Tujuan Pembelajaran
TI berubah dengan langkah cepat dan menghadirkan tantangan baru yang harus
dihadapi semua organisasi, bahkan jika mereka membuat keputusan untuk tidak
mengadopsi perubahan serupa dalam cara mereka menerapkan TI di rumah. Sebagai
contoh, meningkatnya penggunaan media sosial, seperti twitter dan Facebook, berarti
bahwa informasi negatif dapat diposting tentang organisasi online bahkan jika
organisasi tidak memiliki kehadiran online atau berpartisipasi dalam media sosial sama
sekali. Akibatnya, beberapa organisasi telah membuat grup untuk menangani implikasi
bisnis dari bagaimana mereka dikarakterisasi oleh individu yang menggunakan media
sosial. Organisasi harus menavigasi medan baru ini dengan hati-hati karena pos negatif
bersifat instan dan tidak dapat diurungkan setelah dibuat. Para ahli di bidang media
sosial dengan cepat menunjukkan bahwa ada risiko dan peluang bagi organisasi di ruang
yang berkembang pesat ini. Penggunaan media sosial memberikan banyak peluang bagi
organisasi untuk meningkatkan kemungkinan mencapai tujuan bisnis. Digunakan secara
efektif, media sosial dapat membantu organisasi:
• Meningkatkan pendapatan.
• Meningkatkan kepuasan dan loyalitas pelanggan.
• Rekrut dan pertahankan bakat terbaik.
• Meningkatkan pengembangan dan inovasi produk.
Bring Your Own • Meningkatkan kesadaran merek dan persepsi pelanggan.
Device (BYOD) Suatu Pada saat yang sama, penggunaan media sosial tanpa pengawasan yang tepat dapat
kebijakan di mana
organisasi memungkinkan menimbulkan risiko tambahan, termasuk:
karyawan untuk • Kurangnya, atau tidak efektif, tata kelola perusahaan di sekitar penggunaan
mengakses email bisnis, media sosial.
kalender, dan data • Kurangnya pertimbangan persyaratan peraturan.
lainnya di laptop,
• Gagal membuat atau memantau metrik di sekitar media sosial.
smartphone, tablet, atau
perangkat lainnya. • Kegagalan untuk menetapkan kebijakan jejaring sosial yang efektif
Media sosial hanyalah salah satu contoh bagaimana teknologi harus ditinjau dan
dievaluasi secara berkelanjutan untuk menentukan manfaat dan risiko relatif. Meskipun
suatu organisasi mungkin tidak ingin berurusan dengan adopsi teknologi baru, adopsi
masyarakat terhadap teknologi itu masih dapat memiliki dampak jangka panjang pada
setiap organisasi. Fungsi audit internal memiliki peluang untuk terlibat di awal proses
ketika masalah yang muncul muncul dan memberikan wawasan kepada organisasi
mengenai optimalisasi peluang dan mitigasi risiko.
Sementara organisasi telah lama mengeksplorasi cara terbaik bagi karyawan untuk
secara aman mengakses email kantor, kalender, dan informasi dari jarak jauh, konsumsi
TI telah menyebabkan proliferasi kebijakan membawa perangkat Anda sendiri (BYOD)
dan itu menjadi praktik bisnis yang umum bagi karyawan untuk memilih laptop pribadi
mereka sendiri, tablet, smartphone, atau perangkat komputasi lainnya untuk mengakses
email dan data kepemilikan lainnya. Penggunaan smartphone dan perangkat lain yang
meningkat pesat ini telah meningkatkan risiko informasi bisnis tentang aset non-bisnis
yang tidak aman.
Meskipun banyak organisasi telah menetapkan kebijakan dan prosedur yang berkaitan
dengan penggunaan perangkat pribadi, banyak yang belum. Bahkan mereka yang telah
menetapkan kebijakan semacam itu merasa sangat sulit bagi fungsi TI mereka untuk
memantau dan mengontrol ekspor informasi perusahaan ke perangkat portabel.
Keamanan informasi dan kerahasiaan dan privasi data menjadi lebih penting karena sulit
untuk memastikan data perusahaan dan pribadi dilindungi pada perangkat ini.
Terlepas dari seberapa cepat organisasi mengadopsi teknologi baru saat itu muncul,
semua berinvestasi dalam IT. Mereka melakukannya karena beberapa alasan, yang
semuanya berhubungan langsung dengan pencapaian tujuan bisnis organisasi. Sebagai
contoh, TI memungkinkan strategi bisnis, meningkatkan kinerja proses bisnis, dan
memfasilitasi pengambilan keputusan. Bahkan, TI telah mencapai titik yang begitu
terkait dengan tujuan bisnis, strategi, dan operasi organisasi sehingga inisiatif TI harus
dipertimbangkan bersamaan dengan inisiatif bisnis untuk memastikan keselarasan
antara keduanya.
• Perusahaan ingin mulai menjual di luar negeri, tetapi sistem informasinya tidak
memiliki kemampuan untuk menangani pembelian pelanggan dalam mata uang
asing. Dengan kemampuan mata uang yang terintegrasi ke dalam banyak
aplikasi keranjang belanja, perusahaan dapat dengan cepat beradaptasi dengan
menangani mata uang asing.
PAMERAN 7-1
PANDUAN IPPF RELEVAN KE BAB 7
Standar 1210 - Kecakapan
Standar 1220 - Perawatan Profesional Karena
Standar 2110 - Tata Kelola
Standar 2110.A2
Standar 2120 - Manajemen Risiko
Standar 2130 - Penasihat Praktik Kontrol
Praktik penasehat 1210-1: Kontrol
Praktik penasehat 1210.A1-1: Memperoleh Penyedia Layanan Eksternal untuk Mendukung atau
Melengkapi Penasihat Praktik Kegiatan Audit Internal
1220-1: Perawatan Profesional
2120-1: Menilai Kecukupan Proses Manajemen Risiko
Praktik Penasihat 2130-1: Menilai Kecukupan Proses Pengendalian
Praktik Penasihat Praktek 2130.A1-1: Kehandalan dan Integritas Informasi
2130.A1-2: Mengevaluasi Kerangka Kerja Privasi
Panduan Praktik
GTAG 1: Risiko dan Kontrol Teknologi Informasi, Edisi 2
GTAG 2: Kontrol Perubahan dan Manajemen Patch: Penting untuk Keberhasilan Organisasi, Edisi 2
GTAG 3: Audit Berkelanjutan: Implikasi untuk Jaminan, Pemantauan, dan Penilaian Risiko
GTAG 4: Manajemen Audit TI
GTAG 7: Pengalihdayaan Teknologi Informasi, Edisi ke-2
GTAG 8: Pengendalian Aplikasi Audit
GTAG 9: Manajemen Identitas dan Akses
GTAG 10: Manajemen Kontinuitas Bisnis
GTAG 11: Mengembangkan Rencana Audit TI
GTAG 12: Mengaudit Proyek IT
GTAG 13: Pencegahan dan Deteksi Penipuan di Dunia Otomatis
GTAG 14: Audit Aplikasi yang dikembangkan Pengguna
GTAG 15: Tata Kelola Keamanan Informasi
GTAG 16: Teknologi Analisis Data
GTAG 17: Audit Tata Kelola TI
GTAG 18: Cloud Computing
GTAG 19: Media Sosial,
GAIT Metodologi,
GAIT untuk Penilaian Kekurangan Kontrol Umum TI
GAIT untuk Bisnis dan Risiko TI (GAIT-R)
Studi Kasus Menggunakan GAIT-R untuk Cakupan Kepatuhan PCI
Auditor internal yang bekerja secara luas di bidang sistem informasi yang
terkomputerisasi harus memiliki risiko, kontrol, dan keahlian audit IT yang mendalam.
Auditor semacam itu biasanya disebut sebagai auditor sistem informasi (SI) atau auditor
TI. Meskipun semua auditor internal tidak perlu memiliki keahlian seorang spesialis
audit TI, minimal, setiap auditor internal harus memiliki pemahaman yang kuat tentang
konsep-konsep TI fundamental tertentu. Sebagai contoh, semua auditor internal perlu
memahami komponen dasar dari sistem informasi organisasi mereka, risiko TI yang
mengancam pencapaian tujuan bisnis organisasi mereka, dan tata kelola TI organisasi
mereka, manajemen risiko, dan proses kontrol.
Bab ini pertama memberikan tinjauan umum tentang komponen-komponen utama yang
dipilih dari sistem informasi modern. Peluang dan risiko yang terkait dengan TI
kemudian dijelaskan. Ini diikuti oleh cakupan tata kelola TI, manajemen risiko, dan
kontrol. Bab ini kemudian membahas implikasi TI untuk auditor internal dan diakhiri
dengan identifikasi sumber pedoman audit TI.
Jaringan. Jaringan komputer menghubungkan dua atau lebih komputer atau perangkat
sehingga mereka dapat berbagi informasi dan / atau beban kerja. Ada banyak jenis
jaringan:
Informasi. "Informasi adalah sumber daya utama untuk semua perusahaan, dan sejak
informasi itu dibuat hingga saat dihancurkan, teknologi memainkan peran penting."
Sistem informasi mengumpulkan dan menyimpan data, mengubah data menjadi
informasi yang berguna, dan memberikan informasi kepada pembuat keputusan
internal dan eksternal. Agar informasi bermanfaat, informasi itu harus relevan, andal,
lengkap, akurat, dan tepat waktu.
• Sistem ERP. Sistem ERP adalah sistem perangkat lunak modular yang
memungkinkan organisasi untuk mengintegrasikan proses bisnis mereka
menggunakan database operasi tunggal. Manfaat yang diharapkan organisasi
dari penerapan sistem ERP termasuk pemrosesan transaksi real-time online,
interaksi tanpa batas dan berbagi informasi di antara area fungsional,
peningkatan kinerja proses, penghapusan atau pengurangan redudansi dan
kesalahan data, dan pengambilan keputusan yang lebih tepat waktu. Namun,
menerapkan sistem ERP yang efektif dan efisien tepat waktu dan sesuai
anggaran adalah pekerjaan besar yang penuh dengan risiko. Memanfaatkan
peluang yang ditawarkan sistem ERP tergantung pada mitigasi risiko yang
secara efektif dapat menyebabkan inisiatif gagal.
Risiko TI
Masing-masing komponen utama sistem informasi yang dijelaskan sebelumnya dalam
EDI Pertukaran bab ini mewakili sumber risiko potensial. Sebagai contoh:
dokumen bisnis
• Perangkat keras komputer rentan terhadap pemadaman listrik yang
ke komputer
dalam bentuk mengganggu pemrosesan transaksi.
elektronik antara • Jaringan mengirimkan informasi yang mungkin dicegat dan dicuri atau
suatu organisasi disalahgunakan.
dan mitra • Perangkat lunak komputer yang diprogram secara tidak akurat dapat
dagangnya.
menghasilkan informasi yang tidak valid, tidak lengkap, dan / atau tidak akurat.
• Basis data dapat disusupi dengan tujuan untuk menyelewengkan atau
menyalahgunakan informasi.
• Informasi yang tidak valid, tidak lengkap, dan / atau tidak akurat dapat
mengakibatkan keputusan yang buruk. (Risiko bahwa informasi yang buruk
akan menghasilkan keputusan yang buruk umumnya disebut sebagai risiko
informasi.)
• Seseorang dapat melakukan tugas TI yang tidak sesuai dan dengan demikian
berada dalam posisi untuk melakukan dan menyembunyikan kesalahan atau
penipuan.
Penggunaan TI dalam sistem informasi membuka pintu bagi risiko TI. Risiko IT spesifik
yang dihadapi organisasi tertentu akan tergantung pada sifat bisnis dan operasi
organisasi, industri di mana organisasi beroperasi, konfigurasi sistem informasi
organisasi, dan beberapa faktor internal dan eksternal lainnya. Selain itu, risiko berubah
sebagai akibat dari perubahan dalam lingkungan internal dan eksternal organisasi dan
tidak ada perubahan di dunia bisnis saat ini yang lebih cepat daripada TI. Dengan
demikian, organisasi harus terus mengikuti perkembangan TI dan terus
mempertimbangkan konsekuensi risiko dari kemajuan ini.
Namun, ada beberapa jenis risiko TI yang cenderung umum di seluruh organisasi dan
industri.
• Risiko akses. Akses fisik atau logis yang tidak sah ke sistem dapat
mengakibatkan pencurian atau penyalahgunaan perangkat keras, modifikasi
perangkat lunak berbahaya, dan pencurian, penyalahgunaan, atau perusakan
data. Penyebab risiko akses mencakup, misalnya, penggunaan ponsel cerdas
untuk mengakses, memodifikasi, dan menyimpan data perusahaan dan
penggunaan jaringan nirkabel secara terbuka untuk akses tamu ke data bisnis.
GTAG 9: Manajemen Identitas dan Akses menguraikan sejumlah masalah yang
terkait dengan kontrol akses bersama dengan solusi.
• Kerahasiaan dan risiko privasi. Pengungkapan informasi hak milik mitra bisnis
yang tidak sah atau informasi pribadi individu dapat mengakibatkan hilangnya
bisnis, tuntutan hukum, pers negatif, dan penurunan reputasi. Penyebab
kerahasiaan dan risiko privasi termasuk, misalnya, akses tanpa hambatan ke
jaringan sistem, perangkat lunak, dan basis data. Panduan Praktik IIA, Risiko
Privasi Audit, mengatasi risiko dan kontrol privasi, termasuk yang terkait
langsung dengan TI, dan memberikan panduan tentang cara mengaudit privasi
secara efektif.
KONTROL IT
Kontrol didefinisikan dalam bab 1, "Pengantar Audit Internal," sebagai proses yang
tertanam dalam manajemen risiko dan dilakukan oleh manajemen untuk memitigasi
risiko ke tingkat yang dapat diterima. Bab 6, "Kontrol Internal," menyediakan cakupan
kontrol internal yang mendalam dan memperkenalkan konsep kontrol TI. Kontrol TI
umumnya diklasifikasikan sebagai kontrol umum atau aplikasi seperti yang dijelaskan
dalam bab 6:
• "Kontrol umum (huruf miring ditambahkan) berlaku untuk semua komponen
sistem, proses, dan data untuk organisasi atau lingkungan sistem tertentu."
• "Kontrol aplikasi (huruf miring ditambahkan) berkaitan dengan ruang lingkup
proses bisnis individu atau sistem aplikasi dan termasuk kontrol dalam aplikasi
sekitar input, pemrosesan, dan output."
Cara lain untuk mengklasifikasikan kontrol adalah" oleh kelompok yang bertanggung
jawab untuk memastikan mereka diimplementasikan dan dipelihara dengan baik.
"Misalnya, seperti disajikan dalam pameran 7-4, kontrol TI dapat dikategorikan sebagai
hierarki top-down dari pemerintahan TI, manajemen, dan kontrol teknis. Enam lapisan
teratas kontrol TI yang diilustrasikan dalam Gambar 7-4 mewakili kontrol umum TI
sedangkan lapisan bawah mewakili kontrol aplikasi. Namun, penting untuk dipahami
bahwa "Elemen-elemen hierarki yang berbeda tidak saling terpisah; mereka semua
terhubung dan dapat berbaur." "Sisa bagian ini menjelaskan kontrol TI dari perspektif"
kelompok yang bertanggung jawab ".
Kontrol fisik dan lingkungan TI melindungi sumber daya sistem informasi (perangkat
keras, perangkat lunak, dokumentasi, dan informasi) dari kerusakan yang tidak disengaja
atau disengaja, penyalahgunaan, atau kehilangan. Kontrol semacam itu termasuk,
IT Physical and misalnya:
Environmental
Controls Melindungi • Menemukan server di ruang terkunci yang aksesnya dibatasi.
sumber daya sistem • Membatasi akses server ke individu tertentu.
informasi dari • Menyediakan peralatan deteksi dan pemadaman kebakaran.
kerusakan yang tidak • Peralatan, aplikasi, dan data sensitif perumahan yang jauh dari bahaya
disengaja atau
lingkungan seperti dataran banjir, jalur penerbangan, atau penyimpanan cairan
disengaja,
penyalahgunaan, atau yang mudah terbakar.
kehilangan.
Kontrol Teknis TI
Kontrol teknis sering membentuk tulang punggung kerangka kerja kontrol manajemen
... Kontrol ini khusus untuk teknologi yang digunakan dalam infrastruktur TI organisasi.
"Seperti yang diilustrasikan dalam pameran 7-4, kontrol teknis TI mencakup kontrol
perangkat lunak sistem, kontrol pengembangan sistem, dan kontrol berbasis aplikasi.
Sistem perangkat lunak memfasilitasi penggunaan perangkat keras sistem dan
mencakup, untuk misalnya, sistem operasi, sistem jaringan, sistem manajemen basis
data, firewall, dan perangkat lunak antivirus. Kontrol perangkat lunak sistem membatasi
akses logis ke sistem dan aplikasi organisasi, memantau penggunaan sistem, dan
menghasilkan jejak audit. Kontrol perangkat lunak sistem mencakup, misalnya:
GAMBAR 7-5
CONTOH KONTROL BERBASIS APLIKASI IT
Kontrol Input: Dirancang untuk memastikan bahwa input data ke dalam sistem valid,
lengkap, dan akurat.
• Kontrol dokumen sumber:
o Akses ke dokumen yang digunakan untuk melakukan transaksi dibatasi
untuk individu yang berwenang
o Dokumen yang digunakan untuk memulai transaksi diberi nomor
sebelumnya jika memungkinkan. Dokumen sumber digunakan dalam
urutan numerik dan urutan diverifikasi secara berkala
• Total kontrol:
o Jumlah catatan. Hitungan catatan input untuk diproses. Contoh: Jumlah
kartu waktu yang dikirimkan untuk pemrosesan daftar gaji.
o Total batch. Total jumlah yang termasuk dalam setiap rekaman yang
dikumpulkan untuk diproses. Contoh: Total jumlah jam kerja dalam
batch kartu waktu yang diajukan untuk pemrosesan daftar gaji.
o Total Hash. Total yang tidak berarti yang digunakan untuk memastikan
kelengkapan input data untuk diproses. Contoh: Jumlah nomor
karyawan dalam batch kartu waktu yang dikirimkan untuk diproses.
• Pemeriksaan edit terprogram:
o Pemeriksaan kelengkapan. Memeriksa input data untuk memastikan
bahwa semua bidang kritis berisi nilai
o Pemeriksaan lapangan. Memeriksa bidang untuk menentukan apakah
itu berisi jenis data yang sesuai (alfa atau numerik).
o Tanda cek. Memeriksa bidang untuk menentukan apakah tanda jumlah
itu benar (positif atau negatif).
o Batasi pemeriksaan. Memeriksa bidang untuk menentukan apakah
jumlahnya ditentukan oleh batas atas yang ditentukan atau batas bawah
yang ditentukan.
o Pemeriksaan jangkauan. Memeriksa bidang untuk menentukan apakah
jumlahnya berada dalam kisaran yang ditentukan.
o Pemeriksaan kewajaran. Membandingkan data di bidang dengan data di
bidang terkait untuk menentukan apakah nilainya masuk akal.
o Pemeriksaan validitas. Membandingkan data dalam bidang dengan
seperangkat nilai resmi yang telah ditentukan untuk memastikan bidang
tersebut berisi data yang valid.
• Koreksi kesalahan input: Dokumen sumber yang mengandung kesalahan yang
terdeteksi selama input dikoreksi dan dikirim kembali sebelum diproses.
Kontrol Keluaran: Dirancang untuk memastikan bahwa keluaran sistem aplikasi valid,
lengkap, dan akurat dan bahwa keamanan atas keluaran dipertahankan dengan baik.
• Kontrol tinjauan keluaran: Output sistem aplikasi ditinjau untuk validitas.
kelengkapan, dan akurasi sebelum didistribusikan ke pengguna.
• Kontrol distribusi: Distribusi output sistem aplikasi dibatasi untuk penerima
yang berwenang.
• Kontrol pengguna akhir: Pengguna akhir meninjau output sistem aplikasi yang
mereka terima untuk validitas, kelengkapan, dan akurasi.
Selain itu, sebagian besar fungsi audit internal memiliki beberapa jenis sistem kertas
kerja otomatis seperti TeamMate, yang juga disertakan pada DVD-ROM yang menyertai
buku teks ini, untuk mendokumentasikan, mengorganisasi, dan referensi silang
pekerjaan audit internal. Sistem kertas kerja otomatis telah secara signifikan
meningkatkan aspek dokumentasi pekerjaan audit internal dengan meningkatkan
efektivitas dan efisiensi pekerjaan yang dilakukan.
Standar 1210.A3 juga menunjukkan bahwa setiap auditor internal tidak perlu memiliki
tingkat keahlian audit TI yang diharapkan dari spesialis audit TI. Namun, karena
permintaan auditor TI yang sangat terampil terus melebihi pasokan, pembaca dengan
minat di bidang ini didorong untuk menyelidiki lebih lanjut kompetensi dan kredensial
yang diperlukan untuk berhasil sebagai spesialis audit TI. Orang-orang tersebut mungkin
ingin mengejar sertifikasi terkait kontrol TI untuk melengkapi kredensial Auditor Internal
Bersertifikat (CIA) mereka. Sertifikasi semacam itu termasuk, misalnya, Auditor Sistem
Informasi Bersertifikat (CISA) yang disponsori oleh ISACA (www.isaca.org) dan Profesi
Keamanan Sistem Informasi Bersertifikat (CISSP) yang disponsori oleh Asosiasi
Keamanan Sistem Informasi (www.issa.org ).
Seperti halnya dengan semua bidang keahlian terkait lainnya, eksekutif audit kepala
(CAE) bertanggung jawab untuk memastikan bahwa fungsi audit internal memiliki
kecakapan TI yang dibutuhkan untuk memenuhi tanggung jawab perikatan
penjaminannya. Beberapa fungsi audit internal memiliki pelengkap yang memadai dari
para ahli audit TI pada staf. Mereka yang tidak memiliki pakar staf seperti itu mencari
sumber di luar fungsi audit internal untuk keahlian tersebut. Dalam beberapa kasus,
individu yang berkualifikasi dari bidang lain dalam organisasi dapat diminta untuk
membantu perikatan audit internal yang membutuhkan kompetensi TI yang tidak
dimiliki fungsi audit internal. Dalam kasus lain, CAE dapat mempekerjakan penyedia
layanan eksternal dengan pengetahuan dan keterampilan TI yang diperlukan.
Ketiga standar ini mencerminkan fakta bahwa fungsi audit internal tidak dapat secara
efektif mengevaluasi tata kelola, manajemen risiko, dan proses kontrol tanpa
mempertimbangkan sistem dan teknologi informasi. Untuk memenuhi tanggung jawab
terkait TI, fungsi audit internal harus:
• Memasukkan sistem informasi organisasi dalam proses perencanaan audit
tahunannya.
IT Outsourcing • Mengidentifikasi dan menilai risiko TI organisasi.
Memindahkan
fungsi-fungsi TI ke • Pastikan bahwa ia memiliki keahlian audit TI yang memadai.
penyedia luar untuk • Menilai tata kelola TI, manajemen, dan kontrol teknis.
mencapai • Menugaskan auditor dengan tingkat keahlian TI yang sesuai untuk menutup
pengurangan biaya perikatan jaminan.
sambil • Gunakan teknik audit berbasis teknologi yang sesuai.
meningkatkan
kualitas dan
efisiensi Proses Outsourcing IT
bisnis outsourcing diperkenalkan di bab 5, "Proses dan Risiko Bisnis," sebagai tindakan
mentransfer beberapa bisnis organisasi proses ke penyedia luar untuk mencapai
pengurangan biaya sambil meningkatkan kualitas dan efisiensi layanan. Karena alasan
inilah organisasi semakin mengalihkan fungsi TI ke vendor yang berspesialisasi dalam
menyediakan layanan TI.
Seperti halnya dengan segala jenis outsourcing, outsourcing TI membawa risiko yang
harus dipahami dan dikelola oleh dewan dan manajemen organisasi. Oleh karena itu,
mereka akan mencari kepastian mengenai informasi yang menjadi dasar keputusan
outsourcing mereka. Fungsi audit internal dapat memberikan jaminan tersebut dan, di
samping itu, memberi nasihat kepada dewan dan manajemen tentang risiko dan
mengendalikan implikasi outsourcing IT.
Dewan dan manajemen juga memegang tanggung jawab untuk kontrol atas fungsi-
fungsi TI yang di-outsourcing-kan dan akan memanggil CAE untuk memberi mereka
jaminan mengenai kecukupan desain dan efektivitas operasi dari kontrol-kontrol ini.
Bergantung pada situasinya, CAE dapat mengandalkan, sampai batas tertentu, pada
laporan auditor internal penyedia layanan eksternal dan / atau independen ketika
merumuskan kesimpulan tentang kontrol atas fungsi-fungsi TI yang di-outsourcing-kan.
Jika fungsi TI berisiko tinggi telah di-outsourcing-kan, CAE harus mengalokasikan tingkat
sumber daya audit internal yang sesuai untuk menguji kontrol atas fungsi-fungsi
tersebut. GTAG 7: Alih Teknologi Informasi menjelaskan secara rinci beberapa
pertimbangan outsourcing TI utama yang memerlukan perhatian fungsi audit internal.
Audit kontinu. Audit kontinu didefinisikan dalam GTAG 3: Audit Kontinu: Implikasi
untuk Jaminan, Pemantauan, dan Penilaian Risiko sebagai "metode apa pun yang
digunakan oleh auditor finternal] untuk melakukan aktivitas terkait audit secara lebih
berkelanjutan atau berkelanjutan." 4 Seperti yang dijelaskan dalam GTAG 3 , audit
kontinu terdiri dari dua kegiatan utama:
PAMERAN 7-6 10
PELUANG UNTUK FUNGSI AUDIT INTERNAL UNTUK MEMBERIKAN WAWASAN TENTANG
RISIKO DAN PENGENDALIANNYA.
1. Memastikan risiko TI dicatat dalam penilaian risiko tahunan.
6. Mendidik manajemen tentang risiko dan kontrol TI yang muncul yang dapat
diterapkan untuk mengurangi risiko tersebut.
9. Tetap beri tahu manajemen dan dewan tentang risiko T utama yang dapat
memengaruhi organisasi.
10. Memahami teknologi baru yang berdampak pada organisasi terkait dengan
apakah organisasi saat ini mempekerjakannya
RINGKASAN
Dampak luas dari TI pada strategi, sistem informasi, dan proses organisasi telah secara
signifikan memengaruhi profesi audit internal, dan bab ini membahas konsep-konsep
mendasar TI yang perlu dipahami oleh setiap auditor internal:
• Enam komponen kunci dari sistem informasi modern-perangkat keras
komputer , jaringan, perangkat lunak komputer, basis data, informasi, dan
orang-orang dijelaskan dan diilustrasikan.
• Peluang yang dimungkinkan oleh TI dan risiko yang timbul sebagai akibat dari TI
dibahas. Peluang yang dimungkinkan oleh TI mencakup hal-hal seperti
penjualan online, integrasi proses bisnis, dan pertukaran informasi elektronik
antara mitra dagang. Jenis risiko yang umum terjadi di seluruh organisasi dan
industri meliputi:
Seleksi.
Pengembangan / akuisisi dan penyebaran.
Ketersediaan.
Perangkat keras Perangkat Lunak.
Akses.
Keandalan sistem dan integritas informasi.
Kerahasiaan dan privasi.
Penipuan dan tindakan jahat.
• Tata kelola TI diidentifikasi sebagai subkomponen penting tata kelola secara
keseluruhan; Manajemen risiko TI dijelaskan dalam konteks komponen ERM
COSO; dan kontrol TI disajikan sebagai hierarki top-down dari tata kelola,
manajemen, dan kontrol teknis TI.
• Implikasi TI untuk auditor internal ditangani. Fungsi audit internal perlu
memahami sistem informasi organisasi mereka dan risiko TI yang mengancam
pencapaian tujuan bisnis organisasi mereka. Mereka juga harus mahir dalam
menilai tata kelola TI, manajemen risiko, dan proses kontrol organisasi mereka
dan dapat menerapkan teknik audit berbasis teknologi secara efektif.
• Sumber pedoman audit TI diidentifikasi. Dua komponen kunci dari badan yang
semakin berkembang dari pedoman audit TI IIA adalah Panduan Praktek GTAGS
dan GAIT. Panduan lain yang tersedia melalui The IIA mencakup banyak
sumber daya yang dapat dibeli melalui The IIA Research Foundation Bookstore
dan, untuk tren dan praktik terkini, diunduh dari bagian ITAudit dari Internal
Auditor Online.
Singkatnya, TI telah secara signifikan mengubah kompetensi yang harus dimiliki auditor
internal dan bagaimana mereka melakukan pekerjaan mereka. Kapasitas fungsi audit
internal untuk memberikan jaminan nilai tambah dan layanan konsultasi sangat
tergantung pada keahlian TInya. Semua auditor internal harus memiliki dasar
pengetahuan dan keterampilan teknologi. Ini termasuk sistem kertas kerja otomatis,
CAATS, dan terminologi TI. Fungsi audit internal dapat memberikan wawasan tentang
bagaimana organisasi dapat memanfaatkan kemajuan TI terbaik.