AUDIT INTERNAL

“Risiko dan Pengendalian Teknologi Informasi”

KELOMPOK 5
1. Jasmine Zahra Herryanto S 202130078
2. Nurul Aulia Amanda 202130079
3. Lutfia Maharani Dwi Nurafifah 202130080
A.Peluang dan Risiko

Peluang adalah kemungkinan terjadinya suatu peristiwa dan berdampak positif terhadap pencapaian tujuan organisasi, dan risiko
adalah kemungkinan terjadinya suatu peristiwa dan berdampak negatif terhadap pencapaian tujuan organisasi. Peluang dan risiko yang
muncul dalam suatu organisasi karena TI mewakili sebagian besar peluang dan risiko yang perlu dipahami dan dikelola secara efektif oleh
organisasi.

1.Peluang yang diaktifkan oleh TI

Menjual barang secara online adalah peluang yang dimungkinkan oleh teknologi e-commerce yang telah dimanfaatkan oleh banyak
organisasi. Peluang lain yang dimungkinkan oleh kemajuan TI termasuk sistem perencanaan sumber daya perusahaan (ERP) dan
pertukaran data elektronik (EDI).

2. Risiko TI

Masing-masing komponen utama sistem informasi yang dijelaskan sebelumnya dalam bab ini mewakili sumber risiko potensial. Misalnya:
• Perangkat keras komputer rentan terhadap pemadaman listrik yang mengganggu proses transaksi.

• Jaringan mengirimkan informasi yang mungkin disadap dan dicuri atau disalahgunakan.

• Perangkat lunak komputer yang diprogram secara tidak akurat dapat menghasilkan informasi yang tidak valid, tidak lengkap, dan/atau
tidak akurat.
• Basis data mungkin disusupi untuk tujuan menyalahgunakan atau menyalahgunakan informasi

• Informasi yang tidak valid, tidak lengkap, dan/atau tidak akurat dapat mengakibatkan pengambilan keputusan yang buruk. (Risiko
bahwa informasi yang buruk akan menghasilkan keputusan yang buruk umumnya disebut sebagai risiko informasi.)
B. TATA KELOLA
“Tata Kelola,” struktur tata kelola organisasi memberikan jaminan bahwa organisasi beroperasi dalam batas-batas dan
nilai-nilai yang ditetapkan oleh dewan dan manajemen senior.
Tata kelola TI: "Terdiri dari kepemimpinan, struktur organisasi, dan proses yang memastikan bahwa teknologi
informasi perusahaan menopang dan mendukung strategi dan tujuan organisasi.“

C. MANAJEMEN RISIKO TI
Manajemen risiko didefinisikan sebagai proses yang dilakukan oleh manajemen TI untuk memahami dan menangani
ketidakpastian (risiko dan peluang) yang dapat terjadi mempengaruhi kemampuan organisasi untuk mencapai tujuannya.
Proses manajemen risiko suatu organisasi beroperasi di dalam organisasi struktur tata kelola organisasi untuk:
1) mengidentifikasi dan memitigasi risiko-risiko yang mengancam keberhasilan organisasi, dan
2) mengidentifikasi dan memanfaatkan peluang yang memungkinkan keberhasilan organisasi.
1. Kontrol Tata Kelola TI
Tata kelola TI merupakan komponen integral dari keseluruhan tata kelola. Demikian pula, pengendalian
TI pada tingkat tata kelola merupakan bagian penting dari keseluruhan sistem pengendalian internal
organisasi.
Pengendalian tata kelola TI terdiri dari kebijakan TI. Kebijakan-kebijakan ini misalnya menetapkan sifat
pengendalian yang harus diterapkan dan ditangani:
• Kebijakan umum tentang tingkat keamanan dan privasi di seluruh organisasi.
• Pernyataan tentang klasifikasi informasi dan hak akses pada setiap tingkat.
• Definisi konsep kepemilikan data dan sistem, serta otoritas yang diperlukan untuk membuat, mengubah,
atau menghapus informasi.
• Kebijakan personalia yang menetapkan dan menegakkan kondisi bagi staf di area sensitif.
• Definisi persyaratan perencanaan kesinambungan bisnis secara keseluruhan.
2. Kontrol Manajemen TI
Manajemen bertanggung jawab untuk memastikan bahwa pengendalian TI dirancang secara memadai dan beroperasi
secara efektif, dengan mempertimbangkan tujuan organisasi, risiko yang mengancam pencapaian tujuan tersebut, serta
proses dan sumber daya bisnis organisasi.
Standar TI mendukung kebijakan TI dengan mendefinisikan secara lebih spesifik apa yang diperlukan untuk mencapai
tujuan organisasi. Standar-standar ini harus mencakup, misalnya:
● Proses pengembangan sistem
● Konfigurasi perangkat lunak sistem
● Kontrol aplikasi
● Struktur data
● Dokumentasi
Pengendalian fisik dan lingkungan TI melindungi sumber daya sistem informasi TI (perangkat keras, perangkat lunak,
dokumentasi, dan informasi) dari kerusakan, penyalahgunaan,, atau kehilangan yang disengaja atau tidak disengaja.
Pengendalian tersebut mencakup, misalnya:
● Menemukan server di ruangan terkunci yang aksesnya dibatasi
● Membatasi akses server untuk individu tertentu
● Menyediakan peralatan deteksi dan pemadaman kebakaran
● Tempatkan peralatan, aplikasi, dan data sensitif jauh dari bahaya lingkungan seperti dataran banjir, jalur
penerbangan, atau tempat penyimpanan cairan yang mudah terbakar.
3. Kontrol Teknis TI
Pengendalian perangkat lunak sistem membatasi akses logis ke sistem dan aplikasi organisasi, memantau
penggunaan sistem, dan menghasilkan jejak audit. Pengendalian perangkat lunak sistem mencakup, misalnya:
• Hak akses dialokasikan dan dikendalikan sesuai dengan kebijakan organisasi.
• Penilaian, pencegahan dan deteksi intrusi dan kerentanan dilakukan dan terus dipantau.
• Pengujian intrusi dilakukan secara rutin.
• Layanan enkripsi diterapkan di mana kerahasiaan merupakan persyaratan yang dinyatakan.
• Proses manajemen perubahan – termasuk manajemen patch – diterapkan untuk memastikan proses yang dikontrol
secara ketat dalam menerapkan semua perubahan dan patch pada perangkat lunak, sistem, komponen jaringan,
dan data.
Sistem aplikasi, baik yang dikembangkan sendiri atau dibeli dari vendor, harus memproses informasi secara efektif dan
efisien sesuai dengan kebutuhan pengguna. Pengendalian pengembangan dan akuisisi sistem mencakup, misalnya:
• Persyaratan pengguna harus didokumentasikan, dan pencapaiannya harus diukur.
• Perancangan sistem harus mengikuti proses formal untuk memastikan bahwa persyaratan dan kontrol pengguna
dirancang ke dalam sistem.
• Pengembangan sistem harus dilakukan secara terstruktur untuk memastikan bahwa persyaratan dan fitur desain
yang disetujui dimasukkan ke dalam produk akhir.
• Pengujian harus memastikan bahwa masing-masing elemen sistem berfungsi sesuai kebutuhan, antarmuka sistem
beroperasi sesuai harapan, dan pemilik sistem telah mengonfirmasi bahwa fungsionalitas yang diinginkan telah
disediakan.
• Proses pemeliharaan aplikasi harus memastikan bahwa perubahan dalam sistem aplikasi mengikuti pola
pengendalian yang konsisten. Manajemen perubahan harus tunduk pada proses validasi jaminan terstruktur.
Kontrol berbasis aplikasi mencakup, misalnya:
1. Kontrol masukan
2. Kontrol pemrosesan
3. Kontrol keluaran
4. Kontrol integritas
5. Jejak manajemen
Pengendalian keamanan informasi tidak secara eksplisit disajikan dalam pameran 7-5 karena
"Keamanan informasi merupakan bagian integral dari pengendalian TI." Pengendalian keamanan
informasi melindungi sistem informasi dari akses fisik dan logis yang tidak sah. Kontrol akses fisik
memberikan keamanan atas sumber daya TI yang nyata dan mencakup hal-hal seperti pintu terkunci,
kamera pengintai, dan penjaga keamanan Kontrol akses logis memberikan keamanan terhadap
perangkat lunak dan informasi yang tertanam dalam sistem dan mencakup hal-hal seperti firewall,
enkripsi, ID login, kata sandi, tabel otorisasi, dan log aktivitas komputer. Kekurangan dalam
pengendalian keamanan informasi membahayakan efektivitas seluruh tata kelola TI, manajemen, dan
pengendalian teknis lainnya.
D. IMPLIKASI TERHADAP AUDITOR INTERNAL

1. Kemahiran TI dan Kepedulian Profesional

Dua Standar Penerapan Atribut secara khusus membahas kemahiran TI yang harus dimiliki
auditor internal dan pertimbangan yang harus mereka berikan dalam menggunakan teknik audit
berbasis teknologi:

● Standar 1210

● Standar 1220

2. Keterlibatan Jaminan Tanggung Jawab TI

Tiga Standar Penerapan Kinerja secara khusus membahas tanggung jawab penugasan asurans
auditor internal terkait sistem dan teknologi informasi:

● Standar 2110

● Standar 2120

● Standar 2130
3. Pengalihdayaan TI

Pengalihdayaan proses bisnis diperkenalkan "Proses dan Risiko Bisnis sebagai tindakan mentransfer
beberapa proses bisnis organisasi ke penyedia luar untuk mencapai pengurangan biaya sekaligus
meningkatkan kualitas dan efisiensi layanan. Karena alasan inilah organisasi semakin melakukan
outsourcing mengirimkan penggemar TI kepada vendor yang khusus menyediakan layanan TI.

4. Audit Terintegrasi dan Berkelanjutan

Fungsi audit internal yang telah mengadopsi pendekatan ini menemukan bahwa pendekatan ini
memberikan manfaat bagi organisasi mereka dengan meningkatkan efektivitas dan efisiensi layanan jaminan
audit internal mereka. Penugasan jaminan terintegrasi lebih efektif karena auditor internal berada dalam
posisi yang lebih baik untuk menilai seluruh portofolio risiko pihak yang diaudit dan mencapai kesimpulan
keseluruhan tentang kecukupan desain dan efektivitas operasi pengendalian. Proses audit menjadi lebih
efisien karena 1) penugasan yang sebelumnya dilakukan secara terpisah digabungkan dan 2) identifikasi dan
penilaian seluruh risiko dan pengendalian utama dikonsolidasikan dalam penugasan audit terintegrasi.
E. SUMBER PEDOMAN AUDIT TI
1. Masalah Risiko Teknologi Informasi yang Muncul
Teknologi informasi baru dan berkembang akan terus diperkenalkan dengan pesat. Biasanya, teknologi ini
dikembangkan dengan tujuan bisnis dan kontrol kemudian diperkenalkan untuk memitigasi risiko TI yang terkait.
Kemajuan TI yang berasal dari luar organisasi tidak bisa lagi diabaikan.

2. Peluang untuk Wawasan

Ada beberapa peluang fungsi audit internal untuk memberikan wawasan terhadap risiko dan pengendaliannya:
• Memastikan risiko TI dimasukkan dalam penilaian risiko tahunan
• Memberikan wawasan tentang pengembangan sistem baru dan proyek infrastruktur TI
• Integrasikan review TI dalam setiap audit.
• Memahami bagaimana TI dapat meningkatkan produktivitas audit internal dan proses pengendalian di
seluruh organisasi
• Memberikan rekomendasi pengendalian seiring penerapan teknologi baru.
• Mendidik manajemen tentang risiko-risiko TI yang muncul dan pengendalian yang dapat diterapkan untuk
memitigasi risiko-risiko tersebut.
• Menjadi sukarelawan untuk merintis proyek-proyek TI yang sedang berkembang untuk memberikan
wawasan guna mengendalikan masalah sebelum penerapan teknologi baru
• Mempekerjakan spesialis TI sebagai ahli di bidangnya untuk tugas audit yang melibatkan kompleksitas TI
yang luas
• Selalu memberi informasi kepada manajemen dan dewan mengenai risiko TI utama yang mungkin
berdampak pada organisasi.
• Memahami teknologi baru yang berdampak pada organisasi terlepas dari apakah organisasi tersebut saat ini
menggunakannya.
 Singkatnya, TI telah mengubah secara signifikan kompetensi yang harus dimiliki
auditor internal dan cara mereka melakukan pekerjaannya. Kapasitas fungsi audit
internal untuk memberikan jaminan nilai tambah dan layanan konsultasi sangat
bergantung pada keahlian TI yang dimilikinya. Semua auditor internal harus memiliki
dasar pengetahuan dan keterampilan teknologi. Ini mencakup sistem kertas kerja
otomatis, analisis data, dan terminologi TI. Fungsi audit internal dapat memberikan
wawasan tentang bagaimana organisasi dapat memanfaatkan kemajuan TI dSengan
sebaik-baiknya.
TERIMA KASIH