Dari sudut pandang auditor sistem informasi, bagaimanapun, outsourcing layanan sistem

informasi menimbulkan beberapa masalah yang sulit. Auditor memiliki peran untuk bermain di
empat tahap outsourcing:
1. Keputusan untuk melakukan outsourcing. Kita harus membantu manajemen untuk
menentukan layanan sistem informasi apa. jika ada. harus di-outsourcing-kan. Secara
khusus, kita harus mengidentifikasi kegiatan sistem informasi yang strategis bagi
organisasi. Kegiatan-kegiatan ini adalah kandidat yang paling tidak mungkin untuk
outsourcing (McFarlan dan Nolan 1995). Jika mereka outsourcing, kehati-hatian harus
diambil karena mereka akan lebih sulit untuk dikendalikan. Kami juga harus membantu
manajemen untuk mengidentifikasi apakah ada vendor outsourcing yang sesuai yang
memiliki keterampilan, pengalaman, dan reputasi yang diperlukan untuk hubungan
jangka panjang yang diperlukan ketika layanan sistem informasi di-outsourcing-kan agar
berhasil.
2. Desain kontrak Scott (1996) menunjukkan bahwa auditor perlu mengevaluasi kesesuaian
ketentuan outsourcing dalam kaitannya dengan (a) keuangan — misalnya, biaya tetap,
biaya variabel, dan verifikasi faktur, (b) hak audit — misalnya , ruang lingkup dan waktu
kegiatan audit dalam kaitannya dengan vendor outsourcing, (c) kinerja — misalnya,
kriteria yang akan digunakan untuk mengevaluasi apakah vendor outsourcing
melaksanakan tugasnya berdasarkan kontrak, (d) vendor personil Outsourcing yang akan
memberikan layanan sistem informasi dan sifat dan frekuensi pelaporan oleh vendor
outsourcing, dan (e) kontrol — misalnya, tanggung jawab vendor outsourcing dalam hal
menjaga integritas data dan menyediakan cadangan dan pemulihan yang sesuai.
3. Pemantauan kontrak. Selama periode kontrak, auditor sistem informasi mungkin
bertanggung jawab untuk memantau kepatuhan terhadap ketentuan-ketentuan kontrak.
Kita harus terus mengevaluasi apakah organisasi atau klien kita sendiri dan vendor
outsourcing melaksanakan tugasnya dengan benar berdasarkan kontrak.
4. Pemutusan kontrak. Kesulitan besar dapat muncul ketika kontrak outsourcing akan
dihentikan. Sebagai contoh, sebuah organisasi mungkin telah kehilangan kemampuannya
untuk menyediakan layanan sistem informasi internal. Selain itu, memengaruhi transisi
yang lancar ke vendor outsourcing lain atau ke penyediaan internal layanan sistem
informasi mungkin merupakan tugas yang kompleks.
Keputusan untuk melakukan outsourcing, oleh karena itu, dapat memiliki dampak
penting pada kemampuan organisasi untuk mencapai pengamanan aset. integritas data,
keefektifan, dan tujuan efisiensi. Di satu sisi, vendor outsourcing dapat memberikan kemampuan
yang memungkinkan organisasi untuk mencapai tujuan ini dengan lebih baik. Di sisi lain,
hubungan outsourcing memiliki fitur yang melemahkan pencapaian tujuan-tujuan ini. Auditor
sistem informasi harus berusaha memastikan bahwa kemampuan mereka untuk mengumpulkan
dan mengevaluasi bukti dalam kaitannya dengan pencapaian tujuan-tujuan ini tidak terhambat
ketika organisasi atau klien mereka memasuki pengaturan sistem outsourcing.
Data Privacy
Privasi data mengacu pada hak untuk menyimpan atau mentransmisikan data yang dilindungi
dari (1) pengungkapan yang tidak disengaja atau tidak sah atau (2) penggunaan yang tidak sah.
Pengungkapan yang tidak sengaja terjadi ketika data diungkapkan karena beberapa jenis
kesalahan atau ketidakteraturan terjadi. Pengungkapan tanpa izin terjadi ketika seseorang
memiliki hak untuk mengakses data tertentu menggunakan hak-hak ini untuk memungkinkan
orang yang tidak berwenang memeriksa data. Penggunaan yang tidak sah terjadi ketika
seseorang memiliki hak untuk mengakses data tertentu menggunakan hak ini untuk tujuan yang
tidak diinginkan.
Untuk beberapa alasan. masalah privasi data tetap menjadi masalah abadi di bidang
sistem informasi. Pertama. ketika biaya teknologi informasi berkurang dan kekuatannya
meningkat, risiko pelanggaran privasi meningkat, Sebagai contoh, keberadaan database yang
besar dan beragam yang berisi informasi tentang individu dan munculnya penambangan data
yang canggih dan teknologi pencocokan data memungkinkan calon pelanggar privasi kadang-
kadang dengan mudah membuat profil terperinci tentang individu. Kedua, rezim peraturan
internasional yang terkait dengan privasi data tidak seragam. Tindakan yang melanggar privasi
yang dilarang dalam satu yurisdiksi mungkin tidak dilarang di yurisdiksi lain. Mungkin mudah
untuk menghindari hukum privasi hanya dengan menggeser data dari satu yurisdiksi ke
yurisdiksi lain. Ketiga, beberapa peneliti sekarang berpendapat bahwa undang-undang privasi
yang ada didasarkan pada prinsip-prinsip usang yang mengharuskan orang untuk memiliki
informasi yang tidak mungkin mereka miliki. Karena itu, mereka mengklaim bahwa undang-
undang privasi berdasarkan prinsip-prinsip ini akan menjadi semakin tidak efektif. Kami akan
kembali ke masalah ini sebentar.
Nature and Scope of Privacy Legislation
Sejak awal tahun 1970-an, kebutuhan untuk melindungi privasi data telah semakin
diakui. Akibatnya, banyak negara sekarang memberlakukan undang-undang privasi yang
memberlakukan kode "praktik informasi yang adil" pada organisasi (lihat di bawah). Dalam
beberapa kasus, undang-undang hanya berlaku untuk sektor publik. Namun, dalam kasus lain,
mereka berlaku untuk sektor publik dan swasta.
Rezim pengaturan sangat berbeda. Beberapa langsung memaksakan kewajiban hukum
pada organisasi yang menangani data pribadi. Lainnya membangun kerangka kerja hukum.
Namun, mereka mendelegasikan rincian implementasi dan operasional. ke badan pengawas
seperti komisaris privasi. Beberapa menetapkan kode etik hukum untuk sektor industri tertentu
atau untuk kelas kegiatan atau catatan tertentu (mis., Catatan kesehatan). Yang lain mendorong
industri untuk membuat kode pengaturan sendiri dengan beberapa tingkat pengawasan oleh
lembaga pemerintah.
 Mungkin seperangkat prinsip perlindungan privasi yang paling dihormati di mana banyak
rezim pengaturan yang ada didasarkan adalah yang diusulkan oleh Organisasi untuk Kerjasama
Ekonomi dan Pembangunan (OECD) (1980). Prinsip-prinsip ini memberikan landasan bagi
rezim pengaturan yang disebut Praktek Informasi yang Adil (FIP):
1. Prinsip pembatasan pengumpulan. Keterbatasan dalam pengumpulan data pribadi
harus ada. Data tersebut harus diperoleh dengan cara yang adil dan sah serta dengan
sepengetahuan dan persetujuan subjek.
2. Prinsip kualitas data. Data pribadi harus relevan, akurat, lengkap, dan tepat waktu.
3. Prinsip spesifikasi tujuan. Data pribadi harus dikumpulkan hanya untuk tujuan
tertentu. Penggunaannya harus dibatasi untuk tujuan tersebut.
4. Gunakan prinsip pembatasan Izin dari subjek atau otoritas hukum harus diminta.
Lebih banyak data pribadi diungkapkan atau digunakan untuk tujuan selain dari yang
ditentukan pada saat data dikumpulkan.
5. Prinsip perlindungan keamanan - Kontrol yang wajar harus dilakukan untuk
melindungi keberadaan, integritas, dan privasi data pribadi.
6. Prinsip keterbukaan. Orang harus dapat membangun sifat, keberadaan, dan
kepemilikan sistem data pribadi.
7. Partisipasi individu orang harus dapat menentukan apakah data ada tentang mereka
secara pribadi. Jika data tersebut ada, mereka harus dapat memeriksanya dan
mengoreksi atau menghapus data tentang diri mereka tidak akurat, tidak lengkap,
ketinggalan zaman, atau tidak relevan.
8. Prinsip akuntabilitas. Orang-orang yang melakukan kontrol atas sistem data pribadi
harus bertanggung jawab untuk memastikan bahwa langkah-langkah yang ada dan
bekerja untuk memberikan efek pada prinsip-prinsip di atas.
Beberapa percaya bahwa pedoman OECD sekarang perlu diperbarui untuk memperhitungkan
teknologi yang semakin invasif. Yang lain, seperti (1996), berpendapat bahwa FIP mogok karena
menjadi semakin sulit untuk menegakkan prinsip-prinsip privasi yang mendasarinya. Sebagai
contoh, ia menunjukkan bahwa orang-orang mungkin tahu tentang semua database yang berisi
informasi tentang mereka di era ketika komputer mainframe dengan sedikit interkonektivitas
adalah bentuk dominan dari teknologi informasi. Di era di mana komputer pribadi jaringan telah
menggantikan mainframe untuk sebagian besar, bagaimanapun, orang tidak mungkin tahu apa
yang berisi database informasi tentang mereka dan di mana database ini berada. Untuk alasan ini,
Laudon (1996) berpendapat bahwa orang harus diberi hak properti untuk informasi tentang diri
mereka sendiri dan diizinkan untuk berdagang informasi ini di pasar informasi.
Dari sudut pandang auditor sistem informasi, kita perlu mengakui, oleh karena itu, bahwa
undang-undang yang didasarkan pada FIP menjadi semakin bermasalah. Yang paling disukai.
undang-undang berbasis FIP baru akan terus diberlakukan. Namun, kemanjurannya bisa terbatas.
Jika kita ingin menjaga privasi di organisasi kita sendiri atau organisasi klien kita, semakin kita
harus bergantung pada kontrol yang kita laksanakan dan prinsip-prinsip etika yang memandu
perilaku dalam kaitannya dengan penggunaan informasi daripada perlindungan yang diberikan
oleh undang-undang privasi.
Implications for Information Systems Auditing
Dampak undang-undang privasi pada pekerjaan kita sebagai auditor sistem informasi akan
tergantung pada bentuk-bentuk undang-undang tertentu yang ada di negara dan negara tempat
kita bekerja atau bentuk-bentuk undang-undang yang berlaku untuk organisasi yang kita audit,
Meskipun demikian, undang-undang privasi cenderung memiliki lima implikasi luas untuk
pekerjaan kami sebagai auditor sistem informasi:
1. Harus terbiasa dengan undang-undang. Standar audit mengharuskan auditor untuk
terbiasa dengan undang-undang yang memengaruhi organisasi yang mereka audit.
Dalam hal statuta privasi. undang-undang yang relevan dengan pekerjaan kita
mungkin memiliki asal dalam dan luar negeri. Jika organisasi yang kami audit
mengumpulkan data pribadi di negara lain dan mentransfer data ini melintasi batas
internasional. Misalnya, kita perlu mengidentifikasi dan memahami implikasi dari
posisi terendah asing yang terkait dengan data ini.
2. Perlu diaudit untuk kepatuhan legislatif. Karena hukuman dapat timbul karena
ketidakpatuhan dengan tindakan privasi, auditor sistem informasi mungkin diberi
tanggung jawab untuk memastikan bahwa organisasi yang mereka audit mematuhi
Statuta. Auditor internal mungkin juga bertanggung jawab untuk menyiapkan
pernyataan dampak privasi dan menyusun rencana privasi yang komprehensif. Dalam
beberapa kasus, auditor eksternal mungkin harus menentukan apakah kewajiban
kontinjensi telah muncul karena klien mereka gagal mematuhi tindakan privasi.
3. Auditor sebagai pengguna data pribadi. Sebagai pengguna data pribadi, auditor sistem
informasi dapat dikenai ketentuan tindakan privasi. Misalnya, organisasi mungkin
harus mengidentifikasi auditor mereka dan cara auditor mereka akan menggunakan
data pribadi terlebih dahulu. Persetujuan mungkin harus diperoleh untuk setiap
penyimpangan dari tujuan yang disebutkan ini.
4. Auditor sebagai pemelihara data pribadi. Selama audit, kami dapat mengekstraksi
data pribadi dari file untuk dimasukkan dalam kertas kerja saat ini. Di bawah tindakan
privasi, kami mungkin kemudian bertanggung jawab untuk memastikan bahwa ada
keamanan yang memadai atas file kami sendiri. dengan cara yang sama kami
bertanggung jawab untuk mengevaluasi apakah ada keamanan yang memadai atas file
milik organisasi yang kami audit. Memang, di bawah tindakan privasi. organisasi
yang kami audit dapat dihindarkan dari memberikan data pribadi kepada kami kecuali
kami dapat menunjukkannya pada file kami.
5. Perlu mengevaluasi keadilan praktik informasi. Meskipun undang-undang privasi
mungkin tidak berlaku untuk praktik informasi tertentu di mana organisasi yang kami
audit terlibat, kami masih harus sadar bahwa banyak orang sekarang mengharapkan
organisasi untuk mengevaluasi tindakan mereka untuk kepatuhan dengan prinsip-
 prinsip privasi. Sebagai auditor sistem informasi, oleh karena itu, kita perlu terus
mengevaluasi bagaimana teknologi informasi digunakan dalam organisasi yang kita
audit jika ada implikasi yang tidak menguntungkan untuk privasi pribadi. Misalnya,
organisasi yang kami audit mungkin terlibat dalam beberapa jenis aktivitas
pencocokan komputer yang legal. Meskipun demikian, jika kegiatan-kegiatan ini
dipublikasikan, kegiatan-kegiatan tersebut dapat menyebabkan hilangnya niat baik
organisasi. Oleh karena itu, kami dapat membantu organisasi klien untuk menyiapkan
dokumen kebijakan privasi untuk memberikan panduan kepada manajemen dan
karyawan tentang praktik-praktik yang perlu dilakukan untuk menjaga privasi dalam
organisasi (Jerksey et al. 1996).
Beberapa perusahaan audit eksternal kini telah menetapkan praktik-praktik khusus di
bidang privasi data. Di beberapa negara, juga, Privasi Data atau Komisaris Perlindungan
Data juga akan memberikan panduan tentang sifat dan pelaksanaan audit privasi.
Data Mining and Knowledge Discovery
Auditor sistem informasi khawatir tentang kesalahan yang dapat menyebabkan salah saji
material dari laporan keuangan. Di beberapa negara (mis., Amerika Serikat). auditor eksternal
juga memiliki tanggung jawab untuk merancang audit agar memberikan alasan yang wajar
bahwa kecurangan tidak menyebabkan salah saji material dalam laporan keuangan. Mendeteksi
kecurangan akan selalu menjadi perhatian bagi auditor internal terlepas dari tanggung jawab
yang mungkin dikeluarkan oleh auditor eksternal.
Teknik yang menjadi semakin penting sebagai alat untuk mendeteksi kesalahan dan
penyimpangan adalah penambangan data. Masalah yang kita hadapi sekarang adalah bahwa kita
terkadang dihadapkan dengan database yang sangat besar. Entah bagaimana kita harus
menentukan apakah kesalahan atau penyimpangan kemungkinan ada dalam database ini. Atau,
kami ingin menggunakan data yang terdapat dalam database ini untuk memberikan informasi
tentang kesalahan dan penyimpangan yang terjadi dalam bisnis yang kami audit. Teknik
penambangan data dirancang untuk mendeteksi pola di antara data yang mungkin memberi
sinyal, misalnya, adanya kesalahan atau penyimpangan (lihat, mis., Brachman et al. 1996).
Mereka mengandalkan berbagai alat seperti usia bayar statistik. sistem pakar, dan jaringan saraf
untuk mencari pola yang ada dalam data. Proses menggunakan pola-pola ini untuk menentukan
pengetahuan baru disebut penemuan pengetahuan. Dari sudut pandang auditor, penemuan
pengetahuan berarti bahwa mereka lebih mampu menilai apakah aset telah dilindungi, integritas
data telah dipertahankan, dan sistem beroperasi secara efektif dan efisien. Sebagai contoh,
mereka mungkin menggunakan teknik penambangan data untuk mencoba menentukan apakah
karakteristik transaksi yang dilakukan dengan kartu kredit curian berbeda dari yang dilakukan
dengan kartu kredit yang sah (Casarin 1997). Auditor cenderung harus meningkatkan
ketergantungan pada teknik penambangan data untuk menilai risiko audit dan untuk
mengumpulkan dan mengevaluasi bukti audit.
Interorganizational Systems and Virtual Organizations
Semakin lama, batas-batas organisasi mulai kabur. Pada akhir 1980-an, misalnya, sistem
informasi antar organisasi mulai muncul (Konsynski dan McFarlan 1990). Cikal bakal sistem ini
adalah sistem EDI. Organisasi mulai menggunakan teknologi komputer untuk melakukan kerja
sama yang lebih besar satu sama lain. bahkan ketika mereka bersaing langsung dengan satu sama
lain. Sebagai contoh, dua pemasok mungkin mengizinkan pelanggan untuk secara langsung
mengakses basis data produksi mereka untuk menentukan pemasok mana yang berada dalam
posisi yang lebih baik untuk menyediakan suku cadang komponen untuk memenuhi pesanan
terburu-buru yang telah diterima pelanggan. Setiap pemasok bahkan dapat mengalihkan pesanan
ke yang lain ketika tidak dalam posisi untuk memenuhi pesanan. Teknologi komputer yang saat
itu baru (mis., Sistem terbuka) tampaknya memfasilitasi kedatangan atau era baru di mana
persaingan dan kerja sama yang paradoks dapat berjalan seiring..
Pada pertengahan 1990-an, organisasi virtual mulai muncul (Gallegos dan Powell 1997).
Organisasi-organisasi ini melampaui batas di dalam dan di seluruh organisasi. Sekali lagi,
teknologi komputer yang saat itu baru (mis., Sistem kerja kooperatif) memungkinkan orang dan
organisasi untuk memecahkan kendala yang ditimbulkan oleh lokasi fisik dan waktu. tujuannya
adalah untuk mengumpulkan orang-orang terbaik dan organisasi terbaik untuk memenuhi
kebutuhan pasar — misalnya. untuk merancang dan membawa produk baru ke pasar.
Sistem informasi antar organisasi dan organisasi virtual menimbulkan tantangan besar
bagi pekerjaan kami sebagai auditor sistem informasi. Sebagai contoh, semakin kita harus
bergantung pada standar jika komunikasi yang efektif dan efisien di antara para pihak dalam
sistem informasi antar organisasi atau organisasi virtual akan terjadi. Selain itu, kami
menghadapi paparan karena harus bergantung pada kontrol di beberapa lokasi yang terkadang
jauh dan terkadang tidak berada dalam domain pengaruh kami. Seringkali, kita mungkin harus
bergantung pada pekerjaan auditor lain. Dalam terang ini. kita perlu mendukung upaya menuju
standardisasi yang lebih besar dari pengendalian sistem informasi dan prosedur audit (mis., Audit
Sistem Informasi dan COBIT Yayasan Kontrol).