IMPACT IMPACT OF IT ON INTERNAL I NTERNAL AUDIT AUDIT Makalah Kelompok 4
Disusun Oleh : Asti! "ha#ina Dama$anti Di%i Fauk Ashshi!i% Phein!a Eka Puti Tia&t$ Resti Rama!hani T$ T $ "etia'an Puta (u!ika (u!ika "etia'an
PRO)RAM "TUDI EK"TEN"I AKUNTAN"I FAKULT FAKULTA" A" EKONOM E KONOMII UNI*ER"ITA" INDONE"IA +,-.
"tatement o/ Authoship
“Kami yang bertandatangan dibawah ini menyatakan bahwa makalah/tugas terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang kami gunakan tanpa menyebutkan sumbernya. Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan dengan jelas menggunakannya. Kami Kami memaham memahamii bahwa bahwa tugas tugas yang kami kumpul kumpulkan kan ini dapat dapat diperb diperbany anyak ak dan atau atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.” Mata Ajaran
: Audit nternal
!udul !udul Makalah Makalah/T /Tuga ugass : Impact of IT on Internal Audit Tanggal
: "# April "$%&
'osen
: (obert )orhas Tobing *.+. M,A.
Anggota
:
Astrid *habrina ' - %#$0%$#
'i1i 2aruk Ashshidi1 - %#$0#%%
)herinda +ka )utri - %#$0&$#$
Tria3ty (esti ( - %#$0&$
Try *etiawan - %#$0&&#
4udika *etiawan - %#$0&&&
0A0 I PENDA1ULUAN
-2- Lata Lata 0elakan3 0elakan3
Teknologi n5ormasi berbasis komputer mempunyai pengaruh yang cukup besar dalam masyarakat modern terutama bagi organisasi perusahaan. *ekarang ini perusahaan dihadapkan dalam lingkungan yang berubah6ubah dan sangat kompetiti5. 7ntuk itu peran teknologi in5ormasi sang sangat atla lah h
pent pentin ing g
bagi bagi peru perusa saha haan an untu untuk k memb memban antu tu dala dalam m perb perbai aika kan n
pros proses es bisn bisnis is
dan pengambilan keputusan. )roses bisnis dan pengambilan keputusan akan lebih baik apabila perusahan menerapkan teknologi in5ormasi dengan baik dan benar8 untuk itu dibutuhkan proses pengendalian intern yang baik terhadap aplikasi6aplikasi teknologi in5ormasi yang ada dalam perusahaan sekaligus melakuk melakukan an proses proses audit audit yang yang berkes berkesina inambu mbunga ngan8 n8 teratu teratur8 r8 dan indepe independen nden terhad terhadap ap sistem sistem in5ormasi in5ormasi yang ada. )ada saat komputer diperkenalka diperkenalkan n kedalam organisasi organisasi bisnis8 bisnis8 risiko6ri risiko6risiko siko baru atau bertambahnya risiko juga akan ditemui. *ebagai *ebagai contoh contoh88 dalam dalam lingkun lingkungan gan pengola pengolahan han kompute komputer8 r8 kesala kesalahan han sejeni sejeniss dapat dapat terulang sampai beribukali dalam satu hari karena adanya konsistensi dan kecepatan yang tinggi dalam pengolahan komputer. !adi8 salah satu risiko baru yang diakibatkan oleh suatu komputer adalah pengulangan kesalahan seperti itu. Auditor harus mempelajari keahlian6keahlian baru untuk bekerja secara e5ekti5 dalam suatu lingkungan bisnis yang dikomputerisasi. Keahlian6 keahlian baru ini menyangkut tiga bidang : %. )emaham )emahaman an konsep konsep kompute komputerr dan desai desain n sistem. sistem. ". Kema Kemamp mpua uan n untu untuk k meng mengid iden enti ti5i 5ika kasi si risi risiko ko6r 6ris isik iko o baru baru atau atau tamb tambah ahan an risi risiko ko dan dan mengetahui pengendalian apa yang e5ekti5 dalam mengurangi risiko6risiko tersebut. #. *uatu *uatu penge pengeta tahu huan an menge mengena naii bagai bagaima mana na mengg mengguna unaka kan n komput komputer er untu untuk k meng mengaud audit it komputer. ni merupakan keahlian6keahlian baru yang diperlukan untuk mere9iew teknologi komputer.
-2+
Rumusan Masalah %. ,agai ,agaima mana na mela melaku kukan kan review risiko review risiko berdasarkan ITIL berdasarkan ITIL ". ,agaimana ,agaimana melakuka melakukan n audit audit terhadap terhadap suatu suatu aplikasi aplikasi #. ,agaim aimana ana melakukan kan review yang yang meng menggun gunak akan an dasa dasarr sist sistem em T pada pada area area
cybersecurity dan cybersecurity dan kebijakan pengamanan
. ,agaimana internal auditor melakukan proteksi atau pengamanan atas audit prosedur yang sudah dijalankannya -2
Tu5uan Penulisan -2 7ntuk mengetahui bagaimana melakukan re9iew risiko berdasarkan ITIL +2 7ntuk mengetahui bagaimana melakukan audit terhadap suatu aplikasi 7ntuk mengetahui bagaimana melakukan review yang menggunakan dasar sistem 2 42
T pada area cybersecurity dan kebijakan pengamanan 7ntuk mengetahui bagaimana internal auditor melakukan
proteksi
atau
pengamanan atas audit prosedur yang sudah dijalankannya -24
Man/aat Penulisan
%. 7ntuk menambah ilmu pengetahuan dan wawasan serta pemahaman teori mengenai dampak teknologi in5ormasi terhadap internal audit ". )enulisan ini diharapkan untuk re5erensi bagi peneliti lanjutan8 yang dapat diteliti lebih lanjut sehingga berguna untuk menambah wawasan ilmu pengetahuan.
0A0 II PEM0A1A"AN
IT General Control and ITIL Best Practices
'alam 3aman sekarang dimana berkembang pesatnya teknologi in5ormasi ;T< dan sistem komputer8 banyaknya aplikasi6aplikasi sebagai 5ungsi kontrol perusahaan seperti buku besar accounting hingga internet8 auditor internal perlu memiliki pengetahuan yang cukup akan teknik pengendalian internal melalui teknologi in5ormasi. Terkadang8 kita berpikir bahwa pengendalian T adalah sebuah proses yang spesi5ik seperti aplikasi Account Payable: pembayaran 5aktur dari sebuah pembelian. *ebenarnya pengendalian T terbagi menjadi dua yaitu proses spesi5ik seperti diatas dan general T controls. Kendala utama dari proses memahami T general controls adalah banyaknya 9ariasi dan perbedaan aplikasi T yang digunakan oleh masing6masing perusahaan. Aplikasi ini dibangun menyesuaikan dengan kebutuhan perusahaan8 sehingga setiap satu perusahaan akan berbeda dengan perusahaan yang lain. 'i dalam chapter ini akan melihat T general controls dan perspektik auditor internal yaitu berdasarkan information technology infrastructure library ;T=<. T= ini merekomendasikan kerangka >best practices? dalam mere9iew risiko pengendalian internal T dan peningkatan e5ekti9itas pengendalian umum T.
Importance of IT General Controls
IT general control harus termasuk semua 5ungsi sistem in5ormasi dan termasuk: Reliability of information system processing )engendalian yang baik diperlukan dalam semua aspek sistem operasi T. )engendalian ini
biasanya tergantung pada >nature? dan manajemen dari ukuran yang spesi5ik dan tipe sistem yang digunakan. Integrity of data Keseluruhan proses tepat di tempat yang seharusnya untuk memastikan tingkatan integritas atas seluruh data yang digunakan dalam program aplikasi. Integrity of programs ,aru atau re9isi program seharusnya dikembangkan dengan pengendalian yang baik untuk
menyediakan hasil proses yang akurat. ntegritas akan pengendalian ini termasuk keseluruhan proses pengembangan atas aplikasi program. Control of the proper developments and implementation of systems )engendalian perlu ditempatkan untuk memastikan pengembangan yang teratur dalam pengembangan baru ataupun re9isi sistem in5ormasi. Continuity of processing
)engendalian perlu ditempatkan dalam sistem back6up dan dalam operasi recovery dalam kejadian kejadian yang tidak biasa.
Client-server and Smaller Systems General IT Control !a" General Controls for Small Business Systems
*istem yang lebih kecil dapat diimplementasikan dalam berbagai cara8 tergantung kon5igurasi sistem dan ukuran dari perusahaan. Auditor internal sebaiknya dapat mengetahui perberdaan6perbedaan dengan perusahan yang besar dan menyusun prosedur internal audit yang pantas untuk mere9iew pengendalian umum. 'alam subbab ini dibahas mengenai pengendalian umum dalam sistem komputer bisnis kecil8 internet dan sistem jaringan8 sistem ser9er8 dll. !i"
Small Business Computer System Control Karakteristik dari sistem komputer pada bisnis kecil adalah diantaranya: "ta// IT $an3 te#atas
'alam perusahaan kecil biasanya memiliki sta5 T yang sedikit. (isiko pengendalian dari perusahan kecil adalah ketika mereka masih menggunakan jasa pihak ketiga dalam mengelola sistem T nya8 sehingga ada resiko pada keamaan data6data penting perusahaan. Kapa#ilitas po3amin3 $an3 te#atas
Tipikal dalam perusahaan kecil dalam menerapkan sistem komputernya adalah membeli paket software dan perusahaan hanya memperbaharui paket sistem tersebut dan melakukan pemeliharaan sistem.
Pen3en!alian Lin3kun3an $an3 te#atas
Tidak memerlukan perlindungan lingkungan yang khusus. Pen3en!alian keamanaan /isik $an3 te#atas
Tingkatan kekhawatiran auditor dalam pengendalian 5isik T tergantung pada aplikasi yang di proses. nternal audit akan merekomedasikan peningkatan keamanan jika suatu aplikasi sedang dalam tahap pengembangan yang membutuhkan proteksi yang lebih. *elebihnya8 tidak perlu ada keamanan 5isik yang signi5ikan.
Pen3en!alian 5ain3an telekomunikasi
'alam lingkup bisnis yang kecil tidak memerlukan pengendalian dan kebijakan dalam pengendalian jaringan telekomunikasi. !ii"
Client Server Computer System
'alam jaringan lokal8 setiap workstation adalah klien. )rosesor yang terpusat yang dimana bisa men6share 5ile dan sumber6sumber lainnya8 disebut ser9er. !iii"
#on-Business Speciali$ed Processor Computer System 'i dalam dunia bisnis sekarang ini8 banyak sistem6sistem lain yang digunakan
selain dalam operasional T seperti penelitian insinyur8 pengendalian operasi manu5aktur8 pemasaran8 dll. *istem6sistem ini sudah spesi5ik dikhususkan untuk area6area tertentu. @ontohnya8 computer-aided design ;@A'<. *ebelum memulai re9iew atas T yang khusus ini8 auditor internal perlu memahami pengetahuan yang cukup dalam atas seluruh 5ungsi operasional. (e9iew atas T yang terspesialisasi ini tidak disarankan bagi auditor internal yang kurang berpengalaman. !b" Smaller System IT %perations Internal Control *eperti dibahas sebelumnya8 auditor internal biasanya memeriksa pemisahan pekerjaan dalam prosedur awal e9aluasi IT general control . Tetapi pemisahan tugas ini terkadang sulit jika diimplementasikan dalam departemen yang kecil. Tetapi biasanya dalam lingkungan yang kecil menerapkan:
•
)embelian *o5tware )eningkatan perhatian manajemen
•
)emisahan pekerjaan input dan processingnya
•
(esiko pengendalian dapat menjadi pertimbangan utama saat prosedur audit sudah mengidenti5ikasi pengendalian yang lemah dalam sistem bisnis yang kecil. 'alam sistem bisnis yang besar8 auditor internal sering meminta dokumen deskripsi posisi sebagai bukti pengendalian baik atas 5ungsi T. Tetapi8 biasanya dalam sistem bisnis yang kecil tidak mempunyai deskripsi posisi yang jelas. leh karena itu8 penting bagi perusahaan kecil untuk mendokumentasikan prosedur T nya. *ehingga8 pada saat satu personel berhalangan/mengundurkan diri8 pekerjaannya dapat digantikan oleh orang lain berdasarkan prosedur yang telah didokumentasikan. !ika dalam perusahaan yang besar8 selalu ada suatu standard wajib yang berlaku umum baik untuk lingkup besar maupun kecil.
!c" &uditing IT General Controls for Smaller IT Systems
'alam mengaudit sistem T yang lebih kecil8 auditor internal perlu memperhatikan hal6 hal berkut ini: !i"
Smaller System Controls %ver &ccess to 'ata and Programs are %ften (ea)
*aat ada personel yang dapat mengakses data6data komputer8 maka pengendalian umumnya sudah lemah. Auditor internal perlu 5okus pada otorisasi akses ke pusat data pada perusahaan yang kecil. Apakah perusahaan tersebut memiliki log6on untuk masuk ke data6data perusahaan. !ika pun ada8 perlu diperiksa apakah passwordnya diubah secara berkala. Apakah ada perbedaan akses antara karyawan/di9isi. !ii"
*nathori$ed *se of *tility Programs
'alam sistem T selalu ada yang disebut program utiliti8 yaitu program yang khusus digunakan untuk merubah sistem data suatu aplikasi8 seharusnya hanya personel T yang boleh menggunakannnya. *istem ini pun berisiko untuk digunakan oleh pihak6pihak yang ingin menyalahgunakannya. !iii"
Improper IT 'ata and Program &ccess Re+uests
'alam perusahaan atau entitas yang besar selalu menerapkan sistem >persetujuan? dalam permohonan untuk berbagai macam akses data perusahaan. )ersetujuan ini biasanya mengacu ke atasan yang bersangkutan. 'alam perusahaan atau entitas kecil biasanya mengacuhkan >persetujuan?8 sehingga resiko pengendalian mengenai akses yang tidak benar menjadi lebih besar. Components and Controls of ,ainframe and Legacy System !a" Characteristic of Larger IT System Pen3en!alian keamanan /isik
*istem komputer yang besar biasanya memiliki komputer sentral yang berisi data6 data di dalam suatu ruangan yang diamankan. Pen3en!alian Lin3kun3an
*umber tenaga khusus dan pendingin ruangan dibutuhkan karena komponen elektrikal dalam tenaga penuh akan menimbulkan panas. Kebutuhan6kebutuhan khusus ini juga perlu diperhatikan oleh auditor internal. Me!ia pen$impanan $an3 tepisah
,arang6barang yang mengandung magnetik seperti catridge harus disimpan pada tempat yang terpisah. "istem Opeasi $an3 multitaskin3 Kemampuan po3amin3 in6house
Kebalikan dari perusahaan atau entitas yang kecil biasanya hanya membeli software dari pihak luar. )erusahaan atau entitas yang lebih besar biasanya juga mempunyai aplikasi yang dikembangkan secara internal. 7ain3an telekomunikasi $an3 le#ih luas
)ada perusahaan besar biasanya telah memiliki jaringan telekomunikasi yang lebih luas tersambung dengan seluruh perusahaan8 online dengan internet. Memiliki !ata kitikal $an3 #e5umlah san3at #esa 'ata6data yang kritikal ini harus di back6up secara berkala. !b" %perating Systems Softare *istem operasi adalah software dasar yang menyediakan tampilan bagi pengguna8
termasuk program aplikasi dan lain6lain. *eorang auditor internal perlu memiliki kemampuan yang lebih dalam memahami berbagai sistem operasi dan sistem bawaan terkait: "istem Opeasi $an3 tepusat Memahami sistem operasi apa yang digunakan dan kelebihan dan kekurangan akan sistem tersebut. "istem Monito
)engendalian dari sistem tersebut terhadap penggunaan oleh user. @ontoh8 memory (AM yang melebihi kapasitas.
Legacy System General Control Revie
nternal audit sebaiknya membangun satu set tujuan6tujuan pengendalian yang terspesi5ik untuk perencanaan re9iew. bjekti5 ini bergantung pada tujuan pemeriksaan. Re8ie' A'al Pen3en!alian Umum TI
Tujuan dilakukan re9iew awal ini adalah untuk mendapatkan pemahaman umum dari pengendalian T. Auditor internal dapat melakukan wawancara8 obser9asi operasi8 re9iew dokumentasi8 yang biasanya hanya tanya jawab saja8 belum mengambil sampel.
Tahap awal ini dapat membantu untuk menentukan seberapa detail re9iew yang dibutuhkan. Re8ie' Detail Pen3en!alian Umum atas Opeasional TI
*ebuah re9iew yang detail dan komprehensi5 dari pengendalian umum sistem T yang besar8
termasuk
sistem
program8
pengendalian
telekomunikasi8
administrasi
penyimpanan di operasional T dan 5ungsi pengembangan. )rosedur audit yang detail ini didapatkan dari re9iew awal langkah pertama. 'asarnya adalah agar auditor internal memahami alur kerja 5ungsi opersional T. *istem yang sudah berkembang biasanya selalu melakukan perubahan prosedur dari waktu ke waktu menambahkan atau merubah kompleksitas yang dibutuhkan. *ehingga audit prosedur yang digunakan dapat diganti mengikut pergantian yang dilakukan oleh manajemen8 tergantung kompleksitas dan ukuran perusahaan/entitas. Re8ie' atas lin3kup te#atas tespesialisasi
Karena permintaan manajemen8 auditor terkadang juga perlu melakukan spesial re9iew8 misalnya khusus database administrasi. Ketaatan hukum !an peatuan ITIL Service Support and 'elivery Infrastructure
T= adalah akronim dari Information Technology Infrastructure Library8 sebuah set >best practice? pertama di kembangkan pada tahun %B0$ di 7K oleh ,ritish Co9ernment?s 55ice o5 Co9ernment @ommerce ;C@<. T= adalah sebuah kerangka >best practice? dengan da5tar komprehensi58 tugas8 prosedur8 tanggungjawab yang dapat diaplikasikan di berbagai 5ungsi T. *ebenarnya banyak area yang dibahas dalam T=8 tetapi pada pembahasan ini di5okuskan pada & proses service support 8 area yang penting bagi auditor internal saat melaksanakan IT general control review. )endekatan6pendekatan ini mengarah pada e5isiensi 5ungsi operasional T sehingga dapat memberikan jasa terbaik kepada pelanggan.
!a" ITIL Service Support Incident ,anagement Incident management process harus mengco9er dalam akti9itas memperbaiki gangguan
dalam T. Cangguan ini dapat berupa kegagalan sistem8 ketidakmampuan user mengakses sesuatu8 dll. Tempat user mengadu ini disebut service desk. Tujuan dari T= Service Support Incident anagement ini adalah mengembalikan operasional yang seharusnya/normalnya secepat mungkin dengan kee5ekti5an biaya dengan dampak minimal yang berpengaruh ke user. *aat service desk menerima keluhan8 service desk sebaiknya langsung mengklasi5ikasikan sebagai prioritas8 sangat penting8 dan penting. )engklasi5ikasian ini sangat penting dalam insiden T. *iklus dibawah ini dapat membantu auditor internal dengan memperlihatkan >best practice? dalam T. 'engan begitu akan lebih mudah bagi auditor internal melakukan re9iew dan bertanya dengan personel T.
!b" Service Support Problem ,anagement
*aat proses insiden manajemen menemui insiden yang sulit dan tidak bisa diketahui alasannya8 insiden tersebut harus di beritahukan kepada problem management process. # term dalam problem management process adalah problem control! error control! dan proactive problem management . T= mengartikan "problem# sebagai sesuatu yang tidak dapat diketahui penyebabnya. +rror adalah penyebab yang diketahui setelah insiden terjadi8 sedangkan proactive problem management adalah langkah pencegahan sebelum insiden terjadi. denya adalah bagaimana dan kapan service desk melaporkan suatu insiden yang sudah bukan wewenangnya lagi. 'alam service support management ini juga harus dilakukan e9alusi bagaimana mencegah masalah itu terjadi. leh karena itu8 service support management 5okus pada mencari pola insiden yang sering terjadi8 mencari penyebabnya dan mencari solusinya. )erbedaan problem management dengan incident management adalah problem management bertujuan mengurangi jumlah dan 9ariasi insiden yang menghambat bisnis8 sedangkan incident management bertujuan menyelesaikan masalah secepatnya. ,agi auditor internal hal6hal yang dapat ditanyakan adalah: •
*eberapa sering adanya re1uest dari user
•
,erapa lama T menyelesaikan masalah ,erapa banyak insiden yang terjadi sampai T dapat melihat pola keterjadian
•
insiden yang serupa *olusi penyelesaian yang ditawarkan dan berapa anggaran yang dibutuhkan.
•
Problem management adalah area yang tepat bagi auditor internal karena disini memperlihatkan kee5ekti5an operasional T. !i"
Service Support Configuration ,anagement
2ungsi kon5igurasi adalah proses yang sangat penting yaitu termasuk identi5ikasi8 mencatat dan melaporkan komponen6komponen T8 9ersi69ersinya. Manajemen kon5igurasi termasuk mengatur hubungan antar aset. Manajemen kon5igurasi juga termasuk elemen kontrol di dalamnya8 seperti memerlukan cek 5isik yang dicocokkan dengan yang tercatat. 'ata6data indi9idual harus dicatat secara teratur dalam configuration management database ;@M',<. !ii"
Service Support Change ,anagement Tujuan T= change management adalah menstandarisasi metode dan prosedur
untuk e5isiensi penggantian untuk menghindari mengurangi kualitas pelayanan sehari6hari. T= change management termasuk: T hardware dan sistem perangkat lunak • )eralatan komunikasi dan perangkat lunak • *emua aplikasi perangkat lunak • *emua dokumentasi dan prosedur yang berhubungan dengan sistem • )roses yang e5isien dalam penggantian ini adalah dengan melakukannya dengan seminimal mungkin timbulnya dampak eror. *aat mengaudit T internal kontrol8 internal auditor seharusnya melihat change management yang melengkapi :
•
*elaras dengan bisnis )eningkatan jaringan telekomunikasi antara sta5 dan manaje men Meningkatkan penilaian risiko Mengurangi dampak negati5 pada pelayanan kualitas )enilaian yang lebih baik terhadap biaya6biaya yg muncul
•
Menurunnya tingkat eror yang muncul
• • • •
$iii%
Service Support &elease anagement 2ungsi T memerlukan proses yang memastikan segala perubahan akan berdampak pada semua pihak dengan baik. "&elease# disini dimaksudkan termasuk pembetulan beberapa masalah8 peningkatan pelayanan termasuk yang baru atau perubahan
perangkat lunak. )ada intinya8 release management memastikan semua komponen yang diubah telah dibangun8 dites8 didistribusikan dan diimplementasikan secara bersama.
Service 'elivery Best Practice !a" Service 'elivery Service-Level ,anagement Service-Level anagement adalah proses perencanaan8 pengkoordinasian8 perancangan8
persetujuan8 pengawasan8 dan pelaporan dalam persetujuan/perjanjian 5ormal antara T dan pemberi layanan/penerima layanan. Service Level Agreement ;*=A< dapat merupakan antara T dan pihak luar atau antara T dan pengguna. *ecara umum *=A berisi target pelayanan yang dijanjikan8 hak dan kewajiban masing6masing pihak8 jadwal pelaksanaan8 penalti jika merugikan pihak pengguna. )roses *=A sangat penting dalam komponen operasional T. !ika perusahaan belum menggunakan8 maka auditor internal dapat merekomendasikannya. *=A dapat dijadikan dasar bagi auditor internal dalam mengukur pengendalian internal T karena dalam *=A diketahui tanggung jawab masing6masing pihak sehingga dapat saling mengontrol.
!b" Service 'elivery .inancial ,anagement for IT Services Tujuan 'inancial anagement for IT Services adalah sebagai pemandu agar tercapai
e5ekti5itas biaya dalam mengadakan jasa T. Tiga sub yang berhubungan adalah : IT (udgeting • )roses estimasi dan mengatur pengeluaran biaya untuk keperluan T. IT Accounting • )roses T untuk menentukan bagaimana uang tersebut dihabiskan untuk pelanggan8 •
penyediaan jasa dan akti9itas. )harging )emberian harga dan penagihan untukyang telah menggunakan jasa T.
!c" Service 'elivery Capacity ,anagement
Memastikan kapasitas dari in5rastruktur T sejalan dengan kebutuhan bisnis dan kualitas jasa yang diberikan telah sesuai. Manajemen kapasitas pada umumnya termasuk mempertimbangkan bisnis8 jasa8 dan manajemen kapasitas sumber. Manajemen kapasitas bisnis adalah proses jangka panjang untuk menentukan masa depan bisnis telah dipertimbangkan akan diimplementasi di masa mendatang. Manajemen kapasitas
jasa bertanggung jawab memastikan semua jasa T telah dilaksanakan. Manajemen kapasitas sumberdaya bertanggung jawab atas komponen in5rastruktur T secara indi9idu. 'ari ketiga komponen tersebut8 biasanya dibawahi oleh satu manajer yang mengatur
pelaksanaan
perancanaan
kapasitas8
memastikan
seluruh
kapasitas
diperbaharui. mplementasi dari manajemen kapasitas yang e5ekti5 memberi keuntungan yaitu gambaran akan kapasitas saat ini dan dapat digunakan untuk perencanaan kapasitas kedepan. !d" Service 'elivery &vailability ,anagement
Manajemen ketersediaan dapat digambarkan sebagai perencanaan8 peningkatan dan pengukuran aksi yang dilakukan. )erencanaan termasuk menentukan persyaratan dan bagimana T dapat memenuhinya. Keuntungan utama dari manajemen ketersediaan adalah adanya proses yang terstruktur untuk memastikan jasa T terpenuhi sampai ke pelanggan. Dal ini akan menambah jasa T yang terus tersedia dan meningkatkan kepuasan pelanggan.
!e" Service 'elivery Continuity ,anagement 2ungsi T yang semakin dependen dengan dunia bisnis saat ini8 maka dibutuhkan
peranan T secara terus menerus dari waktu ke waktu. &uditing IT Infrastructure ,anagement
!asa pendukung dan proses "delivery service# T= memperkenalkan peningkatan semua aspek dalam in5rastruktur T. )roses6proses ini tidak independen dan berdiri sendiri. Ealaupun keseluruhannya dapat berjalan sendiri6sendiri namun8 mereka bergantung input dan dukungan satu sama lain untuk proses yang berhubungan. ,agi auditor internal yang mere9iew pengendalian melalui proses T=8 harus berpikir pengendalian ini berkaitan satu dengan yang lainnya.
Revieing and &ssesing IT &pplication Controls )ada dasarnya8 )engendalian T dalam konteks Audit dapat dibedakan menjadi dua kategori8 yaitu )engendalian Aplikasi $Application )ontrol% dan )engendalian 7mum $*eneral )ontrol%. Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. *ementara8 tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data diinput secara benar ke dalam aplikasi8 diproses secara benar8 dan terdapat pengendalian yang memadai atas output yang dihasilkan. 'alam audit terhadap aplikasi8 biasanya8 pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap e5ekti9itas atas pengendalian6pengendalian aplikasi. nternal audit secara e5ekti5 perlu melakukan re9iew terhadap pengendali internal atas suatu aplikasi8 termasuk menilai risiko yang muncul pada saat memilih suatu aplikasi yang akan dire9iew8 menguji pengendalian8 dan mere9iew atas suatu aplikasi yang sedang dibangun. /0 IT &pplication Control Components # komponen dasar: %. *istem nput
". )emrosesan #. *istem output 'alam semua jenis aplikasi8 ketiga elemen tersebut pasti dimiliki oleh setiap entitas. leh karena itu8 bagaimanapun kompleksitas dari suatu aplikasi yang dimiliki internal auditor perlu memahami dengan membagi aplikasi tersebut berdasarkan ketiga elemen tersebut. nternal auditor minimal memiliki pemahaman terhadap T aplikasi dan proses penunjangnya yang memang menjadi bagian dari dasar kebutuhan dari )ommon (ody +f ,nowledge ;@,K<. a" &pplication Input Components nput merupakan salah satu tahap dalam sistem komputerisasi yang paling krusial dan mengandung risiko. )engendalian masukan $input control% dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah 9alid8 lengkap8 serta bebas dari kesalahan dan penyalahgunaan. Input controls ini merupakan pengendalian aplikasi yang penting8 karena input yang salah akan menyebabkan output juga keliru. /0 'ata Collection &nd %ther Input 'evices 'ata yang banyak biasa diinput kedalam sistem dalam bentuk batch atau data gelondongan. )ada masa kini banyak alat6alat yang dapat digunakan untuk memasukan data kedalam suatu aplikasi8 contohnya dalam siklus payroll data absen diinput sudah berdasarkan timecard yang dihasilkan secara otomatis melalui 5ingerprint absent. 'an juga dalam siklus penjualan8 teknologi (adio 2re1uency ' ;(2'< atau barcode scanner digunakan untuk menginput penjualan yang terjadi. *uatu pengendalian yang baik didalam input suatu data kedalam sistem sudah menggunakan skema check and balances8 sehingga data yang dimiliki dapat dikatakan 9alid. )ada hal ini8 auditor internal perlu meastikan apakah skema tersebut sudah berjalan dengan baik. 10 &pplication Inputs .rom %ther &utomated Systems
*uatu data dalam aplikasi dapat diinput secara otomatis akibat adanya integrasi suatu aplikasi dengan aplikasi lainnya. *ebagai contoh8 dalam siklus penggajian seorang sales eFecuti9e8 gaji yang akan diterima akan berhubungan jumlah penjualan yang dilakukannya untuk menghitung komisi yang didapat. 20 .iles &nd 'atabases
*uatu 5ile yang baik di dalam sistem sebuah aplikasi memiliki minimal kriteria kapan 5ile tersebut dibuat dan label checking control untuk menghindari kesalahan input ke dalam siklus pemprosesan atau aplikasi lainnya yang ada. 'atabase sekarang ini biasa digunakan dalam susumam hierarchical databases dimana data diorganisasikan berdasarkan konsep struktur family tree. )roduk database yang biasa digunakan yakni M* $Integrated anagement System% yang dikeluarkan oleh ,M. M* adalah sistem yang mengkombinasikan semua sistem manajemen yang diimplementasikan dengan tujuan untuk kepentingan bisnis organisasi. @ontohnya dalam perusahaan manu5aktur8 setiap produk dapat dilihat bagian6bagian apa saja yang digunakan didalamnya dengan data yang terintegrasi. !c" &pplication Program *uatu program komputer disusun berdasarkan intruksi yang memuat setiap detail
proses yang ada. nternal auditor sebaiknya memahami bagaimana progra m aplikasi computer
dibuat
dan
kemampuannya8
agar
dapat
menjelaskan
prosedur
pengendalian yang memadai untuk mendeteksi jangan sampai data ;khususnya data yang sesungguhnya sudah di9alid< menjadi error karena adanya kesalahan proses. Menurut A ;*A#%8)ar.$0< pengendalian ini didesain untuk memberi keyakinan yang memadai bahwa: ;a< transaksi8 termasuk transaksi yang dipicu melalui sistem8 diolah semestinya oleh komputerG ;b< transaksi tidak hilang8 ditambah8 digandakan8 atau diubah tidak semestinyaG dan ;c< kekeliruan pengolahan dapat diidenti5ikasi dan dikoreksi secara tepat waktu. Traditional ,ainframe and Client Server Programs )ada saat ini aplikasi dibuat berdasarkan suatu bahasa pemprograman yang uni9ersal. @,= merupakan bahasa pemprograman uni9ersal yang sering digunakan oleh banyak entitas dalam membuat suatu proses aplikasi. @,= adalah singkatan dari )ommon (usiness +riented Language yang berarti suatu bahasa tingkat tinggi yang berorentasi langsung pada masalah bisnis. 'ari namanya dapat ketahui bahwa @,= adalalah bahasa pemprograman yang digunkan dalam dunia bisnis. @,= juga dapat digunakan untuk pengolahan database8 aplikasi perbankan8 dan accounting .
,odern Computer Program &rchitectures
*elain menggunakan @,=8 de9eloper program juga banyak yang menggunakan bahasa pemprograman seperti !AHA dan @II untuk membuat program yang lebih sederhana. 3endor Supplied Softare
,anyak aplikasi T sekarang tidak dibuat oleh entitasnya sendiri melainkan menggunakan Hendor. 'alam menggunakan endor Supplied Software8 perusahaan seharusnya sudah menimbang6nimbang cost and benefit yang menghasilkan keputusan dalam penggunaan Hendor tersebut.
!d" IT &pplication %utput Components
)engendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat lengkap8 dan digunakan sebagaimana mestinya. )engendalian keluaran $output controls% ini didesain agar output/in5ormasi disajikan secara akurat8 lengkap8 mutakhir8 dan didistribusikan kepada orang6orang yang berhak secara cepat waktu dan tepat waktu. +2 Selecting &pplications for Internal &udit Revies 'ikarenakan aplikasi yang sangat banyak dan beragam dimiliki oleh suatu perusahaan8
biasanya internal auditor melakukan re9iew berdasarkan aplikasi yang paling krusial dan memiliki resiko yang tinggi. ,erikut ini beberapa 5aktor dalam pemilihan aplikasi yang perlu dire9iew oleh internal auditor: a" ,anagement Re+uest Manajemen kadang suka melakukan permintaan kepada internal audit untuk mere9iew pengendalian dari aplikasi yang baru diinstal atau T yang memiliki signi5ikansi tehradap sauatu permasalahan atau penyusunan strategis perusahaan. b" Pre-implementation revie of ne application
nternal audit terkadang diminta untuk berpartisipasi dalam memberikan saran ketika suatu aplikasi ingin diciptakan. c" Post-implementation application revie
7ntuk beberapa aplikasi yang cukup kritikal dan berhubungan dengan analisis resiko8 biasanya internal audit perlu melakukan re9iew yang cukup mendetail apakah aplikasi berjalan sudah sesuai dengan yang diharapkan.
d" Internal control assessment consideration
+9aluasi dan percobaan pengujian pengendalian internal guna memenuhi standar kebijakan yang ditetapkan8 seperti pada *J section $. e" %ther audit application selection criteria ,eberapa hal signi5ikan lainnya yang membuat internal auditor perlu melakukan
re9iew atas aplikasi tersebut8 seperti: Aplikasi yang melakukan pengendalian atas aset yang signi5ikan • Aplikasi yang melakukan pengendalian atas risiko yang signi5ikan • Aplikasi yang baru dilakukan perubahan didalamnya • 'an lain6lain • nternal auditor juga biasanya melakukan re9iew terhadap aplikasi yang spesi5ik yang menunjang keseluruhan 5ungsi area. @ontohnya dalam mere9iew operasional dan keuangan dan departemen pembelian. 20 Preliminary Steps to Performing &pplication Controls Revies )ada saat internal auditor sudah menentukan aplikasi mana yang akan dire9iew8 maka
dia perlu memahami objekti5 yang ingin dicapai8 teknologi yang digunakan8 dan hubungan aplikasi tersebut dengan aplikasi lainnya. %. )ertama8 biasanya internal auditor akan meminta dokumen6dokumen yang terlibat dalam siklus kegiatan dan pembuatan aplikasi tersebut. *eperti *) yang terkait dalam kegiatan bisnis dalam aplikasi tersebut dan juga beberapa dokumen yang ada dalam aplikasi tersebut8 seperti : System 'evelopment ,ethodology !S'," initiating document 'okumen ini akan menunjukan permintaan dalam pembuatan system8 cost/bene5it yang ada8 dan design general system yang dibutukan. .unctional design specification 'okumen ini berisi hal6hal mendetail mengenai elemen program8 database spesi5ikasi8 dan pengendalian system yang dijelaskan secara jelas. Program change histories 'okumen ini berisi hal6hal historis yang menunjukan dasar perubahan suatu aplikasi terjadi ataupun bukti6bukti dokumen atas re9isi aplikasi yang terjadi. *ser documentation ,anual 'okumen ini biasanya berbentuk buku manual penggunaan aplikasi ataupun buku bantuan apabila berbagai macam hal terjadi. +2 Con!u9tin3 an Appli9ation alk6Thou3h *etelah melakukan pengecekan dokumen8 internal auditor akan melakukan walk6 through re9iew8 hal ini dilakukan dengan agar internal auditor dapat memahami
proses kerja suatu aplikasi mulai dari sistem input8 proses aplikasi8 dan sistem output.
2 De8elopin3 Appli9ation Contol O#5e9ti8es
*elanjutnya internal audit perlu mende5iniskan objekti5 yang dihasilkan dalam proses aplikasi yang sudah dire9iew. 'idalamnya termasuk menentukan le9el pengendalian resiko yang diterima dan kehandalan aplikasi dalam menunjang tujuan yang dicapai. 40 Completing the IT &pplications Controls &udit )rosedur audit dalam detailed IT application biasanya lebih sulit untuk dijelaskan jika
dibandingkan dengan internal audit#s general obective. )rosedurnya berbeda dan tergantung atas beberapa hal8 yakni: Aplikasinya apakah dibangun sendiri atau membeli dari 9endor • Aplikasi terintegrasi dengan aplikasi lain atau tidak • Menggunakan sistem /eb (ased Service provider0)lient server atau legacy • computer system method •
Aplikasi lebih banyak terotomatisasi atau banyak diinter9ensi oleh manusia
*elain melakukan pengumpulan dokumen dan melakukan walk6through8 internal auditor juga perlu melakukan diskusi dengan pengguna aplikasi terkait dan tanggung jawab dari setiap pengguna untuk membantu pemahaman auditor. a" Clarifying &nd Testing &udit Internal Control %b5ectives 'alam beberapa hal sering ditemukan apabila objekti5 yang dihasilkan pada suatu
aplikasi yang ada berbeda dengan objekti5 yang dikemukakan internal auditor dalam pelaksanannya. Dal tersebut diakibatkan tujuan pengendalian yang dinilai oleh internal audit belum tercapai dan minimalisir risiko yang ada belum terjadi atau malah mengakibatkan risiko yang ada bertambah besar. leh karena itu nternal audit8 manajemen8 dan pengguna harus duduk bersama untuk dapat merumuskan dan memberikan penyataan yang sesuai dengan aktualisasi yang sebenarnya. i0 Test %f &pplication Inputs &nd %utputs nternal audit akan menguji ketepatan data input yang dimasukan kedalam sistem dan melihat apakah hasil yang keluar ;output< sudah sesuai dengan seharusnya.
ii0
iii0
Test transaction 6valuation &pproaches nternal audit akan melakukan pengujian apakah proses yang dilakukan sistem
dalam aplikasi sudah berjalan dengan baik. %ther &pplication Revie Techni+ues (eper5omance o5 application 5unction or calculations • (e9iews o5 program source code • @ontinuous audit monitoring approaches • •
bser9ation o5 procedures
b" Completing The &pplication Controls Revie
Ealaupun internal auditor sudah menguji pengendalian yang dimiliki oleh suatu aplikasi8 namun hal tersebut belum tentu sesuai dengan risiko yang diharapkan dapat diminimalisir. (isiko terkadang timbul di luar keseharian yang tidak dapat diduga pada saat auditor melaksanakan tes. Dal tersebut perlu di9eri5ikasi kembali khususnya oleh user yang menggunakan aplikasi tersebut. leh karena itu dalam re9iew yang dilakukan internal auditor juga perlu memiliki pemahaman atas pengendalian dan penilaian resiko yang dilakukan. 70 &uditing &pplication *nder 'evelopment ,anyak internal auditor merasa lebih e5isien bila melakukan re9iew pada saat suatu
aplikasi sedang dikembangkan jika dibandingkan dengan aplikasi yang sudah jadi. )ada posisi ini internal auditor bekerja sebagai pemberi saran untuk meningkatkan pengendalian sistem8 bukan sebagai pembangun sistem. *aran tersebut merupakan hasil analisis atas kelemahan6kelemahan yang ditemukan dan diberikan dalam bentuk rekomendasi. a" %b5ectives and %bstacles of Pre-implementation &uditing Terdapat beberapa hambatan pada saat internal auditor melakukan re9iew atas suatu aplikasi T yang sedang dibangun: i0 Them versus us attitudes )ada saat internal auditor mencoba membantu memberikan masukan8 T manajemen terkadang suka merasa hati6hati atau timbul kebencian karena akan menambah pekerjaan dalam bentuk dokumen6dokumen yang lebih mendetail. ii0
Internal &uditor role problems )eran internal auditor harus dipahami oleh semua p ihak : +Ftra member o5 the implementation team • *peciali3ed consultant •
•
nternal controls eFpert ccupant o5 the eFtra chair *tate o5 the art awareness needs
•
Many and 9aried pre6implementation candidates
• •
b" Pre-implementation Revie %b5ectives
nternal auditor perlu mengidenti5ikasi dan memberikan rekomendasi atas pengendalian yang ada dalam suatu aplikasi yang sedang dibuat dalam bentuk hal6 hal apa saja yang sekiranya perlu diinstal. 'alam beberapa egara8 peran internal auditor dalam pembangunan suatu aplikasi T ternyata memang diwajibkan. c" Pre-implementation Revie Problem 'alam penerapan re9iew yang dilakukan oleh internal auditor8 belum tentu hasil
yang ditentukan dapat diterima atau sesuai dengan kebutuhan pengguna. 7ntuk mengurangi kesulitan dalam menyamakan hal tersebut8 internal audit perlu memperhatikan hal6hal berikut : *electing the right application to re9iew • 'etermining the proper auditor?s role • •
(e9iew objecti9es can be di55icult to de5ine
d" Pre-implementation Revie Procedures (e9iew dilakukan oleh internal auditor dalam setiap 5ase yakni inisiasi projek8
mende5inisikan kebutuhan8 pengembangan8 percobaan8 dan terakhir implementasi. *tep penting yang wajib dilakukan oleh internal auditor yakni menyampaikan rencana program audit kepada T manajemen sehingga ada pemahaman atas apa yang diharapkan dari internal audit berdasarkan pendekatan re9iew yang dijalankan. i0 &pplication Re+uirement 'efinition %b5ectives nternal auditor perlu mere9iew kebutuhan6kebutuhan dalam bentuk detail apa saja yang dibutuhkan dalam pembangunan aplikasi8 dengan begitu apabila internal auditor dapat mengidenti5ikasi pengendalian pada re9iew tersebut8 akan lebih memudahkan bagi pengembang program untuk menyesuaikan masukan yang diterima. ii0
'etailed 'esign &nd Program 'evelopment %b5ectives
2ase ini merupakan 5ase yang paling lama dalam pembuatan suatu aplikasi dan biasanya internal auditor menginginkan jadwal untuk melakukan re9iew secara
bertahap. ,eberapa perusahaan T terkadang menggunakan internal auditor untuk memastikan 5ungsi dari projek yang diciptakannya sudah sesuai. *ehingga suatu audit keseluruhan dapat diminimalisir apabila sejak awal internal auditor sudah membantu memberikan saran atas perbaikan yang dalam aplikasi tersebut. iii0
&pplication Testing and Implementation %b5ectives
)ada 5ase ini biasanya terdiri dari percobaan aplikasi baru8 melengkapi dokumen8 pelatihan pengguna8 dan pemindahan data. nternal auditor biasa memastikan apakah aplikasi sudah berjalan sesuai dengan yang diharapkan dan melakukan pengujiannya. *elanjutnya internal auditor akan menyiapkan laporan dalam bentuk dokumen6dokumen untuk pengendalian signi5ikan yang teridenti5ikasi8 laporan tersebut dapat berupa rekomendasi bukan implementasi yang diwajibkan. iv0
Post-implementation revie %b5ective and Reports )ada saat aplikasi sudah berjalan8 re9iew juga tetap perlu dilaksanakan. 7ser
sebagai pihak yang paling memahami tentu saja akan memberikan masukan6 masukan baru terhadap sistem yang sudah berjalan. *elain itu8 internal audit juga biasanya melakukan re9iew kembali namun dengan sta5 yang berbeda untuk melakukan pengujian dari perspekti5 indi9idu lain. 7ntuk laporan8 biasanya internal audit sudah memiliki 5ormat baku dalam pembuatannya. (eport dibuat oleh internal auditor dan disetujui oleh pihak yang diaudit dan diberikan kepada pihak6pihak yang berwenang.
Cybersecurity and Privacy Controls 'alam dunia sekarang ini yang serba menggunakan teknologi dan in5ormasi sebagai komoditas utama dalam komunikasi8 keamanan dan pri9asi sangatlah dibutuhkan. 'alam melakukan re9iew yang menggunakan dasar sistem T pada area cybersecurity dan kebijakan pengamanan8 auditor minimal perlu memahami atas pengendalian internal secara general yang
ada dan resiko6resiko yang berkaitan dengan hal tersebut. *elain itu8 dalam pembahasan ini juga internal auditor perlu memiliki proteksi atau pengamanan atas audit prosedur yang sudah dijalankannya. Karena data6data atau dokumen yang dimiliki atas prosedur yang sudah diaudit tersebut juga si5atnya rahasia. leh karena itu8 sebaiknya diperlukan pemahaman lebih dalam kepada seorang internal auditor mengenai T pada saat melakukan melakukan re9iew ataupun penyimpanan data6data yang dimiliki. Minimal sesuai dengan @,K8 internal auditor memahami # hal yang menjadi dasar utama8 yakni pemahaman atas risiko cybersecurity8 pengendalian yang tinggi8 dan mekanisme pencegahannya. /0 IT #etor)s Security .undamentals *uatu jaringan perlu memiliki kemanan yang mencukupi agar tidak terjadi hal6hal yang
tidak diinginkan. 'alam hal ini8 internal auditor perlu menetapkan prosedur pengamanan T apa yang mencukupi untuk mengamankan suatu jaringan tersebut. Minimnya prosedur pengendalian internal yang ada pada suatu sistem T8 dapat mengakibatkan hambatan beberapa hal yakni: i0 Interruptions *istem yang menyimpan suatu aset dapat mengalami kehilangan8 tidak tersedia8 ataupun tidak dapat digunakan dengan cara memasukan suatu program jahat yang dapat merusak semua data didalamnya yang sudah ada. ii0
Interceptions
)ihak luar baik orang8 program8 ataupun suatu sistem luar dapat mendapatkan akses terlarang ke dalam sistem yang kita miliki. @ontoh yang paling umum saat ini adalah seperti penyadapan yang sulit untuk diketahui pelakunya. iii0
,odification
*elain melihat data yang kita miliki terkadang orang6orang yang tidak bertanggung jawab tersebut juga kerap melakukan perubahan terhadap data6data tersebut. iv0
.abrication
Kejadian ini dapat terjadi apabila adanya data yang dipalsukan yang dapat menyerang suatu sistem. *emua hambatan di atas dapat terjadi dalam lingkungan internet8 hubungan telekomunikasi8 dabase +() dan perangkat computer yang paling canggih hingga yang sederhana. leh karena itu internal auditor perlu sadar dengan adanya perubahan
teknologi yang terjadi di lingkungan sehari6hari dan menetapkan hambatan apa saja yang dapat muncul secara signi5ikan. Ealaupun internal auditor tidak memiliki pemahaman yang mendetail mengenai lingkungan T8 namun basis @,K menyatakan internal auditor perlu memahami konsep proteksi atas T untuk digunakan dalam cak upan internal audit re9iew. a" Security 'ata *alah satu yang dapat kita lakukan dalam keamanan suatu jaringan yaitu bisa dengan mengendalikan suatu akses yang bisa kita lakukan dalam suatu jaringan. 'engan mengendalikan akses yang dilakukan pada setiap sumber jaringan dan dengan melakukan pengontrolan akses yang dapat dilakukan oleh kita. leh karena itu kita harus mengetahui apa saja prinsip6prinsip yang ada dalam keamanan jaringan mulai dari integrity8 confidentiality8 dan availability. )rinsip keamanan jaringan: i2 Keahasiaan !Confidentiality" 'imana objek tidak diumbar atau dibocorkan kepada subjek yang tidak seharusnya berhak terhadap objek tersebut8 atau la3im disebut tidak authori3e. ii2
Inte3itas !Integrity"
,ahwa objek tetap orisinil8 tidak diragukan keasliannya8 tidak dimodi5ikasi dalam perjalanannya dari sumber menuju penerimanya. iii2
Ketese!iaan !&vailability"
'imana user yang mempunyai hak akses atau authori1ed users diberi akses tepat waktu dan tidak terkendala apapun. )rinsip keamanan ini la3im disebut segitiga @A $)onfidentiality! Integrity! Availability%. 'an salah satu tujuan utama dari pengendalian akses adalah untuk menjaga jangan sampai ada yang tidak authori3e mengakses objek6objek seperti jaringan8 layanan6layanan8 link komunikasi8 komputer atau sistem in5rastruktur jaringan lainnya oleh apa yang kita sebut sebagai ancaman keamanan jaringan. 'alam perjalanan untuk membangun suatu sistem kemanan jaringan8 salah satu prosesnya adalah menilai resiko keamanan dalam organisasi. Akan tetapi terlebih dahulu perlu juga memahami berbagai jenis ancaman keamanan jaringan. leh karena itu internal auditor dirasa perlu untuk memahami konsep tersebut dalam akti9itas re9iewnya.
b" Importance of IT Passord 7ntuk melakukan akses terhadap suatu aplikasi atau bagian dari T sistem8
sangatlah penting sekali untuk diterapkan password untuk melindungi dari orang6 orang yang tidak memiliki akses didalamnya. ,erikut ini merupakan kriteria yang baik dalam penerapan suatu password: )assword dibuat oleh user8 namun ketentuan dan kriteria perlu diatur. *ebagai • contoh password minimal terdiri dari sekian kombinasi huru5 dan angka dan tidak boleh menggunakan tanggal lahir atau nama. •
)assword memiliki masa tenggang agar terus dapat termodi5ikasi dengan baik.
)ada suatu aplikasi yang memiliki tingkat pri9asi yang tinggi8 bahkan password dapat diterapkan dalam bentuk fingerprint atau eye pupil scanner agar lebih unik dan tidak dapat ditiru. )ada hal ini8 internal auditor perlu menge9aluasi apakah penerapan standar penggunaan password sudah dilakukan dengan baik pada suatu aplikasi. c" 3iruses and ,alicious Program Code Hirus69irus telah menyebabkan kerusakan dan kerugian 5inansial yang tidak sedikit.
*eperti ancaman kelemahan lainnya8 kerugian ini dirasakan baik oleh perusahaan besar maupun kecil. !ika tidak ingin kehilangan data karena 9irus8 maka harus melaksanakan tinjauan rutin8 memasang patch8 dan mengupdate tanda6tanda kelemahan. )erlindungan yang terbaik adalah kebijakan8 prosedur8 serta teknologi. Karyawan harus diberikan instruksi yang tegas perihal penerimaan e6mail yang mencurigakan dan apa yang mereka harus lakukan jika terin5eksi. Kalau hal itu dirasa kurang e5ekti58 maka membutuhkan sebuah manajemen yang dapat menjamin konsistensi di seluruh aspek bisnis termasuk didalamnya upaya pencegahan terhadap serangan 9irus. 'alam kondisi ini8 internal auditor perlu memberikan saran bentuk anti 9irus apa yang sepatutnya digunakan untuk menjaga setiap data yang dimiliki oleh suatu perusahaan. d" Phising and other Identify Threats
)hising adalah tindakan memperoleh in5ormasi pribadi seperti 7ser '8 )8 nomor rekening bank8 nomor kartu kredit anda secara tidak sah. n5ormasi ini kemudian akan diman5aatkan oleh pihak penipu untuk mengakses rekening8 melakukan
penipuan kartu kredit atau memandu nasabah untuk melakukan trans5er ke rekening tertentu dengan iming6iming hadiah. e" IT System fireall
2irewall adalah sebuah sistem atau perangkat yang mengi3inkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. 7mumnya8 sebuah 5irewall diimplementasikan dalam sebuah mesin terdedikasi8 yang berjalan pada pintu gerbang $gateway% antara jaringan lokal dan jaringan lainnya. 2irewall umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. *aat ini8 istilah 5irewall menjadi istilah generik yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. nternal auditor perlu mengetahui lokasi dan 5ungsi dari 5irewall yang digunakan. *elanjutnya apakah 5irewall tersebut masih rele9an untuk digunakan dengan hambatan6hambatan yang ada. Terakhir internal auditor juga perlu melihat laporan yang dihasilkan oleh 5irewall tersebut atas pelanggaran6pelanggaran yang ada. 10 IT Systems Privacy Controls
)ri9asi adalah suatu in5ormasi yang rahasia atau hanya dapat diketahui oleh kalangan terbatas. 'an apabila hal tersebut diketahui oleh pihak lain8 dapat terjadi suatu hal6hal yang tidak diinginkan. 'ata Profiling Privacy Issues
*uatu perusahaan atau entitas yang biasanya mendapatkan database pelanggan terkadang dapat melalui pelanggan langsung ataupun pihak lain. 'alam hal ini8 perusahaan perlu menjaga database tersebut agar tidak tersebar karena hal tersebut merupakan nilai pri9asi dari pelanggan tersebut. %nline Privacy and 6-Commerce Issues
'alam setiap akti9itas pelanggan yang dilakukan dalam suatu website biasanya tercatat identitas computer dari pelanggan tersebut yang disebut dengan cookies. @ookies merupakan data 5ile yang ditulis ke dalam harddisk komputer oleh web ser9er yang digunakan untuk mengidenti5ikasi user pada situs tersebut8 situs itu akan dapat mengenalinya. !adi dapat dikatakan cookies adalah ' card user saat
koneksi pada situs. Dal tersebut merupakan database yang dimiliki oleh perusahan6 perusahaan. Radio .re+uency Identification
)enggunaan (adio 2re1uency ' ;(2'< dalam berbagai macam hal akti9itas yang dilakukan oleh perusahaan baik dengan pelanggan ataupun
karyawannya
merupakan suatu hal yang perlu memilki pri9asi didalamnya. Karena hal tersebut merupakan suatu hal yang memiliki keunikan dalam arti berbeda satu sama lain8 (2' tersebut sudah memiliki data personal atas pemiliknya masing6masing. 20 &uditing IT Security and Privacy Terdapat beberapa pertanyaan umum yang biasa diajukan oleh internal auditor pada saat
melakukan re9iew atas IT Security and Privacy8 yakni: )an you give me a diagram of your IT 2etwork here showing all internal and • • •
e3ternal connections within the network4 5ave you installed firewalls for the network and di they protect all access points4 Is ther any way that devices on the network can communicate to other devices! such as a dila-up line through a modem! and bypass the firewall barrier4
•
'an lain6lain.
,iasanya yang akan menjadi poin utama dalam re9iew bagian ini adalah8 apakah 5irewall sudah bekerja dengan baik dalam melakukan pengendalian internal dan meminimalisir setiap kemungkinan resio6resiko yang dapat terjadi. *elain itu internal audit juga memastikan pri9asi yang dimiliki setiap data/5ile dapat terjaga dengan baik.
40 Security and Privacy in the Interal &udit 'epartment
*ekarang ini pengerjaan sebuah working paper sudah menggunakan internet based 8 jarang yang masih menggunakan paper based . leh karena itu data6data yang dimiliki dari hasil setiap re9iew audit yang dilakukan harus dapat dikumpulkan dan dikelola dengan baik berdasarkan dengan pihak6pihak mana saja yang berhak mengaksesnya. a" Security and Control for &uditor Computers *etiap internal auditor biasanya kini sudah memiliki laptop masing6masing dalam
menjalankan akti9itasnya. 'i dalam laptop tersebut tentu saja berisikan data6data audit yang dilakukannya pada setiap pengerjaan yang tentu saja memiliki si5at
rahasia dan tidak semua pihak dapat mengetahuinya. ,erikut ini hal6hal teknis yang perlu diketahui internal auditor dalam melindungi laptopnya: &uditor personal responsibility for auditors laptop nternal auditor tentu saja bertanggung jawab masing6masing atas laptop tersebut8 sehingga diharapkan mereka dapat menjaganya dengan baik. .ile bac)up procedure
2ile65ile juga biasanya disimpan dalam suatu ser9er agar dapat terkelola dengan baik jika sewaktu6waktu dibutuhkan. Physical loc)s and mechanisms
=aptop juga perlu diberikan pengamanan dalam bentuk tas yang aman dan penggunaan password dalam akses masuk ke komputernya. &nti-virus and other tools
7ntuk menhindari 9irus8 sebaiknya laptop menggunakan anti69irus yang selalu diupdate dan ditambahkan aplikasi6aplikasi penunjang untuk melindungi laptop tersebut. b" (or)paper Security
*eperti yang sudah dijelakan sebelumnya8 dengan mekanisme working paper yang sudah menggunakan internet based 8 maka perlu diterapkan pengamanan atas data tersebut karena working paper merupakan dasar awal pembuatan laporan. c" &udit reports and privacy
=aporan audit juga perlu diamankan sebelum dapat disampaikan kepada pihak6 pihak yang bersangkutan. d" Internal audit security and privacy standard and training *ebaiknya dalam satu bagian internal audit diterapkan mekanisme pengamanan
data. Karena walau mereka sudah mencoba untuk menerapkan pengamanan tersebut pada setiap di9isi atau departemen lain yang dire9iewnya8 jika mareka sendiri tidak menerapkannya dengan baik mereka tidak dapat menjadi contoh untuk pihak6pihak yang lain.
0A0 III PENUTUP
2-2
Kesimpulan
Teknologi n5ormasi berbasis komputer mempunyai pengaruh yang cukup besar dalam masyarakat modern terutama bagi organisasi perusahaan. *ekarang ini perusahaan dihadapkan dalam lingkungan yang berubah6ubah dan sangat kompetiti5. 7ntuk itu peran teknologi in5ormasi sangatlah
penting
bagi perusahaan untuk membantu dalam perbaikan
proses bisnis
dan pengambilan keputusan. ,anyak cara yang bisa dilakukan perusahaan untuk menerapkan teknologi in5ormasi yaitu8 membeli8 membangun sendiri8 atau menyerahkan ke pihak lain untuk pengembangannya. )enerapan teknologi in5ormasi melalui pengolahan data secara elektronis ;+lectronic 'ata )rocessing/+')< mau tidak mau akan memberikan dampak terhadap proses audit internal dan sekaligus proses pengendalian intern perusahaan. 7ntuk memastikan bahwa pengendalian intern
dalam
proses pengolahan
data
secara elektronik ;electronic data
processing/+')< telah dilakukan dengan baik dan benar maka perusahaan harus menjalankan 5ungsi audit terhadat sistem tersebut. 2ungsi audit dilakukan oleh seorang Auditor8 baik itu Auditor internal maupun Auditor eksternal. 'i dalam melakukan kegiatan audit8 seorang auditor sudah memiliki standar kerja sendiri8 dengan harapan seorang auditor mampu bertindak secara
independent dan dapat dipercaya. Dasil audit dari auditor dapat diman5aatkan perusahaan sebagai bahan untuk melakukan perbaikan sistem dan e5ekti5itas terhadap pengendalian internal. ntinya8 ketika sebuah perusahaan memutuskan untuk menggunakan teknologi in5ormasi8 perusahaan tersebut melalui pengendalian internalnya harus melakukan re9iew terhadap risiko baru yang muncul akibat penggunaan teknologi in5ormasi8 aplikasi komputer yang digunakan8 dan memastikan bahwa sistem keamanan/cybersecurity perusahaan sudah memadai.
