MODUL PERKULIAHAN

Audit Teknologi
Informasi
PENGELOLAAN FUNGSI AUDIT Teknologi
INFORMASI

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

11740005
12
Teknik Sistem Informasi Iwan Rijayana, S.Kom, M.M, M.Kom

Abstract Kompetensi

Mahasiswa mengetahui pengelolaan Mahasiswa mampu menjelaskan

fungsi audit Teknologi Informasi. pengelolaan fungsi audit Teknologi
Informasi.
 Modul 12
PENGELOLAAN FUNGSI AUDIT SISTEM INFORMASI
Fokus materi terutama adalah pada manajemen kelompok audit internal. Meskipun
demikian, banyak dari apa yang akan kita pertimbangkan akan berlaku juga, untuk
pengelolaan kelompok audit eksternal. Kami mengatur diskusi kami di seluruh fungsi
tradisional manajemen: perencanaan, pengorganisasian, staffing, memimpin, dan
mengendalikan. Dalam masing-masing fungsi utama, kami membahas macam kegiatan kita
cenderung untuk melaksanakan jika kita memiliki tanggung jawab keseluruhan untuk sistem
infor masi fungsi audit organisasi. Kami kemudian membahas cara-cara di mana bergerak
menuju profesionalisme telah terpengaruh dan cenderung terus mempengaruhi fungsi audit
sistem informasi.

FUNGSI PERENCANAAN

Kita perlu merumuskan dua jenis rencana ketika kita mengelola fungsi audit sistem
informasi: rencana jangka panjang dan rencana jangka pendek. Pada bagian sub berikut,
kita secara singkat memeriksa sifat, tujuan, dan persiapan masing-masing jenis rencana.

Perencanaan jangka panjang

Ketika kita melakukan jangka panjang perencanaan dalam kaitannya dengan fungsi audit
sistem informasi, tujuan kami adalah dua: (1) untuk memberikan arahan secara keseluruhan
untuk fungsi dan (2) untuk mencoba untuk memastikan kami akan memiliki sumber daya
yang memadai untuk melaksanakan tanggung jawab terkait dengan fungsi secara efektif
dan efisien. tekad kami dari mantan tujuan akan memiliki pengaruh yang nyata pada
pertimbangan kami dalam kaitannya dengan tujuan yang terakhir Secara keseluruhan,
tujuan jangka panjang dari fungsi audit sistem informasi harus mendukung misi organisasi di
mana ia ditempatkan. Kita harus menentukan, oleh karena itu, betapa pentingnya tujuan
pengamanan aset, integritas data, efektivitas sistem, dan efisiensi sistem yang ke organisasi
tuan rumah. Jelas, empat gol ini akan menjadi penting untuk batas tertentu dalam semua
organisasi. Kita harus mengakui, bagaimanapun, bahwa kepentingan relatif mereka akan
bervariasi di seluruh organisasi. Misalnya, aset pengamanan dan integritas data cenderung
menjadi penting im portance ke lembaga keuangan. Dalam sebuah perusahaan konsultan,
bagaimanapun, pengamanan aset dan integritas data akan sering menjadi perhatian kecil.
Perusahaan cenderung memiliki beberapa aset sistem formasi untuk menjaga dan sedikit
data yang sangat penting untuk operasinya. Sebaliknya, aset utama cenderung konsultan
perusahaan. Selain itu, data penting mungkin akan pengetahuan yang dimiliki oleh
konsultan ini. Singkatnya, kita perlu mengadopsi perspektif kontingensi pada sifat dan
jumlah perencanaan jangka panjang kami melakukan sehubungan dengan informasi sistem-
sistem fungsi audit. Dalam hal ini, McFarlan et al. (1983) jaringan strategis mungkin
membantu kami melakukan penentuan ini (Gambar 24-1). Ingat dari materi modul
sebelumnya bahwa mereka fokus pada pentingnya sistem informasi yang ada dan
pentingnya sistem informasi masa depan dalam menentukan sifat dan tingkat informa sistem
tion perencanaan yang harus dilakukan dalam sebuah organisasi. Luasnya perencanaan
perlu meningkatkan sebagai pentingnya sistem informasi yang ada dan masa depan untuk
sebuah organisasi meningkat. Demikian pula, lebih perencanaan jangka panjang perlu
dilakukan sebagai pentingnya informasi masa depan sistem-sistem ke kenaikan organisasi
Dalam konteks fungsi audit sistem informasi, kita akan berharap bahwa pengamanan aset,
integritas data, efektivitas, dan efisiensi akan menjadi lebih kritis sebagai pentingnya sistem
informasi yang ada dan masa depan ke lisasi meningkat organi. Dengan demikian, kita perlu
melakukan perencanaan yang lebih dalam tion rela untuk fungsi audit sistem informasi.
Demikian seperti pentingnya sistem informasi fu mendatang untuk sebuah organisasi
meningkat, kita akan perlu melakukan lebih perencanaan jangka panjang dalam kaitannya
dengan fungsi audit sistem informasi.

Gambar 24-1. Sistem informasi perencanaan audit dalam perspektif kontingensi.

(Adapted by permission of the Harvard Bussiness Review, From “The Information Archipelago-Plotting a course, “ by. F.Warren
McFarlan, James L. McKenney, and Philip Pyburn, January-February 1983. Copyright 1983 by the president and fellows of
Harvard College; all right reserved.)

Mempengaruhi Mempengaruhi

Misi dan tujuan Mempengaruhi Mempengaruhi

Hasil Fungsi SI Fungsi Audit SI
organisasi

meningkatkan pengamanan

aset efisiensi efektivitas integritas data

Gambar 24-2. Memiliki dampak pada misi dan tujuan organisasi melalui fungsi audit SI.
 Kita harus mengakui, juga, bahwa ada kemungkinan untuk mengubah tujuan
pengamanan aset, integritas data, efektivitas, dan efisiensi menjadi sumber keunggulan
kompetitif bagi suatu organisasi. Dalam terang ini, berencana untuk fungsi audit sistem
informasi tidak harus selalu menjadi sekunder untuk perencanaan keseluruhan dilakukan
pada misi dan tujuan organisasi. Dalam beberapa organisasi, ada kemungkinan untuk
menggunakan kegiatan fungsi audit sistem informasi untuk mempengaruhi penentuan misi
dan tujuan (Gambar 24-2) organisasi. Sejauh fungsi audit sistem informasi memungkinkan
tingkatan baru dari pengamanan aset, integritas data, efektivitas, dan efisiensi yang akan
dicapai, organisasi mungkin bisa melakukan inisiatif-untuk strategis misalnya, yang
mengarah untuk bersaing di pasar baru.

Perencanaan Jangka Pendek

Fitur utama dari perencanaan jangka pendek yang terkait dengan fungsi audit sistem
informasi harus menjadi program manajemen risiko bahwa manajemen mengadopsi. Tujuan
dari program ini adalah untuk mengidentifikasi daerah-daerah yang dalam sebuah
organisasi yang perlu diaudit dengan tujuan untuk mengurangi eksposur yang dihadapi oleh
organisasi untuk tingkat yang dapat diterima. Manajemen risiko harus proaktif dan bukan
reaktif.

Kami sudah memeriksa beberapa unsur penting yang mendasari program manajemen
risiko, ingat bahwa kita bahas tiga jenis risiko yang memiliki dampak penting pada pekerjaan
audit : risiko yang melekat, risiko pengendalian, dan risiko deteksi. Awalnya, kami mencoba
untuk menilai risiko yang terkait dengan tidak memenuhi pengamanan kami aset, integritas
data, efektivitas, dan tujuan efisiensi berdasarkan sifat organisasi atau proses bisnis dengan
yang kita hadapi (melekat risiko). Kami kemudian memeriksa keandalan kontrol di tempat
untuk mengurangi eksposur dari risiko ini. Jika kita percaya tujuan pengendalian kami masih
belum terpenuhi (risk control), kami merancang tes untuk mengkonfirmasi kecurigaan kami.
Ada risiko, bagaimanapun, bahwa tes ini akan tetap tidak mendeteksi kegagalan untuk
memenuhi tujuan pengendalian (risiko deteksi). Kami mencoba untuk mengendalikan risiko
audit keseluruhan yang kita hadapi, yang merupakan fungsi dari risiko yang melekat, kontrol,
dan deteksi.

Langkah-langkah penting yang dilakukan dalam program keamanan: (1) penyusunan

rencana proyek, (2) identifikasi aset, (3) penilaian aset, (4) identifikasi ancaman, ( 5)
penilaian ancaman kemungkinan, (6) analisis eksposur, (7) kontrol penyesuaian, dan (8)
penyusunan laporan. Tujuan kami dengan program keamanan adalah untuk mengurangi
kerugian yang diharapkan dari eksposur ke tingkat yang dapat diterima. Kami akan terus
menerapkan kontrol sampai ke titik di mana pengurangan kerugian diperkirakan dari
memiliki kontrol sama dengan biaya merancang, melaksanakan, operasi, dan memelihara
kontrol.

Sebuah program manajemen risiko memungkinkan kita untuk mengidentifikasi di mana kita
harus melakukan pekerjaan rinci terkait dengan audit atau program keamanan dan
bagaimana secara keseluruhan kami dapat mulai mengelola tingkat risiko audit yang terkait
dengan organisasi. Kebanyakan program manajemen risiko adalah variasi pada beberapa
langkah dasar:

1. Identifikasi unit analisis. Secara historis, fokus dari program manajemen risiko adalah unit
fungsional dalam suatu organisasi. Sekarang, bagaimanapun, program pemerintah risiko-
manajemen sering fokus pada proses bisnis dasar yang terkait dengan organisasi.
2. Identifikasi satu set risiko generik berhubungan dengan unit analisis. Beberapa taksonomi
bisnis-risiko yang berbeda telah diusulkan. Misalnya, Erickson (1996) membagi risiko
menjadi risiko keuangan (misalnya, risiko bahwa pelanggan tidak akan membayar, risiko
bahwa aset akan menurun karena tingkat bunga naik) dan risiko sistem (misalnya,
 kemudahan dengan yang hardware dapat diganti, pengolahan kompleksitas logika);
Arthur Andersen membagi risiko menjadi risiko lingkungan, risiko proses, dan informasi
untuk pengambilan keputusan risiko (Dahlberg 1996) dan Kanter dan Pitman (1997)
daftar 11 faktor risiko, termasuk ukuran unit analisis, kompleksitas operasi, dan likuiditas
aset.
3. Tentukan bobot risiko untuk setiap unit analisis. Pentingnya setiap risiko generik harus
dievaluasi dalam konteks masing-masing unit analisis. Seringkali, beberapa jenis bobot
ditugaskan untuk setiap faktor risiko generik (mis., Peringkat pada skala sepuluh poin).
Sebuah bobot materialitas mungkin juga ditugaskan untuk unit analisis. Beberapa jenis
pembobotan risiko global kemudian dapat dihitung sebagai fungsi dari penilaian risiko
generik individu dan mungkin bobot materialitas. Tabel 24-1 menunjukkan salah satu
pendekatan dimana bobot risiko untuk faktor risiko generik dijumlahkan dan kemudian
dikalikan dengan faktor materialitas (pada skala nol sampai sepuluh) untuk menentukan
bobot risiko keseluruhan untuk unit analisis
4. audit Prioritaskan ( evaluasi keamanan) berdasarkan bobot risiko. Ketika sebuah bobot
risiko secara keseluruhan telah ditentukan untuk masing-masing unit analisis, daftar
prioritas dapat disiapkan untuk unit yang berbeda. daftar prioritas ini membentuk dasar
untuk pelaksanaan audit atas, mengatakan, tahun yang akan datang
5. Tentukan sumber daya yang dibutuhkan untuk mendukung program audit yang akan
dilakukan. Ketika audit yang akan dilakukan telah ditentukan, sumber daya yang
diperlukan untuk mendukung audit tersebut dapat diperkirakan. Secara khusus,
kebutuhan personil (yang merupakan sumber daya yang paling signifikan diperlukan
dalam pelaksanaan audit) dapat diselesaikan. Jika kebutuhan sumber daya melebihi
orang-orang yang mungkin akan tersedia, beberapa iterasi harus terjadi untuk (a)
mendapatkan persetujuan manajemen

TABLE 24-1 Memprioritaskan Area Audit Menggunakan Bobot Risiko.

Risk Factory
Bussiness Process RF1 RF2 RF3 RF4 RF5 RF6 Materiality Overall Weighting
Order Entry 7 7 3 5 5 6 8 264
Invoicing 7 7 2 4 3 6 7 203
Accounts Receivable 7 7 1 2 3 6 7 182
Merchandise Returns 2 2 1 2 2 4 5 65
Bad Debt Recovery 3 4 1 3 2 4 5 85

RF1= Operational Impact

RF2= Bussiness Impact
RF3= Rate of Change
RF4= Complexity
RF5= Size
RF6= Risk of Fraud
Overall Weighting = Rfi X Materiality

Untuk lebih banyak sumber daya atau (b) membuat pemangku kepentingan menyadari bahwa
beberapa eksposur tidak mungkin dibahas dalam program audit yang akan dikejar dalam tahun
berjalan. perencanaan jangka pendek berdasarkan manajemen risiko tidak mungkin berhasil
kecuali unit stakeholder analisis secara aktif terlibat dalam proses manajemen risiko. Pemangku
kepentingan harus memiliki pengetahuan yang mendalam tentang unit mereka analisis. Dengan
demikian, mereka sering dalam posisi yang lebih baik dari auditor untuk menentukan risiko yang
mereka hadapi dan dampak potensial dari risiko ini. Untuk alasan ini, banyak organisasi
sekarang menggunakan proses kontrol self-assessment, yang pada dasarnya merupakan proses
formal, didokumentasikan dimana para pemangku kepentingan dalam unit analisis mengevaluasi
kemungkinan unit mereka mencapai tujuan pengamanan aset, integritas data, efektivitas, dan
efisiensi (West dan Khan 1997).

FUNGSI ORGANISASI

Ketika kita mengatur fungsi audit sistem informasi dalam sebuah organisasi, kita perlu
menetapkan (1) legitimasi formal tempatnya dalam organisasi, (2) peran dalam fungsi audit
organisasi secara keseluruhan, (3) apakah harus terpusat atau desentralisasi, dan (4)
bagaimana sumber daya. Kami akan memeriksa setiap masalah di subbagian berikut.

Perlu untuk Piagam Audit

Sebuah grup audit sistem informasi biasanya beroperasi dalam fungsi audit internal secara
keseluruhan dalam suatu organisasi. Legitimasi dan peran fungsi audit internal (dan karenanya
fungsi audit sistem informasi) harus dinyatakan dalam sebuah piagam audit. Cangemi (. 1996,
pp 9-11) mencatat bahwa piagam ini harus membahas tiga isu utama: tempat

1. Fungsi Audit dalam organisasi. Piagam tersebut harus secara resmi menetapkan tempat
fungsi audit dalam suatu organisasi dan menjelaskan cara-cara yang dimaksudkan untuk
berkontribusi keseluruhan misi organisasi dan tujuan.

2. Fungsi otoritas audit. Piagam tersebut harus menyatakan hak auditor untuk memiliki akses ke
catatan, fasilitas, dan tenaga dalam melakukan pekerjaan mereka. Piagam tersebut juga
harus membangun kanan audit manager internal untuk memiliki akses langsung kepada
Dewan komite audit Direksi atau Dewan itu sendiri.

3. Fungsi Audit lingkup. Piagam tersebut harus menetapkan tanggung jawab fungsi audit dalam
kaitannya dengan memberikan saran kepada manajemen tentang seberapa baik organisasi
tersebut mencapai pengamanan aset, integritas data, efektivitas, dan tujuan efisiensi. Pada
saat yang sama, itu harus menyatakan bahwa manajemen memiliki tanggung jawab utama
untuk kontrol dalam suatu organisasi dan melakukan tindakan korektif dalam terang saran
bahwa fungsi audit menyediakan.

Kecuali sebuah piagam audit yang ada, hak dan tanggung jawab dari kedua fungsi audit internal
dan fungsi audit sistem informasi dalam sebuah organisasi tidak akan jelas. Akibatnya,
perselisihan amanat kedua fungsi bisa muncul, dan efektivitas dan efisiensi mereka akan
merusak.

Staf Versus Jalur Fungsi

Sebuah perdebatan lama tentang bagaimana untuk mengatur audit sistem informasi fungsi
berkaitan dengan pertanyaan apakah spesialis Audit sistem informasi harus memainkan peran
staf atau peran garis dalam kelompok audit eksternal maupun internal (lihat, misalnya, Mullen
1993 ). Jika spesialis Audit sistem informasi memainkan peran staf, mereka memberikan nasihat
dan membantu auditor keuangan pada hal-hal teknologi yang kompleks yang berkaitan dengan
komputer (Gambar 24-3a). Jika mereka memainkan peran line, bagaimanapun,
 Audit
manager
(Partner)

Audit team 1 Audit team 2 IS Audit

Manager manager manager

General General IS audit IS audit

staff auditor staff auditor specialist specialist

Audit
manager
(Partner)

Audit team 1 Audit team 2 Audit team

Manager manager 3 manager

General General
staff General IS audit staff IS audit
auditor staff auditor specialist specialist
auditor

(b)

GAMBAR 24-3 (a). audit sistem informasi sebagai fungsi staf. (B). audit sistem informasi
sebagai fungsi line.

Mereka adalah bagian integral dari tim audit, dan mereka bertanggung jawab atas bagian-
bagian dari audit yang melibatkan komputer (Gambar 24-3b) Beberapa argumen yang
diberikan dalam mendukung memiliki sistem informasi spesialis audit yang memainkan
peran staf:

1. Lebih baik penggunaan sistem informasi sumber daya audit. Mempertahankan grup audit
sistem informasi yang efektif dan efisien membutuhkan komitmen besar untuk pendidikan
 dan pelatihan yang berkelanjutan. Selanjutnya, terampil sistem informasi auditor
seringkali sulit untuk menyewa. Dalam kapasitas staf, sistem informasi auditor fokus
hanya pada bagian-bagian dari audit yang melibatkan komputer. lebih baik menggunakan
dibuat, oleh karena itu, dari sumber daya yang langka.
2. kepuasan kerja yang lebih besar untuk sistem informasi auditor. sistem informasi auditor
bekerja dalam kapasitas staf akan fokus hanya pada bagian computerrelated audit.
penggunaan intensif lebih ini keterampilan mereka bisa memberi mereka kepuasan kerja
yang lebih besar.
3. lebih besar komitmen organisasi untuk audit sistem informasi. Dalam kapasitas staf,
kelompok Audit sistem informasi memiliki keberadaan yang terpisah. Dengan demikian,
manajemen senior cenderung mengabaikan fungsi audit sistem informasi. Mereka harus
lebih berkomitmen, karena itu, untuk dukungannya.
4. Memfasilitasi koordinasi dan kontrol antara sistem informasi auditor. Jika sistem informasi
auditor ditempatkan dalam kelompok yang terpisah memiliki manajer sendiri, kegiatan
mereka mungkin lebih mudah untuk mengkoordinasikan dan kontrol.
5. Fasilitasi peningkatan spesialisasi sistem informasi audit. Jika kelompok Audit sistem
informasi yang terpisah didirikan, berbagai anggota kelompok dapat mengkhususkan diri
dalam berbagai aspek teknologi komputer dan penggunaan (mis., Database, jaringan,
dan end-user computing). spesialisasi ini kemudian dapat digunakan untuk orang-orang
audit di mana mereka dibutuhkan.

Argumen ini telah memotivasi beberapa organisasi untuk mendirikan pusat kompetensi Audit
sistem informasi, yang pada dasarnya melaksanakan audit sistem informasi fungsi biro jasa.
auditor keuangan dapat mengirim file data ke pusat kompetensi untuk diproses. staf pusat
juga memberikan saran konsultasi spesialis untuk auditor keuangan. Pusat ini juga bisa
bertanggung jawab untuk mengembangkan dan memelihara sistem informasi standar audit,
informasi penyulingan metodologi sistem audit, dan pembelian, mengembangkan,
melaksanakan, pengujian, operasi, dan pemeliharaan teknik audit yang dibantu komputer.

Beberapa argumen telah diberikan, namun, untuk memiliki sistem informasi spesialis audit
yang memainkan peran garis daripada peran staf:

1. Besar goal congruence. Sebagai anggota integral dari tim audit memiliki tanggung jawab
penuh untuk audit, sistem informasi spesialis audit harus memiliki pemahaman yang lebih
baik dari tujuan audit secara keseluruhan. Selain itu, mereka harus lebih berkomitmen
untuk berhasil menyelesaikan nya.
2. Memfasilitasi komunikasi dalam fungsi audit. Keberadaan kelompok Audit sistem
informasi yang terpisah kadang-kadang menyebabkan gesekan antara sistem informasi
spesialis audit dan auditor keuangan. Sistem informasi auditor melihat auditor keuangan
sebagai teknis kekurangan dan resisten terhadap perubahan. Auditor keuangan melihat
spesialis Audit sistem informasi sebagai lebih tertarik pada teknologi daripada mencapai
tujuan audit. Jika dua jenis auditor ditempatkan dalam kelompok kerja yang sama,
mereka mungkin memiliki apresiasi yang lebih baik dari dan empati yang lebih besar
untuk peran masing-masing.
3. Meningkatkan keahlian audit secara keseluruhan dari kedua sistem keuangan dan
informasi auditor. Jika sistem informasi auditor melakukan fungsi line, auditor keuangan
cenderung membatalkan tanggung jawab untuk bagian-bagian dari audit yang melibatkan
komputer. Pada saat yang sama, sistem informasi auditor cenderung membatalkan
tanggung jawab untuk bagian-bagian dari audit yang tidak melibatkan komputer. Jika
 sistem informasi auditor melakukan fungsi garis, bagaimanapun, baik auditor keuangan
dan sistem informasi auditor harus menerima tanggung jawab yang lebih besar untuk
kinerja masing-masing. auditor keuangan memiliki insentif, karena itu, untuk
meningkatkan informasi keterampilan Audit sistem mereka. Demikian pula, sistem
informasi auditor memiliki insentif untuk meningkatkan keterampilan audit keuangan
mereka.
4. Koordinasi yang lebih baik dalam perencanaan dan pelaksanaan audit. Ketika sistem
informasi auditor melakukan fungsi garis, kadang-kadang perencanaan dan pelaksanaan
audit yang kurang terkoordinasi. auditor keuangan dan sistem informasi auditor mungkin
melakukan pekerjaan mereka pada waktu yang berbeda. Akibatnya, mereka mungkin
mengatasi tujuan audit yang berbeda, menduplikasi pekerjaan masing-masing, atau
menghilangkan untuk melakukan pekerjaan audit penting dalam keyakinan bahwa itu
akan dilakukan oleh yang lain. Mereka mungkin melakukan terlalu banyak pekerjaan
audit karena mereka gagal untuk menghargai bahwa kompensasi kontrol ada di daerah
mereka lakukan pemeriksaan overhead tambahan juga terjadi dalam pemeliharaan dua
struktur manajemen. Jenis masalah mungkin dikurangi jika dua kelompok yang
terintegrasi.

Adopsi dari staf versus peran baris untuk sistem informasi auditor memiliki beberapa
implikasi penting untuk beberapa aspek lain dari pengelolaan fungsi audit dalam contoh
organisasi-untuk, jalur karir yang bisa dikejar oleh sistem informasi auditor dan pendidikan
dan pelatihan mereka harus menerima.

Sentralisasi dan Desentralisasi

Dalam organisasi besar, keputusan kadang-kadang harus dibuat apakah kelompok audit
internal dan dengan demikian kelompok Audit sistem informasi harus terpusat atau
desentralisasi. Demikian pula, di sebuah perusahaan audit eksternal, keputusan kadang-
kadang harus dibuat tentang apakah kelompok Audit sistem informasi akan berlokasi hanya
beberapa kantor perusahaan atau desentralisasi untuk semua kantor perusahaan.

Pertanyaan tentang apakah kelompok Audit sistem informasi harus terpusat atau
desentralisasi tidak memiliki jawaban yang jelas. Faktor-faktor berikut adalah wakil dari
orang-orang yang mempengaruhi keputusan

1. Jika sistem informasi audit yang akan dilakukan di lokasi yang tersebar secara fisik,
kecenderungan ada menuju desentralisasi untuk mengatasi masalah komunikasi dan
kontrol.
2. Jika kelompok audit yang memiliki kekurangan sistem informasi keahlian audit,
kecenderungan ada ke arah sentralisasi untuk membuat lebih efektif menggunakan
keahlian terbatas yang tersedia.
3. Jika auditor keuangan memiliki kompetensi dasar dalam audit sistem informasi,
kecenderungan ada untuk memiliki kelompok terpusat spesialis Audit sistem informasi
melakukan fungsi staf
4. Jika pelaksanaan teknik audit berbantuan komputer di lokasi yang tersebar secara fisik
sulit, kecenderungan ada untuk membentuk kelompok audit yang terpusat infor sistem
infor yang melakukan layanan fungsi jenis biro.
5. kelompok Audit sistem informasi yang baru terbentuk cenderung terpusat. Desentralisasi
terjadi sebagai kelompok dewasa Mungkin faktor yang paling penting yang
mempengaruhi keputusan isasi sentralisasi-decentral adalah apakah organisasi di mana
kelompok Audit sistem informasi terletak terpusat atau desentralisasi terjadi sebagai
kelompok dewasa.

Mungkin faktor yang paling penting yang mempengaruhi keputusan sentralisasi-

desentralisasi adalah apakah organisasi di mana kelompok Audit sistem informasi terletak
terpusat atau desentralisasi. Seperti yang kita lihat dalam Bab 3, fungsi sistem informasi
cenderung lebih berhasil jika cara itu terstruktur adalah kongruen dengan cara organisasi
inangnya terstruktur. Demikian pula, fungsi audit sistem informasi cenderung lebih berhasil
jika cara itu terstruktur adalah kongruen dengan cara organisasi inangnya terstruktur.
Resourcing Fungsi Audit Sistem Informasi.

Resourcing Fungsi Audit Sistem Informasi

Jika sistem informasi audit harus dilakukan secara efektif dan efisien, sumber daya yang
memadai harus tersedia. Tersedia jangka panjang yang tepat dan perencanaan jangka
pendek dilakukan, sifat dan jumlah sumber daya yang dibutuhkan dapat diperkirakan.
Misalnya, rencana jangka pendek untuk fungsi audit sistem informasi harus memungkinkan
kita untuk memprediksi jumlah staf kami akan membutuhkan lebih dari tahun yang akan
datang, keterampilan staf tersebut harus memiliki, jenis-jenis teknik audit berbantuan
komputer kita akan perlu untuk mengumpulkan dan mengevaluasi bukti, dukungan yang
kami akan butuhkan dari karyawan lain (misalnya, programmer), dan tuntutan kita harus
membuat pada auditee selama pelaksanaan pekerjaan audit kami. Sebagai manajer yang
bertanggung jawab atas fungsi audit sistem informasi, kita harus memperoleh dan jadwal
ketersediaan sumber daya ini seperti yang diperlukan. Jika tidak, pelaksanaan audit sistem
informasi akan terganggu.

FUNGSI STAFFING

Fungsi kepegawaian terkait dengan staf audit sistem informasi ini mirip dengan fungsi staf
lain yang harus dilakukan dalam sebuah organisasi: Staf harus disewa, dikembangkan, dan
didukung, dan pemberhentian sukarela dan tidak sukarela dari staf harus dikelola (lihat Bab
3). Pada subbagian berikut, kita memeriksa masalah staf beberapa yang terutama
berhubungan dengan pengelolaan sistem informasi kepegawaian audit.

Sourcing dan Rekrutmen Sistem Informasi Staf Audit

Sebuah isu lama dalam disiplin Audit sistem informasi telah menjadi pertanyaan apakah
lebih baik untuk merekrut staf dengan latar belakang teknologi informasi atau staf dengan
latar belakang audit. Mereka yang mendukung merekrut staf dengan teknologi informasi
latar belakang g beberapa alasan. Pertama, mereka berpendapat bahwa terlatih profesional
komputer telah memiliki landasan yang solid dalam kontrol komputer. Sistem analis dan
programmer, misalnya, harus sudah memiliki pengalaman dalam desain dan implementasi
pengendalian dalam sistem mereka telah membangun. Kedua, mereka berpendapat bahwa
pengetahuan teknis dan wawasan yang diperlukan untuk mengevaluasi sistem informasi
berbasis komputer hanya dapat diperoleh melalui pengalaman praktis dalam desain sistem
dan implementasi. Ketiga, mereka berpendapat bahwa sistem informasi auditor
membutuhkan lebih banyak pengetahuan tentang teknologi informasi dari audit untuk
melakukan fungsi mereka dengan baik. Selain itu, pengetahuan audit yang diperlukan dapat
diperoleh dengan lebih mudah daripada pengetahuan teknologi informasi.

Mereka yang mendukung merekrut staf dengan latar belakang audit yang berpendapat,
pertama yang mendapatkan apresiasi dari filosofi kontrol keseluruhan yang dibutuhkan
untuk menjadi sistem informasi auditor yang efektif dan efisien terbaik diperoleh melalui
pendidikan awal dan pelatihan di bidang akuntansi dan audit. Kedua, mereka berpendapat
bahwa pada akhirnya tujuan dari banyak audit adalah untuk membuat beberapa penilaian
tentang keadaan catatan akuntansi. sistem informasi auditor yang memiliki lebih pelatihan
mendalam dalam akuntansi dan auditing yang terbaik ditempatkan untuk membuat penilaian
ini. Ketiga, mereka berpendapat bahwa pengetahuan teknologi informasi adalah volatile.
Terus-menerus berubah sebagai teknologi perubahan itu sendiri. Akuntansi dan audit
pengetahuan, di sisi lain, lebih stabil. Dengan demikian, ia menyediakan dasar yang lebih
baik dari yang bekerja sebagai auditor sistem informasi.

Rittenberg (1977) mencoba untuk menemukan sebuah resolusi untuk perdebatan ini. Dia
sejumlah besar auditor apakah mereka dianggap pengolahan data pengetahuan audit
pengetahuan menjadi lebih sulit untuk mendapatkan. Menariknya, mereka yang memiliki
latar belakang pengolahan data pikir pengetahuan audit lebih sulit untuk memperoleh.
Mereka yang memiliki latar belakang audit, bagaimanapun, berpikir pengolahan data
pengetahuan lebih sulit untuk memperoleh. Jelas, kedua jenis pengetahuan yang penting
untuk pekerjaan sistem informasi auditor. Selain itu, tidak ada jawaban yang mudah ada
untuk pertanyaan apakah kita lebih baik jika kita dididik pertama dalam teknologi informasi
atau berpendidikan pertama dalam akuntansi dan audi.

Setiap kali kita merekrut sistem informasi auditor, namun, kita perlu mengidentifikasi
pendidikan, pelatihan, pengalaman, dan keterampilan kita akan ingin ditunjuk untuk memiliki.
Persyaratan ini harus menjadi hasil dari upaya perencanaan kita. rencana jangka pendek
kami harus mengidentifikasi kebutuhan mendesak kami dalam hal kemampuan staf
khususnya, kebutuhan-kebutuhan yang penting dan mereka yang diinginkan dalam hal audit
kita perlu melakukan lebih dari mengatakan, 12 bulan ke depan. rencana jangka panjang
kami harus memberikan dasar untuk pengembangan staf serta perekrutan. Mempekerjakan
staf sistem informasi harus didasarkan pada seberapa baik pelamar memenuhi kedua ini
jangka pendek dan kebutuhan jangka panjang.

Penilaian dan Pengembangan Sistem Informasi Staf Audit

Seperti setiap staf, sistem informasi staf audit harus di bawah siklus teratur review dan
penilaian. Staf dan manajemen harus mempersiapkan secara menyeluruh untuk penilaian.
Setiap harus mencerminkan hati-hati pada kekuatan dan kelemahan anggota staf. Masing-
masing juga harus mencoba untuk mencapai kesepakatan dengan lainnya pada penilaian
mereka tentang kekuatan dan kelemahan anggota staf. Manajemen maka harus
menegaskan kekuatan anggota staf dan memberikan umpan balik konstruktif pada
kelemahan. Selain itu, tujuan pembangunan harus diatur dan rencana yang disiapkan untuk
memfasilitasi anggota staf mencapai tujuan.

Sistem informasi audit adalah profesi menuntut karena memerlukan praktisi untuk menjadi
mahir dalam keterampilan teknis yang berhubungan dengan komputer dan audit,
manajemen dan keterampilan organisasi, tertulis dan keterampilan lisan komunikasi,
keterampilan interpersonal, dan keterampilan kepemimpinan. Orang-orang sangat tidak
mungkin untuk memiliki semua keterampilan ini pada awal karir mereka. Sebaliknya, mereka
akan harus diperoleh (sering lambat dan menyakitkan) dari waktu ke waktu. Dalam terang
ini, rencana pengembangan staf harus mendorong perolehan keterampilan ini dengan cara
yang sama dan sebangun dengan tingkat sistem informasi auditor wewenang dan tanggung
jawab dalam organisasi mereka Misalnya, dalam peran tertentu, sistem informasi auditor
mungkin tidak harus memiliki tingkat tinggi keterampilan teknis untuk melakukan fungsi
mereka secara efektif.

Misalnya, dalam peran tertentu, sistem informasi auditor mungkin tidak harus memiliki
tingkat tinggi keterampilan teknis untuk melakukan fungsinya secara efektif. Mereka
mungkin perlu dilakukan pengguna dari teknik audit yang dibantu komputer, tetapi mereka
mungkin tidak perlu memiliki keterampilan yang dibutuhkan untuk mengembangkan teknik
ini sendiri. Asalkan mereka memiliki pemahaman yang moderat teknologi dan pemahaman
yang baik dan pengalaman dengan audit, domain aplikasi, dan "lunak" keterampilan seperti
komunikasi lisan, mereka mungkin berada dalam posisi yang kuat untuk melakukan audit
kompeten. Dalam peran lain, bagaimanapun, sistem informasi auditor mungkin memerlukan
tingkat tinggi keterampilan teknis. Misalnya, mereka mungkin harus bertindak sebagai
konsultan untuk mengaudit tim yang beroperasi di kompleks database dan komunikasi data
lingkungan. Program pelatihan mereka menghadiri, karena itu, mungkin lebih fokus pada
penyediaan pengetahuan dan pengalaman dengan teknologi dan kurang pada keterampilan
interpersonal.

Bruno (1994) berpendapat bahwa tiga menggarisbawahi pentingnya pendidikan

berkelanjutan dan pelatihan untuk sistem informasi auditor. Pertama, teknologi yang
mendasari sistem sedang mengalami perubahan konstan dan cepat. sistem informasi
auditor harus diberikan pendidikan dan pelatihan yang memungkinkan mereka untuk tetap
kompeten dalam teknologi. Kedua, banyak organisasi telah mengadopsi manajemen
kualitas total (TOM) praktek. Dalam terang ini, semua personil tunduk benchmarking
konstan dan penilaian. Pada saat yang sama, mereka sedang diberdayakan sehingga
mereka memiliki kontrol yang lebih besar atas pekerjaan mereka. Ketiga, organisasi terus
berhemat dan re-insinyur proses mereka. Kecuali sistem informasi auditor berpendidikan,
terlatih dan berpengalaman, mereka mungkin tidak mampu mengatasi secara efektif dengan
konsekuensi tren ini.

Jalur Karir untuk Sistem Informasi Staf Audit

Menemukan jalur karir yang cocok untuk sistem informasi auditor dapat menimbulkan
masalah. Seringkali organisasi hanya memiliki sejumlah kecil sistem informasi auditor
(kadang-kadang hanya satu). Mereka adalah kelompok spesialis antara auditor staf umum di
grup audit internal atau sebuah perusahaan audit eksternal. Dengan demikian, sistem
informasi auditor memiliki beberapa peluang promosi. Dalam beberapa sistem informasi
kelompok audit internal, beberapa tingkat dalam hirarki mungkin contoh ada-untuk, sistem
informasi asisten auditor, sistem informasi auditor, dan manajer audit sistem informasi.
diberikan tren organisasi terhadap perampingan dan perataan struktur manajemen,
bagaimanapun, jumlah tingkat kemungkinan menyusut daripada tumbuh. Dalam beberapa
perusahaan audit eksternal, jalan yang jelas untuk bermitra mungkin ada untuk individu yang
ingin mengkhususkan diri dalam sistem informasi audit-junior, senior, manajer, dan partner.
Sistem informasi kelompok audit dalam perusahaan audit eksternal juga mungkin lebih
besar daripada kelompok Audit sistem informasi yang merupakan bagian dari kelompok
audit internal organisasi.

Beberapa sistem informasi auditor mungkin tidak melihat ke berbagai kesempatan promosi
sebagai dasar untuk memperoleh kepuasan dari pekerjaan mereka. Sebaliknya, mereka
mungkin mencari imbalan intrinsik mereka peroleh dari berlatih sebagai sistem informasi
auditor-misalnya, berbagai pekerjaan yang mereka hadapi, dan tantangan yang mereka
hadapi dalam sisa yang kompeten sebagai perubahan teknologi informasi dengan cepat.
aspirasi suatu sistem informasi auditor perlu ditangani selama pertemuan appraisal. Orang
yang mencari peluang promosi yang luas harus menasihati pada set realistis mereka hadapi
jika mereka melanjutkan karir mereka di audit sistem informasi. Orang yang mencari imbalan
intrinsik, bagaimanapun, harus diberikan kesempatan untuk mengartikulasikan cara di mana
mereka dapat diberikan pengalaman, pendidikan, dan pelatihan untuk menyediakan mereka
dengan karir yang memuaskan.

Sebuah karir di audit sistem informasi sering dipandang sebagai batu loncatan yang
berguna untuk lainnya karir-misalnya, data atau administrasi database, konsultan sistem
informasi, manajemen sistem informasi, manajemen jaminan mutu, administrasi keamanan,
dan manajemen keuangan. Seperti semua posisi audit, mapan mendapatkan lebar,
beragam pengalaman yang berdiri mereka dalam manfaat yang baik untuk banyak posisi
lainnya dalam organisasi. audit sistem informasi juga memiliki keuntungan tambahan
memberikan mapan dengan landasan yang sangat baik dalam teknologi informasi, yang
sekarang penting untuk strategi dan operasi banyak organisasi.

FUNGSI MMEMIMPIN

Ingat dalam Bab 3 bahwa kami mengakui tujuan fungsi terkemuka adalah untuk mencapai
keselarasan tujuan. Dengan kata lain, manajer berusaha untuk melaksanakan fungsi
kepemimpinan efektif untuk mencoba untuk memastikan bahwa orang atau kelompok dalam
kerja organisasi mereka untuk mencapai tujuan organisasi. Manajer berusaha untuk
mencapai tujuan kepemimpinan melalui proses memotivasi memberikan arahan untuk, dan
berkomunikasi dengan bawahan mereka. Dalam dua subbagian berikut, kita membahas
tujuan kepemimpinan dan proses yang berlaku untuk fungsi audit sistem informasi.

Tujuan kepemimpinan
Manajer kelompok Audit sistem informasi perlu khawatir tentang mencapai keharmonisan
tujuan pada tiga tingkatan (Gambar 24-4). Pertama, tindakan yang diambil oleh auditor
sistem informasi individu atau tim dari sistem informasi auditor harus kongruen dengan
tujuan keseluruhan audit tertentu di mana mereka berpartisipasi. kepemimpinan yang efektif
diperlukan untuk memastikan bahwa auditor sistem informasi individu atau tim dari sistem
informasi auditor tidak sengaja atau tidak sengaja bekerja di lintas tujuan dengan satu sama
lain. Kedua, setiap audit perlu dilakukan sedemikian rupa bahwa hasil adalah kongruen
dengan orang-orang yang didirikan berdasarkan rencana jangka pendek yang harus disusun
untuk fungsi audit sistem informasi. Ingat dari diskusi kami sebelumnya bahwa tujuan utama
dari rencana jangka pendek adalah untuk memberlakukan strategi manajemen risiko
organisasi yaitu, untuk mengidentifikasi daerah-daerah yang dalam sebuah organisasi yang
perlu diaudit dengan tujuan untuk mengurangi

Misi dan tujuan organisasi

Kesesuaian Level 3

Misi, tujuan dan rencana

fungsi audit SI

Kesesuaian Level 2

Tujuan dari sistem tertentu

auditor informasi

Kesesuaian Level 1

Tindakan individu auditor SI

GAMBAR 24-4. Mencapai Keharmonisan tujuan dalam fungsi audit SI

eksposur yang dihadapi oleh organisasi untuk tingkat yang dapat diterima. kepemimpinan
yang efektif diperlukan untuk memastikan bahwa setiap audit kontribusi dalam cara yang
dimaksudkan untuk pengurangan secara keseluruhan dalam eksposur. Ketiga, kegiatan
fungsi audit sistem informasi secara keseluruhan harus membantu organisasi untuk
mencapai misi dan tujuan dan, dalam beberapa kasus, untuk membentuk misi dan
tujuannya. kepemimpinan yang efektif diperlukan untuk memastikan bahwa upaya agregat
semua yang bekerja di fungsi audit sistem informasi berkontribusi secara efektif dan efisien
untuk misi dan tujuan organisasi.

Dalam diskusi kami apakah sistem informasi auditor harus melakukan baik fungsi staf atau
fungsi garis, kita sudah diteliti beberapa kesulitan yang timbul dalam mencapai
keharmonisan tujuan dalam fungsi audit sistem informasi. Jika sistem informasi auditor
melakukan fungsi staf, misalnya, kepemimpinan yang efektif akan diperlukan untuk
memastikan bahwa mereka tidak mengejar agenda mereka sendiri (misalnya, memperoleh
pengalaman dalam audit teknologi baru) daripada berkontribusi untuk mencapai tujuan audit
di yang mereka berpartisipasi. Demikian pula, kepemimpinan yang efektif akan diperlukan
untuk memastikan bahwa sistem informasi auditor dan auditor keuangan
mengkoordinasikan pekerjaan yang mereka lakukan. Proses kepemimpinan.

Proses Kepemimpinan

Proses kepemimpinan Ingat dari Bab 3 bahwa teori-teori kontingensi motivasi memprediksi
faktor-faktor yang memotivasi orang-orang terbaik akan bervariasi tergantung pada sifat dari
orang tersebut. Manajer fungsi audit sistem informasi, oleh karena itu, harus memahami
kebutuhan masing-masing bawahan mereka jika mereka ingin memotivasi mereka secara
efektif. Mereka mendapatkan pemahaman ini melalui (1) observasi dan refleksi pada
perilaku mereka saat mereka melakukan peran Audit sistem informasi dan (2) umpan balik
yang diperoleh dari mereka, terutama ketika manajer melakukan wawancara penilaian
pribadi dengan mereka. Jika sistem informasi auditor memiliki orientasi karir teknis, manajer
mungkin dapat mengakomodasi kebutuhan mereka dengan menyediakan mereka dengan
pengalaman kerja yang mencakup berbagai teknologi. Jika auditor memiliki orientasi karir
manajerial, namun, manajer mungkin hanya dapat menyediakan mereka dengan
kesempatan terbatas. seperti yang dibahas sebelumnya, kelompok Audit sistem informasi
biasanya kecil dengan beberapa lapisan manajerial. Dalam terang ini, kemajuan karir
manajerial sering harus dicari di luar kelompok Audit sistem informasi.

Seperti motivasi, teori kontingensi kepemimpinan menunjukkan bahwa pendekatan untuk

memberikan arahan digunakan juga harus bervariasi tergantung pada kebutuhan orang-
orang yang berhasil. Pada satu ekstrim, arah dapat diberikan menggunakan gaya otoriter.
Pada ekstrem yang lain, arah dapat dilihat melalui demokrasi proses, partisipatif. Mantan
Pendekatan cenderung lebih berhasil ketika melakukan pekerjaan audit sistem informasi
rutin di mana auditor memiliki pengetahuan yang luas dan pengalaman dengan tujuan audit
dan prosedur audit. Pendekatan terakhir ini cenderung lebih sukses ketika melakukan
pekerjaan audit di mana ketidakpastian yang tinggi ada.

Pelaksanaan audit berkualitas tinggi mengharuskan manajer berkomunikasi secara efektif

dengan staf mereka. Ingat dari Bab 3 bahwa komunikator yang baik harus memiliki
attributes- tertentu pribadi misalnya, kesadaran, objektivitas, kapasitas untuk empati, dan
pengetahuan diri. Manajer harus berusaha untuk menumbuhkan sifat-sifat ini dalam diri
mereka sendiri dan dalam bawahan mereka. Selain itu, manajer harus menempatkan bentuk
rutinitas tertentu komunikasi. Sebagai contoh, manajer harus memastikan bahwa jangka
panjang dan pendek-istilah rencana untuk fungsi audit sistem informasi didokumentasikan
dan disebarluaskan dan bahwa tujuan dari setiap audit dimengerti oleh tim audit yang harus
melakukan pekerjaan. Jika tidak, rutin, sehari-hari pekerjaan audit sistem informasi
kemungkinan akan dirusak.
FUNGSI PENGENDALIAN

Berolahraga kontrol atas fungsi audit sistem informasi perlu dipahami dalam konteks
berolahraga manajemen mutu total dan perbaikan terus-menerus dalam organisasi di mana
fungsi audit sistem informasi berada. Seperti semua personil lainnya dalam suatu
organisasi, sistem informasi auditor harus berusaha terus menerus untuk memastikan
bahwa pekerjaan memenuhi standar kualitas dan untuk mengidentifikasi cara-cara untuk
meningkatkan kualitas pekerjaan mereka. Pada tingkat audit individu, kontrol dapat
dilakukan dengan beberapa cara:

1. Pada awal audit, tujuan harus dinyatakan dengan jelas dan didokumentasikan. Selain itu,
sumber daya yang diperlukan untuk melakukan audit harus ditentukan. Melakukan
keseluruhan audit perlu direncanakan dan didokumentasikan. Spreadsheet dan
perangkat lunak manajemen proyek dapat digunakan untuk membantu tugas-tugas ini
2. Selama pelaksanaan audit, kemajuan perlu dipantau dan dievaluasi. varians materi dari
rencana audit harus diselidiki. Kualitas pekerjaan yang dilakukan juga perlu dievaluasi.
Selain itu, pekerjaan audit yang telah dilakukan harus didokumentasikan dengan benar.
alat otomatis, seperti software untuk mendukung telaah kertas kerja selesai dan
pengendalian internal evaluasi, dapat digunakan untuk meringankan tugas dokumentasi.
3. Sepanjang audit dan dekat akhir audit, pekerjaan yang dilakukan harus dikenakan
tinjauan independen. Ulasan ini harus mengevaluasi apakah kertas kerja yang lengkap,
pekerjaan yang dilakukan telah direncanakan dengan baik dan diawasi, prosedur audit
yang tepat telah digunakan, hasil dari dukungan audit kesimpulan audit tercapai, dan
pekerjaan audit yang telah dilakukan secara efektif dan efisien . Adalah penting bahwa
pekerjaan ini harus dilakukan sebelum manajer audit tanda-tanda dari pada audit.
4. perawatan substansial harus diambil dengan melaporkan hasil audit. Laporan audit harus
jelas, meyakinkan, dan faktual. Pembaca harus melihat bagaimana kesimpulan yang
dicapai dapat dikaitkan dengan temuan audit. praktek yang baik harus ditegaskan dalam
laporan audit: praktek yang buruk dan kelemahan kontrol harus ditunjukkan secara
obyektif. konsekuensi potensial dari praktek yang buruk dan kelemahan kontrol harus
diartikulasikan. rekomendasi untuk perbaikan harus disediakan
5. Setelah penyelesaian audit, pemangku kepentingan (mis., Komite audit Dewan Direksi
dan manajemen dari fungsi yang telah diaudit) harus berkonsultasi untuk menentukan
kepuasan mereka dengan pekerjaan audit yang dilakukan. Konsultasi ini mungkin
melibatkan pemangku kepentingan menyelesaikan kuesioner untuk menilai persepsi
mereka tentang kualitas pekerjaan audit yang dilakukan (lihat, misalnya, Levine 1993).

Pada tingkat fungsi audit sistem informasi keseluruhan, berbagai jenis kontrol dapat
dilakukan Pada secara teratur sepanjang tahun, tinjauan rinci harus dilakukan pada
penugasan audit yang dipilih yang telah dilakukan untuk memastikan pekerjaan yang
dilakukan memenuhi standar kualitas. Pada dasar tahunan, sistem informasi standar,
kebijakan, dan prosedur perlu dievaluasi untuk memastikan mata uang dan kelayakannya.
Setiap beberapa tahun, sebuah, pihak independen eksternal mungkin diminta untuk
meninjau fungsi audit sistem informasi untuk menilai efektivitas dan efisiensi.

Kita juga bisa menggunakan benchmarking untuk mengevaluasi seberapa baik fungsi audit
sistem informasi kinerja. Ingat bahwa benchmarking adalah proses menggunakan nilai
indikator kinerja utama untuk membandingkan kinerja fungsi atau proses dalam suatu
organisasi dengan fungsi yang sama atau proses dalam organisasi lainnya. Dalam kasus
audit sistem informasi, yang macam indikator kinerja utama kita mungkin menggunakan
adalah kegiatan yang dilakukan oleh kelompok Audit sistem informasi, sumber daya
dikeluarkan audit sistem informasi, waktu yang dibutuhkan untuk menyelesaikan sistem
informasi audit, tingkat kepuasan pemangku kepentingan dengan fungsi audit sistem
informasi, dan tingkat turnover staf sistem informasi audit, bagaimanapun, bahwa kita harus
berhati-hati dalam penggunaan benchmarking. Sehubungan dengan organisasi lain,
misalnya, keadaan lingkungan sekitarnya organisasi kita sendiri mungkin berbeda jauh.
Selain itu, strategis kita mungkin ingin mengejar arah pemeriksaan sistem informasi yang
berbeda dari mereka yang organisasi lain mengejar.

TERHADAP SISTEM INFOMASI AUDIT PROFESIONALISME

Salah satu keunggulan dari profesi adalah bahwa asosiasi profesional ada untuk melayani
kebutuhan anggotanya. kebutuhan ini sering didefinisikan dalam hal lima kondisi yang harus
dipenuhi jika sebuah kelompok kerja adalah untuk menyebut dirinya profesi: I) keberadaan
suatu badan umum pengetahuan, (2) Adanya standar kompetensi, (3) perilaku yang valid
dan pemeriksaan diandalkan untuk menilai kompetensi, (4) adanya kode etik, dan (5)
penegakan kode etik melalui mekanisme disiplin.

Asosiasi profesional

Sejak pertengahan 1960-an, banyak asosiasi profesional yang ada akuntan telah berusaha
untuk mengatasi kebutuhan anggota mereka yang bekerja di bidang audit sistem informasi.
Sebagai contoh, American Institute Akuntan Publik (AICPA) dan Institute of Chartered
Accountants di Australia (ICAA) memiliki gugus tugas dan menghasilkan publikasi yang
telah difokuskan pada kontrol dan audit dalam lingkungan komputerisasi. Berbagai asosiasi
profesi komputasi juga telah berusaha untuk memenuhi kebutuhan anggota mereka yang
memiliki kepentingan dalam audit sistem informasi dan kontrol. Sebagai contoh, Association
for Computing Machinery (ACM) dan Institute of Electrical dan Electronic Engineers (IEEE)
keduanya memiliki hal khusus dalam kelompok kepentingan yang berhubungan dengan hal-
hal yang berhubungan dengan keamanan komputer.

Pada tahun 1969, Asosiasi Auditor EDP (EDPAA) didirikan di Los Angeles sebagai
organisasi profesional yang dimaksudkan untuk mengatasi secara khusus kebutuhan sistem
informasi auditor. Asosiasi dimulai dengan sekitar 100 anggota. Saat ini memiliki lebih dari
14.000 anggota di lebih dari 100 negara. Dan juga memiliki asosiasi lokal di lebih dari 50
negara yang tersebar di seluruh dunia. Anggota gugus yang bertugas terdiri dari banyaknya
bab. Presiden internasional juga telah dipilih dari berbagai negara. Pada tahun 1994,
Asosiasi berubah nama menjadi Asosiasi Audit dan Pengendalian Sistem Informasi
(ISACA). Informasi lebih lanjut tentang ISACA dapat diperoleh di situs World Wide Web-nya:
http://www.isaca.org.
Common Body of Knowledge

Awal keberadaannya, EDPAA berusaha untuk mengartikulasikan common body of

knowledge untuk sistem informasi auditor. Dalam terang ini, pada tahun 1976 ia mendirikan
EDP Auditor Foundation (EDPAF). EDPAF dibuat dengan tanggung jawab pada pendidikan
dan penelitian dalam Asosiasi. Sebagai salah satu tugas utama, ia melakukan survei utama
dari sistem informasi manajer, informasi sistem auditor, dan sistem informasi dan pendidik
audit untuk mencoba mengidentifikasi dan memperoleh konsensus tentang jenis dan tingkat
pengetahuan bahwa sistem informasi harus memiliki auditor yang kompeten.

Sebuah hasil utama dari survei ini adalah produksi dari publikasi yang disebut Kontrol
Tujuan. Publikasi ini menetapkan tujuan pengendalian untuk berbagai jenis dari kegiatan
keorganisasian, daftar kontrol yang dapat digunakan untuk mencapai tujuan tersebut, dan
daftar prosedur audit yang dapat digunakan untuk menentukan apakah kontrol ini berada di
tempat dan beroperasi andal. Tujuan pengendalian direvisi secara berkala untuk
mencerminkan lingkungan sistem informasi audit yang berubah. Anggota Asosiasi
diharapkan mampu menunjukkan bahwa mereka memiliki tingkat yang kompeten atas
pengetahuan Control Objective. Pada intinya, itu didokumentasikan Common Body of
Knowledge yang kemudian-EDPAA percaya sistem informasi yang kompeten auditor yang
harus dimiliki.

Pada tahun 1996, Control Objectives digantikan dengan publikasi multi-volume yang disebut
Kontrol tujuan untuk informasi dan Teknologi Terkait (Dalam formasi Sistem Audit dan
Kontrol Yayasan 1996). Pada tahun 1998, ISACA membuat edisi kedua dari COBIT. Fokus
COBIT adalah pada proses bisnis. Untuk setiap proses bisnis, COBIT memiliki daftar tujuan
pengendalian, kontrol yang dapat digunakan untuk mencapai tujuan tersebut, dan prosedur
audit yang dapat digunakan untuk menentukan apakah kontrol berada dan beroperasi di
tempat yang terpercaya . Sekali lagi, COBIT pada dasarnya mengartikulasi Common Body
of Knowledge untuk audit sistem informasi yang profesional.

ISACA ini bertujuan untuk menyebarluaskan pengetahuan tentang pemeriksaan sistem

informasi dan kontrol dalam berbagai cara. Misalnya, masing-masing bab lokal menawarkan
sesi teknis reguler bagi para anggotanya. ISACA juga memiliki pencarian dan agenda
publikasi. penelitian monograf yang berbeda pada sistem informasi audit dan kontrol topik
yang tersedia melalui toko buku, dan itu diterbitkan pada triwulan jurnal yang disebut Audit &
Kontrol Jurnal. ISACA juga telah mengembangkan model kurikulum pada sarjana dan
pascasarjana untuk auditing sistem informasi.

Kompetensi standar

pada tahun 1985, EDPAA membentuk Dewan standar untuk mengembangkan dan
menyebarluaskan standar yang akan mengarahkan pekerjaan sistem informasi auditor.
Dewan diminta untuk mengembangkan standar yang akan berlaku secara internasional.
Pada Juni 1987, EDPAA merilis "Standar Umum dari Auditing Sistem Informasi." Standar
awal ini telah diperbarui dan diperluas untuk mencakup daerah baru. Standar itu adalah
sebagai berikut :
1. piagam Audit

2. kemerdekaan

> kemerdekaan profesional

> hubungan organisatoris

3. Etika & standar profesional

> kode etik profesional

> perawatan profesional

4. Kompetensi

> kemampuan dan pengetahuan

> melanjutkan pendidikan profesional

5. perencanaan

> audit perencanaan

6. kinerja pekerjaan audit

> pengawasan > bukti

7. pelaporan

> melaporkan isi dan bentuk

8. tindak lanjut kegiatan

> tindakan lanjutan

Setelah penerbitan Standar Umum, beberapa Pernyataan tentang standar audit Sistem
Informasi telah dikeluarkan untuk 'menggoda' implikasi dari Standar Umum untuk berbagai
aspek praktek audit sistem informasi. Ini mencakup bidang-bidang berikut:

Judul

1. Kemerdekaan: sikap dan penampilan;hubungan organisasi

2. Kemerdekaan: keterlibatan dalam proses pengembangan sistem

3. Kinerja kerja: persyaratan bukti

4. Kinerja kerja: perawatan profesional

5. Kinerja kerja: penggunaan penilaian risiko dalam perencanaan audit

6. Kinerja kerja: audit dokumentasi

7. pelaporan: laporan audit

8. Kinerja kerja: pertimbangan audit penyimpangan

9. Kinerja kerja: penggunaan alat-alat perangkat lunak audit

Isi pernyataan di IS standar auditing

1. Auditor sistem informasi harus memiliki sikap independen terhadap audit. Mereka juga
harus menjadi mandiri. Mereka harus independen dari unit organisasi yang mereka
evaluasi.
2. sistem informasi auditor harus independen meninjau proses pengembangan sistem yang
diikuti oleh tim proyek. Mereka tidak harus menjadi aktif pemerintah yang terlibat dalam
pengembangan dan implementasi sistem aplikasi. Mereka dapat merekomendasikan
kontrol dan perangkat sistem, bagaimanapun, tanpa merusak kemerdekaan mereka.
Selain itu, mereka bisa terlibat dalam desain dan pelaksanaan audit tool dan teknik tanpa
merusak kemerdekaan mereka.
3. Auditor Sistem informasi harus memperoleh bukti yang cukup, relevan, dan dapat
diandalkan untuk mendukung temuan dan kesimpulan mereka. Bukti ini harus diatur
dengan baik dan didokumentasikan.
4. Dalam pelaksanaan pekerjaan mereka, auditor sistem informasi perawatan harus latihan
dengan tingkat keterampilan yang sepadan yang dimiliki oleh rekan-rekan mereka.
5. Auditor Sistem informasi harus menggunakan teknik penilaian risiko untuk
mengembangkan rencana audit keseluruhan dan untuk merencanakan audit tertentu.
Mereka harus mendokumentasikan teknik penilaian risiko mereka telah mengadopsi.
6. Auditor sistem informasi harus menjaga dokumentasi yang menunjukkan rencana audit
mereka, ruang lingkup audit dan tujuan, program audit, langkah audit, bukti yang
dikumpulkan, temuan audit dan kesimpulan, laporan audit dan tanggapan audit untuk
direkomendasi.
7. Auditor sistem informasi harus mengeluarkan laporan bahwa komunikasi merupakan
tujuan audit, standar auditing yang digunakan, ruang lingkup audit, dan temuan dan
kesimpulan. Laporan tersebut harus diatur dan disajikan secara logis, dikeluarkan secara
tepat waktu, mengidentifikasi audit, dan mengindikasikan.
8. Tanggal penerbitan auditor sistem informasi harus menilai risiko terjadinya
penyimpangan ketika mereka melakukan audit. Mereka harus merancang tes audit yang
cukup mungkin diharapkan untuk mendeteksi penyimpangan material. Ketika
penyimpangan terdeteksi, dampaknya terhadap tujuan audit dan bukti yang dikumpulkan
harus dipertimbangkan. Keberadaan mereka harus dikomunikasikan kepada manajemen
dalam auditor.
9. Sistem informasi secara tepat dan tepat waktu harus memperoleh keyakinan memadai
integritas dan kegunaan dari perangkat lunak audit mereka berniat untuk digunakan
dalam audit. Ketika mereka menggunakan perangkat lunak audit untuk mengakses data
produksi, mereka harus berusaha untuk melindungi integritas dari sistem produksi dan
data.

ISACA juga telah mengeluarkan serangkaian audit sistem informasi garis panduan. Tujuan
dari pedoman ini adalah untuk memberikan bantuan praktis ketika menerapkan standar
sistem informasi audit. Anggota ISACA harus sesuai dengan standar di bawah Kode Etik
Profesional (lihat bagian berikutnya). Ketidakpatuhan bisa mengakibatkan hilangnya
sertifikasi untuk anggota yang memegang sertifikat Certified Information Sys tems Auditor
(lihat bagian berikutnya) atau hilangnya keanggotaan Asosiasi.

Pemeriksaan Kompetensi

Pada tahun 1978, EDPAA mengumumkan secara resmi bahwa mereka akan membuat
pemeriksaan dan sertifikasi proses sebagai sarana menilai apakah orang yang mengaku
anggota dari profesi telah mencapai tingkat tertentu kompetensi. Dalam hubungannya
dengan Educational Testing Center of Princeton, New Jersey, EDPAF mengembangkan
Sistem Informasi Bersertifikat Auditor (CISA) Pemeriksaan. Yayasan memiliki beberapa
tujuan: (1) untuk mengembangkan dan mempertahankan instrumen valid dan handal yang
dapat digunakan untuk menguji kompetensi seseorang dalam audit sistem informasi, (2)
untuk memotivasi orang untuk im membuktikan dan mempertahankan kompetensi mereka
sebagai auditor sistem informasi, (3) secara berkesinambungan untuk memantau
kompetensi individu yang mengaku dirinya sebagai sistem informasi auditor, dan (4) untuk
membantu manajemen dengan pilihan personil dan pembangunan. Setelah awal
"grandfather period" berpengalaman dalam audit sistem informasi, pada 10 April 1981
pemeriksaan menjadi kebutuhan bagi mereka yang ingin mendapatkannya.

CISA sekarang diterima secara luas sebagai tolok ukur untuk mengevaluasi kompetensi
suatu auditor sistem informasi . Setiap tahun pemeriksaan iklan melayani dalam beberapa
bahasa di banyak pusat-pusat pengujian di seluruh dunia. Tanggung jawab untuk
memelihara t dipegang Uji ISACA ini Meningkatkan Komite tambahan uji (TEC). TEC
mengumpulkan dan mengevaluasi pertanyaan ujian dari orang-orang yang tertarik pada
pertanyaan tertulis untuk pemeriksaan.

Ujian CISA meliputi lima pekerjaan:

1. Informasi standar audit sistem dan praktik dan sistem informasi se curity dan kontrol
praktek;
2. Informasi sistem dan manajemen (strategi, kebijakan dan prosedur, struktur organisasi);
3. Proses Sistem informasi (hardware dan software platform, komunikasi infrastruktur
jaringan)
4. Sistem informasi integritas, kerahasiaan dan ketersediaan (misalnya, logis dan fisik
kontrol, validasi data), dan
5. sistem informasi pembangunan, perolehan dan pemeliharaan.

Jumlah pertanyaan dalam setiap domain pekerjaan bervariasi untuk mencerminkan

pentingnya relatif domain dalam pelaksanaan Fungsi Pekerjaan auditor sistem informasi.
Bobot relatif didirikan setelah survei skala besar auditor sistem informasi untuk menetapkan
pentingnya setiap domain. Untuk mendapatkan penunjukan CISA, auditor sistem informasi
harus lulus ujian CISA dan memiliki minimal sistem informasi lima tahun dan mengontrol
Beberapa yang dapat diperoleh dalam kaitannya dengan kebutuhan untuk pengalaman
misalnya, dua tahun belajar di universitas dan telah memiliki gelar sarjana. Pengalaman ini
harus telah diperoleh dalam jangka waktu sepuluh tahun sebelum duduk kandidat untuk
pemeriksaan penunjukan CISA tidak otomatis. auditor sistem informasi yang telah
memperoleh sertifikasi CISA harus memenuhi persyaratan sebagai berikut:
 1. Laporan bahwa mereka telah memperoleh minimal 20 jam kontak melanjutkan
pendidikan profesional setiap tahun,
2. Bayar biaya perawatan agar melanjutkan pendidikan secara penuh
3. Mematuhi Kode ISACA untuk Profesional etika.
4. Laporan bahwa mereka telah mendapatkan minimal 120 jam kontak melanjutkan
pendidikan profesional selama setiap tiga tahun periode sertifikasi.

Kode Etik

Anggota ISACA dan pemegang sebutan CISA harus mematuhi Kode Etik. Kode ini
mencakup hal-hal berikut:

1. Dukungan untuk pembentukan dan sesuai dengan standar sistem informasi, prosedur,
dan pengendalian
2. Kepatuhan dengan standar yang diberlakukan oleh ISACA,
3. Layanan Terpercaya untuk pemangku kepentingan dalam proses audit, dan menghindari
partisipasi dalam tindakan yang tidak benar;
4. Pemeliharaan kerahasiaan bukti audit yang diperoleh;
5. Pemeliharaan kemerdekaan;
6. Pemeliharaan kompetensi melalui partisipasi dalam kegiatan pembangunan yang tepat
profesional
7. Hati-hati dalam penggunaan dokumentasi ketika melakukan audit, dan akuisisi dan bukti
yang cukup untuk mendukung kesimpulan audit dan rekomendasi
8. Komunikasi hasil audit kepada pemangku kepentingan sesuai dalam proses audit
9. dukungan untuk pendidikan pemangku kepentingan dalam proses audit untuk
meningkatkan pemahaman mereka tentang sistem informasi dan audit sistem informasi;
dan
10. Pemeliharaan standar perilaku keduanya yaitu profesional dan tingkat pribadi.

Mekanisme Disiplin

Sebagaimana dibahas sebelumnya, ISACA akan mengambil tindakan disipliner terhadap

anggotanya jika mereka melanggar Kode nya Etik Profesional. Misalnya, jika anggota tidak
mematuhi Standar Umum, keanggotaan mereka akan dicabut. Seorang anggota yang
memegang sebutan CISA juga akan kehilangan sertifikasi mereka. Mengingat sifat
internasional dari ISACA, sulit untuk memberikan dukungan hukum untuk mekanisme
disiplin. Dalam komunitas Audit sistem informasi internasional, bagaimanapun, peran ISACA
sekarang dipahami dengan baik. Selain itu, penunjukan CISA diterima dengan baik dan
dihormati oleh banyak pengusaha dari sistem informasi auditor. tindakan disiplin oleh ISACA
akan memiliki kekuatan, oleh karena itu, dalam arti bahwa mereka secara substansial dapat
berdampak kesempatan kerja suatu sistem informasi auditor.
Beberapa masa depan dari Auditing Sistem Informasi

Pada bagian akhir buku ini, kita secara singkat memeriksa beberapa faktor utama yang
cenderung memiliki signifikan, dampak berkelanjutan pada pekerjaan di masa depan sistem
informasi auditor. Beberapa telah abadi (mis, privasi.); yang lain telah lebih baru (mis.,
Internet). Sebagai manajer dari fungsi audit sistem informasi dalam sebuah organisasi, kita
harus tetap memiliki pengetahuan tentang faktor-faktor ini dan untuk merencanakan cara-
cara di mana mereka mungkin mempengaruhi kita.

Internet

Pada awal 1980-an, perkembangan besar yang terjadi dalam domain sistem informasi
adalah munculnya Internet. Internet adalah koleksi besar komputer yang saling
berhubungan di seluruh dunia melalui penggunaan jaringan komunikasi antar satu sama lain
terkait dan protokol komunikasi umum disebut TCP/IP (Transmission Control Protocol /
Protocoll Internet). Sebuah konfigurasi yang khas untuk komputer Internet adalah jaringan
area lokal dari komputer pribadi yang terhubung melalui router untuk jaringan area luas yang
pada gilirannya terhubung ke jaringan luas lainnya (Gambar 24-5).

Gambar 24-5. Typical Internet Configuration

Internet menyediakan layanan penting untuk pengguna-untuk sistem informasi misalnya,

World Wide Web (yang merupakan kumpulan dari sumber daya multimedia yang telah
dilaksanakan dalam cara yang standar dan yang dapat diakses melalui program yang
disebut browser), e-mail, dan kelompok pengguna. Karena layanan ini telah terbukti sangat
populer, internet telah mengalami pertumbuhan fenomenal. Antara Januari 1993 dan Juli
1996, misalnya, diperkirakan bahwa angka dari komputer tuan rumah tumbuh dari 1,3 juta
menjadi 12,9 juta; dan antara Juni 1993 dan Januari 1997, diperkirakan bahwa jumlah World
Wide Web (Web) situs tumbuh dari 130 ke 650.000 (Lynch 1997). Internet kini telah
bersama kita selama bertahun-tahun. Seperti komputer pribadi, namun, kita masih harus
mencoba untuk memahami dampaknya pada kehidupan kita dan pada sifat dan kegiatan
yang dilakukan dalam organisasi. Ketika kita mulai untuk mengasimilasi dan memahami satu
jenis dampak, lagi membuka. Seperti komputer pribadi, beberapa gelombang dampak yang
terjadi yang terlihat seolah-olah mereka akan terus selama bertahun-tahun. Dari perspektif
pemeriksaan sistem informasi, beberapa kekhawatiran yang muncul dengan menggunakan
organisasi internet adalah sebagai berikut :

1. Tujuan utama dari internet adalah untuk memfasilitasi komunikasi dan untuk
memungkinkan berbagi sumber daya. Akibatnya, melindungi privasi dan integritas
sumber daya yang dapat diakses melalui internet kadang-kadang sulit. penyusup
bermusuhan mungkin berusaha untuk mengeksploitasi sifat terbuka Internet untuk
mendapatkan akses yang tidak benar ke sumber daya (sec, c g. Vacca 1996).
Akibatnya, privasi data mungkin dilanggar, atau integritas data mungkin rusak. Sebagai
jenis eksposur menjadi jelas, kontrol melalui Internet terus meningkatkan. Meskipun
demikian, manajemen harus mengakui privasi yang dan integritas risiko sebagai
penghasilan setiap kali komputer yang terhubung ke Internet
2. Privasi dan integritas data yang dikirimkan melalui Internet tidak selalu dapat terjamin.
Pesan sering melewati banyak komputer, beberapa di antaranya mungkin tidak
dilindungi dengan baik. Kontrol hanya akan sebagus yang dari link terlemah dalam
rantai komputer melalui mana pesan lulus. Kecuali macam kontrol kriptografi dijelaskan
pada Bab 10 dan 12 berada di tempat, oleh karena itu, isi pesan bisa terkena atau
diubah selama transit dari satu komputer ke komputer lai
3. Masalah hak cipta yang timbul berhubungan dengan kedua organisasi yang bahannya
dapat diambil melalui internet dan materi yang tersedia melalui internet. Di satu sisi,
manajemen organisasi harus memastikan bahwa setiap informasi yang di download
karyawan mereka melalui Internet disisi lain tidak ada hak cipta, mereka juga harus
memastikan bahwa setiap informasi karyawan mereka yang tersedia melalui internet
harus berhak cipta. Masalah hak cipta terutama perhatian dengan informasi multimedia
yang tersedia melalui Web.
4. Banyak organisasi terus bergulat dengan masalah penggunaan yang efektif dari Internet
(lihat, misalnya, Nieuwenhuizen 1997). Misalnya, organisasi telah melakukan
pengembangan halaman Web mahal, tetapi mereka memiliki sedikit peningkatan
penjualan atau keuntungan. Beberapa organisasi telah dilarang penggunaan internet
oleh karyawan mereka, kecuali antara jam tertentu. Mereka berpendapat bahwa
produktivitas telah dirusak parah oleh penggunaan berlebihan karyawan mereka 'e-mail,
kelompok pengguna, dan Web
5. Kualitas sumber daya yang organisasi membuat tersedia melalui internet perlu dikontrol
dengan hati-hati. Jika karyawan organisasi membuat informasi yang salah atau program
yang salah yang tersedia melalui Internet, misalnya, organisasi mungkin menjadi
tanggung jawab untuk kerugian yang terjadi pada tion organisasi lain yang bergantung
pada informasi yang salah atau program yang salah. Demikian pula menguasai lebih
dari e-mail perlu dilakukan. Karyawan harus memahami bahwa pesan yang mereka
kirim dapat mempengaruhi citra organisasi di pasar atau melakukan itu secara hukum
untuk penyediaan barang dan jasa.
6. organisasi download informasi atau program melalui internet, harus mengambil langkah-
langkah untuk memastikan bahwa informasi dan program yang handal. Informasi dan
program harus otentik, akurat, dan lengkap, dan mereka harus bebas dari pembatasan
hak cipta. Suatu organisasi juga perlu memastikan bahwa program download bebas dari
 penyimpangan seperti virus atau Trojan horses yang mungkin merusak integritas sistem
informasi sistem.

Sistem informasi auditor harus terus memantau perkembangan yang ada pada Internet.
Mereka harus menyadari eksposur berbeda yang timbul melalui penggunaan Internel dan
kontrol yang dapat diletakkan di tempat untuk mengurangi kerugian yang diharapkan dari
eksposur tersebut. Eksposur dan kontrol ini terus berubah sebagai dampak baru terjadi pada
organisasi sebagai akibat dari penggunaan internet.

Electronic Commerce

McConnell (1996, p. 22) mendefinisikan perdagangan elektronik sebagai "penggunaan

teknologi untuk meningkatkan proses transaksi komersial antara perusahaan dan pelanggan
dengan mitra bisnis." Definisi ini sangat luas. Dalam konteks definisi ini, kami telah terlibat
dalam perdagangan elektronik sejak kami mulai menggunakan komputer untuk memfasilitasi
pelaksanaan proses bisnis (misalnya debitur pengolahan). definisi sempit dari perdagangan
elektronik cenderung berfokus pada penggunaan teknologi komunikasi data untuk
memfasilitasi pelaksanaan transaksi komersial. Mereka membutuhkan pihak untuk transaksi
komersial untuk berinteraksi satu sama lain melalui teknologi komunikasi data.

Mungkin bentuk pertama perdagangan elektronik yang muncul adalah electronic data
interchange (EDI). Dalam sistem EDI, banyak masalah seputar ity otentik dan privasi
transaksi dikurangi karena pihak untuk transaksi didefinisikan dari awal. Seringkali mereka
berinteraksi satu sama lain melalui jaringan komunikasi data pribadi. Sampai-sampai
mereka menggunakan jaringan publik. Namun, mereka dapat menggunakan kriptografi
private-key untuk menetapkan keaslian dari setiap transaksi di mana mereka terlibat dan
untuk melindungi privasi transaksi ini. Selain itu, mereka dapat membangun alat
pembayaran untuk barang dan jasa di contoh awal-untuk, pendebetan langsung dari
rekening bank.

Sehubungan dengan EDI, namun, pertumbuhan jaringan publik seperti Internet telah
mengubah cara di mana dua pihak dapat berinteraksi satu sama lain. Untuk memulai,
mereka mungkin tidak mengenal satu sama lain sebelum transaksi. Akibatnya, mereka
mungkin memiliki sedikit atau tidak ada pengetahuan yang benar tentang identitas masing-
masing, alamat kredit, kehandalan, dan seterusnya. Sebagai contoh, pengguna internet
mungkin menghubungi sebuah perusahaan yang mengiklankan menggunakan Web untuk
membeli beberapa layanan tertentu yang ditawarkan perusahaan. pengguna mungkin tidak
pernah menghubungi perusahaan sebelumnya. Selain itu, setelah transaksi pertama terjadi,
transaksi berikutnya bisa tidak ada atau jarang terjadi.

Ada tiga fundamental masalah timbul ketika perdagangan elektronik terjadi melalui jaringan
publik seperti Internet, yaitu:

1. Bagaimana pihak yang bertransaksi untuk membangun identitas dan keaslian masing-
masing ?
2. Bagaimana para pihak yang bertransaksi untuk melindungi privasi hubungan mereka?
3. Bagaimana pihak untuk efek transaksi pertukaran uang yang aman untuk barang-barang
dan jasa yang disediakan?
Ingatlah bahwa kunci publik dapat digunakan untuk mengirim pesan rahasia yang sudah
ditandatangani. Dengan demikian, jenis protokol yang digunakan untuk transaksi elektronik
adalah sebagai berikut:

1. Pelanggan mengirimkan pesan ke vendor dengan kunci publik

2. Vendor balasan pelanggan dengan mengirimkan pelanggan vendor sendiri kunci publik
3. Untuk melindungi privasi pesan mereka, pelanggan pertama mengenkripsi pesan mereka
menggunakan kunci publik vendor. Dengan demikian, hanya vendor yang harus mampu
mendeskripsikan pesan informasi kartu kredit rahasia atau password yang dapat
digunakan vendor untuk melakukan transfer dana dari rekening bank pelanggan ke
rekening bank mereka sendiri.
4. Pelanggan kemudian mengenkripsi pesan lagi menggunakan kunci pribadi mereka.
Putaran ini dari enkripsi efektif yang ditempel tanda tangan digital untuk pesan.
5. Pada saat menerima pesan pelanggan, vendor pertama-tama mendekripsi pesan
menggunakan kunci publik pelanggan dan kemudian mendekripsi pesan lagi
menggunakan kunci pribadi mereka sendiri. Hal ini hanya dapat dilakukan jika pesan
masuk akal dan vendor memiliki tingkat yang cukup tinggi dalam jaminan identitas
pelanggan.

Protokol ini tidak memberikan jaminan, bagaimanapun, tentang vendor atau keaslian
pelanggan atau kepercayaan mereka dalam hal pengiriman barang dan jasa serta
membayar untuk barang dan jasa. Untuk alasan ini, berbagai macam pengaturan sertifikasi
yang digunakan semakin mendukung perdagangan elektronik. Misalnya, pelanggan dapat
mengirim atau kunci publik ke sebuah otoritas sertifikasi. Otoritas sertifikasi mengambil
langkah untuk memastikan keaslian pelanggan (dan mungkin atribut lainnya seperti kredit).
Otoritas sertifikasi kemudian menggunakan kunci pribadi untuk melampirkan tanda tangan
digital untuk kunci publik pelanggan. Pelanggan kemudian mengirim kunci publik mereka
untuk vendor di bawah tanda tangan digital otoritas sertifikasi. Ketika vendor melihat
identitas otoritas sertifikasi, mereka kemudian berkonsultasi dengan beberapa jenis direktori
publik kunci publik milik pemerintah sertifikasi dan menggunakan kunci publik yang sesuai
untuk memverifikasi keaslian kunci publik pelanggan (Gambar 24-6).

Vendor dapat memiliki kunci publik mereka bersertifikat untuk memberikan bukti keaslian
mereka kepada pelanggan. Pengaturan untuk memfasilitasi perdagangan elektronik akan
terus berkembang Misalnya, sistem untuk mengizinkan penggunaan uang digital, cek
elektronik, dan transaksi kartu kredit melalui jaringan publik akan terus meningkatkan (lihat,
misalnya Tibaldeo dan Buben 1996). Auditor harus tetap saat ini dengan teknologi ini dan
membantu organisasi atau klien mereka untuk beradaptasi secara efektif dan efisien untuk
yang hal ini, McConnell (1996) menggarisbawahi perlunya rencana bisnis. Selain itu, auditor
harus menyadari eksposur yang ada dengan berbagai jenis sistem untuk mendukung
perdagangan elektronik dan kontrol yang dapat diletakkan di tempat untuk mengurangi
kerugian dari eksposur tersebut.
REKAYASA ULANG PROSES BISNIS

Di awal 1990-an, berpengaruh pekerjaan oleh para peneliti / konsultan seperti Hammer dan
Davenport termotivasi banyak organisasi untuk menguji kembali prosedur mereka digunakan
untuk memberikan barang dan jasa kepada pelanggan mereka (lihat, misalnya, dan
Davenport 1993). Karya ini, yang pergi di bawah rubrik rekayasa ulang proses bisnis (BPR),
perubahan besar diproduksi di banyak organisasi. Minat BPR mencapai puncaknya pada
pertengahan 1990-an, tetapi gagasan dasar yang dianut cenderung mempengaruhi desain
organisasi selama bertahun-tahun yang akan datang.

BPR meliputi beberapa gagasan desain dasar. Sebuah ide sentral bagaimanapun, adalah
untuk mengatur kegiatan atas dasar proses daripada fungsi Misalnya, jika pelanggan ingin
membeli berbagai jenis asuransi, secara historis mereka sering harus berurusan dengan
banyak orang di sebuah perusahaan asuransi. Seseorang mungkin memiliki tanggung jawab
untuk asuransi jiwa, orang lain mungkin memiliki tanggung jawab untuk rumah dan asuransi
isi, tanggung jawab masih orang lain mungkin punya untuk asuransi mobil, dan sebagainya
Selain itu, orang yang menangani fungsi penjualan mungkin belum sama orang yang
menangani servis berikutnya dari kebijakan asuransi atau pengumpulan atau pembayaran
dana yang terkait dengan kebijakan asuransi

Efisiensi yang disebabkan oleh fenomena ini "tangan-off" di organisasi adalah sasaran
utama untuk usaha BPR. Prosedur yang didesain ulang sehingga satu atau sejumlah kecil
orang ditangani seluruh proses. Misalnya, dalam contoh perusahaan asuransi kami, penjual
mungkin telah dilatih untuk menangani penjualan untuk semua jenis kebijakan yang mungkin
ingin pelanggan untuk membeli. Selain itu, mereka mungkin telah dilatih untuk menangani
servis berikutnya dari kebijakan dan koleksi mungkin berikutnya atau pembayaran dana
yang terkait dengan kebijakan.

Manfaat yang diklaim BPR ditingkatkan efektivitas dan efisiensi. Misalnya, dalam contoh
perusahaan asuransi kami, pelanggan mungkin akan lebih bahagia berurusan dengan satu
orang yang menanggapi kebutuhan asuransi mereka daripada beberapa orang. Biaya
prosedur tangan-off terkait dengan satu karyawan memberi pekerjaan kepada karyawan lain
juga akan dieliminasi atau dikurangi. Banyak organisasi juga menemukan bahwa mereka
bisa menggunakan BPR untuk memfasilitasi upaya perampingan mereka.

BPR juga memiliki biaya, namun, beberapa dari yang awalnya tidak jelas bagi organisasi-
organisasi yang menggunakannya. Sebagai contoh, di beberapa organisasi, BPR tempa
masalah perilaku substansial. Karyawan kadang-kadang mengalami kesulitan
menyesuaikan diri dengan tuntutan kerja baru ditempatkan pada mereka. Misalnya, mereka
harus memperluas jangkauan mereka kompetensi cepat untuk dapat mengatasi secara
efektif dan efisien dengan kebutuhan pelanggan. perampingan terkait yang sering disertai
BPR juga diproduksi ketidakpastian dan stres.

Menariknya, auditor yang lambat untuk menyadari dan menunjukkan bahwa BPR sering
memiliki implikasi yang signifikan dalam hal merusak kontrol dan meningkatkan eksposur
yang dihadapi oleh organisasi. misalnya, alasan utama mengapa prosedur tangan-off yang
sering digunakan dalam organisasi adalah untuk menegakkan Pemisahan tion tugas. Ketika
tangan-off dihilangkan, pemisahan tugas tidak ada lagi.
Akibatnya, organisasi menghadapi eksposur yang lebih tinggi dari kesalahan dan
penyimpangan yang mungkin terjadi. Jenis masalah sering diperparah karena upaya
rekayasa ulang proses bisnis yang biasanya disertai dengan perampingan organisasi.
Misalnya, ketika perampingan terjadi, organisasi memiliki staf yang lebih sedikit tersedia
untuk menegakkan pemisahan tugas pasukan Kompetitif akan memaksa organisasi untuk
terus untuk mengetahui efektivitas dan efisiensi proses kerja mereka. Sistem informasi
auditor, oleh karena itu, harus waspada dalam: (I) memeriksa implikasi dari perubahan
proses kerja yang diusulkan untuk kontrol yang digunakan oleh suatu organisasi dan
eksposur yang dihadapinya dan (2) menunjuk kepada manajemen efek merugikan yang
mungkin terjadi dengan pekerjaan yang diusulkan perubahan proses. pengalaman kami
dengan BPR adalah pengingat yang sering ketegangan terjadi antara efektivitas dan
efisiensi kebutuhan dan aset pengamanan dan kebutuhan integritas data (Sia dan Neo
1997). Penerimaan cepat dan luas dari BPR adalah sinyal bahwa banyak manajer tidak lagi
percaya biaya kontrol bisa dibenarkan. Kita tidak bisa berasumsi bahwa kebutuhan untuk
kontrol jelas, terutama untuk manajemen. Dalam terang ini, kita harus sistem kontrol terus
tunduk analisis BPR dengan cara yang sama bahwa sistem pekerjaan lain dalam organisasi
akan diteliti untuk oportunities untuk meningkatkan efektivitas dan efisiensi.

Outsourcing

Bersamaan dengan gerakan BPR di awal 1990-an, minat dalam outsourcing juga tinggi.
Outsourcing adalah penggunaan pihak yang eksternal untuk organisasi untuk menyediakan
barang atau jasa kepada organisasi. Seperti BPR, outsourcing sekarang dianggap sebagai
sarana penting untuk meningkatkan daya saing organisasi. Hal ini memungkinkan organisasi
untuk lebih fokus pada kompetensi inti sendiri dan juga untuk mengambil keuntungan dari
kompetensi inti organisasi lain. Seperti BPR, pengertian dasar yang mendasari outsourcing
adalah mungkin untuk mempengaruhi desain organisasi selama bertahun-tahun yang akan
datang.

Outsourcing dapat diterapkan untuk setiap fungsi organisasi. Sebagai contoh, dapat
digunakan untuk mendapatkan pelayanan hukum yang dibutuhkan oleh suatu organisasi
atau bagian-bagian komponen yang dibutuhkan untuk beberapa jenis produk yang
diproduksinya. Namun secara historis, fungsi sistem informasi selalu menjadi target utama
untuk outsourcing. Misalnya, penggunaan awal biro jasa oleh organisasi untuk mendapatkan
beberapa atau semua layanan sistem informasi mereka adalah bentuk outsourcing. Selain
itu, sejak awal 1990-an, karena tiga alasan fungsi sistem informasi telah menjadi fokus
khusus untuk kegiatan Outsourcing (lihat, misalnya, Gurbaxani 1996).

Pertama, manajemen sering merasakan mereka akan dapat melakukan kontrol lebih besar
atas fungsi sistem informasi jika outsourcing. Ketika ketergantungan ditempatkan pada
vendor luar, manajemen berkeyakinan bahwa (1) fungsi sistem informasi akan menjadi lebih
responsif terhadap kebutuhan pengguna, (2) penurunan dalam sistem informasi biaya akan
terjadi melalui skala ekonomi yang vendor memperoleh dan menyampaikan ke nya
pelanggan, dan (3) pengguna akan berhati-hati lebih besar dalam konsumsi sumber daya
sistem informasi karena mereka akan harus membayar untuk mereka secara langsung.

Kedua, manajemen sering merasakan bahwa fungsi sistem informasi akan menjadi lebih
inovatif jika outsourcing. Ketika ketergantungan ditempatkan pada vendor luar, manajemen
berkeyakinan bahwa (1) organisasi mereka akan lebih mampu untuk melakukan divestasi
teknologi lama dan mendapatkan akses ke teknologi baru, (2) informasi yang lebih besar
keahlian sistem akan tersedia melalui staf yang dipekerjakan oleh vendor outsourcing, dan
3) keterbatasan staf yang ada akan diatasi karena mereka dapat ditransfer ke outsourcing
vendor mana mereka akan memiliki lebih banyak kesempatan untuk mengembangkan
keterampilan mereka.

Ketiga, manajemen sering merasakan bahwa mereka akan lebih mampu memanfaatkan
aset sistem informasi yang mereka telah dikembangkan secara internal jika mereka
membuat aset ini tersedia untuk dijual melalui vendor outsourcing. Dengan demikian, vendor
outsourcing menyediakan sarana menekan pasar untuk produk-produk dan layanan sistem
informasi yang dikembangkan secara internal. Dari sudut pandang sistem informasi auditor,
namun, outsourcing layanan sistem informasi menimbulkan beberapa masalah sulit. Auditor
memiliki peran untuk bermain di empat tahap yang berbeda outsourcing:

1. Keputusan untuk melakukan outsourcing. Kita harus membantu manajemen untuk

menentukan layanan informasi apa sistem, jika ada, harus outsourcing. Secara khusus,
mengidentifikasi kegiatan-kegiatan sistem informasi yang strategis untuk organisasi.
Kegiatan ini adalah kandidat paling tidak untuk outsourcing dan Nolan 1995). Jika mereka
outsourcing, hati-hati harus diambil karena mereka akan lebih sulit untuk mengontrol. Kita
juga harus membantu manajemen untuk mengidentifikasi apakah vendor Outsourcing
cocok ada yang memiliki keterampilan, pengalaman dan reputasi yang diperlukan untuk
hubungan jangka panjang dibutuhkan ketika layanan sistem informasi outsourcing untuk
menjadi sukses.
2. Desain kontrak. Scott (1996) menunjukkan bahwa auditor perlu mengevaluasi
kesesuaian ketentuan kontrak outsourcing dalam hubungannya dengan (a) keuangan-
misalnya, biaya tetap, biaya variabel, dan verifikasi faktur, (b) hak-misalnya audit, ruang
lingkup dan waktu kegiatan audit dalam kaitannya dengan vendor outsourcing, (c)
kinerja-misalnya, kriteria yang akan digunakan untuk mengevaluasi wheth r vendor
outsourcing melaksanakan tugas mereka di bawah kontrak, (d) penjual hubungan-
misalnya, personil outsourcing yang akan memberikan layanan sistem informasi dan sifat
dan frekuensi pelaporan oleh vendor outsourcing, dan (e) kontrol-misalnya, outsourcing
vendor dalam hal menjaga integritas data dan menyediakan backup yang cocok dan
pemulihan
3. Kontrak pemantauan. Selama masa kontrak, sistem informasi auditor mungkin
bertanggung jawab untuk memantau kepatuhan dengan persyaratan kontrak. Kita harus
terus mengevaluasi apakah organisasi kita sendiri atau klien dan vendor outsourcing
melaksanakan tugasnya dengan baik di bawah kontrak.
4. Kontrak terminasi. kesulitan besar dapat timbul ketika kontrak outsourcing adalah untuk
dihentikan. Sebagai contoh, sebuah organisasi mungkin telah kehilangan
kemampuannya untuk memberikan layanan sistem informasi internal. Selain itu,
mempengaruhi kelancaran transisi ke outsourcing vendor lain atau untuk penyediaan
internal layanan sistem informasi dapat menjadi tugas yang kompleks.

Keputusan untuk melakukan outsourcing, oleh karena itu, dapat memiliki dampak kritis pada
kemampuan organisasi untuk mencapai pengamanan aset, integritas, efektivitas, sebuah
tujuan efisiensi. Pada vendor outsourcing dapat memberikan kemampuan yang
memungkinkan organisasi untuk lebih baik mencapai tujuan tersebut. Di sisi lain, hubungan
outsourcing memiliki fitur yang melemahkan pencapaian tujuan tersebut. sistem informasi
auditor harus berusaha untuk memastikan bahwa kemampuan mereka untuk
mengumpulkan dan mengevaluasi bukti dalam kaitannya dengan pencapaian tujuan
tersebut tidak terhambat ketika organisasi atau klien mereka masuk ke dalam sebuah
pengaturan outsourcing sistem informasi.

Privasi Data

Data Privasi mengacu pada hak untuk telah disimpan atau dikirimkan data yang dilindungi
dari (1) pengungkapan sengaja atau tidak sah atau (2) penggunaan yang tidak sah.
pengungkapan sengaja terjadi ketika data tersebut terungkap karena beberapa jenis
kesalahan atau ketidakteraturan terjadi. pengungkapan yang tidak sah terjadi ketika
seseorang yang memiliki hak untuk mengakses data tertentu menggunakan hak ini untuk
memungkinkan orang yang tidak berwenang memeriksa data. penggunaan yang tidak sah
terjadi ketika seseorang yang memiliki hak untuk mengakses data tertentu menggunakan
hak ini untuk tujuan yang tidak diinginkan.

Untuk beberapa alasan, masalah privasi data yang tetap menjadi masalah abadi di bidang
sistem informasi. Pertama, karena biaya teknologi informasi menurun dan kekuatan
meningkat nya, risiko pelanggaran privasi meningkat. Misalnya, keberadaan besar,
database yang beragam yang berisi informasi tentang individu dan munculnya teknologi
pertambangan dan pencocokan data yang canggih memungkinkan calon pelanggar privasi
kadang-kadang untuk dengan mudah membuat profil rinci tentang individu. Kedua,
internasional rezim peraturan nasional yang berkaitan dengan privasi data tidak seragam.
Tindakan yang melanggar privasi yang dilarang dalam satu yurisdiksi mungkin tidak dilarang
di wilayah hukum lain. Mungkin mudah untuk menghindari undang-undang privasi hanya
dengan menggeser data dari satu yurisdiksi ke yurisdiksi lain. Ketiga, beberapa peneliti
sekarang berpendapat bahwa undang-undang privasi yang ada didasarkan pada prinsip-
prinsip usang yang membutuhkan orang untuk memiliki informasi mereka tidak mungkin
untuk memiliki. Mereka mengklaim, karena itu, bahwa hukum privasi berdasarkan prinsip-
prinsip ini akan menjadi semakin tidak efektif. Kami sebentar kembali ke masalah ini
selanjutnya.

Sifat dan Lingkup Legislasi Privasi

Sejak awal tahun 1970-an, kebutuhan untuk melindungi privasi data telah diakui semakin.
Akibatnya, banyak negara kini diberlakukan undang-undang privasi yang memaksakan kode
"praktek informasi yang adil" pada organisasi (lihat di bawah). Dalam beberapa kasus,
hukum hanya berlaku untuk sektor publik. Dalam kasus lain, bagaimanapun, mereka berlaku
untuk publik dan sektor swasta.

Rezim peraturan sangat berbeda. Beberapa langsung memberlakukan kewajiban hukum

dari organisasi yang menangani data pribadi. Lainnya membentuk suatu kerangka hukum.
Mereka mendelegasikan pelaksanaan dan operasional rincian, namun, untuk badan
pengawas seperti komisaris privasi. Beberapa membangun kode hukum etik bagi sektor
industri tertentu atau untuk kelas tertentu kegiatan atau catatan (mis., Catatan kesehatan).
Lain mendorong industri untuk membangun kode peraturan diri dengan beberapa tingkat
pengawasan oleh instansi pemerintah.

Mungkin set paling dihormati prinsip privasi perlindungan yang banyak rezim peraturan yang
ada didasarkan adalah yang diusulkan oleh Organisasi untuk Kerjasama Ekonomi dan
Pembangunan (OECD) (1980) Prinsip-prinsip ini memberikan dasar untuk sebuah rezim
peraturan yang disebut Informasi Adil praktek (FIP):

1. Koleksi prinsip pembatasan. Keterbatasan pengumpulan data pribadi harus ada. Data
tersebut harus diperoleh dengan cara yang adil dan sah dan dengan sepengetahuan dan
persetujuan dari subjek.
2. Kualitas data prinsip. Data pribadi harus relevan, akurat, lengkap, dan tepat waktu prinsip
spesifikasi
3. Tujuan. Data pribadi harus dikumpulkan hanya untuk tujuan tertentu. Penggunaannya
harus dibatasi tujuan mereka.
4. Gunakan batasan prinsip. Persetujuan dari subjek atau otoritas hukum harus diperlukan
sebelum data pribadi diungkapkan atau digunakan untuk tujuan selain yang awalnya
ditentukan ketika data dikumpulkan.
5. Keamanan perlindungan prinsip. kontrol yang wajar harus dilakukan untuk melindungi
keberadaan, integritas, dan privasi data pribadi.
6. Prinsip enness. Orang harus mampu membangun sifat, keberadaan, dan kepemilikan
sistem data pribadi.
7. Prinsip partisipasi individu. Orang harus mampu membangun data yang ada tentang
mereka dalam sistem data pribadi. Jika data tersebut ada, mereka harus dapat
memeriksanya dan benar atau menghapus data tentang diri mereka sendiri yang tidak
akurat, tidak lengkap, dari tanggal, atau tidak relevan.
8. Prinsip Akuntabilitas. Orang yang melakukan kontrol atas sistem data pribadi harus
bertanggung jawab untuk memastikan bahwa langkah-langkah di tempat dan bekerja
untuk memberikan efek pada prinsip-prinsip di atas.

Beberapa percaya bahwa pedoman OECD sekarang perlu memperbarui memperhitungkan

teknologi rekening yang telah menjadi semakin invasif. Lainnya, seperti Laudon (1996),
berpendapat bahwa FIP mogok karena hal ini menjadi semakin sulit untuk menegakkan
prinsip-prinsip privasi yang mendasari. Misalnya, ia menunjukkan bahwa orang dibayangkan
mungkin tahu tentang semua database yang berisi informasi tentang mereka di era ketika
komputer mainframe dengan sedikit interkonektivitas adalah bentuk dominan dari teknologi
informasi. Dalam era di mana komputer pribadi jaringan telah menggantikan mainframe
untuk sebagian besar, bagaimanapun, orang tidak mungkin untuk mengetahui apa database
berisi informasi tentang mereka dan di mana database ini berada. Untuk alasan ini, Laudon
(1996) berpendapat bahwa orang harus diberikan hak properti untuk informasi tentang diri
mereka sendiri dan diperbolehkan untuk memperdagangkan informasi ini di pasar informasi.

Dari sudut pandang sistem informasi auditor, kita perlu mengenali, karena itu, bahwa hukum
yang didasarkan pada FIP menjadi semakin bermasalah. Kemungkinan besar, baru hukum
berbasis FIP akan terus diberlakukan. keberhasilan mereka, bagaimanapun, bisa menjadi
terbatas. Jika kita ingin menjaga privasi dalam organisasi kita sendiri atau organisasi klien
kami, semakin kita akan harus bergantung pada kontrol kita menempatkan dan prinsip-
prinsip etika yang memandu perilaku dalam kaitannya dengan penggunaan informasi
daripada perlindungan yang diberikan oleh undang-undang privasi.
Implikasi bagi Sistem Informasi Audit

Dampak undang-undang privasi pada pekerjaan kami sebagai sistem informasi auditor akan
tergantung pada bentuk-bentuk tertentu dari undang-undang yang ada di negara ini dan
negara di mana kita bekerja atau bentuk undang-undang yang berlaku untuk organisasi we
audit. Meskipun demikian, undang-undang privasi cenderung memiliki lima implikasi yang
luas untuk pekerjaan kami sebagai sistem informasi auditor:

1. Perlu akrab dengan undang-undang. standar auditing mengharuskan auditor untuk

menjadi akrab dengan undang-undang yang mempengaruhi organisasi mereka
mengaudit. Dalam kasus undang-undang privasi, hukum yang relevan dengan pekerjaan
kami mungkin memiliki kedua asal dalam dan luar negeri. Jika organisasi kita mengaudit
mengumpulkan data pribadi di negara-negara lain dan mentransfer data ini melintasi
batas internasional, misalnya, kita perlu mengidentifikasi dan memahami implikasi dari
hukum asing yang berhubungan dengan data ini.
2. Perlu untuk mengaudit kepatuhan legislatif. Karena hukuman bisa timbul bagi yang
melanggar dengan tindakan privasi, sistem informasi auditor mungkin diberikan tanggung
jawab untuk memastikan bahwa organisasi mereka mengaudit mematuhi statuta. auditor
internal mungkin juga bertanggung jawab untuk mempersiapkan pernyataan dampak
privasi dan membangun rencana privasi yang komprehensif. Dalam beberapa kasus,
auditor eksternal mungkin harus menentukan apakah kewajiban kontinjensi timbul karena
klien mereka telah gagal untuk mematuhi tindakan privasi.
3. Auditor sebagai pengguna data pribadi. Sebagai pengguna data pribadi, sistem informasi
auditor bisa tunduk pada ketentuan tindakan privasi. Sebagai contoh, organisasi mungkin
harus mengidentifikasi auditor mereka dan cara-cara di mana auditor mereka akan
menggunakan data pribadi di muka. Persetujuan mungkin harus diperoleh untuk setiap
penyimpangan dari tujuan-tujuan ini dinyatakan.
4. Auditor sebagai pemelihara data pribadi. Dalam perjalanan audit, kita mungkin
mengambil data pribadi dari file yang akan disertakan dalam surat-surat kami bekerja. Di
bawah tindakan privasi, kita mungkin kemudian bertanggung jawab untuk memastikan
bahwa keamanan yang memadai ada lebih dari file-file kita sendiri, dengan cara yang
sama bahwa kita bertanggung jawab untuk mengevaluasi apakah keamanan yang
memadai ada lebih dari file milik organisasi kami mengaudit. Memang, di bawah tindakan
privasi, organisasi we audit yang bisa dicegah dari menyediakan kami dengan data
pribadi kecuali kita dapat menunjukkan bahwa file kita aman
5. Perlu untuk mengevaluasi kewajaran praktik informasi. Meskipun undang-undang privasi
mungkin tidak berlaku untuk praktek informasi spesifik dimana organisasi kita audit yang
terlibat, kita harus tetap sadar bahwa banyak orang sekarang mengharapkan organisasi
untuk mengevaluasi tindakan mereka untuk memenuhi prinsip-prinsip privasi. Sebagai
sistem informasi auditor, oleh karena itu, kita perlu terus mengevaluasi bagaimana
teknologi informasi digunakan dalam organisasi kita mengaudit dalam hal implikasi yang
tidak menguntungkan timbul untuk privasi pribadi. Sebagai contoh, organisasi we audit
yang mungkin terlibat dalam beberapa jenis kegiatan pencocokan komputer yang legal
Meskipun demikian, jika kegiatan ini adalah untuk menjadi publik, mereka mungkin
menyebabkan kerugian besar goodwill organisasi. Dengan demikian, kita bisa membantu
organisasi klien untuk menyiapkan dokumen kebijakan privasi untuk memberikan
 bimbingan kepada manajemen dan karyawan pada praktek yang perlu dilakukan untuk
menjaga privasi dalam organisasi (Jerksey et al. 1996).

Beberapa perusahaan audit eksternal sekarang telah didirikan khusus praktek di bidang
privasi data. Di beberapa negara, juga, Privasi data atau data Perlindungan
Ketenagakerjaan Komisaris juga akan memberikan panduan tentang sifat dan pelaksanaan
audit privacy.

Data Mining dan Penemuan Pengetahuan

Sistem informasi auditor prihatin tentang kesalahan yang mungkin menyebabkan salah saji
material dari laporan keuangan. Di beberapa negara (misalnya., Amerika Serikat), auditor
eksternal juga memiliki tanggung jawab untuk merancang audit untuk memberikan
keyakinan memadai bahwa penipuan tidak menyebabkan salah saji material dari laporan
keuangan. Mendeteksi kecurangan akan selalu menjadi perhatian bagi auditor internal
terlepas dari tanggung jawab bahwa auditor eksternal mungkin harus debit.

Sebuah teknik yang menjadi semakin penting sebagai sarana untuk mendeteksi kesalahan
dan penyimpangan adalah data mining. Masalah sekarang kita hadapi adalah bahwa kita
kadang-kadang dihadapkan dengan database besar. Entah bagaimana kita harus
menentukan apakah kesalahan atau penyimpangan yang mungkin ada di database ini.
Atau, kita mungkin ingin menggunakan data yang terdapat dalam database ini untuk
memberikan informasi tentang kesalahan dan penyimpangan yang terjadi dalam bisnis kita
audit. teknik data mining yang dirancang untuk mendeteksi pola antara data yang mungkin
sinyal, misalnya, adanya kesalahan atau penyimpangan (lihat, misalnya, Brachman et al.
1996). Mereka mengandalkan berbagai alat seperti paket statistik, sistem pakar, dan
jaringan saraf untuk menggoda keluar pola yang ada dalam data. Proses menggunakan
pola-pola ini untuk menentukan pengetahuan baru yang disebut penemuan pengetahuan.
Dari sudut pandang auditor, penemuan pengetahuan berarti bahwa mereka lebih mampu
menilai apakah aset telah dijaga, integritas data telah dipertahankan, dan sistem berjalan
dengan efektif dan efisien. Misalnya, mereka mungkin menggunakan teknik data mining
untuk mencoba untuk menentukan apakah karakteristik transaksi yang dilakukan dengan
kartu kredit dicuri berbeda dari orang-orang yang dilakukan dengan kartu kredit legiti
pasangan (Casarin 1997). Auditor mungkin harus menempatkan semakin meningkat ing
ketergantungan pada teknik data mining untuk menilai risiko audit dan untuk mengumpulkan
dan mengevaluasi bukti audit.

Sistem Antar Organisasi dan Virtual Organisasi

Semakin, batas-batas organisasi mulai kabur. Pada akhir 1980-an misalnya, sistem
informasi antarorganisasi mulai muncul (Kon synski dan McFarlan 1990). Pelopor sistem ini
adalah sistem EDI. Organisasi mulai menggunakan teknologi komputer untuk efek
kerjasama yang lebih besar dengan satu sama lain, namun, bahkan ketika mereka berada di
kompetisi direci dengan satu sama lain. Sebagai contoh, dua pemasok mungkin
memungkinkan pelanggan untuk langsung mengakses database produksi mereka untuk
menentukan pemasok berada di posisi yang lebih baik untuk memberikan bagian komponen
untuk memenuhi pesanan terburu-buru bahwa pelanggan telah menerima. Setiap pemasok
bahkan mungkin mengalihkan pesanan ke lain ketika itu tidak dalam posisi untuk memenuhi
pesanan. Teknologi komputer kemudian baru (mis., Sistem terbuka) tampaknya
memfasilitasi kedatangan era baru di mana paradoks kompetisi dan kerjasama bisa berjalan
beriringan.

Pada pertengahan 1990-an, organisasi virtual mulai muncul (Gallegos dan Powell 1997).
Organisasi-organisasi ini melampaui batas-batas dalam dan di organisasi. Sekali lagi,
teknologi komputer kemudian baru (mis., Sistem kerja koperasi) memungkinkan orang dan
organisasi untuk memecahkan kendala yang diberlakukan oleh lokasi fisik dan waktu.
Tujuannya adalah untuk merakit orang-orang terbaik dan organisasi terbaik untuk memenuhi
pasar kebutuhan-misalnya, untuk merancang dan membawa produk baru ke pasar.

Sistem informasi antarorganisasi dan organisasi virtual menimbulkan tantangan besar untuk
pekerjaan kami sebagai sistem informasi auditor. Sebagai contoh, semakin kita harus
bergantung pada standar jika komunikasi yang efektif dan efisien di antara para pihak dalam
suatu sistem informasi antarorganisasi atau sebuah organisasi virtual yang terjadi. Juga, kita
menghadapi eksposur harus bergantung pada kontrol di beberapa lokasi yang kadang-
kadang jauh dan kadang-kadang tidak dalam domain pengaruh kita. Seringkali, kita mungkin
harus bergantung pada pekerjaan auditor lain. Dalam terang ini, kita perlu mendukung
upaya ke arah standarisasi sistem informasi kontrol dan prosedur audit (mis., Audit Sistem
Informasi dan COBIT Kontrol Foundation).