MAKALAH

“INFORMATION TECHNOLOGY RISKS AND CONTROLS”

Tugas ini diajukan untuk memenuhi syarat Mata Kuliah Audit Internal

Dosen :

Bunga Indah Bayunitri, S.E., M.M., Ak., C.A.

Disusun oleh :

Roswita Marista Jemaat 0117101186

Dewi Rahayu 0117101188

Muhammad Zulfi R 0117101206

Kelas : E

FAKULTAS EKONOMI

UNIVERSITAS WIDYATAMA

BANDUNG

2020
 BAB I PENDAHULUAN

1.1 LATAR BELAKANG

Organisasi berinvestasi di TI karena beberapa alasan, yang semuanya

berkaitan langsung untuk mencapai tujuan bisnis organisasi. Misalnya, IT
memungkinkan strategi bisnis, meningkatkan kinerja proses bisnis, dan
memfasilitasi pengambilan keputusan. Bahkan, TI telah mencapai titik yang
sangat terkait dengan tujuan organisasi bisnis, strategi, dan operasi yang
inisiatif TI harus dipertimbangkan bersama-sama dengan inisiatif bisnis
untuk memastikan keselarasan antara keduanya.

Dampak semakin meresap TI pada strategi bisnis organisasi dan hari-hari

operasi operasi telah mempengaruhi profesi audit internal. TI telah
mengubah kompetensi yang berfungsi audit internal harus memiliki dan
bagaimana mereka melakukan jaminan dan layanan konsultasi. Hal ini
hampir tidak mungkin di dunia bisnis saat ini untuk setiap fungsi audit
internal untuk memberikan layanan nilai tambah bagi organisasi mereka
kecuali fungsi ini sangat mahir dalam pengetahuan IT risiko dan kontrol dan
memiliki kemampuan untuk secara efektif menerapkan teknik audit berbasis
teknologi.

Internal auditor yang bekerja secara ekstensif dalam bidang sistem informasi
terkomputerisasi harus memiliki risiko dalam IT, kontrol, dan keahlian
audit. Auditor tersebut sering disebut sebagai sistem informasi (IS) auditor
atau auditor IT. Meskipun semua auditor internal tidakperlu memiliki
keahlian auditor IT, minimal, setiap auditor internal harus memiliki
pemahaman yang baik tentang konsep-konsep TI fundamental tertentu.
Sebagai contoh, semua auditor internal perlu memahami komponen dasar
dari tujuan organisasi mereka bisnis, dan tata kelola TI organisasi mereka,
manajemen risiko, dan proses kontrol.

1.2 TUJUAN
- Memahami bagaimana teknologi informasi (TI) yang terkait dengan
tujuan bisnis, strategi, dan operasi.
- Jelaskan komponen kunci dari sistem informasi modern.

- Jelaskan sifat peluang IT dan risiko.

- Memahami tata kelola mendasar IT, manajemen risiko, dan konsep

kontrol.

- Memahami implikasi TI untuk auditor internal.

- Mengidentifikasi sumber-sumber pedoman audit TI.

 BAB II PEMBAHASAN

2.1 KOMPONEN KUNCI SISTEM INFORMASI MODERN

Sistem informasi modern bervariasi secara signifikan antara organisasi dan itu
adalah di luar lingkup buku ini untuk menutupi berbagai konfigurasi sistem
yang ada di dunia bisnis saat ini.
 Namun demikian, komponen kunci yang sama sistem informasi yang auditor
internal perlu memahami.

Perangkat keras komputer. Hardware komputer terdiri dari komponen fisik dari
suatu sistem informasi. Hardware meliputi, misalnya, unit pengolahan pusat
(CPU), server, workstation dan terminal, chip komputer, perangkat input /
output seperti scanner dan printer, perangkat penyimpanan seperti disk
drive, dan perangkat komunikasi seperti modem dan router.
Jaringan  –  Sebuah jaringan komputer menghubungkan dua atau lebih
komputer sehingga mereka dapat berbagi informasi dan / atau beban
kerja. Ada banyak jenis jaringan:
- Sebuah jaringan client-service menghubungkan satu atau lebih komputer
client dengan server dan pengolahan data dibagi beetwen klien (s) dan
server dengan cara yang mengoptimalkan efisiensi pengolahan.
- Sebuah jaringan area lokal (LAN) mencakup area yang relatif kecil seperti
sebuah bangunan atau sekelompok bangunan yang berdekatan.
- Sebuah jaringan area luas (WAN) terdiri dari sistem LAN terhubung
bersama-sama untuk rentang area regional, nasional, maupun global.
- Sebuah intranet adalah jaringan pribadi organisasi hanya dapat diakses
oleh personil yang organisasi itu.
- Sebuah extranet dapat diakses oleh pihak ketiga yang dipilih seperti
pemasok dan / atau pelanggan yang berwenang.
- Sebuah nilai tambah jaringan (VAN) adalah jaringan pihak ketiga yang
menghubungkan organisasi dengan mitra dagangnya.
- Internet (jaringan interkoneksi) adalah sistem publik yang sangat besar
dan kompleks jaringan komputer yang memungkinkan pengguna untuk
berkomunikasi secara global.
Perangkat lunak komputer – Perangkat lunak komputer meliputi:
- Perangkat lunak sistem operasi: Kontrol dasar masukan, pengolahan, dan
output dari komputer dan mengelola interkonektivitas dari perangkat
keras sistem.
- Software Utilitas: menambah sistem operasi dengan funtionality seperti
enkripsi, optimasi ruang disk, dan perlindungan terhadap virus.
- Perangkat lunak sistem manajemen database: Mengelola data yang
disimpan dalam database, mengontrol akses ke database, dan secara
otomatis punggung atas database.
- Aplikasi software: Termasuk software akuntansi yang digunakan untuk
memproses transaksi serta jenis lain dari perangkat lunak, seperti
pengolah kata dan spreadsheet software, yang memungkinkan pengguna
akhir untuk melakukan tugas-tugas mereka ditugaskan.
- Software Firewall. Memberlakukan kontrol akses beetwen dua jaringan
dengan memungkinkan hanya transmisi data yang berwenang untuk
melewati firewall di kedua arah.

Database –   Database adalah repositori besar data, biasanya terdapat dalam

banyak file terkait dan disimpan dengan cara yang memungkinkan data
yang akan mudah diakses, diambil, dan dimanipulasi. Database operasi
mendukung pemrosesan transaksi sehari-hari dan terus menerus diperbarui
sebagai transaksi diproses. Sebuah gudang data adalah kumpulan besar
data yang disimpan dari waktu ke waktu untuk mendukung analisis data
secara online dan pengambilan keputusan.
Informasi  –   Bagi banyak perusahaan, informasi dan teknologi yang
mendukung adalah merupakan aset paling berharga mereka. Sistem
informasi mengumpulkan dan menyimpan data, mengubah data menjadi
informasi yang berguna, dan memberikan informasi kepada
 pengambil keputusan internal dan eksternal. Untuk informasi berguna, itu
harus relevan, dapat diandalkan, lengkap, akurat, dan tepat waktu.
Orang  –  Peran sistem informasi spesifik bervariasi secara signifikan dari
satu organisasi ke yang lain. Biasanya, peran ini meliputi orang-orang
dari:
- Petugas Kepala Informasi (CIO): Bertanggung jawab untuk pengawasan
 sehari-hari dan arah IT dan untuk memastikan bahwa tujuan dan strategi
TI selaras dengan tujuan bisnis organisasi dan strategi.
- Administrator Database: Bertanggung jawab untuk mengawasi desain,
pengembangan, implementasi, dan pemeliharaan database, mengontrol
akses ke database, pemantauan kinerja database, dan meningkatkan
database dalam menanggapi perubahan kebutuhan pengguna.
- Sistem pengembang: Sertakan analis dan programmer. Analis survei
pengguna IT nedds, melakukan "apa" versus "apa yang harus" analisis
sistem IT, dan merancang sistem TI baru. Programmer membangun dan
menguji perangkat lunak yang digunakan untuk menjalankan tugas-tugas
pengolahan data.
- Personil Pengolahan data: Mengelola sumber daya terpusat IT dan
melakukan terpusat sehari-hari masukan, pengolahan, dan kegiatan
output.
- Pengguna akhir adalah manajer dan karyawan untuk siapa sistem
informasi dibangun. Mereka menggunakan informasi yang dihasilkan oleh
sistem untuk melaksanakan mereka sehari-hari peran dan tanggung jawab.

2.2 PELUANG DAN RISIKO TEKNOLOGI INFORMASI

Kesempatan adalah kemungkinan bahwa suatu peristiwa akan terjadi dan

positif mempengaruhi pencapaian tujuan organisasi. Risiko adalah
kemungkinan bahwa suatu peristiwa akan terjadi dan berpengaruh negatif
terhadap pencapaian tujuan organisasi. Peluang dan risiko yang timbul
dalam suatu organisasi beacuse TI mewakili porsi yang signifikan dari
peluang dan risiko organisasi perlu memahami dan mengelola secara efektif.

Peluang Diaktifkan oleh IT

- Enterprise Resources Planning Sistem - Sebuah sistem ERP adalah
perangkat lunak sistem modular yang memungkinkan organisasi untuk
mengintegrasikan proses bisnis mereka menggunakan database operasi
tunggal. Organisasi manfaat berharap untuk memperoleh hasil dari
penerapan sistem ERP mencakup secara online pemrosesan real-time
transaksi, interaksi mulus dan berbagi informasi di antara area
 fungsional, peningkatan kinerja proses, penghapusan atau pengurangan
redudancies data dan kesalahan, dan lebih tepat waktu pengambilan
keputusan. Namun, menerapkan sistem ERP yang efektif dan efisien
pada waktu dan anggaran adalah usaha besar yang penuh dengan risiko.
Memanfaatkan peluang yang sistem ERP yang ditawarkan tergantung pada
efektif mengurangi risiko yang dapat menyebabkan inisiatif untuk gagal.
- Electronic Data Interchange (EDI) - EDI melibatkan komputer-ke-
komputer pertukaran dokumen bisnis secara elektronik dari beetwen
organisasi dan mitra dagangnya. Organisasi manfaat berharap untuk
memperoleh hasil dari pelaksanaan EDI meliputi efisiensi proses transaksi
dan kesalahan pengolahan data yang lebih sedikit. Selain itu, kemajuan
terbaru dalam teknologi e-bisnis telah memungkinkan EDI Internet, yang
kurang efektif dan efisien melaksanakan EDI kecuali mitra dagangnya
juga efektif menerapkan EDI. Selain itu, melakukan bisnis melalui
Internet tidak bebas risiko. Sepenuhnya memanfaatkan peluang EDI
memiliki tawaran tergantung pada mitigasi risiko yang terkait dengan e-
bisnis.

Risiko IT
Setiap komponen kunci dari sistem informasi dijelaskan sebelumnya dalam bab
ini merupakan sumber potensial risiko. Sebagai contoh:
- Hardware komputer rentan terhadap pemadaman listrik yang mengganggu
proses transaksi.
- Jaringan mengirimkan informasi yang dapat disadap dan dicuri atau
disalahgunakan.
- Perangkat lunak komputer yang tidak akurat diprogram dapat
menghasilkan informasi yang tidak valid, tidak lengkap, dan / atau tidak
akurat.
- Database dapat menyusup untuk tujuan menggelapkan atau
menyalahgunakan informasi.
- Informasi yang tidak valid, lengkap, dan / atau tidak akurat dapat
menyebabkan keputusan yang buruk.
- Seseorang dapat melakukan tugas IT yang tidak kompatibel dan dengan
demikian berada dalam posisi untuk memperbuat dan menyembunyikan
 kesalahan dan penipuan.

Penggunaan TI dalam sistem informasi membuka pintu untuk risiko TI.

Spesifik risiko TI yang organisasi tertentu menghadapi akan tergantung
pada sifat dari bisnis organisasi dan operasi, industri di mana organisasi
beroperasi, konfigurasi sistem informasi organisasi, dan beberapa faktor
internal dan eksternal lainnya.
Ada beberapa jenis risiko TI yang cenderung umum di organisasi dan industri:
- Seleksi Risiko  - Pemilihan solusi TI sejajar dengan tujuan strategis dapat
menghalangi pelaksanaan strategi tergantung TI. Misalnya, pengambil
keputusan tidak memenuhi syarat dan informasi yang tidak memadai.
- Pengembangan / Akuisisi dan Deployment Risiko - Masalah yang
dihadapi sebagai solusi IT yang sedang dikembangkan / diperoleh dan
digunakan dapat menyebabkan penundaan tak terduga, kelebihan biaya,
atau bahkan meninggalkan proyek. Misalnya, dukungan vendor yang
tidak memadai dan resistensi terhadap perubahan.
- Ketersediaan Risiko  - Tidak tersedianya sistem bila diperlukan dapat
menyebabkan keterlambatan dalam pengambilan keputusan, interupsi
bisnis, kehilangan pendapatan, dan ketidakpuasan pelanggan.
- Hadrware / Software Risiko - Kegagalan hardware / software untuk
melakukan dengan benar dapat menyebabkan gangguan usaha, kerusakan
sementara atau permanen atau kerusakan data, dan perangkat keras / lunak
perbaikan atau penggantian biaya.
- Risiko Access - akses fisik atau logis tidak sah ke sistem dapat
mengakibatkan pencurian atau penyalahgunaan hardware, modifikasi
perangkat lunak berbahaya, dan pencurian, penyalahgunaan, atau
kerusakan data.
- Sistem Keandalan dan Risiko Informasi Integritas - kesalahan sistematis
dan inkonsistensi dalam pengolahan dapat menghasilkan relevan,
lengkap, akurat, dan / atau informasi sebelum waktunya.
- Kerahasiaan dan Privasi Risiko  - pengungkapan yang tidak sah dari mitra
bisnis proprietary atau informasi pribadi individu dapat mengakibatkan
hilangnya bisnis, tuntutan hukum, pers negatif, dan penurunan reputasi.
- Penipuan dan berbahaya Kisah Risiko - Pencurian sumber daya TI,
 penyalahgunaan yang disengaja dari sumber daya TI, atau distorsi
disengaja atau penghancuran informasi dapat mengakibatkan kerugian
keuangan dan / atau informasi salah saji yang pengambil keputusan
bergantung pada.

2.3 TATA KELOLA TEKNOLOGI INFORMASI

IT Governance Institute (ITGI), yang didirikan pada tahun 1998 wa,

menyatakan bahwa IT Governance adalah tanggung jawab dewan direksi
dan manajemen eksekutif. Ini adalah bagian integral dari pemerintahan
perusahaan dan terdiri dari kepemimpinan dan organisasi struktur dan proses
yang memastikan bahwa organisasi ini IT menopang dan memperluas
strategi dan tujuan organisasi.
Definisi IIA dari IT Governance adalah terdiri dari kepemimpinan, struktur
organisasi, dan proses yang menastikan bahwa teknologi informasi perusahaan itu
menopang dan mendukung strategi dan tujuan organisasi.
The TTGI secara khusus menyatakan bahwa "Tujuan dari tata kelota TI adalah untuk
mengarahkan berupaya IT, untuk memastikan bahwa TI kinerja Anda memenuhi
tujuan-tujuan berikut:
- Penyelarasan TT dengan perusahaan dan realisasi manfaut yang dijanjikan

- Gunakan TI untuk memungkinkan perusahaan dengan memanfaatkan peluang dan

memaksimalkan manfaat

- Penanggungjawab penggunaan sumber daya TI

- Risiko men yang tepat berkaitan dengan IT".

2.4 MANAJEMEN RISIKO TEKNOLOGI INFORMASI

Masing-masing dari COSO Enterprise Risk Management - komponen Kerangka
Terpadu relevan dengan IT manajemen risiko, Sebagai contoh:
- Lingkungan internal - Dewan dan manajemen senior yang bertanggung jawab
untuk memimpin dan mengawasi proses tata kelola TI organisasi. Mereka juga
bertanggung jawab untuk menetapkan risk appetite TI organisasi dan
mendefinisikan IT risiko ambang batas toleransi.
 - Pengaturan Tujuian - Proses tata kelola TI dirnulai dengani definisi tujuien IT,
yang didirikan arah kegiatan TL

- Event Identifikasi - peristiwa Potensi yang timbul di dalam atau di luar organisasi
yang dapat mempengaruhi pelaksanaan strategi organisasi dan pencapaian tujuan
yang harus diidentifikasi.

- Penilaian Risiko - Diidentifikasi kejadian risiko harus dinilai dalam hul dampak
yang melekat mereka dan kemungkinan. Dampak residu dan kemungkinan
kejadian risiko TI yang diidentifikasi juga harus dinilai.

- Respon Risiko - risiko tanggapun yang tepat harus diformulasikan untuk kejadian
risiko TI diidentifikasi

2.5 KONTROL TI
Kontrol didefinisikan Sebagai proses tertanam dalam manajemen risiko dan
dilakukan oleh manajemen untuk mengurangi risiko ke tingkat yang đaput diterima.
"Pengendalian internal", menyediakan cakupan mendalam dari pengendalian internal
dan memperkenalkan konsep memberikan di depth cakupan pengendalian internal dan
memperkenalkan konsep dari kontrol TI. Kontrol IT umumnya diklasifikasikan
sehagai kontrol umum atau aplikasi. Kontrol IT umumsya diklasifikasikan sebagai
kontrol umam atau aplikasi seperti yang dijelaskan dalam pasal 6:
 Kontrol Umum (huruf miring ditambahkan) proses, dan data untuk sebuah
organisasi atau sistem lingkungan tertentu berlaku untuk semua system
Komponen,

 Pengendalian aplikasi (huruf miring ditambahkan) berkaitan dengan nuang

lingkup proses bisnis individu atau sistem aplikasi

2.6 KONTROL TATA KELOLA TI

Seperti dibahas sebelumnya dalam bab ini, tata kelola TI adalah komponen
integral dari pemerintahan socara keseluruhan. Demikian juga, IT mengontrol di
tingkat pemerintahan yang bagian penting dari sistem seciara keseluruhan organisasi
pengerndalian internal. Kontrol IT di tingkat pamerintahan jatuh di bawah yurisdiksi
dewan dan manajemen senior. Papan tunggung jawab, hagaimanapun, adalah
mengawasi sistem organisasi pengendalian internal, bukan untuk mengeksekusi
 kontrol. Ini adalah tugas mamajemen senior untuk melakukan proses kontrol pada
sehari-hari.

2.7 KONTROL MANAJEMEN TI

Manajemen bertanggung jawab untuk memastikan bahwa kontrol IT dirancang
secara memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan
organisasi, risiko yang mengancam pencapaian tujuan thos, dan proses bisnis
organisasi dan sumber daya.
IT standar kebijakan dukungan TI dengan lebih spesifik mendefinisikan apa yang
diperlukan untuk mencapai tujuan organisasi Standar-standar ini harus mencakup,
misalnya:
 Proses untuk merancang, mengembangkan, menguji, mengimplementasikan dan
memelihara sistem informasi dan perangkat lunak

 Konfigurasi dari organisasi operasi, jaringan, dan sistem manajemen database

 Kontrol aplikasi diimplementasikan di seluruh organisasi, termasuk definisi data

yang konsisten dan dokumentasi yang sesuai.

Organisasi TI dan manajemen kontrol memberikan jaminan bahwa organisasi

terstruktur dengan garis yang jelas dari pelaporan dan tanggung jawah dan telah
menerapkan proses kontrol yang efektif Tiga aspek penting dari kontrol ini adalah
pemisahan tugas, pengendalian keuungan, dan kontrol manajemen perubahan:
 Pemisahan yang tepat dari tugas TI memberikan jaminan bahwa tidak ada
individu dapat menggunakan IT untuk kedua memperbuat dan menyembunyikan
kesalahan atau kecurangan. Memulai, otorisasi, penginputan, pengolahan dan
cheking data harus dipisahkan sejauh mungkin

 IT kontrol keuangan melindungi terhadap pembengkakan biaya dalam

mengembangkan dan melaksanakan sistem informasi.

 kontrol Peruhahan manajemen memberikan jaminan hahwa peruhahan ke

environtment IT, sistem, perangkat lunak, dan data telah diotorisasi dan tepat.

IT kontrol fisik dan lingkungan melindungi sumber daya sistem informasi

(hardware, software, dokumentasi, dan informasi) dari kecelakaan atau kerusakan
 interTasional, penyalahgunaan, atau kerugian. Kontrol tersebut meliputi, misalnya:
 Menempatkan sumber nyata IT di kamur terkunci dengan akses terbatas

 Instalasi deteksi kebakaran yang sesuai dan peralatan penindasan

 Menemukan fasilitas IT jauh dari bahaya lingkungan seperti dataran banjir atau
bahan yang mudah terbakar.

 Mengembangkan dan mengaji rencana organisasi pemulihan bencana

2.8 KONTROL TEKNIS TI

Fasilitas software sistem penggunaan sistem Hardwar dan termasuk, misalnya,
sistem operasi, sistem jaringan, sistem manajemen databuse, firewall, dan perangkat
lunak antivirus. Software sástem kontrol membatasi akses logis untuk sistem
organisasi dan aplikasi, memantau penggunaan sistem, dan menghasilkan jejak audit.
Kontrol perangkat lunak sistem meliputi, misalnya:
 Menetapkan dan mengendalikan sistem hak akses sesuai dengan kebijakan
organisasi

 Melaksanakan kontrol konfigurasi online yang menegakkan tepat dalam perangkat

lunak

 Menilai dan piengujian intrusi kerentanan.

 Mencegah dan mendeteksi gangguan yang tidak sah

 Mempekerjakan Prosedur dasar manajemen perubahan yang ketat dan sistematis

Pengembangan sistem dan akuisisi kontroI meliputi, misalnya:

 Mendokumentasikan kebutuhan pengguna dan mengukur pemcapaian persyaratan.

 Setelah proses desain sistem formal untuk memastikan kebutuhun pengguna

terpenuhi dan kontrel vang tertanam sesuai dalam perangkat lunak

 Pengujian sistem dan melibatkan pengguna dalam proses pengujian untuk

memastikan hahwa unsur-unsur tertentu dan interface dari sistem hekerja dengan
baik dan memberikan dimaksudkan fungsional.

 Memvalidasi perubahan aplikasi dan menguji perubahan sebelum pelaksanaan

 Kontrol aplikasi berbasis dilaksanakan untuk memastikan bahwa:
 Data masukan ke dalam aplikasi yang valid, complet, dan akurat

 Input data diproses sebagaimana dimuksod

 Data tersimpan secara lengkap dan akurat

 Output lengkap dan akurat

 Gerakan data melalui sistem dicatat

Kontrol aplikasi berbasis meliputi, misalnya:

 Kontrol Masukan dira untuk memeriksa integritas data yang dimasukkan ke
aplikasi

 Kontrol Pengolahan dirancang untuk memastikan proses yang berlaku, lengkup,

dan akurat

 Kontrol output dirancang untuk menguji validitas, kelengkapan, dan akurasi

output aplikasi dan untuk memastikan bahwa output pergi ke penerima yang
dituju

 Sebagai jejak audit yang memungkinkan manajemen untuk melacak transaksi

forward dari awal proses ke awal

2.9 KONTROL KEMANAN INFORMASI

Kontrol keamanan informasi tidak secara eksplisit disajikan karena "keamanan
informasi merupakan bagian integral dari serman kontrol IT". Kontrol keamanan
informasi melindungi sistem informasi dari akses fisik dan logis yang tidak sah.

2.10 IMPLIKASI TI UNTUK INTERNAL AUDITOR

Bagian sebelumnya dari bab ini menjelaskan bagaimana TI telah
mempengaruhi organisasi. TI telah mengubah cara di mana organisasi merumaskan
strategi, melakukan operasi sehari- hari, dan membuat keputusan. Perubahan ini telah
menghasilkan risiko baru dan memaksa organisasi untuk memodifikasi tata kelola,
manajemen risiko dan pengendalian proses mereka. Dampak meresap TI pada
organisasi pada gilitannya memaksa auditor internal untuk meningkatkan pengetahuan
dan keterampilan TI mereka dan menyesuikan bagaimana mereka melakukan
 pekerjaan mereka.
IT Proviciency dan perawatan profesional karena
Dua standar pelaksanaan atribut khusus menaigani kemuimpuan IT auditor internal harus
memiliki dan pertimbangan mereka harus memberikan menggunakan teknik audit
berbasis teknologi:
1210 A3 – Auditor nternal harus memiliki pengetahuan yang cukup tentang risiko utama
teknologi informasi dan control dan audit berbasis teknologi yang tersedia, Teknik
untuk melakukan pekerjaan mereka ditugaskan. Namun, tidak semua auditor internal
diharapkan memiliki keahlian internal auditor yang , tanggung jawab utama adalah
teknologi informasi audit.
1220 A2 - Dalam melaksanakan karena auditor internal perawatan professional harus
mempertimbangkan penggunaan teknologi audit berbasis dan Teknik analisis data
lain.
Jaminan Engagement IT Tanggung Jawab
Tiga standar pelaksanaan kinerja secara khusus menangani auditor internal jaminan
keterlibatan tanggung jawab mengenai system informasi dan teknologi.
2110 A2 – Aktivitas audit internal harus menilai apakah governanve teknologi informasi,
organisasi menopang dan mendukung strategi dan tujuan organisasi.
2120 A1 – Aktivitas audit internal harus mengevaluasi eksposur risiko yang berkaitan
dengan organisasi system informasi.
2130 A1 – Aktivitas audit internal harus mengevaluasi kecukupan dan efektivitas
pengendalian dalam merespon risiko dalam organisasi system informasi.
Outsourcing
Proses bisnis oursourcing diperkenalkan dalam bab “ proses bisnis dan risiko”, sebgai
tindakan mentransfer beberapa proses organisasi bisnis untuk penyedia luar untuk
mencapai cos pengurangan sementara meningkatkan kualitas pelayanan dan efisiensi.
Hal ini untuk alas an bahwaorganisasi semakin Outsourcing fungsi TI untuk vendor
yang mengkhususkan diri dalam memberikan layanan TI.
Terintegrasi dan Berkesinambungan Audit
Audit internal secara historis telah dilakukan secara retrospektif, misalnya
setelah transaksi terjaid. Ini pendekatan audit setelah fakta cepat menjadi using seperti
kemajuan teknologi menimbulkan IT-enabled proses bisnis di mana online,
pemrosesan real-time dan transaksi umum.
Audit kontinu, audit terus menerus didefinisikan dlam GTAG 3 – berkelanjutan Audit:
 Impilikasi untuk jaminan, pemantauan, dan penilaian risiko sebagai “metode apapun yang
digunakan oleh auditor internal untuk melakukan kegiatan yang berhubungan audit
secara lebih kontinu atau terus-menerus, seperti yang dijelaskan dalam GTAG 3, audit
kontinu terdiri dua kegiatan utama :
 Penilian control berkelanjutan, tujuan yang “untuk memusatkan perhatian audit
kekurangan control sedini mungkin dan
 Penilaian risiko berkelanjutan, tujuan yang addlah untuk menyoroti proses atau
system yang mengalami lebih tinggi dari tingkat yang diharapkan dari risiko.

2.11 SUMBER PEDOMAN AUDIT TI

Lembaga audit internal (IIA) memiliki tubuh yang tumbuh dari bimbingan
audit TI. Dua komponen kunci dari panduan ini. Dua komponen utama dari pedoman
ini adalah panduan praktek termasuk dalam IIA International Praktek Profesional
Kerangka :
 Global Teknology Audit Guide (GTAG) seri
 Apanduan untuk penilaian risiko TI (GAIT) seri.

BAB III
PENUTUP

KESIMPULAN
Dampak meresap TI pada strategi organisasi, system informasi, dan proses telah
mempengaruhi profesi audit internal dan bab ini dibahas konsep IT mendasar bahwa setiap
internal auditor perlu memahami :
 Enam komponen kunci dari system informasi modern – peangkat keras computer,
jaringan, perangkat lunak computer, database, informasi, dan orang-orang yang
dijelaskan dan diilustrasukan.
 Peluang diaktifkan oleh IT dan risiko yang timbul sebagai akibat dari TI dibahas.
Peluang-enabled IT menvakup hal-hal seperti penjaualan online, integrase proses
bisnis, dan pertukaran informasi elektronik antara mitra dagang. Jenis risiko umum di
organisasi dan industri termasuk :
 Risiko seleksi
 Pengembangan/akuisisi dan risiko pengembangan
 Risiko ketersediaan
 Hardware risiko/software
 Risiko access
 Keandalan system dan integritas informasi risiko
 Risiko kerahasiaan dan privasi
 Penipuan dan tindakan berbahaya risiko
 Tata kelola TI diiidentifikasi sebagai subkomponen penting everall pemerintahan,
Manajemen, risiko TI dijelaskan dalam konteks komponen COCO ERM: dan ia
mengendalikan disajikan sebagai hierarki top-down dari tata kelola TI, manajmen dan
control teknis.
 Implikasi IT untuk auditor internal itu ditujukan. Fungsi audit internal yang perlu
untuk memahami system informasi organisasi mereka dan risiko TI yang mengancam
theachievement tujuan organisasi bisnis mereka. Mereka juga harus mahir dalam
menilai organisasi mereka Ti, manajemen risiko, dan proses control dan dapat secara
efektif menerapkan teknik audit berbasis teknologi.
 Sumber pedoman audt berbasis TI diidentifikasi. Dua komponen kunci dari
pertumbuhan tubuh IIA bimbingan audit TI adalah seri GTAG dan seri GAIT.
Bimbingan lain yang tersedia melalui IIA mencakup berbagai sumber yang dapat
dibeli melalui IIA Yayasan penenlitian toko buku atau di-downloaad dari bagian audit
TI auditor internal secara online.

Singkatnya, TI telah berubah secara signifikan kompetensi auditor internal harus memiliki
dan bagaimana mereka melakukan pekerjaan mereka. Kapasitas fungsi audit internal untuk
menyediakan layanan nilai tambah jaminan dan konsultasi sangat terganutng pada
pengalaman TI.