CHAPTER 19, 20, & 21

ITIL Best Practices the IT Infrastructure and General Control

BYOD Practices and Social Media Internal Audit
Enterprise Content Management Internal Controls
Makalah ini dibuat untuk memenuhi tugas mata kuliah Audit Manajemen dan Kinerja

Dosen Pengampu:
Dr. Paulus Th Basuki Hadiprajitno, MBA, MSAcc, Ak, CA

Disusun Oleh:

Ailsa Azaria Laksita (12030116140183)

Departemen Akuntansi
Fakultas Ekonomi dan Bisnis
Universitas Diponegoro
 2018/2019

Chapter 19

ITIL Best Practices the IT Infrastructure and General Control

Dalam dunia teknologi informasi IT sekarang ini, internal auditor harus memiliki
pemahaman yang kuat tentang tekhnik-tekhnik IT Internal Control. IT Control terdiri dari
dua level yaitu; application control yang melingkupi proses yang spesisik, seperti account
payable application dan IT general control.

Selanjutnya, pada bab ini akan dibahas tentang IT General Control dari perspektif auditor
internal dan praktik terbaik IT General Control yang telah diakui di seluruh dunia, yaitu
Information Technology Infrastructure Library (I'ITL). Di dalam ITIL telah dijabarkan
jenis kerangka audit yang harus dipertimbangkan ketika mereviu resiko pengendalian
internal pada teknologi informasi dan merekomendasikan perbaikan yang efektif dari
general control.

Importance of IT General Controls

Auditor Internal mulai terlibat dalam audit IT dan prosedur pengendalian ketika
aplikasi akuntansi pertama kali terinstal pada saat kartu masukan ditekan ke dalam sistem
komputer. Sistem-sistem perusahaan pada awal mulanya sering dipasang pada kamar
berdinding kaca dalam lobi perusahaan untuk member kesan kepada pengunjung baw;a
sistem dalam perusahaan tersebut sangat canggih. Namun pada kenyataannya, sistem-
sistem tersebut tidak canggih. Auditor internal yang tidak mengenal teknologi pengolahan
data tersebut akan melakukan audit around the computer.

Artinya auditor internal akan berfokus pada prosedur pengendalian input dan penerapan
pada output untuk memeriksa apakah input seimbang untuk menghasilkan laporan output.
Di era ini, ada sedikit pertanyaan tentang akurasi dan kontrol dari laporan yang dihasilkan
oleh sistem computer. Auditor internal hanya berfokus pada input dan output, sementara
yang terjadi di sekitar komputer adalah prosedur pengolahan program.

a) Keandalan pengolahan sistem informasi.

b) Integritas sebuah data.
c) Integritas sebuah program.
d) Kontrol dari pengembangan yang tepat dan implementasi sistem.
e) Keberlangsungan proses.

Client-Server and Smaller Systems’ General IT Controls

Perusahaan saat ini telah menerapkan banyak jaringan dan sistem untuk
mendukung unit bisnis yang lebih kecil atau komputasi departemen tertentu, atau untuk
menyediakan IT untuk seluruh perusahaan. Meskipun ukurannya yang lebih kecil, sistem
ini sering mewakili perhatian pada pengendalian umum yang signifikan. Auditor Internal
harus memahami kontrol umum seputar sistem komputer yang lebih kecil. Kontrol umum
yang memadai diperlukan untuk mengandalkan kontrol aplikasi tertentu.

a) General Controls for Small Business Systems

Sistem yang lebih kecil dapat diimplementasikan dalam berbagai cara, tergantung
pada konfigurasi sistem dan ukuran perusahaan. Auditor internal harus mampu
mengenali perbedaan-perbedaan ini dan mengembangkan prosedur pengendalian
 internal secara umum tepat untuk meninjau kontrol umum mereka. Bagian ini
membahas ini kontrol umum dalam hal sistem komputer usaha kecil, Internet dan
sistem jaringan, kontrol sistem client-server, dan sistem yang besar klasik kontrol
umum.

(i) SMALL BUSINESS COMPUTER SYSTEM CONTROLS

Audit internal sering bekerja dalam lingkungan di mana sistem bisnis yang
digunakan lebih kecil, terutama ketika di perusahaan-perusahaan yang relatif
kecil. Contohnya sebuah perusahaan non-profit yang sumber daya IT-nya
hanya server dan sistem desktop untuk mendukung direct mailing dan
aplikasi yang sebatas berhubungan dengan akuntansi. Audit internal harus
meninjau kontrol umum atas suatu sistem server seolah-olah sistem klasik,
sistem perusahaan yang lebih besar. Artinya, masih ada kebutuhan untuk
sistem keamanan, integritas, dan prosedur backup. Jenis-jenis sistem bisnis
yang lebih kecil umumnya memiliki karakteristik umum:

1) Staff IT yang terbatas.

2) Kapabilitas pemrograman yang terbatas.
3) Pengendalian lingkungan yang terbatas.
4) Pengendalian keamanan fisik yang terbatas.
5) Jaringan telekomunikasi yang luas.

(ii) CLIENT-SERVER COMPUTER SYSTEMS

Arsitektur client-server telah menjadi konfigurasi IT yang sangat populer di

semua ukuran perusahaan dan sistem. Dalam lingkungan jaringan lokal,
misalnya, masing-masing workstation adalah klien. Sebuah prosesor terpusat,
yang berisi file bersama umum dan sumber daya lainnya, yang disebut server.
Mungkin juga ada server khusus untuk tugas-tugas seperti manajemen
penyimpanan atau pencetakan. Pengguna workstation mengirimkan
permintaan dari mesin klien ke server, yang kemudian memberikan
dukungan, atau fungsi, bahwa klien dengan melakukan proses yang
diperlukan.
(iii) NONBUSINESS SPECIALIZED PROCESSOR COMPUTER SYSTEMS

Dalam banyak perusahaan saat ini, sistem lain dapat ditemukan di wilayah di
luar operasi TI seperti laboratorium teknik, operasi pengendalian manufaktur,
departemen pemasaran, dan di tempat lain. Sistem ini dapat digunakan untuk
pengendalian proses, karya desain otomatis, pengolahan analisis statistik,
atau aplikasi lainnya. Beberapa benar-benar didedikasikan untuk aplikasi
spesifik; yang lain dapat digunakan untuk berbagai tugas dalam fungsi
sebagaimana mereka ditugaskan. Meskipun sistem ini tidak digunakan untuk
kebutuhan informasi bisnis tradisional, seperti memelihara rekening catatan
piutang, mereka sering mendukung aplikasi kritis untuk perusahaan.

b) Smaller Systems’ IT Operations Internal Controls

Pemisahan tugas kontrol yang ditemukan di toko yang lebih besar tidak ada dalam
lingkungan kecil ini, tetapi harus ada kompensasi kontrol, termasuk:

1) Pembelian perangkat lunak.

2) Peningkatan perhatian manajemen.
3) Pemisahan tugas input dan pengolahan.

Bahkan dengan control yang mengkompensasi dalam sistem IT usaha kecil yang
modern, audit internal juga harus menyadari untuk mengendalikan risiko potensial dan
kelemahan. Beberapa contoh kelemahan kontrol di perusahaan dengan IT kecil yang
tidak biasanya ada di departemen yang lebih besar meliputi:

1) Karyawan "Setia" yang tidak mengambil liburan atau waktu libur mereka
2) Penggunaan khusus, program berdokumen yang hanya diketahui oleh manajer TI
3) Partisipasi departemen IT langsung dalam transaksi sistem input, seperti
penyesuaian dengan sistem persediaan

c) Auditing IT General Controls for Smaller IT Systems

Audit internal akan menghadapi berbagai merek perangkat keras komputer atau
nama produk dalam sistem lingkungan yang lebih kecil, tetapi sebagian besar
merupakan sistem terbuka dengan sistem operasi umum yang dapat berfungsi
tidak peduli apa merek hardware yang digunakan. Auditor internal akan lebih
efektif dalam meninjau kontrol sistem komputer usaha kecil jika mereka memiliki
pengetahuan yang menyeluruh dari beberapa kemampuan mereka. Meskipun sifat
bisnis kecil yang lebih informal atas sebuah sistem komputer, audit internal dapat
mengharapkan beberapa masalah pengendalian internal yang akan dibahas
berikut.

(i) SMALLER SYSTEM CONTROLS OVER ACCESS TO DATA AND

PROGRAMS ARE OFTEN WEAK

Audit internal harus mempertimbangkan akses ke data dan program agar

menjadi tujuan kontrol umum utama ketika meninjau perusahaan IT kecil.
Sistem yang kecil, seringkali tidak memiliki kontrol keamanan yang canggih
seperti pada kebanyakan system yang lebih besar. Dalam rangka untuk
meninjau kontrol di daerah ini, audit internal harus terlebih dahulu
mendapatkan pemahaman umum dari sistem keamanan data yang terpasang,
yang bisa berkisar dari sistem berbasis password yang baik sampai satu set
prosedur yang sangat terstruktur dari. Langkah berikutnya adalah untuk
memahami bagaimana sistem keamanan telah dilaksanakan dan sedang
 digunakan. Untuk melakukan hal ini, auditor internal harus meluangkan
waktu meninjau bagaimana pengendalian aplikasi yang digunakan di daerah
pengguna.

(ii) UNAUTHORIZED USE OF UTILITY PROGRAMS

Audit internal harus memahami jenis-jenis program utilitas standar yang

tersedia untuk sistem dalam kajian. Penggunaan suatu program ini oleh
perusahaan dapat ditentukan melalui penyelidikan dan observasi.

(iii) IMPROPER IT DATA AND PROGRAM ACCESS REQUESTS

Sifat yang informal dari banyak perusahaan yang lebih kecil sering
memungkinkan data yang akan diakses tidak dilakukan dengan benar melalui
prosedur operasional IT yang normal. Audit internal harus dapat menemukan
kontrol untuk mencegah permintaan IT tersebut. Kontrol terbaik bisa menjadi
"permintaan untuk layanan data" tipe form yang seperti itu dan disetujui oleh
manajemen. Selain itu, log harus dijaga dalam membuat daftar semua
kegiatan produksi IT serta nama pemohon dan penerima laporan.

Components and Controls of Mainframe and Legacy Systems

Auditor internal dulu lebih tertarik pada ukuran sistem komputer untuk ditinjau
kembali karena dampaknya pada review pengendalian prosedur audit internal. Ini telah
berubah dengan pengenalan banyak perkembangan teknologi baru. Hari ini tidak ada lagi
hubungan langsung antara ukuran mesin dan kompleksitas audit. Namun demikian,
beberapa kontrol yang audit internal temukan dalam operasi pusat komputer yang sangat
besar belum tentu berlaku untuk sistem komputer bisnis kecil.

1) Characteristics of Larger IT Systems

2) Classic Mainframe or Legacy Computer Systems
3) Operating Systems Software

Legacy System General Controls Reviews

Sebuah langkah penting dalam kajian audit internal operasi kontrol umum IT
sistem besar adalah untuk mendefinisikan dengan jelas apa yang menjadi tujuan tujuan
review tersebut. Meskipun tinjauan kontrol umum system IT yang lebih besar dapat
memiliki berbagai tujuan, terkadang masuk kedalam salah satu dari empat jenis ulasan:

1) Preliminary reviews of IT general controls.

2) Detailed general controls reviews of IT operations.
3) Specialized or limited-scope reviews.
4) Reviews to assess compliance with laws or regulations.

ITIL Service Support and Delivery Infrastructure Best Practices

ITIL adalah kerangka rinci praktik terbaik IT yang signifikan, dengan checklist
yang komprehensif, tugas, prosedur, dan tanggung jawab yang dirancang untuk
disesuaikan dengan setiap organisasi IT. Membagi proses utama antara mereka yang
meliputi penyediaan layanan IT dan dukungan layanan, ITIL telah menjadi standar de facto
untuk menggambarkan banyak proses fundamental dalam pengelolaan layanan IT, seperti
konfigurasi atau manajemen perubahan. Proses ITIL secara tradisional telah dibagi antara
mereka yang mencakup dukungan layanan dan orang-orang untuk penyediaan layanan.
Proses dukungan layanan membantu membuat aplikasi IT beroperasi secara efisien dan
memuaskan pelanggan sedangkan proses pelayanan meningkatkan efisiensi dan kinerja
dari elemen infrastruktur IT . Ada lima proses praktik terbaik dukungan layanan ITIL mulai
dari manajemen rilis , menempatkan proses ke dalam produksi , manajemen insiden ,
sampai pelaporan tertib mengenai masalah atau kejadian IT. Proses dukungan layanan ITIL
mencakup praktek-praktek yang baik untuk setiap perusahaan IT , apakah operasi terpusat
dengan menggunakan sistem warisan mainframe terutama yang klasik , sebagai titik

kontrol pusat IT, hingga operasi client-server yang sangat terdistribusi. Karena banyak
variasi yang mungkin dalam fungsi operasional TI ITIL tidak menetapkan rincian
"bagaimana " untuk melaksanakan proses layanan dukungan, seperti konfigurasi atau
manajemen perubahan. Sebaliknya, ITIL menyarankan praktek yang baik dan cara-cara
untuk mengelola input dan hubungan antara proses-proses tersebut. Tidak ada urutan atau
mana yang lebih dulu di antara masing-masingnya. Mereka dapat dipertimbangkan dan
dikelola secara terpisah, tetapi semuanya agak terkait satu sama lain.

Service Delivery Best Practices

Layanan dukungan meliputi pengolahan aplikasi IT dan komponen yang akurat

mulai dari menerima insiden dilaporkan, mendefinisikan masalah, memperkenalkan
perubahan dan kemudian melepaskannya ke produksi. Proses pelayanan ITIL yang sama
pentingnya mencakup wilayah yang lebih diselaraskan dengan kelancaran dan efisien
infrastruktur IT secara keseluruhan. Beberapa di antaranya, seperti proses manajemen
kontinuitas, secara tradisional telah dekat di hati banyak auditor internal. Lainnya, seperti
SLA yang menentukan kinerja dan harapan antara TI dan pelanggan, harus akrab bagi
auditor internal yang mengalami pengaturan serupa di daerah lain.

Auditing IT Infrastructure Management

Proses Dukungan layanan dan layanan pengiriman ITIL memperkenalkan

pendekatan yang diperluas dan ditingkatkan untuk melihat semua aspek dari infrastruktur
IT. Proses ini tidak independen dan berdiri sendiri. Sementara setiap proses dapat
beroperasi dengan sendirinya, mereka semua bergantung pada masukan dan dukungan
proses terkait lainnya.

Internal Auditor CBOK Needs for IT General Controls

Pemahaman audit internal terhadap kontrol umum IT sangat penting. Tidak peduli
apa ukuran atau ruang lingkup operasional IT, kontrol tertentu prosedur-seperti revisi
Program kontrol-berlaku untuk semua operasi. Selain itu, pemahaman keseluruhan praktik
terbaik ITIL harus memungkinkan auditor internal untuk memahami dan mengevaluasi
kontrol umum IT di banyak lingkungan.
 Chapter 20

BYOD Practices and Social Media Internal Audit

The Growth and Impact of BYOD

Penggunaan bisnis perangkat pribadi, seperti komputer tablet, BlackBerry,

iPhone, dan smartphone lainnya, terus melonjak secara dramatis. Hanya berfokus pada satu
perangkat, jumlah smartphone yang digunakan di seluruh dunia mencapai lebih dari dua
miliar pada pertengahan-2015, menurut perkiraan banyak. Sementara banyak dari ini hanya
untuk penggunaan pribadi, karyawan lainnya-perangkat yang dimiliki memungkinkan
akses, setidaknya, untuk perusahaan e-mail, kal-endars, dan banyak sistem kontak. Kami
mengacu pada perangkat genggam hari ini sebagai BYODs. Usaha sekali dikeluarkan
komputer laptop untuk karyawan mereka untuk memungkinkan mereka untuk mengakses
sistem pada jaringan perusahaan. Hari ini sistem ini terkait dengan Internet dan dapat
diakses melalui berbagai Web-diaktifkan perangkat genggam. Karena salah satu tidak perlu
khusus atau perusahaan sistem untuk mengakses Web IT-disetujui, perusahaan mulai
menyadari bahwa itu baik-baik saja untuk staf untuk membawa perangkat mereka sendiri
untuk pertemuan selama mereka menggunakan mereka untuk akses ke Web-diaktifkan
sistem. Apakah rapat perusahaan, acara profesional, atau kegiatan lainnya, manajemen atau
acara sponsor mulai memungkinkan peserta untuk membawa laptop sendiri, tablet,
smartphone, atau perangkat mereka yang lain komputasi. “BYOD” menjadi undangan
akrab bagi banyak pertemuan, mirip dengan cara kuliah-orang-orang usia melihat
penunjukan “BYOB” pada undangan pesta. Hari ini, BYOD atau BYODs adalah istilah
umum untuk semua perangkat komputasi genggam.

Apakah digunakan sebagai sistem pribadi atau untuk tugas-tugas kerja, sistem BYOD yang
umum hari ini. Sementara BYODs dapat meningkatkan kekhawatiran tentang keamanan
atau sekitar mengelola data dalam jumlah besar perangkat ini menghasilkan, mereka juga
mengangkat isu-isu pengendalian internal melampaui keamanan IT untuk mencakup
berbagai isu-isu manajemen endpoint. Masalah mencapai melampaui beban data untuk
mencakup dampak yang lebih luas perangkat memiliki infrastruktur TI dan operasi.
Penggunaan berat BYODs di suatu perusahaan dapat meningkatkan beberapa isu-isu kunci
yang manajemen perusahaan TI dan audit internal harus siap untuk mengatasi.

Dari perspektif organisasi, adopsi yang cepat dari smartphone dan tablet mengikis budaya
di banyak perusahaan di mana fungsinya pernah berhasil teknologi IT dan dikendalikan
akses ke sumber daya dengan memilih, pembelian, menyebarkan, dan mendukung
perangkat mobile karyawan. Dalam banyak perusahaan hari ini, BYOD skenario dan kuat,
aplikasi-Fokus berdasarkan smartphone dan tablet yang mengambil alih. Perubahan ini
poin untuk lingkungan yang heterogen yang lebih kompleks untuk TI dan peluang
fungsionalitas lebih produktif bagi pengguna bisnis daripada di masa lalu.

Understanding the Enterprise BYOD Environment

Untuk hampir setiap review operasi perusahaan atau review yang dilakukan dalam
unit c bisnis spesifik atau departemen, audit internal harus mendapatkan pemahaman umum
toleransi risiko BYOD unit dan kebijakan secara keseluruhan di tempat yang meliputi
kegiatan tersebut. Memahami toleransi suatu perusahaan untuk risiko, seperti dibahas
dalam Bab 7, adalah langkah pertama untuk memahami bagaimana BYOD bekerja di suatu
perusahaan. industri Sebuah perusahaan mungkin menjadi indikator utama untuk toleransi
risiko ini. Misalnya, organisasi dalam perawatan kesehatan, jasa keuangan, pemerintah,
atau layanan keamanan kemungkinan akan mengadopsi posisi yang lebih defensif terhadap
BYOD dari Internet-perusahaan teknologi berbasis.
BYOD Security Policy Elements

BYOD adalah tren yang relatif baru yang masih digunakan untuk membangun praktik
terbaik IT. Akibatnya, banyak perusahaan masih bergegas untuk membuat kebijakan dan
proses yang hanya tidak berkelanjutan dalam jangka panjang. Maklum, perusahaan
terutama con-berkeberatan terhadap biaya implementasi dan keamanan, dan cenderung
berfokus pada isu-isu di awal. Tapi tanpa menghormati pengalaman pengguna, program
BYOD perusahaan bahkan mungkin tidak pernah turun tanah. Jika kebijakan BYOD yang
terlalu ketat, kekurangan dukungan yang memadai untuk perangkat yang lebih disukai
karyawan, atau hanya terlalu rumit dan membingungkan, karyawan akan menemukan cara
untuk baik menghindari kebijakan atau mengakhiri partisipasi mereka sama sekali. Hal ini
tidak berbeda ketika para pemangku kepentingan perusahaan diberi akses ke Internet di
tempat kerja tetapi diberitahu untuk tidak menggunakannya kecuali untuk bisnis
perusahaan. Aturan-aturan ini secara teratur dilanggar. Dalam hal ini, kebutuhan
perusahaan tidak terpenuhi-baik keamanan terganggu atau nilai bisnis hilang. Jadi
sementara biaya dan secu-ritas kekhawatiran adalah isu-isu penting untuk mengelola,
keberlanjutan Program BYOD tergantung sepenuhnya pada memberikan pengalaman
pengguna yang konsisten positif dalam jangka panjang.

1. Mengurangi Risiko Perusahaan BYOD Security

Saat ini, rata-rata karyawan menggunakan beberapa perangkat untuk bekerja, termasuk
komputer desktop, laptop, tablet, dan smartphone. Mengelola banyaknya dan berbagai
perangkat-apakah ini dimiliki oleh karyawan atau perusahaan-telah memperkenalkan
masalah keamanan sangat dinamis dan kompleks. Oleh karena itu, sangat penting
bahwa setiap BYOD kebijakan keamanan upaya untuk membangun model
kepercayaan yang mengidentifikasi jika, bagaimana, dan kapan perangkat jatuh dari
kepatuhan, langkah-langkah untuk perbaikan, dan sejauh mana tindakan ini dapat
diterima pengguna. Sebuah model kepercayaan BYOD harus:

1) Menilai risiko untuk masalah keamanan umum pada perangkat pribadi.

2) Pilihan-seperti garis remediasi sebagai pemberitahuan, kontrol akses, karantina,
atau selektif menghapus-yang akan dikeluarkan tergantung pada masalah
keamanan dan apakah perangkat yang dimiliki oleh perusahaan atau karyawan.
3) Menetapkan kebijakan berjenjang untuk keamanan, privasi, dan distribusi aplikasi
berdasarkan kepemilikan perangkat.
4) Jelas menentukan identitas pengguna dan perangkat melalui sertifikat atau cara
lain.
5) Pastikan bahwa kebijakan keamanan yang berkelanjutan dan cukup fleksibel
untuk mendukung pengalaman pengguna yang positif tanpa mengorbankan
keamanan data.

2. Menegakkan Perusahaan BYOD Security

Dalam lingkungan BYOD, aplikasi perusahaan yang digunakan mungkin melibatkan

data perusahaan yang sensitif, yang dapat dengan mudah dikompromikan jika
perangkat hilang atau terinfeksi dengan malware. Suatu perusahaan akan
membutuhkan beberapa tingkat kontrol untuk mencegah data dari jatuh ke tangan
yang salah. Namun karyawan tidak ingin merasa bahwa perusahaan pelacakan setiap
gerakan mereka, pos, dan tweet, terutama pada perangkat mereka sendiri. Untuk
mendapatkan kepercayaan karyawan dan melindungi data penting, program
perusahaan BYOD harus menerapkan desain aplikasi dan prosedur pemerintahan
yang:
 1) Memodifikasi ketersediaan aplikasi berdasarkan kebutuhan keamanan.
2) Berkomunikasi dan membenarkan kepada semua pemangku kepentingan sejauh
mana IT mendukung atau membatasi aplikasi pribadi.
3) Tentukan ketersediaan aplikasi berdasarkan kepemilikan perangkat, karena
aplikasi internal tertentu mungkin tidak sesuai pada perangkat pribadi untuk
alasan keamanan.
4) Tentukan penegakan atau perbaikan tingkat atas pelanggaran penggunaan
aplikasi, seperti user pemberitahuan, tidak tepat pelanggaran kontrol akses, atau
terpusat karantina sistem IT.

Keamanan BYOD harus diikat dengan kebijakan keamanan perusahaan TI secara

keseluruhan dan praktek. Apakah menyangkut perangkat pribadi atau sistem IT
perusahaan, proses keamanan yang baik harus berlaku untuk keduanya, dengan
penekanan agak lebih berat pada BYODs di lingkungan perusahaan IT.

3. Tekankan Stakeholder Pengalaman dan Privasi

Mengoptimalkan pengalaman pengguna harus menjadi prioritas utama untuk program

perusahaan BYOD. Kebijakan harus mencakup komunikasi yang jelas lebih topik-
topik sensitif seperti sistem privasi BYOD yang akan menjadi penting untuk
membangun kepercayaan karyawan. Sebuah kebijakan BYOD harus bertujuan untuk
kontrak sosial yang jelas mendefinisikan hubungan BYOD antara perusahaan dan
karyawannya atau stakeholder. Audit internal harus mencari kontrak tersebut di review
setiap kebijakan BYOD yang mencakup baik-perjanjian didefinisikan yang membantu
untuk:

1) Mengidentifikasi kegiatan dan data yang perusahaan IT akan memantau pada

BYOD pemangku kepentingan, seperti persediaan aplikasi, dan alat-alat untuk
melindungi terhadap aplikasi nakal yang dapat membahayakan data perusahaan.
2) Memperjelas yang tindakan keamanan TI akan mengambil dalam menanggapi
keadaan tertentu.
3) Mendefinisikan kontrol granular atas setiap kebijakan BYOD perusahaan, seperti
pemantauan aktivitas, pelacakan lokasi, dan visibilitas aplikasi.
4) Kritis menilai semua kebijakan keamanan TI dan pembatasan untuk memastikan
bahwa mereka tidak terlalu ketat.
5) Mengidentifikasi layanan inti, seperti e-mail dan misi-aplikasi kritis, bahwa
perusahaan dapat menyebarkan ke perangkat karyawan.
6) Berkomunikasi ketika perangkat karyawan yang keluar dari kepatuhan,
kemungkinan konsekuensi, dan pemberitahuan proaktif untuk membantu
pengguna memulihkan masalah dengan cepat.

Melindungi Enterprise dari BYOD Tindakan Hukum

Memperkenalkan program BYOD juga dapat memperkenalkan kekhawatiran kewajiban

baru ke masuk-hadiah. Sebagai bagian dari program BYOD, suatu perusahaan
membutuhkan kebijakan dan prosedur yang jelas untuk melindungi dari ancaman mulai
dari hilangnya kekayaan intelektual dan pelanggan rahasia data ke tindakan hukum, denda,
dan kerusakan reputasi yang dihasilkan dari kebocoran data. Sementara setiap bisnis perlu
mencari nasihat hukum tertentu pada masalah kewajiban BYOD mereka, suatu perusahaan
kebijakan perangkat mobile atau akhir-perjanjian pengguna harus mencakup, minimal:

1) Kebijakan keamanan untuk data perusahaan pada berbeda perangkat pribadi.

Sebagai contoh, tingkat yang berbeda dari perlindungan terhadap aplikasi
 konsumen overprivileged mungkin diperlukan pada Android dibandingkan sistem
operasi smartphone iOS.
2) Kebijakan untuk Web pribadi dan penggunaan aplikasi selama dan setelah jam
kerja, di- dan off-situs.
3) Batasan yang jelas untuk kewajiban perusahaan karena pemilik perangkat
kehilangan data pribadi.
4) Definisi dan pemahaman tentang bagaimana BYOD penggantian uang saku
parsial terhadap pembayaran penuh dari biaya jasa mempengaruhi kewajiban
perusahaan.
5) Tingkat kewajiban perusahaan untuk kehilangan data pribadi (misalnya, jika IT
sengaja mengelola penuh menghapus data pada perangkat pribadi seseorang)

Social Media Computing

Media aplikasi IT sosial sampai awal mereka dengan baik sebelum era saat ini semua-
Internet meresap dan bahkan sebelum hari ini laptop pribadi komputer, BlackBerry, atau
iPhone. Berikut ini adalah beberapa tren utama dalam pengembangan komputasi media
sosial dari awal hingga saat ini:

1) 1978-1989-era satu-untuk-beberapa aplikasi. Pada hari-hari awal komputer

pribadi (misalnya, Apple II atau IBM PC atau model sebelumnya), yang pertama
aplikasi media sosial Lat-nized disebut Bulletin Board System yang
Komputerisasi, dibuat pada bulan Februari 1978 oleh Ward Christianson dari
IBM. Itu digunakan oleh sebuah kelompok pengembangan perangkat lunak IBM
untuk mengirim pesan tentang kali pertemuan dan lokasi, menghemat waktu yang
telah dihabiskan dalam panggilan telepon. Ini mungkin contoh pertama di mana
memposting pesan bergerak di luar satu a-untuk-00:59 sebuah-untuk-Beberapa
jenis aplikasi interaktif. Ini adalah era sebelum internet dipopulerkan, dan ribuan
sistem papan buletin, dengan nama-nama seperti FidoNet, segera bermunculan di
seluruh Amerika Utara dan di tempat lain, menjadi alat yang berguna dan semakin
populer untuk komunikasi antara pengguna geografis yang diakses sistem ini lebih
telepon-modem line.
2) 1990-1994-pertumbuhan internet. Pada awal 1990-an, penggunaan internet
terutama tersedia hanya untuk pemerintah, militer, dan akademik ORGANISASI-
tions. Penulis ini, yang menulis pertama IT buku auditnya pada waktu itu, harus
fi nd seorang kenalan di sebuah universitas lokal untuk memberinya izin tertulis
untuk mendirikan sebuah akun Internet untuk mengakses beberapa dokumen IT
terkait audit. Namun, sev-eral konsumen-aplikasi internet berbasis segera muncul,
dengan nama-nama seperti Prodigy dan CompuServe. Layanan ini, ditemukan di
sebagian besar kota-kota besar di Amerika Serikat, menjadi apa yang disebut
penyedia layanan Internet. penerimaan internet konsumen segera menerima
dorongan utama dari America Online (AOL), sebuah perusahaan yang agresif
dipasarkan Internet dengan mengirimkan jutaan AOL pendaftaran disk yang
memungkinkan peserta untuk menghubungkan ke saluran telepon mereka untuk
mengakses Internet dan mengirim e-pesan email, berbelanja untuk barang-barang,
dan berpartisipasi dalam konsep baru forum diskusi online. Dengan kesempatan
interaktif untuk bergabung forum online dan siaran e-mail, aplikasi ini adalah
scalable aplikasi media sosial pertama.
3) 1995-1999-dot-com bubble. Era ini melihat ledakan besar di Web technolo-gies
dan alat internet. Meskipun sebagian besar aplikasi awal didasarkan pada produk
konsumen baru dan merchandising, tidak ada banyak pertumbuhan di sini dalam
aplikasi media sosial di luar situs papan buletin yang ada. Pengecualian dari era
ini adalah SixDegrees.com, sebuah sosial layanan jaringan situs web awal yang
 berlangsung 1997-2001 dan sekarang semua tapi lupa. Hal ini dinamakan enam
derajat konsep pemisahan yang memungkinkan pengguna untuk daftar teman-
teman mereka, anggota keluarga, dan kenalan di situs, dan memungkinkan kontak
eksternal untuk bergabung kalangan anggota juga. Pengguna bisa mengirim pesan
dan item papan posting buletin kepada orang-orang di pertama mereka, kedua,
dan derajat ketiga, dan melihat hubungan mereka dengan pengguna lain di situs.
4) 2000-2004-pertumbuhan media sosial. Setelah tidak ada kekhawatiran tentang
bencana IT pada awal tahun 2000 (Y2K) terwujud dan titik-com bubble mulai
surut, serangkaian aplikasi media sosial baru diluncurkan selama periode ini,
dengan nama-nama seperti MySpace, Facebook, Friendster, LinkedIn, dan banyak
lainnya. Kita akan membahas beberapa aplikasi ini secara lebih rinci dalam bagian
berikut. Banyak dari aplikasi baru yang banyak digunakan oleh orang-orang di
dalam organisasi perusahaan dan luar perusahaan-dikontrol applica-tions.
Meskipun ada selalu telah beberapa rendah-obrolan tingkat dalam sistem
perusahaan, aplikasi media sosial memungkinkan orang untuk membuat konten
dan berpartisipasi dalam diskusi tanpa organisasi partisipasi-tren hampir
subversif! Aplikasi lain platform internet diluncurkan sekitar pergantian abad ini,
WordPress, memungkinkan individu yang tidak memiliki pengetahuan
pemrograman untuk membangun dan meluncurkan blog, situs web, buku harian
pribadi, atau situs konten. Menggunakan alat tersebut, per-anak bisa menjadi tuan
rumah sebuah blog di situs domain mereka sendiri dan memiliki kontrol dasarnya
penuh atas desain dan isi. Ini adalah langkah besar menuju jurnalisme pribadi.
5) 2005-2009-pertumbuhan aplikasi jejaring sosial. aplikasi media sosial terus
tumbuh dan berkembang, termasuk aplikasi seperti YouTube, video-berbagi situs
web di mana setiap orang dapat menjadi penerbit konten video. The BYODs kita
sebut smartphone menjadi sangat populer. Dengan mereka, pengguna bisa men-
download berbagai macam aplikasi. Mungkin aplikasi media sosial baru yang
paling signifikan selama era ini adalah peluncuran Twitter, aplikasi
microblogging di mana pengguna dapat mempublikasikan konten singkat-
berdasarkan pesan dan mengikuti orang lain melalui ledakan singkat mereka
sendiri informasi. Kami akan memperkenalkan Twitter lanjut pada bagian
selanjutnya.
6) 2010 dan seterusnya. Kami menggunakan aplikasi media sosial terus tumbuh,
menyebabkan banyak masalah tata kelola TI dan kekhawatiran di perusahaan saat
ini. Misalnya, dalam acara selama bulan pertama 2011 yang dikenal sebagai Arab
Spring, para pemimpin politik otokratis di Tunisia, Mesir, dan Libya dibawa
turun. Dalam setiap kasus ini, protes antipemerintah yang dimulai setelah obrolan
media sosial besar atas Facebook dan kendaraan seperti lainnya.

Social Media Policies

Audit internal dan manajemen perusahaan perlu memahami dan membangun, bila
sesuai, praktek pendidikan menguraikan dos dan tidak boleh dilakukan untuk berbagai
sistem media sosial serta beberapa kebijakan yang sangat spesifik yang meliputi
penggunaan pemangku kepentingan alat ini. kebijakan media sosial ini harus hampir bagian
dari kebijakan perusahaan seperti kode etik serta kebijakan keamanan dan privasi IT yang
dikomunikasikan kepada seluruh karyawan dan stakeholder. Misalnya dan dibahas secara
lebih rinci dalam Bab 26, perusahaan harus mengembangkan kode pemangku kepentingan
secara keseluruhan yang menguraikan perusahaan poli-badan-dalam yang sangat tinggi-
tingkat tapi mudah-untuk-memahami cara. Kode harus refresh dan diperbarui secara teratur
dan semua pemangku kepentingan harus diminta untuk secara berkala Affi rm bahwa
mereka telah membacanya, memahaminya, dan setuju untuk mematuhi itu. Menerapkan
kode tersebut etik penting bagi praktik tata perusahaan IT yang kuat dan efektif.
Aplikasi media sosial menyajikan beberapa kontrol dan tata kelola masalah internal yang
kuat untuk perusahaan hari ini. Sedangkan aplikasi Facebook, Twitter, dan LinkedIn yang
telah diperkenalkan secara singkat dalam bab ini mungkin adalah yang paling umum saat
ini, ini ada jaminan bahwa mereka akan menjadi seperti menonjol beberapa tahun maka.
Namun, konsep mereka mewakili perubahan laut mengenai cara di mana informasi devel-
oped dan olahan yang hampir pasti tidak akan berubah. Meskipun banyak manajer senior
mungkin terlihat pada sebagian besar aplikasi ini sebagai alat untuk anak-anak remaja
mereka dan rekan muda pada staf, setiap manajer senior dan tentu setiap auditor internal
harus setidaknya menjadi tangan-pada akrab dengan dan memiliki CBOK memahami-ing
dari alat ini dalam rangka untuk lebih memahami mereka dan berkomunikasi dengan orang
lain di perusahaan.
 Chapter 21

Enterprise Content Management Internal Controls

Kemampuan untuk menangkap dan menyimpan begitu banyak data telah menjadi lebih
mudah dalam beberapa tahun terakhir karena biaya yang relatif rendah dari penyimpanan
data hari ini. Namun, sementara biaya penyimpanan data sudah turun, jumlah atau volume
data untuk menangkap dan menyimpan telah meningkat secara besar-besaran. Dengan
penekanan pada kebutuhan pengetahuan internal auditor, bab ini memberikan gambaran
tentang konsep data yang besar dan diskusi tentang isu-isu pemerintahan, risiko dan
kepatuhan mengenai data besar, informasi terkait keamanan, dan proses audit internal
untuk ulasan pengendalian internal dalam lingkungan data besar.

Big Data Overview

Dengan pertumbuhan sistem otomatis dan kemampuan kita untuk menangkap

data dalam jumlah besar, penggunaan efektif data yang besar ini adalah mengubah cara
perusahaan membuat keputusan, melakukan bisnis, dan berhasil atau gagal. Hal ini
menyebabkan kedua mengelola-ment dan fungsi IT-nya untuk melihat melampaui
teknologi tradisional dan membangun alat-alat baru untuk memproses volume data yang
semakin besar secara efisien dan baik-dikontrol dengan cara. Tentu saja, masalah data besar
berubah banyak proses audit internal juga. Ketika sebuah perusahaan besar mencoba untuk
menyimpan semua data untuk banyak transaksi penjualan selama beberapa periode waktu,
dapat dengan cepat pindah ke lingkungan data besar. Di masa lalu, kami terus data ini pada
tape IT tua files atau bahkan di atas kertas dicetak. Karena itu kultus sangat diffi untuk
mengambil data yang tersimpan ini, itu sering akhirnya hanya dibuang. Hari ini,
bagaimanapun, peraturan dan bahkan permintaan pelanggan telah menciptakan sebuah
persyaratan bahwa data yang tersimpan ini tersedia hampir lamanya. Ada beberapa definisi
sebelumnya berbeda di sini, tetapi perusahaan riset IT, Gart-ner memiliki yang terbaik atau
yang paling dikenal:

“Big Data” yang tinggi-volume, -kecepatan dan -aset informasi berbagai yang menuntut
biaya-efektif, bentuk-bentuk inovatif dari pengolahan informasi untuk wawasan
ditingkatkan dan pengambilan keputusan.

Auditor internal harus ingat bahwa data pengendalian internal besar mencakup lebih dari
sekedar volume besar data transaksional. Ini menyangkut hal-hal seperti pesan video, pesan
melalui smartphone menggunakan perangkat lunak seperti Twitter, dan global positioning
sistem koordinat transaksi. Dengan menggali ke dalam empat ini-definisi V sedikit lebih
dalam, auditor internal harus mengembangkan pemahaman yang lebih baik tentang
implikasi dari masing-masing data besar konsep-konsep pengendalian internal ini.

1. Volume
Volume mengacu pada jumlah data yang umum untuk aplikasi tertentu atau sistem
dan tergantung pada ukuran relatif dari perusahaan. Dalam banyak kasus, data
volume yang ekstrim memiliki format umum dan dapat dihitung dalam tradisional
“baris” catatan, dan/atau dalam hal ruang penyimpanan yang diperlukan. Data dan
volume transaksi masalah adalah elemen mendefinisikan yang sangat penting dari
data yang besar. Ketika menghadapi volume data besar ketika meninjau beberapa
aplikasi IT, internal auditor mungkin bertanya beberapa pertanyaan tentang apa
yang baik manajemen dan TI lakukan untuk memproses volume tinggi tak terduga
dari data. Tidak ada jawaban yang benar di sini, tapi internal auditor harus mencari
analisis dan pengendalian internal Prosedur-prosedur-baik untuk mengelola baik
saat ini dan tak terduga volume data yang tinggi.
 2. Kecepatan
Kecepatan mengacu pada kecepatan di mana data yang disampaikan dan/atau
perubahan. Masalah kecepatan adalah salah satu capture dan respon. Ketika
sejumlah besar transaksi atau pesan dengan cepat datang ke aplikasi atau situs web
suatu perusahaan, maka perusahaan perlu untuk menangkap dan memproses
kecepatan tinggi ini data. Ini bukan masalah konten dan sering tidak terkait
volume data yang besar dan/atau masalah berbagai juga. Pentingnya kecepatan-
peningkatan data rate ini di mana data mengalir ke organisasi-sering mengikuti
pola yang sama dengan yang volume. perusahaan khusus seperti pedagang
keuangan atau bahkan perjalanan pemesanan dan reservasi situs semua harus
memiliki sistem yang mengatasi cepat-memindahkan data untuk keuntungan
mereka.
3. Variasi
Berbagai data besar mengacu pada berbagai sumber dan jenis kedua data
terstruktur dan unstruc-tured dari sumber seperti spreadsheet, database, link video,
grafis, perangkat moni-toring, dan banyak lagi. Jarang Data hadir sendiri dalam
bentuk sempurna memerintahkan dan siap untuk diproses, dan ini berbagai data
yang tidak terstruktur dapat menciptakan masalah untuk penyimpanan,
pengolahan, dan analisis.
4. Kebenaran
Kebenaran berkaitan dengan kekhawatiran mengenai data pasti atau tidak tepat
serta bias, kebisingan, dan kelainan dalam data. IT, manajemen umum, dan
pemeriksaan tentu intern ketika berhadapan dengan situasi sistem data besar harus
bertanya apakah data yang sedang diproses dan disimpan berarti bagi masalah
yang sedang dianalisis. Dalam sistem basis data tradisional dan tentu dalam sistem
di mana audit internal telah mengkaji pengendalian internal dan menemukan
mereka yang memadai, selalu ada asumsi bahwa data appli-kation adalah tertentu,
bersih, dan tepat. Big Data kebenaran mengacu pada situasi di mana data yang
mungkin ragu-ragu karena inconsis-tencies, ambiguitas, perkiraan yang salah,
atau berbagai masalah lain. Ini bukan masalah yang unik untuk aplikasi data besar.
masalah Data kejujuran dalam bahkan beberapa aplikasi kecil tunggal dapat
berubah menjadi masalah besar ketika seseorang dihadapkan dengan aplikasi data
utama besar. Sebuah tim TI perusahaan perlu mengembangkan strategi Data
kebenaran besar untuk membantu menjaga data yang bersih dan proses untuk
menjaga “data kotor” dari terakumulasi dalam sistem.

Big Data Governance, Risk, And Compliance Issues

Data besar membawa tantangan baru dalam bentuk isu-isu pemerintahan dan
keamanan serta peraturan meningkat. Sementara banyak tata kelola TI, risiko, dan isu-isu
kepatuhan tetap tidak berubah tidak peduli ukuran sistem atau volume data yang
digunakan, sistem dan perusahaan yang beroperasi di lingkungan data besar memberikan
beberapa masalah tambahan dan tantangan bagi auditor internal melakukan ulasan
pengendalian internal dalam lingkungan data besar. Maksud kami di sini adalah bahwa
auditor internal harus memiliki CBOK yang baik di bawah-berdiri dan tingkat pengetahuan
data besar masalah pengendalian internal. Sebagai bisnis dan sistem tumbuh, auditor
internal akan semakin menghadapi sistem data besar dan perlu memahami masalah
pengendalian internal yang sesuai.

Big Data Management, Hadoop, And Security Issues

Hadoop adalah alat yang memungkinkan perusahaan untuk memproses dan

menganalisis volume besar data terstruktur dan semi terstruktur, sampai sekarang tidak
dapat diakses kepada mereka, dengan biaya yang- dan waktu-cara yang efektif. Karena
Hadoop dapat skala cluster besar data, perusahaan tidak perlu bergantung pada hanya set
data sampel tetapi dapat memproses dan menganalisis semua data yang relevan. spesialis
IT dapat menerapkan pendekatan iteratif untuk analisis data, terus refining dan permintaan
pengujian untuk mengungkap wawasan yang sebelumnya tidak diketahui. NoSQL adalah
gaya baru dari database (singkatan singkatan tidak hanya SQL) yang telah muncul, seperti
Hadoop, untuk memproses volume data yang besar multistructured. Namun, sedangkan
Hadoop mahir mendukung besar-skala, bets-analisis sejarah gaya, database NoSQL
ditujukan untuk melayani sampai data diskrit disimpan antara volume data yang besar
multistructured untuk mengakhiri-pengguna dan aplikasi data besar otomatis. Kemampuan
ini kurang dari teknologi database relasional perusahaan saat ini, yang tidak bisa
mempertahankan tingkat kinerja aplikasi yang dibutuhkan pada data skala besar.

Kebanyakan auditor internal tentu tidak akan menjadi ahli, dan mungkin tidak perlu
mengetahui aspek teknis dari sistem dan kontrol keamanan yang dibangun ke dalam sistem
data besar utama seperti Hadoop dan NoSQL. Ketika internal auditor meninjau kontrol
data besar menemukan bahwa perusahaan menggunakan Hadoop dan NoSQL, auditor
harus setidaknya memiliki keakraban umum dengan alat dan tujuannya.

Compliance Monitoring and Big Data Analytics

Auditor internal telah lama akrab dengan isu-bahwa audit sampling, memilih
beberapa item perwakilan dari populasi data, menganalisa barang-barang yang dipilih
untuk fi nd kemungkinan penyimpangan pengendalian internal, dan kemudian
menggambar kesimpulan keseluruhan pada pengendalian internal dalam keseluruhan
populasi data berdasarkan hasil sampel. Teknik-teknik ini dibahas dalam Bab 10 tentang
teknik evaluasi audit dan harus menjadi bagian dari auditor internal CBOK. Namun, hal-
hal menjadi sedikit lebih kompleks ketika berhadapan dengan populasi data yang besar
kadang-kadang ratusan juta item data dengan banyak interkoneksi. pemantauan dan
analisis khusus alat-alat yang diperlukan. Ditambah dengan pertumbuhan data yang besar,
saat ini ada peningkatan jumlah data pemantauan besar dan alat-alat analisis yang
ditawarkan oleh vendor besar seperti IBM dan EMC serta sejumlah rms konsultasi fi
khusus. Memantau kinerja repositori data yang besar adalah sama pentingnya dengan
memantau kinerja dari setiap jenis lain dari database. Aplikasi yang ingin menggunakan
data yang disimpan dalam repositori ini akan mengajukan pertanyaan dalam banyak cara
yang sama seperti aplikasi tradisional query database relasional seperti Oracle, SQL Server,
Sybase, DB2, dan lain-lain. Ketika meninjau kontrol internal di daerah ini, auditor internal
harus meminta fungsi IT untuk menjelaskan apa alat monitor ing sudah terpasang, apa jenis
kondisi sedang dipantau, dan tindakan apa yang diambil untuk memperbaiki dan
memulihkan pengecualian dipantau.

Internal Auditing in A Big Data Environment

Ada risiko penting dan isu-isu pengendalian internal di daerah lingkungan data
besar baru, berkembang, dan berkembang ini. Banyak prosedur audit internal dibahas
dalam bab-bab lain adalah sama, apakah berurusan dengan lebih aplikasi TI konvensional
dan proses atau lingkungan data besar. Namun, data besar menimbulkan beberapa audit
dan kontrol tambahan kekhawatiran hanya karena isu seputar empat masalah data besar
veloc-ity, volume, variasi, dan kebenaran seperti diuraikan sebelumnya dalam bab ini.
Bukti 21,4 daftar beberapa pertimbangan audit internal yang harus digunakan ketika
meninjau sistem dan kontrol dalam lingkungan data besar.