Nama : Amal Yara Putri Riana

NIM :12030117130103
Mata Kuliah : Audit Internal
Kelas :D
CHAPTER 19, 20. & 21
CHAPTER 19

PRAKTIK TERBAIK ITIL®, INFRASTRUKTUR IT, DAN KONTROL

UMUM
19.1 PENTINGNYA KONTROL UMUM TI

Perubahan terjadi di tahun 1970 kompilasi terjadi equity funding fraud. Auditor eksternal
menjalankan program perangkat lunak audit mereka sendiri terhadap file-file Pendanaan
Ekuitas untuk menemukan penipuan besar-besaran dengan data yang tidak valid dicatat pada
file sistem. Sebagai akibat dari urusan Pendanaan Ekuitas, organisasi seperti Institut Akuntan
Publik Amerika (AICPA) dan Institut Auditor Internal (IIA) mulai menekankan pentingnya
meninjau kembali apa yang kemudian disebut operasi pemrosesan data dan kontrol aplikasi.
Sebuah spesialisasi profesional baru, yang disebut audit komputer, diluncurkan. Profesi mulai
memikirkan kontrol TI dalam hal kontrol dalam aplikasi spesifik dan apa yang disebut
kontrol umum atau infrastruktur, kontrol yang menyebar di sekitar semua operasi sistem
informasi. Kontrol umum atau infrastruktur mencakup semua operasi TI dan mencakup:
■ Keandalan pemrosesan sistem informasi.
■ Integritas data.
■ Integritas program.
■ Kontrol terhadap pengembangan dan implementasi sistem yang tepat.
 ■ Kelanjutan pemrosesan.

19.2 SERI KLIEN DAN SISTEM KECIL UMUM KONTROL TI

perubahan teknologi telah memperkenalkan perbedaan signifikan dalam prosedur kontrol dan
dalam masalah audit internal terkait. Sistem kecil dapat diimplementasikan dalam berbagai
cara, tergantung pada konfigurasi sistem dan ukuran perusahaan. Auditor internal harus dapat
mengenali perbedaan-perbedaan ini dan mengembangkan yang sesuai prosedur kontrol
internal umum untuk meninjau kontrol umum mereka. Bab ini akan membahas kontrol umum
ini dalam hal sistem TI bisnis kecil, sistem Internet dan jaringan, dan sistem server-klien,
serta sistem besar klasik.

Sistem komputer bisnis kecil memberikan dukungan TI total untuk fungsi atau unit bisnis
kecil; sistem ini juga dapat mendukung fungsi komputasi unit atau departemen dalam
perusahaan yang lebih besar dalam mendukung sumber daya sistem komputer pusat.Audit
internal akan sering menemukan mesin kontrol khusus di banyak bidang operasi perusahaan.
Jika sistem TI terletak di fasilitas yang aman, memiliki sistem operasi multitask, atau
memiliki staf pendukung aplikasi yang relatif besar, audit internal mungkin harus
menganggapnya sebagai sistem komputer "besar" untuk keperluan perencanaan audit dan
harus meninjau sesuai prosedur kontrol umum sistem yang besar. Audit internal akan sering
bekerja di lingkungan di mana hanya sistem bisnis kecil digunakan, terutama ketika
perusahaan relatif kecil. Contohnya adalah perusahaan nirlaba yang hanya membutuhkan
sistem server dan sistem desktop untuk mendukung pengiriman surat langsung dan aplikasi
terkait akuntansi terbatas. Jenis sistem bisnis kecil ini umumnya akan memiliki karakteristik
umum berikut:

■■ Staf TI terbatas.
Sistem komputer bisnis kecil, apakah sistem desktop tunggal atau serangkaian unit nirkabel
yang terhubung ke server lokal atau berbasis cloud, akan memiliki staf IT khusus yang sangat
terbatas, jika ada. ukuran staf yang kecil tidak dengan sendirinya menciptakan masalah
pengendalian internal. Audit internal harus dapat mencari kontrol kompensasi seperti halnya
ketika meninjau departemen akuntansi kecil di mana pemisahan tugas yang klasik kurang.
■■ Kemampuan pemrograman terbatas.
Sistem komputer bisnis kecil yang khas membuat penggunaan ekstensif paket perangkat
lunak yang dibeli. Satu-satunya "pemrograman" tanggung jawab perusahaan mungkin untuk
memuat program pembaruan untuk paket perangkat lunak yang dibeli, memelihara tabel
parameter sistem, dan menulis program pencarian sederhana.
■ Kontrol lingkungan yang terbatas.
Sistem bisnis kecil umumnya dapat dicolokkan ke sistem daya normal dan beroperasi dalam
kisaran suhu yang cukup luas. Karena persyaratan yang terbatas ini, kadang-kadang dipasang
tanpa kontrol lingkungan yang penting dan mudah diinstal seperti drive cadangan, sistem catu
daya berbasis baterai yang tidak terputus sistem, atau pelindung lonjakan daya listrik.
■ Kontrol keamanan fisik yang terbatas.
Karena kurangnya kebutuhan untuk pengendalian lingkungan, sistem ini sering dipasang
langsung di area kantor. Tingkat kekhawatiran auditor mengenai kontrol keamanan fisik
tergantung pada jenis peralatan dan aplikasi yang diproses.
Karakteristik ini tentu saja tidak mendefinisikan sistem komputer bisnis kecil, tetapi hanya
menjelaskan beberapa atribut umumnya. Namun, mereka harus membantu audit internal
untuk lebih baik memutuskan prosedur pengendalian yang akan digunakan.

19.3 SISTEM KOMPUTER KLIEN-SERVER

Istilah client-server pertama kali muncul dalam literatur IT pada akhir 1980-an. Untuk
spesialis non-IT ini adalah salah satu istilah IT khusus yang sering sulit dipahami, apalagi
dijelaskan. Dalam lingkungan jaringan lokal, misalnya, setiap workstation adalah klien, dan
prosesor terpusat, yang berisi file bersama bersama dan sumber daya lainnya, disebut server.
Tampilan 19.1 menunjukkan konfigurasi sampel sistem server-klien di mana server tunggal
menangani permintaan dari banyak klien di seluruh jaringan. Konfigurasi klien-server ini,
meskipun sangat umum, mewakili sistem TI yang khas saat ini.
Sistem ini dapat digunakan untuk kontrol proses, pekerjaan desain otomatis, pemrosesan
analisis statistik, atau banyak aplikasi lainnya. Beberapa benar-benar didedikasikan untuk
aplikasi spesifik, sementara yang lain dapat digunakan untuk berbagai tugas dalam fungsi
yang ditugaskan mereka. Sistem ini sering ditemukan di lingkungan jaminan kualitas.
Sebelum mencoba meninjau sistem komputer yang khusus seperti itu, audit internal harus
memahami secara mendalam fungsi-fungsi operasi itu. Ulasan sistem TI khusus tidak
direkomendasikan untuk auditor internal yang kurang berpengalaman. Untuk menemukan
analogi kontrol dari situasi TI bisnis normal dan menerjemahkannya ke lingkungan kontrol
khusus, auditor harus cukup berpengalaman dalam meninjau pusat-pusat komputer IT bisnis,
apakah itu operasi besar atau kecil. Seiring waktu, audit internal akan menemui lebih banyak
dari operasi komputer khusus ini.

19.4 PENGOPERASIAN SISTEM KECIL KONTROL INTERNAL

Sementara tujuan kontrol TI yang baik membutuhkan pemisahan tanggung jawab yang tepat
antara pengguna dan operator, kontrol ini seringkali sulit dilakukan di departemen kecil.
Manajer yang bertanggung jawab untuk sistem server-klien kecil hari ini juga dapat menjadi
spesialis teknis utama dan mengoperasikan peralatan untuk tugas-tugas seperti pemrosesan
cadangan. Kontrol pemisahan tugas yang ditemukan di sebuah toko besar tidak ada di
lingkungan kecil ini, tetapi harus ada kontrol kompensasi, termasuk:
■■ Membeli perangkat lunak. Paket perangkat lunak yang dibeli di mana "programmer" tidak
memiliki akses atau memiliki akses yang sangat terbatas ke kode sumber.
■ Saya meningkatkan perhatian manajemen pada laporan sistem dan kegiatan konsultan.
banyak usaha kecil sangat tergantung pada bantuan manajemen konsultasi dari perusahaan
konsultan yang juga sangat kecil. Perhatian harus diberikan pada pemantauan kegiatan
konsultasi semacam itu dalam hal waktu yang dihabiskan, akses ke catatan perusahaan lain,
dan hal-hal lain.
■■ Pemisahan tugas input dan pemrosesan. Auditor internal harus mencari beberapa level
kontrol kompensasi jika memungkinkan, termasuk firewall nirkabel untuk mencegah akses ke
sistem tidak resmi terdekat lainnya.
Bahkan dengan kontrol kompensasi ini dalam sistem TI bisnis kecil modern, audit internal
juga harus menyadari potensi risiko dan kelemahan kontrol. Gejala kelemahan kontrol
lainnya di perusahaan IT kecil yang biasanya tidak ada di departemen besar meliputi:
■■ Karyawan “Setia” yang tidak mengambil cuti pribadi mereka
■■ Penggunaan program khusus dan tidak berdokumen yang hanya diketahui oleh manajer
TI
■■ Langsung keikutsertaan departemen TI dalam transaksi input sistem, seperti penyesuaian
sistem persediaan
Risiko pengendalian dapat menjadi pertimbangan utama ketika prosedur audit telah
mengidentifikasi kelemahan kontrol yang signifikan dalam sistem bisnis kecil.
19.5 AUDIT KONTROL UMUMNYA UNTUK SISTEM TI KECIL
Perusahaan sistem IT kecil sering tidak memiliki fungsi khusus lainnya. Audit internal akan
menemukan berbagai merek perangkat keras komputer atau nama produk di lingkungan
sistem yang kecil, tetapi sebagian besar akan berupa sistem terbuka dengan sistem operasi
umum yang dapat beroperasi tidak peduli merek perangkat keras apa yang digunakan.
Sejumlah vendor memasok sistem komputer sekecil itu dengan fungsionalitas dan kinerja
harga yang lebih baik, dan auditor internal akan lebih efektif dalam meninjau kontrol sistem
komputer bisnis kecil jika mereka memiliki pengetahuan keseluruhan tentang beberapa
kemampuan mereka. Terlepas dari sifat kecil dan informal dari sistem komputer bisnis kecil
yang khas, audit internal tetap harus mengharapkan untuk memiliki tujuan pengendalian
umum dengan masalah pengendalian internal berikut:

Kontrol sistem yang lemah atas akses ke data dan program. audit internal harus
mempertimbangkan akses ke data dan program untuk menjadi tujuan kontrol umum utama
ketika meninjau perusahaan IT kecil. Kontrol atas akses ke data dapat dipertimbangkan
dalam hal aplikasi spesifik dan kontrol umum. Namun, dalam sistem IT kecil, kontrol umum
sering kali lebih penting daripada kontrol akses data aplikasi spesifik karena aplikasi yang
beroperasi pada sistem komputer bisnis kecil tunggal biasanya akan semua beroperasi di
bawah set kontrol akses data yang sama.

Akses data yang tidak benar melalui workstation pengguna. Sistem kecil sering tidak
memiliki kontrol keamanan canggih yang ditemukan pada sistem tipe mainframe besar.
Sebaliknya, sistem kecil memiliki identifikasi log-on / kata sandi pengguna digabungkan
dengan keamanan informasi berbasis menu. Sistem keamanan berbasis menu ini, dapat
memberikan kontrol yang cukup efektif terhadap upaya akses yang tidak tepat. Namun,
mereka dapat rusak karena informalitas dan kurangnya aturan dan prosedur formal di banyak
perusahaan kecil. Untuk meninjau kontrol di bidang ini, audit internal harus terlebih dahulu
mendapatkan pemahaman umum tentang sistem keamanan data yang diinstal, Langkah
selanjutnya adalah memahami bagaimana sistem keamanan tersebut telah diterapkan dan
digunakan. Langkah terakhir menyiratkan bahwa auditor internal harus meluangkan waktu
untuk meninjau penggunaan kontrol aplikasi di area pengguna.

Penggunaan program utilitas secara tidak sah. Sistem kecil modern sering dilengkapi
dengan program utilitas yang kuat yang dapat dengan mudah mengubah file data aplikasi apa
pun. Program-program ini dirancang untuk digunakan untuk situasi pemecahan masalah
khusus, dan seringkali hanya menghasilkan laporan jejak audit yang terbatas. Program-
program utilitas ini memiliki berbagai nama tergantung pada jenis sistem operasi komputer.
Audit internal harus memahami jenis program utilitas standar yang tersedia untuk sistem
yang sedang ditinjau. Penggunaan program tertentu dapat ditentukan melalui penyelidikan
dan observasi.

Data IT yang tidak benar dan permintaan akses program. Informalitas perusahaan kecil
seringkali memungkinkan data diakses secara tidak benar melalui prosedur operasi TI
normal. Audit internal harus mencari kontrol untuk mencegah permintaan TI biasa seperti itu.
Kontrol terbaik bisa berupa jenis formal "permintaan layanan data", disetujui oleh
manajemen.

ada atau harus ada beberapa masalah pengendalian internal TI umum untuk semua sistem TI
kecil. Ada banyak variasi dalam jenis konfigurasi TI sistem kecil, tetapi auditor internal harus
menggunakan beberapa tujuan pengendalian internal umum untuk meninjau kontrol umum di
lingkungan TI ini. Tampilan 19.2 berisi tujuan kontrol umum untuk tinjauan sistem TI bisnis
kecil.
19.6 KOMPONEN DAN KONTROL SISTEM LEGAL MAINFRAME

Istilah besar seperti yang berlaku untuk sistem komputer menjadi lebih sulit hari ini. Setelah
dideskripsikan oleh pabrikan mereka sebagai "minicomputer," sistem kecil mungkin tampak
sebagai "komputer besar" bagi auditor karena mereka beroperasi sebagai server untuk
mendukung berbagai macam peralatan TI seperti beberapa workstation, perangkat disk dan
penyimpanan, dan banyak lainnya. perangkat yang terpasang pada sistem. Perangkat keras
komputer sistem besar juga dapat didukung oleh staf operasi besar dan akan menangani
banyak tugas pemrosesan yang beragam. Profesional yang berbeda masing-masing memiliki
definisi sendiri tentang apa sistem komputer yang besar itu. Manajemen dapat menentukan
ukuran sistem komputer yang sama dalam hal konfigurasi peralatan dan ukuran staf TI yang
diperlukan untuk mendukungnya. Beberapa auditor yang tidak terbiasa dengan sistem TI
dapat mengamati sistem yang lebih tua, atau yang sekarang disebut warisan, yang terletak di
dalam fasilitas aman dengan lantai yang ditinggikan, dan atas dasar itu akan menyimpulkan
bahwa itu harus besar.

Karakteristik Sistem IT Besar

Sistem besar biasanya memiliki beberapa karakteristik umum. Meskipun tidak semua
karakteristik kontrol internal TI dapat berlaku untuk setiap sistem komputer besar, berikut ini
akan membantu auditor internal memahami karakteristik sistem TI bisnis besar:

■■ Kontrol keamanan fisik. Pusat komputer besar dengan banyak server dan file data yang
signifikan biasanya terletak di ruangan dengan kontrol akses yang dikunci dan tidak ada
jendela di luar. Keamanan ini membantu melindungi peralatan serta program dan data.

■■ Persyaratan kontrol lingkungan. Sistem tenaga listrik khusus serta sistem pendingin udara
atau sistem pendingin air sering diperlukan karena komponen listrik mini yang beroperasi
dengan daya penuh menghasilkan panas yang cukup besar. Kelemahan dalam pengendalian
lingkungan berpotensi menyebabkan kegagalan dalam pengoperasian aplikasi TI utama.
Audit internal harus selalu mengetahui prosedur pengendalian di bidang ini dan membuat
rekomendasi yang sesuai.

■■ Sistem operasi multitask. Hampir semua komputer menggunakan beberapa jenis sistem
operasi utama untuk mengontrol berbagai program yang dijalankan oleh komputer dan tugas-
tugas lain seperti membaca berbagai file dan folder lain atau memasok data laporan atau
fasilitas server cetak.

■■ Kemampuan pemrograman in-house. perusahaan dengan sistem komputer besar sering

kali didukung oleh sistem in-house dan departemen pemrograman dengan ukuran mulai dari
sekelompok mungkin beberapa ratus karyawan atau lebih hingga yang lain dengan
kemampuan pemrograman in-house yang terbatas. Programmer juga berbeda.

■■ Jaringan telekomunikasi yang luas. Untuk mendukung beberapa terminal online yang
berlokasi di seluruh perusahaan dan terhubung baik secara langsung ke sistem komputer
pusat atau ke Internet. Jaringan mungkin
juga memerlukan tenaga teknis khusus dalam perusahaan IT untuk mengelola
telekomunikasi.

■■ File yang sangat besar atau kritis. mungkin memiliki satu atau lebih aplikasi yang
menyimpan data penting pada database yang sangat besar. Karena kekritisan basis data yang
sedemikian besar, sistem TI mengambil karakteristik sistem yang besar. Kebutuhan akan
salinan cadangan dan integritas file penting sangat penting untuk fungsi TI.

■ Bagian kontrol input-output. beberapa sistem pernah memiliki fungsi kontrol input-output
untuk menerima data input batch (seperti kaset yang dikirim dari sumber jarak jauh), untuk
mendistribusikan input apa pun, dan untuk menjadwalkan dan mengatur pekerjaan produksi.

Karakteristik ini, meskipun tidak spesifik hanya untuk sistem warisan besar, memberikan
beberapa panduan untuk membantu menentukan apakah auditor internal bekerja dengan
lingkungan sistem TI yang besar.

19.7 TINJAUAN PENGENDALIAN INTERNAL DARI MAINFRAME CLASSIC

ATAU SISTEM IT LEGACY
Tampilan 19.3 membahas beberapa area yang harus dipertimbangkan oleh auditor internal
untuk mengumpulkan beberapa informasi dasar mengenai operasi dan prosedur kontrol dalam
operasi pusat data yang besar. Tidak ada konfigurasi perangkat keras khas untuk perusahaan
IT besar dan modern.

Auditor internal harus memahami jenis peralatan TI yang digunakan dengan meminta bagan
konfigurasi perangkat keras dari manajemen operasi. Sementara audit internal biasanya tidak
dalam posisi untuk menentukan bagan tersebut akan menunjukkan bahwa manajemen telah
melakukan perencanaan dalam konfigurasi perangkat keras komputer mereka. Grafik ini
sering diisi dengan nomor model dan bukan penjelasan dari peralatan. Auditor internal harus
selalu bertanya tentang sifat peralatan ini.

Perangkat Lunak Sistem Operasi

Sistem operasi TI adalah alat perangkat lunak dasar yang menyediakan antarmuka antara
pengguna sistem, program aplikasi, dan perangkat keras TI lainnya. Selain sistem operasi
dasar, auditor internal akan menemukan berbagai monitor dan pengontrol, termasuk
perangkat lunak khusus untuk menjadwalkan pekerjaan atau menangani keamanan logis.
Perangkat lunak sistem operasi meliputi sistem operasi pusat, program kontrol, berbagai
pemrograman bantuan, dan perangkat lunak pendukung terkait aplikasi.

Auditor internal harus mengembangkan pemahaman umum tentang berbagai jenis perangkat
lunak sistem operasi yang diinstal yang mungkin ada pada sistem tertentu serta risiko kontrol
tingkat tinggi, termasuk:
■■ Sistem operasi pusat. Sistem operasi mengawasi pemrosesan semua sumber daya dan
program sistem.
■■ Monitor sistem. Berbagai produk perangkat lunak pendukung sistem operasi dasar
membantu menjadwalkan pekerjaan, memantau aktivitas sistem, dan membantu
menyelesaikan masalah operator atau kesalahan sistem. Produk-produk ini sangat terkait erat
dengan sistem operasi dasar tetapi biasanya dijual dan diinstal secara terpisah.
■■ Pengontrol jaringan dan monitor teleproses. Ini adalah program sistem operasi khusus
yang mengawasi dan mengontrol transmisi antara sistem komputer host dan perangkat
periferal. Perangkat ini memungkinkan aplikasi memproses pada sistem komputer host untuk
berkomunikasi dengan beberapa koneksi jaringan.
19.8 LEGACI TINJAUAN KONTROL UMUM SISTEM BESAR

Langkah pertama yang penting dalam tinjauan audit internal operasi TI kontrol umum sistem
besar adalah dengan jelas mendefinisikan tujuan ulasan itu. Auditor internal harus
mempertimbangkan pertanyaan-pertanyaan berikut ketika merencanakan tinjauan pusat data
seperti itu:
■ Apa tujuan tinjauan operasi sistem informasi?
■ Kontrol dan prosedur spesifik apa yang diharapkan ada?
■ Bagaimana bukti dikumpulkan untuk menentukan apakah kontrol berfungsi?
Berdasarkan hasil latihan ini, audit internal harus mengembangkan satu set tujuan
pengendalian yang dirancang khusus untuk tinjauan yang direncanakan daripada hanya
menggunakan seperangkat pertanyaan kontrol internal standar. Apakah IT atau ulasan lain,
tujuan audit internal yang diidentifikasi tergantung pada tujuan tinjauan. Meskipun ulasan
besar kontrol sistem TI dapat memiliki berbagai tujuan, itu sering akan menjadi salah satu
dari empat jenis ulasan berikut.

1. Tinjauan awal dari kontrol umum TI. Ini adalah jenis tinjauan yang kadang-kadang disebut
auditor luar sebagai survei pendahuluan atau penilaian risiko pengendalian. Tujuannya adalah
untuk mendapatkan pemahaman umum atau gambaran umum dari lingkungan kontrol TI.
Tinjauan pendahuluan dapat membantu menentukan kebutuhan untuk tinjauan kontrol umum
yang lebih rinci atau penilaian risiko kontrol yang diperluas di kemudian hari, atau dapat
mengumpulkan informasi kontrol awal untuk tinjauan aplikasi tertentu. Langkah-langkah ini
harus memandu auditor internal untuk mendapatkan informasi tentang struktur umum operasi
TI.

2. Tinjauan kontrol umum terperinci dari operasi TI. Tinjauan komprehensif dan terperinci
tentang sistem besar TI Kontrol umum harus mencakup semua aspek operasi TI, termasuk
pemrograman sistem, kontrol router dan telekomunikasi, perangkat firewall, dan administrasi
penyimpanan. Berdasarkan tinjauan awal operasi TI awal, audit internal harus
mengembangkan pemahaman umum tentang prosedur pengendalian TI yang ada. Pertanyaan
yang mungkin diajukan oleh audit internal meliputi:
■■ Bagaimana jadwal kerja?
■■ Bagaimana cara mengelola media penyimpanan?
■ Apa jenis prosedur atau instruksi operator yang digunakan?
■ Bagaimana pekerjaan dimulai dan bagaimana ia mengalir melalui operasi?
Fungsi operasi sistem besar dapat memasang prosedur baru dari waktu ke waktu, mengubah
atau menambah kompleksitas pada struktur kontrol. Prosedur audit yang akan dilakukan
dalam tinjauan terperinci dari kontrol umum untuk sistem komputer lama dapat luas,
tergantung pada ukuran dan ruang lingkup audit. Tampilan 19.4 berisi serangkaian tujuan
kontrol terbatas untuk jenis tinjauan sistem besar ini.

3. Ulasan khusus atau berorientasi pada lingkup terbatas. Karena permintaan manajemen dan
risiko yang dirasakan, auditor sering melakukan tinjauan terbatas atas area khusus dalam
fungsi TI secara keseluruhan. Tinjauan khusus ini dapat dibatasi pada satu fungsi, seperti
administrasi basis data, atau bidang khusus, seperti distribusi laporan keluaran.

4. Tinjauan untuk menilai kepatuhan terhadap hukum atau peraturan. Auditor internal harus
selalu mengetahui tujuan di bidang ini dan memasukkan tes yang sesuai dalam ulasan
mereka. Auditor yang bekerja dengan lembaga pemerintah atau di perusahaan yang
melakukan kontrak pemerintah yang luas sering kali diminta untuk melakukan audit
kepatuhan terkait TI untuk menentukan apakah undang-undang dan peraturan yang tepat
diikuti. Tinjauan TI terkait kepatuhan seringkali dapat digabungkan dengan tinjauan kontrol
umum awal atau terperinci, tetapi auditor internal harus mengetahui prosedur dan peraturan
yang relevan, seperti yang diterbitkan oleh lembaga pemerintah yang membutuhkan audit.

19.9 DUKUNGAN DAN PENGIRIMAN LAYANAN ITIL®, INFRASTRUKTUR,

PRAKTEK TERBAIK

ITIL® adalah singkatan dari Perpustakaan Infrastruktur Teknologi Informasi, serangkaian

praktik terbaik yang pertama kali dikembangkan pada 1980-an oleh Kantor Perdagangan
Pemerintah (OGC) pemerintah Inggris. ITIL® adalah kerangka kerja terperinci dari praktik
terbaik TI yang signifikan, dengan daftar periksa, tugas, prosedur, dan tanggung jawab yang
komprehensif yang dirancang untuk disesuaikan dengan organisasi TI mana pun. Membagi
proses utama antara yang mencakup pengiriman layanan TI dan yang untuk dukungan
layanan, ITIL® telah menjadi standar de facto untuk menggambarkan banyak proses
mendasar dalam manajemen layanan TI, seperti konfigurasi atau manajemen perubahan.
Proses ITIL® mencakup apa yang sering kita sebut infrastruktur TI — proses pendukung
yang memungkinkan aplikasi TI berfungsi dan memberikan hasilnya kepada pengguna
sistem.

Semua proses ITIL® ini adalah bagian dari apa yang disebut infrastruktur TI, dan aplikasi
yang dirancang dengan baik dan dikontrol dengan baik hanya bernilai kecil bagi
penggunanya tanpa dukungan layanan dan proses pengiriman yang kuat. Auditor internal
harus memiliki pemahaman yang baik tentang proses perusahaan ini dan kemudian
mengembangkan tes kontrol yang sesuai. Ini mungkin telah tercakup dalam tinjauan kontrol
umum TI, dan ITIL® menyediakan model praktik terbaik umum yang baik untuk diikuti.
Proses ITIL® secara tradisional terpecah antara yang mencakup apa yang didefinisikan
ITIL® sebagai dukungan layanan dan yang untuk pengiriman layanan. Proses dukungan
layanan membantu membuat aplikasi TI beroperasi secara efisien dan memuaskan pelanggan,
sementara proses pengiriman layanan meningkatkan efisiensi dan kinerja elemen
infrastruktur TI. Ada lima proses praktik terbaik dukungan layanan ITIL®, mulai dari
manajemen rilis, untuk menempatkan proses dalam produksi, hingga manajemen insiden,
untuk pelaporan masalah atau peristiwa TI secara teratur. Tampilan 19.5 menunjukkan
pandangan tingkat tinggi dari kerangka kerja ITIL®. Ini menunjukkan bahwa area
manajemen layanan pengiriman dan dukungan layanan, bersama dengan manajemen
keamanan, menyediakan hubungan antara operasi bisnis dan teknologi TI dan manajemen
infrastruktur.
Layanan ITIL Mendukung Manajemen Insiden

Proses manajemen insiden mencakup aktivitas yang diperlukan untuk memulihkan layanan
TI setelah gangguan. ITIL® mendefinisikan gangguan sebagai segala jenis masalah yang
mencegah pengguna TI menerima layanan yang memadai, kemampuan pengguna untuk
mengakses aplikasi karena berbagai alasan, kegagalan kata sandi karena kesalahan mengetik
“jari gemuk”, atau masalah lainnya. Masalah yang dilaporkan disebut insiden, semacam
penyimpangan dari operasi standar. Kami akan menggunakan terminologi ini dan merujuk
pada insiden selama diskusi kami tentang ITIL®. Tujuan dari proses manajemen insiden yang
efektif adalah untuk memulihkan operasi normal secepat mungkin dengan cara yang hemat
biaya dengan dampak minimal pada keseluruhan bisnis atau pengguna. Seberapa cepat
“cepat” seharusnya tidak tunduk pada interpretasi, dan ITIL® menyerukan standar kerangka
waktu pemulihan untuk didefinisikan dalam apa yang disebut perjanjian tingkat layanan
(SLA) antara TI dan pelanggan atau pengguna. Tampilan 19.6 menunjukkan siklus hidup
suatu insiden dari panggilan awal melalui resolusi dan penutupan. Maksud kami di sini
adalah untuk membantu audit internal memahami bukan bagaimana mengelola proses desk
service tetapi lebih pada praktik terbaik yang direkomendasikan. Pemahaman tentang praktik
terbaik ITIL® memungkinkan auditor internal untuk mengajukan beberapa pertanyaan yang
menyelidik ketika meninjau kontrol umum TI. Sebagai contoh, auditor internal harus mencari
SLA formal, sebagai bagian dari proses manajemen tingkat layanan, untuk menentukan
prioritas dengan mana insiden perlu diselesaikan dan upaya dimasukkan ke dalam resolusi
dan pemulihan dari insiden. SLA ini harus bergantung pada:
■■ Dampak atau kekritisan insiden pada entitas pelapor atau keseluruhan
perusahaan.
■■ Tingkat urgensi dari insiden yang dilaporkan.
■■ Ukuran, cakupan, dan kompleksitas insiden.
Dukungan Layanan Manajemen Masalah

Tujuannya di sini adalah untuk meminimalkan dampak total masalah melalui proses deteksi
dan perbaikan formal serta mengambil tindakan untuk mencegah terulangnya kembali. Proses
manajemen masalah adalah langkah selanjutnya dalam kekritisan dari beberapa insiden yang
dilaporkan dan harus dipertimbangkan dalam tiga subproses: kontrol masalah, kontrol
kesalahan, dan manajemen masalah proaktif.

ITIL® mendefinisikan "masalah" sebagai penyebab mendasar yang tidak diketahui yang
disebabkan oleh satu atau lebih insiden, dan "kesalahan yang diketahui" adalah masalah yang
telah berhasil didiagnosis dan untuk mana suatu penyelesaian telah diidentifikasi. Idenya
adalah untuk mengidentifikasi kapan dan bagaimana beberapa insiden help desk yang
dilaporkan harus disampaikan kepada orang lain atau pihak berwenang untuk mendiagnosis
masalah yang dilaporkan dengan lebih baik dan memperlakukannya sebagai masalah. Proses
manajemen masalah yang efektif dapat melakukan banyak hal untuk meningkatkan layanan
pelanggan TI secara keseluruhan.

Proses manajemen masalah berfokus pada menemukan pola antara insiden, masalah, dan
kesalahan yang diketahui. Tinjauan terperinci dari pola-pola ini memungkinkan seorang
analis untuk memecahkan masalah dengan mempertimbangkan banyak kemungkinan dan
mempersempit hal-hal menjadi solusi, apa yang disebut analisis akar penyebab. Manajemen
masalah adalah bidang yang baik untuk audit internal untuk mendiagnosis proses
penyampaian layanan TI agar dapat lebih memahami kesehatan operasi TI secara
keseluruhan. Area di mana audit internal dapat mengajukan beberapa pertanyaan di sini
termasuk:

1. Jumlah RFC meningkat dan dampak RFC tersebut pada ketersediaan dan keandalan
layanan TI secara keseluruhan tercakup.
2. Jumlah waktu yang digunakan untuk investigasi dan diagnosis untuk berbagai jenis
masalah oleh unit organisasi atau vendor.
3. Jumlah dan dampak dari insiden yang terjadi sebelum akar masalah diselesaikan atau
kesalahan yang diketahui dikonfirmasi.
4. Rencana untuk penyelesaian masalah terbuka terkait dengan orang dan persyaratan sumber
daya lainnya serta biaya terkait dan jumlah yang dianggarkan.
Manajemen Konfigurasi Dukungan Layanan
Fungsi manajemen konfigurasi formal adalah proses pengiriman layanan penting yang
mendukung identifikasi, pencatatan, dan pelaporan komponen TI dan versinya, komponen
penyusunnya, dan hubungan. Item yang harus di bawah kendali manajemen konfigurasi
termasuk perangkat keras, perangkat lunak, dan dokumentasi terkait. Aktivitas dasar dari
proses manajemen konfigurasi adalah untuk mengidentifikasi berbagai komponen individu
dalam operasi TI, yang disebut item konfigurasi (CI), dan kemudian mengidentifikasi data
pendukung utama untuk CI ini, termasuk pemiliknya, mengidentifikasi data, dan nomor versi,
serta sebagai hubungan timbal balik sistem. Data ini harus ditangkap, diorganisasi, dan
direkam dalam apa yang sering dikenal sebagai database manajemen konfigurasi (CMDB).
Tim yang bertanggung jawab untuk manajemen konfigurasi harus memilih dan
mengidentifikasi struktur konfigurasi ini untuk Cis seluruh infrastruktur. Melampaui sekadar
entri dalam CMDB, proses tersebut harus memastikan bahwa hanya CI resmi yang diterima
dan tidak ada CI yang ditambahkan, dimodifikasi, diganti, atau dihapus tanpa permintaan
perubahan yang sesuai dan spesifikasi yang diperbarui. Auditor internal dapat memikirkan
pentingnya proses manajemen konfigurasi dalam hal aplikasi desktop di departemen audit.

Proses manajemen konfigurasi juga mencakup beberapa elemen kontrol. Serangkaian

tinjauan dan audit harus dilaksanakan untuk memverifikasi keberadaan fisik Cis dan
memeriksa apakah mereka dicatat dengan benar dalam sistem manajemen konfigurasi.
Keberadaan dan kontrol yang mendukung CMDB dapat menjadi titik yang baik untuk audit
internal untuk memahami proses manajemen konfigurasi TI perusahaan dan kontrol
pendukungnya. Jika fungsi TI perusahaan tidak memiliki CMDB yang baik, audit internal
dapat mengantisipasi melihat masalah kontrol internal yang kuat di seluruh infrastruktur TI.
Tampilan 19.7 menguraikan prosedur audit untuk meninjau proses manajemen konfigurasi
perusahaan.
Dukungan Layanan Manajemen Perubahan

Tujuan dari manajemen perubahan ITIL® adalah untuk menggunakan metode dan prosedur
terstandarisasi untuk penanganan semua perubahan yang efisien dan cepat, untuk
meminimalkan dampaknya terhadap kualitas layanan dan operasi sehari-hari. Proses
manajemen perubahan ITIL® meliputi:
■ Perangkat keras dan perangkat lunak sistem TI
■ Peralatan dan perangkat lunak komunikasi
■ Semua perangkat lunak aplikasi
■ Semua dokumentasi dan prosedur yang terkait dengan menjalankan, mendukung, dan
memelihara sistem live
Poin terakhir di sini adalah perhatian khusus untuk auditor internal. Proses manajemen
perubahan harus memiliki visibilitas tinggi dan saluran komunikasi terbuka untuk
mempromosikan transisi yang lancar ketika perubahan terjadi. Untuk meningkatkan proses
ini, banyak fungsi TI telah melembagakan dewan penasehat perubahan formal (CAB), yang
terdiri dari orang-orang dari TI dan fungsi lain dalam perusahaan, untuk meninjau dan
menyetujui perubahan. CAB juga membantu dalam penilaian dan memprioritaskan
perubahan. Ini harus diberikan tanggung jawab untuk memastikan bahwa semua perubahan
dinilai secara memadai dari sudut pandang bisnis dan teknis. Proses manajemen layanan
keseluruhan yang efisien membutuhkan kemampuan untuk mengubah berbagai hal dengan
tertib, tanpa membuat kesalahan dan keputusan yang salah. Proses manajemen perubahan
yang efektif sangat diperlukan untuk infrastruktur TI yang efektif. Ketika meninjau kontrol
internal TI, auditor internal harus mencari proses manajemen perubahan yang efektif yang
menyediakan:
■■ Penyelarasan layanan TI yang lebih baik dengan persyaratan bisnis
■■ Meningkatkan visibilitas dan komunikasi perubahan ke staf pendukung bisnis dan
layanan
■■ Peningkatan penilaian risiko
■■ Mengurangi dampak negatif dari perubahan pada kualitas layanan
■■ Penilaian yang lebih baik dari biaya perubahan yang diajukan sebelum terjadi
■■ Lebih sedikit perubahan yang harus didukung, bersama dengan peningkatan kemampuan
untuk melakukan ini dengan lebih mudah bila diperlukan
■■ Meningkatkan produktivitas pelanggan TI, melalui lebih sedikit gangguan dan layanan
berkualitas tinggi
■■ Kemampuan IT yang lebih besar untuk menyerap sejumlah besar perubahan
Dukungan Layanan Manajemen Rilis
Manajemen rilis mencakup pengenalan perubahan resmi ke layanan TI. Rilis biasanya akan
terdiri dari sejumlah perbaikan masalah dan peningkatan pada layanan, termasuk perangkat
lunak dan perangkat keras baru atau yang diubah untuk mengimplementasikan perubahan
yang disetujui yang disyaratkan. Rilis biasanya akan diimplementasikan sebagai rilis penuh,
di mana semua komponen yang diubah dibangun, diuji, didistribusikan, dan
diimplementasikan bersama. Ini menghilangkan bahaya bahwa versi CI yang usang akan
secara keliru dianggap tidak berubah dan digunakan dalam rilis. Kerugiannya adalah waktu,
upaya, dan sumber daya komputasi yang dibutuhkan untuk membangun, menguji,
mendistribusikan, dan mengimplementasikan rilis lengkap akan meningkat. Pendekatan
alternatif untuk manajemen rilis adalah rilis delta atau parsial, yang hanya mencakup CI yang
berubah sejak rilis penuh atau delta terakhir.

19.10 PRAKTEK PENGIRIMAN LAYANAN TERBAIK

Layanan Pengiriman Manajemen Tingkat Layanan
Manajemen tingkat layanan adalah nama yang diberikan kepada proses perencanaan,
koordinasi, penyusunan, persetujuan, pemantauan, dan pelaporan ITIL® pada perjanjian
formal antara TI dan penyedia dan penerima layanan TI. Perjanjian tingkat layanan (SLA),
mewakili perjanjian formal antara TI dan penyedia layanan untuk TI serta pelanggan
pengguna akhir TI. Dalam SLA, TI berjanji untuk memberikan layanan per set jadwal yang
disepakati dan memahami bahwa akan ada penalti jika standar layanan ini tidak terpenuhi.
Tujuannya adalah untuk mempertahankan dan meningkatkan kualitas layanan melalui siklus
konstan untuk menyetujui, memantau, melaporkan, dan meningkatkan level layanan TI saat
ini. SLA harus difokuskan secara strategis pada bisnis dan menjaga keselarasan antara bisnis
dan TI. Meskipun tidak ada persyaratan format untuk SLA, Pameran 19.8 menguraikan
konten SLA biasa. Proses SLA ini memberikan manfaat bagi bisnis dan TI, termasuk:

■ Karena TI harus bekerja untuk memenuhi standar yang dinegosiasikan, layanan TI akan
cenderung memiliki kualitas yang lebih tinggi, menyebabkan lebih sedikit gangguan.
Produktivitas pelanggan TI juga harus meningkat.
■ Sumber daya staf TI akan cenderung digunakan secara lebih efisien ketika TI memberikan
layanan yang lebih memenuhi harapan pelanggannya.
■ Dengan menggunakan SLA, TI dan pelanggannya dapat mengukur layanan yang diberikan
dan persepsi operasi TI pada umumnya akan meningkat.
■ Layanan yang disediakan oleh pihak ketiga lebih mudah dikelola dengan kontrak
pendukung dan kemungkinan pengaruh negatif pada layanan TI yang diberikan berkurang.
■ Memantau keseluruhan layanan TI di bawah SLA memungkinkan untuk mengidentifikasi
titik-titik lemah yang dapat ditingkatkan.

Pengiriman Layanan Manajemen Keuangan untuk Layanan TI

Tujuan dari proses manajemen keuangan pengiriman layanan adalah untuk menyarankan
pedoman untuk pengelolaan aset dan sumber daya yang hemat biaya yang digunakan dalam
menyediakan layanan TI. TI harus dapat memperhitungkan sepenuhnya pengeluarannya
untuk layanan TI dan untuk mengaitkan biaya layanan yang dikirim ke pelanggan
perusahaan. Ada tiga subproses terpisah yang terkait dengan manajemen keuangan ITIL®:

1. Penganggaran TI adalah proses memprediksi dan mengendalikan pengeluaran uang untuk

sumber daya TI. Penganggaran terdiri dari siklus negosiasi berkala, biasanya tahunan, untuk
menetapkan anggaran bersamaan dengan pemantauan harian dari anggaran saat ini.

2. Akuntansi TI adalah serangkaian proses yang memungkinkan TI untuk bertanggung jawab

penuh atas cara uangnya dihabiskan oleh pelanggan, layanan, dan kegiatan. Fungsi TI sering
tidak selalu melakukan pekerjaan dengan baik di bidang ini.

3. Pengisian adalah serangkaian proses penetapan harga dan penagihan untuk menagih
pelanggan atas layanan yang disediakan. Ini membutuhkan akuntansi IT yang baik dan perlu
dilakukan dengan cara yang sederhana, adil, dan terkontrol dengan baik.

Auditor internal harus menggunakan keterampilan keuangan mereka serta pengetahuan TI

untuk meninjau dan menilai kontrol internal proses manajemen keuangan. Tampilan 19.9
memberikan prosedur untuk tinjauan audit internal terhadap biaya dan harga proses TI. Ini
bukan area ulasan umum untuk audit internal, tetapi mengingat biaya besar yang
didistribusikan kepada pelanggan serta pentingnya sumber daya TI perusahaan, ini bisa
menjadi area audit internal yang penting.
Manajemen Kapasitas Pengiriman Layanan

Manajemen kapasitas ITIL® memastikan bahwa kapasitas infrastruktur TI selaras dengan

kebutuhan bisnis untuk mempertahankan tingkat pemberian layanan yang diperlukan dengan
biaya yang dapat diterima melalui tingkat kapasitas yang sesuai. Manajemen kapasitas
bertanggung jawab untuk menilai potensi keuntungan yang dimiliki teknologi baru bagi
perusahaan. Proses manajemen kapasitas umumnya dipertimbangkan dalam tiga subproses
yang mencakup bisnis, layanan, dan manajemen kapasitas sumber daya. Manajemen
kapasitas pengiriman layanan bertanggung jawab untuk memastikan bahwa kinerja semua
layanan TI saat ini berada dalam parameter yang ditentukan dalam SLA yang ada. Beberapa
input untuk tiga subproses manajemen kapasitas ini meliputi:
■■ SLA dan SLA melanggar
■■ Rencana dan strategi bisnis
■■ Jadwal operasional dan perubahan jadwal
■■ Masalah pengembangan aplikasi
■■ Kendala dan akuisisi teknologi
■■ Insiden dan masalah
■■ Anggaran dan rencana keuangan
Manajemen Ketersediaan Pengiriman Layanan
Ini dapat dicapai dengan mendefinisikan persyaratan dari bisnis mengenai ketersediaan
layanan TI dan kemudian mencocokkannya dengan kemungkinan perusahaan IT. Manajemen
ketersediaan tergantung pada beberapa input: persyaratan terkait ketersediaan bisnis;
informasi tentang keandalan, pemeliharaan, pemulihan, dan kemudahan servis CI; dan
informasi dari proses lain, insiden, masalah, dan tingkat layanan yang dicapai. Output dari
proses manajemen ketersediaan adalah:
■■ Rekomendasi mengenai infrastruktur TI untuk memastikan ketahanannya
■■ Laporan tentang ketersediaan layanan TI
■■ Prosedur untuk memastikan bahwa ketersediaan dan pemulihan ditangani untuk setiap
layanan TI baru atau yang ditingkatkan
■■ Berencana untuk meningkatkan ketersediaan layanan TI
Kegiatan manajemen ketersediaan dapat digambarkan sebagai perencanaan, peningkatan, dan
pengukuran tindakan. Perencanaan melibatkan menentukan persyaratan ketersediaan untuk
mengetahui apakah dan bagaimana TI dapat memenuhinya. Manfaat utama manajemen
ketersediaan adalah proses terstruktur untuk memberikan layanan TI sesuai dengan
persyaratan yang disepakati pelanggan. Ini harus menghasilkan ketersediaan layanan TI yang
lebih tinggi dan meningkatkan kepuasan pelanggan. Ini mencakup area di mana auditor
internal sering dapat mengajukan beberapa pertanyaan sulit sebagai bagian dari ulasan
kontrol TI umum mereka.
Manajemen Kontinuitas Pengiriman Layanan
Manajemen kontinuitas ITIL® menekankan bahwa dampak dari kerugian total atau bahkan
sebagian dari layanan TI harus diperkirakan dan rencana kesinambungan ditetapkan untuk
memastikan bahwa bisnis, dan infrastruktur TI pendukungnya, akan selalu dapat berlanjut.
ITIL® menyerukan strategi yang tepat untuk dikembangkan yang berisi keseimbangan
optimal dari pengurangan risiko dan opsi pemulihan. Ini panggilan untuk beberapa
kesinambungan bisnis yang sama dan strategi pemulihan bencana. Menggunakan pendekatan
yang diuraikan di sana, sebuah perusahaan IT dapat menerapkan serangkaian proses
kontinuitas layanan yang efektif.

19.11 MENGAUDIT MANAJEMEN INFRASTRUKTUR ITU

Penyampaian layanan ITIL® dan dukungan layanan adalah dua elemen yang saling terkait
dan berdampingan. Aplikasi TI berada di pusat teka-teki ini dan bidang utama yang menjadi
perhatian pengendalian internal. setiap area proses ITIL® harus diperlakukan sebagai area
terpisah untuk peningkatan proses. Auditor internal harus memberikan perhatian khusus pada
bidang ini ketika membuat rekomendasi. Ukuran dan ruang lingkup area yang diaudit dan
ruang lingkup operasi harus selalu dipertimbangkan. Saat ini, auditor internal harus
memikirkan kecukupan dan kesesuaian kontrol TI dalam hal kontrol yang dibangun ke dalam
aplikasi individual serta kontrol proses infrastruktur. Area infrastruktur TI merupakan area
penting untuk tinjauan audit internal. Proses ITIL® diuraikan untuk mendapatkan perhatian
audit internal.

19.12 AUDITOR INTERNAL CBOK MEMBUTUHKAN PENGENDALIAN

UMUMNYA

Seperti yang telah kita bahas, dunia kendali umum TI tampaknya terus berubah dan
berevolusi menjadi beberapa perangkat server yang terhubung melalui jaringan nirkabel dan
Internet. Ada dapat menjadi banyak masalah teknis di sini yang mungkin paling baik
diperuntukkan bagi spesialis audit TI, tetapi semua auditor internal saat ini harus memiliki
tingkat pengetahuan CBOK yang kuat tentang kontrol umum TI dan infrastruktur pendukung
yang memungkinkan kontrol umum tersebut untuk beroperasi dan berfungsi. Tidak peduli
ukuran atau ruang lingkup operasi TI, prosedur kontrol tertentu bersifat umum dan berlaku
untuk semua operasi. Selain itu, pemahaman keseluruhan praktik terbaik ITIL® harus
memungkinkan auditor internal memahami dan mengevaluasi kontrol umum TI di banyak
lingkungan.
 CHAPTER 20
PRAKTEK BYOD DAN MASALAH AUDIT INTERNAL MEDIA
SOSIAL
Praktik BYOD (Bring Your Own Device), atau apa yang secara umum kita sebut sebagai
operasi bisnis di mana pemangku kepentingan diizinkan atau didorong untuk membawa
komputer tablet pribadi, smartphone, laptop, atau perangkat pribadi lainnya ketika
menghadiri pertemuan untuk mengakses dan berkomunikasi dengan sistem perusahaan atau
sistem klien lainnya.

20.1 PERTUMBUHAN DAN DAMPAK BYOD

Ledakan dalam jumlah dan jenis BYODs menimbulkan pertanyaan bahwa perusahaan harus
mengatasi jika mereka ingin mendapatkan manfaat sebanyak mungkin dari karyawan,
perangkat mereka, dan jaringan bisnis. Semakin banyak perangkat berarti semakin banyak
peluang untuk mengumpulkan data dan lebih banyak peluang untuk terhubung dengan
jaringan. Jaringan, sebagai akibatnya, harus tumbuh dan berkembang untuk memenuhi
permintaan yang meningkat itu. Dalam skenario BYOD, suatu perusahaan dapat mencapai
penghematan biaya ketika tidak membeli perangkat milik perusahaan tetapi mengharapkan
karyawan untuk membawa unit mereka sendiri. Tetapi tanpa kebijakan BYOD perusahaan
yang kuat, penggunaan beberapa sistem operasi dan platform perangkat keras BYOD oleh
karyawan dapat menyebabkan peningkatan biaya yang signifikan. Untuk sementara aplikasi
pada smartphone dan tablet memindahkan konektivitas bisnis seluler melampaui pesan suara
dan email, mereka juga meningkatkan kebutuhan akan bandwidth yang lebih besar dan
infrastruktur yang lebih besar. Di luar BYODs untuk penggunaan departemen internal audit
mereka sendiri, auditor internal akan menjumpai mereka dalam berbagai tingkat penggunaan
di hampir setiap perusahaan atau departemen operasi yang akan diperiksa oleh audit internal.
Audit internal harus selalu mencari kebijakan perusahaan yang sesuai yang mencakup
penggunaan BYOD dan harus mencari tingkat toleransi risiko BYOD perusahaan.

20.2 MEMAHAMI LINGKUNGAN BISNIS PERUSAHAAN

Audit internal harus mendapatkan pemahaman umum tentang toleransi risiko BYOD unit dan
kebijakan keseluruhan yang berlaku untuk kegiatan ini. Memahami toleransi perusahaan
terhadap risiko adalah langkah pertama untuk memahami bagaimana BYOD bekerja di suatu
perusahaan. Misalnya, organisasi dalam perawatan kesehatan, layanan keuangan, pemerintah,
atau layanan keamanan kemungkinan akan mengadopsi posisi yang lebih defensif terhadap
BYOD daripada perusahaan teknologi berbasis internet. Tampilan 20.1 menunjukkan tingkat
risiko untuk beberapa kategori berbeda. Sangat penting bahwa auditor internal dalam ulasan
mereka tentang kegiatan BYOD mencari kebijakan yang mengarah pada model kepercayaan
yang mengidentifikasi bagaimana dan kapan suatu perangkat tidak memenuhi kepatuhan,
langkah-langkah untuk perbaikan, dan sejauh mana tindakan ini dapat diterima oleh
pengguna.
20.3 UNSUR KEBIJAKAN KEAMANAN BYOD

Keberlanjutan program BYOD sepenuhnya bergantung pada memberikan pengalaman

pengguna yang positif secara konsisten dalam jangka panjang. Dalam ulasan mereka tentang
kegiatan TI, auditor internal harus mencari unsur-unsur berikut dalam kebijakan BYOD
perusahaan.

Mengurangi Risiko Keamanan BYOD Perusahaan

Model kepercayaan BYOD harus:

■■ Menilai risiko untuk masalah keamanan umum pada perangkat pribadi.
■■ Opsi perbaikan garis besar — seperti pemberitahuan, kontrol akses, karantina, atau
penghapusan selektif — yang akan dikeluarkan tergantung pada masalah keamanan dan
apakah perangkat tersebut dimiliki oleh perusahaan atau karyawan.
■■ Menetapkan kebijakan berjenjang untuk keamanan, privasi, dan distribusi aplikasi
berdasarkan kepemilikan perangkat.
■■ Menetapkan identitas pengguna dan perangkat dengan jelas melalui sertifikat / cara lain.
■■ Memastikan bahwa kebijakan keamanan berkelanjutan dan cukup fleksibel untuk
mendukung pengalaman pengguna yang positif tanpa mengurangi keamanan data

Terapkan Keamanan BYOD Perusahaan

Untuk mendapatkan kepercayaan karyawan dan melindungi data penting, program BYOD
perusahaan harus menerapkan desain aplikasi dan prosedur tata kelola yang:
■■ Memodifikasi ketersediaan aplikasi berdasarkan persyaratan keamanan.
■■ Berkomunikasi dan membenarkan kepada semua pemangku kepentingan sejauh mana TI
mendukung atau membatasi aplikasi pribadi.
■■ Tetapkan ketersediaan aplikasi berdasarkan kepemilikan perangkat, karena aplikasi
internal tertentu mungkin tidak sesuai pada perangkat pribadi karena alasan keamanan.
■■ Tetapkan tingkat penegakan atau remediasi untuk pelanggaran penggunaan aplikasi,
seperti pemberitahuan pengguna, pelanggaran kontrol akses yang tidak benar, atau karantina
sistem TI yang terpusat.
Keamanan BYOD harus dikaitkan dengan kebijakan dan praktik keamanan TI perusahaan
secara keseluruhan. Baik menyangkut perangkat pribadi atau sistem TI perusahaan, proses
keamanan yang baik harus berlaku untuk keduanya.

Tekankan Pengalaman dan Privasi Pemangku Kepentingan

Kebijakan BYOD harus bertujuan untuk kontrak sosial yang dengan jelas mendefinisikan
hubungan BYOD antara perusahaan dan karyawan atau pemangku kepentingannya. Audit
internal harus mencari kontrak semacam itu dalam setiap tinjauan kebijakan BYOD yang
mencakup perjanjian yang jelas yang membantu:
■■ Identifikasi kegiatan dan data yang akan dipantau perusahaan IT pada pemangku
kepentingan BYOD, seperti inventaris aplikasi, dan alat untuk melindungi terhadap aplikasi
jahat yang dapat membahayakan data perusahaan.
■■ Perjelas tindakan keamanan apa yang akan diambil IT dalam menanggapi keadaan
tertentu.
■■ Tetapkan kontrol granular atas kebijakan BYOD perusahaan, seperti aktivitas
pemantauan, pelacakan lokasi, dan visibilitas aplikasi.
■■ Menilai secara kritis semua kebijakan dan pembatasan keamanan TI untuk memastikan
bahwa mereka tidak terlalu membatasi.
■■ Identifikasi layanan inti, seperti aplikasi email dan mission-critical, yang dapat digunakan
perusahaan untuk perangkat karyawan.
■■ Berkomunikasi ketika perangkat karyawan tidak patuh, konsekuensi yang mungkin
terjadi, dan pemberitahuan proaktif untuk membantu pengguna memperbaiki masalah dengan
cepat.

Lindungi Perusahaan dari Tindakan Hukum BYOD

Sementara setiap bisnis perlu mencari penasihat hukum khusus tentang masalah
pertanggungjawaban BYOD mereka, kebijakan perangkat seluler perusahaan atau perjanjian
pengguna akhir harus mencakup, minimal:
■■ Kebijakan keamanan untuk data perusahaan pada perangkat pribadi yang berbeda.
■■ Kebijakan untuk penggunaan Web dan aplikasi pribadi selama dan setelah jam kerja, di-
dan di luar situs.
■■ Batasan yang jelas untuk kewajiban perusahaan karena kehilangan data pribadi pemilik
perangkat.
■■ Definisi dan pemahaman tentang bagaimana penggantian BYOD untuk pembayaran
parsial versus pembayaran penuh biaya layanan memengaruhi tanggung jawab perusahaan.
■■ Tingkat pertanggungjawaban perusahaan atas kehilangan data pribadi.

Model layanan mandiri berbasis BYOD harus memungkinkan pengguna untuk:

■■ Mendaftar sendiri perangkat baru, memantau dan mengelola perangkat saat ini, dan
menghapus atau membatalkan perangkat sesuai kebutuhan.
■■ Menerapkan kebijakan untuk memperbaiki sendiri masalah perangkat keras, perangkat
lunak, aplikasi, dan kepatuhan melalui pemberitahuan dan instruksi penyelesaian yang jelas.
■■ Menjaga agar program perusahaan BYOD tetap produktif dan efisien dengan tetap
menjaga keamanan dan kontrol kepatuhan. Kebijakan umum yang sama yang telah dibuat
perusahaan untuk kepatuhan kontrol internal Sarbanes-Oxley Act secara keseluruhan juga
berlaku untuk BYOD yang diinstal.
Auditor internal harus menyadari pentingnya kebijakan BYOD yang efektif sebagai bagian
dari tinjauan kontrol internal mereka. Pengaturan kepatuhan dan kebijakan, bersama dengan
penegakan kebijakan, adalah fitur kontrol yang paling sering disebut sebagai penting.
Prosedur untuk mengelola perangkat ini sama pentingnya, peringkatnya hampir sama tinggi
dengan kebijakan di antara prioritas organisasi.

20.4 KOMPUTASI MEDIA SOSIAL

Salah satu penggunaan perangkat genggam BYOD dan aplikasi pendukungnya adalah bagian
dari apa yang disebut komputasi media sosial. Baik diakses pada perangkat genggam pribadi
atau terminal jenis lain, aplikasi ini atau sistem layanan online fokus membangun apa yang
sekarang kita sebut jaringan atau hubungan di antara kelompok orang atau pengguna yang
memiliki minat dan / atau kegiatan yang sama. Berikut ini adalah beberapa tren utama dalam
pengembangan komputasi media sosial dari awal hingga saat ini:

■ 1978 hingga 1989 — era aplikasi satu-ke-sedikit. aplikasi media sosial pertama yang
diakui disebut Computerized Bulletin Board System, dibuat pada Februari 1978 oleh Ward
Christianson dari IBM. Itu digunakan oleh grup pengembangan perangkat lunak IBM untuk
mengirim pesan tentang waktu dan lokasi pertemuan, menghemat waktu yang dihabiskan
untuk panggilan telepon.

■ 1990 hingga 1994 — pertumbuhan Internet. Pada awal 1990-an, penggunaan Internet
hanya tersedia untuk pemerintah, militer, dan organisasi akademik. Beberapa aplikasi Internet
berbasis konsumen segera muncul, dengan nama-nama seperti Prodigy dan CompuServe.
Layanan ini, ditemukan di sebagian besar kota-kota besar A.S., menjadi apa yang disebut
penyedia layanan Internet.

■■ 1995 hingga 1999 — gelembung dot-com. Era ini melihat ledakan besar dalam
teknologi Web dan alat-alat Internet. Pengguna dapat mengirim pesan dan memposting item
papan buletin kepada orang-orang di tingkat pertama, kedua, dan ketiga, dan melihat koneksi
mereka ke pengguna lain di situs. Itu adalah salah satu manifestasi pertama dari situs web
jejaring sosial dalam format yang sekarang terlihat hari ini.

■■ 2000 hingga 2004 — pertumbuhan media sosial. serangkaian aplikasi media sosial baru
diluncurkan selama periode ini, dengan nama-nama seperti MySpace, Facebook, Friendster,
LinkedIn, dan banyak lainnya. Banyak dari aplikasi baru ini banyak digunakan oleh orang-
orang di dalam organisasi perusahaan dan di luar aplikasi yang dikontrol perusahaan.

■■ 2005 hingga 2009 — pertumbuhan aplikasi jejaring sosial. Aplikasi media sosial terus
tumbuh dan berkembang, termasuk aplikasi seperti YouTube. BYODs yang kita sebut
smartphone menjadi sangat populer. Dengan mereka, pengguna dapat mengunduh berbagai
aplikasi.
■ 2010 dan selanjutnya. Penggunaan aplikasi media sosial kami terus berkembang,
menyebabkan banyak masalah tata kelola TI dan masalah di perusahaan saat ini.

Contoh Media Sosial: Facebook

Facebook adalah layanan media sosial dan situs web yang diluncurkan pada Februari 2004
oleh Mark Zuckerberg bersama dengan beberapa teman sekamarnya di Universitas Harvard
sebagai sarana untuk berkomunikasi dan berbagi informasi yang lebih baik di antara sesama
mahasiswa. Saat ini, Facebook telah menjadi sistem yang sangat populer digunakan oleh
banyak orang di seluruh dunia. Pengguna individu Facebook sering kali pertama kali
memulai oleh seseorang, biasanya seorang teman, mengirimi mereka pesan email dan
meminta mereka untuk menjadi "teman" Facebook mereka. Pengguna baru kemudian akan
diminta untuk membuat profil pribadi, menambahkan pengguna lain sebagai teman, dan
bertukar pesan.
Langkah-langkah untuk Bergabung dengan Facebook
Para profesional bisnis sering terlibat dengan Facebook melalui menerima email dari rekan
bisnis, teman, atau kerabat yang meminta penerima untuk menjadi "teman" orang itu di
Facebook. Idenya adalah bahwa seseorang log berdasarkan undangan awal dan kemudian
dapat terhubung dengan pengguna Facebook lainnya secara berjenjang sehingga teman-teman
teman dapat terhubung untuk membuat jaringan yang berkembang.
Menggunakan Facebook

Facebook adalah sistem untuk membangun profil tentang diri sendiri, untuk mengirim
pembaruan status ke semua orang di daftar teman Anda, untuk mengirim pesan pribadi ke
orang lain yang merupakan teman Facebook Anda, dan banyak lagi. Pembaruan status dan
pesan pribadi ini, baik teks atau gambar, dapat diposting ke Facebook dari telepon pintar.
Konsep Facebook dapat berguna dalam lingkungan bisnis sebagai sarana untuk membangun
dan mengelola tim tenaga kerja. Misalnya, untuk proyek implementasi sistem besar,
administrator proyek dapat meminta semua anggota tim proyek untuk membuat atau
memperbarui profil Facebook mereka dan menjadikannya sebagai anggota tim proyek. Acara
proyek dapat dengan mudah dijadwalkan dan dikomunikasikan dan manajer yang tertarik
pada latar belakang anggota tim dapat mengakses profil mereka dengan cara yang lebih
ramah daripada yang diizinkan oleh catatan sumber daya manusia yang khas.

Untuk perusahaan bisnis, Facebook dapat menghadirkan beberapa risiko pengendalian

internal. Sebagai contoh, seorang karyawan dapat mengeluh di posting Facebook tentang
kualitas beberapa produk perusahaan atau bahkan kompetensi seorang Manajer. membuat
halaman bisnis Facebook adalah metode promosi yang baik, karena halaman bisnis Facebook
dapat dilihat oleh jutaan pengguna. Halaman-halaman ini adalah platform iklan yang efektif
yang menawarkan metode pemasaran Web yang inovatif, memungkinkan interaksi antara
pemilik bisnis dan pelanggan.

Contoh Media Sosial: LinkedIn

Aplikasi media sosial yang sangat populer ini berbasis di sekitar konsep jejaring sosial atau
profesional terkait bisnis yang mirip dengan komunikasi berjenis jejaring di antara beberapa
kelompok profesional, seperti anggota Chapter lokal atau grup alumni perguruan tinggi
Institute of Internal Auditor. LinkedIn memungkinkan pengguna terdaftar untuk memelihara
daftar rincian kontak orang-orang yang memiliki hubungan tertentu dengan mereka, yang
disebut koneksi. Pengguna dapat mengundang siapa saja (baik pengguna situs atau tidak)
untuk menjadi koneksi, tetapi penerima undangan dapat memilih "Saya tidak tahu" untuk
menolak atau mengandalkan undangan orang tersebut. Koneksi LinkedIn dapat digunakan
dalam beberapa cara berikut:

 ■■ Jaringan kontak dapat dibangun yang terdiri dari koneksi langsung seseorang, koneksi
yang disebut koneksi derajat kedua, dan juga koneksi-koneksi derajat kedua yang disebut
koneksi derajat ketiga.
■■ LinkedIn kemudian dapat digunakan untuk mencari pekerjaan, orang, dan peluang bisnis
yang direkomendasikan oleh seseorang di jaringan kontak seseorang.
■■ Pengusaha dapat membuat daftar pekerjaan dan mencari kandidat potensial.
■■ Pencari kerja dapat meninjau profil manajer perekrutan dan menemukan kontak mana
yang dapat memperkenalkan mereka.
■■ Pengguna dapat memposting foto mereka sendiri dan melihat foto orang lain untuk
membantu identifikasi.
"Pendekatan akses gated" LinkedIn memungkinkan kontak dengan para profesional yang
membutuhkan hubungan yang sudah ada sebelumnya atau intervensi dari kontak mereka.
Sistem ini dimaksudkan untuk membangun kepercayaan di antara para pengguna layanan.
LinkedIn lebih merupakan aplikasi yang terkait dengan bisnis dan tidak memiliki risiko
paparan lingkungan yang hampir sama dengan lingkungan terbuka yang dapat ditemukan di
Facebook. Namun, karena merupakan komunikasi profesional dan kendaraan diskusi di
antara berbagai kelompok khusus profesional, data rahasia perusahaan dapat dengan mudah
menyelinap melalui situs diskusi LinkedIn.

Contoh Media Sosial: Twitter

Twitter adalah layanan gratis yang memungkinkan siapa saja untuk mengatakan hampir
semua hal kepada siapa pun dalam 140 karakter atau kurang sistem yang menyerap
komunikasi sosial online. Twitter memungkinkan penggunanya untuk mengirim dan
membaca posting singkat berbasis teks ini, yang secara informal dikenal sebagai "tweet".
Mungkin keuntungan di sini adalah bahwa pesan-pesan ini memungkinkan koresponden
Twitter untuk mengetahui apa yang dipikirkan dan dilakukan dan dirasakan orang-orang di
sekitar mereka. Pameran 20.4 adalah contoh kebijakan perusahaan untuk penggunaan
karyawan Twitter, Facebook, dan produk media sosial lainnya. Kebijakan serupa dapat
diterapkan untuk perangkat lunak media sosial lainnya, dan kebijakan tersebut dapat disusun
dengan cara yang mencakup semua aplikasi media sosial perusahaan. Kuncinya di sini adalah
bahwa kebijakan semacam itu harus diluncurkan dengan cara sedemikian rupa sehingga
semua karyawan dan pemangku kepentingan lainnya memahami tujuan dan risiko potensial
dari aplikasi media sosial tersebut.
20.5 RISIKO KOMPUTASI MEDIA SOSIAL DAN VULNERABILITAS

Terkadang sistem media sosial dipandang sebagai sumber daya terkait sumber daya manusia,
seperti buletin perusahaan yang hampir tidak resmi. Namun, suatu perusahaan menghadapi
banyak risiko dalam sistem media sosial, termasuk kehilangan reputasi dan kemungkinan
tuntutan hukum ketika karyawan mengoceh atau memposting foto dan video tentang apa
yang seharusnya tidak mereka lakukan. Ada juga risiko keamanan komputer dari malware,
pencurian identitas, phishing, dan pelanggaran privasi data sensitif. Risiko yang terkait
dengan penggunaan karyawan atas Facebook, Twitter, dan media sosial lainnya harus
dianggap terutama sebagai tanggung jawab manajemen perusahaan, dan lebih dari itu
departemen keamanan TI. Aplikasi ini umumnya dioperasikan melalui Internet dan sistem
yang dikendalikan oleh perusahaan. Banyak risiko media sosial dan kekhawatiran manajemen
terkait dengan perilaku individu yang terjadi di luar batas infrastruktur perusahaan dan sistem
TI-nya. Namun, perusahaan harus mewaspadai beberapa risiko dan kekhawatiran media
sosial berikut:

■■ Masalah produktivitas karyawan.

■■ Kurangnya kontrol atas konten perusahaan.
■■ Ketidakpatuhan dengan peraturan manajemen catatan.
■■ Virus dan spyware.
■■ Masalah bandwidth. Bandwidth mengacu pada "ukuran pipa" atau jumlah data yang
dikirim melalui saluran komunikasi.
■■ Masalah keamanan perusahaan.
■■ Masalah pertanggungjawaban. Suatu perusahaan dapat dimintai tanggung jawab atas
posting oleh seorang karyawan yang dibuat pada waktu perusahaan melalui sumber daya TI
perusahaan.
Alat media sosial sedang berkembang di tempat kerja. untuk membatasi risiko dan memiliki
pemahaman tata kelola TI yang lebih baik tentang penggunaan alat medial sosial di tempat
kerja adalah untuk menetapkan dan mengkomunikasikan beberapa kebijakan tentang
penggunaan alat media sosial secara efektif kepada semua pemangku kepentingan di tempat
kerja perusahaan.

20.6 KEBIJAKAN MEDIA SOSIAL

Perusahaan harus menerapkan kebijakan untuk media sosial serta aplikasi spesifik. Karena
ada perbedaan substansial antara banyak aplikasi ini, menggunakan Facebook dan Twitter
sebagai contoh, perusahaan harus menerapkan kebijakan umum tentang penggunaan aplikasi
media sosial di tempat kerja serta beberapa aturan untuk aplikasi populer tertentu. Idenya
adalah untuk menyampaikan pesan kepada semua pemangku kepentingan bahwa penggunaan
berbagai aplikasi media sosial di tempat kerja membawa risiko serta peluang bagi perusahaan
dan jalur karier mereka. Aplikasi media sosial menghadirkan beberapa masalah kontrol
internal dan tata kelola yang kuat untuk perusahaan saat ini. Aplikasi media sosial
menghadirkan beberapa masalah kontrol internal dan tata kelola yang kuat untuk perusahaan
saat ini. setiap manajer senior dan tentu saja setiap auditor internal harus setidaknya menjadi
terbiasa dengan dan memiliki pemahaman CBOK tentang alat-alat ini untuk lebih memahami
mereka dan berkomunikasi dengan orang lain di perusahaan.
 CHAPTER 21
BIG DATA DAN MANAJEMEN KONTEN PERUSAHAAN
21.1 TINJAUAN DATA BESAR

Namun, saat ini, peraturan dan bahkan permintaan pelanggan telah menciptakan persyaratan
bahwa data yang disimpan ini tersedia hampir selamanya. Tampilan 21.1 menggambarkan
lingkungan data besar ini dari perspektif sistem penjualan dan pemasaran.

Ada beberapa definisi berbeda sebelumnya di sini, tetapi firma riset TI, Gartner memiliki
yang terbaik atau paling dikenal: "Big data" adalah aset informasi volume tinggi, kecepatan
dan beragam yang menuntut bentuk-bentuk inovatif dari pemrosesan informasi yang inovatif
untuk wawasan yang lebih luas dan pengambilan keputusan.

Banyak sumber hari ini, bagaimanapun, menambahkan V keempat, kejujuran, sebagai faktor
big data tambahan yang penting. Veracity mengacu pada keakuratan dan kebenaran massa
data besar ini, dan konsep ini sangat penting bagi auditor internal ketika mempertimbangkan
data besar dari perspektif audit dan kontrol.
Volume
Volume mengacu pada banyaknya data umum untuk aplikasi atau sistem tertentu dan
tergantung pada ukuran relatif perusahaan. suatu perusahaan harus memiliki prosedur kontrol
untuk mengelola situasi ketika mereka menghadapi volume data yang tinggi. Auditor internal
harus mencari analisis dan prosedur kontrol internal yang baik untuk mengelola volume data
yang tinggi dan tidak terduga.
Kecepatan
Velocity mengacu pada kecepatan di mana data dikirimkan dan / atau berubah. Masalah
kecepatan adalah masalah penangkapan dan respons. Pentingnya kecepatan data — laju
peningkatan di mana data mengalir ke suatu organisasi — sering mengikuti pola yang mirip
dengan volume.
Variasi
Jarang sekali data hadir dalam bentuk yang tertata dengan sempurna dan siap untuk diproses,
dan variasi data yang tidak terstruktur ini dapat menciptakan masalah untuk penyimpanan,
pemrosesan, dan analisis. Tema umum dalam sistem data besar adalah bahwa data sumber
beragam dan tidak jatuh ke dalam struktur relasional yang rapi. Variasi data adalah tantangan
untuk memiliki set data yang berbeda, dari sumber yang berbeda dalam format yang berbeda,
semuanya dalam silo, dengan demikian gagal mendapatkan dari pandangan penerima manfaat
dari pandangan data.
Kebenaran
Keabsahan data besar mengacu pada situasi di mana data mungkin diragukan karena
ketidakkonsistenan, ambiguitas, perkiraan yang salah, atau berbagai masalah lainnya.
Masalah kebenaran data bahkan dalam beberapa aplikasi kecil dapat berubah menjadi
masalah besar ketika kita dihadapkan dengan aplikasi big data besar. Tim TI perusahaan
perlu mengembangkan strategi kebenaran data besar untuk membantu menjaga data tetap
bersih dan memproses agar "data kotor" tidak terkumpul dalam sistem. Gambar 21.2
merangkum masalah-masalah big data utama ini, dan bagian-bagian berikut membahas
beberapa audit data besar terkait dan masalah-masalah pengendalian internal.

21.2 MASALAH DATA, RISIKO, DAN MASALAH KEPATUHAN DATA BESAR

Maksud kami di sini adalah bahwa auditor internal harus memiliki pemahaman CBOK yang
baik dan tingkat pengetahuan masalah big data pengendalian internal. Ketika bisnis dan
sistem tumbuh, auditor internal akan semakin menghadapi sistem data besar dan perlu
memahami masalah kontrol internal yang sesuai. Aplikasi Big Data yang ada dan inisiatif TI
untuk membangun dan beroperasi di lingkungan tersebut menawarkan peluang yang
signifikan bagi perusahaan untuk mengembangkan pemahaman yang menyeluruh dan
mendalam tentang bisnis mereka, tetapi juga risiko tata kelola dan kontrol internal yang
signifikan. Auditor internal harus memahami empat aspek data besar atau elemen volume,
kecepatan, variasi, dan kebenaran. Tingkat aktivitas dalam salah satu atau semua bidang ini
dapat membantu auditor internal memastikan apakah mereka menghadapi situasi big data.
Auditor internal harus mencari kontrol tata kelola yang tepat dan rangkaian tata kelola tata
kelola data yang dirancang dengan baik ketika meninjau kontrol internal dalam lingkungan
big data. Ini harus sering mencakup:
■ Direktori yang terdokumentasi dari semua aset data perusahaan. Fungsi TI
perusahaan, yang bertanggung jawab langsung kepada petugas informasi kepala (CIO), harus
diberi tanggung jawab atas inventaris berkala semua file TI, program aplikasi, dan lainnya.
■ Identifikasi pemilik semua aset data. Orang yang memiliki hak untuk memperbarui dan
memelihara berbagai elemen dan menjamin integritas aset data adalah fungsi CIO. Masalah
identifikasi data sangat signifikan dengan masalah kebenaran data besar.

■ Penugasan tanggung jawab untuk memastikan akurasi, aksesibilitas, dan

karakteristik data lainnya. Pemilik aset data besar harus menugaskan orang tertentu untuk
meninjau kualitas dan integritas sumber daya data besar.

■ Proses untuk menyimpan, mengarsipkan, dan membuat data cadangan. Sistem dan
aplikasi big data sering memperkenalkan kompleksitas ke dalam proses pencadangan.
Dengan sejumlah besar transaksi mengalir ke aplikasi data besar, sistem duplikat duplikat
dapat menjadi solusi, tetapi ini dapat menghadirkan masalah logistik ketika menangani
sumber data yang sangat besar. Proses manajemen data besar harus berupaya memaksimalkan
efektivitasnya dengan biaya yang masuk akal.

■■ Mengontrol mekanisme untuk mencegah kebocoran data. Kebocoran data adalah

transmisi data atau informasi yang tidak sah dari dalam suatu organisasi ke tujuan atau
penerima eksternal. Kebocoran data didefinisikan sebagai distribusi data pribadi atau sensitif
yang disengaja atau tidak disengaja kepada entitas yang tidak sah. Dengan data besar,
keamanan informasi atau kebocoran data lainnya dapat mengakibatkan jutaan catatan
ditransfer ke pihak yang tidak berwenang. Data sensitif termasuk properti intelektual,
informasi keuangan, informasi pasien medis, data kartu kredit pribadi, dan informasi lainnya
tergantung pada bisnis dan industri. data sensitif dapat dibagikan di antara berbagai
pemangku kepentingan, meningkatkan risiko informasi rahasia jatuh ke tangan yang tidak
sah.

■ Standar dan prosedur untuk penanganan data oleh personel yang berwenang. Standar
dan prosedur pengendalian internal yang terdokumentasi dengan baik selalu penting. Dalam
lingkungan data besar, mereka sangat penting, bersama dengan kebutuhan akan personel
yang terlatih secara memadai. Ini dapat menyebabkan tantangan besar bagi perusahaan
dengan sistem yang beroperasi di lingkungan big data. Prosedur keamanan personel yang
kuat sangat penting di sini. Ini tidak hanya mencakup riwayat pekerjaan, pendidikan,
kriminal, dan latar belakang keamanan yang memadai, tetapi juga pelatihan dan bimbingan
yang memadai bagi personel untuk mengakses dan memperbarui aplikasi big data.
21.3 MASALAH PENGELOLAAN DATA BESAR, HADOOP, DAN MASALAH
KEAMANAN
Era big data kami telah menyebabkan pertumbuhan dua produk perangkat lunak manajemen
data besar open source utama, Hadoop dan NoSQL. Hadoop adalah alat yang memungkinkan
perusahaan memproses dan menganalisis volume besar data yang tidak terstruktur dan
terstruktur, hingga saat ini tidak dapat diakses oleh mereka, dengan cara yang hemat biaya
dan waktu. Karena Hadoop dapat menskalakan kumpulan data yang sangat besar, perusahaan
tidak perlu hanya mengandalkan kumpulan data sampel tetapi dapat memproses dan
menganalisis semua data yang relevan. Spesialis TI dapat menerapkan pendekatan berulang
untuk analisis data, terus memperbaiki dan menguji permintaan untuk mengungkap wawasan
yang sebelumnya tidak diketahui.
NoSQL adalah gaya baru basis data (akronim bukan hanya singkatan dari SQL) yang telah
muncul, seperti Hadoop, untuk memproses volume besar data multistruktur. Namun,
sementara Hadoop mahir mendukung analisis sejarah bets-style skala besar, basis data
NoSQL ditujukan untuk menyajikan data diskrit yang disimpan di antara volume besar data
multistruktur untuk pengguna akhir dan aplikasi data besar otomatis. Kemampuan ini kurang
dari teknologi basis data relasional perusahaan saat ini, yang tidak dapat mempertahankan
tingkat kinerja aplikasi yang diperlukan pada skala data besar.

Kebanyakan auditor internal pasti tidak akan menjadi ahli tetapi auditor setidaknya harus
memiliki pengetahuan umum tentang alat dan tujuannya. Selain itu, meskipun banyak
investasi oleh banyak perusahaan dalam kontrol keamanan TI dan keamanan informasi, para
penyerang tampaknya lebih unggul. Ada sejumlah faktor yang menjelaskan hal ini:

■■ Sistem data besar serta semua penyerang menjadi lebih terorganisir dan didanai lebih
baik. Tetapi sementara serangan telah menjadi dinamis dan mengeksploitasi kelemahan
dalam infrastruktur pengguna-sentris, hyperconnected, banyak pertahanan IT perusahaan
tetap statis.

■■ Organisasi yang mendukung TI terus tumbuh lebih kompleks dan sering kali menuntut
sistem yang lebih terbuka dan gesit, menciptakan peluang untuk kolaborasi, komunikasi, dan
inovasi. Ini juga menghasilkan kerentanan baru yang telah dipelajari oleh penjahat cyber,
kelompok "peretas", dan negara-bangsa untuk dieksploitasi.

■■ Kepatuhan seringkali jauh jangkauannya, dengan regulator dan legislator yang semakin
preskriptif. Perusahaan, terutama yang memiliki banyak lini bisnis atau operasi internasional,
memiliki waktu yang semakin sulit melacak kontrol saat ini yang ada, yang dibutuhkan, dan
bagaimana memastikan bahwa mereka dikelola dengan benar.

Berikut ini adalah beberapa masalah yang harus dipertimbangkan oleh auditor internal
perusahaan dalam tinjauan dan penilaian data besar serta risiko keamanan dan pengendalian
TI.

Hilangkan dan Sederhanakan Tugas Entri Data yang membosankan

Untuk meningkatkan kontrol keamanan, perusahaan harus meninjau aplikasi yang ada dan
mengambil langkah-langkah untuk menghilangkan tugas-tugas manual yang membosankan
dalam respon rutin atau kegiatan penilaian. Sistem perlu mengurangi jumlah tugas manual
dan berulang yang terkait dengan penyelidikan suatu masalah. Ini semua adalah hal yang
menciptakan masalah yang bahkan akan lebih signifikan di era data besar.

Tinjau dan Identifikasi Aplikasi dengan Kekritisan Tinggi

Auditor internal dan tentu saja analis bisnis harus fokus pada masalah mereka yang
berdampak paling tinggi dengan tujuan meminimalkan risiko dan meningkatkan kontrol
internal. Tim keamanan TI harus memetakan sistem yang mereka pantau dan kelola kembali
ke aplikasi kritis dan proses bisnis yang didukungnya.
Fokus pada Data Aplikasi Paling Relevan

Analisis dan tinjauan data aplikasi harus fokus pada menghilangkan kebisingan, dan
memberikan petunjuk bagi analis untuk membahas isu-isu yang paling berdampak tinggi.
Aplikasi big data juga perlu menyediakan data pendukung.

Menambah Pengetahuan Manusia

Aplikasi big data harus dirancang untuk membantu analis bisnis dan auditor internal
menghabiskan waktu menganalisis item yang paling penting. Ini termasuk menyediakan
teknik bawaan untuk mengidentifikasi isu-isu prioritas tinggi, serta intelijen ancaman saat ini
yang menggunakan teknik-teknik itu untuk mengidentifikasi alat, teknik, dan prosedur
terbaru yang digunakan oleh komunitas penyerang.

Pertahankan Perspektif "Over the Horizon" untuk Masalah Keamanan Data Besar

Auditor internal yang bekerja dengan fungsi manajemen dan keamanan TI dalam meninjau
aplikasi data besar, kontrol internal harus mengambil gambaran besar untuk menyelesaikan
masalah dan mengambil tindakan korektif. Kami telah menggunakan deskripsi "di atas
cakrawala" di sini karena manajemen TI dan auditor internal perlu lebih banyak mengambil
gambaran besar ketika menilai masalah keamanan di lingkungan data besar.

Mengelola data besar dan menavigasi lingkungan ancaman saat ini sangat menantang.
Konsumerisasi yang cepat dari TI telah meningkatkan tantangan-tantangan ini. Pengguna
akhir rata-rata mengakses berbagai situs web dan menggunakan semakin banyak sistem
operasi dan aplikasi setiap hari menggunakan berbagai perangkat seluler dan desktop. Ini
berarti volume, kecepatan, dan variasi yang luar biasa dan terus meningkat serta masalah
kebenaran data yang dihasilkan, dibagikan, dan diperbanyak. Perlindungan yang berhasil
bergantung pada kombinasi metodologi, wawasan manusia, pemahaman ahli tentang lanskap
ancaman, dan pemrosesan data besar yang efisien untuk menciptakan intelijen yang dapat
ditindaklanjuti.

21.4 PEMANTAUAN KEPATUHAN DAN ANALISA DATA BESAR

Memantau kinerja repositori big data sama pentingnya dengan memantau kinerja semua jenis
database lainnya. Aplikasi yang ingin menggunakan data yang disimpan dalam repositori ini
akan mengirimkan pertanyaan dengan cara yang sama seperti aplikasi tradisional yang
menanyakan basis data relasional seperti Oracle, SQL Server, Sybase, DB2, dan lainnya.
Ketika meninjau kontrol internal di bidang ini, auditor internal harus meminta fungsi TI
untuk menjelaskan alat pemantauan apa yang telah dipasang, jenis kondisi apa yang sedang
dipantau, dan tindakan apa yang diambil untuk memperbaiki dan memulihkan pengecualian
yang dipantau.

Tampilan 21.3 menjelaskan jenis siklus hidup pemantauan kepatuhan yang harus dicari oleh
seorang auditor internal ketika beroperasi dalam lingkungan big data. Ini benar-benar proses
yang sederhana, tetapi auditor internal harus mencari perangkat lunak yang diinstal untuk
mendeteksi kesalahan dan kondisi yang tidak biasa. Harus ada proses untuk menyelidiki dan
kemudian memulihkan kondisi yang dilaporkan. Langkah terakhir dan keempat adalah
menginstal proses untuk memperbaiki kondisi yang dilaporkan dan mencegah kejadian di
masa depan.

21.5 AUDIT INTERNAL DALAM LINGKUNGAN DATA BESAR

Tampilan 21.4 mencantumkan beberapa pertimbangan audit internal yang harus digunakan
ketika meninjau sistem dan kontrol dalam lingkungan big data. Dengan mekanisme tata
kelola data besar yang baik, perusahaan dapat memperoleh manfaat dari peningkatan
produktivitas, proses yang lebih efisien, posisi kompetitif yang lebih kuat, dan inovasi yang
lebih besar. Auditor internal harus menyadari beberapa masalah kontrol internal yang
mungkin mereka hadapi ketika meninjau sistem dan proses dalam lingkungan big data.
21.6 PENGENDALIAN KONTEN PERUSAHAAN KONTEN INTERNAL

Enterprise content management (ECM) juga merupakan konsep baru dan berkembang pesat.
ECM menjelaskan strategi, metode dan alat yang digunakan untuk menangkap, mengelola,
menyimpan, melestarikan, dan mengirimkan konten dan dokumen yang terkait dengan proses
perusahaan. ECM mencakup proses untuk membantu dalam pengelolaan informasi dalam
seluruh ruang lingkup perusahaan, baik dalam bentuk dokumen kertas, file elektronik, aliran
cetak basis data, gambar kode batang, atau bahkan email. ECM adalah istilah umum yang
mencakup manajemen dokumen, manajemen konten Web, pencarian, kolaborasi, manajemen
catatan, aset digital dan manajemen alur kerja, proses pengambilan dan pemindaian dokumen,
dan banyak lagi. ECM terutama ditujukan untuk mengelola siklus hidup informasi dari
publikasi awal atau pembuatan semua jalan melalui arsip dan akhirnya pembuangan. Proses
ECM yang dikelola dengan baik dan dikendalikan dengan baik bertujuan untuk membuat
pengelolaan informasi perusahaan lebih mudah melalui penyederhanaan penyimpanan,
keamanan, kontrol versi, proses routing, dan retensi. Manfaat bagi organisasi termasuk
peningkatan efisiensi, kontrol internal yang lebih baik, dan pengurangan biaya. Operasi ECM
mencakup banyak bidang di perusahaan modern. Tampilan 21.5 menunjukkan ikhtisar proses
ECM utama.

21.7 PROSES PENGELOLAAN KONTEN KONTEN PERUSAHAAN AUDIT

Tampilan 21.6 menguraikan beberapa langkah utama audit internal ECM. ECM adalah topik
yang luas dan luas, tetapi auditor internal harus mengetahui berbagai sumber daya informasi
yang mengalir ke organisasi mereka dan bagaimana mereka harus dikelola dan dikendalikan.
Auditor internal harus menyadari bahwa penerapan ECM dapat menghasilkan peningkatan
yang signifikan pada operasi perusahaan, termasuk peningkatan kesiapan organisasi
perusahaan, pengerjaan ulang aset informasi yang berharga, dan peningkatan interdependensi
informasi dan teknologi otomasi.