Anda di halaman 1dari 22

Kelompok Resume Chapter 7

Adi Hartanto C11179043


Adi Arif Hidayat C11189047
Dena Meihadi C11170024
Hasbi Ahsanudin C11170019
Muhamamad Fikri Nur’alam C11170004
Rakhdian Syaban C10120036

Point 1
A. Cyber security
yaitu terdiri dari teknologi, proses dan kontrol yang dirancang untuk melindungi sebuah sistem,
Jaringan, program, perangkat dan data dari serangan Cyber. Keamanan Cyber yang efektif mengurangi
risiko serangan Cyber dan melindungi terhadap eksploitasi sistem, Jaringan, dan teknologi yang tidak
sah.

Pengendaliannya untuk melindungi dari serangan keamanan cyber strategi yang paling
efektif untuk mengurangi dan meminimalkan efek dari serangan cyber adalah untuk
membangun landasan yang kokoh yang di atasnya untuk tumbuh tumpukan teknologi
keamanan Cyber. Sebuah yayasan Keamanan cyber yang solid akan mengidentifikasi
kesenjangan ini dan mengusulkan tindakan yang tepat untuk mengambil untuk
mengurangi risiko serangan,memungkinkan untuk membangun strategi keamanan
Cyber yang kuat.

B. Peran dan risiko sosial media


 Peran Sosial Media
Peran media sosial adalah Kehadiran media sosial termasuk situs
jejaring sosial memudahkan bagi penggunanya untuk menyebarluaskan berita,
informasi, dan lain sebagainya kepada pengguna lainnya. Hal ini dapat
dimanfaatkan oleh pengguna untuk membangun dan mengembangkan
jejaring sosial tidak hanya di dunia maya melainkan juga di dunia nyata.
 Risiko Sosial Media
- Risiko baru yang tengah berkembang di era kemajuan teknologi saat ini,
yaitu kebocoran terhadap data pribadi tersebut dan potensi digunakan oleh
penjahat dunia maya untuk melakukan kegiatan penipuan.
- Terlalu banyak berbagi di media sosial memudahkan penjahat siber untuk
mendeskripsikan diri Anda dengan lebih akurat
- Media sosial dapat membuat anak anak dan remaja menjadi lalai dan juga
tidak bisa membagi waktu karna terlalu asik dengan dunia maya.
- Risiko sosial media, orang yang sering menggunakan sosial media didalam
hidupnya akan susah bersosialisasi dengan orang sekitar karna penggunaan
media sosial membuat malas para pengguna untuk berkomunikasi dengan
lingkungan sekitar.

C. Keahlian sistem informasi yang harus dimiliki oleh auditor


Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui
berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi
bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis.
Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga
dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk
menganalisa data, misalnya saja data transaksi  penjualan, pembelian, transaksi aktivitas
persediaan, aktivitas nasabah, dan lain-lain.

POINT 2
a. Perangkat Keras (Hardware)

adalah semua bagian fisik komputer, dan dibedakan dengan data yang berada di
dalamnya atau yang beroperasi di dalamnya, dan dibedakan dengan perangkat lunak
(software) yang menyediakan instruksi untuk perangkat keras dalam menyelesaikan
tugasnya. Berdasarkan fungsinya, perangkat keras dibagi menjadi :

Input Device (Unit Masukan)


Unit ini berfungsi sebagai media untuk memasukkan data dari luar ke dalam suatu
memori dan processor untuk diolah guna menghasilkan informasi yang diperlukan.
 keyboard
 mouse
 touchpad
 light pen
 joystick

Process Device (Unit Pemrosesan)


Otak sebuah komputer berada pada unit pemrosesan (process device). Unit ini
dinamakan CPU (Central Processing Unit). Fungsi CPU adalah sebagai pemroses dan
pengolah data yang selanjutnya dapat menghasilkan suatu informasi yang
diperlukan. Pada komputer mikro unit pemrosesan ini disebut dengan micro-
processor (pemroses mikro) atau processor yang berbentuk chip yang terdiri dari
ribuan sampai jutaan IC.

 power supply (PSU)


 random access memory (RAM)
 kartu grafis (VGA)
 prosesor
 motherboard

Ouput Device (Unit Keluaran)


Unit ini merupakan peralatan yang berfungsi untuk mengeluarkan hasil pemrosesan
atau pun pengolahan data yang berasal dari CPU kedalam suatu media yang dapat
dibaca oleh manusia atau pun dapat digunakan untuk penyimpanan data hasil
proses. Hasil pemrosesan tersebut dapat digolongkan menjadi empat bentuk, yaitu
tulisan (huruf, angka, simbol, khusus), image (dalam bentik grafis atau
gambar), suara, dan bentuk lainnya yang dapat dibaca oleh mesin (machine-readable
from). Tiga golongan pertama adalah output yang dapat digunakan langsung oleh
manusia, sedangkan golongan terkahir biasanya digunakan sebagai input untuk
proses selanjutnya dari komputer.

 monitor
 printer
 speaker

Backing Storage (Unit Penyimpanan)


Unit ini biasa juga disebut memory yang merupakan suatu tempat penyimpanan atau
penampung data dan program. Dapat juga dikatakan sebagai Electronic Filing Cabinet
pada sistem komputer. Penyimpanan cadangan merupakan penyimpanan semua
informasi non-aktif di dalam komputer. Ada dua jenis utama alat penyimpanan
cadangan, yaitu : Serial Accsess, contohnya tape drive. Kemudian Direct Access,
contohnya disk magnetis, yaitu harddisk, floppy disk (diskette) yang sudah jarang
sekali dipakai saat ini, CD/DVD ROM.

 tape driver
 magnetic tape
 harddisk (HDD)

Periferal (Unite Tambahan)


Unit ini adalah hardware tambahan yang disambungkan ke komputer, biasanya
dengan bantuan kabel atau pun sekarang sudah banyak perangkat peripheral
wireless. Unit ini bertugas membantu komputer menyelesaikan tugas yang tidak
dapat dilakukan oleh hardware yang sudah terpasang didalam casing.

 modem
 sound card
 optical disc drive
 uninterruptable power supply (UPS)

b. Perangkat Lunak (Software)

adalah istilah khusus untuk data yang diformat, dan disimpan secara digital, termasuk
program komputer, dokumentasinya, dan berbagai informasi yang bisa dibaca, dan
ditulis oleh komputer. Dengan kata lain, bagian sistem komputer yang tidak
terwujud. Perangkat lunak ini dibagi menjadi tiga golongan, yaitu :
Sistem Operasi
Software sistem operasi merupakan suatu software kompleks yang mempunyai
banyak fungsi. Fungsi yang pertama adalah untuk mengatur semua perangkat keras
komputer yang terhubung dengan CPU. Fungsi kedua adalah menerjemahkan segala
aktivitas pemakai kepada CPU agar segala yang diperintahkan oleh pemakai dapat
dikerjakan oleh CPU. Fungsi yang ketiga adalah mengatur semua proses yang terjadi
di dalam CPU. Sistem operasi juga berfungsi sebagai tempat atau platform untuk
menjalankan suatu software aplikasi. Saat ini sudah terdapat berbagai jenis software
sistem operasi yang dapat kamu gunakan, di antaranya :

 Microsoft Windows (Windows 98, Windows 2000, Windows XP, dan Windows Vista)
 Linux (Mandrake, Ubuntu, dan Red hat)

Bahasa Pemrograman
Bahasa pemrograman (programming language) adalah perangkat lunak yang
digunakan untuk merancang atau membuat program sesuai dengan struktur dan
metode yang dimiliki oleh bahasa program itu sendiri. Berdasarkan tingkatannya,
bahasa pemrograman dibagi menjadi tiga, yaitu :

Bahasa pemrograman tingkat rendah (low level language), bahasa pemrograman jenis ini
sangat sulit dimengerti karena instruksinya menggunakan bahasa mesin. Biasanya
yang mengerti hanya pembuatnya saja karena isi programnya berupa kode-kode
mesin.

Bahasa pemrograman tingkat menengah (middle level language), bahasa pemrograman jenis
ini penggunaan instruksinya sudah mendekati bahasa sehari-hari. Walaupun begitu
bahasanya masih sulit untuk dimengerti. Yang tergolong ke dalam bahasa
pemrograman tingkat menengah adalah Assembler.

Bahasa pemrograman tingkat tinggi (high level language), bahasa pemrograman ini lebih ter-
struktur dan mudah dimengerti karena menggunakan bahasa sehari-hari. Contoh
bahasa pemrograman tingkat tinggi adalah Basic, Pascal, Delphi, Visual Studio, C, C +
+, ADA, Java, dan lain sebagainya.

Program Aplikasi
Program aplikasi merupakan software yang mempunyai fungsi khusus sesuai dengan
tujuan pembuatnya. Program aplikasi merupakan software yang banyak digunakan
untuk membantu menyelesaikan tugas tertentu, seperti untuk membuat
surat, mendengarkan musik, menonton VCD, menghitung sejumlah angka, dan masih
banyak lagi. Berdasarkan fungsinya, program aplikasi dibedakan menjadi beberapa
macam, diantaranya adalah :

 program aplikasi pengolah kata


 program aplikasi pengolah angka
 program aplikasi pengolah grafis
 program aplikasi pembuat presentasi
 program aplikasi multimedia

Risiko Sistem Informasi Modern


Kegunaan sistem informasi modern dalam mendukung proses bisnis organisasi semakin
nyata dan meluas. Sistem informasi modern membuat proses bisnis suatu organisasi
menjadi lebih efisien dan efektif dalam mencapai tujuan. Sistem informasi modern bahkan
menjadi key-enabler (kunci pemungkin) proses bisnis organisasi dalam memberikan manfaat
bagi stakeholders. Maka dari itu, semakin banyak organisasi, baik yang berorientasi profit
maupun yang tidak, mengandalkan sistem informasi modern untuk berbagai tujuan. Di lain
pihak, seiring makin meluasnya implementasi sistem informasi maka kesadaran akan
perlunya dilakukan review atas pengembangan suatu sistem informasi modern semakin
meningkat. Kesadaran ini muncul karena munculnya berbagai kasus yang terkait dengan
gagalnya sistem informasi modern, sehingga memberikan akibat yang sangat mempengaruhi
kinerja organisasi.
Terdapat beberapa resiko yang mungkin ditimbulkan sebagai akibat dari gagalnya
pengembangan suatu sistem informasi, antara lain:

1. Sistem informasi yang dikembangkan tidak sesuai dengan kebutuhan organisasi.


2. Melonjaknya biaya pengembangan sistem informasi karena adanya “scope creep”
(atau pengembangan berlebihan) yang tanpa terkendali.
3. Sistem informasi yang dikembangkan tidak dapat meningkatkan kinerja organisas

Adapun contoh risiko sistem informasi modern ( SOFTWARE)


 Biaya license software
Jika Anda memilih untuk berinvestasi dalam Sistem ERP tradisional (server local),
Anda akan menemui biaya tambahan diluar biaya investasi software ERP, yaitu
biaya lisensi software pendukung. Software pendukung misalnya software sistem
operasi server, software database hingga software anti virus
 Biaya Implementasi dan Maintenance

Investasi Software ERP merupakan suatu investasi yang memakan biaya cukup
signifikan bagi perusahaan. Perlu diingat, agar Sistem ERP berjalan dengan lancer
maka diperlukan training bagi staff, proses migrasi data dari Sistem lama ke Sistem
ERP baru

POINT 3
Risiko Teknologi Informasi
Dengan diterapkan Teknologi Informasi dengan pemakaian komputer, banyak risiko
dalam sistem manual dapat dikurangi dan dalam beberapa kasus malah dihilangkan. Namun
akan menciptakan risiko baru yang spesifik pada system Teknologi Informasi yang selanjutnya
dapat menimbulkan kerugian yang besar jika diabaikan. Jika sistem Teknologi Informasi gagal,
organisasi dapat lumpuh karena tidak mampu mendapatkan kembali informasi atau
menggunakan informasi yang tidak andal karena kesalahan pemrosesan. Risiko ini
meningkatkan kemungkinan salah saji yang material dalam laporan keuangan.
Risiko khusus pada sistem Teknologi Informasi meliputi : risiko pada perangkat keras dan
data, jejak audit yang berkurang dan kebutuhan akan pengalaman Teknologi Informasi dan
pemisahan tugas Teknologi Informasi. Meskipun Teknologi Informasi memberikan manfaat
pemrosesan yang signifikan, hal itu juga menciptakan risiko yang unik dalam melindungi
perangkat keras dan data, termasuk potensi munculnya jenis kesalahan baru. Setiap komponen
kunci dari sistem informasi merupakan sumber potensial dari risiko. Sebagai contoh :

1. Hardware komputer rentan terhadap pemadaman listrik


2. Jaringan mengirimkan informasi yang dapat disadap dan dicuri atau disalahgunakan
3. Perangkat lunak komputer yang tidak akurat diprogram dapat menghasilkan informasi yang
tidak akurat
4. Database dapat digunakan untuk tujuan menggelapkan atau menyalahgunakan informasi
5. Kegagalan hardware/software dapat menyebabkan gangguan usaha
6. Resiko Access.
7. Kehilangan data
8. Ketergantungan pada berfungsinya perangkat keras dan lunak

Dampak Teknologi Informasi terhadap Proses Audit

Penggunaan TI dapat meningkatkan pengendalian internal dengan menambahkan


prosedur pengendalian baru yang dilakukan oleh komputer, dan dengan mengganti
pengendalian manual yang dapat terpengaruh oleh kesalahan manusia. Tetapi auditor tidak
tidak dapat bergantung pada informasi hanya karena dihasilkan oleh komputer.

Pengaruh Teknologi Informasi dalam Meningkatkan Pengendalian Internal


Beberapa perubahan pengendalian internal yang diakibatkan oleh pengintegritasan TI dalam
sistem akuntansi:
Pengendalian komputer menggantikan pengendalian manual. Manfaat nyata dari TI adalah
kemampuannya untuk menangani seumlah besar transaksi bisnis yang rumit secara murah.
Tersedianya informasi yang bermutu tinggi. Aktivitas TI yang kompleks biasanya dikelola secara
efektif karena kerumitan itu memerlukan organisasi, prosedur, dan dokumentasi yang efektif.
Menilai Resiko Teknologi Informasi
Selain dapat meningkatkan pengendalian internal perusahaan, TI juga dapat mempengaruhi
resiko pengendalian perusahaan secara keseluruhan. Jika sistem TI gagal, orgnisasi dapat
lumpuh karena tidak mampu mendapatkan kembali informasi atau menggunakan informasi
yang tidak andal karena kesalahan pemrosesan. Resiko khusus pada sistem TI meliputi:
Resiko pada perangkat keras dan data
Jejak audit yang berkurang
Kebutuhan akan pengalaman TI dan pemisahan tugas TI

Meskipun TI memberikan maanfaat yang signifikan, TI menciptakan resiko yang unik dalam
melindungi perangkat keras termasuk memunculkan jenis kesalahan baru.
Resiko ini meliputi:
Ketergantungan pada kemampuan berfungsinya perangkat keras dan lunak.
Kesalahan sistematis vs kesalahan acak.
Akses yang tidak sah.
Hilangnya data.
Salah saji mungkin tidak terdeteksi dengan menungkatnya penggunaan TI akibat hilangnya jejak
audit yang nyata, termasuk berkurangnya keterlibatan manusia. Komputer juga menggantikan
jenis otorisasi tradisional dalam banyak sistem TI, antar lain:
Visitabilitas jejak audit
Keterlibatan manusia yang berkurang
Tidak adanya otorisasi tradisional
Sistem TI mengurangi pemisahan tugas tradisional (otorisasi, pembukuan, dan penyimpanan)
dan menciptakan kebutuhan akan pengalaman TI tambahan.
Pemisaha tugas yang berkurang
Kebutuhan akan pengalaman TI
Pengendalian Internal Khusus atas TI
Pengendalian umum (general controls) diterapkan pada semua aspek fungsi TI, termasuk
administrasi TI, pemisahan tugas TI, pengembangan sistem, keamanan fisik dan online atas
akses ke perangkat keras, perangkat lunak, dan data terkait, backup dan perencanaan kontijensi
atas keadaan darurat yang tak terduga, serta pengendalian pengendalian perangkat keras.

Pengendalian aplikasi (application controls) berlaku bagi pemrosesan transaksi, seperti


pengendalian atas pemrosesan penjualan atau penerimaan kas.

Administrasi fungsi TI. Pengawasan, alokasi sumber daya, dan keterlibatannya dalam setiap
keputusan kunci TI memberikan isyarat tentang pentingnya TI. Dalam lingkungan yang
kompleks, manajemen dapat menetapkan komite pengendalian TI untuk membantu memantau
kebutuhan teknologi organisasi.

Fungsi tugas-tugas TI. Sebagai respons terhadap resiko menggabungkan tanggungjawab


penyimpanan tradisional, otorisasi, dan administrasi ke dalam fungsi TI, organisasi yang
dikendalikan dengan baik memisahkan tugas-tugas kunci dalam TI. Idealnya tanggung jawab
atas manajemen TI, pengembangan sistem, operasi, dan pengendalian data harus dipisahkan
sebagai berikut:

Manajemen TI. CIO/manajer TI harus bertanggung jawab mengawasi fungsi TI guna memastikan
bahwa aktivitasnya telah dilaksanakan sejalan dengan rencana strategis TI.
Pengembangan sistem. Analisis sistem yang bertanggung jawab atas keseluruhan perancangan
setiap sistem aplikasi, mengkoordinasikan pengembangan dan peralihan ke sistem TI oleh
personil TI yang bertanggung jawab memrogram aplikasi, serta personil di luar fungsi TI yang
merupakan para pemakai utama sistem itu.
Operator komputer bertanggung jawab atas operasi komputer sehari-hari sesuai dengan skedul
yang ditetapkan oleh CIO.
Pengendalian data. Personil pengendalian input/output data secara independen memverifikasi
mutu input dan kelayakan output. Pengendalian perangkat keras (hardware controls) sudah
dipasang dalam peralatan komputer oleh pabrik pembuatannya untuk mendeteksi dan
melaporkan kegagalan peralatan. Pengendalian aplikasi dirancang untuk setiap aplikasi
perangkat lunak dan dimaksudkan untuk membantu perusahaan memenuhi enam tujuan audit
yang terkait dengan transaksi sebelumnya.

Pengendalian input, dirancang untuk memastikan bahwa informasi yang dimasukkan ke dalam
komputer sudah diotorisasi, akurat, dan lengkap. Pengendalian input sangat penting karena
sebagian besar kesalahan dalam sistem TI diakibatkan oleh kesalahan memasukkan data,
sehingga kesalahan input akan menimbulkan kesalahan output tanpa dipengaruhi oleh mutu
pemrosesan informasi.

Pengendalian manual yang dianggap penting dalam TI, antara lain:


Otorisasi manajemen atas transaksi
Penyiapan dokumen sumber input yang memadai
Personil yang kompeten
Sedangkan pengendalian yang spesifik untuk TI mencakup:
Layar input yang dirancang secara memadai dengan prompt yang telah diformat untuk
informasi transaksi.
Daftar menu pull-down dri opsi perangkat lunak yang tersedia.
Pengujian validasi atas keakuratan input yang dilakukan komputer, seperti validasi nomor
pelanggan terhadap file induk pelanggan.
Pengendalian input berbasis online atas aplikasi e-commerce di mana pihak eksternal, seperti
pelanggan dan pemasok, melaksanakan bagian awal dari penginputan transaksi.
Prosedur koreksi kesalahan segera, untuk memberikan pendeteksian awal dan koreksi
kesalahan input.
Akumulasi kesalahan ke dalam file kesalahan yang selanjutnya ditindaklanjuti oleh personil
input data. Pengendalian pemrosesan, mencegah dan mendeteksi kesalahan ketika data
transaksi diproses. Pengendalian pemrosesan aplikasi khusus sering diprogram ke dalam
perangkat lunak untuk mencegah, mendeteksi, mengoreksi kesalahan pemrosesan.
Pengendalian output, berfokus pada pendeteksian kesalahan setelah pemrosesan diselesaikan,
bukan pada mencegah kesalahan. Pengendalian output yang paling penting adalah riview
kelayakan data oleh seseorang yang memahami output itu. Berikut ini pengendalian umum
yang dapat mendeteksi kesalahan output:
Merekonsiliasi output yang dihasilkan komputer dengan total pengendalian manual
Membandingkan jumlah unit yang diproses dengan jumlah unit yang diserahkan untuk
pemrosesan.
Membandingkan sampel output transaksi dengan dokumen sumber input.
Memverifikasi tanggal dan waktu pemrosesan untuk mengidentifikasi setiap pemrosesan yang
tidak sesuai urutan.
Dampak TI terhadap Proses Audit
Auditor bertanggung jawab untuk memenugi pengendalian internal, mereka harus mengetahui
tentang pengendalian umum dan pengendalian aplikasi, tanpa memperhatikan apakah sistem
TI klien kompleks atau sederhana.
Permasalahan pada Lingkungan TI yang Berbeda
Masalah pada sistem jaringan
Masalah pada sistem database
Masalah pada sistem e-commerce
Masalah yang timbul ketika klien mengoutsorce TI

POINT 4
Tata Kelola TI adalah suatu cabang dari tata kelola perusahaan yang terfokus pada
Sistem/Teknologi informasi serta manajemen Kinerja dan risikonya. Tata kelola TI adalah
struktur kebijakan atau prosedur dan kumpulan proses yang bertujuan untuk memastikan
kesesuaian penerapan TI dengan dukungannya terhadap pencapaian tujuan institusi, dengan
cara mengoptimalkan keuntungan dan kesempatan yang ditawarkan TI, mengendalikan
penggunaan terhadap sumber daya TI dan mengelola resiko-resiko terkait TI.

Kerangka Tata Kelola TI/Struktur

IT Governance terdiri dari struktur organisasi, kepemimpinan, dan proses yang


memastikan IT dapat mendukung strategi dan tujuan organisasi. Ada 5 komponen dari IT
Governance yaitu Struktur Organisasi dan Governance, Kepemimpinan dan Dukungan Eksekutif,
Perencanaan strategis dan opresional, Penyampaian Service dan pengukuran, Organisasi IT dan
Manajemen Resiko.

Audit Tata Kelola TI

IT Governance atau tata kelola TI berfokus pada TI, performa TI dan manajemen resiko.
Tata Kelola IT ini termasuk memproses dan mengkombinasi kontrol-kontrol yang membantu
organisasi lebih baik mengatur lingkungan TI dan menyeimbangkan keseluruhan profil resiko TI
dan tujuan organisasi.

IT Governance berfungsi untuk memastikan tujuan IT ditemukan dan resiko IT dapat


dimitigasi sehingga IT dapat menghasilkan value untuk bertahan dan bertumbuh pada
organisasi. Selain itu, IT Governance juga membantu meningkatkan kemampuan perusahaan
untuk mencapai keseluruhan capaian dan tujuan perusahaan. Oleh karena itu, seluruh
stakeholder harus berpatisipasi dalam pengambilan keputusannya.

IT Governance atau tata kelola TI berfokus pada TI, performa TI dan manajemen resiko.
Tata Kelola IT ini termasuk memproses dan mengkombinasi kontrol-kontrol yang membantu
organisasi lebih baik mengatur lingkungan TI dan menyeimbangkan keseluruhan profil resiko TI
dan tujuan organisasi.

IT Governance berfungsi untuk memastikan tujuan IT ditemukan dan resiko IT dapat


dimitigasi sehingga IT dapat menghasilkan value untuk bertahan dan bertumbuh pada
organisasi. Selain itu, IT Governance juga membantu meningkatkan kemampuan perusahaan
untuk mencapai keseluruhan capaian dan tujuan perusahaan. Oleh karena itu, seluruh
stakeholder harus berpatisipasi dalam pengambilan keputusannya. Gambar dibawah ini akan
menjelaskan peran stakeholder, IT, dan IT Governance itu sendiri.

IT Governance terdiri dari struktur organisasi, kepemimpinan, dan proses yang


memastikan IT dapat mendukung strategi dan tujuan organisasi. Ada 5 komponen dari IT
Governance yaitu Struktur Organisasi dan Governance, Kepemimpinan dan Dukungan Eksekutif,
Perencanaan strategis dan opresional, Penyampaian Service dan pengukuran, Organisasi IT dan
Manajemen Resiko. Gambar berikut merupakan diagram penggambaran dari kelima komponen
tersebut.

Karena hubungan yang erat antara struktur organisasi dan IT Governance, maka IT
Governance sendiri memiliki keuntungan dan kelebihan pada masing-masing jenis struktur
organisasi. Ada dua jenis struktur organisasi, centralize dan decentralize.

Kekurangan IT Governance pada struktur organisasi decentralize.

 Cost yang tinggi


 Kompetisi IT yang lebih bervariasi
 Integrasi yang buruk
 Standarisasi yang kurang
 Sinergi yang sedikit

Kelebihan IT Governance pada struktur organisasi decentralize.

 Meningkatkan kepemilikan
 Lebih responsive terhadap perbedaan kebutuhan
 Lebih ada kontrol untuk prioritas

Kelebihan IT Governance pada struktur organisasi centralize.

 Lebih ada standarisasi


 Menambah skala ekonomi dan infrastruktur
Kekurangan IT Governance pada struktur organisasi centralize.

 Tidak responsive terhadap perbedaan kebutuhan


 Tidak ada Kepemilikan unit bisnis
 Tidak sejalan dengan bisnis
 Waktu yang lebih lama untuk ke market

POINT 5
MANAJEMEN RISIKO IT
Definisi
IT Risk Management (Manajemen Resiko Teknologi Informasi) adalah suatu proses
identifikasi kerentanan dan ancaman terhadap sumber daya informasi yang digunakan oleh
sebuah organisasi dan dilakukan oleh manajer IT untuk mencapai tujuan bisnis,mengurangi
resiko, dan menyeimbangkan pengeluaran dalam mencapai keuntungan dan melindungi IT.

Manajemen Resiko IT sebagai bagian dari Manajemen Resiko Perusahaan


Beberapa organisasi memiliki sebuah Manajemen Resiko Perusahaan (Enterprise Risk
Management/ERM). Ada empat kategori, menurut Committee of Sponsoring Organization of
Treadway Commission(COSO), yaitu:
 Strategi
 Operasi/pengerjaan
 Laporan Pengeluaran
 Pemenuhan/Penyesuian

Proses Managemen Resiko IT

 Mengidentifikasi Resiko
Perusahaan mengungkap, mengenali dan menggambarkan resiko yang mungkin
mempengaruhi proyek.
 Menganalisis Resiko
Ketika resiko sudah di - identifikasi, perusahaan menentukan kemungkinan dan
konsekuensi dari setiap resiko yang ada. Perusahaan lalu mengembangkan sebuah
pemahaman tentang sifat resiko dan potensi untuk mempengaruhi tujuan dan
sasaran proyek .
 Mengevaluasi Resiko
Perusahaan mengevalusi resiko dengan menentukan besarnya resiko, yang
merupakan kombinasi dari kemungkinan dan konsekuensi. Lalu Perusahaan
membuat keputusan apakah resiko itu diterima atau tidak.
 Memantau dan Mempertimbangkan Resiko
Ini adalah tahap dimana perusahaan memantau setiap resiko yang ada untuk
menghindari resiko yang lebih besar.

Fungsi Manajemen Resiko IT


 Memberikan panduan untuk membantu para eksekutif dan manajemen mengajukan
pertanyaan kunci, membuat lebih baik, keputusan risiko-disesuaikan lebih banyak
informasi dan membimbing perusahaan mereka sehingga risiko dikelola secara efektif

 Membantu menghemat waktu, biaya dan tenaga dengan alat untuk mengatasi risiko
bisnis
 Mengintegrasikan manajemen TI terkait risiko bisnis menjadi manajemen risiko
perusahaan secara keseluruhan

 Membantu kepemimpinan memahami risiko perusahaan dan toleransi risiko

 Memberikan panduan praktis didorong oleh kebutuhan kepemimpinan perusahaan di


seluruh dunia

Contoh Manajemen Risiko


Contoh risiko, ancaman, bahaya atau hambatan dalam suatu perusahaan yaitu :

 Pesaing meluncurkan produk baru,


 Perubahan teknologi menyebabkan jasa atau produk tidak laku,
 Manajer andalan tiba-tiba mengundurkan diri sebagai karyawan,
 Formula rahasia dicuri dan dijual oleh karyawan kepada pesaing,
 KKN menggerus laba dan membuat perusahaan keropos.
Pengendalian Tata Kelola TI

Meskipun semua masalah tata kelola TI penting bagi organisasi, tetapi tidak semua
pengendalian internal di bawah SOX berpotensi mempengaruhi proses pelaporan keuangan.
Dalam bab ini, kita mempertimbangkan tiga isu tata kelola TI yang ditangani oleh rerangka kerja
pengendalian internal SOX dan COSO:

1.       Struktur organisasi dari fungsi TI


2.       Pusat operasi Komputer
3.       Perencanaan pemulihan bencana
contoh
COSO: Model ini digunakan untuk mengevaluasi pengendalian internal dari Committee of
Sponsoring Organizations of the Treadway Commission (COSO). COSO tidak hanya terfokus
pada layanan TI inilah yang membedakan COSO dengan kerangka kerja lainnya, ia lebih terfokus
pada aspek bisnis seperti manajemen risiko perusahaan (ERM) dan fraud deterrence.

PENGENDALIAN MANAJEMEN INFORMASI TEKNOLOGI

Manajemen Teknologi Informasi adalah disiplin di mana semua sumber daya teknologi


informasi dari suatu perusahaan dikelola sesuai dengan kebutuhan dan prioritasnya. Sumber
daya ini dapat mencakup investasi nyata seperti perangkat keras komputer, perangkat lunak,
data, jaringan dan fasilitas pusat data, serta staf yang dipekerjakan untuk merawatnya.
Umumnya literatur terkait manajemen teknologi informasi di kenali dengan istilah IT
Management.

Tanggung Jawab Manajemen Teknologi Informasi


Mengelola tanggung jawab ini dalam perusahaan memerlukan banyak fungsi
manajemen dasar, seperti penganggaran, kepegawaian, manajemen perubahan, dan
pengorganisasian dan pengendalian, bersama dengan aspek lain yang unik untuk teknologi,
seperti desain perangkat lunak, perencanaan jaringan, dukungan teknis, dll.

Tujuan utama Manajemen Teknologi Informasi adalah untuk menghasilkan nilai melalui


penggunaan teknologi. Untuk mencapai hal ini, strategi bisnis dan teknologi harus selaras.

CONTOH

ERP (Enterprise Resource Planning)

Sistem ERP dapat memudahkan pihak manajemen untuk melakukan pengawasan dan
pengelolaan terhadap semua unit atau departemen yang ada dalam sebuah perusahaan. Mulai
dari bidang keuangan, accounting, pemasaran, sampai sumber daya manusia, operasional dan
pengelolaan suplai. Dengan demikian pengawasan dapat dilakukan dengan lebih efektif dan
efisien waktu.

PENGENDALIAN TEKNIK TEKNOLOGI INFORMASI

Pengendalian teknik meliputi sistem dan proses yang bertujuan untuk :


 meminimalisir kemunculan risiko
 memperkecil atau membatasi risiko yang terjadi

Contoh :
- Memastikan pem-backup-an yang bersih

- Memiliki rencana terdokumentasi tentang pemulihan infeksi virus.

- Menjalankan program antivirus untuk menghilangkan virus dan program yang tertular.

POINT 6

a. Implikasi terhadap auditor internal


Implikasi Teknologi Informasi Untuk Auditor Internal Teknologi Informasi telah
mengubah cara di mana organisasi merumuskan strategi, melakukan operasi sehari-hari, dan
membuat keputusan. Perubahan ini telah menghasilkan risiko baru dan memaksa organisasi
untuk memodifikasi proses tata kelola, manajemen risiko, dan kontrol mereka. Dampak
meresap Teknologi Informasi di organisasi pada gilirannya memaksa auditor internal untuk
meningkatkan pengetahuan Teknologi Informasi dan keterampilan dan menyesuaikan
bagaimana mereka melakukan pekerjaan mereka.
Peluang profesional yang memiliki keterampilan auditing dan atestasi meningkat secara
pesat dengan adanya Teknologi Informasi yang berdampak sangat luas terhadap sistem laporan
keuangan. Di masa depan auditor dapat memberikan keyakinan yang terus menerus atas
sekumpulan informasi keuangan maupun non keuangan secara tepat waktu. Secara khusus
Proyek Visi CPA menjadi penting dalam pembahasan tentang nilai-nilai inti dan kompetensi
yang akan menunjang profesi auditor serta CPA dan lainnya di masa depan. Kompetensi ini
membuka peluang bagi lingkup luas assurance service seiring dengan pertumbuhan
permintaan.
Sebagai contoh, tujuan pengendalian pengolahan data yang akurat dalam suatu
lingkungan manual maupun lingkungan yang dikomputerisasi adalah sama. Akan tetapi, dalam
suatu lingkungan yang dikomputerisasi harus diterapkan pengendalian-pengendalian untuk
mengurangi risiko pengulangan kesalahan untuk memastikan bahwa data yang dihasilkan
benarbenar akurat. Perubahan dalam metode pengendalian dan pengolahan ini menimbulkan
metode baru dalam audit. Para auditor menggunakan software khusus yang didesain untuk
mereka gunakan dalam melaksanakan audit aplikasi-aplikasi yang dikomputerisasi. Ini
merupakan software yang diperlukan untuk menyaring data dari file komputer.
b. Kecermatan Profesi dan Kecakapan TI
Auditor internal didesak untuk membantu manajemen dan komite audit dalam menilai
keahlian TI organisasi, meningkatkan risiko TI yang lebih besar keterlibatan pada bagian komite
audit dan auditor eksternal, membantu manajemen dan komite audit dalam mengidentifikasi
kesenjangan atau tumpang tindih dalam cakupan risiko TI dan mendorong organisasi untuk
mengeksplorasi risiko perusahaan teknik manajemen (ERM) untuk menangani IT dan lainnya
risiko di tingkat perusahaan.
Dua standar khusus atribut auditor internal dalam menangani pelaksanaan kemampuan
Teknologi Informasi menggunakan teknik audit berbasis teknologi adalah :
1210.A3 - Auditor internal harus memiliki pengetahuan yang cukup tentang risiko teknologi
informasi, kunci dan kontrol dan teknik audit berbasis teknologi yang tersedia untuk melakukan
pekerjaan mereka. Namun, tidak semua auditor internal memiliki keahlian yang tanggung jawab
utamanya adalah teknologi informasi audit.
1220.A2 - Dalam melaksanakan perawatan profesional, auditor internal harus
mempertimbangkan penggunaan audit berbasis teknologi dan teknik analisis data lainnya.
Contoh apabila klien mempunyai aplikasi aku ntansi yang diproses dalam lingkungan jaringan,
auditor arus mempelajari konfigurasi jarngan, termasuk lokasi server komputer dan workstation
yang saling berhubungan satu sama lain, prangkat lunak jaringan yang digunakan untuk
mengelola sitem, serta pengendalian atas akses dan perubahan program aplikasi serta file data
yang ada pada server. Pengentahuan ini dapat berimplikasi bagi penilai risiko pengendalian
auditor ketika merencanakan audit laporan keuangan dan ketika menguji pengendalian dalam
audit pengendalian audit internal atas laporan keuangan.
c. Tanggung jawab Penugasan Asurans TI
Standar 1210.A3 dan 1220.A2 jelas menunjukkan bahwa semua auditor internal
menyediakan jasa asuransi membutuhkan setidaknya tingkat dasar risiko TI, kontrol, dan
keahlian audit. Wardayati (2015) : The Implementation of COSO Concept in “Vroom”
Expentancy Theory on PT. UMC Zusuki Jember menyatakan Penerapan konsep pengendalian
internal COSO dalam struktur organisasi semua perusahaan adalah jaminan yang memadai dari
prestasi dan kinerja tujuan dalam menjaga efektivitas dan efisiensi operasional perusahaan,
laporan keuangan yang memenuhi syarat yang telah memenuhi persyaratan penentuan hukum.
Pengendalian internal yang lemah menyebabkan ketidakamanan aset perusahaan, informasi
akuntansi yang luar biasa, kegiatan operasional yang tidak efektif dan tidak efisien dari
perusahaan dan non-kepatuhan terhadap sebuah kebijakan.
Selain penjelasan di atas ada standar lain yang berkaitan dengan tanggung jawab
penugasan asurans, yaitu :
1130.A2 – Penugasan asurans yang dilakukan terhadap aktivitas yang pernah menjadi tanggung
jawab Kepala Audit Internal, harus diawasi oleh pihak lain di luar aktivitas audit internal.
Contoh Assurance TI :
- Sistem manajemen database (database management system) klien membuat database
yang meliputi informasi yang dapat digunakan bersama dalam banyak aplikasi.
- Firewall melindungi data, program, dan sumber daya TI lainya dari para pemakai
ekternal yang tidak berhak yang mengakses sitem melalui jaringan, seperti internit.
- Teknik enkripsi (encryption techniques) melindungi keamanan komunikasi elektronk
ketika informasi sedang dikirimkan.
- Memahami pengendalian internal dalam sistem outsource auditor menghadapi
kesulitan dalam memahami pengendalian internal klien dalam situasi tersebut karena
banyaknya pengendalian yang ada di pusat jasa dan auditor tidak dapat mengasumsikan
bahwa pengendalian itu memadai hanya karena pusat jasa tersebut merupakan
perusahan independen.
- Ketergantungan pada auditor pusat jasa dalam tahun-tahun terakhir semakin umum
bagi pusat jasa menugaskan kantor akuntan publik dalm memahami dan menguji
pengendalian internal pusat jasa itu, serta mengeluarkan laporan untuk digunakan oleh
semua pelanggan dan auditor independen.

d. Outsourching TI
Outsource teknologi informasi adalah penggunaan/ pembelian produk atau jasa
teknologi informasi dari vendor di luar perusahaan. Dalam beberapa tahun terakhir ini banyak
perusahaan yang menawarkan outsourcing di bidang teknologi informasi. Manfaat utama dari
system outsource ini adalah pengurangan biaya tetap dan biaya operasional, perusahaan bisa
lebih focus pada bisnis utamanya serta perbaikan proses bisnis internal.
Setiap perusahaan sudah tentu memiliki target bisnis masing-masing. Juga, memiliki
kebutuhan akan Teknologi Informasi (TI) secara internal. Namun, semakin perusahaan dapat
memfokuskan perhatiannya hanya pada inti bisnisnya saja dan menyerahkan penanganan
kebutuhan TI-nya kepada pihak lain, maka perusahaan akan semakin dapat berkonsentrasi
dalam mengatur strategi dan rencana bisnisnya secara lebih matang, sehingga dapat
memenangkan persaingan yang ada.
Dengan kata lain, jika perusahaan hanya memfokuskan diri pada apa yang akan dicapai
atau ditargetkan, maka perusahaan akan lebih mudah membaca perkembangan pasar,
perubahaan pasar, ancaman dan peluang yang ada di lapangan. Hal itu, utamanya, yang paling
penting untuk disadari tentang manfaatnya perusahaan melakukan outsourcing.
Outsource adalah sistem yang dibuat atau dibeli dari vendor (Laudon ,2002 : 438). Yang
dimaksud dengan vendor adalah individu atau kelompok yang menjual produk-produk atau jasa
layanan IT kepada organisasi yang membutuhkan jasa atau produknya. Vendor sendiri dapat
dipisahkan atas 2 (dua) bagian, yaitu vendor yang membuat produk dan layanannya sendiri
disebut kontraktor, dan vendor yang hanya menjual produk dan jasa IT dari perusahaan lainnya
(reseller) disebut sebagai vendor saja (Administration for Children and Families [b], 2005).
Contoh IT outsourcing adalah:
- E-Outsourcing: Tugas dan proses yang bisa diproses secara online diberikan kepada
pihak ketiga. Berbagai disiplin pemasaran, proyek desain logo dan situs web,
pengoptimalan mesin telusur atau hosting server harus disebutkan dalam konteks ini.
- Penyedia layanan aplikasi (ASP): Aplikasi individual juga bisa di-outsource. Sistem ERP
dan CRM, aplikasi intelijen bisnis atau perangkat lunak sebagai layanan (SaaS) adalah
area yang bisa diambil alih oleh ASP.
- Komputasi awan: Ini sebenarnya adalah contoh pengalihan layanan IT, namun ada
model harga lainnya dan, dalam beberapa kasus, kondisi lebih fleksibel bagi pelanggan.
Komputasi awan dapat dikaitkan dengan layanan ASP. Salah satu kelemahannya adalah
data sensitif bisa disimpan di cloud.