume besar data transaksional. Ini menyangkut hal-hal seperti pesan video, pesan
melalui smartphone menggunakan perangkat lunak seperti Twitter, dan global positioning
sistem koordinat transaksi. Dengan menggali ke dalam empat ini-definisi V sedikit lebih
dalam, auditor internal harus mengembangkan pemahaman yang lebih baik tentang
implikasi dari masing-masing data besar konsep-konsep pengendalian internal ini.
1. Volume
Volume mengacu pada jumlah data yang umum untuk aplikasi tertentu atau sistem
dan tergantung pada ukuran relatif dari perusahaan. Dalam banyak kasus, data
volume yang ekstrim memiliki format umum dan dapat dihitung dalam tradisional
“baris” catatan, dan/atau dalam hal ruang penyimpanan yang diperlukan. Data dan
volume transaksi masalah adalah elemen mendefinisikan yang sangat penting dari
data yang besar. Ketika menghadapi volume data besar ketika meninjau beberapa
aplikasi IT, internal auditor mungkin bertanya beberapa pertanyaan tentang apa
yang baik manajemen dan TI lakukan untuk memproses volume tinggi tak terduga
dari data. Tidak ada jawaban yang benar di sini, tapi internal auditor harus mencari
analisis dan pengendalian internal Prosedur-prosedur-baik untuk mengelola baik
saat ini dan tak terduga volume data yang tinggi.
2. Kecepatan
Kecepatan mengacu pada kecepatan di mana data yang disampaikan dan/atau
perubahan. Masalah kecepatan adalah salah satu capture dan respon. Ketika
sejumlah besar transaksi atau pesan dengan cepat datang ke aplikasi atau situs web
suatu perusahaan, maka perusahaan perlu untuk menangkap dan memproses
kecepatan tinggi ini data. Ini bukan masalah konten dan sering tidak terkait
volume data yang besar dan/atau masalah berbagai juga. Pentingnya kecepatan-
peningkatan data rate ini di mana data mengalir ke organisasi-sering mengikuti
pola yang sama dengan yang volume. perusahaan khusus seperti pedagang
keuangan atau bahkan perjalanan pemesanan dan reservasi situs semua harus
memiliki sistem yang mengatasi cepat-memindahkan data untuk keuntungan
mereka.
3. Variasi
Berbagai data besar mengacu pada berbagai sumber dan jenis kedua data
terstruktur dan unstruc-tured dari sumber seperti spreadsheet, database, link video,
grafis, perangkat moni-toring, dan banyak lagi. Jarang Data hadir sendiri dalam
bentuk sempurna memerintahkan dan siap untuk diproses, dan ini berbagai data
yang tidak terstruktur dapat menciptakan masalah untuk penyimpanan,
pengolahan, dan analisis.
4. Kebenaran
Kebenaran berkaitan dengan kekhawatiran mengenai data pasti atau tidak tepat
serta bias, kebisingan, dan kelainan dalam data. IT, manajemen umum, dan
pemeriksaan tentu intern ketika berhadapan dengan situasi sistem data besar harus
bertanya apakah data yang sedang diproses dan disimpan berarti bagi masalah
yang sedang dianalisis. Dalam sistem basis data tradisional dan tentu dalam sistem
di mana audit internal telah mengkaji pengendalian internal dan menemukan
mereka yang memadai, selalu ada asumsi bahwa data appli-kation adalah tertentu,
bersih, dan tepat. Big Data kebenaran mengacu pada situasi di mana data yang
mungkin ragu-ragu karena inconsis-tencies, ambiguitas, perkiraan yang salah,
atau berbagai masalah lain. Ini bukan masalah yang unik untuk aplikasi data besar.
masalah Data kejujuran dalam bahkan beberapa aplikasi kecil tunggal dapat
berubah menjadi masalah besar ketika seseorang dihadapkan dengan aplikasi data
utama besar. Sebuah tim TI perusahaan perlu mengembangkan strategi Data
kebenaran besar untuk membantu menjaga data yang bersih dan proses untuk
menjaga “data kotor” dari terakumulasi dalam sistem.
Data besar membawa tantangan baru dalam bentuk isu-isu pemerintahan dan
keamanan serta peraturan meningkat. Sementara banyak tata kelola TI, risiko, dan isu-isu
kepatuhan tetap tidak berubah tidak peduli ukuran sistem atau volume data yang
digunakan, sistem dan perusahaan yang beroperasi di lingkungan data besar memberikan
beberapa masalah tambahan dan tantangan bagi auditor internal melakukan ulasan
pengendalian internal dalam lingkungan data besar. Maksud kami di sini adalah bahwa
auditor internal harus memiliki CBOK yang baik di bawah-berdiri dan tingkat pengetahuan
data besar masalah pengendalian internal. Sebagai bisnis dan sistem tumbuh, auditor
internal akan semakin menghadapi sistem data besar dan perlu memahami masalah
pengendalian internal yang sesuai.
Kebanyakan auditor internal tentu tidak akan menjadi ahli, dan mungkin tidak perlu
mengetahui aspek teknis dari sistem dan kontrol keamanan yang dibangun ke dalam sistem
data besar utama seperti Hadoop dan NoSQL. Ketika internal auditor meninjau kontrol
data besar menemukan bahwa perusahaan menggunakan Hadoop dan NoSQL, auditor
harus setidaknya memiliki keakraban umum dengan alat dan tujuannya.
Auditor internal telah lama akrab dengan isu-bahwa audit sampling, memilih
beberapa item perwakilan dari populasi data, menganalisa barang-barang yang dipilih
untuk fi nd kemungkinan penyimpangan pengendalian internal, dan kemudian
menggambar kesimpulan keseluruhan pada pengendalian internal dalam keseluruhan
populasi data berdasarkan hasil sampel. Teknik-teknik ini dibahas dalam Bab 10 tentang
teknik evaluasi audit dan harus menjadi bagian dari auditor internal CBOK. Namun, hal-
hal menjadi sedikit lebih kompleks ketika berhadapan dengan populasi data yang besar
kadang-kadang ratusan juta item data dengan banyak interkoneksi. pemantauan dan
analisis khusus alat-alat yang diperlukan. Ditambah dengan pertumbuhan data yang besar,
saat ini ada peningkatan jumlah data pemantauan besar dan alat-alat analisis yang
ditawarkan oleh vendor besar seperti IBM dan EMC serta sejumlah rms konsultasi fi
khusus. Memantau kinerja repositori data yang besar adalah sama pentingnya dengan
memantau kinerja dari setiap jenis lain dari database. Aplikasi yang ingin menggunakan
data yang disimpan dalam repositori ini akan mengajukan pertanyaan dalam banyak cara
yang sama seperti aplikasi tradisional query database relasional seperti Oracle, SQL Server,
Sybase, DB2, dan lain-lain. Ketika meninjau kontrol internal di daerah ini, auditor internal
harus meminta fungsi IT untuk menjelaskan apa alat monitor ing sudah terpasang, apa jenis
kondisi sedang dipantau, dan tindakan apa yang diambil untuk memperbaiki dan
memulihkan pengecualian dipantau.
Ada risiko penting dan isu-isu pengendalian internal di daerah lingkungan data
besar baru, berkembang, dan berkembang ini. Banyak prosedur audit internal dibahas
dalam bab-bab lain adalah sama, apakah berurusan dengan lebih aplikasi TI konvensional
dan proses atau lingkungan data besar. Namun, data besar menimbulkan beberapa audit
dan kontrol tambahan kekhawatiran hanya karena isu seputar empat masalah data besar
veloc-ity, volume, variasi, dan kebenaran seperti diuraikan sebelumnya dalam bab ini.
Bukti 21,4 daftar beberapa pertimbangan audit internal yang harus digunakan ketika
meninjau sistem dan kontrol dalam lingkungan data besar.