Audit Internal - Impact of IT on Internal Audit

UNIVERSITAS INDONESIA

Impact of IT on Internal Audit

Mata Kuliah Audit Internal

Disusun Oleh: Aleandra Maulana !"#$%&"'(! Salamun Norman Austin !"#$%&)*&"

UNIVERSITAS INDONESIA DE+OK NO+EM,ER *#!)

STATEMENT O- AUT.ORS.I+

“ Kami yang bertandatangan dibawah ini menyatakan bahwa makalah terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang kami gunakan tanpa menyebutkan sumbernya. Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan dengan jelas menggunakannya. Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme .”

Mata Ajaran

: Audit Internal

Judul Judul Makalah/ Makalah/Tu Tugas gas : Impact of IT on Internal Audit Tanggal

: 5 Nopember !"5

#osen

: $lok Tresnaningsih M.%.Ak

Nama

N+M

Ale&andra Maulana

"'!()*'+,"

%alamun Norman Austin

"'!()*5*'

2

TTD

Universitas Indonesia

DA-TAR ISI

-alaman oer

"

Statement of Authorship



#A0TA1 I%I

'

2A2 "

3$N#A-44AN

)

2A2 

3$M2A-A%AN

5

A. IT A. IT eneral !ontrol !ontrol and ITI" #est $ractice

5

2. %e&iewing 2. %e&iewing and Assesing IT

5

. !ybersecurity . !ybersecurity and $ri&acy !ontrol

)+

2A2 ' 6$%IM34AN

5!

#A0TA1 34%TA6A

5"

3


,A, ! +ENDA.U/UAN %aat ini perkembangan teknologi dan in7ormasi dalam dunia bisnis semakin pesat. %alah satun8a adalah penggunaan IT pada 7ungsi pengendalian perusahaan seperti aplikasi akuntansi hingga aplikasi bisnis proses lainn8a. 9leh karena itu penga;asan 8ang dilakukan auditor internal semakin kompleks terhadap sistem tersebut. 3ermasalahan dalam memahami proses umum IT adalah terlalu ban8akn8a ariasi dari aplikasi 8ang digunakan oleh organisasi. -al ini karena penggunaan aplikasi setiap organisasi disesuaikan dengan kebutuhan utama proses bisnis dari organisasi tersebut.

4


,A, * +EM,A.ASAN

IT 0eneral 1ontrol and ITI/ ,est +ractice

#alam dunia tekhnologi in7ormasi tekhnik IT Internal ?ontrol. IT ?ontrol terdiri dari dua leel@ 8aitu appli?ation ?ontrol 8ang melingkupi proses 8ang spesi7ik seperti account payable application dan application dan IT eneral ?ontrol. %elanjutn8 %elanjutn8a a pada bab ini akan dibahas tentang IT eneral !ontrol dari perspekti7 auditor internal dan praktik terbaik IT terbaik IT eneral !ontrol yang 8ang telah diak diakui ui di selu seluru ruh h duni dunia a 8aitu 8aitu Information Technology Technology Infrastructure "ibrary 'ITI"(. #i dalam ITI" telah telah dijab dijabark arkan an jenis jenis keran kerangk gkaa audi auditt 8ang 8ang haru haruss diperti dipertimba mbangk ngkan an ketika ketika merei mereiu u resiko resiko pengen pengendal dalian ian intern internal al pada pada teknol teknologi ogi in7ormasi dan merekomendasikan perbaikan 8ang e7ekti7 dari general dari general control. A2 Importance of IT 0eneral 1ontrols

Auditor Auditor Internal Internal mulai terlibat dalam audit IT dan prosedur pengendalian pengendalian ketika aplikasi akuntansi pertama kali terinstal sistem perusahaan pada a;al mulan8a sering dipasang pada kamar berdinding ka?a dalam lobi perusahaan untuk member kesan kepada kepada pengun pengunjun jung g bah;a bah;a sistem sistem dalam dalam perusa perusahaa haan n terseb tersebut ut sangat sangat ?anggi ?anggih. h. Namun pada ken8ataann8a ken 8ataann8a sistem>sistem tersebut tidak ?anggih. Auditor internal 8ang tidak mengenal teknologi teknologi pengolahan pengolahan data tersebut tersebut akan melakukan melakukan ” audit arou around nd the comput computer) er)Art Artin8 in8aa audito auditorr intern internal al akan akan ber7ok ber7okus us pada pada prosed prosedur ur pengendalian input dan penerapan pada output untuk memeriksa apakah input seimbang untuk menghasilkan laporan output. #i era ini ada sedikit pertan8aan tentang akurasi dan kontrol dari laporan 8ang dihasilkan oleh sistem komputer. Auditor internal han8a ber7okus pada input dan output sementara 8ang terjadi di sekitar komputer adalah prosedur pengolahan program

5


3ada 3ada a;al a;al tahun tahun "+,! "+,! $Buit8 $Buit8 0undin 0unding g 8ang 8ang merupa merupakan kan perusa perusahaa haan n asuransi di ali7ornia mengalami pertumbuhan 8ang sangat pesat. 2eberapa pihak merasa bah;a perusahaan tersebut tumbuh terlalu ?epat. 6arena demikian auditor ekstern eksternal al perusah perusahaan aan tersebu tersebutt memutu memutuska skan n untuk untuk men?ob men?obaa teknik teknik baru baru dan menjalankan menjalankan software software 8ang telah mereka ran?ang sendiri sendiri pada dokumen dokumen *+uity ,unding. -asiln8a telah ditemukan penipuan se?ara besar>besaran dengan data 8ang tidak alid 8ang telah dimasukan ke dalam 7ile komputer . 3ihak manajemen telah memasukan data polis asuransi 7ikti7. 3adahal sebelumn8a sebelumn8a pihak eksternal eksternal auditor telah mengandalkan output 8ang telah di?etak oleh sistem komputer tanpa adan8a adan8a prosedur prosedur tambahan tambahan prosedur prosedur untuk memastikan kebenaran dokumen dan program komputer. %etelah peristi;a tersebut American Institute of !ertified $ublic Akuntan 'AI!$A 'AI!$A( dan Institut dan Institut of Internal Auditors 'IIA( mulai 'IIA( mulai menekankan pentingn8a audit pada kegiatan pengolahan data dan kontrol aplikasi. alu kemudian melun?urkan spesialis baru 8aitu computer auditing. #alam lingkungan IT modern pro7esi internal auditor mulai ber7okus pada aplikasi aplikasi spesi7ik dan general control 8ang meliputi semua operasi IT. IT IT. IT eneral !ontrol men?akup semua operasi sistem in7ormasi termasuk : %eliability of information system processing

•

3eng 3engen endal dalia ian n 8ang 8ang baik baik haru haruss ditem ditempa patk tkan an pada pada selur seluruh uh siste sistem m opera operasi si IT. 3engen 3engendali dalian an juga juga tergan tergantun tung g pada pada si7at si7at dan pengel pengelola olaan an pada pada sistem sistem 8ang 8ang berjenis dan berukuran tertentu. •

Integrity of data

3roses 8ang harus dilakukan adalah memastikan tingkat integritas semua data 8ang digunakan dalam berbagai aplikasi program. •

Integrity of programs programs 2aru atau reisi program seharusn8a dikembangkan dengan pengendalian 8ang 8ang baik baik untuk untuk men8edia men8ediakan kan hasil hasil proses proses 8ang 8ang akurat akurat.. Integr Integritas itas akan akan pengendalian ini termasuk keseluruhan proses pengembangan atas aplikasi program.

6


•

•

!ontrol of the proper de&elopments and implementation of systems 3engendalia 3engendalian n perlu ditempatkan ditempatkan untuk memastikan memastikan pengembang pengembangan an 8ang teratur dalam pengembangan baru ataupun reisi sistem in7ormasi. !ontinuity of processing 3engendalia 3engendalian n perlu ditempatkan ditempatkan dalam sistem back-up back-up dan dalam operasi reco&ery dalam reco&ery dalam kejadian kejadian 8ang tidak biasa.

,2 1lient3ser4er and Smaller S5stems 0eneral IT 1ontrol !2 0eneral 1ontrols for Small ,usiness S5stems

%iste %istem m 8ang 8ang lebi lebih h ke?i ke?ill dapa dapatt diim diimpl plem emen entas tasik ikan an dalam dalam berb berbag agai ai ?ara ?ara tergantung tergantung kon7igurasi kon7igurasi sistem dan ukuran ukuran dari perusahaan. perusahaan. Auditor Auditor internal internal sebaikn8a sebaikn8a dapat mengetahui mengetahui perberdaan>p perberdaan>perbedaa erbedaan n dengan dengan perusahan perusahan 8ang esar dan men8u men8usun sun prosed prosedur ur intern internal al audit audit 8ang 8ang pantas pantas untuk untuk merei mereie; e; pengendalian umum. #alam #ala m subbab ini dibahas mengenai pengendalian umum dalam sistem komputer bisnis ke?il internet dan sistem jaringan sistem serer dll. a= %mall 2usiness omputer %8stem ontrols 6arakteristik dari sistem komputer pada bisnis ke?il adalah diantaran8a : %ta77 IT 8ang terbatas • #alam perusahaan ke?il biasan8a memiliki sta77 IT 8ang sedikit. 1esiko pengendalian dari perusahan ke?il adalah ketika mereka masih menggunakan jasa pihak ketiga dalam mengelola sistem IT n8a sehingga •

ada resiko pada keamaan data>data penting perusahaan. 6apabilitas programming 8ang terbatas Tipikal Tipikal dalam perusahaan perusahaan ke?il dalam menerapkan sistem komputern8 komputern8aa adalah membeli paket so7t;are dan perusahaan han8a memperbaharui

•

•

paket sistem tersebut dan melakukan pemelihara sistem. 3engendalian ingkungan 8ang terbatas Tidak memerlukan perlindungan lingkungan 8ang khusus 3engendalian keamanaan 7isik 8ang terbatas Tingkatan kekha;atiran auditor dalam pengendalian 7isik TI tergantung pada aplikasi 8ang di proses.Internal audit akan merekomedasikan peningkatan keamanan

7

jika

suatu

aplikasi

sedang dalam

tahap


pengembangan 8ang membutuhkan proteksi 8ang lebih. %elebihn8a •

tidak perlu ada keamanan 7isik 8ang signi7ikan. 3engendalian jaringan telekomunikasi #alam lingkup bisnis 8ang ke?il tidak memerlukan pengendalian dan kebijakan dalam pengendalian jaringan telekomunikasi.

b= lient>%erer omputer %8stems #alam #alam jaringa jaringan n lokal lokal setiap setiap ;orkst ;orkstatio ation n adalah adalah klien. klien. 3roseso 3rosesorr 8ang 8ang terpusat 8ang dimana bisa men>share 7ile dan sumber>sumber lainn8a disebut serer. 2erikut ini adalah gambar ilustrasi dari ?lient serer :

?= Nonbusiness %pe?ialiCed 3ro?essor omputer %8stems #i dalam dalam duni duniaa bisn bisnis is sekara sekarang ng ini ini ban8 ban8ak ak siste sistem> m>si siste stem m lain lain 8ang 8ang digu diguna naka kan n selai selain n dalam dalam oper operasi asion onal al TI sepe seperti rti peni penili litia tian n insin insin8u 8ur r pengendalian 9perasi manu7aktur pemasaran dll. %istem>sistem %iste m>sistem ini sudah spesi7ik dikhususkan untuk area>area tertentu. ontohn8a computer-aided design <A#=. %ebelum %ebelum memulai reie; atas IT 8ang khusus ini auditor intern internal al perlu perlu memaha memahami mi penget pengetahu ahuan an 8ang 8ang ?ukup ?ukup dalam dalam atas seluru seluruh h 7ungsi operasional. 1eie; atas IT 8ang terspesialisasi ini tidak disarankan bagi auditor internal 8ang kurang berpengalaman. berpengalaman. *2 Smaller S5stems6 IT Operations Internal 1ontrols

%epe %epert rtii

diba dibaha hass

sebelu sebelumn mn8a 8a

audit auditor or inter interna nall

biasa biasan8 n8aa

meme memeri riks ksaa

pemisahan pekerjaan dalam prosedur a;al ealuasi IT general ?ontrol. Tetapi Tetapi

8


pemisahan tugas ini terkadang sulit jika diimplementasikan dalam departemen 8ang ke?il.Tetapi ke?il.Tetapi biasan8a dalam lingkungan 8ang ke?il menerapkan : • • •

3embelian %o7t;are 3eningkatan perhatian manajemen 3emisahan pekerjaan input dan pro?essingn8a pro?ess ingn8a

1esiko 1esiko pengen pengendal dalian ian dapat dapat menjadi menjadi pertim pertimban bangan gan utama utama saat prosedu prosedur r audit sudah mengidenti7ikasi pengendalian 8ang lemah dalam s8stem bisnis 8ang ke?il.#alam ke?il.#alam s8stem bisnis bisnis 8ang besar auditor internal sering meminta dokumen deskripsi posisi sebagai bukti pengendalian baik atas 7ungsi TI. Tetapi biasan8a dalam s8stem bisnis 8ang ke?il tidak mempun8ai deskripsi posisi 8ang jelas.9leh karenaitu karenaitu penting bagi perusahaan ke?il untuk mendokumenta mendokumentasikan sikan prosedur TI n8a. n8a.%e %ehi hing ngga ga

pada pada

saat saat

satu satu

pers person onel el

berh berhal alan anga gan/ n/me meng ngun undu durk rkan andi diri ri

pekerjaann8a dapat digantikan oleh orang lain berdasarkan prosedur 8ang telah didokumentasikan. Jika dalam perusahaan 8ang besar selalu ada suatu standard ;ajib 8ang berlaku umum baik untuk lingkup besar maupun ke?il. "2 Auditin7 IT 0eneral 1ontrols for Smaller IT S5stems

#alam mengaudit sistem It 8ang lebih ke?il auditor internal perlu memperhatikan hal>hal berkut ini : a8 Smaller Smaller S5stem S5stem 1ontrols 1ontrols O4er Access To Data And +ro7ra +ro7rams ms Are Are Often 9e 9ea a

%aat ada personel personel 8ang dapat mengakses mengakses data>data data>data komputer komputer maka maka pengendalian umumn8a sudah lemah. Auditor internal perlu 7okus pada otor otorisa isasi si akses akses ke pusat pusat data data pada pada peru perusah sahaan aan 8ang 8ang ke?il ke?il.. Apaka pakah h perusahaan

tersebut

memiliki

log>on

untuk

masuk

ke

data>data

perusahaan. Jika pun ada perlu di periksa apakah pass;ord n8a diubah se?ara berkala. Apakah ada perbedaan akses antara kar8a;an/diisi. ;8 Unauthori
#alam sistem TI selalu ada 8ang disebut program utiliti 8aitu program 8ang 8ang khus khusus us digu diguna naka kan n untu untuk k meru meruba bah h sistem sistem data data suatu suatu apli aplika kasi si seharusn8a han8a personel TI 8ang boleh menggunakannn8a. %istem ini

9


pun

beresiko

untuk

digunakan

oleh

pihak>pihak

8ang

ingin

men8alahgunakann8a. c8 Improper It Data And +ro7ram Access Re=uests

#alam perusahaan atau entitas 8ang besar selalu menerapkan sistem Dpers Dperset etuj ujua uanE nE dalam dalam permo permoho hona nan n untu untuk k berb berbag agai ai ma?am ma?am akses akses data data perusahaan.

3ersetujuan

ini

biasan8a

menga?u

ke

atasan

8ang

bersangkutan. #alam perusahaan atau entitas ke?il biasan8a menga?uhkan DpersetujuanE sehingga resiko pengendalian mengenai akses 8ang tidak benar menjadi lebih besar.

12 1omponents and 1ontrols of Mainframe and /e7ac5 S5stems !2 1hara 1haracte cteris ristic ticss of /ar7er /ar7er IT IT S5ste S5stems ms

2eriku 2erikutt ini merupa merupakan kan karakt karakteri eristik stik pengen pengendal dalian ian interna internall 8ang 8ang khas khas dalam sistem bisnis TI besar : •

6ontrol keamanan 7isik < $hysical security controls= controls= 3usat komputer dengan 7ile data 8ang besar biasan8a diletakan pada ruangan 8ang terkun?i rapat dan tanpa jendela . -al ini dilakukan untuk men?egah orang 8ang tidak memiliki ;e;enang untuk untuk masuk mengambil mengambil laporan laporan menan8akan menan8akan hal>hal 8ang dapat mengganggu operator atau men8ebabkan kerusakan berbaha8a. 6arena adan8a potensi kemun?ulan hal 8ang diluar dugaan seperti adan8a adan8a terori terorisme sme dan ben?an ben?anaa alam maka maka peralat peralatan an pada pada pusat pusat siste sistem m komp komput uter er akan akan rusak rusak.. 4ntu 4ntuk k itu itu siste sistem m oper operasi asi haru haruss ditempatkan di lokasi 8ang aman dan sangat terlindungi sehingga dapat meminimalisir resiko.

•

3ers8a 3ers8arata ratan n pengen pengendal dalian ian lingku lingkunga ngan n < *n&ironmental control re+uirements( 1uanga 1uangan n tempat tempat men8im men8impan pan hardw hardware are terutama pusat komputer harus dilengkapi dilengkapi dengan mesin pendingin pendingin seperti A! atau watercooling chiller systems karena systems karena alat elektronik 8ang bekerja dengan 10


kekuatan penuh seringkali menghasilkan panas. %elain itu karena ban8ak komputer 8ang saling terhubung baik dengan komputer pusat maupun dengan peralatan lainn8a dengan menggunakan kabel 8ang ban8ak maka perlu dibuat lubang dan jalur kabel pada dinding lantai dan meja. %istem 8ang besar juga rentan terhadap pemadaman listrik se?ara tiba>tiba dan adan8a 7luktuasi pada tegangan. 9leh karena itu perlu dipasang stabilier dipasang stabilier power supply dan genset sehingga apabila terjadi pemadaman listrik se?ara tiba> tiba komputer tidak akan padam. •

Memisahkan area media pen8impanan baran 2arang>barang g 8ang mengandung mengandung magnetik magnetik seperti ?atridge harus

• •

disimpan pada tempat 8ang terpisah. %istem 9perasi 8ang multitasking < Multitask operating systems= systems= 6emamp 6emampuan uan progra programmi mming ng in>hou in>house se < In-house programming programming capabilities= capabilities= 6ebalikan dari perusahaan atau entitas 8ang ke?il biasan8a han8a membeli so7t;are dari pihak luar. 3erusahaan atau entitas 8ang lebih besar biasan8a juga mempun8ai aplikasi 8ang dikembangkan

•

se?ara internal. Jaringan telekomunikasi

8ang

telecommunications network.= network.= 3ada ada peru erusaha sahaan an besa besarr biasa iasan8 n8aa

lebih tela telah h

luas

< *0tensi&e *0tensi&e

memil emilik ikii

jari jarin ngan gan

telek telekom omun unik ikasi asi 8ang 8ang lebih lebih luas luas tersa tersamb mbun ung g deng dengan an selu seluru ruh h •

perusahaan online dengan internet. Memiliki Memiliki data kritikal kritikal 8ang berjumlah berjumlah sangat besar <1ery <1ery large or critical files= files= #ata>data 8ang kritikal ini harus di ba?k>up se?ara berkala

*2

Opera Ope ratin tin7 7 S5st S5stems ems Soft> Soft>ar aree

%istem operasi adalah so7t;are dasar 8ang men8ediakan tampilan bagi pengguna termasuk program aplikasi dan lain lain. %eorang auditor internal perlu memiliki kemampuan 8ang lebih dalam memahami berbagai sistem operasi dan sistem ba;aan 8ang sbb :

11


•

•

%istem 9perasi 8ang terpusat Memaha Memahami mi sistem sistem operasi operasi apa 8ang 8ang diguna digunakan kan dan kelebih kelebihan an dan kekurangan akan sistem tersebut. %istem Monitor 3engen 3engendal dalian ian dari dari sistem sistem tersebu tersebutt terhad terhadap ap penggu penggunaa naan n oleh oleh user. user. ontoh memor8 1AM 8ang melebihi kapasitas.

D2 /e7ac5 S5stem 0eneral 1ontrols Re4ie>s

Internal Internal audit sebaikn8a membangun membangun satu set tujuan>tujua tujuan>tujuan n pengendalia pengendalian n 8ang terspesi7ik untuk peren?anaan reie;. 9bjekti7 ini bergantung pada tujuan pemeriksaan. !2 Review a>al Review a>al pen7endalian umum IT2 Tujuan dikalkukan reie; a;al ini adalah untuk mendapatkan pemahaman

umum dari pengendalian TI. Auditor internal dapat melakukan ;a;an?ara obserasi operasi reie; dokumentasi dll biasan8a han8a tan8a ja;ab saja belum mengambil sampel. Tahap Tahap a;al ini dapat membantu me mbantu untuk menentukan seberapa detail reie; 8ang dibutuhkan. *2 Review detail Review detail pen7endalian umum atas operasional IT2

%ebuah reie; 8ang detail dan komprehensi7 dari pengendalian umum sistem TI 8ang 8ang besar besar termasuk termasuk sistem sistem progra program m pengen pengendal dalian ian telekom telekomuni unikas kasi i adiministrasi adiministrasi pen8impana pen8impanan n di operasional operasional TI dan

7ungsi 7ungsi pengembangan pengembangan..

3rosedur audit 8ang detail ini dapat didapatkan dari reie; a;al langkah pertama. #asarn8a adalah agar auditor internal memahami alur kerja 7ungsi opersional opersional TI. %istem 8ang sudah berkembang berkembang biasan8a biasan8a selalu melakukan perubahan prosedur dari ;aktu ke ;aktu menambahkan atau merubah kompleksitas 8ang dibutuhkan. %ehingga audit prosedur 8ang digunakan dapat diganti diganti mengik mengikut ut pergan pergantian tian 8ang 8ang dilaku dilakukan kan oleh manajem manajemen en tergan tergantun tung g kompleksitas dan ukuran perusahaan/entitas. "2 Review atas Review atas lin7up ter;atas terspesialisasi2

6arena 6arena permin permintaan taan manajem manajemen en audito auditorr terkada terkadang ng juga juga perlu perlu melaku melakukan kan spesial reie; misaln8a khusus database administration. %2 Ket Ketaat aatan an huu huum m dan dan perat peratura uran2 n2

12


E2 ITI/ Ser4ice Support and Deli4er5 Infrastructure

ITI
suat suatu u

rang rangka kaia ian n

kons konsep ep

dan dan

tekn teknik ik

peng pengel elol olaa aan n

in7r in7ras astr truk uktu tur r

pengembangan serta operasi TI. ITI mendeskripsikan se?ara detil proses prosedur tugas dan checklist untuk untuk memban membangun gun integrasi integrasi antara antara TI dengan dengan strategi perusahaan 8ang diran?ang untuk disesuaikan dengan setiap organisasi. ITI ITI meru merupa paka kan n pand pandua uan n dalam dalam melak melakuk ukan an peren peren?an ?anaan aan desa desain in tran transi sisi si oper operasi asion onal al dan dan peni pening ngka kata tan n la8an la8anan an TI se?ara se?ara berk berkesi esina namb mbun ungan gan dalam dalam perusahaan. ITI membagi proses utama 8ang meliputi IT ser&ice deli&ery dan

ser&ice support . 3roses ser&ice 3roses ser&ice support membantu membantu membuat aplikasi IT beroperasi se?ara se?ara e7isien e7isien dan memuaska memuaskan n pelang pelanggan gan sedang sedangkan kan proses ser&ice deli&ery mening meningkat katkan kan e7isien e7isiensi si dan kinerja kinerja dari dari elemen elemen in7rast in7rastruk ruktur tur IT. IT. %ebena %ebenarn8 rn8aa ban8ak area 8ang dibahas dalam ITI tetapi pada pembahasan ini di7okuskan pada 5 proses seri?e support area 8ang penting bagi auditor internal saat melaks melaksana anakan kan IT general control re&iew.3end re&iew.3endekatan ekatan>pende >pendekatan katan ini mengarah mengarah pada e7isiensi 7ungsi operasional TI sehingga dapat memberikan jasa terbaik kepada pelanggan. ITI tidak menetapkan rin?ian FbagaimanaF untuk melaksanakan proses la8anan dukungan seperti kon7igurasi atau manajemen perubahan. %ebalikn8a ITI men8arankan praktek 8ang baik dan ?ara>?ara untuk mengelola input dan

13


hubungan antara proses>proses tersebut. Tidak ada urutan atau mana 8ang lebih dulu di antara masing>masingn8a. Mereka dapat dipertimbangkan dan dikelola se?ara terpisah tetapi semuan8a agak terkait satu sama lain. ". ITI" ". ITI" Ser&ice Support Incident Management Management 3rose rosess Incident management harus harus meng> meng>co&er co&er aktiitas aktiitas memperbaiki memperbaiki gang ganggu guan an dalam dalam TI. TI. ang anggu guan an ini ini dapa dapatt beru berupa pa kega kegaga galan lan sist sistem em ketidakmampuan user meng>akses sesuatu dll. Tempat user mengadu ini disebut ser&ice desk. Tujuan dari ITI ser&ice Support Incident Management

ini

adalah

mengembalikan

operasional

8ang

seharusn8a/normaln8a se?epat mungkin dengan kee7ekti7an bia8a dengan dampak dampak minimal 8ang berpengatuh berpengatuh ke user. %aat ser&ice desk menerima kelu keluha han n ser&ice desk sebaikn8a sebaikn8a langsung langsung meng>klasi7i meng>klasi7ikasika kasikan n sebagai prioritas sangat penting dan penting. 3engklasi7ikasian ini sangat penting dalam insiden TI. %iklus diba;ah ini dapat membantu auditor internal 8aitu 8aitu dengan dengan memperl memperliha ihatka tkan n 3best practice4 dalam TI. #engan begitu akan lebih mudah bagi auditor internal melakukan reie; dan bertan8a dengan personel TI.

14


. Ser&ice Support $roblem Management %aat proses insiden manajemen menemui insiden 8ang sulit dan tidak tidak bisa bisa diketa diketahui hui alasann alasann8a 8a insiden insiden tersebu tersebutt harus harus di berita beritahuk hukan an kepada

3prob 3problem lem

manage managemen mentt

proc process4 ess4 . '

te r m

dalam

problem

management pro?ess adalah problem adalah problem control error control dan proacti&e problem management . ITI mengartikan mengartikan 3problem4 sebagai sebagai sesuatu 8ang tidak dapat diketahui pen8ebabn8a. $ror adalah pen8ebab 8ang diketahui setelah insiden terjadi terjadi sedangkan sedangkan proa?tie proa?tie problem problem management management adalah langkah pen?egahan sebelm insiden terjadi. Iden8a adalah bagaimana dan kapan ser&ice desk mela melapo pork rkan an suat suatu u insi inside den n 8ang 8ang suda sudah h buka bukan n ;e;ena ;e;enangn ngn8a 8a lagi. lagi. #alam #alam seri?e seri?e suppor supportt managem management ent ini juga juga harus harus dilakukan ealusi bagaimana men?egah masalah itu terjadi. 9leh karena itu itu ser&ice support management 7okus pada men?ari pola insiden 8ang sering terjadi men?ari pen8ebabn8 pen8ebabn8aa dan men?ari solusin8a. solusin8a. 3erbedaan $roblem management de dengan incident incident managemen management t adalah adalah proble problem m managem management ent bertujua bertujuan n mengur mengurang angii jumlah jumlah dan ariasi insiden insiden

15

8ang 8ang


menghambat bisnis sedangkan insiden bertujuan men8elesaikan masalah se?epatn8a. 2agi auditor internal hal>hal 8ang dapat ditan8akan : •

%eberapa sering adan8a reBuest dari user

•

2erapa lama TI men8elesaikan masalah

•

2erapa ban8ak nsiden 8ang terjadi sampai TI dapat melihat pola keterjadian insiden 8ang serupa

•

%olusi pen8elesaian 8ang dita;arkan dan berapa anggaran 8ang dibutuhkan.

$roblem management adalah adalah area 8ang tepat bagi auditor internal karena disini memperlihatkan kee7ekti7an operasional TI. a= Ser&ice a= Ser&ice Support !onfiguration Management 0ungsi 0ungsi kon7ig kon7igura urasi si adalah adalah

proses proses 8ang sangat sangat penting penting 8aitu 8aitu

term termasu asuk k iden identi ti7ik 7ikasi asi men? men?at atat at dan dan melap melapor orka kan n komp kompon onen en>> komponen TI  ersi>ersin8a. Managemen kon7igurasi termasuk mengat mengatur ur hubung hubungan an antar antar aset. aset. Managem Managemen en kon7i kon7igur gurasi asi juga juga termasuk elemen kontrol didalamn8a seperti memerlukan ?ek 7isik 8ang di?o?okan dengan 8ang di?atat. #ata>data indiidual harus di?atat di?atat se?ara se?ara teratur teratur dalam configuration management database <M#2=. $&hibit "*., pokok dari prosedur audit untuk mereiu proses manajemen kon7igurasi perusahaan. b= Ser&ice b= Ser&ice Support !hange Management Tujuan ITI manajemen perubahan adalah menstandarisasi metode dan prosed prosedur ur untuk untuk e7isien e7isiensi si pengga pengganti ntian an untuk untuk menghi menghinda ndari ri meng mengura urang ngii kual kualit itas as pela pela8a 8ana nan n sehari sehari>h >hari ari.. ITI ITI mana manajem jemen en perubahan termasuk : •

3erangkat keras TI dan sistem perangkat lunak

•

3eralatan komunikasi dan perangkat lunak

•

%emua aplikasi perangkat lunak

•

%emua dokumentasi dan prosedur 8ang berhubungan dengan sistem

16


3ros 3roses es 8ang ang e7is e7isie ien n dala dalam m peng pengga gant ntia ian n ini ini adal adalah ah deng dengan an melakukann8a dengan seminimal mungkin timbuln8a dampak eror. %aat %aat mengau mengaudit dit IT intern internal al kontro kontrol l intern internal al audito auditorr seharu seharusn8 sn8aa melihat ?hange management 8ang melengkapi : •

%elaras dengan bisnis

•

3eningkatan jaringan telekomunikasi antara sta77 dan manajemen

•

Meningkatkan penilaian resiko

•

Mengurangi dampak dampak negati7 pada pela8anan kualitas

•

3enilaian 8ang lebih baik terhadap bia8a>bia8a 8g mun?ul

•

Menurunn8a tingkat eror 8ang mun?ul ?. Ser&ice ?. Ser&ice Support %elease Management 0ungsi 0ungsi TI memerlukan memerlukan proses 8ang memastikan memastikan segala perubahan akan berdampak berdampak pada semua pihak dengan baik. 3%elease4 disini dimaksudkan termasuk pembetulan beberapa masalah peningkatan pela8anan termasuk 8ang baru atau perubahan perangkat lunak. 3ada 3ada intin8 intin8a a release management memastikan memastikan semua komponen 8ang 8ang diub diubah ah telah telah diba dibang ngun un di tes tes di distr distrib ibus usik ikan an dan dan di implementasikan se?ara bersama.

-2 Ser4ice Deli4er5 ,est +ractice !2 Service !2 Service Delivery Delivery Service-Level Service-Level Management Management

Ser&ice-"e&el Management adalah adalah prosess peren?anaan pengkoordinasian peran?angan

persetujuan

penga;asan

dan

pelaporan

dalam

persetujuan/perjanjian 7ormal antara TI dan pemberi la8anan/penerima la8anan. Ser&ice "e&el Agreemen Agreement t <%A= <%A= dapat merupakan antara TI dan pihak luar atau antara TI dan pengguna. %e?ara umum %A berisi target pela8anan 8ang dijanjikan hak dan ke;ajiban masing>masing pihak jad;al pelaksanaan penalti jika merugikan pihak pengguna. 3roses %A sangat penting dalam komponen operasional TI. Jika perusahaan belum menggunakan maka auditor internal dapat merekomendasikann8a. %A dapat dijadikan dasar bagi auditor internal dalam mengukur pengendalian

17


internal TI karena dalam %A diketahui tanggung ja;ab masing>masing pihak sehingga dapat saling mengontrol.

18


*2 Service *2 Service Delivery Financial Management for IT Services

Tujuan 0inan?ial Management 7or IT %eri?es adalah sebagai pemandu agar ter?apai e7ekti7itas bia8a dalam mengadakan jasa TI. Tiga sub 8ang berhubungan adalah : a= IT #udgeting Adalah proses memprediksi memprediksi dan mengontrol mengontrol pengeluaran pengeluaran uang untuk sumb sumber er da8a da8a TI. TI. #udgeting terdiri dari periodi? periodi? biasan8a biasan8a tahunan tahunan siklus negosiasi untuk mengatur budget keseluruhan anggaran bersama deng dengan an pema pemant ntau auan an sehar sehari>h i>har arii 8ang 8ang seda sedang ng berla berlang ngsu sung ng dari dari ang anggara garan n

saat aat

ini. ini.

3eng 3engan ang ggara garan n

memas emasti tik kan

bah;a ah;a

tela telah h

meren meren?a ?ana naka kan n dan dan mend mendan anai ai la8an la8anan an TI 8ang 8ang tepat tepat dan dan TI 8ang 8ang beroperasi dalam anggaran ini selama periode tersebut. 0ungsi bisnis lainn8a akan memiliki negosiasi periodik dengan IT untuk membangun ren?an ren?anaa peng pengelu eluara aran n dan dan setuj setuju u prog program ram ine inesta stasi@ si@ ini ini akhi akhirn rn8a 8a menetapkan anggaran untuk IT. I T.

19


b= IT Accounting Adal Adalah ah pros proses es TI untu untuk k mene menent ntuk ukan an bera berapa pa ban8 ban8ak ak uang uang 8ang ang dihabiskan dihabiskan oleh pelanggan pelanggan la8anan la8anan dan aktiitas. 0ungsi TI tidak selalu melakukan pekerjaan 8ang baik di area ini mereka mempun8a berariasi bia8a eksternal termasuk perangkat lunak perjanjian se;a perlengkapan bia8a telekomunikasi dan lainn8a tetapi tet api bia8a bia 8a tersebut biasna8a tidak di atur atau dilaporkan dengan baik. Mereka memiliki data 8ang ?ukup untuk memba8ar bon dan mengealuasi beberapa sering lack tingkat tingkat akuntansi rin?i specific area costs costs tetapi 7ungsi TI sering lack ditemukan di sebuah perusahaan manu7aktur besar. c( !harging Adal Adalah ah himp himpun unan an harg hargaa dan dan pena penagi giha han n pros proses es untu untuk k meng mengis isii pelanggan untuk la8anan 8ang disediakan. -al ini membutuhkan akuntan akuntansi si TI sound dan dan dilakukan dengan ?ara 8ang sederhana adil dan terkendali dengan baik. 3roses pengisian TI kadang>kadang rusak dalam 7ungsi TI karena laporan penagihan la8anan TI terlalu rumit atau teknis untuk ban8ak pelanggan. pelanggan. TI perlu untuk menghasilkan menghasilkan 8ang jelas laporan dimengerti la8anan TI 8ang digunakan sehingga pelanggan dapat memeri7ikasi rin?ian memahami ?ukup untuk meng mengaj ajuk ukan an

pert pertan an8 8aan aan

meng mengen enai ai

la8 la8anan anan

dan dan

bern berneg egos osia iasi si

pen8esuaian jika diperlukan.

"2 Service "2 Service Delivery Capacity Management Management

Memasti Memastikan kan kapasit kapasitas as dari dari in7rast in7rastruk ruktur tur TI sejalan sejalan dengan dengan kebutu kebutuhan han bisnis dan kualitas jasa 8ang diberikan telah sesuai. s esuai. Manajemen kapasitas pada umumn8a termasuk ter masuk mempertimbangkan bisnis jasa dan manajemen kapasit kapasitas as sumber sumber.. Manajem Manajemen en kapasit kapasitas as bisnis bisnis adalah adalah proses proses jangka jangka panjang untuk menentukan masa depan bisnis telah dipertimbangkan akan diim diimpl plem emen enta tasi si

di

masa masa

mend mendat atan ang. g.

Mana Manaje jeme men n

kapa kapasi sita tass

jasa jasa

bertanggung ja;ab memastikan semua jasa TI telah dilaksanakan. Manajem Manajemen en kapasit kapasitas as sumber sumberda8 da8aa bertan bertanggu ggung ng ja;ab ja;ab atas atas kompon komponen en in7rastruktur TI se?ara indiidu. #ari ketiga komponen tersebut biasan8a

20


diba;a diba;ahi hi oleh oleh satu manajer manajer 8ang 8ang mengat mengatur ur pelaksa pelaksanaa naan n peran? peran?ana anaan an kapasitas memastikan seluruh kapasitas diperbaharui. Implementasi dari manajemen kapasitas 8ang e7ekti7 memberi keuntungan 8aitu gambaran akan kapasitas saat ini dan dapat digunakan untuk peren?anaan kapasitas kedepan.

%2 Service %2 Service Delivery Availability Management

Mana Manaje jeme men n

kete keterse rsedi diaa aan n

dapa dapatt

diga digamb mbark arkan an seba sebaga gaii

pere peren? n?an anaan aan

peningkatan dan pengukuran aksi 8ang dilakukan. 3eren?anaan termasuk mene menent ntuk ukan an

pers pers8 8arat aratan an

dan dan

bagi bagima mana na

TI

dapa dapatt

mem memenuh enuhin in8 8a.

6euntunga 6euntungan n utama dari manajemen manajemen ketersediaan ketersediaan adalah adan8a adan8a proses 8ang terstruktur untuk memastikan jasa TI terpenuhi sampai ke pelanggan. -al ini akan menambah jasa TI 8ang terus tersedia dan meningkatkan kepuasan pelanggan.

21


)2 Service )2 Service Delivery Continuity Management

6are 6arena na bisn bisnis is menj menjad adii sanga sangatt terg tergan antu tung ng deng dengan an TI TI damp dampak ak dari dari keti ketida dakt kter erse sedi diaa aan n

jasa jasa

TI

meni mening ngka katt

se?a se?ara ra

dras drasti ti?. ?.

%eti %etiap ap

kali kali

keterse ketersedia diaan an atau kienrj kienrjaa dari jasa jasa berkur berkurang ang konsum konsumen en TI tidak tidak bisa bisa melanjutkan kerja normal mereka. Tren ini kearah ketergangtungan tinggi pada pendukung TI dan jasa akan berlanjut dan meningkat mempengaruhi me mpengaruhi kons konsum umen en lang langsu sung ng mana manage gerr dan dan pemb pembua uatt kepu keputu tusan san.. Mana Manajem jemen en kontin kontinuit uitas as ITI ITI meneka menekanka nkan n bah;a bah;a dampak dampak dari kerugi kerugian an total total atau bahkan sebagian dari la8anan TI harus diperkirakan dan ren?ana kontinuitas dibentuk untuk memastikan bah;a bisnis dan in7rastruktur pendukung TI TI akan selalu dapat berlanjut.

02 Auditin7 IT Infrastructure Mana7ement

#ukungan la8anan ITI dan la8anan proses pengiriman memperkenalkan pendekatan e0panded dan dan impro&ed untuk untuk men?ari semua aspek in7rastruktur TI. 3roses ini tidak independen dan berdiri bebas. %ementara setiap proses dapat beroperasi dengan sendirin8a mereka semua tergantung pada input dan bentuk dukungan proses terkait lainn8a. 6ami telah men?oba untuk menunjukkan saling keterg ketergant antung ungan an dalam dalam bebera beberapa pa deskri deskripsi psi proses proses dan audito auditorr interna internall 8ang 8ang meninjau kontrol atas salah satu proses ITI harus memikirkan kontrol ini dalam kaita kaitann nn8a 8a deng dengan an pros proses es lainn lainn8a 8a.. Misa Misaln8 ln8a a e&hi e&hibi bitt "*." "*."! ! menu menunj njuk ukka kan n bagaimana proses prose s perubahan manajemen ITI tergantung dan mendukung proses ITI terkait lainn8a. Jasa pengiriman dan jasa pendukung ITI adalah dua unsur 8ang saling terkait dan hampir sejajar. Mereka mendukung pengelolaan in7rastruktur TI dan perusahaan. Aplikasi TI di tengah teka>teki ini dan merupakan daerah pusat utama dari perhatian kontrol internal. #iskusi kami dari masalah kejadian dan proses perubahan manajemen ITI antara lain ?enderung untuk memanggil 7ungsi TI 8ang sangat besar dengan berbagai tingkat sumber da8a sta7 dan manajemen. Inte Intern rnal al audi audito torr mung mungki kin n bert bertan an8a 8a apak apakah ah ini ini stan standa darr ITI ITI berl berlak aku u untu untuk k perusahaan 8ang jauh lebih ke?il. Ja;aban i8a ITI berlaku untuk semua ukuran

22


7ungsi TI. Agar ITI memenuhi pers8aratan perusahaan does not need multiples le&els of sta7 sta7 pendukung. Melainkan perlu memikirkan berbagai jasa dukungan dan jasa proses pengiriman dari perspekti7 ITI praktik terbaik. 0ungsi ke?il TI mungki mungkin n tidak tidak perlu perlu memban membangun gun manajem manajemen en inside insiden n dan 7ungsi 7ungsi manajem manajemen en masalah 8ang terpisah tetapi harus memikirkan setiap proses 8ang terpisah dengan prosedur kontrol 8ang unik. 2ahkan jika 7ungsi TI sangat ke?il setiap area proses ITI harus diperlakukan sebagai daerah penting untuk proses perbaikan. Auditor internal harus menaruh perhatian khusus pada kepatuhan ITI ketika membuat rekomendasi. 4kuran dan lingkup area 8ang diaudit dan lingkup operasi harus selalu dipertimbangkan. In7rastruktur TI merupakan area penting untuk reiu audit internal. #i masa masa lalu lalu semua semua audito auditorr intern internal al terlalu terlalu sering sering berkon berkonsen sentras trasii pada pada kontro kontroll aplika aplikasi si dan kontro kontroll umum umum TI. 3roses ITI diuraik diuraikan an dalam dalam bab ini adalah adalah beberapa daerah 8ang sangat s angat baik untuk perhatian perhatia n audit a udit internal di dunia saat s aat ini proses kompleks 8ang mendukung in7rastruktur TI. 6etika meninjau kontrol internal untuk setiap perusahaan TI apakah operasi perusahaan>tingkat TI besar atau 7ungsi 8ang lebih ke?il ditemukan di ban8ak perusahaan hari ini auditor intern internal al 8ang 8ang e7ekti7 e7ekti7 harus harus berkon berkonsen sentras trasii pada pada meninj meninjau au kontrol kontrol atas atas proses proses in7rastruktur TI utama.

23


.2 Internal Auditor 1,OK Needs for IT 0eneral 1ontrols

Auditor internal harus memahami dasar 296 dari reiu audit internal dari ?ontrol umum TI dan in7rastruktur TI tetapi tidak perlu terlalu detail. Area tersebu tersebutt mengga menggamba mbarka rkan n pers8a pers8arata ratan n 296 296 8ang 8ang kuat kuat untuk untuk semua semua audito auditor r internal. ontrol umum TI tampakn8a terus berubah dan berkembang ban8ak isu teknikal may be best reser&ed untuk spesialis audit TI tapi semua auditor internal harus memiliki pengetahuan pengetahuan 8ang ?ukup dari ?ontrol umum TI dan in7rastruktur in7rastruktur pendukung 8ang memperbolehkan ?ontrol umum tersebut untuk beroperasi dan ber7ungsi. 3emaha 3emahaman man audit audit intern internal al terhad terhadap ap kontro kontroll umum umum IT sangat sangat pentin penting. g. Tidak Tidak peduli peduli apa ukuran ukuran atau ruang ruang lingku lingkup p operasi operasiona onall IT IT kontro kontroll tertent tertentu u prosedur>seperti reisi 3rogram kontrol>berlaku untuk semua operasi. %elain itu pemahaman keseluruhan praktik terbaik ITI harus memungkinkan auditor inter interna nall untu untuk k mema memaha hami mi dan dan meng menge eal alua uasi si kont kontro roll umum umum IT di ban8 ban8ak ak lingkungan.

24


Re4ie>in7 and Assesin7 IT Teknologi in7ormasi input se?ara benar ke dalam aplikasi diproses se?ara benar dan terdapat pengendalian pengendalian 8ang memadai atas output 8ang dihasilkan. #alam audit terhadap aplikasi biasan8a pemeriksaan atas pengendalian umum umum juga juga dilaku dilakukan kan mengin mengingat gat pengen pengendal dalian ian umum umum memili memiliki ki kontri kontribus busii terhadap e7ekti7itas atas pengendalian>pengendalian aplikasi. Internal audit se?ara e7ekti7 perlu melakukan reiu terhadap pengendali internal atas suatu aplikasi termasuk menilai resiko 8ang mun?ul pada saat memilih suatu aplikasi 8ang akan direi direiu u menguj mengujii pengen pengendal dalian ian dan mereiu mereiu atas atas suatu suatu aplika aplikasi si 8ang 8ang sedang sedang dibangun.

25


A2 IT A2 IT Application Control Components

Auditor internal harus memahami komponen dari typical aplikasi TI dan dibutuhkan untuk ?ontrol pendukung. 9rang>orang 8ang tidak familiar dengan TI terkadang berpikir aplikasi TI dengan istilah laporan s8stem output atau data 8ang ditunjukkan dalam la8ar terminal. 2agaimanapun setiap aplikasi apakah 5ebbased ed s8stem s8stem mainframe 8ang 8ang lebih lebih tua tua apli aplika kasi si client client-ser -ser&er &er atau paket paket produktiitas kantor 8ang diinstal di s8stem desk deskto top p lo?al lo?al memilik memilikii '
Auditor internal

minimal memiliki

pemahaman terhadap IT aplikasi apl ikasi dan proses penunjangn8a 8ang memang menjadi bagian dari dasar kebutuhan dari !ommon #ody 2f Knowledge <296=. Knowledge <296=.

!2 Application !2 Application Input Components

%etiap %etiap aplika aplikasi si TI memerlu memerlukan kan beberap beberapaa 7orm input input untuk untuk mengha menghasil silkan kan ouput apakah data 8ang diinput se?ara manual dari ou?her transaksi atau diambil dari s8stem se?ara otomatis. Input merupakan salah satu tahap dalam sist sistem em

komp komput uter eris isas asii

8ang 8ang

pali paling ng

krus krusia iall

dan dan

meng mengan andu dung ng

risi risiko ko..

3eng 3engen enda dali lian an masu masuka kan n
26


pengendalian aplikasi 8ang penting karena input 8ang salah

akan

men8ebabkan output juga keliru. a(

6ata 6ata !olle ollect ctio ion n And 2th 2ther Inpu Inputt 6e&ic e&ices es #ata 8ang ban8ak biasa diinput kedalam sistem dalam bentuk batch batch atau data gelondongan. 3ada masa kini ban8ak alat>alat 8ang dapat digunakan untuk memasukkan data kedalam suatu aplikasi ?ontohn8a dalam siklus penggajian data absen diinput sudah berdasarkan timecard 8ang dihasilkan dihasilkan se?ara otomatis melalui finger melalui finger print absensi. #an juga dalam siklus siklus penjual penjualan an teknolo teknologi gi 1adio 1adio 0reBuen?8 0reBuen?8 I# <10I#= <10I#= atau barcode scanner digu diguna naka kan n untu untuk k meng mengin inpu putt penj penjua ualan lan 8ang 8ang terjad terjadi. i. %uatu %uatu pengendalian 8ang baik didalam input suatu data kedalam s8stem sudah menggu menggunak nakan an skema skema ?he?k ?he?k and balan?e balan?es s sehing sehingga ga data data 8ang 8ang dimilik dimilikii dapat dapat dikatak dikatakan an alid. alid. 3ada 3ada hal ini ini audito auditorr intern internal al perlu perlu meastik meastikan an apakah skema tersebut sudah berjalan dengan baik.

b(

Appl Applic icat atio ion n Inpu Inputs ts ,ro ,rom 2the 2therr Auto Automa mate ted d Syst System emss %uatu data dalam aplikasi dapat diinput se?ara otomatis akibat adan8a integrasi suatu aplikasi dengan aplikasi lainn8a. %ebagai ?ontoh dalam siklus siklus penggajian penggajian seorang seorang sales e0ecuti&e e0ecuti&e gaji 8ang akan diterima akan berhubungan jumlah penjualan 8ang dilakukann8a untuk menghitung komisi 8ang didapat.

c(

,iles And 6atabases %uatu 7ile 8ang baik didalam s8stem sebuah aplikasi memiliki minmal krite kriteria ria kapa kapan n 7ile 7ile terse tersebu butt dibu dibuat at dan dan labe labell ?he?k ?he?kin ing g ?ontr ?ontrol ol untu untuk k menghindari kesalahan input kedalam siklus pemprosesan atau aplikasi lainn8a 8ang ada. #atabase sekarang ini biasa digunakan dalam susumam hierarchical databases dimana databases dimana data diorganisasikan berdasarkan konsep struktur 7amil8 tree. 3roduk database 8ang biasa digunakan 8akni IM% < Integrated Integrated Management System= System = 8ang dikeluarkan oleh I2M. IM% adalah sist sistem em

8ang ang

meng mengko komb mbin inas asik ikan an

semu semuaa

sist sistem em

mana manaje jeme men n

8ang ang

diimplement diimplementasikan asikan dengan dengan tujuan untuk kepentingan kepentingan bisnis bisnis organisasi organisasi.. ontoh ontohn8a n8a dalam dalam perusa perusahaa haan n manu7a manu7aktu ktur r setiap setiap produk produk dapat dapat diliha dilihatt

27


bagian>bagian apa saja 8ang digunakan didalamn8a dengan data 8ang terintegrasi. *2 Application *2 Application rogram

%uatu %uatu progra program m komput komputer er disusu disusun n berdas berdasark arkan an instru instruksi ksi 8ang 8ang memuat memuat setiap setiap detail detail proses proses 8ang 8ang ada. ada. Intern Internal al audito auditorr sebaik sebaikn8a n8a memaham memahamii bagaimana program aplikasi ?omputer dibuat dan kemampuann8a agar dapa dapatt

menje enjela lask skan an

pros prosed edur ur

peng pengen enda dali lian an

8ang 8ang

mem memadai adai

untu untuk k

mendet mendeteks eksii jangan jangan sampai sampai data data
Transaksi aksi terma rmasuk suk transaksi 8ang ang dipi?u i?u melal elalu ui sist sistem em diolah semestin8a oleh komputer

b=

Transaksi tidak hilang ditambah digandakan atau diubah tidak semestin8a dan

?=

keke kekeli liru ruan an pen pengo gola laha han n dap dapat at dii diide dent nti7 i7ik ikas asii dan dan diko dikore reks ksii se?a se?ara ra tepa tepatt ;aktu. 7(

Traditi dition onal al Main Mainfr fra ame and !lien lientt Ser Ser&e &err $r $rogram rams 3ada ada

saat saat

ini ini

pemprograman

apli aplika kasi si

dib dibuat uat

8ang uniersal.

berd berdas asar arka kan n

suat suatu u

baha bahasa sa

929 merupakan

bahasa

pemprograman uniersal 8ang sering digunakan oleh ban8ak entita entitass dalam dalam membua membuatt suatu suatu proses proses aplika aplikasi. si. 929 929 adalah adalah singkatan dari ommon 2usiness 9riented anguage 8ang berarti suat suatu u baha bahasa sa ting tingkat kat ting tinggi gi 8ang 8ang bero berore rent ntasi asi lang langsu sung ng pada pada masalah bisnis. #ari naman8a dapat ketahui bah;a ?obol adalalah bahasa pemrograman 8ang digunkan dalam dunia bisnis. obol juga dapat digunakan untuk pengolahan database aplikasi perbakan dan a??ounting.

28


8(

Mode Modern rn !omp !omput uter er $ro $rogram ram Architec itectu turres %elain %elain menggu menggunak nakan an 929 929 deelo deeloper per program program juga juga ban8ak ban8ak 8ang menggunakan bahasa pemprograman seperti JAHA dan  untuk membuat program 8ang lebih sederhana

29


30


'= 1endor 1endor Supplied Supplie d Software 2an8ak apalikasi IT sekarang tidak dibuat oleh entitasn8a sendiri melainkan melainkan menggunakan menggunakan Hendor. ndor. #alam menggunaka menggunakan n Hendor %upplied

%o7t;are

perusahaan

seharusn8a

sudah

memperhitun memperhitungkan gkan cost dan benefit 8ang menghasilkan keputusan dalam penggunaan Hendor endor tersebut.

"2 IT "2 IT Application !utput Components

3engendalia 3engendalian n keluaran keluaran merupakan merupakan pengendali pengendalian an 8ang dilakukan dilakukan untuk menjaga output sistem agar akurat lengkap dan digunakan sebagaimana mestin8 mestin8a. a. 3engen 3engendal dalian ian keluar keluaran an
31


outp output ut/i /in7 n7orm ormasi asi

disa disaji jika kan n

se?ara se?ara

akur akurat at

leng lengka kap p

mutak mutakhi hir r dan dan

didistribusikan kepada orang>orang 8ang berhak se?ara ?epat ;aktu dan tepat ;aktu.

,2 Selecting ,2 Selecting Applications for Internal Au"it Reviews

#ikarenakan aplikasi 8ang sangat ban8ak dan beragam dimiliki oleh suatu perusahaan biasan8a internal auditor melakukan reiu berdasarkan berdas arkan aplikasi 8ang paling krusial dan memiliki resiko 8ang tinggi. 2erikut ini beberapa 7a?tor 7a? tor dalam dala m pemilihan aplikasi 8ang perlu direiu oleh internal auditor:

32


7. Mana Manage geme ment nt %e+ %e+ue uest st Manajem Manajemen en kadang kadang suka suka melaku melakukan kan permin permintaan taan kepada kepada intern internal al audit audit untuk mereiu pengendalian dari aplikasi 8ang baru diinstal atau IT 8ang memili memiliki ki signi7 signi7ika ikansi nsi terhadap terhadap sauatu sauatu permas permasalah alahan an atau pen8usu pen8usunan nan strategis perusahaan. 8. $reim $reimple plemen mentat tation ion re&iew re&iew of new applic applicati ation on Internal audit terkadang diminta untuk berpartisipasi dalam memberikan saran ketika suatu aplikasi ingin di?iptakan. 9. $ostim $ostimple plemen mentat tation ion appli applicat cation ion re&iew re&iew 4ntuk beberapa aplikasi 8ang ?ukup kritikal dan berhubungan dengan analisis resiko biasan8a internal audit perlu melakukan reiu 8ang ?ukup mendetail apakah aplikasi berjalan sudah sesuai dengan 8ang diharapkan. :. Interna Internall control control assess assessmen mentt consider considerati ation on $aluasi $aluasi dan per?obaan per?obaan pengujian pengujian pengendalian pengendalian internal internal guna memenuhi standar kebijakan 8ang ditetapkan seperti pada %9 se?tion )!). ;. 2ther 2ther audit audit appli applicat cation ion selec selectio tion n criteria criteria 2eberap 2eberapaa hal signi7 signi7ika ikan n lainn8 lainn8aa 8ang 8ang membua membuatt intern internal al audito auditorr perlu perlu melakukan reiu atas aplikasi tersebut seperti : a= Aplikasi Aplikasi 8ang 8ang melakukan melakukan pengen pengendalian dalian atas asset asset 8ang signi7ikan signi7ikan b= Aplikasi 8ang melakukan pengendalian atas 1esiko 8ang 8ang signi7ikan ?= Aplikasi Aplikasi 8ang 8ang baru baru dilakuk dilakukan an perubah perubahan an didalam didalamn8a n8a d= #an #an lain lain>l >lai ain. n. Internal Internal auditor auditor juga biasan8a melakukan reiu terhadap aplikasi aplikasi 8ang spesi7i spesi7ik k 8ang 8ang menunj menunjang ang keselu keseluruh ruhan an 7ungsi 7ungsi area. area. ontoh ontohn8 n8a a dalam dalam mereiu operasional dan keuangan dan department pembelian.

12 reliminary 12 reliminary Steps to erforming Application Controls Reviews

3ada saat internal auditor sudah menentukan aplikasi mana 8ang akan direiu maka dia perlu memahami objekti7 8ang ingin di?apai teknologi 8ang digunakan dan hubungan aplikasi tersebut dengan aplikasi lainn8a. 3ertama biasan8a internal auditor akan meminta dokumen>dokumen 8ang terlibat dalam siklus kegiatan dan pembuatan aplikasi tersebut. %eperti %93 8ang

33


terkait dalam kegiatan bisnis dalam aplikasi tersebut dan juga beberapa dokumen 8ang ada dalam aplikasi tersebut seperti : •

System 6e&elopment Methodology 'S6M( initiating document #okume #okumen n ini akan akan menunj menunjuk ukan an permin permintaan taan dalam dalam pembua pembuatan tan s8stem s8stem ?ost/bene7it 8ang ada dan design general s8stem 8ang dibutukan.

•

,unctional design specification #okumen ini berisi hal>hal mendetail mengenai elemen program database spesi7ikasi dan pengendalian s8stem 8ang dijelaskan se?ara jelas.

•

$rogram change histories #okumen ini berisi hal>hal historis 8ang menunjukan dasar perubahan suatu aplikasi terjadi ataupun ataupun bukti>bukt bukti>buktii dokumen dokumen atas reisi aplikasi 8ang terjadi.

•

! # Con"ucting an Application $al%-T& $al%-T&roug& roug&

%etalah melakukan penge?ekan dokumen internal auditor akan melakukan ;alk>through reiu hal ini dilakukan dengan agar internal auditor dapat memahami proses kerja suatu aplikasi mulai dari s8stem input proses aplikasi dan s8stem output.

34


*2 Developing *2 Developing Application Control !b'ectives

%elanjutn8a internal audit perlu mende7iniskan objekti7 8ang dihasilkan dala dalam m pros proses es apli aplika kasi si 8ang ang suda sudah h dire direi iu. u. #ida #idala lamn mn8 8a term termas asuk uk menent menentuka ukan n leel leel pengen pengendali dalian an resiko resiko 8ang 8ang diterim diterimaa dan kehand kehandalan alan aplikasi dalam menunjang tujuan 8ang di?apai.

35


D2 Completing D2 Completing t&e IT Application(s Controls Au"it

1in?i 1in?ian an pros prosed edur ur audi auditt pada pada apli aplika kasi si TI biasa biasan8 n8aa lebi lebih h sulit sulit untu untuk k ditetapkan jika dibandingkan dengan tujuan umum audit internal. 3rosedur sangat beragam dan tergantung pada beberapa beberapa hal 8akni : •

Apakah aplikasin8a dibangun sendiri atau membeli dari endorK

•

Apakah aplikasin8a terintegrasi dari aplikasi lain atau tidakK

•

Apakah aplikasi menggunakan 5eb #ased Ser&ice $ro&ider/!lient Ser&er atau "egacy atau "egacy !omputer System Method=

•

Apli Aplika kasin sin8a 8a ban8 ban8ak ak 8ang 8ang terot terotom omasi asi atau atau ban8 ban8ak ak diin diinte ter ren ensi si oleh oleh manusiaK #alam #alam melaku melakukan kan penguj pengujian ian terhada terhadap p pengen pengendal dalian ian aplika aplikasi si selain selain

meninjau dokumentasi dan melakukan penelusuran akan sangat membantu jika

36


auditor auditor internal internal dapat berkomunikasi berkomunikasi dengan dengan kar8a;an kar8a;an 8ang bertanggung bertanggung ja;ab atas sistem. ". !larifying and Testing Testing Audit Internal Inter nal !ontrol 2bjecti&es 3ada 3ada bagi bagian an sebelu sebelumn mn8a 8a telah telah diba dibaha hass meng mengen enai ai pent pentin ingn gn8a 8a memban membangun gun tujuan tujuan penguj pengujian ian sebaga sebagaii bagian bagian dari dari penguj pengujian ian aplika aplikasi. si. %elanjutn8a kita akan mengklari7ikasi tujuan pengujian. #alam beberapa hal sering ditemukan bah;a terjadi kesalahpahaman antara auditor dan manaj manajem emen en dalam dalam mene meneta tapk pkan an tuju tujuan an audi audit. t. Misal Misaln8 n8aa mana manajem jemen en mengin mengingin ginkan kan audito auditorr untuk untuk menguj mengujii pengen pengendali dalian an pada pada akunta akuntansi nsi sementara auditor han8a menguji logika pada keamanan pengendalian. 4ntu 4ntuk k itu itu mana manajem jemen en user user dan dan audi audito torr haru haruss dudu duduk k bers bersam amaa untu untuk k menetapkan tujuan pengendalian. Namun biasan8a tujuan pengujian audit juga akan berubah jika audito auditorr menemu menemukan kan bukti bukti dari dari masala masalah h pengen pengendal dalian ian lainn8 lainn8aa selama selama proses pengujian dan akan men8arankan ruang lingkup baru atau perubahan prosedur kepada manajemen. Misaln8a pada tujuan a;al 8ang ditetapkan adalah ke?ukupan pengendalian internal aplikasi mungkin akan berubah pada deteksi penipuan jika ditemukan adan8a transaksi 8ang tidak sah. %etelah melakukan klari7ikasi auditor internal harus menguji key control points dalam points dalam aplikasi. 6emudian setelah mendapatkan pemahaman pada key contro controll point point prosedur pengujian dapat dikembangkan untuk memb membua uatt peni penilai laian an apli aplika kasi si lebi lebih h jelas jelas.. #ua #ua gamb gambar ar di ba;a ba;ah h ini ini merupakan merupakan ?ontoh prosedur prosedur audit 8ang berorientasi berorientasi pada aplikasi aplikasi client ser&er modern modern dan uji kepatu kepatuhan han atas aplikas aplikasii pembel pembelian ian 8ang 8ang telah telah terotomasi :

37


38


a= Te a= Tests sts of application inputs and outputs Internal audit akan menguji ketepatan data input 8ang dimasukan kedalam s8stem dan melihat apakah hasil 8ang keluartek >teknik nik lain lain 8ang 8ang diguna digunakan kan dalam dalam mereiu mereiu aplikasi : 7( %eperforman %eperformance ce of applicat application ion function functionss or calculat calculations ions Jenis pengujian ini berlaku baik untuk aspek manual dan 8ang terotomasi dari sistem aplikasi. ontohn8a jika aplikasi untuk aset tetap melakukan perhitungan pen8usutan se?ara otomatis maka auditor internal dapat menggunakan proses AATT untuk menghitung ulang pen8usutan untuk transaksi terpilih dalam uji kepatuhan. 8( %e&iew %e&iewss of pro progra gram m sour source ce code code 4ntuk 4ntuk pengem pengemban bangan gan aplikas aplikasii se?ara se?ara in-h in-hou ouse se internal internal audit dapa dapatt mem memeri eri7i 7ika kasi si

bah; bah;aa peng penge?e e?eka kan n logi logika ka terte tertent ntu u

dilakukan di dalam program dengan memeri7ikasi source memeri7ikasi source code. Namun jenis uji kepatuhan ini harus digunakan jika dalam jumlah besar dan penuh kehati>hatian. 6arena adan8a potensi komp komple leks ksit itas as dari dari memb memba? a?aa dan dan mema memaha hami mi source code program sangat mudah untuk mele;atkan ?abang program di sekitar area 8ang diuji. Maka dari itu terdapat program khusus

39


8ang 8ang terse tersedi diaa untu untuk k memb memban andi ding ngka kan n source code program dengan ersi 8ang dikompilasi dalam perpustakaan produksi. 9( !ontinuou !ontinuouss audit audit monitoring monitoring approach approaches. es. Intern Internal al audito auditorr dapat dapat se;aktu se;aktu>;a >;aktu ktu meren? meren?ana anakan kan untuk untuk membangun prosedur audit 8ang melekat pada aplikasi produksi agar agar aplika aplikasi si tersebu tersebutt mudah mudah dikend dikendalik alikan. an. 3endek 3endekatan atan ini han8a sekedar mengaudit aplikasi dan membantu mengaudit diri sendiri. :( 2bser&a 2bser&atio tion n of of proc procedu edure res. s. 3engamatan 3engamatan berguna ketika meninjau meninjau proses aplikasi manual maupun 8ang terotomasi. Misaln8a stasiun kerja 8ang terpen?il menerima

data

download

dari ari

sist sistem em

pusat usat

mung mungki kin n

meme memerlu rluka kan n pros prosed edur ur tamba tambaha han n untu untuk k membu membuat at kone koneks ksii download 8ang tepat.

d= !ompleting d= !ompleting the Application !ontrols %e&iew 3engujian pada kepatuhan tidak menjamin bah;a tidak ada resiko 8ang mun?ul mun?ul.. #alam #alam melaku melakukan kan penguj pengujian ian dalam dalam kontro kontroll aplika aplikasi si mungk mungkin in audito auditorr tidak tidak menemu menemukan kan permasal permasalaha ahan n karena karena dalam dalam keadaan keadaan normal normal mungkin sistem tidak bekerja sama seperti ketika sistem diuji. Auditor internal harus selalu berhati>hati dalam mengkondisikan laporan terkait dengan hasil uji kepatuhan 8ang keliru. #i dalam laporan audit harus disebutkan bah;a terdapat resiko hasil 8ang salah karena pengujian 8ang terbatas. 6adang>kadang aspek pengendalian 8ang telah diuji tidak membuahkan hasil karena auditor internal tidak dapat memahami aspek dari aplikasi. Maka Maka dari itu intern internal al audior audior harus harus meninj meninjau au deskrip deskripsi si dari dari aplika aplikasi si tersebut dan pengendaliann8a dengan memastikan ulang pada sta7 TI dan user. 2erdasarkan tinjauan tersebut ada kemungkinan bah;a pemahaman pengendalian aplikasi harus direisi dan kemudian melakukan kembali prosedur penilaian resiko audit.

40


Jika Jika

aud auditor itor

inte intern rnal al

men menemu emukan kan

bah; bah;aa

melal elalui ui

uji

kep kepatuh atuhan an

pengendalian aplikasi tidak bekerja maka auditor internal harus melaporkan temuan ini. %i7at laporan ini sangat tergantung dari tingkat keparahan dari kelemahan pengendalian dan jenis dari pengujian. %ebagai ?ontoh jika aplikasi sedang ditinjau atas permintaan dari auditor eksternal maka jika dideteksi dideteksi bah;a ada kelemahan dalam pengendalian pengendalian maka hal ini dapat dapat dijadi dijadikan kan sebagai sebagai pen?eg pen?egaha ahan n atas keper? keper?a8a a8aan an pada pada hasil hasil keuangan keuangan 8ang dihasilka dihasilkan n dari aplikasi tersebut. tersebut. Jika kelemahan kelemahan pada pengendalian pengendalian terutama terkait e7isiensi atau operasional auditor internal mungkin han8a melaporkann8a kepada manajer TI untuk tindakan korekti7 di masa depan. E2 Application E2 Application Review )*ample+ Client-Server ,u"geting System

#alam ?ontoh ini auditor internal diminta untuk meninjau pengendalian atas atas suat suatu u in-ho in-hous usee clie client nt ser&e ser&err dari architectu architecture re capital capital budgeting budgeting system. system. #epa #epart rtem emen en

pere peren? n?an anaa aan n

keua keuang ngan an

aplik aplikas asian ianali alisa sa penga pengang ngga garan ran mod modal al

tela telah h

meng mengem emba bang ngka kan n

bagi bagian an

dari dari

meng menggu guna naka kan n satu set set spreadsheet.

Mesk Meskip ipun un diba dibang ngun un dala dalam m sebu sebuah ah apli aplika kasi si 8ang ang dibe dibeli li peng penggu guna na tela telah h memasuk memasukan an beberap beberapaa codi coding ng untuk untuk menjala menjalanka nkan n progra program. m. 2agian 2agian workstation system berkomunikasi system berkomunikasi dengan ser&er file 8ang berasal dari sistem mainframe dari mainframe dari penganggaran. Auditor Auditor internal juga telah melakukan melakukan tinjauan atas general control atas jaringan lokal dan clien ser&er operasi operasi komputer dan ditemukan ditemukan bah;a general cont contro roll telah memadai. memadai. Artin8a Artin8a pengguna pengguna telah mendokumen mendokumentasikan tasikan aplikasi aplikasi mereka file mereka file dan programs telah dibackup dibackup pada pada 7ile serer password serer password procedures terbatas pada personil 8ang ber;enang dan prosedur pengendalian lainn8a telah diikuti dengan baik. baik. Auditor juga telah merekomendasikan untuk menempatkan pengendalian 8ang kuat atas akses telekomunikasi

ke jaringan lokal dan

menginstal prosedur untuk anti irus.

41


%ete etelah

dilakukann ann8a

peninjau jauan

atas

general

control

sistem

penganggaran modal diimplementasikan pada jaringan kantor administrasi. 6arena 6arena sistem ini memberikan masukan langsung ke sistem penganggaran perusahaan manajemen telah meminta audit internal untuk meninjau kontrol aplikasi. 3ertama>tama auditor internal membangun tujuan dari peninjauan 8aitu : •

Spre Spread adsh sheet eet pada capi capita tall budg budget etin ing g system system harus memiliki memiliki pengendalia pengendalian n internal akuntansi 8ang baik.

•

Aplika Aplikasi si harus harus membua membuatt keputu keputusan san tentan tentang g capital capital budgeting budgeting 8ang benar berdasarkan parameter input pada sistem dan rumus makro 8ang telah deprogram

•

%istem %istem tersebu tersebutt harus harus memberi memberikan kan masuka masukan n 8ang 8ang akurat akurat kepada kepada anggar anggaran an pusat atau perusahaan sistem penganggaran perusahaan melalui 7ile serer lokal.

•

%istem penganggaran modal harus mendorong e7isiensi dalam departemen peren?anaan keuangan.

! # Reviewing Capital ,u"geting ,u"geting System System Documentation

angka angkah h pertam pertamaa adalah adalah intern internal al audito auditorr harus harus meninj meninjau au dokum dokument entasi asi 8ang 8ang tersedi tersediaa untuk untuk aplika aplikasi si ini. ini. 2eberap 2eberapaa dokume dokumenta ntasi si 8ang 8ang diperlu diperlukan kan audito auditor r meliputi : a= #okume #okumenta ntasi si untuk untuk paket perangk perangkat at lunak pengang penganggara garan n modal modal termasuk spreadsheet termasuk spreadsheet prosedur prosedur makro dan 7ormula. b= 3rosedur untuk meng>upload data anggaran modal ke aplikasi sistem penganggaran pusat melalui 7ile serer jaringan serta prosedur untuk menerima input data ke 7ungsi main7rame IT. ?= 3rosed 3rosedur ur untuk untuk memasti memastikan kan integ integrita ritass keseluru keseluruhan han data data pada pada file ser&er. Interna Internall audito auditorr harus harus mendap mendapatka atkan n okumen okumentasi tasi 8ang 8ang men?akup men?akup produk produk perangkat perangkat lunak 8ang digunakan digunakan antarmuka dengan aplikasi lain dan prosedur manual 8ang diperlukan.

42


Tujuan Tujuan dari dari peninj peninjaua auan n dokume dokumentas ntasii pada pada aplika aplikasi si ini adalah adalah untuk untuk mengetahui apakah dokumentasi lengkap dan untuk mendapatkan pemahaman 8ang 8ang umum umum dari dari apli aplika kasi si se?ara se?ara kesel keselur uruh uhan an.. 6emud 6emudian ian setel setelah ah meni meninj njau au dokume dokumentas ntasii ini dan mendisk mendiskusi usikan kann8 n8aa dengan dengan user user
ters terseb ebut ut

meng menggu guna naka kan n

diag diagra ram m

alur alur

< flowchart( flowchart( meskirun

keterangan tertulis mungkinlebih memadai. Tujuan dari menggunakan diagram alur alur ini ini adal adalah ah mem memberi berika kan n doku dokume ment ntas asii pada pada kert kertas as kerj kerjaa audi audito torr dan dan memberikan dasar dalam megidenti7ikasi titik pengendalian 8ang signi7ikan. *2 I"entifying *2 I"entifying Capital ,u"geting Application ey Controls

Mesk Meskip ipun un apli aplika kasi si ini ini sede sederh rhana ana namu namun n apli aplika kasi si terseb tersebut ut memi memili liki ki beberapa titik kritis. %ebagai ?ontoh ? ontoh jika spreadsheet prosedur makro 8ang salah menghi menghitun tung g capital capital costs present present &alues &alues dan 7aktor terkait manajemen akan mengambil tindakan 8ang salah mengenai keputusan inestasi. Jika data 8ang dikirimkan ke mainframe penganggaran mainframe penganggaran salah ?atatan atas laporan keuangan akan salah juga. Jika aplikasi tidak didokumentasikan dengan benar adan8a perubahan key user user di departe departemen men peren? peren?anaa anaan n keuang keuangan an maka maka dapat dapat membua membuatt sistem sistem n8aris tidak dapat beroperasi. 2erdasarkan 2erdasarkan pemahaman pemahaman audit internal internal dari ?ontoh ?ontoh sistem ini key system contro controll sekarang dide7inisikan dan didokumentasikan. 6arena auditor internal baru melakukan tinjauan atas general atas general control maka tidak perlu mengulas kembali control selama application re&iew. 2erikut ini adalah prosedur pemeriksaan audit 8ang dikembangkan :

43


"2 erforming "2 erforming Application Tests of Compliance

ang angka kah h tera terakh khir ir dari dari peni peninj njau auan an ini ini adal adalah ah audi audito torr inte intern rnal al haru haruss melakukan pengujian dengan prosedur 8ang ditetapkan. !ontrol 8ang 8ang diujikan di dalam dalam tahap tahap ini tergan tergantun tung g pada pada manajem manajemen en dan kepent kepenting ingan an intern internal al audit audit
%eperformance of computations. 3roses penganggaran penganggaran modal modal didasarkan didasarkan pada beberapa beberapa perhitunga perhitungan n 8ang sangat spesi7ik seperti estimasi nilai kini arus kas masa depan berdasarkan 7aktor diskon. Menggunakan alat spreadsheet lain atau bahkan kalkulator meja audit internal bisa memilih salah satu atau beberapa perhitungan nilai 44


sekar sekaran ang g 8ang 8ang diha dihasil silka kan n oleh oleh sist sistem em dan dan meng menghi hitu tung ng ulan ulang g untu untuk k menentukanke;ajaran proses sistem. Jika ada perbedaan harus diselesaikan. •

!omparison of transactions. transactions . Audit Audit intern internal al dapat dapat memilih memilih beberapa beberapa set aplikas aplikasii budget budget schedules schedules dan melakukan pela?akan melalui sistem anggaran anggaran 7ile serer untuk menentukan bah;a budget schedules telah schedules telah dikirimkan dengan benar.

•

$roper appro&al appro&al of transactions. %ebelu %ebelum m hasil hasil dari dari sistem sistem budget budget schedule schedule dikirimkan ke sistem anggaran pusat sistem tersebut harus memiliki manag manageme ement nt appro appro&al &al 8ang tepat. Internal audit harus mengambil sampel dari salah satu pengiriman tersebut untuk diteliti.

%etelah melakukan serangkaian prosedur 8ang ada sebaikn8a hasil audit dilaporkan kepada manajemen supa8a dapat membuat tindakan perbaikan. -2 Au"iting Applications Applications un"er Development

2an8ak internal Auditor merasa lebih e7isien bila melakukan reie; pada saat suatu aplikasi sedang dikembangkan jika dibandingkan dengan aplikasi 8ang sudah jadi. 3ada posisi ini Internal Internal Auditor Auditor bekerja sebagai pemberi saran untuk untuk meningkatk meningkatkan an pengendalia pengendalian n s8stem s8stem bukan sebagai pembangun pembangun s8stem s 8stem.. %aran tersebut merupakan hasil anal8sis atas kelemahan>kelemahan 8ang ditemukan dan diberikan dalam bentuk rekomendasi. . !2 !b'ectives !2 !b'ectives an" !bstacles of reimplementation Au"iting

Terdapat beberapa hambatan pada saat internal auditor melakukan reie; atas suatu aplikasi IT 8ang sedang dibangun : a( Them Them &ers &ersus us us us attit attitud udes es 3ada saat internal auditor men?oba membantu memberikan masukan IT management terkadang suka merasa hati>hati atau timbul keben?ian karena akan menambah pekerjaan dalam bentuk dokumen>dokumen 8ang lebih mendetail. b( Interna Internall Audit Auditor or role role prob problems lems 3eran internal auditor harus dipahami oleh semua pihak : 45


•

•

•

*0tra member of the implementation team Specialied consultant Internal controls e0pert

•

2ccupant of the e0tra chair

•

State of the art awareness needs

•

Many and &aried preimplmentation preimplmentation candidates

*2 reimplementation *2 reimplementation Review !b'ectives

Internal auditor perlu mengidenti7ikasi dan memberikan rekomendasi atas pengendalian 8ang ada dalam suatu aplikasi 8ang sedang dibuat dalam bentuk hal> hal apa saja 8ang sekiran8a perlu diinstal. diinstal. #alam beberap beberap Negara Negara peran internal auditor dalam pembangunan suatu aplikasi IT tern8ata memang di;ajibkan. "2 reimplementation "2 reimplementation Review roblem

#alam penerapan reie; 8ang dilakukan oleh internal auditor belum tentu hasil 8ang ditentukan dapat diterima atau sesuai dengan kebutuhan pengguna. 4ntuk mengurangi kesulitan dalam men8amakan hal tersebut internal audit perlu memperhatikan hal>hal berikut : •

Selecting the right application to re&iew

•

6etermining the proper proper auditor4s role

•

%e&iew objecti&es can be difficult to define

%2 reimplementation %2 reimplementation Review roce"ures

1eiu 1eiu dilaku dilakukan kan oleh oleh intern internal al audito auditorr dalam dalam setiap setiap 7ase 8akni 8akni inisias inisiasii projek mende7inisikan kebutuhan pengembangan per?obaan dan terakhir implme implmenta ntasi. si. %tep %tep pentin penting g 8ang 8ang ;ajib ;ajib dilaku dilakukan kan oleh oleh interna internall audito auditorr 8akni 8akni men8 men8am ampa paik ikan an ren? ren?an anaa prog program ram audi auditt kepa kepada da IT manj manjem emen en sehi sehing ngga ga ada ada pemahaman atas apa 8ang diharapkan dari internal audit berdasarkan pendekatan reie; 8ang dijalankan. a(

Appl Applic icat atio ion n %e+u %e+uir ireement ment 6efi 6efini niti tion on 2bje 2bject cti& i&es es Internal auditor perlu mereie; kebutuhan>kebutuhan dalam bentuk detail apa saja 8ang dibutuhkan dalam pembangunan aplikasi dengan begitu

46


apabila internal auditor dapat mengidenti7ikasi pengendalian pada reie; terse tersebu but t akan akan lebi lebih h memud memudah ahka kan n bagi bagi peng pengem emban bang g prog progra ram m untu untuk k men8esuaikan masukan 8ang diterima. b(

6eta 6etail iled ed 6esi 6esign gn And And $ro $rogr gram am 6e&e 6e&elo lopm pmen entt 2bj 2bjec ecti ti&e &ess 0ase ini merupakan 7ase 8ang paling lama dalam pembuatan suatu aplikasi dan biasan8a internal auditor menginginkan jad;al untuk melakukan reiu se?ara bertahap. 2eberapa perusahaan IT terkadang menggunakan internal auditor untuk memastikan 7ungsi dari projek 8ang di?iptakann8a sudah sesuai. %ehingga suatu audit keseluruhan dapat diminimalisir apabila sejak a;al internal auditor sudah membantu memberikan saran atas perbaikan 8ang dalam aplikasi tersebut.

c(

Appl Applic icat atio ion n Testin sting g and and Impl Implem emen enta tati tion on 2bje 2bject cti& i&es es 3ada 7ase ini biasan8a terdiri dari per?obaan aplikasi baru melengkapi dokumen pelatihan pengguna dan pemindahan data.Internal auditor biasa memastikan apakah aplikasi sudah berjalan sesuai dengan 8ang diharapkan dan dan

mela melaku kuka kan n

peng penguj ujia iann nn8 8a.

%ela %elanj njut utn8 n8aa

inte intern rnal al

audi audito torr

akan akan

men8iapkan laporan dalam bentuk dokumen>dokumen untuk pengendalian signi7ikan 8ang teridenti7ikasi laporan tersebut dapat berupa rekomendasi bukan implementasi 8ang di;ajibkan. d(

$ost $ostim impl plem emen enta tati tion on re&i re&iew ew 2bje 2bject cti& i&ee and and %epo %eport rtss 3ada saat aplikasi sudah berjalan reie; juga tetap perlu dilaksanakan. 3engguna

sebagai

pihak

8ang

paling

memahami

tentu

saja

akanme akanmemb mberik erikan an masuka masukan>m n>masuk asukan an baru baru terhad terhadap ap s8stem s8stem 8ang 8ang sudah sudah berjalan. %elain itu internal audit juga biasan8a melakukan reie; kembali namun dengan sta77 8ang berbeda untuk melakukan pengujian dari perspekti7 indiidu lain. 4ntuk laporan biasan8a internal audit sudah memiliki 7ormat baku dalam pembuatann8a. 1eport dibuat oleh internal auditor dan disetujui oleh pihak 8ang diaudit dan diberikan kepada pihak> pihak 8ang ber;enang.

02 Importance 02 Importance of Reviewing IT Application Controls Controls

47


Tinjau njauan an ters terseb ebut ut akan akan memb member erik ikan an ke8 ke8akin akinan an

< assurance= assurance=

pada

manajemen manajemen bah;a aplikasi telah beroperasi beroperasi dengan benar dan untuk manajemen TI memastikan bah;a desain dan standar pengendalian 8ang telah mereka buat dapat apat

dite ditera rap pkan kan

8ang ang

memun emung gkin kinkan

merek erekaa

untu ntuk

menem enempa patk tkan an

ketergantungan lebih besar pada hasil output dari aplikasi tersebut.

48


15;ersecurit5 and +ri4ac5 1ontrols Teknologi sudah menjadi suatu aspek 8ang krusial di dalam perusahaan dalam mendukung mendukung proses bisnis dan me;ujudkan me;ujudkan e7isiensi. Galaupun alaupun datang dengan berbagai kemudahan 8ang dita;arkan bukan berarti teknologi ada tanpa adan8a risiko. %alah satu risiko utama 8ang meliputi perkembangan teknologi adalah risiko keamanan data. #alam melakukan reiu 8ang menggunakan dasar sistem TI auditor minimal perlu memahami pengendalian internal se?ara general dan resiko>resiko 8ang berkaitan dengan hal tersebut. %elain itu auditor internal perlu memiliki proteksi atau pengamanan atas audit prosedur 8ang sudah dijalankann8 dijalankann8a. a. 6arena data>data atau dokumen dokumen 8ang dimiliki atas prosedur prosedur 8ang sudah sudah diaudi diauditt tersebu tersebutt juga juga si7an8 si7an8aa rahasia rahasia.. 2erbed 2erbedaa dengan dengan di masa lampau lampau dimana pen?urian 8ang dilakukan berupa pen?urian 7isik saat ini pen?urian lebih bersi7at logical dimana pelaku men?oba mendapatkan akses untuk mengambil in7ormasi penting 8ang tidak seharusn8a dapat diakses se?ara sembarangan. A2 IT A2 IT .etwor%s Security Security Fun"amentals Fun"amentals

%uatu jaringan perlu memiliki kemanan 8ang men?ukupi agar tidak terjadi hal>hal 8ang tidak diinginkan. #alam hal ini internal auditor perlu menetapkan prosedur pengamanan TI apa 8ang men?ukupi untuk untuk mengamankan suatu jaringan tersebut. Minimn8a prosedur pengendalian internal 8ang ada pada suatu sistem TI dapat mengakibatkan hambatan beberapa hal 8akni : •

Interruptions

Terjadi saat sistem tidak dapat diakses tak bekerja dan hilang akibat adan8a perusakan pen?urian atau penggunaan 8ang salah. •

Interceptions

3ihak luar dapat mengakses aset teknologi in7ormasi. •

Modification

3ihak 8ang tidak ber;enang ber;enang memiliki memiliki kemampuan kemampuan untuk untuk merubah merubah data program maupun komponen komponen perangkat keras. •

,abrication

Terjadi rjadi saat saat piha pihak k 8ang 8ang tak tak ber; ber;en enan ang g dapa dapatt mema memasu sukk kkan an data data atau atau in7ormasi 7ikti7 ke dalam sistem.

49


%emua hambatan diatas dapat terjadi dalam lingkungan internet hubungan telekom telekomuni unikas kasi i databa database se $13 dan perang perangkat kat ?omput ?omputer er 8ang 8ang paling paling ?anggi ?anggih h hingga hingga 8ang sederhana. sederhana. 9leh karena itu auditor auditor internal perlu men8adari men8adari dengan adan adan8 8a

peru peruba baha han n

tekn teknol olog ogii

8ang ang

terj terjad adii

dili diling ngku kung ngan an

seha sehari ri>h >har arii

dan dan

menetapkan hambatan apa saja 8ang dapat mun?ul se?ara signi7ikan. Auditor internal mungkin tidak memiliki kemampuan dan pengetahuan 8ang komprehensi7 terkait keamanan sistem maupun teknologi in7ormasi se?ara keseluruhan keseluruhan karena bidang ilmu ini memiliki memiliki kerumitan tersendiri. tersendiri. -al ini dapat menghambat auditor internal dalam melakukan penilaian dan rekomendasi terkait risiko 8ang meliputi teknologi in7ormasi. Namun auditor seharusn8a memiliki pengertian terkait konsep dasar terkait keamanan. !2 Security !2 Security of Data Data

%alah satu 8ang dapat kita lakukan dalam keamanan suatu jaringan 8aitu bisa dengan mengendalikan suatu akses 8ang bisa kita lakukan dalam suatu jaringan. #engan mengendalikan akses 8ang dilakukan pada setiap sumber jaringan dan dengan melakukan pengontrolan akses 8ang dapat dilaku dilakukan kan oleh kita. kita. 9leh 9leh karena karena itu kita kita harus harus menget mengetahu ahuii apa saja prinsip>prinsip 8ang ada dalam keamanan jaringan mulai dari integrity confidentiality dan a&ailability. dan a&ailability. 3rinsip keamanan jaringan: a= 6erah erahas asia iaan an
50


*2 Importance *2 Importance of IT asswor"

4ntuk melakukan akses terhadap suatu aplikasi atau bagian dari s8stem TI sangatlah sangatlah penting penting sekali untuk menerapkan menerapkan 3ass;ord untuk melind melindung ungii dari dari orang> orang>ora orang ng 8ang 8ang tidak tidak memilik memilikii akses akses didalam didalamn8a n8a.. 2erikut ini merupakan ?riteria 8ang baik dalam penerapan suatu pass;ord: a= 3ass 3ass;o ;ord rd adal adalah ah tang tanggu gung ng ja;a ja;ab b peng penggu guna na untu untuk k men? men?ip ipta taka kan n pass;ord tetapi peraturan administrasi harus dibuat untuk membuat pihak lain tidak mudah menebusn8a. ontohn8a. 3engendalian dan panduan harus dibuat untuk men?egah kar8a;an menggunakan tanggal lahir dan nama panggilan sebagai pass;ord. b= 3ass;ord harus disusun sedemikian rupa supa8a tidak mudah untuk ditebak.

ontohn8a

perat raturan ran

8ang ang

mens8 ens8ar araatkan

untuk

men?ampurkan kata dan angka didalam sebuah pass;ord. ?= Adan8a Adan8a pers8aratan pers8aratan untuk mengganti mengganti pass;ord pass;ord se?ara berkala. berkala. d= #ala #alam m pros proses es inde indent nti7 i7ik ikasi asi pass; pass;or ord d jika jika terda terdapa patt bebe bebera rapa pa kali kali kesalahan dalam memasukkan pass;ord s8stem harus menolak akses dan meminta pengguna untuk merubah pass;ord e= 3ass;ord 3ass;ord 8ang 8ang dibuat dibuat jangan jangan terlalu terlalu komple kompleks ks dan susah diingat diingat..

51


3ada 3ada suatu suatu aplika aplikasi si 8ang 8ang memilik memilikii tingka tingkatt prias priasii 8ang 8ang tinggi tinggi bahkan pass;ord dapat dibuat dalam bentuk 7inger print atau e8e pupil s?anner agar lebih unik dan tidak dapat ditiru. 3ada hal ini internal auditor perlu mengealuasi apakah penerapan standar penggunaan pass;ord pass;ord sudah dilakukan dengan baik pada suatu aplikasi. "2 /iruses "2 /iruses an" Malicious rogram Co"e

Hirus>irus men8ebabkan kerusakan dan kerugian 7inansial 8ang tidak sedikit. %eperti an?aman kelemahan kelemahan lainn8a kerugian ini dirasakan dirasakan baik oleh perusahaan perusahaa n besar maupun ke?il. Jika tidak ingin kehilangan data karena irus maka harus melaksanakan tinjauan rutin memasang pat?h dan meng>update tanda>tanda kelemahan. 3erli 3erlind ndun unga gan n 8ang 8ang terba terbaik ik adal adalah ah kebi kebijak jakan an pros prosed edur ur serta serta tekn teknol olog ogi. i. 6ar8 6ar8a;a a;an n haru haruss dibe diberi rika kan n inst instru ruks ksii 8ang 8ang tegas tegas peri periha hall penerimaan e>mail 8ang men?urigakan dan apa 8ang mereka harus laku lakuka kan n jika jika terin terin7ek 7eksi. si. 6ala 6alau u hal hal itu diras dirasaa kuran kurang g e7ekt e7ekti7 i7 maka maka membutuhka membutuhkan n sebuah manajemen 8ang dapat menjamin menjamin konsistensi konsistensi di seluruh seluruh aspek bisnis termasuk termasuk didalamn8 didalamn8aa upa8a upa8a pen?egahan pen?egahan terhadap serangan irus. #alam kondisi ini internal auditor perlu memberikan saran bentuk anti irus apa 8ang sepatutn8a digunakan untuk menjaga setiap data 8ang dimiliki oleh suatu perusahaan.

52


%2 &ising %2 &ising an" ot&er I"entify T&reats

3hising adalah tindakan memperoleh in7ormasi pribadi seperti 4ser I# 3IN nomor rekening bank nomor kartu kredit Anda se?ara tidak sah. In7orm In7ormasi asi ini kemudi kemudian an akan akan diman7a diman7aatka atkan n oleh oleh pihak pihak penipu penipu untuk untuk mengak mengakses ses rekeni rekening ng melaku melakukan kan penipu penipuan an kartu kartu kredit kredit atau memand memandu u nasaba nasabah h untuk untuk melaku melakukan kan trans7er trans7er ke rekenin rekening g tertent tertentu u dengan dengan iming> iming> iming hadiah. 3ha&ing adalah an?aman otentikasi terkait penjahat dapat mengirim 7aks kepada pelanggan suatu perusahaan meminta mereka untuk login ke Internet dan meminta mereka untuk mengirim kembali alamat 41 internet internet mereka. mereka. Hersi 8ang 8ang terkai terkaitt dengan dengan 7a& disebu disebutt disebu disebutt Fpha&ing.F

)2 IT )2 IT System firewall

0ire;all adalah sebuah sistem atau perangkat 8ang mengiCinkan lalu lintas jaringan jaringan 8ang dianggap dianggap aman untuk untuk melaluin8a melaluin8a dan men?egah men?egah lalu lalu lint lintas as jari jaring ngan an 8ang ang tida tidak k aman aman.. 4mum 4mumn8 n8a a sebu sebuah ah 7ire 7ire;a ;all ll diimplementasikan dalam sebuah mesin terdedikasi 8ang berjalan pada pintu gerbang < gateway= antaraa jarin jaringa gan n lokal lokal dan dan jarin jaringa gan n lain lainn8 n8a. a. gateway= antar 0ire;all umumn8a juga digunakan untuk mengontrol akses terhadap siapa saja 8ang memiliki akses terhadap jaringan pribadi dari pihak luar. %aat ini istilah 7ire;all menjadi istilah generik 8ang merujuk pada sistem 8ang mengatur komunikasi antar dua jaringan 8ang berbeda. Internal auditor perlu mengetahui lokasi dan 7ungsi dari 7ire;all 8ang digunakan. %elanj %elanjutn utn8a 8a apakah apakah 7ire;a 7ire;all ll terseb tersebut ut masih masih relea relean n untuk untuk diguna digunakan kan

53


dengan hambatan>hambatan 8ang ada. Terakhir internal auditor juga perlu melihat laporan 8ang dihasilkan oleh 7ire;all tersebut atas pelanggaran> pelanggaran 8ang ada. $2 !t&er $2 !t&er Computer Security issues

Jaringa Jaringan n IT saat ini harus harus beruru berurusan san dengan dengan ban8a ban8ak k an?aman an?aman keamanan dan kode berbaha8a. Metode mengatasi termasuk pass;ord dan 7ire;all ditambah kontrol akses rumit kebutuhan untuk menggunakan enkripsi enkripsi ketika transmisi data keamanan keamanan bertingkat bertingkat dalam administrasi administrasi database dan ban8ak lagi. #ari perspekti7 audit internal beberapa masalah keaman keamanan an komput komputer er 8ang 8ang paling paling pentin penting g 7okus 7okus pada pada kebutu kebutuhan han untuk untuk membangun dukungan manajemen 8ang kuat untuk program keamanan IT di temp tempat at dan dan untu untuk k prog progra ram m pend pendid idik ikan an pema pemang ngku ku kepe kepent ntin inga gan n kesel keselur uruh uhan an untu untuk k meng mengesa esank nkan an semua semua oran orang g IT jarin jaringa gan n an?am an?aman an keamanan dan kerentanan.

,2 IT ,2 IT Systems rivacy Controls

3riasi adalah suatu in7ormasi 8ang rahasia atau han8a dapat diketahui oleh kalangan terbatas. #an apabila hal tersebut diketahui oleh pihak lain dapat terjadi suatu hal>hal 8ang tidak diingingankan. 7. 6ata 6ata $rofil $rofiling ing $ri&ac $ri&acyy Issu Issues es %uatu %uatu perusah perusahaan aan atau entita entitass 8ang 8ang biasan8 biasan8aa mendap mendapatk atkan an databa database se pelanggan terkadang dapat melalui pelanggan langsung ataupun pihak lain. #alam #alam hal ini ini perusah perusahaan aan perlu perlu menjag menjagaa databas databasee tersebu tersebutt agar agar tidak tidak terse terseba barr kare karena na hal hal terse tersebu butt meru merupa paka kan n nilai nilai pri priasi asi dari dari pela pelang ngga gan n tersebut. 8. 2nline 2nline $ri&a $ri&acy cy and and *-!om *-!ommer merce ce Issue Issuess #alam #alam setiap setiap akti7it akti7itas as pelang pelanggan gan 8ang 8ang dilakuk dilakukan an dalam dalam suatu suatu ;ebsit ;ebsitee biasan8a ter?atat identitas ?omputer dari pelanggan tersebut 8ang disebut dengan ?ookies. ookies merupakan data 7ile 8ang ditulis kedalam hard disk ?omputer oleh ;eb serer 8ang digunakan untuk mengidenti7ikasi

54


user pada situs tersebut situs itu akan dapat mengenalin8a. Jadi dapat dikatakan ?ookies adalah I# ?ard user saat koneksi pada situs. -al tersebut merupakan database 8ang dimiliki oleh perusahan>perusahaan. 9. %adio %adio ,re+ ,re+uen uency cy Identi Identifica ficatio tion n 3enggu 3enggunaa naan n 1adio 1adio 0reBue 0reBuen?8 n?8 I# <10I#= <10I#= dalam dalam berbag berbagai ai ma?am ma?am hal akti7itas akti7itas 8ang dilakukan dilakukan oleh perusahaan baik dengan dengan pelanggan pelanggan ataupun kar8a;ann8a nerupakan suatu hal 8ang perlu memilki priasi didalamn8a. 6arena hal tersebut merupakan suatu hal 8ang memiliki keunikan dalam arti berbeda satu sama lain 10I# tersebut sudah memiliki data personal atas pemilikn8a masing>masing. 12 Au"iting 12 Au"iting IT Security an" rivacy

Terdapat beberapa pertan8aan umum 8ang biasa dilemparkan oleh internal auditor pada saat melakukan reie; atas IT %e?urit8 and 3ria?8 8akni : •

an 8ou gie me a diagram o7 8our IT Net;ork here sho;ing all internal and e&ternal ?onne?tions ;ithin the net;orkK

•

-ae 8ou installed 7ire;alls 7or the net;ork and di the8 prote?t all a??ess pointsK

•

Is ther an8 ;a8 that dei?es on the net;ork ?an ?ommuni?ate to other dei?es su?h as a dila>up line through a modem and b8pass the 7ire;all barrierK

•

$t?. 2iasan8a 2iasan8a 8ang akan menjadi poin utama dalam reie; bagian ini adalah adalah

bagaimana 7ire;all sudah bekerja dengan baik dalam melakukan pengendalian internal dan meminimalisir setiap kemungkinan resio>resiko 8ang dapat terjadi. %elain itu internal audit juga meastikan pria?8 8ang dimiliki setiap data/7ile dapat terjaga dengan baik

D2 Security D2 Security an" rivacy rivacy in t&e Interal Interal Au"it Au"it Department

%ekaran %ekarang g ini penger pengerjaan jaan sebuah sebuah ;orkin ;orking g paper paper sudah sudah mengg mengguna unakan kan internal based jarang 8ang masih menggunakan paper based. 9leh karena itu data>data data>data 8ang dimiliki dari hasil setiap reie; audit 8ang dilakukan dilakukan harus dapat

55


dikumpulkan dan dikelola dengan baik berdasarkan dengan pihak>pihak mana saja 8ang berhak mengaksesn8a. 0# Secu Security rity an" Control Control for Au"itor Au"itor Computers Computers

%etiap internal auditor biasan8a kini sudah memiliki laptop masing>masing dalam dalam menjala menjalanka nkan n akti7it akti7itasn8 asn8a. a. #idalam #idalam laptop laptop tersebu tersebutt tentu tentu saja berisikan data>data audit 8ang dilakukann8a pada setiap pengerjaan 8ang tent tentu u saja saja memil emilik ikii si7a si7att raha rahasi siaa dan tid tidak sem semua pihak ihak dapat apat mengetahuin8a. 2erikut ini hal>hal teknis 8ang perlu diketahui internal auditor dalam melindungi laptopn8a : a( Auditor Auditor personal personal responsib responsibility ility for for auditors auditors laptop laptop Interna Internall audito auditorr tentu tentu saja bertan bertanggu ggung ng ja;ab ja;ab masing masing>mas >masing ing atas laptop tersebut sehingga diharapkan mereka dapat menjagan8a dengan baik b( ,ile ,ile back backup up pro proce cedu dure re 0ile 0ile>7i >7ile le juga juga biasa biasan8 n8aa disi disimp mpan an dalam dalam suat suatu u sere sererr agar agar dapat dapat terkelola dengan baik jika se;aktu>;aktu dibutuhkan. c( $hysic $hysical al locks locks and and mechan mechanism ismss aptop juga perlu diberikan pengamanan dalam bentuk tas 8ang aman dan penggunaan pass;ord dalam akses masuk ke komptern8a. d( Anti& Anti&iru iruss and oth other er tool toolss 4ntuk 4ntuk menhin menhindar darii irus irus sebaik sebaikn8 n8aa laptop laptop menggu menggunak nakan an antii antiirus rus 8ang 8ang selalu selalu diupda diupdate te dan ditamb ditambahk ahkan an aplikas aplikasi>ap i>aplika likasi si penunj penunjang ang untuk melindungi latop tersebut. 1# $or%pa r%pape perr Secu Securi rity ty

%eperti %eperti 8ang 8ang sudah sudah dijela dijelakan kan sebelu sebelumn8 mn8a a dengan dengan mekani mekanisme sme ;orkin ;orking g paper paper 8ang 8ang sudah sudah menggu menggunak nakan an intern internet et based based maka maka perlu perlu dite ditera rapk pkan an peng pengam aman anan an atas atas data data ters terseb ebut ut kare karena na ;ork ;orkin ing g pape paper r merupakan dasar a;al pembuatan laporan. 2# Au Au"i "itt repor reports ts an" an" pri priva vacy cy

aporan audit juga perlu diamankanm sebelum dapat dismapaikan kepada pihak>pihak 8ang bersangkutan. 3# Internal Internal au"it au"it securi security ty an" privac privacyy stan"ar" stan"ar" an" trainin training g

56


%eba %ebaik ikn8 n8aa dalam dalam satu satu depa departm rtmen entt inter interna nall audi auditt dite diterp rpak akan an mekanisme pengamanan data. 6arena ;alau mereka sudah men?oba untuk menerapkan menerapkan pengamanan pengamanan tersebut tersebut pada setiap diisi atau departemen departemen lain 8ang direie;n8a direie;n8a jika mareka sendiri tidak menerapkann8 menerapkann8aa dengan dengan baik mereka tidak dapat menjadi ?ontoh untuk pihak>oihak 8ang lain.

57


,A, " KESIM+U/AN

3ada 3ada maka makala lah h ini ini diba dibaha hass meng mengen enai ai IT general control dan perspekti7 perspekti7 auditor auditor internal 8aitu berdasarkan berdasarkan information technology infrastructure library risiko 8ang berkaitan dengan hal tersebut. tersebut. 6emudian dapat mengatasi mengatasi berbagai masalah keamanan keamanan sistem IT 8ang dpat merugikan organisasi.

58


DA-TAR +USTAKA

a;ren?e 2. %a;8er L len $. %umners Sawyer4s Internal Audit ;th ; th edition The Institute o7 Internal Auditors !!'

Moeller 1obert 1 2rinkEs Modern 2rinkEs Modern Internal Auditing  !!+ $disi , John Gile8 L %ons In? -oboken Ne; Jerse8

59


Audit Internal - Impact of IT on Internal Audit

Recommend Documents