BAB 7 RISIKO DAN KONTROL TEKNOLOGI INFORMASI

Tujuan Pembelajaran

• Memahami bagaimana TI terkait dengan tujuan bisnis, strategi, dan operasi.

• Menjelaskan komponen kunci dari sistem informasi modern.
• Menjelaskan sifat peluang dan risiko TI.
• Memahami tata kelola TI dasar, manajemen risiko, dan konsep kontrol.
• Memahami implikasi TI untuk auditor internal.
• Identifikasi sumber pedoman audit TI.
• Memahami implikasi pengenalan teknologi baru terhadap lingkungan bisnis.
• Memahami bagaimana audit internal dapat memberikan panduan selama
proyek TI.

TI berubah dengan langkah cepat dan menghadirkan tantangan baru yang harus
dihadapi semua organisasi, bahkan jika mereka membuat keputusan untuk tidak
mengadopsi perubahan serupa dalam cara mereka menerapkan TI di rumah. Sebagai
contoh, meningkatnya penggunaan media sosial, seperti twitter dan Facebook, berarti
bahwa informasi negatif dapat diposting tentang organisasi online bahkan jika
organisasi tidak memiliki kehadiran online atau berpartisipasi dalam media sosial sama
sekali. Akibatnya, beberapa organisasi telah membuat grup untuk menangani implikasi
bisnis dari bagaimana mereka dikarakterisasi oleh individu yang menggunakan media
sosial. Organisasi harus menavigasi medan baru ini dengan hati-hati karena pos negatif
bersifat instan dan tidak dapat diurungkan setelah dibuat. Para ahli di bidang media
sosial dengan cepat menunjukkan bahwa ada risiko dan peluang bagi organisasi di ruang
yang berkembang pesat ini. Penggunaan media sosial memberikan banyak peluang bagi
organisasi untuk meningkatkan kemungkinan mencapai tujuan bisnis. Digunakan secara
efektif, media sosial dapat membantu organisasi:
• Meningkatkan pendapatan.
• Meningkatkan kepuasan dan loyalitas pelanggan.
• Rekrut dan pertahankan bakat terbaik.
• Meningkatkan pengembangan dan inovasi produk.
Bring Your Own • Meningkatkan kesadaran merek dan persepsi pelanggan.
Device (BYOD) Suatu Pada saat yang sama, penggunaan media sosial tanpa pengawasan yang tepat dapat
kebijakan di mana
organisasi memungkinkan menimbulkan risiko tambahan, termasuk:
karyawan untuk • Kurangnya, atau tidak efektif, tata kelola perusahaan di sekitar penggunaan
mengakses email bisnis, media sosial.
kalender, dan data • Kurangnya pertimbangan persyaratan peraturan.
lainnya di laptop,
• Gagal membuat atau memantau metrik di sekitar media sosial.
smartphone, tablet, atau
perangkat lainnya. • Kegagalan untuk menetapkan kebijakan jejaring sosial yang efektif

Media sosial hanyalah salah satu contoh bagaimana teknologi harus ditinjau dan
dievaluasi secara berkelanjutan untuk menentukan manfaat dan risiko relatif. Meskipun
suatu organisasi mungkin tidak ingin berurusan dengan adopsi teknologi baru, adopsi
masyarakat terhadap teknologi itu masih dapat memiliki dampak jangka panjang pada
setiap organisasi. Fungsi audit internal memiliki peluang untuk terlibat di awal proses
ketika masalah yang muncul muncul dan memberikan wawasan kepada organisasi
mengenai optimalisasi peluang dan mitigasi risiko.
Sementara organisasi telah lama mengeksplorasi cara terbaik bagi karyawan untuk
secara aman mengakses email kantor, kalender, dan informasi dari jarak jauh, konsumsi
TI telah menyebabkan proliferasi kebijakan membawa perangkat Anda sendiri (BYOD)
dan itu menjadi praktik bisnis yang umum bagi karyawan untuk memilih laptop pribadi
mereka sendiri, tablet, smartphone, atau perangkat komputasi lainnya untuk mengakses
email dan data kepemilikan lainnya. Penggunaan smartphone dan perangkat lain yang
meningkat pesat ini telah meningkatkan risiko informasi bisnis tentang aset non-bisnis
yang tidak aman.

Meskipun banyak organisasi telah menetapkan kebijakan dan prosedur yang berkaitan
dengan penggunaan perangkat pribadi, banyak yang belum. Bahkan mereka yang telah
menetapkan kebijakan semacam itu merasa sangat sulit bagi fungsi TI mereka untuk
memantau dan mengontrol ekspor informasi perusahaan ke perangkat portabel.
Keamanan informasi dan kerahasiaan dan privasi data menjadi lebih penting karena sulit
untuk memastikan data perusahaan dan pribadi dilindungi pada perangkat ini.

Terlepas dari seberapa cepat organisasi mengadopsi teknologi baru saat itu muncul,
semua berinvestasi dalam IT. Mereka melakukannya karena beberapa alasan, yang
semuanya berhubungan langsung dengan pencapaian tujuan bisnis organisasi. Sebagai
contoh, TI memungkinkan strategi bisnis, meningkatkan kinerja proses bisnis, dan
memfasilitasi pengambilan keputusan. Bahkan, TI telah mencapai titik yang begitu
terkait dengan tujuan bisnis, strategi, dan operasi organisasi sehingga inisiatif TI harus
dipertimbangkan bersamaan dengan inisiatif bisnis untuk memastikan keselarasan
antara keduanya.

Pertimbangkan, misalnya, bahwa:

• Perusahaan ritel ingin memperluas penjualannya dengan menjual langsung ke

pelanggan melalui situs webnya. Mengejar strategi penjualan online bahkan
tidak akan menjadi pilihan jika teknologi e-commerce, termasuk Internet, tidak
ada.

• Perusahaan ingin mulai menjual di luar negeri, tetapi sistem informasinya tidak
memiliki kemampuan untuk menangani pembelian pelanggan dalam mata uang
asing. Dengan kemampuan mata uang yang terintegrasi ke dalam banyak
aplikasi keranjang belanja, perusahaan dapat dengan cepat beradaptasi dengan
menangani mata uang asing.
PAMERAN 7-1
PANDUAN IPPF RELEVAN KE BAB 7
Standar 1210 - Kecakapan
Standar 1220 - Perawatan Profesional Karena
Standar 2110 - Tata Kelola
Standar 2110.A2
Standar 2120 - Manajemen Risiko
Standar 2130 - Penasihat Praktik Kontrol
Praktik penasehat 1210-1: Kontrol
Praktik penasehat 1210.A1-1: Memperoleh Penyedia Layanan Eksternal untuk Mendukung atau
Melengkapi Penasihat Praktik Kegiatan Audit Internal
1220-1: Perawatan Profesional
2120-1: Menilai Kecukupan Proses Manajemen Risiko
Praktik Penasihat 2130-1: Menilai Kecukupan Proses Pengendalian
Praktik Penasihat Praktek 2130.A1-1: Kehandalan dan Integritas Informasi
2130.A1-2: Mengevaluasi Kerangka Kerja Privasi

Panduan Praktik
GTAG 1: Risiko dan Kontrol Teknologi Informasi, Edisi 2
GTAG 2: Kontrol Perubahan dan Manajemen Patch: Penting untuk Keberhasilan Organisasi, Edisi 2
GTAG 3: Audit Berkelanjutan: Implikasi untuk Jaminan, Pemantauan, dan Penilaian Risiko
GTAG 4: Manajemen Audit TI
GTAG 7: Pengalihdayaan Teknologi Informasi, Edisi ke-2
GTAG 8: Pengendalian Aplikasi Audit
GTAG 9: Manajemen Identitas dan Akses
GTAG 10: Manajemen Kontinuitas Bisnis
GTAG 11: Mengembangkan Rencana Audit TI
GTAG 12: Mengaudit Proyek IT
GTAG 13: Pencegahan dan Deteksi Penipuan di Dunia Otomatis
GTAG 14: Audit Aplikasi yang dikembangkan Pengguna
GTAG 15: Tata Kelola Keamanan Informasi
GTAG 16: Teknologi Analisis Data
GTAG 17: Audit Tata Kelola TI
GTAG 18: Cloud Computing
GTAG 19: Media Sosial,

GAIT Metodologi,
GAIT untuk Penilaian Kekurangan Kontrol Umum TI
GAIT untuk Bisnis dan Risiko TI (GAIT-R)
Studi Kasus Menggunakan GAIT-R untuk Cakupan Kepatuhan PCI

• Sebuah perusahaan manufaktur ingin merampingkan proses pembeliannya

agar lebih hemat biaya. Electronic data interchange (EDI), yang akan
memungkinkan komputer pabrikan untuk bertransaksi bisnis secara langsung

Information System
(IS) Auditor Seorang
auditor yang bekerja secara
luas di bidang sistem
informasi yang
terkomputerisasi dan
memiliki risiko, kontrol, dan
keahlian audit IT yang
mendalam.
dengan komputer pemasok, merupakan pertimbangan yang dapat
dipertimbangkan manajemen solusi teknologi.
• Perusahaan besar Floral ingin mengevaluasi kinerja operasi sehari-hari dari
toko-tokonya yang tersebar secara geografis dengan lebih tepat. Gudang data
tempat menyimpan informasi historis terkait akan memfasilitasi perhitungan
metrik kinerja hari demi hari, toko demi toko, analisis tren kinerja berdasarkan
lini produk, dan analisis skenario bagaimana-jika tentang kinerja yang
diproyeksikan.
Dampak TI yang semakin meluas pada strategi bisnis organisasi dan operasi sehari-hari
telah secara signifikan memengaruhi profesi audit internal. TI telah mengubah
kompetensi yang harus dimiliki oleh fungsi audit internal dan bagaimana mereka
melakukan jasa penjaminan dan konsultasi. Hampir tidak mungkin dalam dunia bisnis
saat ini untuk fungsi audit internal mana pun untuk memberikan layanan bernilai
tambah bagi organisasinya kecuali fungsinya sangat mahir dalam pengetahuan tentang
risiko dan kontrol TI dan memiliki kemampuan untuk menerapkan teknik audit berbasis
teknologi secara efektif.
Auditor internal yang bekerja secara luas di bidang sistem informasi yang
terkomputerisasi harus memiliki risiko, kontrol, dan keahlian audit IT yang mendalam.
Auditor semacam itu biasanya disebut sebagai auditor sistem informasi (SI) atau auditor
TI. Meskipun semua auditor internal tidak perlu memiliki keahlian seorang spesialis
audit TI, minimal, setiap auditor internal harus memiliki pemahaman yang kuat tentang
konsep-konsep TI fundamental tertentu. Sebagai contoh, semua auditor internal perlu
memahami komponen dasar dari sistem informasi organisasi mereka, risiko TI yang
mengancam pencapaian tujuan bisnis organisasi mereka, dan tata kelola TI organisasi
mereka, manajemen risiko, dan proses kontrol.
Bab ini pertama memberikan tinjauan umum tentang komponen-komponen utama yang
dipilih dari sistem informasi modern. Peluang dan risiko yang terkait dengan TI
kemudian dijelaskan. Ini diikuti oleh cakupan tata kelola TI, manajemen risiko, dan
kontrol. Bab ini kemudian membahas implikasi TI untuk auditor internal dan diakhiri
dengan identifikasi sumber pedoman audit TI.
KOMPONEN UTAMA SISTEM INFORMASI MODERN
Sistem informasi modern sangat bervariasi di antara organisasi dan berada di luar
cakupan buku teks ini untuk mencakup berbagai konfigurasi sistem yang ada di dunia
bisnis saat ini. Namun, ada komponen kunci umum dari sistem informasi yang perlu
dipahami oleh auditor internal. Komponen-komponen ini termasuk perangkat keras
komputer, jaringan, perangkat lunak komputer, basis data, informasi, dan orang-orang.
Tampilan 7-2 mengilustrasikan konfigurasi sistem informasi sederhana yang akan
berfungsi sebagai konteks untuk memberikan contoh komponen-komponen utama
seperti yang dijelaskan di bawah ini. Perangkat keras komputer.
Perangkat keras komputer terdiri dari komponen fisik. dari suatu sistem informasi.
Perangkat keras meliputi, misalnya, central processing unit (CPUS), server, workstation
dan terminal, chip komputer, perangkat input / outputseperti pemindai dan printer,
perangkat penyimpanan seperti drive disk, dan perangkat komunikasi seperti modem
dan router nirkabel.

Contoh: Perangkat keras komputer yang digambarkan dalam pameran 7-2

termasuk telepon pintar, komputer desktop, dua komputer laptop, printer, komputer
mainframe, empat server, dan dua firewall. Perangkat tambahan yang tidak diketahui
organisasi juga dapat mengakses data dan memperbarui basis data di balik firewall.
Inilah sebabnya mengapa aturan keamanan informasi sangat penting bagi organisasi.

Jaringan. Jaringan komputer menghubungkan dua atau lebih komputer atau perangkat
sehingga mereka dapat berbagi informasi dan / atau beban kerja. Ada banyak jenis
jaringan:

• Jaringan klien-server menghubungkan satu atau lebih komputer klien dengan

server, dan pemrosesan data dibagi antara klien dan server dengan cara yang
mengoptimalkan efisiensi pemrosesan.
 • Jaringan area lokal (LAN) mencakup area yang relatif kecil seperti bangunan
atau kelompok bangunan yang berdekatan.
• Jaringan area luas (WAN) terdiri dari sistem LAN yang terhubung bersama untuk
menjangkau wilayah regional, nasional, atau global.
• Intranet adalah jaringan pribadi organisasi yang hanya dapat diakses oleh
personel organisasi tersebut.
• Ekstranet dapat diakses oleh pihak ketiga yang dipilih seperti pemasok resmi
dan / atau pelanggan.
Jaringan nilai tambah (VAN) adalah jaringan pihak ketiga yang menghubungkan suatu
organisasi dengan mitra dagangnya.
• Internet (jaringan yang saling berhubungan) adalah sistem publik yang sangat
besar dan kompleks dari jaringan komputer yang memungkinkan pengguna
untuk berkomunikasi secara global.
• Dua perangkat dapat berbagi informasi hanya di antara mereka sendiri tanpa
terhubung ke jaringan lain.

Contoh: Tampilan 7-2 menggambarkan interkoneksi antara LAN, intranet

organisasi, dan Internet.
Database Perangkat lunak komputer. Perangkat lunak komputer meliputi perangkat lunak sistem
Suatu penyimpanan data operasi, perangkat lunak utilitas, perangkat lunak sistem manajemen basis data (DBMS),
yang besar biasanya perangkat lunak aplikasi, dan perangkat lunak firewall. Sistem operasi mengontrol
terkandung dalam banyak inputr dasar, pemrosesan, dan output komputer dan mengelola interkonektivitas
file yang ditautkan, dan perangkat perangkat keras sistem. Perangkat lunak utilitas menambah sistem operasi
disimpan dengan cara yang
dengan fungsi seperti enkripsi, optimalisasi ruang disk, dan perlindungan terhadap virus.
memungkinkan data
diakses, diambil, dan Perangkat lunak sistem manajemen database mengelola data yang disimpan dalam
dimanipulasi. database, mengontrol akses ke database, dan secara otomatis membuat cadangan
database. Perangkat lunak aplikasi mencakup perangkat lunak akuntansi yang
digunakan untuk memproses transaksi serta jenis perangkat lunak lain (seperti
perangkat lunak pengolah kata dan spreadsheet) yang memungkinkan pengguna akhir
untuk melakukan tugas yang mereka tandatangani. Perangkat lunak Firewall
memberlakukan kontrol akses antara dua jaringan dengan memungkinkan hanya
transmisi data resmi melewati firewall di kedua arah.

Contoh: Contoh: Setiap desktop, laptop, perangkat pintar, mainframe, dan

komputer server yang digambarkan dalam pameran 7-2 berisi perangkat lunak
pengoperasian dan utilitas yang diperlukan agar komputer berfungsi dengan
baik dan agar informasi dapat dipertukarkan antara komputer dan printer.
Perangkat lunak aplikasi dasar dapat berada di setiap desktop dan komputer
laptop atau disimpan di server aplikasi untuk dibagikan di antara para
pengguna komputer desktop dan laptop. Program aplikasi yang lebih besar
dapat berada di server aplikasi atau mainframe dan memproses data seperti
yang diminta oleh pengguna. Server basis data dan mainframe berisi
perangkat lunak basis data yang mengelola data yang disimpan dan
menentukan hak akses dan pemrosesan setiap pengguna. Server Web berisi
peranti lunak yang mengarahkan aliran informasi antara Internet dan intranet
 organisasi. Firewall berisi dua lapisan perangkat lunak yang mencegah
pengiriman informasi tanpa izin ke dan dari organisasi.
Big Data siap untuk
mengembalikan Basis data. Basis data adalah tempat penyimpanan data yang besar, biasanya
sejumlah besar
terkandung dalam banyak file tertaut dan disimpan dengan cara yang memungkinkan
informasi digital yang
terus mengalir, data mudah diakses, diambil, dan dimanipulasi. Database operasi mendukung
peningkatan besar pemrosesan transaksi sehari-hari dan terus diperbarui ketika transaksi diproses.
dalam kapasitas untuk Gudang data adalah kumpulan besar data yang disimpan dari waktu ke waktu untuk
menyimpan sejumlah mendukung analisis data online dan pengambilan keputusan. Organisasi sedang
besar data dan jumlah
mengeksplorasi konsep seperti "data besar" untuk menciptakan cara untuk
kekuatan pemrosesan
data yang diperlukan memanfaatkan semua informasi yang tersedia, tidak hanya data transaksi, untuk
untuk mengelola mempercepat penjualan, meningkatkan proses bisnis, mengidentifikasi produk baru,
interpretasi dan dan mengumpulkan data intelijen.
menganalisis volume
besar informasi digital Contoh: Setiap desktop, komputer laptop, dan perangkat pintar yang
digambarkan dalam pameran 7-2 dapat menampung database yang
digunakan untuk menyimpan jumlah data yang relatif kecil yang berguna bagi
pengguna komputer tersebut. Server basis data memiliki basis data yang lebih
besar yang dirancang untuk menampung volume data yang lebih besar.
Komputer mainframe biasanya memiliki basis data yang lebih besar yang
memerlukan waktu respons lebih cepat karena banyaknya permintaan dan
persyaratan pemrosesan. DBMS mengontrol data mana yang dapat diakses
setiap pengguna dan apa yang dapat mereka lakukan dengan data tersebut.

Informasi. "Informasi adalah sumber daya utama untuk semua perusahaan, dan sejak
informasi itu dibuat hingga saat dihancurkan, teknologi memainkan peran penting."
Sistem informasi mengumpulkan dan menyimpan data, mengubah data menjadi
informasi yang berguna, dan memberikan informasi kepada pembuat keputusan
internal dan eksternal. Agar informasi bermanfaat, informasi itu harus relevan, andal,
lengkap, akurat, dan tepat waktu.

Contoh: Setiap desktop, laptop, perangkat pintar, server, dan komputer

mainframe yang digambarkan dalam pameran 7-2 berisi informasi dalam
berbagai jenis file yang berguna bagi pengguna atau pengguna komputer itu.
Informasi mengalir dalam berbagai arah di antara berbagai komputer, dan ke
Sistem ERP dan dari pihak-pihak di dalam dan di luar organisasi.
Sistem perangkat
lunak modular Orang-orang. Peran sistem informasi spesifik sangat bervariasi dari satu organisasi ke
yang organisasi lain. Biasanya, peran-peran ini mencakup peran sebagai chief information
memungkinkan officer (CIO), administrator basis data, pengembang sistem, personel pemrosesan data,
organisasi dan pengguna akhir.
mengintegrasikan
proses bisnisnya • CIO bertanggung jawab atas pengawasan dan arah TI sehari-hari dan untuk
dengan memastikan bahwa tujuan dan strategi TI selaras dengan sasaran dan strategi
menggunakan
bisnis organisasi.
basis data operasi
tunggal. • Administrator database bertanggung jawab untuk mengawasi desain,
pengembangan, implementasi, dan pemeliharaan database, mengendalikan
 akses ke database, memantau kinerja database. dan meningkatkan basis data
sebagai tanggapan terhadap perubahan kebutuhan pengguna. Dalam
organisasi yang lebih besar, peran seperti kepala petugas keamanan informasi
dan perencana kesinambungan bisnis biasanya membantu mengatasi masalah
teknologi seperti kerahasiaan informasi dan kelangsungan bisnis.
• Pengembang sistem meliputi analis dan pemrogram. Analis mensurvei
kebutuhan TI pengguna, melakukan analisis "apa yang" versus "apa yang
seharusnya" dari sistem TI, dan merancang sistem TI baru. Pemrogram
membuat dan menguji perangkat lunak yang digunakan untuk menjalankan
tugas pemrosesan data.
• Personel pemrosesan data mengelola sumber daya TI terpusat dan melakukan
kegiatan input, pemrosesan, dan output terpusat sehari-hari.
• Pengguna akhir adalah manajer dan karyawan untuk siapa sistem informasi
dibangun. Mereka menggunakan informasi yang dihasilkan oleh sistem untuk
menjalankan peran dan tanggung jawab mereka sehari-hari.
Contoh: Orang-orang yang terlibat dalam sistem informasi yang
digambarkan dalam pameran 7-2 termasuk pengguna desktop, laptop, dan
perangkat pintar, administrator database yang bertanggung jawab untuk
mengelola database, individu yang bertanggung jawab untuk mengelola
dan mengoperasikan berbagai server dan firewall, dan pemrogram
aplikasi yang membuat dan menguji perangkat lunak aplikasi. Perangkat
lunak aplikasi mungkin dibuat sendiri atau dibeli dari vendor perangkat
lunak. Komputer mainframe mungkin memerlukan individu dengan
keahlian khusus karena tingkat kerumitannya yang lebih besar.

PELUANG DAN RISIKONYA IT

Peluang dan risiko diperkenalkan di Bab 1, "Pengantar Audit Internal," dan dibahas
secara rinci di Bab 4, "Manajemen Risiko." Peluang adalah kemungkinan bahwa suatu
peristiwa akan terjadi dan secara positif mempengaruhi pencapaian tujuan organisasi,
dan risiko adalah kemungkinan bahwa suatu peristiwa akan terjadi dan secara negatif
mempengaruhi pencapaian tujuan organisasi. Peluang dan risiko yang muncul dalam
suatu organisasi karena TI mewakili sebagian besar peluang dan risiko yang perlu
dipahami dan dikelola organisasi secara efektif.

Peluang Diaktifkan oleh TI

Menjual barang secara online adalah peluang yang dimungkinkan oleh teknologi e-
commerce yang banyak dieksploitasi oleh banyak organisasi. Peluang lain yang
dimungkinkan oleh kemajuan TI termasuk sistem perencanaan sumber daya perusahaan
(ERP) dan pertukaran data elektronik (EDI):

• Sistem ERP. Sistem ERP adalah sistem perangkat lunak modular yang
memungkinkan organisasi untuk mengintegrasikan proses bisnis mereka
menggunakan database operasi tunggal. Manfaat yang diharapkan organisasi
dari penerapan sistem ERP termasuk pemrosesan transaksi real-time online,
 interaksi tanpa batas dan berbagi informasi di antara area fungsional,
peningkatan kinerja proses, penghapusan atau pengurangan redudansi dan
kesalahan data, dan pengambilan keputusan yang lebih tepat waktu. Namun,
menerapkan sistem ERP yang efektif dan efisien tepat waktu dan sesuai
anggaran adalah pekerjaan besar yang penuh dengan risiko. Memanfaatkan
peluang yang ditawarkan sistem ERP tergantung pada mitigasi risiko yang
secara efektif dapat menyebabkan inisiatif gagal.

• EDI. EDI melibatkan pertukaran dokumen bisnis dari komputer ke komputer

dalam bentuk elektronik antara organisasi dan mitra dagangnya. Manfaat yang
diharapkan organisasi dari penerapan EDI termasuk efisiensi pemrosesan
transaksi dan lebih sedikit kesalahan pemrosesan data. Selain itu, kemajuan
terbaru dalam teknologi e-bisnis telah memungkinkan Internet EDI, yang lebih
murah daripada EDI tradisional. Namun, suatu organisasi tidak dapat secara
efektif dan efisien mengimplementasikan EDI kecuali jika mitra dagangnya juga
secara efektif mengimplementasikan EDI. Selain itu, menjalankan bisnis
melalui Internet tidak bebas risiko. Mengeksploitasi sepenuhnya peluang yang
ditawarkan EDI tergantung pada mitigasi risiko yang terkait dengan e-bisnis.

Risiko TI
Masing-masing komponen utama sistem informasi yang dijelaskan sebelumnya dalam
EDI Pertukaran bab ini mewakili sumber risiko potensial. Sebagai contoh:
dokumen bisnis
• Perangkat keras komputer rentan terhadap pemadaman listrik yang
ke komputer
dalam bentuk mengganggu pemrosesan transaksi.
elektronik antara • Jaringan mengirimkan informasi yang mungkin dicegat dan dicuri atau
suatu organisasi disalahgunakan.
dan mitra • Perangkat lunak komputer yang diprogram secara tidak akurat dapat
dagangnya.
menghasilkan informasi yang tidak valid, tidak lengkap, dan / atau tidak akurat.
• Basis data dapat disusupi dengan tujuan untuk menyelewengkan atau
menyalahgunakan informasi.
• Informasi yang tidak valid, tidak lengkap, dan / atau tidak akurat dapat
mengakibatkan keputusan yang buruk. (Risiko bahwa informasi yang buruk
akan menghasilkan keputusan yang buruk umumnya disebut sebagai risiko
informasi.)
• Seseorang dapat melakukan tugas TI yang tidak sesuai dan dengan demikian
berada dalam posisi untuk melakukan dan menyembunyikan kesalahan atau
penipuan.
Penggunaan TI dalam sistem informasi membuka pintu bagi risiko TI. Risiko IT spesifik
yang dihadapi organisasi tertentu akan tergantung pada sifat bisnis dan operasi
organisasi, industri di mana organisasi beroperasi, konfigurasi sistem informasi
organisasi, dan beberapa faktor internal dan eksternal lainnya. Selain itu, risiko berubah
sebagai akibat dari perubahan dalam lingkungan internal dan eksternal organisasi dan
tidak ada perubahan di dunia bisnis saat ini yang lebih cepat daripada TI. Dengan
demikian, organisasi harus terus mengikuti perkembangan TI dan terus
mempertimbangkan konsekuensi risiko dari kemajuan ini.
Namun, ada beberapa jenis risiko TI yang cenderung umum di seluruh organisasi dan
industri.

• Risiko pemilihan. Pemilihan solusi TI yang tidak selaras dengan sasaran

strategis dapat menghalangi pelaksanaan strategi yang bergantung pada TI.
Demikian juga, pemilihan solusi TI yang kurang fleksibel dan / atau dapat
diskalakan dapat menyebabkan ketidakcocokan antara solusi TI dan sistem
organisasi yang ada dan / atau menghambat perubahan dan pertumbuhan
organisasi di masa depan. Penyebab risiko seleksi meliputi, misalnya, pembuat
keputusan yang tidak memenuhi syarat dan informasi yang tidak memadai yang
mendukung keputusan pemilihan. GTAG 4: Manajemen Audit TI dan GTAG 11:
Mengembangkan Rencana Audit TI (bagian dari seri Panduan Audit Teknologi
Global IIA) memberikan rincian lebih lanjut tentang risiko seleksi dan panduan
tentang bagaimana fungsi audit internal harus mengalokasikan sumber dayanya
untuk memberikan jaminan bahwa seleksi risiko dimitigasi secara memadai.

• Risiko pengembangan / akuisisi dan penyebaran. Masalah yang dihadapi

ketika solusi IT sedang dikembangkan / diperoleh dan digunakan dapat
menyebabkan penundaan yang tak terduga, pembengkakan biaya, atau bahkan
pengabaian proyek. Penyebab pengembangan / akuisisi dan penyebaran risiko
termasuk, misalnya, keahlian in-house yang tidak memadai, dukungan vendor
yang tidak memadai, dan penolakan terhadap perubahan. GTAG 12: Mengaudit
Proyek TI dan GTAG 14: Mengaudit Aplikasi yang Dikembangkan Pengguna
mengidentifikasi banyak contoh risiko tambahan yang diperkenalkan proyek TI
kepada organisasi.

• Risiko ketersediaan. Ketidaktersediaan sistem saat dibutuhkan dapat

menyebabkan keterlambatan dalam pengambilan keputusan, gangguan bisnis,
pendapatan yang hilang, dan ketidakpuasan pelanggan. Penyebab risiko
ketersediaan mencakup, misalnya, kegagalan perangkat keras / perangkat
lunak, pemeliharaan tidak terjadwal, dan virus dan tindakan jahat lainnya.
GTAG 10: Bisnis dan Manajemen Kontinuitas memberikan panduan praktik
terbaik terkait pemulihan bisnis.

• Risiko perangkat keras / lunak. Kegagalan perangkat keras / lunak untuk

berkinerja dengan baik dapat menyebabkan gangguan bisnis, kerusakan
sementara atau permanen pada atau rusaknya data, dan biaya perangkat keras
/ perangkat lunak atau biaya penggantian. Penyebab risiko perangkat keras /
lunak termasuk, misalnya, keausan alami, kerusakan lingkungan yang
disebabkan oleh hal-hal seperti kelembaban yang berlebihan, bencana seperti
kebakaran dan banjir, dan virus dan tindakan jahat lainnya.

• Risiko akses. Akses fisik atau logis yang tidak sah ke sistem dapat
mengakibatkan pencurian atau penyalahgunaan perangkat keras, modifikasi
 perangkat lunak berbahaya, dan pencurian, penyalahgunaan, atau perusakan
data. Penyebab risiko akses mencakup, misalnya, penggunaan ponsel cerdas
untuk mengakses, memodifikasi, dan menyimpan data perusahaan dan
penggunaan jaringan nirkabel secara terbuka untuk akses tamu ke data bisnis.
GTAG 9: Manajemen Identitas dan Akses menguraikan sejumlah masalah yang
terkait dengan kontrol akses bersama dengan solusi.

• Risiko keandalan sistem dan integritas informasi. Kesalahan sistematis atau

ketidakkonsistenan dalam pemrosesan dapat menghasilkan informasi yang
tidak relevan, tidak lengkap, tidak akurat, dan / atau sebelum waktunya. Pada
gilirannya, informasi buruk yang dihasilkan oleh sistem dapat mempengaruhi
keputusan yang didasarkan pada informasi tersebut. Penyebab keandalan
sistem dan risiko integritas informasi termasuk, misalnya, kesalahan
pemrograman perangkat lunak dan perubahan perangkat lunak yang tidak sah.
GTAG 8: Kontrol Aplikasi Audit menyediakan panduan bagi auditor untuk
mengikuti ketika memverifikasi kontrol yang ada di dalam aplikasi.

• Kerahasiaan dan risiko privasi. Pengungkapan informasi hak milik mitra bisnis
yang tidak sah atau informasi pribadi individu dapat mengakibatkan hilangnya
bisnis, tuntutan hukum, pers negatif, dan penurunan reputasi. Penyebab
kerahasiaan dan risiko privasi termasuk, misalnya, akses tanpa hambatan ke
jaringan sistem, perangkat lunak, dan basis data. Panduan Praktik IIA, Risiko
Privasi Audit, mengatasi risiko dan kontrol privasi, termasuk yang terkait
langsung dengan TI, dan memberikan panduan tentang cara mengaudit privasi
secara efektif.

• Risiko penipuan dan tindakan berbahaya. Pencurian sumber daya TI,

penyalahgunaan sumber daya TI yang disengaja, atau distorsi yang disengaja
atau perusakan informasi dapat mengakibatkan kerugian finansial dan / atau
informasi yang salah saji yang diandalkan oleh pembuat keputusan. Penyebab
risiko penipuan dan tindakan jahat termasuk, misalnya, karyawan yang tidak
puas dan peretas berniat merugikan organisasi untuk keuntungan pribadi.
GTAG 13: Pencegahan dan Deteksi Penipuan di Dunia Otomatis berfokus pada
risiko penipuan terkait TI dan memberikan panduan tentang bagaimana auditor
internal dapat menggunakan teknologi untuk secara efektif mengatasi
penipuan.

Risiko-risiko TI yang diuraikan di atas dimaksudkan sebagai ilustrasi dan bukan

mencakup semuanya. Juga perhatikan bahwa risiko ini tidak saling eksklusif. Misalnya,
sistem informasi mungkin tidak tersedia (risiko ketersediaan) karena kegagalan
perangkat keras / lunak (risiko perangkat keras / perangkat lunak). Demikian juga,
penipuan dan tindakan jahat lainnya dapat menyebabkan risiko lainnya. Seri GTAG
secara komprehensif membahas risiko dan kontrol TI dan menawarkan panduan
terperinci tentang cara melakukan perikatan audit TI yang efektif.
 TATA KELOLA TI
Tata Kelola didefinisikan dalam bab 1, "Pengantar Audit Internal," sebagai proses yang
dilakukan oleh dewan direksi untuk mengesahkan, mengarahkan, dan mengawasi
manajemen menuju pencapaian tujuan organisasi. Sebagaimana dibahas secara rinci
dalam bab 3, "Tata Kelola," struktur tata kelola organisasi memberikan jaminan bahwa
organisasi beroperasi dalam batasan dan nilai-nilai yang ditetapkan oleh dewan dan
Tata Kelola manajemen senior.
TI Proses
kepemimpinan, Seperti ditunjukkan dalam pengantar bab ini, organisasi menginvestasikan sejumlah
struktur, dan besar uang dalam TI karena TI memungkinkan pelaksanaan strategi bisnis dan
pengawasan
pencapaian tujuan bisnis. Menanggapi dampak luas yang TI miliki terhadap strategi dan
yang
memastikan TI operasi bisnis mereka, banyak organisasi telah menentukan bahwa tata kelola TI,
organisasi dengan sendirinya, cukup penting untuk mendapatkan perhatian khusus.
mendukung Seperti yang dijelaskan dalam IIA Standar 2110.A2 dan GTAG 17: Mengaudit TI, tata
tujuan dan kelola TI sangat penting. Standar IA 2110.A2 menyatakan, "Audit internal (fungsi) harus
strategi
menilai apakah tata kelola teknologi informasi organisasi mendukung strategi dan
organisasi.
tujuan organisasi." GTAG 17: Audit Tata Kelola TI menegaskan kembali poin ini:
"Tanggung jawab utama untuk tata kelola TI terletak pada dewan dan manajemen
tingkat senior. Kegiatan audit internal bertanggung jawab untuk menilai apakah tata
kelola TI organisasi mendukung strategi dan tujuan organisasi sebagaimana diuraikan
dalam Standar 2110 [.A2].

Sebagaimana didefinisikan oleh IIA, tata kelola TI :

"Terdiri dari kepemimpinan, struktur organisasi, dan proses yang

memastikan bahwa teknologi informasi perusahaan menopang dan
mendukung strategi dan tujuan organisasi." Deskripsi dan definisi di atas
dengan jelas menunjukkan bahwa dewan dan manajemen senior "memiliki"
tata kelola TI, hanya karena mereka memiliki semua aspek lain dari
pemerintahan. Beberapa dewan telah membentuk komite tata kelola yang
memiliki rentang tanggung jawab termasuk tata kelola TI. Komite audit juga
sering memainkan peran kunci dalam tata kelola TI. Peran tata kelola TI
dewan dan komit adalah untuk memberikan arahan tata kelola TI kepada
manajemen senior dan mengawasi kegiatan tata kelola TI manajemen senior.
Manajemen Manajemen senior bertanggung jawab untuk mengarahkan dan mengawasi
Risiko TI Proses pelaksanaan tata kelola TI sehari-hari. Beberapa organisasi telah membentuk
yang dilakukan oleh
manajemen untuk komite tata kelola TI, yang anggotanya termasuk CIO dan eksekutif senior
memahami dan lainnya. Seperti dijelaskan dalam GTAG 17: Audit Tata Kelola TI dan
menangani risiko dan digambarkan dalam Gambar 7-3, tata kelola TI adalah komponen utama tata
peluang TI yang kelola perusahaan secara keseluruhan.
dapat memengaruhi
kemampuan
organisasi untuk
MANAJEMEN RISIKO TI
mencapai tujuannya. Manajemen risiko didefinisikan dalam bab 1, "Pengantar Audit Internal," sebagai proses
yang dilakukan oleh manajemen untuk memahami dan menangani noda yang tidak jelas
(risiko dan peluang) yang dapat memengaruhi kemampuan organisasi untuk mencapai
tujuannya. Bab 3, "Manajemen Risiko," membahas secara terperinci bagaimana proses
manajemen risiko organisasi beroperasi di dalam organisasi struktur tata kelola untuk
(1) mengidentifikasi dan mengurangi risiko yang mengancam keberhasilan organisasi
dan (2) mengidentifikasi dan memanfaatkan peluang yang memungkinkan keberhasilan
organisasi.

Seperti dijelaskan dalam Komite Organisasi Sponsoring dari Manajemen Risiko

Perusahaan Komisi Treadway (COSO) - Kerangka Terpadu dan dibahas dalam bab 3,
manajemen risiko perusahaan (ERM) terdiri dari delapan komponen yang saling terkait:
lingkungan internal, penetapan tujuan, identifikasi acara , penilaian risiko, respons
risiko, kegiatan kontrol, informasi dan komunikasi, dan pemantauan. "Masing-masing
komponen ini relevan dengan manajemen risiko TI. Misalnya:

• Lingkungan internal. Lingkungan internal organisasi mencakup" nada di bagian

atas "dari Seperti ditunjukkan pada bagian sebelumnya dari bab ini, dewan dan
manajemen senior bertanggung jawab untuk mengarahkan dan mengawasi
proses tata kelola TI organisasi. Mereka juga bertanggung jawab untuk
menetapkan selera risiko TI organisasi dan menetapkan ambang batas toleransi
risiko TI.
• Pengaturan Objektif. Seperti dijelaskan di bagian sebelumnya bab ini, proses
tata kelola TI dimulai dengan definisi tujuan TI, yang menetapkan arah kegiatan
TI. Karena TI memungkinkan pelaksanaan strategi bisnis dan pencapaian tujuan
bisnis, manajemen strategis operasi TI harus diselaraskan dengan manajemen
strategis keseluruhan organisasi.
 • Identifikasi acara. Peristiwa potensial yang timbul di dalam atau di luar
organisasi yang dapat mempengaruhi pelaksanaan strategi organisasi dan
pencapaian tujuannya harus diidentifikasi. Contoh peristiwa risiko dijelaskan di
atas di bagian berjudul Risiko TI.
• Tugas beresiko. Peristiwa risiko IT yang teridentifikasi harus dinilai dalam hal
dampak dan kemungkinan yang melekat. Penilaian ini melibatkan analisis
konsekuensi potensial yang merugikan dan penyebab peristiwa risiko. Dampak
residual dan kemungkinan kejadian risiko TI yang teridentifikasi juga harus
dinilai, dengan mempertimbangkan kekurangan manajemen risiko yang ada.
• Respons risiko. Respons risiko yang tepat harus dirumuskan untuk peristiwa
risiko TI yang diidentifikasi. Penerimaan risiko adalah respons yang tepat untuk
peristiwa risiko TI dengan dampak bawaan dan tingkat kemungkinan yang tidak
melebihi toleransi risiko manajemen. Respons risiko yang mungkin untuk
peristiwa risiko TI dengan dampak bawaan dan tingkat kemungkinan yang
melebihi toleransi risiko manajemen termasuk menghindari, mengurangi, atau
berbagi risiko.
• Mengontrol kegiatan. Kebijakan respons risiko yang tepat harus ditetapkan
dan prosedur (tindakan yang diambil untuk menerapkan kebijakan) harus
dirancang secara memadai dan beroperasi secara efektif untuk memberikan
jaminan bahwa tingkat risiko TI residual berada dalam toleransi risiko
manajemen. Kontrol TI dibahas di bagian selanjutnya dari bab ini.
• Informasi dan Komunikasi. Tujuan dari sistem informasi organisasi adalah
untuk mengidentifikasi, menangkap, dan mengkomunikasikan informasi
berkualitas tinggi kepada para pembuat keputusan secara tepat waktu. Sebagai
contoh, informasi yang berkaitan dengan mengidentifikasi, menilai, dan
menanggapi peristiwa risiko TI harus dikomunikasikan ke seluruh organisasi.
Aspek penting dari manajemen risiko TI adalah memastikan bahwa sistem
informasi yang didukung teknologi yang andal menghasilkan informasi
berkualitas tinggi.
• Pemantauan. Manajemen bertanggung jawab untuk memantau proses
manajemen risiko TI, termasuk proses kontrol TI, dari waktu ke waktu untuk
memastikan bahwa proses terus beroperasi secara efektif dan efisien karena
faktor lingkungan internal dan eksternal yang mempengaruhi perubahan
organisasi.

KONTROL IT
Kontrol didefinisikan dalam bab 1, "Pengantar Audit Internal," sebagai proses yang
tertanam dalam manajemen risiko dan dilakukan oleh manajemen untuk memitigasi
risiko ke tingkat yang dapat diterima. Bab 6, "Kontrol Internal," menyediakan cakupan
kontrol internal yang mendalam dan memperkenalkan konsep kontrol TI. Kontrol TI
umumnya diklasifikasikan sebagai kontrol umum atau aplikasi seperti yang dijelaskan
dalam bab 6:
• "Kontrol umum (huruf miring ditambahkan) berlaku untuk semua komponen
sistem, proses, dan data untuk organisasi atau lingkungan sistem tertentu."
 • "Kontrol aplikasi (huruf miring ditambahkan) berkaitan dengan ruang lingkup
proses bisnis individu atau sistem aplikasi dan termasuk kontrol dalam aplikasi
sekitar input, pemrosesan, dan output."

Cara lain untuk mengklasifikasikan kontrol adalah" oleh kelompok yang bertanggung
jawab untuk memastikan mereka diimplementasikan dan dipelihara dengan baik.
"Misalnya, seperti disajikan dalam pameran 7-4, kontrol TI dapat dikategorikan sebagai
hierarki top-down dari pemerintahan TI, manajemen, dan kontrol teknis. Enam lapisan
teratas kontrol TI yang diilustrasikan dalam Gambar 7-4 mewakili kontrol umum TI
sedangkan lapisan bawah mewakili kontrol aplikasi. Namun, penting untuk dipahami
bahwa "Elemen-elemen hierarki yang berbeda tidak saling terpisah; mereka semua
terhubung dan dapat berbaur." "Sisa bagian ini menjelaskan kontrol TI dari perspektif"
kelompok yang bertanggung jawab ".

Kontrol Tata Kelola TI

Seperti dibahas sebelumnya dalam bab ini, tata kelola TI merupakan komponen integral
dari tata kelola secara keseluruhan. Demikian juga, kontrol TI pada tingkat tata kelola
merupakan bagian penting dari keseluruhan sistem pengendalian internal organisasi.
Kontrol TI pada tingkat tata kelola berada di bawah yurisdiksi dewan dan manajemen
senior. Namun, tanggung jawab dewan adalah mengawasi sistem kontrol internal
organisasi, bukan untuk menjalankan kontrol. Adalah tugas manajemen untuk
melakukan proses kontrol setiap hari.
 Seperti diilustrasikan dalam pameran 7-4, kontrol tata kelola TI terdiri dari kebijakan TI.
Kebijakan ini menetapkan sifat kontrol yang harus ada dan diatasi, misalnya:

• Kebijakan umum tentang tingkat keamanan dan privasi di seluruh organisasi.

• Pernyataan tentang klasifikasi informasi dan hak akses di setiap level.
• Definisi konsep kepemilikan data dan sistem, serta otoritas yang diperlukan
untuk memulai, memodifikasi, atau menghapus informasi.
• Kebijakan personalia yang menetapkan dan menegakkan kondisi untuk staf di
bidang sensitif.
• Definisi persyaratan perencanaan kesinambungan bisnis secara keseluruhan.

Standar TI Kontrol Manajemen TI

Mendukung
Manajemen bertanggung jawab untuk memastikan bahwa kontrol TI dirancang secara
kebijakan TI
dengan secara memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan organisasi,
lebih spesifik risiko yang mengancam pencapaian tujuan tersebut, dan proses bisnis dan sumber daya
mendefinisikan organisasi. Seperti diilustrasikan dalam pameran 7-4, kontrol TI pada tingkat
apa yang manajemen terdiri dari standar, organisasi dan manajemen, dan kontrol fisik dan
diperlukan untuk lingkungan.
mencapai tujuan
organisasi. Standar TI mendukung kebijakan TI dengan secara lebih spesifik mendefinisikan apa
yang diperlukan untuk mencapai tujuan organisasi. Standar-standar ini harus
mencakup, misalnya:

• IT Organization and Management Controls memberikan jaminan bahwa

organisasi terstruktur dengan garis pelaporan dan tanggung jawab yang jelas
IT Organization and dan telah menerapkan proses kontrol yang efektif
Management • Proses pengembangan sistem. Ketika organisasi mengembangkan aplikasi
Controls memberikan mereka sendiri, standar berlaku untuk proses perancangan, pengembangan,
jaminan bahwa pengujian, implementasi, dan pemeliharaan sistem dan program informasi.
organisasi terstruktur
• Konfigurasi perangkat lunak sistem. Karena perangkat lunak sistem
dengan garis pelaporan
dan tanggung jawab menyediakan elemen kontrol yang besar di lingkungan TI, standar yang terkait
yang jelas dan telah dengan konfigurasi sistem yang aman mulai mendapatkan penerimaan luas oleh
menerapkan proses organisasi dan penyedia teknologi terkemuka.
kontrol yang efektif • Kontrol aplikasi. Semua aplikasi yang mendukung kegiatan bisnis perlu
dikendalikan.
• Struktur data. Memiliki definisi data yang konsisten di seluruh rangkaian
aplikasi memastikan bahwa sistem yang berbeda dapat mengakses data dengan
mulus dan kontrol keamanan untuk data pribadi dan sensitif lainnya dapat
diterapkan secara seragam.
• Dokumentasi. Standar harus menetapkan tingkat minimum dokumentasi yang
diperlukan untuk setiap sistem aplikasi atau instalasi TI, serta untuk kelas
aplikasi, proses, dan pusat pemrosesan yang berbeda.
Organisasi dan kontrol manajemen TI memberikan jaminan bahwa organisasi terstruktur
dengan jelas ditentukan garis pelaporan dan tanggung jawab dan telah menerapkan
proses kontrol yang efektif. Tiga aspek penting dari kontrol ini adalah pemisahan tugas,
kontrol keuangan, dan kontrol manajemen perubahan:
 • Pemisahan tugas adalah elemen vital dari banyak kontrol. Struktur organisasi
tidak boleh membiarkan tanggung jawab untuk semua aspek pemrosesan data
untuk beristirahat dengan satu individu. Fungsi memulai, mengotorisasi,
menginput, memproses, dan memeriksa data harus dipisahkan untuk
memastikan tidak ada individu yang dapat membuat kesalahan, kelalaian, atau
penyimpangan lainnya dan mengotorisasi dan / atau mengaburkan bukti.
Pemisahan tugas kontrol untuk sistem aplikasi adalah im diapit dengan
pemberian mengakses hak istimewa sesuai dengan persyaratan pekerjaan
untuk fungsi pemrosesan dan mengakses informasi.

• Karena organisasi melakukan investasi besar di bidang TI, pengendalian

anggaran dan keuangan lainnya diperlukan untuk memastikan teknologi
menghasilkan pengembalian investasi atau proyeksi penghematan yang
diusulkan. Proses manajemen harus ada untuk mengumpulkan, menganalisis,
dan melaporkan masalah ini. Sayangnya, perkembangan TI baru sering
mengalami pembengkakan biaya besar-besaran dan gagal memberikan
penghematan biaya atau pendapatan yang diharapkan karena perkiraan yang
salah atau perencanaan yang tidak memadai.

• Perubahan proses manajemen memastikan bahwa perubahan pada lingkungan

TI, sistem perangkat lunak, sistem aplikasi, dan data diterapkan dengan cara
yang menegakkan pemisahan tugas yang tepat; memastikan bahwa perubahan
berfungsi dan diterapkan sebagaimana diperlukan; dan mencegah perubahan
agar tidak dieksploitasi untuk tujuan penipuan. Kurangnya manajemen
perubahan dapat secara serius berdampak pada ketersediaan sistem dan
layanan.

Kontrol fisik dan lingkungan TI melindungi sumber daya sistem informasi (perangkat
keras, perangkat lunak, dokumentasi, dan informasi) dari kerusakan yang tidak disengaja
atau disengaja, penyalahgunaan, atau kehilangan. Kontrol semacam itu termasuk,
IT Physical and misalnya:
Environmental
Controls Melindungi • Menemukan server di ruang terkunci yang aksesnya dibatasi.
sumber daya sistem • Membatasi akses server ke individu tertentu.
informasi dari • Menyediakan peralatan deteksi dan pemadaman kebakaran.
kerusakan yang tidak • Peralatan, aplikasi, dan data sensitif perumahan yang jauh dari bahaya
disengaja atau
lingkungan seperti dataran banjir, jalur penerbangan, atau penyimpanan cairan
disengaja,
penyalahgunaan, atau yang mudah terbakar.
kehilangan.
Kontrol Teknis TI
Kontrol teknis sering membentuk tulang punggung kerangka kerja kontrol manajemen
... Kontrol ini khusus untuk teknologi yang digunakan dalam infrastruktur TI organisasi.
"Seperti yang diilustrasikan dalam pameran 7-4, kontrol teknis TI mencakup kontrol
perangkat lunak sistem, kontrol pengembangan sistem, dan kontrol berbasis aplikasi.
Sistem perangkat lunak memfasilitasi penggunaan perangkat keras sistem dan
mencakup, untuk misalnya, sistem operasi, sistem jaringan, sistem manajemen basis
data, firewall, dan perangkat lunak antivirus. Kontrol perangkat lunak sistem membatasi
akses logis ke sistem dan aplikasi organisasi, memantau penggunaan sistem, dan
menghasilkan jejak audit. Kontrol perangkat lunak sistem mencakup, misalnya:

• Akses hak dialokasikan dan dikendalikan sesuai dengan kebijakan yang

dinyatakan organisasi.
• Pembagian tugas Hal ini diberlakukan melalui perangkat lunak sistem dan
kontrol konfigurasi lainnya.
• Penilaian intrusi dan kerentanan, pencegahan, dan deteksi dilakukan dan terus
dipantau.
• Pengujian intrusi dilakukan secara teratur.
• Layanan enkripsi diterapkan di mana kerahasiaan adalah persyaratan yang
dinyatakan.
• Ubah proses manajemen - termasuk manajemen tambalan - untuk memastikan
proses yang dikontrol ketat untuk menerapkan semua perubahan dan tambalan
pada perangkat lunak, sistem, komponen jaringan, dan data.
Sistem aplikasi, baik yang dikembangkan sendiri atau dibeli dari vendor, harus
memproses informasi secara efektif dan efisien sesuai dengan persyaratan pengguna.
Kontrol pengembangan dan akuisisi sistem meliputi, misalnya:
• Persyaratan pengguna harus didokumentasikan, dan pencapaiannya harus diukur.
• Desain sistem harus mengikuti proses formal untuk memastikan bahwa
persyaratan dan kontrol pengguna dirancang ke dalam sistem. Pengembangan
sistem harus dilakukan secara terstruktur untuk memastikan bahwa persyaratan
dan fitur desain yang disetujui dimasukkan ke dalam produk jadi.
• Pengujian harus memastikan bahwa elemen-elemen sistem individual berfungsi
sebagaimana diperlukan, antarmuka sistem beroperasi seperti yang diharapkan,
dan bahwa pemilik sistem telah mengkonfirmasi bahwa fungsionalitas yang
dimaksud telah disediakan.
• Proses pemeliharaan aplikasi harus memastikan bahwa perubahan dalam sistem
aplikasi mengikuti pola kontrol yang konsisten. Manajemen perubahan harus
tunduk pada proses validasi penjaminan terstruktur.
Kontrol berbasis aplikasi diterapkan untuk memastikan bahwa:
• Semua data input akurat, lengkap, resmi, dan benar.
• Semua data diproses sebagaimana dimaksud.
• Semua data yang disimpan akurat dan lengkap.
• Semua output akurat dan lengkap.
• Catatan dipelihara untuk melacak proses data dari input ke penyimpanan dan ke
output akhirnya.
Kontrol berbasis aplikasi mencakup, misalnya:
• Kontrol input. Kontrol ini digunakan terutama untuk memeriksa integritas data
yang dimasukkan ke dalam bisnis. aplikasi, apakah sumbernya diinput langsung
oleh staf, dari jarak jauh oleh mitra bisnis, atau melalui aplikasi yang didukung
Web
 • Kontrol pemrosesan. Kontrol ini menyediakan cara otomatis untuk memastikan
pemrosesan lengkap, akurat, dan resmi.
• Kontrol output. kontrol mengatasi apa yang dilakukan dengan data. Mereka
harus membandingkan hasil dengan hasil yang dimaksudkan dan memeriksanya
terhadap input.
• Kontrol integritas. Kontrol ini dapat memonitor data dalam proses dan / atau
penyimpanan untuk memastikan bahwa data tetap konsisten dan benar.
• Jejak manajemen. Memproses kontrol riwayat, sering disebut sebagai jejak audit,
memungkinkan manajemen untuk melacak transaksi dari sumber ke hasil akhir
dan untuk melacak backwa dari hasil untuk mengidentifikasi transaksi dan
peristiwa yang mereka catat.
Contoh spesifik dari kontrol berbasis aplikasi disajikan pada Gambar 7-5.

Kontrol Keamanan Informasi

Kontrol keamanan informasi tidak secara eksplisit disajikan dalam pameran 7-4 karena
"Keamanan informasi adalah bagian integral dari kontrol TI." Kontrol keamanan
informasi melindungi sistem informasi dari akses fisik dan logis yang tidak sah. Kontrol
akses fisik memberikan keamanan atas sumber daya TI yang nyata dan mencakup hal-
hal seperti pintu yang terkunci, kamera pengintai, dan penjaga keamanan. Kontrol
akses logis memberikan keamanan terhadap perangkat lunak dan informasi yang
tertanam dalam sistem dan mencakup hal-hal seperti firewall, enkripsi, ID login, kata
sandi, tabel otorisasi, dan log aktivitas komputer. Kekurangan dalam kontrol keamanan
informasi kompromi efektivitas semua tata kelola TI, manajemen, dan kontrol teknis
lainnya. Karena meningkatnya risiko bagi organisasi dari ancaman keamanan siber,
peraturan pelaporan pengungkapan tambahan untuk pelaporan keuangan telah
diberlakukan oleh Komisi Sekuritas dan Pertukaran AS (SEC) yang efektif Oktober 2011.
Audit internal kontrol keamanan informasi akan membantu memastikan bahwa
organisasi mengambil pendekatan proaktif untuk mengelola risiko keamanan siber dan
mematuhi persyaratan pelaporan SEC yang lebih ketat.

GAMBAR 7-5
CONTOH KONTROL BERBASIS APLIKASI IT
Kontrol Input: Dirancang untuk memastikan bahwa input data ke dalam sistem valid,
lengkap, dan akurat.
• Kontrol dokumen sumber:
o Akses ke dokumen yang digunakan untuk melakukan transaksi dibatasi
untuk individu yang berwenang
o Dokumen yang digunakan untuk memulai transaksi diberi nomor
sebelumnya jika memungkinkan. Dokumen sumber digunakan dalam
urutan numerik dan urutan diverifikasi secara berkala
• Total kontrol:
o Jumlah catatan. Hitungan catatan input untuk diproses. Contoh: Jumlah
kartu waktu yang dikirimkan untuk pemrosesan daftar gaji.
o Total batch. Total jumlah yang termasuk dalam setiap rekaman yang
dikumpulkan untuk diproses. Contoh: Total jumlah jam kerja dalam
batch kartu waktu yang diajukan untuk pemrosesan daftar gaji.
 o Total Hash. Total yang tidak berarti yang digunakan untuk memastikan
kelengkapan input data untuk diproses. Contoh: Jumlah nomor
karyawan dalam batch kartu waktu yang dikirimkan untuk diproses.
• Pemeriksaan edit terprogram:
o Pemeriksaan kelengkapan. Memeriksa input data untuk memastikan
bahwa semua bidang kritis berisi nilai
o Pemeriksaan lapangan. Memeriksa bidang untuk menentukan apakah
itu berisi jenis data yang sesuai (alfa atau numerik).
o Tanda cek. Memeriksa bidang untuk menentukan apakah tanda jumlah
itu benar (positif atau negatif).
o Batasi pemeriksaan. Memeriksa bidang untuk menentukan apakah
jumlahnya ditentukan oleh batas atas yang ditentukan atau batas bawah
yang ditentukan.
o Pemeriksaan jangkauan. Memeriksa bidang untuk menentukan apakah
jumlahnya berada dalam kisaran yang ditentukan.
o Pemeriksaan kewajaran. Membandingkan data di bidang dengan data di
bidang terkait untuk menentukan apakah nilainya masuk akal.
o Pemeriksaan validitas. Membandingkan data dalam bidang dengan
seperangkat nilai resmi yang telah ditentukan untuk memastikan bidang
tersebut berisi data yang valid.
• Koreksi kesalahan input: Dokumen sumber yang mengandung kesalahan yang
terdeteksi selama input dikoreksi dan dikirim kembali sebelum diproses.

Kontrol Pemrosesan: Dirancang untuk mencegah atau mendeteksi dan memperbaiki

kesalahan yang terjadi selama pemrosesan.
• Total kontrol run-to-run: Total kontrol dihitung dan diperiksa pada titik yang
ditentukan saat transaksi diproses.
• Daftar kesalahan: Daftar kesalahan secara otomatis dihasilkan oleh komputer
dan kesalahan yang diidentifikasi diperbaiki dengan cepat.

Kontrol Keluaran: Dirancang untuk memastikan bahwa keluaran sistem aplikasi valid,
lengkap, dan akurat dan bahwa keamanan atas keluaran dipertahankan dengan baik.
• Kontrol tinjauan keluaran: Output sistem aplikasi ditinjau untuk validitas.
kelengkapan, dan akurasi sebelum didistribusikan ke pengguna.
• Kontrol distribusi: Distribusi output sistem aplikasi dibatasi untuk penerima
yang berwenang.
• Kontrol pengguna akhir: Pengguna akhir meninjau output sistem aplikasi yang
mereka terima untuk validitas, kelengkapan, dan akurasi.

Kontrol Jejak Manajemen: Dirancang untuk memberikan catatan input, pemrosesan

yang permanen. dan aktivitas keluaran.
• Pencatatan transaksi: Sistem aplikasi secara otomatis mencatat transaksi yang
diproses.
• Pencatatan kontrol terprogram: Sistem aplikasi secara otomatis mencatat
kontrol tertanam yang dijalankan selama input, pemrosesan, dan output.
• Retensi listing kesalahan: Daftar kesalahan yang dihasilkan dan diperbaiki
selama pemrosesan dipertahankan.

IMPLIKASI TI UNTUK AUDITOR INTERNAL

Bagian sebelumnya dari bab ini menjelaskan bagaimana TI telah mempengaruhi
organisasi. TI telah mengubah cara organisasi merumuskan strategi, melakukan operasi
 sehari-hari, dan membuat keputusan. Perubahan ini telah menghasilkan risiko baru dan
Physical Access memaksa organisasi untuk memodifikasi tata kelola mereka, manajemen risiko, dan
Controls proses kontrol. Dampak luas TI pada organisasi pada gilirannya memaksa auditor
Memberikan internal untuk meningkatkan pengetahuan dan keterampilan TI mereka dan
keamanan lebih dari menyesuaikan cara mereka melakukan pekerjaan mereka.
sumber daya TI yang
mudah dipahami Kemahiran TI dan Perawatan Profesional
Karena Dua Standar Implementasi Atribut khusus membahas tentang auditor internal
profesional TI yang harus dimiliki dan pertimbangan yang harus mereka berikan untuk
menggunakan teknik audit berbasis teknologi:
1210.A3 - Auditor internal harus memiliki pengetahuan yang memadai tentang
informasi kunci risiko dan kontrol teknologi dan teknik audit berbasis
teknologi yang tersedia untuk melakukan pekerjaan yang ditugaskan kepada
mereka. Namun, tidak semua auditor internal diharapkan memiliki keahlian
Logical Access auditor internal yang tanggung jawab utamanya adalah audit teknologi
Controls informasi.
Memberikan
keamanan atas 1220.A2 - Dalam melaksanakan perawatan profesional karena, auditor internal
perangkat lunak
harus mempertimbangkan penggunaan audit berbasis teknologi dan teknik
dan informasi
yang tertanam analisis data lainnya.
dalam sistem.
Standar 1210.A3 dan 1220.A2 dengan jelas menunjukkan bahwa semua auditor internal
yang menyediakan layanan jaminan memerlukan setidaknya tingkat dasar risiko,
kontrol, dan keahlian audit TI. Konsep risiko dan kontrol mendasar yang perlu dipahami
oleh semua auditor internal dibahas di bagian sebelumnya bab ini. Teknik audit berbasis
teknologi, juga disebut sebagai teknik audit berbantuan komputer (CAATS), dijelaskan
dalam bab 10, "Bukti Audit dan Kertas Kerja." CAATS termasuk perangkat lunak audit
umum (GAS) seperti ACL dan IDEA, keduanya ada di DVD-ROM yang menyertai buku
teks ini. GAS adalah contoh dari alat audit TI yang fungsi audit internal semakin
mengharapkan semua anggota staf untuk memahami dan menerapkan secara efektif.
Perangkat lunak utilitas, data uji, penelusuran dan pemetaan perangkat lunak aplikasi,
sistem pakar audit, dan audit kontinu adalah CAATS lain yang dijelaskan dalam bab 10.

Selain itu, sebagian besar fungsi audit internal memiliki beberapa jenis sistem kertas
kerja otomatis seperti TeamMate, yang juga disertakan pada DVD-ROM yang menyertai
buku teks ini, untuk mendokumentasikan, mengorganisasi, dan referensi silang
pekerjaan audit internal. Sistem kertas kerja otomatis telah secara signifikan
meningkatkan aspek dokumentasi pekerjaan audit internal dengan meningkatkan
efektivitas dan efisiensi pekerjaan yang dilakukan.

Standar 1210.A3 juga menunjukkan bahwa setiap auditor internal tidak perlu memiliki
tingkat keahlian audit TI yang diharapkan dari spesialis audit TI. Namun, karena
permintaan auditor TI yang sangat terampil terus melebihi pasokan, pembaca dengan
minat di bidang ini didorong untuk menyelidiki lebih lanjut kompetensi dan kredensial
yang diperlukan untuk berhasil sebagai spesialis audit TI. Orang-orang tersebut mungkin
ingin mengejar sertifikasi terkait kontrol TI untuk melengkapi kredensial Auditor Internal
 Bersertifikat (CIA) mereka. Sertifikasi semacam itu termasuk, misalnya, Auditor Sistem
Informasi Bersertifikat (CISA) yang disponsori oleh ISACA (www.isaca.org) dan Profesi
Keamanan Sistem Informasi Bersertifikat (CISSP) yang disponsori oleh Asosiasi
Keamanan Sistem Informasi (www.issa.org ).

Seperti halnya dengan semua bidang keahlian terkait lainnya, eksekutif audit kepala
(CAE) bertanggung jawab untuk memastikan bahwa fungsi audit internal memiliki
kecakapan TI yang dibutuhkan untuk memenuhi tanggung jawab perikatan
penjaminannya. Beberapa fungsi audit internal memiliki pelengkap yang memadai dari
para ahli audit TI pada staf. Mereka yang tidak memiliki pakar staf seperti itu mencari
sumber di luar fungsi audit internal untuk keahlian tersebut. Dalam beberapa kasus,
individu yang berkualifikasi dari bidang lain dalam organisasi dapat diminta untuk
membantu perikatan audit internal yang membutuhkan kompetensi TI yang tidak
dimiliki fungsi audit internal. Dalam kasus lain, CAE dapat mempekerjakan penyedia
layanan eksternal dengan pengetahuan dan keterampilan TI yang diperlukan.

Keterlibatan Jaminan Tanggung Jawab TI

Tiga Standar Implementasi Kinerja secara khusus menangani tanggung jawab perikatan
jaminan auditor internal mengenai sistem dan teknologi informasi:
2110.A2 - Kegiatan audit internal harus menilai apakah tata kelola teknologi
informasi organisasi mendukung strategi dan tujuan organisasi. .

2120.A1 - Kegiatan audit internal harus mengevaluasi paparan risiko yang

berkaitan dengan .. sistem informasi organisasi.

2130.A1 - Kegiatan audit internal harus mengevaluasi kecukupan dan efektivitas

pengendalian dalam menanggapi risiko dalam sistem informasi organisasi.

Ketiga standar ini mencerminkan fakta bahwa fungsi audit internal tidak dapat secara
efektif mengevaluasi tata kelola, manajemen risiko, dan proses kontrol tanpa
mempertimbangkan sistem dan teknologi informasi. Untuk memenuhi tanggung jawab
terkait TI, fungsi audit internal harus:
• Memasukkan sistem informasi organisasi dalam proses perencanaan audit
tahunannya.
IT Outsourcing • Mengidentifikasi dan menilai risiko TI organisasi.
Memindahkan
fungsi-fungsi TI ke • Pastikan bahwa ia memiliki keahlian audit TI yang memadai.
penyedia luar untuk • Menilai tata kelola TI, manajemen, dan kontrol teknis.
mencapai • Menugaskan auditor dengan tingkat keahlian TI yang sesuai untuk menutup
pengurangan biaya perikatan jaminan.
sambil • Gunakan teknik audit berbasis teknologi yang sesuai.
meningkatkan
kualitas dan
efisiensi Proses Outsourcing IT
bisnis outsourcing diperkenalkan di bab 5, "Proses dan Risiko Bisnis," sebagai tindakan
mentransfer beberapa bisnis organisasi proses ke penyedia luar untuk mencapai
pengurangan biaya sambil meningkatkan kualitas dan efisiensi layanan. Karena alasan
 inilah organisasi semakin mengalihkan fungsi TI ke vendor yang berspesialisasi dalam
menyediakan layanan TI.
Seperti halnya dengan segala jenis outsourcing, outsourcing TI membawa risiko yang
harus dipahami dan dikelola oleh dewan dan manajemen organisasi. Oleh karena itu,
mereka akan mencari kepastian mengenai informasi yang menjadi dasar keputusan
outsourcing mereka. Fungsi audit internal dapat memberikan jaminan tersebut dan, di
samping itu, memberi nasihat kepada dewan dan manajemen tentang risiko dan
mengendalikan implikasi outsourcing IT.

Dewan dan manajemen juga memegang tanggung jawab untuk kontrol atas fungsi-
fungsi TI yang di-outsourcing-kan dan akan memanggil CAE untuk memberi mereka
jaminan mengenai kecukupan desain dan efektivitas operasi dari kontrol-kontrol ini.
Bergantung pada situasinya, CAE dapat mengandalkan, sampai batas tertentu, pada
laporan auditor internal penyedia layanan eksternal dan / atau independen ketika
merumuskan kesimpulan tentang kontrol atas fungsi-fungsi TI yang di-outsourcing-kan.
Jika fungsi TI berisiko tinggi telah di-outsourcing-kan, CAE harus mengalokasikan tingkat
sumber daya audit internal yang sesuai untuk menguji kontrol atas fungsi-fungsi
tersebut. GTAG 7: Alih Teknologi Informasi menjelaskan secara rinci beberapa
pertimbangan outsourcing TI utama yang memerlukan perhatian fungsi audit internal.

Audit Terintegrasi dan Berkesinambungan

Audit internal secara historis telah dilakukan secara retrospektif, misalnya, setelah
transaksi terjadi. Pendekatan audit setelah-fakta ini dengan cepat menjadi usang
Integrated karena kemajuan teknologi memunculkan proses bisnis yang dimungkinkan oleh TI di
Auditing Risiko mana proses transaksi online dan real-time adalah hal yang biasa. Jalur audit berbasis
penilaian dan kertas dari pemrosesan transaksi dan kontrol semakin banyak digantikan dengan jalur
pengendalian TI audit tanpa kertas dan kontrol otomatis tertanam yang dirancang untuk menguji
diasimilasi dengan
jaminan yang kesesuaian transaksi saat hal itu terjadi. Dalam lingkungan sistem informasi ini, bukti
dilakukan untuk langsung dari pemrosesan transaksi dan pengendalian implementasi seringkali bersifat
menilai pelaporan sementara. Ini berarti semakin tidak layak bagi auditor internal untuk "mengaudit
tingkat proses. komputer" dan mencapai kesimpulan yang valid tentang efektivitas keseluruhan kontrol
operasi danatau atas pelaporan keuangan, operasi, dan kepatuhan. Sebagai gantinya mereka harus
memenuhi risiko dan
kontrol "mengaudit melalui komputer," menggunakan CAATS untuk mengevaluasi kontrol TI
yang ada di dalam sistem.

Mengintegrasikan audit TI ke dalam keterlibatan penjaminan.

Integrasi kontrol TI secara langsung ke dalam proses bisnis, bersama dengan
ketersediaan CAATS yang mudah digunakan, mendorong semakin banyak fungsi audit
internal untuk memodifikasi pendekatan audit mereka. Alih-alih melakukan
keterlibatan penjamin terpisah yang hanya berfokus pada risiko dan kontrol TI tingkat
proses, fungsi internal ini mengasimilasi risiko TI dan mengontrol penilaian menjadi
pelaksana penjaminan yang dilakukan untuk menilai pelaporan keuangan di tingkat
proses, operasi, dan / atau risiko dan kontrol kepatuhan.
Fungsi audit internal yang telah mengadopsi pendekatan ini mendapati bahwa hal itu
menguntungkan organisasi mereka dengan meningkatkan efektivitas dan efisiensi
layanan jaminan audit internal mereka. Perikatan jaminan terintegrasi lebih efektif
karena auditor internal berada dalam posisi yang jauh lebih baik untuk menilai seluruh
portofolio risiko yang diaudit dan mencapai kesimpulan keseluruhan tentang kecukupan
desain dan efektivitas operasi kontrol. Proses audit lebih efisien karena (1) perikatan
yang sebelumnya dilakukan secara terpisah dikombinasikan dan (2) identifikasi dan
penilaian dari semua risiko dan kontrol utama dikonsolidasikan dalam perikatan audit
terintegrasi.

Audit kontinu. Audit kontinu didefinisikan dalam GTAG 3: Audit Kontinu: Implikasi
untuk Jaminan, Pemantauan, dan Penilaian Risiko sebagai "metode apa pun yang
digunakan oleh auditor finternal] untuk melakukan aktivitas terkait audit secara lebih
berkelanjutan atau berkelanjutan." 4 Seperti yang dijelaskan dalam GTAG 3 , audit
kontinu terdiri dari dua kegiatan utama:

• Penilaian kontrol berkelanjutan, yang tujuannya adalah "untuk memusatkan

perhatian audit pada defisiensi kontrol sedini mungkin," dan

• Penilaian risiko berkelanjutan, yang tujuannya adalah "untuk menyoroti proses

atau sistem yang sedang mengalami tingkat risiko yang lebih tinggi dari yang
diharapkan. "

Penilaian pemantauan berkelanjutan adalah komponen integral ketiga dari audit

berkelanjutan. Seperti ditunjukkan sebelumnya dalam bab ini, manajemen bertanggung
jawab untuk memantau proses manajemen risiko organisasi, termasuk proses kontrol,
dari waktu ke waktu untuk memastikan bahwa itu terus beroperasi secara efektif dan
efisien. Tanggung jawab audit berkelanjutan fungsi audit internal adalah untuk menilai
efektivitas kegiatan pemantauan berkelanjutan manajemen. Di bidang organisasi di
mana manajemen telah menerapkan proses pemantauan yang efektif dan
berkelanjutan, auditor internal dapat melakukan penilaian risiko dan kontrol yang terus
menerus dan tidak terlalu ketat. Sebaliknya, jika pemantauan berkelanjutan tidak ada
atau tidak efektif, fungsi audit internal harus melakukan penilaian risiko dan kontrol
yang lebih ketat dan berkelanjutan.

SUMBER PEDOMAN AUDIT IT

IIA memiliki badan pedoman audit TI yang terus berkembang. Dua komponen utama
dari panduan ini adalah Panduan Audit Teknologi Global (GTAGS) dan Panduan Penilaian
Praktik Risiko IT (GAIN) yang termasuk dalam Kerangka Kerja Praktik Profesional
Internasional IIA:
• Panduan Praktik GTAG. Panduan Praktik GTAG ".menangani masalah tepat
waktu terkait dengan manajemen, kontrol, dan keamanan teknologi informasi."
GTAGS yang tersedia saat buku teks ini diterbitkan tercantum dalam Gambar 7-
1.
 • Panduan Praktik GAIT. Panduan Praktik GAIT menggambarkan "hubungan
GTAG Menyediakan antara risiko bisnis, kontrol utama dalam proses bisnis, kontrol otomatis dan
pedoman bagi auditor fungsi TI penting lainnya, dan kontrol kunci dalam kontrol umum TI. Setiap
internal yang akan panduan membahas aspek spesifik risiko TI dan penilaian kontrol." Panduan
membantu mereka
GAIT yang tersedia saat buku teks ini diterbitkan tercantum dalam pameran 7-
memahami dengan
lebih baik tata kelola, 1.
manajemen risiko, dan
masalah kontrol Anggota IIA dapat mengunduh Panduan Praktik gratis di https: //na.theiia.org/buku-
seputar TI. pedoman / direkomendasikan-pedoman / latihan-panduan /. Mereka juga dapat dibeli
dari The IIA Research Foundation Bookstore di http: // www.theiia.org/bookstorel.
Pedoman audit TI lain yang tersedia melalui The IIA meliputi:

• Sejumlah publikasi, termasuk buku pegangan Yayasan Penelitian IIA dan

monograf penelitian, yang dapat dibeli dari The IIA Research Foundation
Bookstore.
GAIT Menjelaskan
hubungan antara • Bagian ITAudit dari Internal Auditor Online, yang, sebelum Januari 2009, adalah
risiko pelaporan publikasi online terpisah dari artikel audit TI. artikel ITAudit yang diarsipkan
keuangan, kontrol dapat diunduh oleh siapa saja di www.theiia.org/intAuditor/itaudit/.
proses utama, kontrol
otomatis dan fungsi TI Banyak organisasi lain telah menerbitkan informasi audit TI online yang relevan dengan
penting lainnya, dan auditor internal yang tersedia untuk diunduh. Organisasi-organisasi ini termasuk,
kontrol umum TI misalnya:
utama.
• IT Governance Institute (www.itgi.org).
• Institut Kepatuhan TI (www.itcinstitute.com).
• Institut Proses TI (www.itpi.org).
• ISACA (www.isaca.org).
• Asosiasi Keamanan Sistem Informasi (www.issa.org).
• Institut Akuntan Publik Bersertifikat Amerika (www.aicpa.org).
• Institut Akuntan Chartered Kanada (www.cica.org).

Isu Risiko Teknologi Informasi yang Muncul

Teknologi informasi yang baru dan berkembang akan terus diperkenalkan dengan
langkah cepat. Biasanya teknologi ini dikembangkan dengan tujuan bisnis dan kontrol
diperkenalkan kemudian untuk mengurangi risiko TI terkait. Kemajuan TI yang berasal
dari luar organisasi tidak dapat lagi diabaikan. Seperti yang ditunjukkan sebelumnya
dalam bab ini, banyak dari kemajuan teknologi informasi terkini seperti smartphone,
media sosial, dan komputasi awan berdampak pada profil risiko suatu organisasi bahkan
jika ia memilih untuk tidak menggunakan teknologi tersebut. Penting bagi organisasi
untuk mengantisipasi inovasi teknologi di masa depan dan memasukkannya ke dalam
penilaian risiko TI mereka. Fungsi audit internal dapat memberikan wawasan yang
berharga bagi organisasi tentang bagaimana teknologi baru akan berdampak pada masa
depan organisasi dan bagaimana secara proaktif mengatasi risiko yang akan datang.
PELUANG UNTUK WAWASAN
Seperti dibahas di seluruh bab ini, TI sangat penting untuk keberhasilan organisasi.
Fungsi audit internal dapat menyediakan layanan konsultasi yang membantu
manajemen menangani risiko TI baru saat muncul. Gambar 7-6 menjelaskan 10 peluang
untuk fungsi audit internal untuk memberikan wawasan tentang risiko dan kontrol TI.

PAMERAN 7-6 10
PELUANG UNTUK FUNGSI AUDIT INTERNAL UNTUK MEMBERIKAN WAWASAN TENTANG
RISIKO DAN PENGENDALIANNYA.
1. Memastikan risiko TI dicatat dalam penilaian risiko tahunan.

2. Memberikan wawasan untuk pengembangan sistem baru dan proyek

infrastruktur TI.

3. Mengintegrasikan tinjauan TI dalam setiap audit.

4. Memahami bagaimana TI dapat meningkatkan produktivitas audit internal dan

proses kontrol di seluruh organisasi.

5. Memberikan rekomendasi kontrol saat teknologi baru digunakan.

6. Mendidik manajemen tentang risiko dan kontrol TI yang muncul yang dapat
diterapkan untuk mengurangi risiko tersebut.

7. Sukarelawan untuk merintis proyek-proyek TI yang muncul untuk memberikan

wawasan untuk mengendalikan isu-isu sebelum penyebaran teknologi baru.

8. Mempekerjakan spesialis TI sebagai ahli masalah untuk keterlibatan audit yang

melibatkan kompleksitas TI yang luas.

9. Tetap beri tahu manajemen dan dewan tentang risiko T utama yang dapat
memengaruhi organisasi.

10. Memahami teknologi baru yang berdampak pada organisasi terkait dengan
apakah organisasi saat ini mempekerjakannya
RINGKASAN
Dampak luas dari TI pada strategi, sistem informasi, dan proses organisasi telah secara
signifikan memengaruhi profesi audit internal, dan bab ini membahas konsep-konsep
mendasar TI yang perlu dipahami oleh setiap auditor internal:
• Enam komponen kunci dari sistem informasi modern-perangkat keras
komputer , jaringan, perangkat lunak komputer, basis data, informasi, dan
orang-orang dijelaskan dan diilustrasikan.
• Peluang yang dimungkinkan oleh TI dan risiko yang timbul sebagai akibat dari TI
dibahas. Peluang yang dimungkinkan oleh TI mencakup hal-hal seperti
penjualan online, integrasi proses bisnis, dan pertukaran informasi elektronik
antara mitra dagang. Jenis risiko yang umum terjadi di seluruh organisasi dan
industri meliputi:
Seleksi.
Pengembangan / akuisisi dan penyebaran.
Ketersediaan.
Perangkat keras Perangkat Lunak.
Akses.
Keandalan sistem dan integritas informasi.
Kerahasiaan dan privasi.
Penipuan dan tindakan jahat.
• Tata kelola TI diidentifikasi sebagai subkomponen penting tata kelola secara
keseluruhan; Manajemen risiko TI dijelaskan dalam konteks komponen ERM
COSO; dan kontrol TI disajikan sebagai hierarki top-down dari tata kelola,
manajemen, dan kontrol teknis TI.
• Implikasi TI untuk auditor internal ditangani. Fungsi audit internal perlu
memahami sistem informasi organisasi mereka dan risiko TI yang mengancam
pencapaian tujuan bisnis organisasi mereka. Mereka juga harus mahir dalam
menilai tata kelola TI, manajemen risiko, dan proses kontrol organisasi mereka
dan dapat menerapkan teknik audit berbasis teknologi secara efektif.
• Sumber pedoman audit TI diidentifikasi. Dua komponen kunci dari badan yang
semakin berkembang dari pedoman audit TI IIA adalah Panduan Praktek GTAGS
dan GAIT. Panduan lain yang tersedia melalui The IIA mencakup banyak
sumber daya yang dapat dibeli melalui The IIA Research Foundation Bookstore
dan, untuk tren dan praktik terkini, diunduh dari bagian ITAudit dari Internal
Auditor Online.
Singkatnya, TI telah secara signifikan mengubah kompetensi yang harus dimiliki auditor
internal dan bagaimana mereka melakukan pekerjaan mereka. Kapasitas fungsi audit
internal untuk memberikan jaminan nilai tambah dan layanan konsultasi sangat
tergantung pada keahlian TInya. Semua auditor internal harus memiliki dasar
pengetahuan dan keterampilan teknologi. Ini termasuk sistem kertas kerja otomatis,
CAATS, dan terminologi TI. Fungsi audit internal dapat memberikan wawasan tentang
bagaimana organisasi dapat memanfaatkan kemajuan TI terbaik.