KONTROL IT Contral didefinisikan dalam bab 1, "Pengantar Audit Internal.

" sebagai proses yang

tertanam dalam manajemen risiko dan dilakukan oleh manajemen untuk memitigasi risiko hingga tingkat
yang dapat diterima. Bab 6, "Kontrol Internal," menyediakan cakupan kontrol internal yang mendalam
dan memperkenalkan konsep kontrol TI. Kontrol TI biasanya diklasifikasikan sebagai kontrol aplikasi
umum yang dijelaskan dalam bab 6 • "Kontrol umum titalics addedi berlaku untuk semua komponen
sistem, proses, dan data untuk organisasi tertentu atau sistem lingkungan. * •" Kontrol aplikasi (huruf
miring ditambahkan) berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi dan
contrels indude dalam aplikasi di sekitar input, pemrosesan dan output kami. "" Cara lain untuk lassify
controlu adalah "oleh kelompok bertanggung jawab untuk memastikan mereka diterapkan dan
dipelihara dengan baik." "Sebagai contoh, seperti disajikan dalam pameran 74, kontrol TI dapat
dikategorikan sebagai hierarki top-down dari manajemen, manajemen, dan contro teknis TI. Enam
lapisan teratas dari contr IT yang diilustrasikan dalam pameran 7-4 mewakili kontrol umum TI sedangkan
lapisan bomom mewakili aplikasi Namun, penting untuk dipahami bahwa "Elemen-elemen hierarki yang
berbeda tidak saling terpisah; mereka semua terhubung dan dapat berbaur. "Sisa dari bagian ini
menjelaskan perspektif yang bertanggung jawab". Kontrol Tata Kelola TI Seperti dibahas sebelumnya
dalam bab ini, tata kelola TI merupakan komponen integral dari tata kelola secara keseluruhan.
Demikian juga, kontrol TI pada tingkat tata kelola adalah bagian penting dari keseluruhan sistem
pengendalian internal organisasi. Kontrol TI pada tingkat tata kelola berada di bawah yurisdiksi dewan
dan manajemen senior. Timbunan tanggung jawab, bagaimanapun, adalah untuk mengawasi sistem
kontrol internal organisasi, bukan untuk menjalankan kontrol. Adalah tugas manajemen senior untuk
melakukan proses kontrol setiap hari. . Seperti yang diilustrasikan dalam pameran 7-4, kontrol tata
kelola TI terdiri dari kebijakan TI Kebijakan ini menetapkan sifat kontrol yang harus ada dan berangsur-
angsur, misalnya: • Kebijakan umum tentang tingkat keamanan dan privasi di seluruh organisasi. •
Pernyataan tentang klasifikasi informasi dan hak akses pada setiap level. • Definisi konsep kepemilikan
data dan sistem, serta wewenang yang diperlukan untuk memulai, memodifikasi, atau menghapus
informasi • Kebijakan personalia yang menetapkan dan menegakkan kondisi untuk staf di bidang yang
sensitif • Definisi persyaratan perencanaan kesinambungan bisnis secara keseluruhan. "IT Kontrol
Manajemen Manajemen bertanggung jawab untuk memastikan bahwa kontrol TI dirancang secara
memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan organisasi, risiko yang
mengancam pencapaian tujuan tersebut, dan proses bisnis dan sumber daya organisasi. Kontrol TI pada
tingkat manajemen terdiri dari standar, neganisasi dan manajemen, dan kontrol fisik dan lingkungan.
Standar TI mendukung kebijakan TI dengan lebih spesifik mendefinisikan apa yang diperlukan untuk
mencapai tujuan organisasi. Standar ini harus mencakup, untuk proses pengembangan Sistem Exampler.
organisasi mengembangkan appl mereka sendiri Untuk itu, standar berlaku untuk proses perancangan,
pengembangan. menguji, menerapkan, dan memelihara sistem informasi dan • Konfigurasi perangkat
lunak sistem. Karena perangkat lunak sistem menyediakan elemen kontrol yang besar di lingkungan TI,
standar yang terkait dengan konfigurasi sistem yang aman mulai mendapatkan penerimaan luas oleh
organisasi dan penyedia teknologi terkemuka. Kontrol aplikasi. Semua aplikasi yang mendukung
kegiatan bisnis perlu dikendalikan, • Struktur data. Memiliki definisi data yang konsisten di seluruh
rangkaian aplikasi memastikan bahwa sistem yang berbeda dapat mengakses data dengan mulus dan
kontrol keamanan untuk data pribadi dan sensitif lainnya dapat diterapkan secara seragam. •
Dokumentasi. Standar harus menetapkan tingkat minimum dokumentasi yang diperlukan untuk setiap
sistem aplikasi atau instalasi TI, serta untuk kelas aplikasi, proses, dan pusat pemrosesan yang berbeda,
organisasi TI dan kontrol manajemen memberikan jaminan bahwa organisasi terstruktur dengan garis
yang jelas. pelaporan dan tanggung jawab dan telah menerapkan proses kontrol yang efektif. Tiga
pilihan penting dari kontrol ini adalah pemisahan tugas, kontrol keuangan, dan kontrol kontrol
perubahan: • Pemisahan tugas adalah elemen penting dari banyak kontrol. Struktur organisasi
seharusnya tidak memungkinkan tanggung jawab untuk semua aspek pemrosesan data untuk
beristirahat dengan satu individu. Fungsi memulai. otorisasi, memasukkan, memproses, dan memeriksa
data harus dipisahkan untuk memastikan tidak ada individu yang dapat membuat kesalahan, kelalaian,
atau penyimpangan lainnya dan mengesahkannya dan / atau mengaburkan bukti. Pemisahan kontrol
tugas untuk sistem aplikasi diimplementasikan dengan memberikan hak akses sesuai dengan persyaratan
pekerjaan untuk fungsi pemrosesan dan mengakses informasi. "• Karena organisasi melakukan investasi
besar dalam TI, kontrol anggaran dan keuangan lainnya diperlukan untuk memastikan teknologi
menghasilkan pengembalian yang diproyeksikan. tentang investasi atau penghematan yang diusulkan.
Proses manajemen harus dilakukan untuk mengumpulkan, menganalisis, dan melaporkan masalah-
masalah ini. Sayangnya, pengembangan TI baru sering mengalami kelebihan biaya besar-besaran dan
gagal memberikan penghematan biaya atau pendapatan yang diharapkan karena perkiraan yang salah
atau perencanaan yang tidak mencukupi. . " • Ubah proses manajemen memastikan bahwa perubahan
pada lingkungan TI, perangkat lunak sistem, sistem aplikasi, dan data diterapkan dengan cara yang
menegakkan pemisahan tugas yang sesuai; memastikan bahwa perubahan berfungsi dan diterapkan
sesuai kebutuhan; dan mencegah perubahan agar tidak dieksploitasi untuk tujuan penipuan. Kurangnya
manajemen perubahan dapat berdampak serius terhadap ketersediaan sistem dan layanan. Kontrol fisik
dan lingkungan TI melindungi sumber daya sistem informasi (perangkat keras, perangkat lunak,
dokumentasi, dan informasi) dari kerusakan yang tidak disengaja atau disengaja, penyalahgunaan, atau
kehilangan. Kontrol semacam itu termasuk, misalnya: • Menemukan server di ruang terkunci yang
aksesnya dibatasi. • Membatasi akses server ke individu tertentu. • Menyediakan peralatan deteksi dan
pemadaman kebakaran. • Peralatan, aplikasi, dan data sensitif perumahan yang jauh dari bahaya
lingkungan seperti dataran banjir, jalur penerbangan, atau penyimpanan cairan yang mudah terbakar.
"Kontrol Teknis TI" Kontrol teknis sering membentuk tulang punggung kerangka kerja kontrol manajemen
... Kontrol ini khusus untuk teknologi yang digunakan dalam infrastruktur TI organisasi. "Seperti yang
diilustrasikan dalam pameran 7-4, kontrol reklame TI mencakup kontrol perangkat lunak sistem, kontrol
pengembangan sistem, dan kontrol berbasis aplikasi. Perangkat lunak sistem memfasilitasi penggunaan
perangkat keras sistem dan mencakup, untuk contoh, sistem operasi, sistem jaringan, sistem
manajemen basis data, firewall, dan perangkat lunak antivirus. Kontrol perangkat lunak sistem
membatasi akses logis ke sistem dan aplikasi organisasi, memantau penggunaan sistem, dan
menghasilkan jejak audit. Kontrol perangkat lunak sistem mencakup, misalnya: • Akses hak dialokasikan
dan dikendalikan sesuai dengan kebijakan yang dinyatakan organisasi. • Divisi duti es diberlakukan
melalui perangkat lunak sistem dan kontrol konfigurasi lainnya. • Penilaian intrusi dan kerentanan,
pencegahan, dan deteksi dilakukan dan terus dipantau. • Pengujian intrusi dilakukan secara teratur. •
Layanan enkripsi diterapkan di mana kerahasiaan adalah persyaratan yang dinyatakan. • Ubah proses
manajemen - termasuk manajemen tambalan - di tempat untuk memastikan proses yang dikontrol ketat
untuk menerapkan semua perubahan dan parch ke perangkat lunak, sistem, komponen jaringan, dan
data. "Sistem aplikasi, apakah dikembangkan sendiri atau dibeli dari vendor, harus memproses informasi
secara efektif dan efisien sesuai dengan kami-

persyaratan ers. Kontrol pengembangan dan akuisisi sistem meliputi, misalnya: • Persyaratan pengguna
harus didokumentasikan, dan pencapaiannya harus diukur. • Desain sistem harus mengikuti proses
formal untuk memastikan bahwa persyaratan dan kontrol pengguna dirancang ke dalam sistem.
Pengembangan sistem harus dilakukan secara terstruktur untuk memastikan bahwa persyaratan dan fitur
desain yang disetujui dimasukkan ke dalam produk jadi. • Pengujian harus memastikan bahwa elemen-
elemen sistem individual berfungsi sebagaimana diperlukan, antarmuka sistem beroperasi seperti yang
diharapkan, dan bahwa pemilik sistem telah mengkonfirmasi bahwa fungsionalitas yang dimaksud telah
disediakan. • Proses pemeliharaan aplikasi harus memastikan bahwa perubahan dalam sistem aplikasi
mengikuti pola kontrol yang konsisten. Manajemen perubahan harus tunduk pada proses validasi
jaminan terstruktur. Kontrol berbasis aplikasi diterapkan untuk memastikan bahwa: • Semua data input
akurat, lengkap, resmi, dan benar. • Semua data diproses sebagaimana dimaksud. • Semua data yang
disimpan akurat dan lengkap. • Semua output akurat dan lengkap. • Catatan dipelihara untuk melacak
proses data dari input ke penyimpanan dan ke output akhirnya. "Kontrol berbasis aplikasi mencakup,
misalnya: • Kontrol input. Kontrol ini digunakan terutama untuk memeriksa integritas data yang
dimasukkan ke dalam bisnis. aplikasi, apakah sumbernya inpur langsung oleh staf, jarak jauh oleh mitra
bisnis, atau melalui aplikasi yang didukung Web • Kontrol pemrosesan. Kontrol ini menyediakan cara
otomatis untuk memastikan pemrosesan lengkap, akurat, dan resmi. • Kontrol output. Ini kontrol
mengatasi apa yang dilakukan dengan data. Mereka harus membandingkan hasil dengan hasil yang
dimaksudkan dan memeriksanya terhadap input. • Kontrol integritas. Kontrol ini dapat memantau data
dalam proses dan / atau penyimpanan untuk memastikan bahwa data tetap konsisten dan benar. • Jejak
manajemen. Memproses kontrol riwayat, sering disebut sebagai jejak audit, memungkinkan manajemen
untuk melacak transaksi dari sumber ke hasil akhir dan untuk melacak backwa dari hasil untuk
mengidentifikasi transaksi dan peristiwa yang mereka catat. " Contoh spesifik dari kontrol berbasis
aplikasi disajikan pada Gambar 7-5. Kontrol Keamanan Informasi Kontrol keamanan informasi tidak
secara eksplisit disajikan dalam pameran 7-4 karena "Keamanan informasi adalah bagian integral dari
kontrol TI." D Kontrol keamanan informasi melindungi sistem informasi dari akses fisik dan logis yang
tidak sah. Kontrol akses fisik memberikan keamanan atas sumber daya TI yang nyata dan mencakup hal-
hal seperti pintu yang terkunci, kamera pengintai, dan penjaga keamanan. Kontrol akses logis
memberikan keamanan atas perangkat lunak dan informasi yang tertanam dalam sistem dan mencakup
hal-hal seperti firewall, enkripsi, ID login, kata sandi, tabel otorisasi, dan log aktivitas komputer.
Kekurangan dalam kontrol keamanan informasi kompromi efektivitas semua tata kelola TI, manajemen,
dan kontrol teknis lainnya. Karena meningkatnya risiko bagi organisasi dari ancaman cybersecutity,
peraturan pelaporan pengungkapan tambahan untuk pelaporan keuangan telah diberlakukan oleh
Komisi Sekuritas dan Bursa AS (SEC) efektif Oktober 2011. Audit internal kontrol keamanan informasi
akan membantu memastikan bahwa organisasi mengambil pendekatan proaktif untuk mengelola risiko
keamanan siber dan mematuhi persyaratan pelaporan SEC yang lebih ketat. IMPLIKASI TI UNTUK
AUDITOR INTERNAL Bagian sebelumnya dari bab ini menjelaskan bagaimana TI telah mempengaruhi
organisasi. TI telah mengubah cara organisasi merumuskan strategi, melakukan operasi sehari-hari, dan
membuat keputusan. Perubahan-perubahan ini telah menghasilkan risiko baru dan memaksa
manajemen organisasi, dan proses kontrol. Dampak luas TI pada organisasi pada gilirannya memaksa
auditor internal untuk meningkatkan pengetahuan dan keterampilan TI mereka dan menyesuaikan cara
mereka melakukan pekerjaan mereka. memodifikasi tata kelola mereka, risiko Kecakapan TI dan
Perawatan Profesional Karena Dua Standar Implementasi Atribut khusus membahas tentang auditor
internal profesional TI yang harus dimiliki dan pertimbangan yang harus mereka berikan untuk
menggunakan teknik audit berbasis teknologi: 1210.A3 - Auditor internal harus memiliki pengetahuan
yang cukup risiko dan kontrol teknologi informasi utama dan teknik audit yang dimiliki teknologi untuk
melakukan pekerjaan yang ditugaskan kepada mereka. Namun, tidak semua auditor internal diharapkan
memiliki keahlian auditor internal yang tanggung jawab utamanya adalah audit teknologi informasi.
1220.A2 - Dalam melaksanakan perawatan profesional karena, auditor internal harus audit berbasis
teknologi dan teknik analisis data lainnya. Standar 1210.A3 dan 1220.A2 secara jelas menunjukkan
bahwa semua auditor internal yang menyediakan layanan penjaminan membutuhkan setidaknya tingkat
dasar dari risiko, kontrol, dan keahlian audit TI. Konsep risiko dan kontrol TI mendasar yang perlu
dipahami oleh semua auditor internal dibahas di bagian sebelumnya bab ini. Teknik audit berbasis
teknologi, juga disebut sebagai teknik audit berbantuan komputer (CAATS), dijelaskan dalam bab 10,
"Bukti Audit dan Kertas Kerja." CAATS termasuk perangkat lunak audit umum (GAS) seperti ACI. dan
IDEA, keduanya ada di DVD-ROM yang menyertai buku teks ini. GAS adalah contoh alat audit TI yang
fungsi audit internalnya semakin berharap semua anggota staf untuk memahami dan menerapkan secara
efektif. Perangkat lunak utilitas, data uji, penelusuran dan pemetaan perangkat lunak aplikasi, sistem
pakar audit, dan audit kontinu adalah CAATS lain yang dijelaskan dalam bab 10. Selain itu, sebagian besar
fungsi audit internal memiliki beberapa jenis sistem kertas kerja otomatis seperti TeamMate, yang juga
merupakan disertakan pada DVD-ROM yang menyertai buku teks ini, untuk mendokumentasikan,
mengorganisasi, dan referensi lintas pekerjaan audit internal. Sistem kertas kerja otomatis telah secara
signifikan meningkatkan aspek dokumentasi pekerjaan audit internal dengan meningkatkan efektivitas
dan efisiensi pekerjaan yang dilakukan. Standar 1210.A3 juga menunjukkan bahwa setiap auditor
internal tidak perlu memiliki tingkat keahlian audit TI yang diharapkan dari spesialis audit TI. Namun,
karena permintaan untuk auditor TI yang sangat terampil terus melebihi pasokan. pembaca dengan
minat di bidang ini didorong untuk menyelidiki lebih lanjut kompetensi dan kredensial yang diperlukan
untuk berhasil sebagai spesialis audit TI. Orang-orang tersebut mungkin ingin mengejar sertifikasi terkait
kontrol TI untuk melengkapi kredensial Auditor Internal Bersertifikat (CIA) mereka. Sertifikasi tersebut
termasuk. misalnya, Auditor Sistem Informasi Bersertifikat (CISA) yang disponsori oleh ISACA
(www.isaca.org) dan Profesi Keamanan Sistem Informasi Bersertifikat (CISSP) yang disponsori oleh
Asosiasi Keamanan Sistem Informasi (www.issa.org). Seperti halnya dengan semua bidang keahlian
terkait lainnya, eksekutif audit kepala (CAE) bertanggung jawab untuk memastikan bahwa fungsi audit
internal memiliki kecakapan TI yang dibutuhkan untuk memenuhi tanggung jawab perikatan
penjaminannya. Beberapa fungsi audit internal memiliki pelengkap yang memadai dari para ahli audit TI
pada staf. Mereka yang tidak memiliki pakar staf seperti itu mencari sumber di luar fungsi audit internal
untuk keahlian tersebut. Dalam beberapa kasus, individu yang berkualifikasi dari bidang lain dalam
organisasi dapat diminta untuk membantu perikatan audit internal yang membutuhkan kompetensi TI
yang tidak dimiliki fungsi audit internal. Dalam kasus lain, CAE dapat mempekerjakan penyedia layanan
eksternal dengan pengetahuan dan keterampilan TI yang diperlukan. Keterlibatan Jaminan Tanggung
Jawab TI Tiga Standar Implementasi Kinerja secara khusus menangani tanggung jawab keterlibatan
jaminan auditor internal mengenai sistem dan teknologi informasi: 2110.A2- Kegiatan audit internal
harus menilai apakah tata kelola teknologi informasi organisasi mendukung strategi dan tujuan
organisasi. .

2120.A1 - Kegiatan audit internal harus mengevaluasi paparan risiko yang berkaitan dengan .. sistem
informasi organisasi. 2130.A1 - Kegiatan audit internal harus mengevaluasi kecukupan dan efektivitas
pengendalian dalam merespons risiko dalam .. sistem informasi organisasi. Ketiga standar ini
mencerminkan fakta bahwa fungsi audit internal tidak dapat secara efektif mengevaluasi tata kelola,
manajemen risiko, dan proses kontrol tanpa mempertimbangkan sistem dan teknologi informasi. Untuk
memenuhi tanggung jawab terkait TI, fungsi audit internal harus: • Memasukkan sistem informasi
organisasi dalam proses perencanaan audit tahunannya. • Mengidentifikasi dan menilai risiko TI
organisasi. • Pastikan bahwa ia memiliki keahlian audit TI yang memadai. • Menilai tata kelola TI,
manajemen, dan kontrol teknis. • Menugaskan auditor dengan tingkat keahlian TI yang sesuai untuk
setiap perjanjian jaminan. • Gunakan teknik audit berbasis teknologi yang sesuai. IT Outsourcing Proses
bisnis outsourcing diperkenalkan di Bab 5, "Proses dan Risiko Bisnis," sebagai tindakan mentransfer
beberapa proses bisnis organisasi ke penyedia luar untuk mencapai pengurangan biaya sambil
meningkatkan kualitas dan efisiensi layanan. Karena alasan inilah organisasi semakin mengalihkan fungsi
TI ke vendor yang berspesialisasi dalam menyediakan layanan TI. Seperti halnya dengan segala jenis
outsourcing, outsourcing TI membawa risiko yang harus dipahami dan dikelola oleh dewan dan
manajemen organisasi. Oleh karena itu, mereka akan mencari kepastian mengenai informasi yang
menjadi dasar keputusan outsourcing mereka. Fungsi audit internal dapat menyediakan dan, di samping
itu, memberi nasihat kepada dewan dan manajemen tentang risiko dan implikasi pengendalian
outsourcing IT. Dewan dan manajemen juga memegang tanggung jawab atas kendali atas fungsi-fungsi
TI yang di-outsourcing-kan dan akan memanggil CAE untuk memberi mereka jaminan mengenai
kecukupan desain dan efektivitas operasi dari kontrals ini. Bergantung pada situasinya, CAE dapat
mengandalkan, sampai batas tertentu, pada laporan auditor internal penyedia layanan eksternal dan /
atau independen ketika merumuskan kesimpulan tentang kontrol atas fungsi-fungsi TI yang di-
outsourcing-kan. Jika fungsi TI berisiko tinggi telah di-outsourcing-kan, CAE harus mengalokasikan
tingkat sumber daya audit internal yang sesuai untuk menguji kontrol atas fungsi-fungsi tersebut. GTAG
7: Alih Teknologi Informasi menjelaskan secara rinci beberapa pertimbangan outsourcing TI utama yang
memerlukan perhatian fungsi audit internal. Audit Terintegrasi dan Berkesinambungan Audit internal
secara historis telah dilakukan secara retrospektif, misalnya, setelah transaksi terjadi. Pendekatan audit
setelah-fakta ini dengan cepat menjadi usang karena kemajuan teknologi memunculkan proses bisnis
yang dimungkinkan oleh TI di mana proses transaksi online dan real-time adalah hal yang biasa. Jalur
audit berbasis kertas dari pemrosesan dan kontrol transaksi semakin digantikan dengan jalur audit tanpa
kertas dan kontrol otomatis tertanam yang dirancang untuk menguji kesesuaian transaksi saat hal itu
terjadi. Dalam lingkungan sistem informasi ini, bukti langsung dari pemrosesan transaksi dan
pengendalian implementasi seringkali bersifat sementara. Ini berarti semakin tidak layak bagi auditor
internal untuk "mengaudit komputer" dan mencapai kesimpulan yang valid tentang efektivitas
keseluruhan kontrol atas pelaporan keuangan, operasi, dan kepatuhan. Sebagai gantinya mereka harus
"mengaudit melalui komputer," menggunakan CAATS untuk mengevaluasi kontrol TI yang ada di dalam
sistem. Mengintegrasikan audit TI ke dalam keterlibatan penjaminan. Integrasi kontrol secara langsung
ke dalam proses bisnis, bersama dengan ketersediaan CAATS yang mudah digunakan, mendorong
semakin banyak fungsi audit internal memodifikasi pendekatan audit mereka. Alih-alih melakukan
keterlibatan yang terpisah yang berfokus pada risiko dan kontrol TI tingkat proceis, fungsi-fungsi internal
ini mengasimilasi risiko TI dan mengendalikan penilaian menjadi keterlibatan yang dilakukan untuk
menilai pelaporan keuangan di tingkat proses, operasi, dan / atau risiko kepatuhan dan kontrol. Fungsi
audit internal yang telah mengadopsi pendekatan ini menemukan bahwa itu menguntungkan organisasi
mereka dengan meningkatkan efektivitas dan efisiensi layanan audit audit internal mereka. Perikatan
jaminan terintegrasi lebih efektif karena auditor intermal berada dalam posisi yang jauh lebih baik untuk
seluruh portofolio risiko yang diaudit dan mencapai kesimpulan keseluruhan tentang kecukupan desain
dan efektivitas operasi kontrol. Proses audit lebih efisien karena (1) perikatan yang sebelumnya
dilakukan secara terpisah dikombinasikan dan (2) identifikasi dan penilaian dari semua risiko dan kontrol
utama dikonsolidasikan dalam perikatan audit terintegrasi. Audit kontinu. Audit kontinu didefinisikan
dalam GTAG 3: Audit Kontinu: Implikasi untuk Jaminan, Pemantauan, dan Penilaian Risiko sebagai
"metode apa pun yang digunakan oleh (auditor internal) untuk melakukan aktivitas terkait audit secara
terus-menerus." Seperti dijelaskan dalam GTAG 3, melanjutkan lebih lanjut audit kontinu terdiri dari dua
kegiatan utama: • Penilaian kontrol berkelanjutan, yang tujuannya adalah "untuk memusatkan perhatian
audit pada defisiensi kontrol sedini mungkin," dan • Penilaian risiko berkelanjutan, yang tujuannya
adalah "untuk menyoroti mengalami tingkat yang lebih tinggi dari yang diharapkan risiko.Penilaian
pemantauan berkelanjutan adalah komponen integral ketiga dari audit contino ous.Seperti ditunjukkan
sebelumnya dalam bab ini, manajemen bertanggung jawab untuk memantau proses manajemen risiko
organisasi, termasuk proses kontrol, dari waktu ke waktu untuk memastikan bahwa itu terus beroperasi
secara efektif dan efisien.Tanggung jawab audit berkelanjutan fungsi audit internal adalah untuk menilai
efektivitas manajemen Kegiatan pemantauan yang terus menerus. Di area organisasi di mana
manajemen telah menerapkan proses pemantauan yang efektif dan berkelanjutan, auditor internal
dapat melakukan penilaian risiko dan kontrol yang terus menerus dan tidak terlalu ketat. Sebaliknya, jika
pemantauan berkelanjutan tidak ada atau tidak efektif, fungsi audit internal harus melakukan penilaian
risiko dan kontrol yang lebih ketat dan berkelanjutan. SUMBER PEDOMAN AUDIT IT IIA memiliki badan
pedoman audit TI yang terus berkembang. Dua komponen utama dari panduan ini adalah Panduan
Audit Teknologi Global (GTAGS) dan Panduan Penilaian Praktik Risiko IT (GAIN) yang termasuk dalam
Kerangka Kerja Praktik Profesional Internasional IHAS: • Panduan Praktik GTAG. Panduan Praktik GTAG
"... mengatasi masalah tepat waktu terkait dengan manajemen, kontrol, dan keamanan teknologi
informasi." GTAGS yang tersedia saat buku teks ini diterbitkan tercantum dalam Gambar 7-1. • Panduan
Praktik GAIT. Panduan Praktik GAIT menggambarkan "hubungan antara risiko bisnis, kontrol utama
dalam proses bisnis, kontrol otomatis dan fungsi TI penting lainnya, dan kontrol kunci dalam kontrol
umum TI. Setiap panduan membahas aspek spesifik risiko TI dan penilaian kontrol." Panduan GAIT yang
tersedia saat buku teks ini diterbitkan tercantum dalam Gambar 7-1. Anggota IIA dapat mengunduh
Panduan Praktik gratis di https: //na.theiia. org / pedoman-standar / rekomendasi-pedoman / pedoman-
praktik /. Mereka juga dapat dibeli dari The IIA Research Foundation Bookstore di http: / l
www.theiia.org/bookstore/. Gaidansi audit TI lain yang tersedia melalui HA meliputi: • Sejumlah
publikasi, termasuk buku pegangan Yayasan Penelitian IIA dan monograf penelitian ulang, yang dapat
dibeli dari Toko Buku Yayasan lcar Rescarch. • Bagian ITAudit dari Internal Auditor Online, yang, sebelum
Januari 2009, adalah publikasi online terpisah dari artikel audit TI. Artikel ITAudit saat ini dan yang
diarsipkan dapat diunduh oleh siapa saja di www.theiia.org/intAuditor/itaudit/. Banyak organisasi lain
telah menerbitkan informasi audit TI online yang relevan dengan auditor internal yang tersedia untuk
diunduh. Organisasi-organisasi ini termasuk, misalnya: • IT Governance Institute (www.itgi.org). •
Institut Kepatuhan TI (www.itcinstitute.com). • Institut Proses TI (www.itpi.org). • ISACA
(www.isaca.org). • Asosiasi Keamanan Sistem Informasi (www.issa.org). • Institut Akuntan Publik
Bersertifikat Amerika (www.aicpa.org). • Institut Akuntan Chartered Kanada (www.cica.org). Isu Risiko
Teknologi Informasi yang Muncul Teknologi informasi yang baru dan berkembang akan terus
diperkenalkan dengan langkah cepat. Biasanya teknologi ini dikembangkan dengan tujuan bisnis dan
kontrol diperkenalkan kemudian untuk mengurangi risiko TI terkait. Kemajuan TI yang berasal dari luar
organisasi tidak dapat lagi diabaikan. Seperti yang ditunjukkan sebelumnya dalam bab ini, banyak dari
kemajuan teknologi informasi terkini seperti smartphone, media sosial, dan komputasi awan berdampak
pada profil risiko suatu organisasi bahkan jika ia memilih untuk tidak menggunakan teknologi tersebut.
Penting bagi organisasi untuk mengantisipasi inovasi teknologi di masa depan dan memasukkannya ke
dalam penilaian risiko TI mereka. Fungsi audit internal dapat memberikan wawasan yang berharga bagi
organisasi tentang bagaimana teknologi baru akan berdampak pada masa depan organisasi dan
bagaimana secara proaktif mengatasi risiko yang akan datang.

PELUANG UNTUK WAWASAN Seperti dibahas di seluruh bab ini, TI sangat penting untuk keberhasilan
organisasi. Fungsi audit internal dapat menyediakan layanan konsultasi yang membantu mengelola
transaksi dengan risiko TI saat muncul. Tampilan 7.6 menjelaskan 10 peluang untuk fungsi audit internal
untuk memberikan wawasan tentang risiko dan kontrol TI. RINGKASAN Dampak luas IT terhadap strategi
organisasi, sistem informasi, dan proses telah secara signifikan memengaruhi profesi audit internal, dan
bab ini membahas konsep-konsep mendasar TI yang perlu dipahami oleh setiap auditor internal: • Enam
komponen kunci dari sistem informasi modern - perangkat keras komputer, jaringan, perangkat lunak
komputer, database, informasi, dan orang-orang dijelaskan dan diilustrasikan. Peluang yang
dimungkinkan oleh TI dan risiko yang timbul sebagai akibat dari TI dibahas. Peluang yang dimungkinkan
oleh TI mencakup hal-hal seperti penjualan online, integrasi antara mitra dagang. Jenis risiko yang
umum terjadi di seluruh organisasi dan industri meliputi: • Seleksi. proses bisnis, dan pertukaran
informasi elektronik • Pengembangan / akuisisi dan penyebaran. . Ketersediaan. Perangkat keras
Perangkat Lunak. . Mengakses. . Keandalan sistem dan integritas informasi. . Kerahasiaan dan privasi.
• Penipuan tindakan jahat. • Tata kelola TI diidentifikasi sebagai subkomponen penting tata kelola secara
keseluruhan; Manajemen risiko TI dijelaskan dalam konteks komponen ERM COSO; dan kontrol TI
disajikan sebagai hierarki top-down dari tata kelola, manajemen, dan kontrol teknis TI. • Implikasi TI
untuk auditor internal ditangani. Fungsi audit internal perlu memahami informasi organisasi mereka dan
risiko TI yang mengancam pencapaian tujuan bisnis organisasi mereka. Mereka juga harus mahir dalam
menilai tata kelola TI, manajemen risiko, dan proses kontrol organisasi mereka dan dapat menerapkan
teknik berbasis teknologi secara efektif. • Sumber pedoman audit TI diidentifikasi. Dua komponen kunci
dari badan yang semakin berkembang dari pedoman audit TI IIA adalah Panduan Praktek GTAGS dan
GAIT. Panduan lain yang tersedia melalui HA mencakup banyak sumber daya yang dapat dibeli melalui
Toko Buku The IIA Research Foundation dan, untuk tren dan praktik terkini, diunduh dari bagian ITAudit
dari Internal Auditor Online. Singkatnya, TI telah secara signifikan mengubah kompetensi yang harus
dimiliki auditor internal dan bagaimana mereka melakukan pekerjaan mereka. Kapasitas fungsi audit
internal untuk memberikan jaminan pertambahan nilai dan layanan konsultasi sangat tergantung pada
keahlian IT-nya. Semua auditor internal harus memiliki dasar pengetahuan dan keterampilan teknologi.
Ini termasuk sistem kertas kerja otomatis, CAATS, dan terminologi TI. Fungsi audit internal dapat
memberikan wawasan tentang bagaimana organisasi dapat memanfaatkan kemajuan TI terbaik.