AUDIT INTERNAL

CHAPTER 7
IT RISK AND
CONTROL
Adinda Imarlina W
(5211131065)
Elva Agnes
(5211153039)
Nurul Haque
(5211153045)
Kelompok XII

Teknologi Informasi (IT) Yang Terkait Dengan Tujuan Bisnis, Strategi,

Dan Operasi
Organisasi berinvestasi di IT karena beberapa alasan, yang semuanya berkaitan langsung
untuk mencapai tujuan bisnis organisasi. Misalnya, IT memungkinkan strategi bisnis,
meningkatkan kinerja proses bisnis, dan memfasilitasi pengambilan keputusan. Bahkan, telah
mencapai titik yang sangat terkait dengan tujuan organisasi bisnis, strategi dan operasi yang
inisiatif IT harus dipertimbangkan bersama-sama dengan inisiatif bisnis untuk memastikan
keselarasan antara keduanya.
misalnya, bahwa :
Sebuah perusahaan dagang ingin memperluas penjualan dengan menjual langsung kepada
pelanggan melalui situs web. Melakukan strategi penjualan online bahkan tidak akan menjadi
pilihan jika teknologi e-commerce, termasuk internet, tidak ada.
Sebuah perusahaan manufaktur ingin merampingkan proses pembelian untuk membuatnya
lebih efektif. Pertukaran data elektronik (EDI), yang akan memungkinkan komputer produsen
untuk bertransaksi bisnis secara langsung dengan komputer pemasok, adalah pertimbangan
manajemen dalam solusi teknologi.
rD
u
Yo

e
at

re
e
H
YO U R F O O T E R H E R E

Komponen Kunci Sistem Informasi Modern

Sistem informasi modern bervariasi secara signifikan antara organisasi dan itu adalah di luar
lingkup buku ini untuk menutupi berbagai konfigurasi sistem yang ada di dunia bisnis saat ini.
Namun demikian, komponen kunci sistem informasi yang auditor internal perlu memahaminya.
Komponen ini termasuk perangkat keras komputer, jaringan, perangkat lunak komputer, database,
informasi, dan orang-orang. contoh komponen kunci seperti yang dijelaskan di bawah ini :
Perangkat keras komputer
Jaringan
Perangkat lunak komputer
Database
Informasi
Orang

rD
u
Yo

e
at

re
e
H
YO U R F O O T E R H E R E

Interkoneksi antara LAN, Intranet Organisasi, dan Internet

rD
u
Yo

e
at

re
e
H
YO U R F O O T E R H E R E

Peluang IT dan Risiko

1. Peluang IT
Sistem ERP
Sebuah sistem ERP adalah perangkat lunak sistem modular yang memungkinkan
organisasi untuk mengintegrasikan proses bisnis mereka menggunakan database operasi
tunggal. Organisasi berharap untuk memperoleh manfaat dari hasil penerapan sistem ERP
mencakup secara online real time pengolahan transaksi, interaksi mulus dan berbagi
informasi di antara area fungsional, meningkatkan kinerja proses, penghapusan atau
pengurangan redudansi data dan kesalahan, dan lebih tepat waktu dalam pengambilan
keputusan.
EDI
EDI melibatkan komputer untuk pertukaran komputer dokumen bisnis secara elektronik
dari antara organisasi dan mitra dagangnya. Organisasi manfaat berharap untuk
memperoleh hasil dari pelaksanaan EDI meliputi efisiensi proses transaksi dan
kesalahan pengolahan data yang lebih sedikit. Selain itu, kemajuan terbaru dalam
teknologi e-bisnis telah memungkinkan EDI Internet, yang lebih murah daripada EDI
tradisional.
rD
u
Yo

e
at

re
e
H

YO U R F O O T E R H E R E

2. Risiko IT
Seluruh komponen sistem informasi punya risiko potensial, contoh :
Perangkat keras komputer rentan terhadap pemadaman listrik yang mengganggu
proses transaksi.
Jaringan mengirimkan informasi yang dapat disadap dan dicuri atau disalahgunakan.
Perangkat lunak komputer yang tidak akurat progremmed dapat menghasilkan
informasi yang tidak valid, tidak lengkap, dan / atau tidak akurat.
database dapat menyusup untuk porpose menggelapkan atau menyalahgunakan
informasi
Informasi yang tidak valid, tidak lengkap, dan / atau tidak akurat dapat menyebabkan
keputusan yang buruk. (Risiko yang miskin informasi akan menghasilkan keputusan
yang buruk disebut umum sebagai risiko informasi)
Seseorang dapat melakukan tugas IT yang tidak kompatibel dan dengan demikian
berada dalam posisi untuk membuat dan menyembunyikan kesalahan atau
kecurangan.

Jenis IT Risiko yang Cenderung Umum di

Organisasi dan Industri
Seleksi Risiko

Risiko Access

Pembangunan / Akuisisi dan

Deployment Risiko

Sistem Keandalan dan

Informasi Risiko Integritas

Ketersediaan Risiko

Kerahasiaan dan Privasi

Risiko

Risiko Hardware /
software

Penipuan dan Risiko

Tindakan Berbahaya

Tata Kelola IT (IT Governance)

Lembaga Tata Kelola IT (ITGI / Information Technology Governance), yang

didirikan pada tahun 1998 sebagai pengakuan atas kekritisan peningkatan
teknologi informasi untuk keberhasilan perusahaan menyatakan bahwa
penggunaan teknologi telah menciptakan ketergantungan kritis pada IT yang
membutuhkan fokus khusus pada tata kelola IT dan mendefinisikan tata kelola IT
sebagai berikut:
"IT tata kelola merupakan tanggung jawab dewan direksi dan manajemen
eksekutif . Ini adalah bagian integral dari perusahaan pemerintahan dan terdiri
dari kepemimpinan dan struktur organisasi dan proses yang memastikan bahwa
organisasi IT ini menopang dan memperluas strategi dan tujuan organisasi.

LANJUTAN..
Peran tata kelola IT dewan dan komite adalah untuk memberikan pengarahan tata
kelola IT manajemen senior dan mengawasi kegiatan manajemen senior tata kelola
IT. Manajemen senior bertanggung jawab untuk memimpin dan mengawasi
pelaksanaan sehari-hari dari tata kelola IT. Beberapa organisasi telah membentuk
komite tata kelola IT, anggota yang meliputi CIO dan eksekutif senior lainnya.
Tata kelola ITGI secara khusus menyatakan bahwa tujuan tata kelola IT adalah
untuk mengarahkan anda terhadap IT, untuk memastikan bahwa kinerja IT
memenuhi tujuan-tujuan berikut :
Penyelarasan IT dengan perusahaan dan realisasi manfaat yang dijanjikan .
Penggunaan IT untuk memungkinkan perusahaan dengan memanfaatkan
peluang dan memaksimalkan manfaat .
Penggunaan IT bertanggung jawab atas sumber daya IT .
Manajemen yang tepat yang berkaitan dengan risiko IT .

Kerangka TI Tata Kelola

Manajemen Risiko IT
Manajemen risiko didefinisikan sebagai proses yang dilakukan oleh manajemen untuk
memahami dan menangani ketidakpastian (risiko dan peluang) yang dapat
mempengaruhi kemampuan organisasi untuk mencapai tujuannya . Hal ini dilakukan
untuk :
Mengidentifikasi dan mitigasi risiko yang mengancam organisasi
Identifikasi dan memanfaatkan peluang yang membawa kesuksesan organisasi.
Seperti dijelaskan dalam panitia mensponsori organisasi dari risiko perusahaan
kerangka kerja manajemen terintegrasi (COSO) cara komisi, manajemen risiko
perusahaan (ERM) terdiri dari 8 komponen yang saling terkait:
lingkungan internal,
pengaturan tujuan,
identifikasi event,
penilaian risiko,
respon resiko,
kegiatan pengendalian,
informasi dan komunikasi,dan
pemantauan.

Pengendalian IT
Pengendalian didefinisikan sebagai proses tertanam dalam
manajemen risiko dan dilakukan oleh manajemen untuk
mengurangi risiko ke tingkat yang dapat diterima.
Pengendalian Internal menyediakan cakupan mendalam dari
pengendalian internal dan memperkenalkan konsep dari
kontrol IT. Kontrol IT umumnya diklasifikasikan sebagai kontrol
umum atau aplikasi :
Pengendalian umum, berlaku untuk semua komponen sistem,
proses, dan data untuk sebuah organisasi atau sistem
lingkungan tertentu.
Pengendalian aplikasi, berkaitan dengan ruang lingkup proses
bisnis individu atau sistem aplikasi.

KONTROL TATA KELOLA IT

Seperti dibahas sebelumnya dalam bab ini, pemerintahan
merupakan komponen

integral dari pemerintahan secara keseluruhan. Demikian juga,

IT mengontrol di tingkat pemerintahan merupakan bagian
penting dari sistem secara keseluruhan organisasi dari
internal kontrol. Kontrol IT di tingkat pemerintahan jatuh di
bawah yurisdiksi dewan dan manajemen senior. Tanggung
jawab dewan, bagaimanapun, adalah untuk mengawasi
sistem organisasi pengendalian internal, bukan untuk
mengeksekusi kontrol. Ini adalah tugas manajemen senior
untuk melakukan proses kontrol pada hari ke hari.

KERANGKA PENGENDALIAN TEKNOLOGI INFORMASI

KONTROL MANAJEMEN TI

Manajemen bertanggung jawab untuk memastikan bahwa kontrol IT dirancang secara

memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan, risiko yang
mengancam pencapaian tujuan mereka dan proses bisnis organisasi dan sumber daya
organisasi. Sebagai ilustrasi dalam gambar kerangka pengendalian IT, IT mengontrol di
tingkat manajemen terdiri dari organisasi standar dan manajemen, dan pengendalian
fisik dan pengendalian lingkungan.

IT standar kebijakan dukungan IT dengan lebih spesifik mendefinisikan apa yang dibutuhkan
untuk mencapai tujuan organisasi. Standar-standar ini harus mencakup, misalnya:

Proses untuk merancang, mengembangkan, menguji, mengimplementasikan, dan

memelihara sistem informasi dan perangkat lunak
Konfigurasi sistem operasi, jaringan, dan manajemen database organisasi

Kontrol aplikasi diimplementasikan di seluruh organisasi, termasuk definisi data yang

konsisten dan dokumentasi yang sesuai.

Organisasi IT dan manajemen kontrol memberikan jaminan bahwa organisasi terstruktur

dengan garis yang jelas dari pelaporan dan tanggung jawab dan telah menerapkan proses
kontrol yang efektif. Tiga aspek penting dari kontrol ini adalah pemisahan tugas,
pengendalian keuangan, dan kontrol manajemen perubahan :
Pemisahan yang tepat dari tugas IT memberikan jaminan bahwa tidak ada individu yang
dapat menggunakan dan membuat IT menjadi dua dan menyembunyikan kesalahan atau
kecurangan. Memulai, otorisasi, memasukkan, pengolahan, dan memeriksa data harus
dipisahkan sejauh mungkin. Hak akses sistem harus diselaraskan dengan tanggung jawab
individu untuk mengakses dan memproses informasi. Pengembangan sistem harus
dipisahkan dari operasi. Personil operasi harus bertanggung jawab hanya untuk
menjalankan sistem produksi IT; mereka harus dibatasi dari mengakses atau sistem,
perangkat lunak, atau data memodifikasi. Demikian juga, sistem pengembang IT seperti
analis sistem dan programmer perangkat lunak tidak boleh terlibat dalam kegiatan operasi
IT.
IT kontrol keuangan melindungi terhadap pembengkakan biaya dalam mengembangkan dan
melaksanakan sistem informasi. Kontrol ini juga memberikan jaminan bahwa investasi
dalam hasil teknologi IT pengembalian yang diharapkan dan penghematan biaya.
Kontrol perubahan manajemen memberikan jaminan bahwa perubahan lingkungan IT, sistem,
perangkat lunak, dan data berwenang benar dan tepat. Kontrol ini memberikan jaminan
bahwa setiap perubahan yang dibuat menghasilkan hasil yang diinginkan.

IT kontrol fisik dan lingkungan melindungi sumber daya sistem

informasi (hardware, software, dokumentasi, dan informasi) dari
kerusakan, penyalahgunaan, atau kerugian. Kontrol tersebut
meliputi, misalnya:

Menempatkan sumber nyata IT terkunci dengan akses terbatas.

Instaasi deteksi kebakaran yang sesuai dan peralatan penindasan

Menemukan fasilitas IT jauh dari bahaya lingkungan seperti

dataran banjir atau bahan yang mudah terbakar.

Mengembangkan dan menguji rencana pemulihan bencana organisasi.

KONTROL TEKNIS IT
Kontrol teknis membentuk dasar yang menjamin keandalan
hampir setiap kontrol lainnya dalam organisasi. Kontrol ini
khusus untuk teknologi yang digunakan dalam infrastruktur
IT organisasi. Seperti diilustrasikan dalam kerangka
pengendalian TI ini kontrol teknis meliputi sistem kontrol
perangkat lunak, pengembangan sistem kontrol, dan kontrol
aplikasi berbasis.
Software sistem memfasilitasi penggunaan hardware sistem
dan termasuk, misalnya, sistem operasi, sistem jaringan,
sistem manajemen database, firewall, dan perangkat lunak
antivirus. Kontrol perangkat lunak sistem membatasi akses
ke sistem logis organisasi dan aplikasi, memonitor
penggunaan sistem dan menghasilkan jejak audit.

Kontrol perangkat lunak sistem meliputi, misalnya:

Menetapkan dan mengendalikan hak akses sistem sesuai dengan
kebijakan organisasi.
Melaksanakan kontrol konfigurasi online yang menegakkan
pemisahan sesuai tugas.
Menilai dan pengujian intrusi kerentanan.
Mencegah dan mendeteksi gangguan yang tidak sah.
Mempekerjakan prosedur manajemen perubahan yang ketat dan
sistematis.
Pengembangan sistem dan akuisisi kontrol meliputi, misalnya:
Mendokumentasikan kebutuhan pengguna dan mengukur
pencapaian persyaratan.
Setelah proses desain sistem formal untuk memastikan kebutuhan
pengguna terpenuhi dan kontrol yang tertanam sesuai dalam
perangkat lunak.
Pengujian sistem dan melibatkan pengguna dalam proses pengujian
untuk memastikan bahwa unsur-unsur tertentu dan interface
dari sistem bekerja dengan baik dan menyediakan fungsionalitas
yang dimaksudkan.
Memvalidasi perubahan aplikasi dan menguji perubahan sebelum
pelaksanaan.
Aplikasi berbasis pengendalian diimplementasikan untuk
memastikan bahwa :

Aplikasi berbasis kontrol termasuk, untuk contoh:

Kontrol masukan dirancang untuk memeriksa integritas data yang

dimasukkan ke dalam aplikasi.
Kontrol pengolahan dirancang untuk memastikan proses yang di
valid, lengkap, dan akurat.

Kontrol output dirancang untuk menguji validitas, kelengkapan, dan

akurasi output aplikasi dan untuk memastikan bahwa output
pergi ke penerima yang dituju dan hanya untuk penerima.
Jejak audit yang memungkinkan manajemen untuk melacak
transaksi forward dari awal proses sampai akhir dan mundur dari
akhir proses ke awal.

KONTROL KEAMANAN INFORMASI

Kontrol keamanan informasi melindungi sistem informasi dari

akses fisik dan logis

yang tidak sah. Kontrol akses fisik memberikan keamanan atas

sumber daya IT yang nyata dan mencakup hal-hal seperti
pintu terkunci, kamera pengintai, dan penjaga keamanan.
Kontrol akses logis memberikan keamanan pada software
dan informasi tersimpan dalam sistem dan mencakup halhal seperti firewall, enkripsi, Id login, password, tabel
otorisasi, dan aktivitas komputer log. Kekurangan dalam
pengendalian keamanan informasi mengganggu efektivitas
pimpinan IT lainnya, manajemen, dan kontrol teknis.

IMPLIKASI IT UNTUK AUDITOR INTERNAL

IT telah mengubah cara dimana organisasi merumuskan strategi, melakukan operasi

sehari-hari, dan membuat keputusan. Perubahan ini telah menghasilkan risiko baru dan memaksa organisasi untuk memodifikasi proses tata kelola, manajemen risiko, dan proses kontrol. Dampak yang meliputi IT pada organisasi pada akhirnya memaksa auditor internal untuk meningkatkan pengetahuan dan keterampilan IT mereka dan menyesuaikan bagaimana mereka melakukan pekerjaan mereka.

Kemahiran IT dan Hak Perawatan Profesional

Dua Standar Pelaksanaan Atribut khusus menangani kemampuan ITyang harus dimiliki auditor internal dan pertimbangan mereka harus menggunakan teknik audit berbasis teknologi:

1210.A3 - Auditor internal harus cukup memiliki teknologi informasi risiko kunci dan kontrol dan teknik audit berbasis teknologi yang tersedia untuk melakukan pekerjaan yang ditugaskan. Namun, tidak semua auditor internal diharapkan memiliki keahlian dasar auditor intern yang tanggung jawab yaitu teknologi informasi audit.
1220.A2 - Dalam melaksanakan perawatan profesional auditor internal harus mempertimbangkan penggunaan audit berbasis teknologi dan teknik analisis data lainnya.
Standar 1210.A3 dan 1220.A2 jelas menunjukkan bahwa semua auditor internal menyediakan jasa asuransi yang memerlukan setidaknya tingkat dasar risiko IT, kontrol, dan keahlian audit. Fundamental risiko IT dan konsep kontrol. Teknik audit berbasis teknologi (juga disebut sebagai teknik audit berbasis komputer)."Computer-assisted audit techniques (CAATs) berisi Generalized Audit Software (GAS) seperti ACL dan
IDEA. GAS adalah contoh dari fungsi alat IT audit dan audit internal semakin mengharapkan semua anggota staf untuk memahami dan menerapkannya secara efektif. Software utilitas, data uji, catatan software aplikasi dan pemetaan, sistem pakar audit, dan audit kontinu yang CAATs.
Standar 1220.A3 juga menunjukkan bahwa setiap auditor internal tidak perlu memiliki tingkat keahlian audit ITyang diharapkan dari seorang auditor IT. Namun, karena permintaan auditor IT harus sangat terampil melebihi persediaan, pembaca yang tertarik di bidang ini didorong untuk menyelidiki lebih lanjut kompetensi dan kepercayaan yang diperlukan untuk sebagai keberhasilan auditor IT. Orang tersebut mungkin
ingin mengejar sertifikasi terkait IT yaitu Certified Internal Auditor (CIA). Sertifikasi tersebut meliputi, misalnya, Certified Information Systems Auditor (CISA) yang disponsori oleh ISACA (www.isaca.org) dan

17
Certified Information Systems Security Professional (CISSP) yang disponsori oleh Information Systems Security Association (www.issa.org ).

Seperti halnya dengan semua bidang keahlian lain yang relevan, chief audit executive (CAE) bertanggung jawab untuk memastikan bahwa fungsi audit internal memiliki kemampuan IT yang diperlukan untuk memenuhi tanggung jawab keterlibatan assurance. Beberapa fungsi audit internal memiliki komplemen audit IT yang cukup ahli pada staf. Mereka yang tidak memiliki ahli seperti staf dapat melihat ke sumbersumber luar fungsi audit internal untuk keahlian tersebut. Dalam beberapa kasus, individu yang berkualitas dari bidang organisasi lain mungkin akan diminta untuk membantu dalam keterlibatan audit internal yang tidak membutuhkan kompetensi IT fungsi audit internal. Dalam kasus lain, CAE dapat menyewa penyedia layanan eksternal dengan pengetahuan IT yang diperlukan dan terampil.

Tanggung Jawab Perjanjian Assurance IT

Tiga Standar Pelaksanaan Kinerja secara khusus menangani auditor tanggung jawab perjanjian assurance internal mengenai sistem informasi dan teknologi:
2110.A2 - Aktivitas audit internal harus menilai apakah tata kelola teknologi informasi organisasi menopang dan mendukung strategi dan tujuan organisasi.
2120.A1 - Aktivitas audit internal harus mengevaluasi eksposur risiko terkait dengan tata kelola, operasi, dan sistem informasi organisasi, mencakup:

Pencapaian tujuan strategis organisasi;

Reliabilitas dan integritas informasi keuangan dan operasi;

Efektivitas dan efisiensi operasi dan program;

Pengamanan aset; dan

Ketaatan terhadap hukum, peraturan perundangundangan, kebijakan, prosedur dan kontrak.

2130.A1 - Aktivitas audit internal harus mengevaluasi kecukupan dan efektivitas pengendalian dalam merespon risiko dalam proses governance, operasi, dan sistem informasi organisasi, yang mencakup :

Pencapaian tujuan strategis organisasi;

Reliabilitas dan integritas informasi keuangan dan operasi;

Efektivitas dan efisiensi operasi dan program;

Pengamanan aset; dan

18
Ketaatan terhadap hukum, peraturan, kebijakan, prosedur dan perjanjian kontrak.

Ketiga standar mencerminkan fakta bahwa fungsi audit internal tidak dapat secara efektif mengevaluasi tata kelola, manajemen risiko, dan proses kontrol tanpa memberikan pertimbangan yang sesuai sistem informasi dan teknologi. Untuk memenuhi tanggung jawab terkait IT, fungsi audit internal harus:

Sertakan sistem informasi organisasi dalam proses perencanaan audit tahunan.

Mengidentifikasi dan menilai risiko IT organisasi.

Memastikan bahwa ia memiliki keahlian audit IT yang cukup.

Menilai tata kelola IT, manajemen, dan kontrol teknis.

Menetapkan auditor dengan tingkat keahlian IT yang sesuai untuk setiap keterlibatan jaminan.
Menggunakan teknik audit yang sesuai basis teknologi.

SUMBER PEDOMAN AUDIT IT

Dua
komponen utama daripedoman
termasuk dalam IIA

ini adalah Praktek Panduan

Kerangka Praktek Internasional Profesional:

The Global Technology Audit Guide (GTAG) - Rangkaian GTAG dirancang untuk
memberikan auditor internal di seluruh dunia bimbingan yang akan membantu
mereka lebih memahami tata kelola, manajemen risiko, dan masalah sekitar
pengendalian teknologi informasi. The IIA Advanced Technology Committee
(ATC) telah mengidentifikasi entitas-tingkat kontrol IT, pengembangan aplikasi
pengguna, dan manajemen keamanan sebagai topik untuk panduan GTAG
masa depan.
The Guide to the Assessment of IT Risk (GAIT) - Rangkaian GAIT menggambarkan
hubungan antara pelaporan risiko keuangan, kontrol proses kunci, kontrol
otomatis dan fungsi IT penting lainnya, dan kunci kontrol umum IT. Setiap
panduan GAIT mencakup aspek tertentu dari penilaian risiko IT dan kontrol.

Thank

You!

Any Question?