Audit Teknologi
Informasi
PENGELOLAAN FUNGSI AUDIT Teknologi
INFORMASI
11740005
12
Teknik Sistem Informasi Iwan Rijayana, S.Kom, M.M, M.Kom
Abstract Kompetensi
FUNGSI PERENCANAAN
Kita perlu merumuskan dua jenis rencana ketika kita mengelola fungsi audit sistem
informasi: rencana jangka panjang dan rencana jangka pendek. Pada bagian sub berikut,
kita secara singkat memeriksa sifat, tujuan, dan persiapan masing-masing jenis rencana.
Ketika kita melakukan jangka panjang perencanaan dalam kaitannya dengan fungsi audit
sistem informasi, tujuan kami adalah dua: (1) untuk memberikan arahan secara keseluruhan
untuk fungsi dan (2) untuk mencoba untuk memastikan kami akan memiliki sumber daya
yang memadai untuk melaksanakan tanggung jawab terkait dengan fungsi secara efektif
dan efisien. tekad kami dari mantan tujuan akan memiliki pengaruh yang nyata pada
pertimbangan kami dalam kaitannya dengan tujuan yang terakhir Secara keseluruhan,
tujuan jangka panjang dari fungsi audit sistem informasi harus mendukung misi organisasi di
mana ia ditempatkan. Kita harus menentukan, oleh karena itu, betapa pentingnya tujuan
pengamanan aset, integritas data, efektivitas sistem, dan efisiensi sistem yang ke organisasi
tuan rumah. Jelas, empat gol ini akan menjadi penting untuk batas tertentu dalam semua
organisasi. Kita harus mengakui, bagaimanapun, bahwa kepentingan relatif mereka akan
bervariasi di seluruh organisasi. Misalnya, aset pengamanan dan integritas data cenderung
menjadi penting im portance ke lembaga keuangan. Dalam sebuah perusahaan konsultan,
bagaimanapun, pengamanan aset dan integritas data akan sering menjadi perhatian kecil.
Perusahaan cenderung memiliki beberapa aset sistem formasi untuk menjaga dan sedikit
data yang sangat penting untuk operasinya. Sebaliknya, aset utama cenderung konsultan
perusahaan. Selain itu, data penting mungkin akan pengetahuan yang dimiliki oleh
konsultan ini. Singkatnya, kita perlu mengadopsi perspektif kontingensi pada sifat dan
jumlah perencanaan jangka panjang kami melakukan sehubungan dengan informasi sistem-
sistem fungsi audit. Dalam hal ini, McFarlan et al. (1983) jaringan strategis mungkin
membantu kami melakukan penentuan ini (Gambar 24-1). Ingat dari materi modul
sebelumnya bahwa mereka fokus pada pentingnya sistem informasi yang ada dan
pentingnya sistem informasi masa depan dalam menentukan sifat dan tingkat informa sistem
tion perencanaan yang harus dilakukan dalam sebuah organisasi. Luasnya perencanaan
perlu meningkatkan sebagai pentingnya sistem informasi yang ada dan masa depan untuk
sebuah organisasi meningkat. Demikian pula, lebih perencanaan jangka panjang perlu
dilakukan sebagai pentingnya informasi masa depan sistem-sistem ke kenaikan organisasi
Dalam konteks fungsi audit sistem informasi, kita akan berharap bahwa pengamanan aset,
integritas data, efektivitas, dan efisiensi akan menjadi lebih kritis sebagai pentingnya sistem
informasi yang ada dan masa depan ke lisasi meningkat organi. Dengan demikian, kita perlu
melakukan perencanaan yang lebih dalam tion rela untuk fungsi audit sistem informasi.
Demikian seperti pentingnya sistem informasi fu mendatang untuk sebuah organisasi
meningkat, kita akan perlu melakukan lebih perencanaan jangka panjang dalam kaitannya
dengan fungsi audit sistem informasi.
Mempengaruhi Mempengaruhi
meningkatkan pengamanan
Gambar 24-2. Memiliki dampak pada misi dan tujuan organisasi melalui fungsi audit SI.
Kita harus mengakui, juga, bahwa ada kemungkinan untuk mengubah tujuan
pengamanan aset, integritas data, efektivitas, dan efisiensi menjadi sumber keunggulan
kompetitif bagi suatu organisasi. Dalam terang ini, berencana untuk fungsi audit sistem
informasi tidak harus selalu menjadi sekunder untuk perencanaan keseluruhan dilakukan
pada misi dan tujuan organisasi. Dalam beberapa organisasi, ada kemungkinan untuk
menggunakan kegiatan fungsi audit sistem informasi untuk mempengaruhi penentuan misi
dan tujuan (Gambar 24-2) organisasi. Sejauh fungsi audit sistem informasi memungkinkan
tingkatan baru dari pengamanan aset, integritas data, efektivitas, dan efisiensi yang akan
dicapai, organisasi mungkin bisa melakukan inisiatif-untuk strategis misalnya, yang
mengarah untuk bersaing di pasar baru.
Fitur utama dari perencanaan jangka pendek yang terkait dengan fungsi audit sistem
informasi harus menjadi program manajemen risiko bahwa manajemen mengadopsi. Tujuan
dari program ini adalah untuk mengidentifikasi daerah-daerah yang dalam sebuah
organisasi yang perlu diaudit dengan tujuan untuk mengurangi eksposur yang dihadapi oleh
organisasi untuk tingkat yang dapat diterima. Manajemen risiko harus proaktif dan bukan
reaktif.
Kami sudah memeriksa beberapa unsur penting yang mendasari program manajemen
risiko, ingat bahwa kita bahas tiga jenis risiko yang memiliki dampak penting pada pekerjaan
audit : risiko yang melekat, risiko pengendalian, dan risiko deteksi. Awalnya, kami mencoba
untuk menilai risiko yang terkait dengan tidak memenuhi pengamanan kami aset, integritas
data, efektivitas, dan tujuan efisiensi berdasarkan sifat organisasi atau proses bisnis dengan
yang kita hadapi (melekat risiko). Kami kemudian memeriksa keandalan kontrol di tempat
untuk mengurangi eksposur dari risiko ini. Jika kita percaya tujuan pengendalian kami masih
belum terpenuhi (risk control), kami merancang tes untuk mengkonfirmasi kecurigaan kami.
Ada risiko, bagaimanapun, bahwa tes ini akan tetap tidak mendeteksi kegagalan untuk
memenuhi tujuan pengendalian (risiko deteksi). Kami mencoba untuk mengendalikan risiko
audit keseluruhan yang kita hadapi, yang merupakan fungsi dari risiko yang melekat, kontrol,
dan deteksi.
Sebuah program manajemen risiko memungkinkan kita untuk mengidentifikasi di mana kita
harus melakukan pekerjaan rinci terkait dengan audit atau program keamanan dan
bagaimana secara keseluruhan kami dapat mulai mengelola tingkat risiko audit yang terkait
dengan organisasi. Kebanyakan program manajemen risiko adalah variasi pada beberapa
langkah dasar:
1. Identifikasi unit analisis. Secara historis, fokus dari program manajemen risiko adalah unit
fungsional dalam suatu organisasi. Sekarang, bagaimanapun, program pemerintah risiko-
manajemen sering fokus pada proses bisnis dasar yang terkait dengan organisasi.
2. Identifikasi satu set risiko generik berhubungan dengan unit analisis. Beberapa taksonomi
bisnis-risiko yang berbeda telah diusulkan. Misalnya, Erickson (1996) membagi risiko
menjadi risiko keuangan (misalnya, risiko bahwa pelanggan tidak akan membayar, risiko
bahwa aset akan menurun karena tingkat bunga naik) dan risiko sistem (misalnya,
kemudahan dengan yang hardware dapat diganti, pengolahan kompleksitas logika);
Arthur Andersen membagi risiko menjadi risiko lingkungan, risiko proses, dan informasi
untuk pengambilan keputusan risiko (Dahlberg 1996) dan Kanter dan Pitman (1997)
daftar 11 faktor risiko, termasuk ukuran unit analisis, kompleksitas operasi, dan likuiditas
aset.
3. Tentukan bobot risiko untuk setiap unit analisis. Pentingnya setiap risiko generik harus
dievaluasi dalam konteks masing-masing unit analisis. Seringkali, beberapa jenis bobot
ditugaskan untuk setiap faktor risiko generik (mis., Peringkat pada skala sepuluh poin).
Sebuah bobot materialitas mungkin juga ditugaskan untuk unit analisis. Beberapa jenis
pembobotan risiko global kemudian dapat dihitung sebagai fungsi dari penilaian risiko
generik individu dan mungkin bobot materialitas. Tabel 24-1 menunjukkan salah satu
pendekatan dimana bobot risiko untuk faktor risiko generik dijumlahkan dan kemudian
dikalikan dengan faktor materialitas (pada skala nol sampai sepuluh) untuk menentukan
bobot risiko keseluruhan untuk unit analisis
4. audit Prioritaskan ( evaluasi keamanan) berdasarkan bobot risiko. Ketika sebuah bobot
risiko secara keseluruhan telah ditentukan untuk masing-masing unit analisis, daftar
prioritas dapat disiapkan untuk unit yang berbeda. daftar prioritas ini membentuk dasar
untuk pelaksanaan audit atas, mengatakan, tahun yang akan datang
5. Tentukan sumber daya yang dibutuhkan untuk mendukung program audit yang akan
dilakukan. Ketika audit yang akan dilakukan telah ditentukan, sumber daya yang
diperlukan untuk mendukung audit tersebut dapat diperkirakan. Secara khusus,
kebutuhan personil (yang merupakan sumber daya yang paling signifikan diperlukan
dalam pelaksanaan audit) dapat diselesaikan. Jika kebutuhan sumber daya melebihi
orang-orang yang mungkin akan tersedia, beberapa iterasi harus terjadi untuk (a)
mendapatkan persetujuan manajemen
Risk Factory
Bussiness Process RF1 RF2 RF3 RF4 RF5 RF6 Materiality Overall Weighting
Order Entry 7 7 3 5 5 6 8 264
Invoicing 7 7 2 4 3 6 7 203
Accounts Receivable 7 7 1 2 3 6 7 182
Merchandise Returns 2 2 1 2 2 4 5 65
Bad Debt Recovery 3 4 1 3 2 4 5 85
Untuk lebih banyak sumber daya atau (b) membuat pemangku kepentingan menyadari bahwa
beberapa eksposur tidak mungkin dibahas dalam program audit yang akan dikejar dalam tahun
berjalan. perencanaan jangka pendek berdasarkan manajemen risiko tidak mungkin berhasil
kecuali unit stakeholder analisis secara aktif terlibat dalam proses manajemen risiko. Pemangku
kepentingan harus memiliki pengetahuan yang mendalam tentang unit mereka analisis. Dengan
demikian, mereka sering dalam posisi yang lebih baik dari auditor untuk menentukan risiko yang
mereka hadapi dan dampak potensial dari risiko ini. Untuk alasan ini, banyak organisasi
sekarang menggunakan proses kontrol self-assessment, yang pada dasarnya merupakan proses
formal, didokumentasikan dimana para pemangku kepentingan dalam unit analisis mengevaluasi
kemungkinan unit mereka mencapai tujuan pengamanan aset, integritas data, efektivitas, dan
efisiensi (West dan Khan 1997).
FUNGSI ORGANISASI
Ketika kita mengatur fungsi audit sistem informasi dalam sebuah organisasi, kita perlu
menetapkan (1) legitimasi formal tempatnya dalam organisasi, (2) peran dalam fungsi audit
organisasi secara keseluruhan, (3) apakah harus terpusat atau desentralisasi, dan (4)
bagaimana sumber daya. Kami akan memeriksa setiap masalah di subbagian berikut.
Sebuah grup audit sistem informasi biasanya beroperasi dalam fungsi audit internal secara
keseluruhan dalam suatu organisasi. Legitimasi dan peran fungsi audit internal (dan karenanya
fungsi audit sistem informasi) harus dinyatakan dalam sebuah piagam audit. Cangemi (. 1996,
pp 9-11) mencatat bahwa piagam ini harus membahas tiga isu utama: tempat
1. Fungsi Audit dalam organisasi. Piagam tersebut harus secara resmi menetapkan tempat
fungsi audit dalam suatu organisasi dan menjelaskan cara-cara yang dimaksudkan untuk
berkontribusi keseluruhan misi organisasi dan tujuan.
2. Fungsi otoritas audit. Piagam tersebut harus menyatakan hak auditor untuk memiliki akses ke
catatan, fasilitas, dan tenaga dalam melakukan pekerjaan mereka. Piagam tersebut juga
harus membangun kanan audit manager internal untuk memiliki akses langsung kepada
Dewan komite audit Direksi atau Dewan itu sendiri.
3. Fungsi Audit lingkup. Piagam tersebut harus menetapkan tanggung jawab fungsi audit dalam
kaitannya dengan memberikan saran kepada manajemen tentang seberapa baik organisasi
tersebut mencapai pengamanan aset, integritas data, efektivitas, dan tujuan efisiensi. Pada
saat yang sama, itu harus menyatakan bahwa manajemen memiliki tanggung jawab utama
untuk kontrol dalam suatu organisasi dan melakukan tindakan korektif dalam terang saran
bahwa fungsi audit menyediakan.
Kecuali sebuah piagam audit yang ada, hak dan tanggung jawab dari kedua fungsi audit internal
dan fungsi audit sistem informasi dalam sebuah organisasi tidak akan jelas. Akibatnya,
perselisihan amanat kedua fungsi bisa muncul, dan efektivitas dan efisiensi mereka akan
merusak.
Sebuah perdebatan lama tentang bagaimana untuk mengatur audit sistem informasi fungsi
berkaitan dengan pertanyaan apakah spesialis Audit sistem informasi harus memainkan peran
staf atau peran garis dalam kelompok audit eksternal maupun internal (lihat, misalnya, Mullen
1993 ). Jika spesialis Audit sistem informasi memainkan peran staf, mereka memberikan nasihat
dan membantu auditor keuangan pada hal-hal teknologi yang kompleks yang berkaitan dengan
komputer (Gambar 24-3a). Jika mereka memainkan peran line, bagaimanapun,
Audit
manager
(Partner)
Audit
manager
(Partner)
General General
staff General IS audit staff IS audit
auditor staff auditor specialist specialist
auditor
(b)
GAMBAR 24-3 (a). audit sistem informasi sebagai fungsi staf. (B). audit sistem informasi
sebagai fungsi line.
Mereka adalah bagian integral dari tim audit, dan mereka bertanggung jawab atas bagian-
bagian dari audit yang melibatkan komputer (Gambar 24-3b) Beberapa argumen yang
diberikan dalam mendukung memiliki sistem informasi spesialis audit yang memainkan
peran staf:
1. Lebih baik penggunaan sistem informasi sumber daya audit. Mempertahankan grup audit
sistem informasi yang efektif dan efisien membutuhkan komitmen besar untuk pendidikan
dan pelatihan yang berkelanjutan. Selanjutnya, terampil sistem informasi auditor
seringkali sulit untuk menyewa. Dalam kapasitas staf, sistem informasi auditor fokus
hanya pada bagian-bagian dari audit yang melibatkan komputer. lebih baik menggunakan
dibuat, oleh karena itu, dari sumber daya yang langka.
2. kepuasan kerja yang lebih besar untuk sistem informasi auditor. sistem informasi auditor
bekerja dalam kapasitas staf akan fokus hanya pada bagian computerrelated audit.
penggunaan intensif lebih ini keterampilan mereka bisa memberi mereka kepuasan kerja
yang lebih besar.
3. lebih besar komitmen organisasi untuk audit sistem informasi. Dalam kapasitas staf,
kelompok Audit sistem informasi memiliki keberadaan yang terpisah. Dengan demikian,
manajemen senior cenderung mengabaikan fungsi audit sistem informasi. Mereka harus
lebih berkomitmen, karena itu, untuk dukungannya.
4. Memfasilitasi koordinasi dan kontrol antara sistem informasi auditor. Jika sistem informasi
auditor ditempatkan dalam kelompok yang terpisah memiliki manajer sendiri, kegiatan
mereka mungkin lebih mudah untuk mengkoordinasikan dan kontrol.
5. Fasilitasi peningkatan spesialisasi sistem informasi audit. Jika kelompok Audit sistem
informasi yang terpisah didirikan, berbagai anggota kelompok dapat mengkhususkan diri
dalam berbagai aspek teknologi komputer dan penggunaan (mis., Database, jaringan,
dan end-user computing). spesialisasi ini kemudian dapat digunakan untuk orang-orang
audit di mana mereka dibutuhkan.
Argumen ini telah memotivasi beberapa organisasi untuk mendirikan pusat kompetensi Audit
sistem informasi, yang pada dasarnya melaksanakan audit sistem informasi fungsi biro jasa.
auditor keuangan dapat mengirim file data ke pusat kompetensi untuk diproses. staf pusat
juga memberikan saran konsultasi spesialis untuk auditor keuangan. Pusat ini juga bisa
bertanggung jawab untuk mengembangkan dan memelihara sistem informasi standar audit,
informasi penyulingan metodologi sistem audit, dan pembelian, mengembangkan,
melaksanakan, pengujian, operasi, dan pemeliharaan teknik audit yang dibantu komputer.
Beberapa argumen telah diberikan, namun, untuk memiliki sistem informasi spesialis audit
yang memainkan peran garis daripada peran staf:
1. Besar goal congruence. Sebagai anggota integral dari tim audit memiliki tanggung jawab
penuh untuk audit, sistem informasi spesialis audit harus memiliki pemahaman yang lebih
baik dari tujuan audit secara keseluruhan. Selain itu, mereka harus lebih berkomitmen
untuk berhasil menyelesaikan nya.
2. Memfasilitasi komunikasi dalam fungsi audit. Keberadaan kelompok Audit sistem
informasi yang terpisah kadang-kadang menyebabkan gesekan antara sistem informasi
spesialis audit dan auditor keuangan. Sistem informasi auditor melihat auditor keuangan
sebagai teknis kekurangan dan resisten terhadap perubahan. Auditor keuangan melihat
spesialis Audit sistem informasi sebagai lebih tertarik pada teknologi daripada mencapai
tujuan audit. Jika dua jenis auditor ditempatkan dalam kelompok kerja yang sama,
mereka mungkin memiliki apresiasi yang lebih baik dari dan empati yang lebih besar
untuk peran masing-masing.
3. Meningkatkan keahlian audit secara keseluruhan dari kedua sistem keuangan dan
informasi auditor. Jika sistem informasi auditor melakukan fungsi line, auditor keuangan
cenderung membatalkan tanggung jawab untuk bagian-bagian dari audit yang melibatkan
komputer. Pada saat yang sama, sistem informasi auditor cenderung membatalkan
tanggung jawab untuk bagian-bagian dari audit yang tidak melibatkan komputer. Jika
sistem informasi auditor melakukan fungsi garis, bagaimanapun, baik auditor keuangan
dan sistem informasi auditor harus menerima tanggung jawab yang lebih besar untuk
kinerja masing-masing. auditor keuangan memiliki insentif, karena itu, untuk
meningkatkan informasi keterampilan Audit sistem mereka. Demikian pula, sistem
informasi auditor memiliki insentif untuk meningkatkan keterampilan audit keuangan
mereka.
4. Koordinasi yang lebih baik dalam perencanaan dan pelaksanaan audit. Ketika sistem
informasi auditor melakukan fungsi garis, kadang-kadang perencanaan dan pelaksanaan
audit yang kurang terkoordinasi. auditor keuangan dan sistem informasi auditor mungkin
melakukan pekerjaan mereka pada waktu yang berbeda. Akibatnya, mereka mungkin
mengatasi tujuan audit yang berbeda, menduplikasi pekerjaan masing-masing, atau
menghilangkan untuk melakukan pekerjaan audit penting dalam keyakinan bahwa itu
akan dilakukan oleh yang lain. Mereka mungkin melakukan terlalu banyak pekerjaan
audit karena mereka gagal untuk menghargai bahwa kompensasi kontrol ada di daerah
mereka lakukan pemeriksaan overhead tambahan juga terjadi dalam pemeliharaan dua
struktur manajemen. Jenis masalah mungkin dikurangi jika dua kelompok yang
terintegrasi.
Adopsi dari staf versus peran baris untuk sistem informasi auditor memiliki beberapa
implikasi penting untuk beberapa aspek lain dari pengelolaan fungsi audit dalam contoh
organisasi-untuk, jalur karir yang bisa dikejar oleh sistem informasi auditor dan pendidikan
dan pelatihan mereka harus menerima.
Dalam organisasi besar, keputusan kadang-kadang harus dibuat apakah kelompok audit
internal dan dengan demikian kelompok Audit sistem informasi harus terpusat atau
desentralisasi. Demikian pula, di sebuah perusahaan audit eksternal, keputusan kadang-
kadang harus dibuat tentang apakah kelompok Audit sistem informasi akan berlokasi hanya
beberapa kantor perusahaan atau desentralisasi untuk semua kantor perusahaan.
Pertanyaan tentang apakah kelompok Audit sistem informasi harus terpusat atau
desentralisasi tidak memiliki jawaban yang jelas. Faktor-faktor berikut adalah wakil dari
orang-orang yang mempengaruhi keputusan
1. Jika sistem informasi audit yang akan dilakukan di lokasi yang tersebar secara fisik,
kecenderungan ada menuju desentralisasi untuk mengatasi masalah komunikasi dan
kontrol.
2. Jika kelompok audit yang memiliki kekurangan sistem informasi keahlian audit,
kecenderungan ada ke arah sentralisasi untuk membuat lebih efektif menggunakan
keahlian terbatas yang tersedia.
3. Jika auditor keuangan memiliki kompetensi dasar dalam audit sistem informasi,
kecenderungan ada untuk memiliki kelompok terpusat spesialis Audit sistem informasi
melakukan fungsi staf
4. Jika pelaksanaan teknik audit berbantuan komputer di lokasi yang tersebar secara fisik
sulit, kecenderungan ada untuk membentuk kelompok audit yang terpusat infor sistem
infor yang melakukan layanan fungsi jenis biro.
5. kelompok Audit sistem informasi yang baru terbentuk cenderung terpusat. Desentralisasi
terjadi sebagai kelompok dewasa Mungkin faktor yang paling penting yang
mempengaruhi keputusan isasi sentralisasi-decentral adalah apakah organisasi di mana
kelompok Audit sistem informasi terletak terpusat atau desentralisasi terjadi sebagai
kelompok dewasa.
Jika sistem informasi audit harus dilakukan secara efektif dan efisien, sumber daya yang
memadai harus tersedia. Tersedia jangka panjang yang tepat dan perencanaan jangka
pendek dilakukan, sifat dan jumlah sumber daya yang dibutuhkan dapat diperkirakan.
Misalnya, rencana jangka pendek untuk fungsi audit sistem informasi harus memungkinkan
kita untuk memprediksi jumlah staf kami akan membutuhkan lebih dari tahun yang akan
datang, keterampilan staf tersebut harus memiliki, jenis-jenis teknik audit berbantuan
komputer kita akan perlu untuk mengumpulkan dan mengevaluasi bukti, dukungan yang
kami akan butuhkan dari karyawan lain (misalnya, programmer), dan tuntutan kita harus
membuat pada auditee selama pelaksanaan pekerjaan audit kami. Sebagai manajer yang
bertanggung jawab atas fungsi audit sistem informasi, kita harus memperoleh dan jadwal
ketersediaan sumber daya ini seperti yang diperlukan. Jika tidak, pelaksanaan audit sistem
informasi akan terganggu.
FUNGSI STAFFING
Fungsi kepegawaian terkait dengan staf audit sistem informasi ini mirip dengan fungsi staf
lain yang harus dilakukan dalam sebuah organisasi: Staf harus disewa, dikembangkan, dan
didukung, dan pemberhentian sukarela dan tidak sukarela dari staf harus dikelola (lihat Bab
3). Pada subbagian berikut, kita memeriksa masalah staf beberapa yang terutama
berhubungan dengan pengelolaan sistem informasi kepegawaian audit.
Sebuah isu lama dalam disiplin Audit sistem informasi telah menjadi pertanyaan apakah
lebih baik untuk merekrut staf dengan latar belakang teknologi informasi atau staf dengan
latar belakang audit. Mereka yang mendukung merekrut staf dengan teknologi informasi
latar belakang g beberapa alasan. Pertama, mereka berpendapat bahwa terlatih profesional
komputer telah memiliki landasan yang solid dalam kontrol komputer. Sistem analis dan
programmer, misalnya, harus sudah memiliki pengalaman dalam desain dan implementasi
pengendalian dalam sistem mereka telah membangun. Kedua, mereka berpendapat bahwa
pengetahuan teknis dan wawasan yang diperlukan untuk mengevaluasi sistem informasi
berbasis komputer hanya dapat diperoleh melalui pengalaman praktis dalam desain sistem
dan implementasi. Ketiga, mereka berpendapat bahwa sistem informasi auditor
membutuhkan lebih banyak pengetahuan tentang teknologi informasi dari audit untuk
melakukan fungsi mereka dengan baik. Selain itu, pengetahuan audit yang diperlukan dapat
diperoleh dengan lebih mudah daripada pengetahuan teknologi informasi.
Mereka yang mendukung merekrut staf dengan latar belakang audit yang berpendapat,
pertama yang mendapatkan apresiasi dari filosofi kontrol keseluruhan yang dibutuhkan
untuk menjadi sistem informasi auditor yang efektif dan efisien terbaik diperoleh melalui
pendidikan awal dan pelatihan di bidang akuntansi dan audit. Kedua, mereka berpendapat
bahwa pada akhirnya tujuan dari banyak audit adalah untuk membuat beberapa penilaian
tentang keadaan catatan akuntansi. sistem informasi auditor yang memiliki lebih pelatihan
mendalam dalam akuntansi dan auditing yang terbaik ditempatkan untuk membuat penilaian
ini. Ketiga, mereka berpendapat bahwa pengetahuan teknologi informasi adalah volatile.
Terus-menerus berubah sebagai teknologi perubahan itu sendiri. Akuntansi dan audit
pengetahuan, di sisi lain, lebih stabil. Dengan demikian, ia menyediakan dasar yang lebih
baik dari yang bekerja sebagai auditor sistem informasi.
Rittenberg (1977) mencoba untuk menemukan sebuah resolusi untuk perdebatan ini. Dia
sejumlah besar auditor apakah mereka dianggap pengolahan data pengetahuan audit
pengetahuan menjadi lebih sulit untuk mendapatkan. Menariknya, mereka yang memiliki
latar belakang pengolahan data pikir pengetahuan audit lebih sulit untuk memperoleh.
Mereka yang memiliki latar belakang audit, bagaimanapun, berpikir pengolahan data
pengetahuan lebih sulit untuk memperoleh. Jelas, kedua jenis pengetahuan yang penting
untuk pekerjaan sistem informasi auditor. Selain itu, tidak ada jawaban yang mudah ada
untuk pertanyaan apakah kita lebih baik jika kita dididik pertama dalam teknologi informasi
atau berpendidikan pertama dalam akuntansi dan audi.
Setiap kali kita merekrut sistem informasi auditor, namun, kita perlu mengidentifikasi
pendidikan, pelatihan, pengalaman, dan keterampilan kita akan ingin ditunjuk untuk memiliki.
Persyaratan ini harus menjadi hasil dari upaya perencanaan kita. rencana jangka pendek
kami harus mengidentifikasi kebutuhan mendesak kami dalam hal kemampuan staf
khususnya, kebutuhan-kebutuhan yang penting dan mereka yang diinginkan dalam hal audit
kita perlu melakukan lebih dari mengatakan, 12 bulan ke depan. rencana jangka panjang
kami harus memberikan dasar untuk pengembangan staf serta perekrutan. Mempekerjakan
staf sistem informasi harus didasarkan pada seberapa baik pelamar memenuhi kedua ini
jangka pendek dan kebutuhan jangka panjang.
Seperti setiap staf, sistem informasi staf audit harus di bawah siklus teratur review dan
penilaian. Staf dan manajemen harus mempersiapkan secara menyeluruh untuk penilaian.
Setiap harus mencerminkan hati-hati pada kekuatan dan kelemahan anggota staf. Masing-
masing juga harus mencoba untuk mencapai kesepakatan dengan lainnya pada penilaian
mereka tentang kekuatan dan kelemahan anggota staf. Manajemen maka harus
menegaskan kekuatan anggota staf dan memberikan umpan balik konstruktif pada
kelemahan. Selain itu, tujuan pembangunan harus diatur dan rencana yang disiapkan untuk
memfasilitasi anggota staf mencapai tujuan.
Sistem informasi audit adalah profesi menuntut karena memerlukan praktisi untuk menjadi
mahir dalam keterampilan teknis yang berhubungan dengan komputer dan audit,
manajemen dan keterampilan organisasi, tertulis dan keterampilan lisan komunikasi,
keterampilan interpersonal, dan keterampilan kepemimpinan. Orang-orang sangat tidak
mungkin untuk memiliki semua keterampilan ini pada awal karir mereka. Sebaliknya, mereka
akan harus diperoleh (sering lambat dan menyakitkan) dari waktu ke waktu. Dalam terang
ini, rencana pengembangan staf harus mendorong perolehan keterampilan ini dengan cara
yang sama dan sebangun dengan tingkat sistem informasi auditor wewenang dan tanggung
jawab dalam organisasi mereka Misalnya, dalam peran tertentu, sistem informasi auditor
mungkin tidak harus memiliki tingkat tinggi keterampilan teknis untuk melakukan fungsi
mereka secara efektif.
Misalnya, dalam peran tertentu, sistem informasi auditor mungkin tidak harus memiliki
tingkat tinggi keterampilan teknis untuk melakukan fungsinya secara efektif. Mereka
mungkin perlu dilakukan pengguna dari teknik audit yang dibantu komputer, tetapi mereka
mungkin tidak perlu memiliki keterampilan yang dibutuhkan untuk mengembangkan teknik
ini sendiri. Asalkan mereka memiliki pemahaman yang moderat teknologi dan pemahaman
yang baik dan pengalaman dengan audit, domain aplikasi, dan "lunak" keterampilan seperti
komunikasi lisan, mereka mungkin berada dalam posisi yang kuat untuk melakukan audit
kompeten. Dalam peran lain, bagaimanapun, sistem informasi auditor mungkin memerlukan
tingkat tinggi keterampilan teknis. Misalnya, mereka mungkin harus bertindak sebagai
konsultan untuk mengaudit tim yang beroperasi di kompleks database dan komunikasi data
lingkungan. Program pelatihan mereka menghadiri, karena itu, mungkin lebih fokus pada
penyediaan pengetahuan dan pengalaman dengan teknologi dan kurang pada keterampilan
interpersonal.
Menemukan jalur karir yang cocok untuk sistem informasi auditor dapat menimbulkan
masalah. Seringkali organisasi hanya memiliki sejumlah kecil sistem informasi auditor
(kadang-kadang hanya satu). Mereka adalah kelompok spesialis antara auditor staf umum di
grup audit internal atau sebuah perusahaan audit eksternal. Dengan demikian, sistem
informasi auditor memiliki beberapa peluang promosi. Dalam beberapa sistem informasi
kelompok audit internal, beberapa tingkat dalam hirarki mungkin contoh ada-untuk, sistem
informasi asisten auditor, sistem informasi auditor, dan manajer audit sistem informasi.
diberikan tren organisasi terhadap perampingan dan perataan struktur manajemen,
bagaimanapun, jumlah tingkat kemungkinan menyusut daripada tumbuh. Dalam beberapa
perusahaan audit eksternal, jalan yang jelas untuk bermitra mungkin ada untuk individu yang
ingin mengkhususkan diri dalam sistem informasi audit-junior, senior, manajer, dan partner.
Sistem informasi kelompok audit dalam perusahaan audit eksternal juga mungkin lebih
besar daripada kelompok Audit sistem informasi yang merupakan bagian dari kelompok
audit internal organisasi.
Beberapa sistem informasi auditor mungkin tidak melihat ke berbagai kesempatan promosi
sebagai dasar untuk memperoleh kepuasan dari pekerjaan mereka. Sebaliknya, mereka
mungkin mencari imbalan intrinsik mereka peroleh dari berlatih sebagai sistem informasi
auditor-misalnya, berbagai pekerjaan yang mereka hadapi, dan tantangan yang mereka
hadapi dalam sisa yang kompeten sebagai perubahan teknologi informasi dengan cepat.
aspirasi suatu sistem informasi auditor perlu ditangani selama pertemuan appraisal. Orang
yang mencari peluang promosi yang luas harus menasihati pada set realistis mereka hadapi
jika mereka melanjutkan karir mereka di audit sistem informasi. Orang yang mencari imbalan
intrinsik, bagaimanapun, harus diberikan kesempatan untuk mengartikulasikan cara di mana
mereka dapat diberikan pengalaman, pendidikan, dan pelatihan untuk menyediakan mereka
dengan karir yang memuaskan.
Sebuah karir di audit sistem informasi sering dipandang sebagai batu loncatan yang
berguna untuk lainnya karir-misalnya, data atau administrasi database, konsultan sistem
informasi, manajemen sistem informasi, manajemen jaminan mutu, administrasi keamanan,
dan manajemen keuangan. Seperti semua posisi audit, mapan mendapatkan lebar,
beragam pengalaman yang berdiri mereka dalam manfaat yang baik untuk banyak posisi
lainnya dalam organisasi. audit sistem informasi juga memiliki keuntungan tambahan
memberikan mapan dengan landasan yang sangat baik dalam teknologi informasi, yang
sekarang penting untuk strategi dan operasi banyak organisasi.
FUNGSI MMEMIMPIN
Ingat dalam Bab 3 bahwa kami mengakui tujuan fungsi terkemuka adalah untuk mencapai
keselarasan tujuan. Dengan kata lain, manajer berusaha untuk melaksanakan fungsi
kepemimpinan efektif untuk mencoba untuk memastikan bahwa orang atau kelompok dalam
kerja organisasi mereka untuk mencapai tujuan organisasi. Manajer berusaha untuk
mencapai tujuan kepemimpinan melalui proses memotivasi memberikan arahan untuk, dan
berkomunikasi dengan bawahan mereka. Dalam dua subbagian berikut, kita membahas
tujuan kepemimpinan dan proses yang berlaku untuk fungsi audit sistem informasi.
Tujuan kepemimpinan
Manajer kelompok Audit sistem informasi perlu khawatir tentang mencapai keharmonisan
tujuan pada tiga tingkatan (Gambar 24-4). Pertama, tindakan yang diambil oleh auditor
sistem informasi individu atau tim dari sistem informasi auditor harus kongruen dengan
tujuan keseluruhan audit tertentu di mana mereka berpartisipasi. kepemimpinan yang efektif
diperlukan untuk memastikan bahwa auditor sistem informasi individu atau tim dari sistem
informasi auditor tidak sengaja atau tidak sengaja bekerja di lintas tujuan dengan satu sama
lain. Kedua, setiap audit perlu dilakukan sedemikian rupa bahwa hasil adalah kongruen
dengan orang-orang yang didirikan berdasarkan rencana jangka pendek yang harus disusun
untuk fungsi audit sistem informasi. Ingat dari diskusi kami sebelumnya bahwa tujuan utama
dari rencana jangka pendek adalah untuk memberlakukan strategi manajemen risiko
organisasi yaitu, untuk mengidentifikasi daerah-daerah yang dalam sebuah organisasi yang
perlu diaudit dengan tujuan untuk mengurangi
Kesesuaian Level 3
Kesesuaian Level 2
Kesesuaian Level 1
eksposur yang dihadapi oleh organisasi untuk tingkat yang dapat diterima. kepemimpinan
yang efektif diperlukan untuk memastikan bahwa setiap audit kontribusi dalam cara yang
dimaksudkan untuk pengurangan secara keseluruhan dalam eksposur. Ketiga, kegiatan
fungsi audit sistem informasi secara keseluruhan harus membantu organisasi untuk
mencapai misi dan tujuan dan, dalam beberapa kasus, untuk membentuk misi dan
tujuannya. kepemimpinan yang efektif diperlukan untuk memastikan bahwa upaya agregat
semua yang bekerja di fungsi audit sistem informasi berkontribusi secara efektif dan efisien
untuk misi dan tujuan organisasi.
Dalam diskusi kami apakah sistem informasi auditor harus melakukan baik fungsi staf atau
fungsi garis, kita sudah diteliti beberapa kesulitan yang timbul dalam mencapai
keharmonisan tujuan dalam fungsi audit sistem informasi. Jika sistem informasi auditor
melakukan fungsi staf, misalnya, kepemimpinan yang efektif akan diperlukan untuk
memastikan bahwa mereka tidak mengejar agenda mereka sendiri (misalnya, memperoleh
pengalaman dalam audit teknologi baru) daripada berkontribusi untuk mencapai tujuan audit
di yang mereka berpartisipasi. Demikian pula, kepemimpinan yang efektif akan diperlukan
untuk memastikan bahwa sistem informasi auditor dan auditor keuangan
mengkoordinasikan pekerjaan yang mereka lakukan. Proses kepemimpinan.
Proses Kepemimpinan
Proses kepemimpinan Ingat dari Bab 3 bahwa teori-teori kontingensi motivasi memprediksi
faktor-faktor yang memotivasi orang-orang terbaik akan bervariasi tergantung pada sifat dari
orang tersebut. Manajer fungsi audit sistem informasi, oleh karena itu, harus memahami
kebutuhan masing-masing bawahan mereka jika mereka ingin memotivasi mereka secara
efektif. Mereka mendapatkan pemahaman ini melalui (1) observasi dan refleksi pada
perilaku mereka saat mereka melakukan peran Audit sistem informasi dan (2) umpan balik
yang diperoleh dari mereka, terutama ketika manajer melakukan wawancara penilaian
pribadi dengan mereka. Jika sistem informasi auditor memiliki orientasi karir teknis, manajer
mungkin dapat mengakomodasi kebutuhan mereka dengan menyediakan mereka dengan
pengalaman kerja yang mencakup berbagai teknologi. Jika auditor memiliki orientasi karir
manajerial, namun, manajer mungkin hanya dapat menyediakan mereka dengan
kesempatan terbatas. seperti yang dibahas sebelumnya, kelompok Audit sistem informasi
biasanya kecil dengan beberapa lapisan manajerial. Dalam terang ini, kemajuan karir
manajerial sering harus dicari di luar kelompok Audit sistem informasi.
Berolahraga kontrol atas fungsi audit sistem informasi perlu dipahami dalam konteks
berolahraga manajemen mutu total dan perbaikan terus-menerus dalam organisasi di mana
fungsi audit sistem informasi berada. Seperti semua personil lainnya dalam suatu
organisasi, sistem informasi auditor harus berusaha terus menerus untuk memastikan
bahwa pekerjaan memenuhi standar kualitas dan untuk mengidentifikasi cara-cara untuk
meningkatkan kualitas pekerjaan mereka. Pada tingkat audit individu, kontrol dapat
dilakukan dengan beberapa cara:
1. Pada awal audit, tujuan harus dinyatakan dengan jelas dan didokumentasikan. Selain itu,
sumber daya yang diperlukan untuk melakukan audit harus ditentukan. Melakukan
keseluruhan audit perlu direncanakan dan didokumentasikan. Spreadsheet dan
perangkat lunak manajemen proyek dapat digunakan untuk membantu tugas-tugas ini
2. Selama pelaksanaan audit, kemajuan perlu dipantau dan dievaluasi. varians materi dari
rencana audit harus diselidiki. Kualitas pekerjaan yang dilakukan juga perlu dievaluasi.
Selain itu, pekerjaan audit yang telah dilakukan harus didokumentasikan dengan benar.
alat otomatis, seperti software untuk mendukung telaah kertas kerja selesai dan
pengendalian internal evaluasi, dapat digunakan untuk meringankan tugas dokumentasi.
3. Sepanjang audit dan dekat akhir audit, pekerjaan yang dilakukan harus dikenakan
tinjauan independen. Ulasan ini harus mengevaluasi apakah kertas kerja yang lengkap,
pekerjaan yang dilakukan telah direncanakan dengan baik dan diawasi, prosedur audit
yang tepat telah digunakan, hasil dari dukungan audit kesimpulan audit tercapai, dan
pekerjaan audit yang telah dilakukan secara efektif dan efisien . Adalah penting bahwa
pekerjaan ini harus dilakukan sebelum manajer audit tanda-tanda dari pada audit.
4. perawatan substansial harus diambil dengan melaporkan hasil audit. Laporan audit harus
jelas, meyakinkan, dan faktual. Pembaca harus melihat bagaimana kesimpulan yang
dicapai dapat dikaitkan dengan temuan audit. praktek yang baik harus ditegaskan dalam
laporan audit: praktek yang buruk dan kelemahan kontrol harus ditunjukkan secara
obyektif. konsekuensi potensial dari praktek yang buruk dan kelemahan kontrol harus
diartikulasikan. rekomendasi untuk perbaikan harus disediakan
5. Setelah penyelesaian audit, pemangku kepentingan (mis., Komite audit Dewan Direksi
dan manajemen dari fungsi yang telah diaudit) harus berkonsultasi untuk menentukan
kepuasan mereka dengan pekerjaan audit yang dilakukan. Konsultasi ini mungkin
melibatkan pemangku kepentingan menyelesaikan kuesioner untuk menilai persepsi
mereka tentang kualitas pekerjaan audit yang dilakukan (lihat, misalnya, Levine 1993).
Pada tingkat fungsi audit sistem informasi keseluruhan, berbagai jenis kontrol dapat
dilakukan Pada secara teratur sepanjang tahun, tinjauan rinci harus dilakukan pada
penugasan audit yang dipilih yang telah dilakukan untuk memastikan pekerjaan yang
dilakukan memenuhi standar kualitas. Pada dasar tahunan, sistem informasi standar,
kebijakan, dan prosedur perlu dievaluasi untuk memastikan mata uang dan kelayakannya.
Setiap beberapa tahun, sebuah, pihak independen eksternal mungkin diminta untuk
meninjau fungsi audit sistem informasi untuk menilai efektivitas dan efisiensi.
Kita juga bisa menggunakan benchmarking untuk mengevaluasi seberapa baik fungsi audit
sistem informasi kinerja. Ingat bahwa benchmarking adalah proses menggunakan nilai
indikator kinerja utama untuk membandingkan kinerja fungsi atau proses dalam suatu
organisasi dengan fungsi yang sama atau proses dalam organisasi lainnya. Dalam kasus
audit sistem informasi, yang macam indikator kinerja utama kita mungkin menggunakan
adalah kegiatan yang dilakukan oleh kelompok Audit sistem informasi, sumber daya
dikeluarkan audit sistem informasi, waktu yang dibutuhkan untuk menyelesaikan sistem
informasi audit, tingkat kepuasan pemangku kepentingan dengan fungsi audit sistem
informasi, dan tingkat turnover staf sistem informasi audit, bagaimanapun, bahwa kita harus
berhati-hati dalam penggunaan benchmarking. Sehubungan dengan organisasi lain,
misalnya, keadaan lingkungan sekitarnya organisasi kita sendiri mungkin berbeda jauh.
Selain itu, strategis kita mungkin ingin mengejar arah pemeriksaan sistem informasi yang
berbeda dari mereka yang organisasi lain mengejar.
Salah satu keunggulan dari profesi adalah bahwa asosiasi profesional ada untuk melayani
kebutuhan anggotanya. kebutuhan ini sering didefinisikan dalam hal lima kondisi yang harus
dipenuhi jika sebuah kelompok kerja adalah untuk menyebut dirinya profesi: I) keberadaan
suatu badan umum pengetahuan, (2) Adanya standar kompetensi, (3) perilaku yang valid
dan pemeriksaan diandalkan untuk menilai kompetensi, (4) adanya kode etik, dan (5)
penegakan kode etik melalui mekanisme disiplin.
Asosiasi profesional
Sejak pertengahan 1960-an, banyak asosiasi profesional yang ada akuntan telah berusaha
untuk mengatasi kebutuhan anggota mereka yang bekerja di bidang audit sistem informasi.
Sebagai contoh, American Institute Akuntan Publik (AICPA) dan Institute of Chartered
Accountants di Australia (ICAA) memiliki gugus tugas dan menghasilkan publikasi yang
telah difokuskan pada kontrol dan audit dalam lingkungan komputerisasi. Berbagai asosiasi
profesi komputasi juga telah berusaha untuk memenuhi kebutuhan anggota mereka yang
memiliki kepentingan dalam audit sistem informasi dan kontrol. Sebagai contoh, Association
for Computing Machinery (ACM) dan Institute of Electrical dan Electronic Engineers (IEEE)
keduanya memiliki hal khusus dalam kelompok kepentingan yang berhubungan dengan hal-
hal yang berhubungan dengan keamanan komputer.
Pada tahun 1969, Asosiasi Auditor EDP (EDPAA) didirikan di Los Angeles sebagai
organisasi profesional yang dimaksudkan untuk mengatasi secara khusus kebutuhan sistem
informasi auditor. Asosiasi dimulai dengan sekitar 100 anggota. Saat ini memiliki lebih dari
14.000 anggota di lebih dari 100 negara. Dan juga memiliki asosiasi lokal di lebih dari 50
negara yang tersebar di seluruh dunia. Anggota gugus yang bertugas terdiri dari banyaknya
bab. Presiden internasional juga telah dipilih dari berbagai negara. Pada tahun 1994,
Asosiasi berubah nama menjadi Asosiasi Audit dan Pengendalian Sistem Informasi
(ISACA). Informasi lebih lanjut tentang ISACA dapat diperoleh di situs World Wide Web-nya:
http://www.isaca.org.
Common Body of Knowledge
Sebuah hasil utama dari survei ini adalah produksi dari publikasi yang disebut Kontrol
Tujuan. Publikasi ini menetapkan tujuan pengendalian untuk berbagai jenis dari kegiatan
keorganisasian, daftar kontrol yang dapat digunakan untuk mencapai tujuan tersebut, dan
daftar prosedur audit yang dapat digunakan untuk menentukan apakah kontrol ini berada di
tempat dan beroperasi andal. Tujuan pengendalian direvisi secara berkala untuk
mencerminkan lingkungan sistem informasi audit yang berubah. Anggota Asosiasi
diharapkan mampu menunjukkan bahwa mereka memiliki tingkat yang kompeten atas
pengetahuan Control Objective. Pada intinya, itu didokumentasikan Common Body of
Knowledge yang kemudian-EDPAA percaya sistem informasi yang kompeten auditor yang
harus dimiliki.
Pada tahun 1996, Control Objectives digantikan dengan publikasi multi-volume yang disebut
Kontrol tujuan untuk informasi dan Teknologi Terkait (Dalam formasi Sistem Audit dan
Kontrol Yayasan 1996). Pada tahun 1998, ISACA membuat edisi kedua dari COBIT. Fokus
COBIT adalah pada proses bisnis. Untuk setiap proses bisnis, COBIT memiliki daftar tujuan
pengendalian, kontrol yang dapat digunakan untuk mencapai tujuan tersebut, dan prosedur
audit yang dapat digunakan untuk menentukan apakah kontrol berada dan beroperasi di
tempat yang terpercaya . Sekali lagi, COBIT pada dasarnya mengartikulasi Common Body
of Knowledge untuk audit sistem informasi yang profesional.
Kompetensi standar
pada tahun 1985, EDPAA membentuk Dewan standar untuk mengembangkan dan
menyebarluaskan standar yang akan mengarahkan pekerjaan sistem informasi auditor.
Dewan diminta untuk mengembangkan standar yang akan berlaku secara internasional.
Pada Juni 1987, EDPAA merilis "Standar Umum dari Auditing Sistem Informasi." Standar
awal ini telah diperbarui dan diperluas untuk mencakup daerah baru. Standar itu adalah
sebagai berikut :
1. piagam Audit
2. kemerdekaan
4. Kompetensi
5. perencanaan
7. pelaporan
Setelah penerbitan Standar Umum, beberapa Pernyataan tentang standar audit Sistem
Informasi telah dikeluarkan untuk 'menggoda' implikasi dari Standar Umum untuk berbagai
aspek praktek audit sistem informasi. Ini mencakup bidang-bidang berikut:
Judul
1. Auditor sistem informasi harus memiliki sikap independen terhadap audit. Mereka juga
harus menjadi mandiri. Mereka harus independen dari unit organisasi yang mereka
evaluasi.
2. sistem informasi auditor harus independen meninjau proses pengembangan sistem yang
diikuti oleh tim proyek. Mereka tidak harus menjadi aktif pemerintah yang terlibat dalam
pengembangan dan implementasi sistem aplikasi. Mereka dapat merekomendasikan
kontrol dan perangkat sistem, bagaimanapun, tanpa merusak kemerdekaan mereka.
Selain itu, mereka bisa terlibat dalam desain dan pelaksanaan audit tool dan teknik tanpa
merusak kemerdekaan mereka.
3. Auditor Sistem informasi harus memperoleh bukti yang cukup, relevan, dan dapat
diandalkan untuk mendukung temuan dan kesimpulan mereka. Bukti ini harus diatur
dengan baik dan didokumentasikan.
4. Dalam pelaksanaan pekerjaan mereka, auditor sistem informasi perawatan harus latihan
dengan tingkat keterampilan yang sepadan yang dimiliki oleh rekan-rekan mereka.
5. Auditor Sistem informasi harus menggunakan teknik penilaian risiko untuk
mengembangkan rencana audit keseluruhan dan untuk merencanakan audit tertentu.
Mereka harus mendokumentasikan teknik penilaian risiko mereka telah mengadopsi.
6. Auditor sistem informasi harus menjaga dokumentasi yang menunjukkan rencana audit
mereka, ruang lingkup audit dan tujuan, program audit, langkah audit, bukti yang
dikumpulkan, temuan audit dan kesimpulan, laporan audit dan tanggapan audit untuk
direkomendasi.
7. Auditor sistem informasi harus mengeluarkan laporan bahwa komunikasi merupakan
tujuan audit, standar auditing yang digunakan, ruang lingkup audit, dan temuan dan
kesimpulan. Laporan tersebut harus diatur dan disajikan secara logis, dikeluarkan secara
tepat waktu, mengidentifikasi audit, dan mengindikasikan.
8. Tanggal penerbitan auditor sistem informasi harus menilai risiko terjadinya
penyimpangan ketika mereka melakukan audit. Mereka harus merancang tes audit yang
cukup mungkin diharapkan untuk mendeteksi penyimpangan material. Ketika
penyimpangan terdeteksi, dampaknya terhadap tujuan audit dan bukti yang dikumpulkan
harus dipertimbangkan. Keberadaan mereka harus dikomunikasikan kepada manajemen
dalam auditor.
9. Sistem informasi secara tepat dan tepat waktu harus memperoleh keyakinan memadai
integritas dan kegunaan dari perangkat lunak audit mereka berniat untuk digunakan
dalam audit. Ketika mereka menggunakan perangkat lunak audit untuk mengakses data
produksi, mereka harus berusaha untuk melindungi integritas dari sistem produksi dan
data.
ISACA juga telah mengeluarkan serangkaian audit sistem informasi garis panduan. Tujuan
dari pedoman ini adalah untuk memberikan bantuan praktis ketika menerapkan standar
sistem informasi audit. Anggota ISACA harus sesuai dengan standar di bawah Kode Etik
Profesional (lihat bagian berikutnya). Ketidakpatuhan bisa mengakibatkan hilangnya
sertifikasi untuk anggota yang memegang sertifikat Certified Information Sys tems Auditor
(lihat bagian berikutnya) atau hilangnya keanggotaan Asosiasi.
Pemeriksaan Kompetensi
Pada tahun 1978, EDPAA mengumumkan secara resmi bahwa mereka akan membuat
pemeriksaan dan sertifikasi proses sebagai sarana menilai apakah orang yang mengaku
anggota dari profesi telah mencapai tingkat tertentu kompetensi. Dalam hubungannya
dengan Educational Testing Center of Princeton, New Jersey, EDPAF mengembangkan
Sistem Informasi Bersertifikat Auditor (CISA) Pemeriksaan. Yayasan memiliki beberapa
tujuan: (1) untuk mengembangkan dan mempertahankan instrumen valid dan handal yang
dapat digunakan untuk menguji kompetensi seseorang dalam audit sistem informasi, (2)
untuk memotivasi orang untuk im membuktikan dan mempertahankan kompetensi mereka
sebagai auditor sistem informasi, (3) secara berkesinambungan untuk memantau
kompetensi individu yang mengaku dirinya sebagai sistem informasi auditor, dan (4) untuk
membantu manajemen dengan pilihan personil dan pembangunan. Setelah awal
"grandfather period" berpengalaman dalam audit sistem informasi, pada 10 April 1981
pemeriksaan menjadi kebutuhan bagi mereka yang ingin mendapatkannya.
CISA sekarang diterima secara luas sebagai tolok ukur untuk mengevaluasi kompetensi
suatu auditor sistem informasi . Setiap tahun pemeriksaan iklan melayani dalam beberapa
bahasa di banyak pusat-pusat pengujian di seluruh dunia. Tanggung jawab untuk
memelihara t dipegang Uji ISACA ini Meningkatkan Komite tambahan uji (TEC). TEC
mengumpulkan dan mengevaluasi pertanyaan ujian dari orang-orang yang tertarik pada
pertanyaan tertulis untuk pemeriksaan.
1. Informasi standar audit sistem dan praktik dan sistem informasi se curity dan kontrol
praktek;
2. Informasi sistem dan manajemen (strategi, kebijakan dan prosedur, struktur organisasi);
3. Proses Sistem informasi (hardware dan software platform, komunikasi infrastruktur
jaringan)
4. Sistem informasi integritas, kerahasiaan dan ketersediaan (misalnya, logis dan fisik
kontrol, validasi data), dan
5. sistem informasi pembangunan, perolehan dan pemeliharaan.
Kode Etik
Anggota ISACA dan pemegang sebutan CISA harus mematuhi Kode Etik. Kode ini
mencakup hal-hal berikut:
1. Dukungan untuk pembentukan dan sesuai dengan standar sistem informasi, prosedur,
dan pengendalian
2. Kepatuhan dengan standar yang diberlakukan oleh ISACA,
3. Layanan Terpercaya untuk pemangku kepentingan dalam proses audit, dan menghindari
partisipasi dalam tindakan yang tidak benar;
4. Pemeliharaan kerahasiaan bukti audit yang diperoleh;
5. Pemeliharaan kemerdekaan;
6. Pemeliharaan kompetensi melalui partisipasi dalam kegiatan pembangunan yang tepat
profesional
7. Hati-hati dalam penggunaan dokumentasi ketika melakukan audit, dan akuisisi dan bukti
yang cukup untuk mendukung kesimpulan audit dan rekomendasi
8. Komunikasi hasil audit kepada pemangku kepentingan sesuai dalam proses audit
9. dukungan untuk pendidikan pemangku kepentingan dalam proses audit untuk
meningkatkan pemahaman mereka tentang sistem informasi dan audit sistem informasi;
dan
10. Pemeliharaan standar perilaku keduanya yaitu profesional dan tingkat pribadi.
Mekanisme Disiplin
Pada bagian akhir buku ini, kita secara singkat memeriksa beberapa faktor utama yang
cenderung memiliki signifikan, dampak berkelanjutan pada pekerjaan di masa depan sistem
informasi auditor. Beberapa telah abadi (mis, privasi.); yang lain telah lebih baru (mis.,
Internet). Sebagai manajer dari fungsi audit sistem informasi dalam sebuah organisasi, kita
harus tetap memiliki pengetahuan tentang faktor-faktor ini dan untuk merencanakan cara-
cara di mana mereka mungkin mempengaruhi kita.
Internet
Pada awal 1980-an, perkembangan besar yang terjadi dalam domain sistem informasi
adalah munculnya Internet. Internet adalah koleksi besar komputer yang saling
berhubungan di seluruh dunia melalui penggunaan jaringan komunikasi antar satu sama lain
terkait dan protokol komunikasi umum disebut TCP/IP (Transmission Control Protocol /
Protocoll Internet). Sebuah konfigurasi yang khas untuk komputer Internet adalah jaringan
area lokal dari komputer pribadi yang terhubung melalui router untuk jaringan area luas yang
pada gilirannya terhubung ke jaringan luas lainnya (Gambar 24-5).
1. Tujuan utama dari internet adalah untuk memfasilitasi komunikasi dan untuk
memungkinkan berbagi sumber daya. Akibatnya, melindungi privasi dan integritas
sumber daya yang dapat diakses melalui internet kadang-kadang sulit. penyusup
bermusuhan mungkin berusaha untuk mengeksploitasi sifat terbuka Internet untuk
mendapatkan akses yang tidak benar ke sumber daya (sec, c g. Vacca 1996).
Akibatnya, privasi data mungkin dilanggar, atau integritas data mungkin rusak. Sebagai
jenis eksposur menjadi jelas, kontrol melalui Internet terus meningkatkan. Meskipun
demikian, manajemen harus mengakui privasi yang dan integritas risiko sebagai
penghasilan setiap kali komputer yang terhubung ke Internet
2. Privasi dan integritas data yang dikirimkan melalui Internet tidak selalu dapat terjamin.
Pesan sering melewati banyak komputer, beberapa di antaranya mungkin tidak
dilindungi dengan baik. Kontrol hanya akan sebagus yang dari link terlemah dalam
rantai komputer melalui mana pesan lulus. Kecuali macam kontrol kriptografi dijelaskan
pada Bab 10 dan 12 berada di tempat, oleh karena itu, isi pesan bisa terkena atau
diubah selama transit dari satu komputer ke komputer lai
3. Masalah hak cipta yang timbul berhubungan dengan kedua organisasi yang bahannya
dapat diambil melalui internet dan materi yang tersedia melalui internet. Di satu sisi,
manajemen organisasi harus memastikan bahwa setiap informasi yang di download
karyawan mereka melalui Internet disisi lain tidak ada hak cipta, mereka juga harus
memastikan bahwa setiap informasi karyawan mereka yang tersedia melalui internet
harus berhak cipta. Masalah hak cipta terutama perhatian dengan informasi multimedia
yang tersedia melalui Web.
4. Banyak organisasi terus bergulat dengan masalah penggunaan yang efektif dari Internet
(lihat, misalnya, Nieuwenhuizen 1997). Misalnya, organisasi telah melakukan
pengembangan halaman Web mahal, tetapi mereka memiliki sedikit peningkatan
penjualan atau keuntungan. Beberapa organisasi telah dilarang penggunaan internet
oleh karyawan mereka, kecuali antara jam tertentu. Mereka berpendapat bahwa
produktivitas telah dirusak parah oleh penggunaan berlebihan karyawan mereka 'e-mail,
kelompok pengguna, dan Web
5. Kualitas sumber daya yang organisasi membuat tersedia melalui internet perlu dikontrol
dengan hati-hati. Jika karyawan organisasi membuat informasi yang salah atau program
yang salah yang tersedia melalui Internet, misalnya, organisasi mungkin menjadi
tanggung jawab untuk kerugian yang terjadi pada tion organisasi lain yang bergantung
pada informasi yang salah atau program yang salah. Demikian pula menguasai lebih
dari e-mail perlu dilakukan. Karyawan harus memahami bahwa pesan yang mereka
kirim dapat mempengaruhi citra organisasi di pasar atau melakukan itu secara hukum
untuk penyediaan barang dan jasa.
6. organisasi download informasi atau program melalui internet, harus mengambil langkah-
langkah untuk memastikan bahwa informasi dan program yang handal. Informasi dan
program harus otentik, akurat, dan lengkap, dan mereka harus bebas dari pembatasan
hak cipta. Suatu organisasi juga perlu memastikan bahwa program download bebas dari
penyimpangan seperti virus atau Trojan horses yang mungkin merusak integritas sistem
informasi sistem.
Sistem informasi auditor harus terus memantau perkembangan yang ada pada Internet.
Mereka harus menyadari eksposur berbeda yang timbul melalui penggunaan Internel dan
kontrol yang dapat diletakkan di tempat untuk mengurangi kerugian yang diharapkan dari
eksposur tersebut. Eksposur dan kontrol ini terus berubah sebagai dampak baru terjadi pada
organisasi sebagai akibat dari penggunaan internet.
Electronic Commerce
Mungkin bentuk pertama perdagangan elektronik yang muncul adalah electronic data
interchange (EDI). Dalam sistem EDI, banyak masalah seputar ity otentik dan privasi
transaksi dikurangi karena pihak untuk transaksi didefinisikan dari awal. Seringkali mereka
berinteraksi satu sama lain melalui jaringan komunikasi data pribadi. Sampai-sampai
mereka menggunakan jaringan publik. Namun, mereka dapat menggunakan kriptografi
private-key untuk menetapkan keaslian dari setiap transaksi di mana mereka terlibat dan
untuk melindungi privasi transaksi ini. Selain itu, mereka dapat membangun alat
pembayaran untuk barang dan jasa di contoh awal-untuk, pendebetan langsung dari
rekening bank.
Sehubungan dengan EDI, namun, pertumbuhan jaringan publik seperti Internet telah
mengubah cara di mana dua pihak dapat berinteraksi satu sama lain. Untuk memulai,
mereka mungkin tidak mengenal satu sama lain sebelum transaksi. Akibatnya, mereka
mungkin memiliki sedikit atau tidak ada pengetahuan yang benar tentang identitas masing-
masing, alamat kredit, kehandalan, dan seterusnya. Sebagai contoh, pengguna internet
mungkin menghubungi sebuah perusahaan yang mengiklankan menggunakan Web untuk
membeli beberapa layanan tertentu yang ditawarkan perusahaan. pengguna mungkin tidak
pernah menghubungi perusahaan sebelumnya. Selain itu, setelah transaksi pertama terjadi,
transaksi berikutnya bisa tidak ada atau jarang terjadi.
Ada tiga fundamental masalah timbul ketika perdagangan elektronik terjadi melalui jaringan
publik seperti Internet, yaitu:
1. Bagaimana pihak yang bertransaksi untuk membangun identitas dan keaslian masing-
masing ?
2. Bagaimana para pihak yang bertransaksi untuk melindungi privasi hubungan mereka?
3. Bagaimana pihak untuk efek transaksi pertukaran uang yang aman untuk barang-barang
dan jasa yang disediakan?
Ingatlah bahwa kunci publik dapat digunakan untuk mengirim pesan rahasia yang sudah
ditandatangani. Dengan demikian, jenis protokol yang digunakan untuk transaksi elektronik
adalah sebagai berikut:
Protokol ini tidak memberikan jaminan, bagaimanapun, tentang vendor atau keaslian
pelanggan atau kepercayaan mereka dalam hal pengiriman barang dan jasa serta
membayar untuk barang dan jasa. Untuk alasan ini, berbagai macam pengaturan sertifikasi
yang digunakan semakin mendukung perdagangan elektronik. Misalnya, pelanggan dapat
mengirim atau kunci publik ke sebuah otoritas sertifikasi. Otoritas sertifikasi mengambil
langkah untuk memastikan keaslian pelanggan (dan mungkin atribut lainnya seperti kredit).
Otoritas sertifikasi kemudian menggunakan kunci pribadi untuk melampirkan tanda tangan
digital untuk kunci publik pelanggan. Pelanggan kemudian mengirim kunci publik mereka
untuk vendor di bawah tanda tangan digital otoritas sertifikasi. Ketika vendor melihat
identitas otoritas sertifikasi, mereka kemudian berkonsultasi dengan beberapa jenis direktori
publik kunci publik milik pemerintah sertifikasi dan menggunakan kunci publik yang sesuai
untuk memverifikasi keaslian kunci publik pelanggan (Gambar 24-6).
Vendor dapat memiliki kunci publik mereka bersertifikat untuk memberikan bukti keaslian
mereka kepada pelanggan. Pengaturan untuk memfasilitasi perdagangan elektronik akan
terus berkembang Misalnya, sistem untuk mengizinkan penggunaan uang digital, cek
elektronik, dan transaksi kartu kredit melalui jaringan publik akan terus meningkatkan (lihat,
misalnya Tibaldeo dan Buben 1996). Auditor harus tetap saat ini dengan teknologi ini dan
membantu organisasi atau klien mereka untuk beradaptasi secara efektif dan efisien untuk
yang hal ini, McConnell (1996) menggarisbawahi perlunya rencana bisnis. Selain itu, auditor
harus menyadari eksposur yang ada dengan berbagai jenis sistem untuk mendukung
perdagangan elektronik dan kontrol yang dapat diletakkan di tempat untuk mengurangi
kerugian dari eksposur tersebut.
REKAYASA ULANG PROSES BISNIS
Di awal 1990-an, berpengaruh pekerjaan oleh para peneliti / konsultan seperti Hammer dan
Davenport termotivasi banyak organisasi untuk menguji kembali prosedur mereka digunakan
untuk memberikan barang dan jasa kepada pelanggan mereka (lihat, misalnya, dan
Davenport 1993). Karya ini, yang pergi di bawah rubrik rekayasa ulang proses bisnis (BPR),
perubahan besar diproduksi di banyak organisasi. Minat BPR mencapai puncaknya pada
pertengahan 1990-an, tetapi gagasan dasar yang dianut cenderung mempengaruhi desain
organisasi selama bertahun-tahun yang akan datang.
BPR meliputi beberapa gagasan desain dasar. Sebuah ide sentral bagaimanapun, adalah
untuk mengatur kegiatan atas dasar proses daripada fungsi Misalnya, jika pelanggan ingin
membeli berbagai jenis asuransi, secara historis mereka sering harus berurusan dengan
banyak orang di sebuah perusahaan asuransi. Seseorang mungkin memiliki tanggung jawab
untuk asuransi jiwa, orang lain mungkin memiliki tanggung jawab untuk rumah dan asuransi
isi, tanggung jawab masih orang lain mungkin punya untuk asuransi mobil, dan sebagainya
Selain itu, orang yang menangani fungsi penjualan mungkin belum sama orang yang
menangani servis berikutnya dari kebijakan asuransi atau pengumpulan atau pembayaran
dana yang terkait dengan kebijakan asuransi
Efisiensi yang disebabkan oleh fenomena ini "tangan-off" di organisasi adalah sasaran
utama untuk usaha BPR. Prosedur yang didesain ulang sehingga satu atau sejumlah kecil
orang ditangani seluruh proses. Misalnya, dalam contoh perusahaan asuransi kami, penjual
mungkin telah dilatih untuk menangani penjualan untuk semua jenis kebijakan yang mungkin
ingin pelanggan untuk membeli. Selain itu, mereka mungkin telah dilatih untuk menangani
servis berikutnya dari kebijakan dan koleksi mungkin berikutnya atau pembayaran dana
yang terkait dengan kebijakan.
Manfaat yang diklaim BPR ditingkatkan efektivitas dan efisiensi. Misalnya, dalam contoh
perusahaan asuransi kami, pelanggan mungkin akan lebih bahagia berurusan dengan satu
orang yang menanggapi kebutuhan asuransi mereka daripada beberapa orang. Biaya
prosedur tangan-off terkait dengan satu karyawan memberi pekerjaan kepada karyawan lain
juga akan dieliminasi atau dikurangi. Banyak organisasi juga menemukan bahwa mereka
bisa menggunakan BPR untuk memfasilitasi upaya perampingan mereka.
BPR juga memiliki biaya, namun, beberapa dari yang awalnya tidak jelas bagi organisasi-
organisasi yang menggunakannya. Sebagai contoh, di beberapa organisasi, BPR tempa
masalah perilaku substansial. Karyawan kadang-kadang mengalami kesulitan
menyesuaikan diri dengan tuntutan kerja baru ditempatkan pada mereka. Misalnya, mereka
harus memperluas jangkauan mereka kompetensi cepat untuk dapat mengatasi secara
efektif dan efisien dengan kebutuhan pelanggan. perampingan terkait yang sering disertai
BPR juga diproduksi ketidakpastian dan stres.
Menariknya, auditor yang lambat untuk menyadari dan menunjukkan bahwa BPR sering
memiliki implikasi yang signifikan dalam hal merusak kontrol dan meningkatkan eksposur
yang dihadapi oleh organisasi. misalnya, alasan utama mengapa prosedur tangan-off yang
sering digunakan dalam organisasi adalah untuk menegakkan Pemisahan tion tugas. Ketika
tangan-off dihilangkan, pemisahan tugas tidak ada lagi.
Akibatnya, organisasi menghadapi eksposur yang lebih tinggi dari kesalahan dan
penyimpangan yang mungkin terjadi. Jenis masalah sering diperparah karena upaya
rekayasa ulang proses bisnis yang biasanya disertai dengan perampingan organisasi.
Misalnya, ketika perampingan terjadi, organisasi memiliki staf yang lebih sedikit tersedia
untuk menegakkan pemisahan tugas pasukan Kompetitif akan memaksa organisasi untuk
terus untuk mengetahui efektivitas dan efisiensi proses kerja mereka. Sistem informasi
auditor, oleh karena itu, harus waspada dalam: (I) memeriksa implikasi dari perubahan
proses kerja yang diusulkan untuk kontrol yang digunakan oleh suatu organisasi dan
eksposur yang dihadapinya dan (2) menunjuk kepada manajemen efek merugikan yang
mungkin terjadi dengan pekerjaan yang diusulkan perubahan proses. pengalaman kami
dengan BPR adalah pengingat yang sering ketegangan terjadi antara efektivitas dan
efisiensi kebutuhan dan aset pengamanan dan kebutuhan integritas data (Sia dan Neo
1997). Penerimaan cepat dan luas dari BPR adalah sinyal bahwa banyak manajer tidak lagi
percaya biaya kontrol bisa dibenarkan. Kita tidak bisa berasumsi bahwa kebutuhan untuk
kontrol jelas, terutama untuk manajemen. Dalam terang ini, kita harus sistem kontrol terus
tunduk analisis BPR dengan cara yang sama bahwa sistem pekerjaan lain dalam organisasi
akan diteliti untuk oportunities untuk meningkatkan efektivitas dan efisiensi.
Outsourcing
Bersamaan dengan gerakan BPR di awal 1990-an, minat dalam outsourcing juga tinggi.
Outsourcing adalah penggunaan pihak yang eksternal untuk organisasi untuk menyediakan
barang atau jasa kepada organisasi. Seperti BPR, outsourcing sekarang dianggap sebagai
sarana penting untuk meningkatkan daya saing organisasi. Hal ini memungkinkan organisasi
untuk lebih fokus pada kompetensi inti sendiri dan juga untuk mengambil keuntungan dari
kompetensi inti organisasi lain. Seperti BPR, pengertian dasar yang mendasari outsourcing
adalah mungkin untuk mempengaruhi desain organisasi selama bertahun-tahun yang akan
datang.
Outsourcing dapat diterapkan untuk setiap fungsi organisasi. Sebagai contoh, dapat
digunakan untuk mendapatkan pelayanan hukum yang dibutuhkan oleh suatu organisasi
atau bagian-bagian komponen yang dibutuhkan untuk beberapa jenis produk yang
diproduksinya. Namun secara historis, fungsi sistem informasi selalu menjadi target utama
untuk outsourcing. Misalnya, penggunaan awal biro jasa oleh organisasi untuk mendapatkan
beberapa atau semua layanan sistem informasi mereka adalah bentuk outsourcing. Selain
itu, sejak awal 1990-an, karena tiga alasan fungsi sistem informasi telah menjadi fokus
khusus untuk kegiatan Outsourcing (lihat, misalnya, Gurbaxani 1996).
Pertama, manajemen sering merasakan mereka akan dapat melakukan kontrol lebih besar
atas fungsi sistem informasi jika outsourcing. Ketika ketergantungan ditempatkan pada
vendor luar, manajemen berkeyakinan bahwa (1) fungsi sistem informasi akan menjadi lebih
responsif terhadap kebutuhan pengguna, (2) penurunan dalam sistem informasi biaya akan
terjadi melalui skala ekonomi yang vendor memperoleh dan menyampaikan ke nya
pelanggan, dan (3) pengguna akan berhati-hati lebih besar dalam konsumsi sumber daya
sistem informasi karena mereka akan harus membayar untuk mereka secara langsung.
Kedua, manajemen sering merasakan bahwa fungsi sistem informasi akan menjadi lebih
inovatif jika outsourcing. Ketika ketergantungan ditempatkan pada vendor luar, manajemen
berkeyakinan bahwa (1) organisasi mereka akan lebih mampu untuk melakukan divestasi
teknologi lama dan mendapatkan akses ke teknologi baru, (2) informasi yang lebih besar
keahlian sistem akan tersedia melalui staf yang dipekerjakan oleh vendor outsourcing, dan
3) keterbatasan staf yang ada akan diatasi karena mereka dapat ditransfer ke outsourcing
vendor mana mereka akan memiliki lebih banyak kesempatan untuk mengembangkan
keterampilan mereka.
Ketiga, manajemen sering merasakan bahwa mereka akan lebih mampu memanfaatkan
aset sistem informasi yang mereka telah dikembangkan secara internal jika mereka
membuat aset ini tersedia untuk dijual melalui vendor outsourcing. Dengan demikian, vendor
outsourcing menyediakan sarana menekan pasar untuk produk-produk dan layanan sistem
informasi yang dikembangkan secara internal. Dari sudut pandang sistem informasi auditor,
namun, outsourcing layanan sistem informasi menimbulkan beberapa masalah sulit. Auditor
memiliki peran untuk bermain di empat tahap yang berbeda outsourcing:
Keputusan untuk melakukan outsourcing, oleh karena itu, dapat memiliki dampak kritis pada
kemampuan organisasi untuk mencapai pengamanan aset, integritas, efektivitas, sebuah
tujuan efisiensi. Pada vendor outsourcing dapat memberikan kemampuan yang
memungkinkan organisasi untuk lebih baik mencapai tujuan tersebut. Di sisi lain, hubungan
outsourcing memiliki fitur yang melemahkan pencapaian tujuan tersebut. sistem informasi
auditor harus berusaha untuk memastikan bahwa kemampuan mereka untuk
mengumpulkan dan mengevaluasi bukti dalam kaitannya dengan pencapaian tujuan
tersebut tidak terhambat ketika organisasi atau klien mereka masuk ke dalam sebuah
pengaturan outsourcing sistem informasi.
Privasi Data
Data Privasi mengacu pada hak untuk telah disimpan atau dikirimkan data yang dilindungi
dari (1) pengungkapan sengaja atau tidak sah atau (2) penggunaan yang tidak sah.
pengungkapan sengaja terjadi ketika data tersebut terungkap karena beberapa jenis
kesalahan atau ketidakteraturan terjadi. pengungkapan yang tidak sah terjadi ketika
seseorang yang memiliki hak untuk mengakses data tertentu menggunakan hak ini untuk
memungkinkan orang yang tidak berwenang memeriksa data. penggunaan yang tidak sah
terjadi ketika seseorang yang memiliki hak untuk mengakses data tertentu menggunakan
hak ini untuk tujuan yang tidak diinginkan.
Untuk beberapa alasan, masalah privasi data yang tetap menjadi masalah abadi di bidang
sistem informasi. Pertama, karena biaya teknologi informasi menurun dan kekuatan
meningkat nya, risiko pelanggaran privasi meningkat. Misalnya, keberadaan besar,
database yang beragam yang berisi informasi tentang individu dan munculnya teknologi
pertambangan dan pencocokan data yang canggih memungkinkan calon pelanggar privasi
kadang-kadang untuk dengan mudah membuat profil rinci tentang individu. Kedua,
internasional rezim peraturan nasional yang berkaitan dengan privasi data tidak seragam.
Tindakan yang melanggar privasi yang dilarang dalam satu yurisdiksi mungkin tidak dilarang
di wilayah hukum lain. Mungkin mudah untuk menghindari undang-undang privasi hanya
dengan menggeser data dari satu yurisdiksi ke yurisdiksi lain. Ketiga, beberapa peneliti
sekarang berpendapat bahwa undang-undang privasi yang ada didasarkan pada prinsip-
prinsip usang yang membutuhkan orang untuk memiliki informasi mereka tidak mungkin
untuk memiliki. Mereka mengklaim, karena itu, bahwa hukum privasi berdasarkan prinsip-
prinsip ini akan menjadi semakin tidak efektif. Kami sebentar kembali ke masalah ini
selanjutnya.
Sejak awal tahun 1970-an, kebutuhan untuk melindungi privasi data telah diakui semakin.
Akibatnya, banyak negara kini diberlakukan undang-undang privasi yang memaksakan kode
"praktek informasi yang adil" pada organisasi (lihat di bawah). Dalam beberapa kasus,
hukum hanya berlaku untuk sektor publik. Dalam kasus lain, bagaimanapun, mereka berlaku
untuk publik dan sektor swasta.
Mungkin set paling dihormati prinsip privasi perlindungan yang banyak rezim peraturan yang
ada didasarkan adalah yang diusulkan oleh Organisasi untuk Kerjasama Ekonomi dan
Pembangunan (OECD) (1980) Prinsip-prinsip ini memberikan dasar untuk sebuah rezim
peraturan yang disebut Informasi Adil praktek (FIP):
1. Koleksi prinsip pembatasan. Keterbatasan pengumpulan data pribadi harus ada. Data
tersebut harus diperoleh dengan cara yang adil dan sah dan dengan sepengetahuan dan
persetujuan dari subjek.
2. Kualitas data prinsip. Data pribadi harus relevan, akurat, lengkap, dan tepat waktu prinsip
spesifikasi
3. Tujuan. Data pribadi harus dikumpulkan hanya untuk tujuan tertentu. Penggunaannya
harus dibatasi tujuan mereka.
4. Gunakan batasan prinsip. Persetujuan dari subjek atau otoritas hukum harus diperlukan
sebelum data pribadi diungkapkan atau digunakan untuk tujuan selain yang awalnya
ditentukan ketika data dikumpulkan.
5. Keamanan perlindungan prinsip. kontrol yang wajar harus dilakukan untuk melindungi
keberadaan, integritas, dan privasi data pribadi.
6. Prinsip enness. Orang harus mampu membangun sifat, keberadaan, dan kepemilikan
sistem data pribadi.
7. Prinsip partisipasi individu. Orang harus mampu membangun data yang ada tentang
mereka dalam sistem data pribadi. Jika data tersebut ada, mereka harus dapat
memeriksanya dan benar atau menghapus data tentang diri mereka sendiri yang tidak
akurat, tidak lengkap, dari tanggal, atau tidak relevan.
8. Prinsip Akuntabilitas. Orang yang melakukan kontrol atas sistem data pribadi harus
bertanggung jawab untuk memastikan bahwa langkah-langkah di tempat dan bekerja
untuk memberikan efek pada prinsip-prinsip di atas.
Dari sudut pandang sistem informasi auditor, kita perlu mengenali, karena itu, bahwa hukum
yang didasarkan pada FIP menjadi semakin bermasalah. Kemungkinan besar, baru hukum
berbasis FIP akan terus diberlakukan. keberhasilan mereka, bagaimanapun, bisa menjadi
terbatas. Jika kita ingin menjaga privasi dalam organisasi kita sendiri atau organisasi klien
kami, semakin kita akan harus bergantung pada kontrol kita menempatkan dan prinsip-
prinsip etika yang memandu perilaku dalam kaitannya dengan penggunaan informasi
daripada perlindungan yang diberikan oleh undang-undang privasi.
Implikasi bagi Sistem Informasi Audit
Dampak undang-undang privasi pada pekerjaan kami sebagai sistem informasi auditor akan
tergantung pada bentuk-bentuk tertentu dari undang-undang yang ada di negara ini dan
negara di mana kita bekerja atau bentuk undang-undang yang berlaku untuk organisasi we
audit. Meskipun demikian, undang-undang privasi cenderung memiliki lima implikasi yang
luas untuk pekerjaan kami sebagai sistem informasi auditor:
Beberapa perusahaan audit eksternal sekarang telah didirikan khusus praktek di bidang
privasi data. Di beberapa negara, juga, Privasi data atau data Perlindungan
Ketenagakerjaan Komisaris juga akan memberikan panduan tentang sifat dan pelaksanaan
audit privacy.
Sistem informasi auditor prihatin tentang kesalahan yang mungkin menyebabkan salah saji
material dari laporan keuangan. Di beberapa negara (misalnya., Amerika Serikat), auditor
eksternal juga memiliki tanggung jawab untuk merancang audit untuk memberikan
keyakinan memadai bahwa penipuan tidak menyebabkan salah saji material dari laporan
keuangan. Mendeteksi kecurangan akan selalu menjadi perhatian bagi auditor internal
terlepas dari tanggung jawab bahwa auditor eksternal mungkin harus debit.
Sebuah teknik yang menjadi semakin penting sebagai sarana untuk mendeteksi kesalahan
dan penyimpangan adalah data mining. Masalah sekarang kita hadapi adalah bahwa kita
kadang-kadang dihadapkan dengan database besar. Entah bagaimana kita harus
menentukan apakah kesalahan atau penyimpangan yang mungkin ada di database ini.
Atau, kita mungkin ingin menggunakan data yang terdapat dalam database ini untuk
memberikan informasi tentang kesalahan dan penyimpangan yang terjadi dalam bisnis kita
audit. teknik data mining yang dirancang untuk mendeteksi pola antara data yang mungkin
sinyal, misalnya, adanya kesalahan atau penyimpangan (lihat, misalnya, Brachman et al.
1996). Mereka mengandalkan berbagai alat seperti paket statistik, sistem pakar, dan
jaringan saraf untuk menggoda keluar pola yang ada dalam data. Proses menggunakan
pola-pola ini untuk menentukan pengetahuan baru yang disebut penemuan pengetahuan.
Dari sudut pandang auditor, penemuan pengetahuan berarti bahwa mereka lebih mampu
menilai apakah aset telah dijaga, integritas data telah dipertahankan, dan sistem berjalan
dengan efektif dan efisien. Misalnya, mereka mungkin menggunakan teknik data mining
untuk mencoba untuk menentukan apakah karakteristik transaksi yang dilakukan dengan
kartu kredit dicuri berbeda dari orang-orang yang dilakukan dengan kartu kredit legiti
pasangan (Casarin 1997). Auditor mungkin harus menempatkan semakin meningkat ing
ketergantungan pada teknik data mining untuk menilai risiko audit dan untuk mengumpulkan
dan mengevaluasi bukti audit.
Semakin, batas-batas organisasi mulai kabur. Pada akhir 1980-an misalnya, sistem
informasi antarorganisasi mulai muncul (Kon synski dan McFarlan 1990). Pelopor sistem ini
adalah sistem EDI. Organisasi mulai menggunakan teknologi komputer untuk efek
kerjasama yang lebih besar dengan satu sama lain, namun, bahkan ketika mereka berada di
kompetisi direci dengan satu sama lain. Sebagai contoh, dua pemasok mungkin
memungkinkan pelanggan untuk langsung mengakses database produksi mereka untuk
menentukan pemasok berada di posisi yang lebih baik untuk memberikan bagian komponen
untuk memenuhi pesanan terburu-buru bahwa pelanggan telah menerima. Setiap pemasok
bahkan mungkin mengalihkan pesanan ke lain ketika itu tidak dalam posisi untuk memenuhi
pesanan. Teknologi komputer kemudian baru (mis., Sistem terbuka) tampaknya
memfasilitasi kedatangan era baru di mana paradoks kompetisi dan kerjasama bisa berjalan
beriringan.
Pada pertengahan 1990-an, organisasi virtual mulai muncul (Gallegos dan Powell 1997).
Organisasi-organisasi ini melampaui batas-batas dalam dan di organisasi. Sekali lagi,
teknologi komputer kemudian baru (mis., Sistem kerja koperasi) memungkinkan orang dan
organisasi untuk memecahkan kendala yang diberlakukan oleh lokasi fisik dan waktu.
Tujuannya adalah untuk merakit orang-orang terbaik dan organisasi terbaik untuk memenuhi
pasar kebutuhan-misalnya, untuk merancang dan membawa produk baru ke pasar.
Sistem informasi antarorganisasi dan organisasi virtual menimbulkan tantangan besar untuk
pekerjaan kami sebagai sistem informasi auditor. Sebagai contoh, semakin kita harus
bergantung pada standar jika komunikasi yang efektif dan efisien di antara para pihak dalam
suatu sistem informasi antarorganisasi atau sebuah organisasi virtual yang terjadi. Juga, kita
menghadapi eksposur harus bergantung pada kontrol di beberapa lokasi yang kadang-
kadang jauh dan kadang-kadang tidak dalam domain pengaruh kita. Seringkali, kita mungkin
harus bergantung pada pekerjaan auditor lain. Dalam terang ini, kita perlu mendukung
upaya ke arah standarisasi sistem informasi kontrol dan prosedur audit (mis., Audit Sistem
Informasi dan COBIT Kontrol Foundation).