AUDIT
INTERNAL
Information Technology Risks and Controls
Abstract Kompetensi
Modul ini membahas mengenai 1. Mahasiswa dapat mengembangkan
Key Component of Modern definisi IT Risk and Control serta
Information Systems 2. Implication menyesuaikan dengan peran Audit
of IT for Internal Auditors Internal
KEY COMPONENTS OF • Ha rd w a re , So ftw a re , Ne tw o rk, DB, In fo rm a tio n , Syste m
MODERN SI
• O p p o rtu n ity (ERP, EDI) & Risks
ITOPPORTUNITIES AND RISKS
• De fin itio n
ITGOVERNANCE
• De fin itio n
ITRISK MANAGEMENT
• De fin itio n
ITCONTROLS
GUIDANCE
KEY COMPONENT OF MODERN SYSTEM INFORMATION
sistem informasi modern setiap organisasi sangat bervariasi dan sangat dibutuhkan di
dunia bisnis saat ini. Komponen kunci sistem informasi yang perlu dipahami oleh auditor
internal meliputi:
1. Computer Hardware, terdiri dari komponen fisik dari sistem informasi (Ex: CPU,
Server, terminal, keyboard);
2. Network, jaringan komputer menghubungkan dua atau lebih komputer sehingga
mereka dapat berbagi informasi (Ex: LAN, WAN, intranet);
3. Software, perangkat Lunak Komputer, termasuk perangkat lunak sistem operasi,
perangkat lunak utilitas, perangkat lunak DBMS, aplikasi perangkat lunak, dan
perangkat lunak firewall;
4. Database, adalah gudang besar data, terdapat banyak file terkait dan disimpan, data
dapat dengan mudah diakses, diambil, dan dimanipulasi;
5. Information, mengubah data menjadi informasi yang berguna untuk pengambilan
keputusan;
6. People, termasuk: Chief Information Officer (CIO), database administrator,
pengembang sistem, personil pengolahan data, dan pengguna akhir.
Gambar 1
Information System sederhana
INFORMATION TECHNOLOGY (IT) OPPORTUNITIES AND RISKS
Peluang dan risiko yang timbul dalam suatu organisasi karena IT mewakili porsi yang
signifikan dari peluang dan risiko organisasi sehingga perlu dipahami dan dikelola secara
efektif.
Opportunities Enabled by IT
IT Risks
Beberapa tipe risiko yang cenderung terjadi pada organisasi dan industri yaitu:
1. Selection Risk
Pemilihan IT yang salah sehingga IT yang digunakan tidak selaras dengan tujuan
dan strategi organisasi yang dapat menghambar dalam pelaksanan aktivitas
organisasi dalam pencapaian tujuannya.
2. Development/ Acquisition and Deployment Risk
Akses yang tidak sah dalam sebuah sistem dapat menyebabkan penyalahgunaan
atau pencurian hardware, masuknya malicious software (malware/ software
perusak), data dicuri, disalahgunakan, atau rusak.
6. System Reliability and Information Integrity Risk
Pengungkapan informasi secara tidak sah mengenai rekan bisnis atau seseorang
dapat menyebabkan kerugian bisnis, tuntutan hukum, berita negatif, turunnya
reputasi.
Pencurian sumber daya IT, penyalahgunaan seumber daya IT yang disengaja, atau
perusakan informasi yang disengaja dapat mengakibatkan kerugian financial atau
kesalahan salah saji atas informasi yang disediakan untuk para pembuat
keputusan.
IT GOVERNANCE
Provide
Set Objective
Direction IT Activities
IT is aligned with the
Increase automation
business Compare (make the business cost-
IT enables the business
effective)
and maximizes benefits
Decrease cost (make the
IT resources are used
enterprise efficient)
responsibly Measure
Manage risks (security,
IT related risks are Performance reliability, and
managed appropriately
Gambar 2
IT Govarnance Framework
IT RISK MANAGEMENT
IT CONTROLS
Penjelasan
Organization and
Management Gambar:
Management
1. IT Governance
Physical and Environment Controls
Controls
IT
Systems Software Controls
Governance
Controls terdiri
Technical
Application Based Controls dari kebijakan
(policies) IT.
Kebijakan ini menetapkan kontrol yang harus ada, misalnya
Keamanan dan privasi IT;
Klasifikasi informasi dan hak atas akses informasi dan pembatasan penggunaan;
Siapa yang harus bertanggung jawab atas sistem organisasi dan data dan siapa
yang berwenang untuk membuat, memodifikasi, atau menghapus informasi;
Sejauh mana pengguna akhir sistem informasi memiliki kewenangan untuk
mengembangkan aplikasi TI mereka sendiri;
Kebijakan personil yang berkaitan dengan pemeriksaan personil baru IT dan
kontrol karyawan IT, keamanan, dan tanggung jawab kerahasiaan;
Perencanaan kelangsungan bisnis.
2. IT Management Controls
3. IT Technical Controls
Untuk pemenuhan tanggung jawab terkait IT, fungsi audit internal harus
melakukan:
a. Memasukkan sistem informasi organisasi dalam proses perencanaan audit
tahunan;
b. Mengidentifikasi dan menilai risiko IT organisasi;
c. Memastikan kecukupan ahli/ pakar bidang audit IT;
d. Menilai IT Governance, Management, dan Technical Controls
e. Menetapkan auditor yang ahli IT dengan tepat untuk setiap penugasan assurance
engagement;
f. Melakukan penugasan audit dengan menggunakan teknik berbasis teknologi.
3. IT Outsourcing
Daftar Pustaka
Reding, et., al. 2009. Internal Auditing: Assurance & Consulting Services. The Institute of
Internal Auditors Research Foundation (IIARF): Second Edition. Florida.