UNIVERSITAS INDONESIA

UNIVERSITAS INDONESIA

Impact of IT on Internal Audit

Mata Kuliah Audit Internal

Disusun Oleh: Alexandra Maulana 1306483971 Salamun Norman Austin 1306485283

UNIVERSITAS INDONESIA DEPOK NOPEMBER 2015

STATEMENT OF AUTHORSHIP “Kami yang bertandatangan dibawah ini menyatakan bahwa makalah terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang kami gunakan tanpa menyebutkan sumbernya. Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan dengan jelas menggunakannya. Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.”

Mata Ajaran

: Audit Internal

Judul Makalah/Tugas : Impact of IT on Internal Audit Tanggal

: 5 Nopember 2015

Dosen

: Elok Tresnaningsih M.S.Ak

Nama

NPM

Alexandra Maulana

1306483971

Salamun Norman Austin

1306485283

2

TTD

Universitas Indonesia

DAFTAR ISI

Halaman Cover

1

Statement of Authorship

2

DAFTAR ISI

3

BAB 1

PENDAHULUAN

4

BAB 2

PEMBAHASAN

5

A. IT General Control and ITIL Best Practice

5

B. Reviewing and Assesing IT

25

C. Cybersecurity and Privacy Control

49

BAB 3 KESIMPULAN

50

DAFTAR PUSTAKA

51

3


BAB 1 PENDAHULUAN Saat ini perkembangan teknologi dan informasi dalam dunia bisnis semakin pesat. Salah satunya adalah penggunaan IT pada fungsi pengendalian perusahaan seperti aplikasi akuntansi hingga aplikasi bisnis proses lainnya. Oleh karena itu, pengawasan yang dilakukan auditor internal semakin kompleks terhadap sistem tersebut. Permasalahan dalam memahami proses umum IT adalah terlalu banyaknya variasi dari aplikasi yang digunakan oleh organisasi. Hal ini karena penggunaan aplikasi setiap organisasi disesuaikan dengan kebutuhan utama proses bisnis dari organisasi tersebut.

4


BAB 2 PEMBAHASAN IT General Control and ITIL Best Practice Dalam dunia tekhnologi informasi (IT) sekarang ini, internal auditor harus memiliki pemahaman yang kuat tentang tekhnik-tekhnik IT Internal control. IT control terdiri dari dua level; yaitu application control yang melingkupi proses yang spesifik, seperti account payable application dan IT General control. Selanjutnya, pada bab ini akan dibahas tentang IT General Control dari perspektif auditor internal dan praktik terbaik IT General Control yang yang telah diakui di seluruh dunia, yaitu Information Technology Infrastructure Library (ITIL). Di dalam ITIL telah dijabarkan jenis kerangka audit yang harus dipertimbangkan ketika mereviu resiko pengendalian internal pada teknologi informasi dan merekomendasikan perbaikan yang efektif dari general control. A. Importance of IT General Controls Auditor Internal mulai terlibat dalam audit IT dan prosedur pengendalian ketika aplikasi akuntansi pertama kali terinstal (pada saat kartu masukan ditekan ke dalam sistem komputer). Sistem-sistem perusahaan pada awal mulanya sering dipasang pada kamar berdinding kaca dalam lobi perusahaan untuk member kesan kepada pengunjung bahwa sistem dalam perusahaan tersebut sangat canggih. Namun pada kenyataannya, sistem-sistem tersebut tidak canggih. Auditor internal yang tidak mengenal teknologi pengolahan data tersebut akan melakukan ”audit around the computer”Artinya auditor internal akan berfokus pada prosedur pengendalian input dan penerapan pada output untuk memeriksa apakah input seimbang untuk menghasilkan laporan output. Di era ini, ada sedikit pertanyaan tentang akurasi dan kontrol dari laporan yang dihasilkan oleh sistem komputer. Auditor internal hanya berfokus pada input dan output, sementara yang terjadi di sekitar komputer adalah prosedur pengolahan program

5


Pada awal tahun 1970, Equity Funding yang merupakan perusahaan asuransi di California mengalami pertumbuhan yang sangat pesat. Beberapa pihak merasa bahwa perusahaan tersebut tumbuh terlalu cepat. Karena demikian, auditor eksternal perusahaan tersebut memutuskan untuk mencoba teknik baru dan menjalankan software yang telah mereka rancang sendiri pada dokumen Equity Funding. Hasilnya telah ditemukan penipuan secara besar-besaran dengan data yang tidak valid yang telah dimasukan ke dalam file komputer . Pihak manajemen telah memasukan data polis asuransi fiktif. Padahal sebelumnya, pihak eksternal auditor telah mengandalkan output yang telah dicetak oleh sistem komputer tanpa adanya prosedur tambahan prosedur untuk memastikan kebenaran dokumen dan program komputer. Setelah peristiwa tersebut, American Institute of Certified Public Akuntan (AICPA) dan Institut of Internal Auditors (IIA) mulai menekankan pentingnya audit pada kegiatan pengolahan data dan kontrol aplikasi. Lalu kemudian meluncurkan spesialis baru, yaitu computer auditing. Dalam lingkungan IT modern, profesi internal auditor mulai berfokus pada aplikasi spesifik dan general control yang meliputi semua operasi IT. IT General Control mencakup semua operasi sistem informasi termasuk :



Reliability of information system processing

Pengendalian yang baik harus ditempatkan pada seluruh sistem operasi IT. Pengendalian juga tergantung pada sifat dan pengelolaan pada sistem yang berjenis dan berukuran tertentu.



Integrity of data

Proses yang harus dilakukan adalah memastikan tingkat integritas semua data yang digunakan dalam berbagai aplikasi program.



Integrity of programs Baru atau revisi program seharusnya dikembangkan dengan pengendalian yang baik untuk menyediakan hasil proses yang akurat. Integritas akan pengendalian ini termasuk keseluruhan proses pengembangan atas aplikasi program.

6






Control of the proper developments and implementation of systems Pengendalian perlu ditempatkan untuk memastikan pengembangan yang teratur dalam pengembangan baru ataupun revisi sistem informasi. Continuity of processing Pengendalian perlu ditempatkan dalam sistem back-up dan dalam operasi recovery dalam kejadian kejadian yang tidak biasa.

B. Client-server and Smaller Systems General IT Control 1. General Controls for Small Business Systems Sistem yang lebih kecil dapat diimplementasikan dalam berbagai cara, tergantung konfigurasi sistem dan ukuran dari perusahaan. Auditor internal sebaiknya dapat mengetahui perberdaan-perbedaan dengan perusahan yang esar dan menyusun prosedur internal audit yang pantas untuk mereview pengendalian umum. Dalam subbab ini dibahas mengenai pengendalian umum dalam sistem komputer bisnis kecil, internet dan sistem jaringan, sistem server dll. a) Small Business Computer System Controls Karakteristik dari sistem komputer pada bisnis kecil adalah diantaranya :  Staff IT yang terbatas Dalam perusahaan kecil biasanya memiliki staff IT yang sedikit. Resiko pengendalian dari perusahan kecil adalah ketika mereka masih menggunakan jasa pihak ketiga dalam mengelola sistem IT nya, sehingga 

ada resiko pada keamaan data-data penting perusahaan. Kapabilitas programming yang terbatas Tipikal dalam perusahaan kecil dalam menerapkan sistem komputernya adalah membeli paket software dan perusahaan hanya memperbaharui

 

paket sistem tersebut dan melakukan pemelihara sistem. Pengendalian Lingkungan yang terbatas Tidak memerlukan perlindungan lingkungan yang khusus Pengendalian keamanaan fisik yang terbatas Tingkatan kekhawatiran auditor dalam pengendalian fisik TI tergantung pada aplikasi yang di proses.Internal audit akan merekomedasikan peningkatan keamanan jika suatu aplikasi sedang dalam tahap

7


pengembangan yang membutuhkan proteksi yang lebih. Selebihnya, 

tidak perlu ada keamanan fisik yang signifikan. Pengendalian jaringan telekomunikasi Dalam lingkup bisnis yang kecil tidak memerlukan pengendalian dan kebijakan dalam pengendalian jaringan telekomunikasi.

b) Client-Server Computer Systems Dalam jaringan lokal, setiap workstation adalah klien. Prosesor yang terpusat yang dimana bisa men-share file dan sumber-sumber lainnya, disebut server. Berikut ini adalah gambar ilustrasi dari client server :

c) Nonbusiness Specialized Processor Computer Systems Di dalam dunia bisnis sekarang ini, banyak sistem-sistem lain yang digunakan selain dalam operasional TI seperti penilitian insinyur, pengendalian Operasi manufaktur, pemasaran dll. Sistem-sistem ini sudah spesifik dikhususkan untuk area-area tertentu. Contohnya, computer-aided design (CAD). Sebelum memulai review atas IT yang khusus ini, auditor internal perlu memahami pengetahuan yang cukup dalam atas seluruh fungsi operasional. Review atas IT yang terspesialisasi ini tidak disarankan bagi auditor internal yang kurang berpengalaman. 2. Smaller Systems’ IT Operations Internal Controls Seperti dibahas sebelumnya, auditor internal biasanya memeriksa pemisahan pekerjaan dalam prosedur awal evaluasi IT general control. Tetapi

8


pemisahan tugas ini terkadang sulit jika diimplementasikan dalam departemen yang kecil.Tetapi biasanya dalam lingkungan yang kecil menerapkan :   

Pembelian Software Peningkatan perhatian manajemen Pemisahan pekerjaan input dan processingnya

Resiko pengendalian dapat menjadi pertimbangan utama saat prosedur audit sudah mengidentifikasi pengendalian yang lemah dalam system bisnis yang kecil.Dalam system bisnis yang besar, auditor internal sering meminta dokumen deskripsi posisi sebagai bukti pengendalian baik atas fungsi TI. Tetapi, biasanya dalam system bisnis yang kecil tidak mempunyai deskripsi posisi yang jelas.Oleh karenaitu, penting bagi perusahaan kecil untuk mendokumentasikan prosedur TI nya.Sehingga,

pada

saat

satu

personel

berhalangan/mengundurkandiri,

pekerjaannya dapat digantikan oleh orang lain berdasarkan prosedur yang telah didokumentasikan. Jika dalam perusahaan yang besar, selalu ada suatu standard wajib yang berlaku umum baik untuk lingkup besar maupun kecil. 3. Auditing IT General Controls for Smaller IT Systems Dalam mengaudit sistem It yang lebih kecil, auditor internal perlu memperhatikan hal-hal berkut ini : a) Smaller System Controls Over Access To Data And Programs Are Often Weak Saat ada personel yang dapat mengakses data-data komputer, maka pengendalian umumnya sudah lemah. Auditor internal perlu fokus pada otorisasi akses ke pusat data pada perusahaan yang kecil. Apakah perusahaan tersebut memiliki log-on untuk masuk ke data-data perusahaan. Jika pun ada, perlu di periksa apakah password nya diubah secara berkala. Apakah ada perbedaan akses antara karyawan/divisi. b) Unauthorized Use Of Utility Programs Dalam sistem TI selalu ada yang disebut program utiliti, yaitu program yang khusus digunakan untuk merubah sistem data suatu aplikasi, seharusnya hanya personel TI yang boleh menggunakannnya. Sistem ini 9


pun

beresiko

untuk

digunakan

oleh

pihak-pihak

yang

ingin

menyalahgunakannya. c) Improper It Data And Program Access Requests Dalam perusahaan atau entitas yang besar selalu menerapkan sistem ‘persetujuan’ dalam permohonan untuk berbagai macam akses data perusahaan.

Persetujuan

ini

biasanya

mengacu

ke

atasan

yang

bersangkutan. Dalam perusahaan atau entitas kecil biasanya mengacuhkan ‘persetujuan’, sehingga resiko pengendalian mengenai akses yang tidak benar menjadi lebih besar.

C. Components and Controls of Mainframe and Legacy Systems 1. Characteristics of Larger IT Systems Berikut ini merupakan karakteristik pengendalian internal yang khas dalam sistem bisnis TI besar : 

Kontrol keamanan fisik (Physical security controls) Pusat komputer dengan file data yang besar biasanya diletakan pada ruangan yang terkunci rapat dan tanpa jendela . Hal ini dilakukan untuk mencegah orang yang tidak memiliki wewenang untuk masuk mengambil laporan, menanyakan hal-hal yang dapat mengganggu operator atau menyebabkan kerusakan berbahaya. Karena adanya potensi kemunculan hal yang diluar dugaan seperti adanya terorisme dan bencana alam maka peralatan pada pusat sistem komputer akan rusak. Untuk itu sistem operasi harus ditempatkan di lokasi yang aman dan sangat terlindungi, sehingga dapat meminimalisir resiko.



Persyaratan pengendalian lingkungan (Environmental control requirements) Ruangan tempat menyimpan hardware terutama pusat komputer harus dilengkapi dengan mesin pendingin seperti AC atau watercooling chiller systems karena alat elektronik yang bekerja dengan 10


kekuatan penuh seringkali menghasilkan panas. Selain itu karena banyak komputer yang saling terhubung baik dengan komputer pusat maupun dengan peralatan lainnya dengan menggunakan kabel yang banyak, maka perlu dibuat lubang dan jalur kabel pada dinding, lantai dan meja. Sistem yang besar juga rentan terhadap pemadaman listrik secara tiba-tiba dan adanya fluktuasi pada tegangan. Oleh karena itu perlu dipasang stabilizer, power supply dan genset, sehingga apabila terjadi pemadaman listrik secara tibatiba, komputer tidak akan padam. 

Memisahkan area media penyimpanan (Separate storage media libraries.) Barang-barang yang mengandung magnetik seperti catridge harus

 

disimpan pada tempat yang terpisah. Sistem Operasi yang multitasking (Multitask operating systems) Kemampuan programming in-house (In-house programming capabilities) Kebalikan dari perusahaan atau entitas yang kecil biasanya hanya membeli software dari pihak luar. Perusahaan atau entitas yang lebih besar biasanya juga mempunyai aplikasi yang dikembangkan



secara internal. Jaringan telekomunikasi

yang

telecommunications network.) Pada perusahaan besar biasanya

lebih telah

luas

(Extensive

memiliki

jaringan

telekomunikasi yang lebih luas tersambung dengan seluruh 

perusahaan, online dengan internet. Memiliki data kritikal yang berjumlah sangat besar (Very large or critical files) Data-data yang kritikal ini harus di back-up secara berkala

2.

Operating Systems Software Sistem operasi adalah software dasar yang menyediakan tampilan bagi pengguna, termasuk program aplikasi dan lain lain. Seorang auditor internal perlu memiliki kemampuan yang lebih dalam memahami berbagai sistem operasi dan sistem bawaan yang sbb :

11






Sistem Operasi yang terpusat Memahami sistem operasi apa yang digunakan dan kelebihan dan kekurangan akan sistem tersebut. Sistem Monitor Pengendalian dari sistem tersebut terhadap penggunaan oleh user. Contoh, memory RAM yang melebihi kapasitas.

D. Legacy System General Controls Reviews Internal audit sebaiknya membangun satu set tujuan-tujuan pengendalian yang terspesifik untuk perencanaan review. Objektif ini bergantung pada tujuan pemeriksaan. 1. Review awal pengendalian umum IT. Tujuan dikalkukan review awal ini adalah untuk mendapatkan pemahaman umum dari pengendalian TI. Auditor internal dapat melakukan wawancara, observasi operasi, review dokumentasi dll, biasanya hanya tanya jawab saja, belum mengambil sampel. Tahap awal ini dapat membantu untuk menentukan seberapa detail review yang dibutuhkan. 2. Review detail pengendalian umum atas operasional IT. Sebuah review yang detail dan komprehensif dari pengendalian umum sistem TI yang besar, termasuk sistem program, pengendalian telekomunikasi, adiministrasi penyimpanan di operasional TI dan

fungsi pengembangan.

Prosedur audit yang detail ini dapat didapatkan dari review awal langkah pertama. Dasarnya adalah agar auditor internal memahami alur kerja fungsi opersional TI. Sistem yang sudah berkembang biasanya selalu melakukan perubahan prosedur dari waktu ke waktu menambahkan atau merubah kompleksitas yang dibutuhkan. Sehingga audit prosedur yang digunakan dapat diganti mengikut pergantian yang dilakukan oleh manajemen, tergantung kompleksitas dan ukuran perusahaan/entitas. 3. Review atas lingkup terbatas terspesialisasi. Karena permintaan manajemen, auditor terkadang juga perlu melakukan spesial review, misalnya khusus database administration. 4. Ketaatan hukum dan peraturan.

12


E. ITIL Service Support and Delivery Infrastructure ITIL (information technology infrastructure library) pertama kali dikembangkan tahun 1980 oleh Office of Government Commerce (OGC) adalah adalah

suatu

rangkaian

konsep

dan

teknik

pengelolaan

infrastruktur,

pengembangan serta operasi TI. ITIL mendeskripsikan secara detil proses, prosedur, tugas, dan checklist untuk membangun integrasi antara TI dengan strategi perusahaan yang dirancang untuk disesuaikan dengan setiap organisasi. ITIL merupakan panduan dalam melakukan perencanaan, desain, transisi, operasional, dan peningkatan layanan TI secara berkesinambungan dalam perusahaan. ITIL membagi proses utama yang meliputi IT service delivery dan

service support. Proses service support membantu membuat aplikasi IT beroperasi secara efisien dan memuaskan pelanggan, sedangkan proses service delivery meningkatkan efisiensi dan kinerja dari elemen infrastruktur IT. Sebenarnya banyak area yang dibahas dalam ITIL, tetapi pada pembahasan ini difokuskan pada 5 proses service support, area yang penting bagi auditor internal saat melaksanakan IT general control review.Pendekatan-pendekatan ini mengarah pada efisiensi fungsi operasional TI sehingga dapat memberikan jasa terbaik kepada pelanggan. ITIL tidak menetapkan rincian "bagaimana" untuk melaksanakan proses layanan dukungan, seperti konfigurasi atau manajemen perubahan. Sebaliknya, ITIL menyarankan praktek yang baik dan cara-cara untuk mengelola input dan

13


hubungan antara proses-proses tersebut. Tidak ada urutan atau mana yang lebih dulu di antara masing-masingnya. Mereka dapat dipertimbangkan dan dikelola secara terpisah, tetapi semuanya agak terkait satu sama lain. 1. ITIL Service Support Incident Management Proses Incident management harus meng-cover aktivitas memperbaiki gangguan dalam TI. Gangguan ini dapat berupa kegagalan sistem, ketidakmampuan user meng-akses sesuatu dll. Tempat user mengadu ini disebut service desk. Tujuan dari ITIL service Support Incident Management

ini

adalah

mengembalikan

operasional

yang

seharusnya/normalnya secepat mungkin dengan keefektifan biaya dengan dampak minimal yang berpengatuh ke user. Saat service desk menerima keluhan, service desk sebaiknya langsung meng-klasifikasikan sebagai prioritas, sangat penting dan penting. Pengklasifikasian ini sangat penting dalam insiden TI. Siklus dibawah ini dapat membantu auditor internal yaitu dengan memperlihatkan ‘best practice’ dalam TI. Dengan begitu akan lebih mudah bagi auditor internal melakukan review dan bertanya dengan personel TI.

14


2. Service Support Problem Management Saat proses insiden manajemen menemui insiden yang sulit dan tidak bisa diketahui alasannya, insiden tersebut harus di beritahukan kepada ‘problem management process’. 3 term dalam problem management process adalah problem control, error control, dan proactive problem management. ITIL mengartikan ‘problem’ sebagai sesuatu yang tidak dapat diketahui penyebabnya. Eror adalah penyebab yang diketahui setelah insiden terjadi, sedangkan proactive problem management adalah langkah pencegahan sebelm insiden terjadi. Idenya adalah bagaimana dan kapan service desk melaporkan suatu insiden yang sudah bukan wewenangnya lagi. Dalam service support management ini juga harus dilakukan evalusi bagaimana mencegah masalah itu terjadi. Oleh karena itu, service support management fokus pada mencari pola insiden yang sering terjadi, mencari penyebabnya dan mencari solusinya. Perbedaan Problem management dengan incident management adalah problem management bertujuan mengurangi jumlah dan variasi insiden

15

yang


menghambat bisnis sedangkan insiden bertujuan menyelesaikan masalah secepatnya. Bagi auditor internal hal-hal yang dapat ditanyakan : 

Seberapa sering adanya request dari user



Berapa lama TI menyelesaikan masalah



Berapa banyak nsiden yang terjadi sampai TI dapat melihat pola keterjadian insiden yang serupa



Solusi penyelesaian yang ditawarkan dan berapa anggaran yang dibutuhkan.

Problem management adalah area yang tepat bagi auditor internal karena disini memperlihatkan keefektifan operasional TI. a) Service Support Configuration Management Fungsi konfigurasi adalah

proses yang sangat penting yaitu

termasuk identifikasi, mencatat dan melaporkan komponenkomponen TI , versi-versinya. Managemen konfigurasi termasuk mengatur hubungan antar aset. Managemen konfigurasi juga termasuk elemen kontrol didalamnya, seperti memerlukan cek fisik yang dicocokan dengan yang dicatat. Data-data individual harus dicatat secara teratur dalam configuration management database (CMDB). Exhibit 18.7 pokok dari prosedur audit untuk mereviu proses manajemen konfigurasi perusahaan. b) Service Support Change Management Tujuan ITIL manajemen perubahan adalah menstandarisasi metode dan prosedur untuk efisiensi penggantian untuk menghindari mengurangi kualitas pelayanan sehari-hari. ITIL manajemen perubahan termasuk : 

Perangkat keras TI dan sistem perangkat lunak



Peralatan komunikasi dan perangkat lunak



Semua aplikasi perangkat lunak



Semua dokumentasi dan prosedur yang berhubungan dengan sistem

16


Proses yang efisien dalam penggantian ini adalah dengan melakukannya dengan seminimal mungkin timbulnya dampak eror. Saat mengaudit IT internal kontrol, internal auditor seharusnya melihat change management yang melengkapi : 

Selaras dengan bisnis



Peningkatan jaringan telekomunikasi antara staff dan manajemen



Meningkatkan penilaian resiko



Mengurangi dampak negatif pada pelayanan kualitas



Penilaian yang lebih baik terhadap biaya-biaya yg muncul



Menurunnya tingkat eror yang muncul c. Service Support Release Management Fungsi TI memerlukan proses yang memastikan segala perubahan akan berdampak pada semua pihak dengan baik. ‘Release’ disini dimaksudkan termasuk pembetulan beberapa masalah, peningkatan pelayanan termasuk yang baru atau perubahan perangkat lunak. Pada intinya, release management memastikan semua komponen yang diubah telah dibangun, di tes, di distribusikan dan di implementasikan secara bersama.

F. Service Delivery Best Practice 1. Service Delivery Service-Level Management Service-Level Management adalah prosess perencanaan, pengkoordinasian, perancangan,

persetujuan,

pengawasan

dan

pelaporan

dalam

persetujuan/perjanjian formal antara TI dan pemberi layanan/penerima layanan. Service Level Agreement (SLA) dapat merupakan antara TI dan pihak luar atau antara TI dan pengguna. Secara umum SLA berisi target pelayanan yang dijanjikan, hak dan kewajiban masing-masing pihak, jadwal pelaksanaan, penalti jika merugikan pihak pengguna. Proses SLA sangat penting dalam komponen operasional TI. Jika perusahaan belum menggunakan, maka auditor internal dapat merekomendasikannya. SLA dapat dijadikan dasar bagi auditor internal dalam mengukur pengendalian

17


internal TI karena dalam SLA diketahui tanggung jawab masing-masing pihak sehingga dapat saling mengontrol.

18


2. Service Delivery Financial Management for IT Services Tujuan Financial Management for IT Services adalah sebagai pemandu agar tercapai efektifitas biaya dalam mengadakan jasa TI. Tiga sub yang berhubungan adalah : a) IT Budgeting Adalah proses memprediksi dan mengontrol pengeluaran uang untuk sumber daya TI. Budgeting terdiri dari periodic, biasanya tahunan, siklus negosiasi untuk mengatur budget keseluruhan anggaran bersama dengan pemantauan sehari-hari yang sedang berlangsung dari anggaran

saat

ini.

Penganggaran

memastikan

bahwa

telah

merencanakan dan mendanai layanan TI yang tepat dan TI yang beroperasi dalam anggaran ini selama periode tersebut. Fungsi bisnis lainnya akan memiliki negosiasi periodik dengan IT untuk membangun rencana pengeluaran dan setuju program investasi; ini akhirnya menetapkan anggaran untuk IT. 19


b) IT Accounting Adalah proses TI untuk menentukan berapa banyak uang yang dihabiskan oleh pelanggan, layanan, dan aktivitas. Fungsi TI tidak selalu melakukan pekerjaan yang baik di area ini, mereka mempunya bervariasi biaya eksternal, termasuk perangkat lunak, perjanjian sewa perlengkapan, biaya telekomunikasi, dan lainnya, tetapi biaya tersebut biasnaya tidak di atur atau dilaporkan dengan baik. Mereka memiliki data yang cukup untuk membayar bon dan mengevaluasi beberapa specific area costs, tetapi fungsi TI sering lack tingkat akuntansi rinci ditemukan di sebuah perusahaan manufaktur besar. c) Charging Adalah himpunan harga dan penagihan proses untuk mengisi pelanggan untuk layanan yang disediakan. Hal ini membutuhkan akuntansi TI sound dan dilakukan dengan cara yang sederhana, adil, dan terkendali dengan baik. Proses pengisian TI kadang-kadang rusak dalam fungsi TI karena laporan penagihan layanan TI terlalu rumit atau teknis untuk banyak pelanggan. TI perlu untuk menghasilkan yang jelas, laporan dimengerti layanan TI yang digunakan sehingga pelanggan dapat memverifikasi rincian, memahami cukup untuk mengajukan

pertanyaan

mengenai

layanan,

dan

bernegosiasi

penyesuaian jika diperlukan. 3. Service Delivery Capacity Management Memastikan kapasitas dari infrastruktur TI sejalan dengan kebutuhan bisnis dan kualitas jasa yang diberikan telah sesuai. Manajemen kapasitas pada umumnya termasuk mempertimbangkan bisnis, jasa, dan manajemen kapasitas sumber. Manajemen kapasitas bisnis adalah proses jangka panjang untuk menentukan masa depan bisnis telah dipertimbangkan akan diimplementasi

di

masa

mendatang.

Manajemen

kapasitas

jasa

bertanggung jawab memastikan semua jasa TI telah dilaksanakan. Manajemen kapasitas sumberdaya bertanggung jawab atas komponen infrastruktur TI secara individu. Dari ketiga komponen tersebut, biasanya

20


dibawahi oleh satu manajer yang mengatur pelaksanaan perancanaan kapasitas, memastikan seluruh kapasitas diperbaharui. Implementasi dari manajemen kapasitas yang efektif memberi keuntungan yaitu gambaran akan kapasitas saat ini dan dapat digunakan untuk perencanaan kapasitas kedepan.

4. Service Delivery Availability Management Manajemen ketersediaan dapat digambarkan sebagai perencanaan, peningkatan dan pengukuran aksi yang dilakukan. Perencanaan termasuk menentukan

persyaratan

dan

bagimana

TI

dapat

memenuhinya.

Keuntungan utama dari manajemen ketersediaan adalah adanya proses yang terstruktur untuk memastikan jasa TI terpenuhi sampai ke pelanggan. Hal ini akan menambah jasa TI yang terus tersedia dan meningkatkan kepuasan pelanggan.

21


5. Service Delivery Continuity Management Karena bisnis menjadi sangat tergantung dengan TI, dampak dari ketidaktersediaan jasa TI meningkat secara drastic. Setiap kali ketersediaan atau kienrja dari jasa berkurang, konsumen TI tidak bisa melanjutkan kerja normal mereka. Tren ini kearah ketergangtungan tinggi pada pendukung TI dan jasa akan berlanjut dan meningkat mempengaruhi konsumen langsung, manager dan pembuat keputusan. Manajemen kontinuitas ITIL menekankan bahwa dampak dari kerugian total atau bahkan sebagian dari layanan TI harus diperkirakan dan rencana kontinuitas dibentuk untuk memastikan bahwa bisnis, dan infrastruktur pendukung TI, akan selalu dapat berlanjut.

G. Auditing IT Infrastructure Management Dukungan layanan ITIL dan layanan proses pengiriman memperkenalkan pendekatan expanded dan improved untuk mencari semua aspek infrastruktur TI. Proses ini tidak independen dan berdiri bebas. Sementara setiap proses dapat beroperasi dengan sendirinya, mereka semua tergantung pada input dan bentuk dukungan proses terkait lainnya. Kami telah mencoba untuk menunjukkan saling ketergantungan dalam beberapa deskripsi proses, dan auditor internal yang meninjau kontrol atas salah satu proses ITIL, harus memikirkan kontrol ini dalam kaitannya dengan proses lainnya. Misalnya, exhibit 18.10 menunjukkan bagaimana proses perubahan manajemen ITIL tergantung dan mendukung proses ITIL terkait lainnya. Jasa pengiriman dan jasa pendukung ITIL adalah dua unsur yang saling terkait dan hampir sejajar. Mereka mendukung pengelolaan infrastruktur TI dan perusahaan. Aplikasi TI di tengah teka-teki ini dan merupakan daerah pusat utama dari perhatian kontrol internal. Diskusi kami dari masalah, kejadian, dan proses perubahan manajemen ITIL, antara lain, cenderung untuk memanggil fungsi TI yang sangat besar dengan berbagai tingkat sumber daya staf dan manajemen. Internal auditor mungkin bertanya apakah ini standar ITIL berlaku untuk perusahaan yang jauh lebih kecil. Jawaban iya, ITIL berlaku untuk semua ukuran

22


fungsi TI. Agar ITIL memenuhi persyaratan, perusahaan does not need multiples levels of staf pendukung. Melainkan, perlu memikirkan berbagai jasa dukungan dan jasa proses pengiriman dari perspektif ITIL praktik terbaik. Fungsi kecil TI mungkin tidak perlu membangun manajemen insiden dan fungsi manajemen masalah yang terpisah tetapi harus memikirkan setiap proses yang terpisah dengan prosedur kontrol yang unik. Bahkan jika fungsi TI sangat kecil, setiap area proses ITIL harus diperlakukan sebagai daerah penting untuk proses perbaikan. Auditor internal harus menaruh perhatian khusus pada kepatuhan ITIL ketika membuat rekomendasi. Ukuran dan lingkup area yang diaudit dan lingkup operasi harus selalu dipertimbangkan. Infrastruktur TI merupakan area penting untuk reviu audit internal. Di masa lalu, semua auditor internal terlalu sering berkonsentrasi pada kontrol aplikasi dan kontrol umum TI. Proses ITIL diuraikan dalam bab ini adalah beberapa daerah yang sangat baik untuk perhatian audit internal di dunia saat ini proses kompleks yang mendukung infrastruktur TI. Ketika meninjau kontrol internal untuk setiap perusahaan TI, apakah operasi perusahaan-tingkat TI besar atau fungsi yang lebih kecil ditemukan di banyak perusahaan hari ini, auditor internal yang efektif harus berkonsentrasi pada meninjau kontrol atas proses infrastruktur TI utama.

23


H. Internal Auditor CBOK Needs for IT General Controls Auditor internal harus memahami dasar CBOK dari reviu audit internal dari control umum TI dan infrastruktur TI tetapi tidak perlu terlalu detail. Area tersebut menggambarkan persyaratan CBOK yang kuat untuk semua auditor internal. Control umum TI tampaknya terus berubah dan berkembang, banyak isu teknikal may be best reserved untuk spesialis audit TI, tapi semua auditor internal harus memiliki pengetahuan yang cukup dari control umum TI dan infrastruktur pendukung yang memperbolehkan control umum tersebut untuk beroperasi dan berfungsi. Pemahaman audit internal terhadap kontrol umum IT sangat penting. Tidak peduli apa ukuran atau ruang lingkup operasional IT, kontrol tertentu prosedur-seperti revisi Program kontrol-berlaku untuk semua operasi. Selain itu, pemahaman keseluruhan praktik terbaik ITIL harus memungkinkan auditor internal untuk memahami dan mengevaluasi kontrol umum IT di banyak lingkungan.

24


Reviewing and Assesing IT Teknologi informasi (TI) aplikasi drive sebagian besar proses perusahaan yang ada saat ini. Aplikasi TI ini berkisar dari yang relatif sederhana, seperti sistem hutang untuk membayar faktur vendor, untuk yang sangat kompleks, seperti manajemen sumber daya perusahaan (ERM) set aplikasi database yang saling terkait untuk mengontrol hampir semua proses perusahaan. Banyak aplikasi TI didasarkan pada vendor software yang dibeli, peningkatan jumlah berasal dari layanan berbasis Web, dan banyak lainnya mungkin didasarkan pada spreadsheet atau desktop aplikasi database. Dalam rangka untuk melakukan internal yang ulasan kontrol di daerah tertentu seperti akuntansi, distribusi, atau rekayasa, auditor internal harus memiliki keterampilan untuk memahami, mengevaluasi, dan menguji kontrol atas aplikasi pendukung TI. Auditor internal juga harus memahami: bagaimana aplikasi tersebut bekerja dengan mendokumentasikan aplikasi TI, menentukan tujuan pengujian audit yang spesifik, dan melakukan serangkaian pengujian audit untuk memastikan bahwa control aplikasi ini berjalan sesuai dengan yang diharapkan. Pada dasarnya, Pengendalian IT dalam konteks Audit dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi. Internal audit secara efektif perlu melakukan reviu terhadap pengendali internal atas suatu aplikasi, termasuk menilai resiko yang muncul pada saat memilih suatu aplikasi yang akan direviu, menguji pengendalian dan mereviu atas suatu aplikasi yang sedang dibangun. 25


A. IT Application Control Components Auditor internal harus memahami komponen dari typical aplikasi TI dan dibutuhkan untuk control pendukung. Orang-orang yang tidak familiar dengan TI terkadang berpikir aplikasi TI dengan istilah laporan system output atau data yang ditunjukkan dalam layar terminal. Bagaimanapun, setiap aplikasi, apakah Webbased, system mainframe yang lebih tua, aplikasi client-server, atau paket produktivitas kantor yang diinstal di system desktop local, memiliki 3 (tiga) komponen dasar, yaitu system input, program yang digunakan untuk memproses, dan system output. Setiap komponen mempunyai peran penting dalam struktur aplikasi control internal. Komponen input, output, dan sistem pengolahan komputer mungkin tidak semua clear untuk internal auditor melakukan review awal, tiga elemen yang ada untuk semua aplikasi. Tidak peduli seberapa kompleks aplikasi, auditor internal harus selalu mengembangkan pemahaman tentang aplikasi dengan breaking down komponen input, output, dan pengolahannya. Dalam semua jenis aplikasi, ketiga element tersebut pasti dimiliki oleh setiap entitas. Oleh karena itu, bagaimanapun kompleksitas dari suatu aplikasi yang dimiliki internal auditor perlu memahami dengan membagi aplikasi tersebut berdasarkan ketiga elemen tersebut. Auditor internal minimal memiliki pemahaman terhadap IT aplikasi dan proses penunjangnya yang memang menjadi bagian dari dasar kebutuhan dari Common Body Of Knowledge (CBOK). 1. Application Input Components Setiap aplikasi TI memerlukan beberapa form input untuk menghasilkan ouput, apakah data yang diinput secara manual dari voucher transaksi atau diambil dari system secara otomatis. Input merupakan salah satu tahap dalam sistem

komputerisasi

yang

paling

krusial

dan

mengandung

risiko.

Pengendalian masukan (input control) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan. Input controls ini merupakan

26


pengendalian aplikasi yang penting, karena input yang salah akan menyebabkan output juga keliru. a)

Data Collection And Other Input Devices Data yang banyak biasa diinput kedalam sistem dalam bentuk batch atau data gelondongan. Pada masa kini banyak alat-alat yang dapat digunakan untuk memasukkan data kedalam suatu aplikasi, contohnya dalam siklus penggajian, data absen diinput sudah berdasarkan timecard yang dihasilkan secara otomatis melalui finger print absensi. Dan juga dalam siklus penjualan, teknologi Radio Frequency ID (RFID) atau barcode scanner digunakan untuk menginput penjualan yang terjadi. Suatu pengendalian yang baik didalam input suatu data kedalam system sudah menggunakan skema check and balances, sehingga data yang dimiliki dapat dikatakan valid. Pada hal ini, auditor internal perlu meastikan apakah skema tersebut sudah berjalan dengan baik.

b)

Application Inputs From Other Automated Systems Suatu data dalam aplikasi dapat diinput secara otomatis akibat adanya integrasi suatu aplikasi dengan aplikasi lainnya. Sebagai contoh, dalam siklus penggajian seorang sales executive, gaji yang akan diterima akan berhubungan jumlah penjualan yang dilakukannya untuk menghitung komisi yang didapat.

c)

Files And Databases Suatu file yang baik didalam system sebuah aplikasi memiliki minmal kriteria kapan file tersebut dibuat dan label checking control untuk menghindari kesalahan input kedalam siklus pemprosesan atau aplikasi lainnya yang ada. Database sekarang ini biasa digunakan dalam susumam hierarchical databases dimana data diorganisasikan berdasarkan konsep struktur family tree. Produk database yang biasa digunakan yakni IMS (Integrated Management System) yang dikeluarkan oleh IBM. IMS adalah sistem

yang

mengkombinasikan

semua

sistem

manajemen

yang

diimplementasikan dengan tujuan untuk kepentingan bisnis organisasi. Contohnya dalam perusahaan manufaktur, setiap produk dapat dilihat

27


bagian-bagian apa saja yang digunakan didalamnya dengan data yang terintegrasi. 2. Application Program Suatu program komputer disusun berdasarkan instruksi yang memuat setiap detail proses yang ada. Internal auditor sebaiknya memahami bagaimana program aplikasi computer dibuat dan kemampuannya, agar dapat

menjelaskan

prosedur

pengendalian

yang

memadai

untuk

mendeteksi jangan sampai data (khususnya data yang sudah divalid) menjadi error karena adanya kesalahan proses. Pengendalian ini didesain untuk memberi keyakinan yang memadai bahwa : a)

Transaksi, termasuk transaksi yang dipicu melalui sistem, diolah semestinya oleh komputer

b)

Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya, dan

c)

kekeliruan pengolahan dapat diidentifikasi dan dikoreksi secara tepat waktu. 1)

Traditional Mainframe and Client Server Programs Pada

saat

ini

aplikasi

dibuat

berdasarkan

suatu

bahasa

pemprograman yang universal. COBOL merupakan bahasa pemprograman universal yang sering digunakan oleh banyak entitas dalam membuat suatu proses aplikasi. COBOL adalah singkatan dari Common Business Oriented Language yang berarti suatu bahasa tingkat tinggi yang berorentasi langsung pada masalah bisnis. Dari namanya dapat ketahui bahwa cobol adalalah bahasa pemrograman yang digunkan dalam dunia bisnis. Cobol juga dapat digunakan untuk pengolahan database, aplikasi perbakan dan accounting.

28


2)

Modern Computer Program Architectures Selain menggunakan COBOL, developer program juga banyak yang menggunakan bahasa pemprograman seperti JAVA dan C++ untuk membuat program yang lebih sederhana

29


30


3) Vendor Supplied Software Banyak apalikasi IT sekarang tidak dibuat oleh entitasnya sendiri melainkan menggunakan Vendor. Dalam menggunakan Vendor Supplied

Software,

perusahaan

seharusnya

sudah

memperhitungkan cost dan benefit yang menghasilkan keputusan dalam penggunaan Vendor tersebut. 3. IT Application Output Components Pengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat lengkap, dan digunakan sebagaimana mestinya. Pengendalian keluaran (output controls) ini didesain agar 31


output/informasi disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak secara cepat waktu dan tepat waktu.

B. Selecting Applications for Internal Audit Reviews Dikarenakan aplikasi yang sangat banyak dan beragam dimiliki oleh suatu perusahaan, biasanya internal auditor melakukan reviu berdasarkan aplikasi yang paling krusial dan memiliki resiko yang tinggi. Berikut ini beberapa factor dalam pemilihan aplikasi yang perlu direviu oleh internal auditor:

32


1. Management Request Manajemen kadang suka melakukan permintaan kepada internal audit untuk mereviu pengendalian dari aplikasi yang baru diinstal atau IT yang memiliki signifikansi terhadap sauatu permasalahan atau penyusunan strategis perusahaan. 2. Preimplementation review of new application Internal audit terkadang diminta untuk berpartisipasi dalam memberikan saran ketika suatu aplikasi ingin diciptakan. 3. Postimplementation application review Untuk beberapa aplikasi yang cukup kritikal dan berhubungan dengan analisis resiko, biasanya internal audit perlu melakukan reviu yang cukup mendetail apakah aplikasi berjalan sudah sesuai dengan yang diharapkan. 4. Internal control assessment consideration Evaluasi dan percobaan pengujian pengendalian internal guna memenuhi standar kebijakan yang ditetapkan, seperti pada SOX section 404. 5. Other audit application selection criteria Beberapa hal signifikan lainnya yang membuat internal auditor perlu melakukan reviu atas aplikasi tersebut, seperti : a) Aplikasi yang melakukan pengendalian atas asset yang signifikan b) Aplikasi yang melakukan pengendalian atas Resiko yang signifikan c) Aplikasi yang baru dilakukan perubahan didalamnya d) Dan lain-lain. Internal auditor juga biasanya melakukan reviu terhadap aplikasi yang spesifik yang menunjang keseluruhan fungsi area. Contohnya, dalam mereviu operasional dan keuangan dan department pembelian. C. Preliminary Steps to Performing Application Controls Reviews Pada saat internal auditor sudah menentukan aplikasi mana yang akan direviu, maka dia perlu memahami objektif yang ingin dicapai, teknologi yang digunakan, dan hubungan aplikasi tersebut dengan aplikasi lainnya. Pertama, biasanya internal auditor akan meminta dokumen-dokumen yang terlibat dalam siklus kegiatan dan pembuatan aplikasi tersebut. Seperti SOP yang

33


terkait dalam kegiatan bisnis dalam aplikasi tersebut dan juga beberapa dokumen yang ada dalam aplikasi tersebut, seperti :



System Development Methodology (SDM) initiating document Dokumen ini akan menunjukan permintaan dalam pembuatan system, cost/benefit yang ada, dan design general system yang dibutukan.



Functional design specification Dokumen ini berisi hal-hal mendetail mengenai elemen program, database spesifikasi, dan pengendalian system yang dijelaskan secara jelas.



Program change histories Dokumen ini berisi hal-hal historis yang menunjukan dasar perubahan suatu aplikasi terjadi ataupun bukti-bukti dokumen atas revisi aplikasi yang terjadi.



User documentation Manual Dokumen ini biasanya berbentuk buku manual penggunaan aplikasi ataupun buku bantuan apabila berbagai macam hal terjadi. 1. Conducting an Application Walk-Through Setalah melakukan pengecekan dokumen, internal auditor akan melakukan walk-through reviu, hal ini dilakukan dengan agar internal auditor dapat memahami proses kerja suatu aplikasi mulai dari system input, proses aplikasi, dan system output.

34


2. Developing Application Control Objectives Selanjutnya internal audit perlu mendefiniskan objektif yang dihasilkan dalam proses aplikasi yang sudah direviu. Didalamnya termasuk menentukan level pengendalian resiko yang diterima dan kehandalan aplikasi dalam menunjang tujuan yang dicapai.

35


D. Completing the IT Application’s Controls Audit Rincian prosedur audit pada aplikasi TI biasanya lebih sulit untuk ditetapkan jika dibandingkan dengan tujuan umum audit internal. Prosedur sangat beragam dan tergantung pada beberapa hal, yakni : 

Apakah aplikasinya dibangun sendiri atau membeli dari vendor?



Apakah aplikasinya terintegrasi dari aplikasi lain atau tidak?



Apakah aplikasi menggunakan Web Based Service Provider/Client Server atau Legacy Computer System Method?



Aplikasinya banyak yang terotomasi atau banyak diintervensi oleh manusia? Dalam melakukan pengujian terhadap pengendalian aplikasi, selain

meninjau dokumentasi dan melakukan penelusuran, akan sangat membantu jika

36


auditor internal dapat berkomunikasi dengan karyawan yang bertanggung jawab atas sistem. 1. Clarifying and Testing Audit Internal Control Objectives Pada bagian sebelumnya telah dibahas mengenai pentingnya membangun tujuan pengujian sebagai bagian dari pengujian aplikasi. Selanjutnya kita akan mengklarifikasi tujuan pengujian. Dalam beberapa hal sering ditemukan bahwa terjadi kesalahpahaman antara auditor dan manajemen dalam menetapkan tujuan audit. Misalnya manajemen menginginkan auditor untuk menguji pengendalian pada akuntansi, sementara auditor hanya menguji logika pada keamanan pengendalian. Untuk itu manajemen, user dan auditor harus duduk bersama untuk menetapkan tujuan pengendalian. Namun biasanya tujuan pengujian audit juga akan berubah jika auditor menemukan bukti dari masalah pengendalian lainnya selama proses pengujian dan akan menyarankan ruang lingkup baru atau perubahan prosedur kepada manajemen. Misalnya pada tujuan awal yang ditetapkan adalah kecukupan pengendalian internal aplikasi mungkin akan berubah pada deteksi penipuan jika ditemukan adanya transaksi yang tidak sah. Setelah melakukan klarifikasi, auditor internal harus menguji key control points dalam aplikasi. Kemudian setelah mendapatkan pemahaman pada key control point, prosedur pengujian dapat dikembangkan untuk membuat penilaian aplikasi lebih jelas. Dua gambar di bawah ini merupakan contoh prosedur audit yang berorientasi pada aplikasi client server modern dan uji kepatuhan atas aplikasi pembelian yang telah terotomasi :

37


38


a) Tests of application inputs and outputs Internal audit akan menguji ketepatan data input yang dimasukan kedalam system dan melihat apakah hasil yang keluar(output) sudah sesuai dengan seharusnya. b) Test transaction evaluation approaches Dalam pengujian ini, auditor internal harus memastikan bahwa input transaksi harus diproses dengan benar. Contohnya, ketika meninjau aplikasi manufaktur di pabrik, internal auditor mungkin mencatat beberapa transaksi pembelian yang material sebagaimana mereka masuk ke dalam terminal manufaktur. Setelah terjadi siklus pengolahan, auditor dapt memverifikasi bahwa telah dibuat penyesuaian persediaan atas peristiwa tersebut dan work-in-process cost reports telah diperbaharui dengan benar. c) Other application-review techniques Berikut ini adalah teknik-teknik lain yang digunakan dalam mereviu aplikasi : 1) Reperformance of application functions or calculations Jenis pengujian ini berlaku baik untuk aspek manual dan yang terotomasi dari sistem aplikasi. Contohnya jika aplikasi untuk aset tetap melakukan perhitungan penyusutan secara otomatis, maka auditor internal dapat menggunakan proses CAATT untuk menghitung ulang penyusutan untuk transaksi terpilih dalam uji kepatuhan. 2) Reviews of program source code Untuk pengembangan aplikasi secara in-house, internal audit dapat memverifikasi

bahwa pengecekan logika tertentu

dilakukan di dalam program dengan memverifikasi source code. Namun jenis uji kepatuhan ini harus digunakan jika dalam jumlah besar dan penuh kehati-hatian. Karena adanya potensi kompleksitas dari membaca dan memahami source code program, sangat mudah untuk melewatkan cabang program di sekitar area yang diuji. Maka dari itu terdapat program khusus

39


yang tersedia untuk membandingkan source code program dengan versi yang dikompilasi dalam perpustakaan produksi. 3) Continuous audit monitoring approaches. Internal auditor dapat sewaktu-waktu merencanakan untuk membangun prosedur audit yang melekat pada aplikasi produksi agar aplikasi tersebut mudah dikendalikan. Pendekatan ini hanya sekedar mengaudit aplikasi dan membantu mengaudit diri sendiri. 4) Observation of procedures. Pengamatan berguna ketika meninjau proses aplikasi manual maupun yang terotomasi. Misalnya stasiun kerja yang terpencil menerima

data

download

dari

sistem

pusat

mungkin

memerlukan prosedur tambahan untuk membuat koneksi download yang tepat. d) Completing the Application Controls Review Pengujian pada kepatuhan tidak menjamin bahwa tidak ada resiko yang muncul. Dalam melakukan pengujian dalam kontrol aplikasi mungkin auditor tidak menemukan permasalahan karena dalam keadaan normal mungkin sistem tidak bekerja sama seperti ketika sistem diuji. Auditor internal harus selalu berhati-hati dalam mengkondisikan laporan terkait dengan hasil uji kepatuhan yang keliru. Di dalam laporan audit harus disebutkan bahwa terdapat resiko hasil yang salah karena pengujian yang terbatas. Kadang-kadang aspek pengendalian yang telah diuji tidak membuahkan hasil karena auditor internal tidak dapat memahami aspek dari aplikasi. Maka dari itu internal audior harus meninjau deskripsi dari aplikasi tersebut dan pengendaliannya dengan memastikan ulang pada staf TI dan user. Berdasarkan tinjauan tersebut ada kemungkinan bahwa pemahaman pengendalian aplikasi harus direvisi dan kemudian melakukan kembali prosedur penilaian resiko audit.

40


Jika auditor internal menemukan bahwa melalui uji kepatuhan pengendalian aplikasi tidak bekerja, maka auditor internal harus melaporkan temuan ini. Sifat laporan ini sangat tergantung dari tingkat keparahan dari kelemahan pengendalian dan jenis dari pengujian. Sebagai contoh, jika aplikasi sedang ditinjau atas permintaan dari auditor eksternal maka jika dideteksi bahwa ada kelemahan dalam pengendalian, maka hal ini dapat dijadikan sebagai pencegahan atas kepercayaan pada hasil keuangan yang dihasilkan dari aplikasi tersebut. Jika kelemahan pada pengendalian pengendalian terutama terkait efisiensi atau operasional, auditor internal mungkin hanya melaporkannya kepada manajer TI untuk tindakan korektif di masa depan. E. Application Review Example: Client-Server Budgeting System Dalam contoh ini, auditor internal diminta untuk meninjau pengendalian atas suatu in-house client server dari architecture capital budgeting system. Departemen

perencanaan

keuangan

aplikasianalisa penganggaran modal

telah

mengembangkan

bagian

dari

menggunakan satu set spreadsheet.

Meskipun dibangun dalam sebuah aplikasi yang dibeli, pengguna telah memasukan beberapa coding untuk menjalankan program. Bagian workstation system berkomunikasi dengan server file yang berasal dari sistem mainframe dari penganggaran. Auditor internal juga telah melakukan tinjauan atas general control atas jaringan lokal dan clien server operasi komputer dan ditemukan bahwa general control telah memadai. Artinya pengguna telah mendokumentasikan aplikasi mereka, file dan programs telah dibackup pada file server, password procedures terbatas pada personil yang berwenang, dan prosedur pengendalian lainnya telah diikuti dengan baik. Auditor juga telah merekomendasikan untuk menempatkan pengendalian yang kuat atas akses telekomunikasi

ke jaringan lokal dan

menginstal prosedur untuk anti virus.

41


Setelah

dilakukannya

peninjauan

atas

general

control,

sistem

penganggaran modal diimplementasikan pada jaringan kantor administrasi. Karena Karena sistem ini memberikan masukan langsung ke sistem penganggaran perusahaan, manajemen telah meminta audit internal untuk meninjau kontrol aplikasi. Pertama-tama auditor internal membangun tujuan dari peninjauan, yaitu : 

Spreadsheet pada capital budgeting system harus memiliki pengendalian internal akuntansi yang baik.



Aplikasi harus membuat keputusan tentang capital budgeting yang benar berdasarkan parameter input pada sistem dan rumus makro yang telah deprogram



Sistem tersebut harus memberikan masukan yang akurat kepada anggaran pusat atau perusahaan sistem penganggaran perusahaan melalui file server lokal.



Sistem penganggaran modal harus mendorong efisiensi dalam departemen perencanaan keuangan.

1. Reviewing Capital Budgeting System Documentation Langkah pertama adalah internal auditor harus meninjau dokumentasi yang tersedia untuk aplikasi ini. Beberapa dokumentasi yang diperlukan auditor meliputi : a) Dokumentasi untuk paket perangkat lunak penganggaran modal, termasuk spreadsheet prosedur makro dan formula. b) Prosedur untuk meng-upload data anggaran modal ke aplikasi sistem penganggaran pusat, melalui file server jaringan serta prosedur untuk menerima input data ke fungsi mainframe IT. c) Prosedur untuk memastikan integritas keseluruhan data pada file server. Internal auditor harus mendapatkan okumentasi yang mencakup produk perangkat lunak yang digunakan, antarmuka dengan aplikasi lain, dan prosedur manual yang diperlukan.

42


Tujuan dari peninjauan dokumentasi pada aplikasi ini adalah untuk mengetahui apakah dokumentasi lengkap dan untuk mendapatkan pemahaman yang umum dari aplikasi secara keseluruhan. Kemudian, setelah meninjau dokumentasi ini dan mendiskusikannya dengan user (perencana keuangan), auditor internal harus mendokumentasikan dokumentasi yang telah diperoleh ke dalam kertas kerja. Auditor internal seringkali lebih nyaman menggambarkan dokumentasi

tersebut

menggunakan

diagram

alur

(flowchart)

meskirun

keterangan tertulis mungkinlebih memadai. Tujuan dari menggunakan diagram alur ini adalah memberikan dokumentasi pada kertas kerja auditor dan memberikan dasar dalam megidentifikasi titik pengendalian yang signifikan. 2. Identifying Capital Budgeting Application Key Controls Meskipun aplikasi ini sederhana, namun aplikasi tersebut memiliki beberapa titik kritis. Sebagai contoh, jika spreadsheet prosedur makro yang salah menghitung capital costs, present values, dan faktor terkait, manajemen akan mengambil tindakan yang salah mengenai keputusan investasi. Jika data yang dikirimkan ke mainframe penganggaran salah, catatan atas laporan keuangan akan salah juga. Jika aplikasi tidak didokumentasikan dengan benar, adanya perubahan key user di departemen perencanaan keuangan, maka dapat membuat sistem nyaris tidak dapat beroperasi. Berdasarkan pemahaman audit internal dari contoh sistem ini, key system control sekarang didefinisikan dan didokumentasikan. Karena auditor internal baru melakukan tinjauan atas general control, maka tidak perlu mengulas kembali control selama application review. Berikut ini adalah prosedur pemeriksaan audit yang dikembangkan :

43


3. Performing Application Tests of Compliance Langkah terakhir dari peninjauan ini adalah auditor internal harus melakukan pengujian dengan prosedur yang ditetapkan. Control yang diujikan di dalam tahap ini tergantung pada manajemen dan kepentingan internal audit (mungkin tidak seluruhnya). Antara control yang satu dengan yang lain mungkin terkait. Jika ada masalah atau kelemahan yang diidentifikasi dalam suatu daerah pengujian, auditor internal dapat memutuskan untuk memeriksa pula daerah yang terkait. Pengujian yang dilakukan termasuk ;



Reperformance of computations. Proses penganggaran modal didasarkan pada beberapa perhitungan yang sangat spesifik, seperti estimasi nilai kini arus kas masa depan berdasarkan faktor diskon. Menggunakan alat spreadsheet lain atau bahkan kalkulator meja, audit internal bisa memilih salah satu atau beberapa perhitungan nilai 44


sekarang yang dihasilkan oleh sistem dan menghitung ulang, untuk menentukankewajaran proses sistem. Jika ada perbedaan harus diselesaikan. 

Comparison of transactions. Audit internal dapat memilih beberapa set aplikasi budget schedules dan melakukan pelacakan melalui sistem anggaran file server untuk menentukan bahwa budget schedules telah dikirimkan dengan benar.



Proper approval of transactions. Sebelum hasil dari sistem budget schedule dikirimkan ke sistem anggaran pusat, sistem tersebut harus memiliki management approval yang tepat. Internal audit harus mengambil sampel dari salah satu pengiriman tersebut untuk diteliti.

Setelah melakukan serangkaian prosedur yang ada, sebaiknya hasil audit dilaporkan kepada manajemen supaya dapat membuat tindakan perbaikan. F. Auditing Applications under Development Banyak internal Auditor merasa lebih efisien bila melakukan review pada saat suatu aplikasi sedang dikembangkan jika dibandingkan dengan aplikasi yang sudah jadi. Pada posisi ini Internal Auditor bekerja sebagai pemberi saran untuk meningkatkan pengendalian system, bukan sebagai pembangun system. Saran tersebut merupakan hasil analysis atas kelemahan-kelemahan yang ditemukan dan diberikan dalam bentuk rekomendasi. . 1. Objectives and Obstacles of Preimplementation Auditing Terdapat beberapa hambatan pada saat internal auditor melakukan review atas suatu aplikasi IT yang sedang dibangun : a) Them versus us attitudes Pada saat internal auditor mencoba membantu memberikan masukan, IT management terkadang suka merasa hati-hati atau timbul kebencian karena akan menambah pekerjaan dalam bentuk dokumen-dokumen yang lebih mendetail. b) Internal Auditor role problems Peran internal auditor harus dipahami oleh semua pihak : 45




Extra member of the implementation team



Specialized consultant



Internal controls expert



Occupant of the extra chair



State of the art awareness needs



Many and varied preimplmentation candidates

2. Preimplementation Review Objectives Internal auditor perlu mengidentifikasi dan memberikan rekomendasi atas pengendalian yang ada dalam suatu aplikasi yang sedang dibuat dalam bentuk halhal apa saja yang sekiranya perlu diinstal. Dalam beberap Negara, peran internal auditor dalam pembangunan suatu aplikasi IT ternyata memang diwajibkan. 3. Preimplementation Review Problem Dalam penerapan review yang dilakukan oleh internal auditor, belum tentu hasil yang ditentukan dapat diterima atau sesuai dengan kebutuhan pengguna. Untuk mengurangi kesulitan dalam menyamakan hal tersebut, internal audit perlu memperhatikan hal-hal berikut :



Selecting the right application to review



Determining the proper auditor’s role



Review objectives can be difficult to define

4. Preimplementation Review Procedures Reviu dilakukan oleh internal auditor dalam setiap fase yakni inisiasi projek, mendefinisikan kebutuhan, pengembangan, percobaan, dan terakhir implmentasi. Step penting yang wajib dilakukan oleh internal auditor yakni menyampaikan rencana program audit kepada IT manjemen sehingga ada pemahaman atas apa yang diharapkan dari internal audit berdasarkan pendekatan review yang dijalankan. a)

Application Requirement Definition Objectives Internal auditor perlu mereview kebutuhan-kebutuhan dalam bentuk detail apa saja yang dibutuhkan dalam pembangunan aplikasi, dengan begitu

46


apabila internal auditor dapat mengidentifikasi pengendalian pada review tersebut, akan lebih memudahkan bagi pengembang program untuk menyesuaikan masukan yang diterima. b)

Detailed Design And Program Development Objectives Fase ini merupakan fase yang paling lama dalam pembuatan suatu aplikasi dan biasanya internal auditor menginginkan jadwal untuk melakukan reviu secara bertahap. Beberapa perusahaan IT terkadang menggunakan internal auditor untuk memastikan fungsi dari projek yang diciptakannya sudah sesuai. Sehingga suatu audit keseluruhan dapat diminimalisir apabila sejak awal internal auditor sudah membantu memberikan saran atas perbaikan yang dalam aplikasi tersebut.

c)

Application Testing and Implementation Objectives Pada fase ini biasanya terdiri dari percobaan aplikasi baru, melengkapi dokumen, pelatihan pengguna, dan pemindahan data.Internal auditor biasa memastikan apakah aplikasi sudah berjalan sesuai dengan yang diharapkan dan

melakukan

pengujiannya.

Selanjutnya

internal

auditor

akan

menyiapkan laporan dalam bentuk dokumen-dokumen untuk pengendalian signifikan yang teridentifikasi, laporan tersebut dapat berupa rekomendasi bukan implementasi yang diwajibkan. d)

Postimplementation review Objective and Reports Pada saat aplikasi sudah berjalan, review juga tetap perlu dilaksanakan. Pengguna

sebagai

pihak

yang

paling

memahami

tentu

saja

akanmemberikan masukan-masukan baru terhadap system yang sudah berjalan. Selain itu, internal audit juga biasanya melakukan review kembali namun dengan staff yang berbeda untuk melakukan pengujian dari perspektif individu lain. Untuk laporan, biasanya internal audit sudah memiliki format baku dalam pembuatannya. Report dibuat oleh internal auditor dan disetujui oleh pihak yang diaudit dan diberikan kepada pihakpihak yang berwenang. G. Importance of Reviewing IT Application Controls

47


Tinjauan tersebut akan memberikan keyakinan (assurance) pada manajemen bahwa aplikasi telah beroperasi dengan benar dan untuk manajemen TI memastikan bahwa desain dan standar pengendalian yang telah mereka buat dapat

diterapkan

yang

memungkinkan

mereka

untuk

menempatkan

ketergantungan lebih besar pada hasil output dari aplikasi tersebut.

48


Cybersecurity and Privacy Controls Teknologi sudah menjadi suatu aspek yang krusial di dalam perusahaan dalam mendukung proses bisnis dan mewujudkan efisiensi. Walaupun datang dengan berbagai kemudahan yang ditawarkan bukan berarti teknologi ada tanpa adanya risiko. Salah satu risiko utama yang meliputi perkembangan teknologi adalah risiko keamanan data. Dalam melakukan reviu yang menggunakan dasar sistem TI, auditor minimal perlu memahami pengendalian internal secara general dan resiko-resiko yang berkaitan dengan hal tersebut. Selain itu, auditor internal perlu memiliki proteksi atau pengamanan atas audit prosedur yang sudah dijalankannya. Karena data-data atau dokumen yang dimiliki atas prosedur yang sudah diaudit tersebut juga sifanya rahasia. Berbeda dengan di masa lampau dimana pencurian yang dilakukan berupa pencurian fisik, saat ini pencurian lebih bersifat logical dimana pelaku mencoba mendapatkan akses untuk mengambil informasi penting yang tidak seharusnya dapat diakses secara sembarangan. A. IT Networks Security Fundamentals Suatu jaringan perlu memiliki kemanan yang mencukupi agar tidak terjadi hal-hal yang tidak diinginkan. Dalam hal ini, internal auditor perlu menetapkan prosedur pengamanan TI apa yang mencukupi untuk mengamankan suatu jaringan tersebut. Minimnya prosedur pengendalian internal yang ada pada suatu sistem TI, dapat mengakibatkan hambatan beberapa hal yakni :



Interruptions

Terjadi saat sistem tidak dapat diakses, tak bekerja, dan hilang akibat adanya perusakan, pencurian, atau penggunaan yang salah. 

Interceptions

Pihak luar dapat mengakses aset teknologi informasi. 

Modification

Pihak yang tidak berwenang memiliki kemampuan untuk merubah data, program, maupun komponen perangkat keras. 

Fabrication

Terjadi saat pihak yang tak berwenang dapat memasukkan data atau informasi fiktif ke dalam sistem. 49


Semua hambatan diatas dapat terjadi dalam lingkungan internet, hubungan telekomunikasi, database ERP dan perangkat computer yang paling canggih hingga yang sederhana. Oleh karena itu auditor internal perlu menyadari dengan adanya perubahan teknologi yang terjadi dilingkungan sehari-hari dan menetapkan hambatan apa saja yang dapat muncul secara signifikan. Auditor internal mungkin tidak memiliki kemampuan dan pengetahuan yang komprehensif terkait keamanan sistem maupun teknologi informasi secara keseluruhan, karena bidang ilmu ini memiliki kerumitan tersendiri. Hal ini dapat menghambat auditor internal dalam melakukan penilaian dan rekomendasi terkait risiko yang meliputi teknologi informasi. Namun, auditor seharusnya memiliki pengertian terkait konsep dasar terkait keamanan. 1. Security of Data Salah satu yang dapat kita lakukan dalam keamanan suatu jaringan yaitu bisa dengan mengendalikan suatu akses yang bisa kita lakukan dalam suatu jaringan. Dengan mengendalikan akses yang dilakukan pada setiap sumber jaringan dan dengan melakukan pengontrolan akses yang dapat dilakukan oleh kita. Oleh karena itu kita harus mengetahui apa saja prinsip-prinsip yang ada dalam keamanan jaringan mulai dari integrity, confidentiality dan availability. Prinsip keamanan jaringan: a) Kerahasiaan (confidentiality) Dimana object tidak di umbar atau dibocorkan kepada subject yang tidak seharusnya berhak terhadap object tersebut, atau lazim disebut tidak authorize. b) Integritas (Integrity) Bahwa object tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi dalam perjalanan nya dari sumber menuju penerimanya. c) Ketersediaan (Availability) Dimana user yang mempunyai hak akses atau authorized users diberi akses tepat waktu dan tidak terkendala apapun.

50


2. Importance of IT Password Untuk melakukan akses terhadap suatu aplikasi atau bagian dari system TI, sangatlah penting sekali untuk menerapkan Password untuk melindungi dari orang-orang yang tidak memiliki akses didalamnya. Berikut ini merupakan criteria yang baik dalam penerapan suatu password: a) Password adalah tanggung jawab pengguna untuk menciptakan password tetapi peraturan administrasi harus dibuat untuk membuat pihak lain tidak mudah menebusnya. Contohnya. Pengendalian dan panduan harus dibuat untuk mencegah karyawan menggunakan tanggal lahir dan nama panggilan sebagai password. b) Password harus disusun sedemikian rupa supaya tidak mudah untuk ditebak.

Contohnya,

peraturan

yang

mensyaratkan

untuk

mencampurkan kata dan angka didalam sebuah password. c) Adanya persyaratan untuk mengganti password secara berkala. d) Dalam proses indentifikasi password, jika terdapat beberapa kali kesalahan dalam memasukkan password, system harus menolak akses dan meminta pengguna untuk merubah password e) Password yang dibuat jangan terlalu kompleks dan susah diingat.

51


Pada suatu aplikasi yang memiliki tingkat privasi yang tinggi, bahkan password dapat dibuat dalam bentuk finger print atau eye pupil scanner agar lebih unik dan tidak dapat ditiru. Pada hal ini, internal auditor perlu mengevaluasi apakah penerapan standar penggunaan password sudah dilakukan dengan baik pada suatu aplikasi. 3. Viruses and Malicious Program Code Virus-virus menyebabkan kerusakan dan kerugian finansial yang tidak sedikit. Seperti ancaman kelemahan lainnya, kerugian ini dirasakan baik oleh perusahaan besar maupun kecil. Jika tidak ingin kehilangan data karena virus, maka harus melaksanakan tinjauan rutin, memasang patch, dan meng-update tanda-tanda kelemahan. Perlindungan yang terbaik adalah kebijakan, prosedur, serta teknologi. Karyawan harus diberikan instruksi yang tegas perihal penerimaan e-mail yang mencurigakan dan apa yang mereka harus lakukan jika terinfeksi. Kalau hal itu dirasa kurang efektif, maka membutuhkan sebuah manajemen yang dapat menjamin konsistensi di seluruh aspek bisnis termasuk didalamnya upaya pencegahan terhadap serangan virus. Dalam kondisi ini, internal auditor perlu memberikan saran bentuk anti virus apa yang sepatutnya digunakan untuk menjaga setiap data yang dimiliki oleh suatu perusahaan.

52


4. Phising and other Identify Threats Phising adalah tindakan memperoleh informasi pribadi seperti User ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak sah. Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk mengakses rekening, melakukan penipuan kartu kredit atau memandu nasabah untuk melakukan transfer ke rekening tertentu dengan imingiming hadiah. Phaxing adalah ancaman otentikasi terkait, penjahat dapat mengirim faks kepada pelanggan suatu perusahaan meminta mereka untuk login ke Internet dan meminta mereka untuk mengirim kembali alamat URL internet mereka. Versi yang terkait dengan fax disebut disebut "phaxing." 5. IT System firewall Firewall adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah firewall diimplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah generik yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Internal auditor perlu mengetahui lokasi dan fungsi dari firewall yang digunakan. Selanjutnya apakah firewall tersebut masih relevan untuk digunakan

53


dengan hambatan-hambatan yang ada. Terakhir internal auditor juga perlu melihat laporan yang dihasilkan oleh firewall tersebut atas pelanggaranpelanggaran yang ada. 6. Other Computer Security issues Jaringan IT saat ini harus berurusan dengan banyak ancaman keamanan dan kode berbahaya. Metode mengatasi termasuk password dan firewall, ditambah kontrol akses rumit, kebutuhan untuk menggunakan enkripsi ketika transmisi data, keamanan bertingkat dalam administrasi database, dan banyak lagi. Dari perspektif audit internal, beberapa masalah keamanan komputer yang paling penting fokus pada kebutuhan untuk membangun dukungan manajemen yang kuat untuk program keamanan IT di tempat dan untuk program pendidikan pemangku kepentingan keseluruhan untuk mengesankan semua orang IT jaringan ancaman keamanan dan kerentanan.

B. IT Systems Privacy Controls Privasi adalah suatu informasi yang rahasia atau hanya dapat diketahui oleh kalangan terbatas. Dan apabila hal tersebut diketahui oleh pihak lain, dapat terjadi suatu hal-hal yang tidak diingingankan. 1. Data Profiling Privacy Issues Suatu perusahaan atau entitas yang biasanya mendapatkan database pelanggan terkadang dapat melalui pelanggan langsung ataupun pihak lain. Dalam hal ini, perusahaan perlu menjaga database tersebut agar tidak tersebar karena hal tersebut merupakan nilai privasi dari pelanggan tersebut. 2. Online Privacy and E-Commerce Issues Dalam setiap aktifitas pelanggan yang dilakukan dalam suatu website biasanya tercatat identitas computer dari pelanggan tersebut yang disebut dengan cookies. Cookies merupakan data file yang ditulis kedalam hard disk computer oleh web server yang digunakan untuk mengidentifikasi 54


user pada situs tersebut, situs itu akan dapat mengenalinya. Jadi dapat dikatakan cookies adalah ID card user saat koneksi pada situs. Hal tersebut merupakan database yang dimiliki oleh perusahan-perusahaan. 3. Radio Frequency Identification Penggunaan Radio Frequency ID (RFID) dalam berbagai macam hal aktifitas yang dilakukan oleh perusahaan baik dengan pelanggan ataupun karyawannya nerupakan suatu hal yang perlu memilki privasi didalamnya. Karena hal tersebut merupakan suatu hal yang memiliki keunikan dalam arti berbeda satu sama lain, RFID tersebut sudah memiliki data personal atas pemiliknya masing-masing. C. Auditing IT Security and Privacy Terdapat beberapa pertanyaan umum yang biasa dilemparkan oleh internal auditor pada saat melakukan review atas IT Security and Privacy, yakni : 

Can you give me a diagram of your IT Network here showing all internal and external connections within the network?



Have you installed firewalls for the network and di they protect all access points?



Is ther any way that devices on the network can communicate to other devices, such as a dila-up line through a modem, and bypass the firewall barrier?



Etc. Biasanya yang akan menjadi poin utama dalam review bagian ini adalah,

bagaimana firewall sudah bekerja dengan baik dalam melakukan pengendalian internal dan meminimalisir setiap kemungkinan resio-resiko yang dapat terjadi. Selain itu internal audit juga meastikan privacy yang dimiliki setiap data/file dapat terjaga dengan baik D. Security and Privacy in the Interal Audit Department Sekarang ini pengerjaan sebuah working paper sudah menggunakan internal based, jarang yang masih menggunakan paper based. Oleh karena itu data-data yang dimiliki dari hasil setiap review audit yang dilakukan harus dapat

55


dikumpulkan dan dikelola dengan baik berdasarkan dengan pihak-pihak mana saja yang berhak mengaksesnya. 1. Security and Control for Auditor Computers Setiap internal auditor biasanya kini sudah memiliki laptop masing-masing dalam menjalankan aktifitasnya. Didalam laptop tersebut tentu saja berisikan data-data audit yang dilakukannya pada setiap pengerjaan yang tentu saja memiliki sifat rahasia dan tidak semua pihak dapat mengetahuinya. Berikut ini hal-hal teknis yang perlu diketahui internal auditor dalam melindungi laptopnya : a) Auditor personal responsibility for auditors laptop Internal auditor tentu saja bertanggung jawab masing-masing atas laptop tersebut, sehingga diharapkan mereka dapat menjaganya dengan baik b) File backup procedure File-file juga biasanya disimpan dalam suatu server agar dapat terkelola dengan baik jika sewaktu-waktu dibutuhkan. c) Physical locks and mechanisms Laptop juga perlu diberikan pengamanan dalam bentuk tas yang aman dan penggunaan password dalam akses masuk ke kompternya. d) Antivirus and other tools Untuk menhindari virus, sebaiknya laptop menggunakan antivirus yang selalu diupdate dan ditambahkan aplikasi-aplikasi penunjang untuk melindungi latop tersebut. 2. Workpaper Security Seperti yang sudah dijelakan sebelumnya, dengan mekanisme working paper yang sudah menggunakan internet based, maka perlu diterapkan pengamanan atas data tersebut karena working paper merupakan dasar awal pembuatan laporan. 3. Audit reports and privacy Laporan audit juga perlu diamankanm sebelum dapat dismapaikan kepada pihak-pihak yang bersangkutan. 4. Internal audit security and privacy standard and training

56


Sebaiknya dalam satu department internal audit diterpakan mekanisme pengamanan data. Karena walau mereka sudah mencoba untuk menerapkan pengamanan tersebut pada setiap divisi atau departemen lain yang direviewnya, jika mareka sendiri tidak menerapkannya dengan baik mereka tidak dapat menjadi contoh untuk pihak-oihak yang lain.

57


BAB 3 KESIMPULAN

Pada makalah ini dibahas mengenai IT general control dan perspektif auditor internal yaitu berdasarkan information technology infrastructure library (ITIL). ITIL ini merekomendasikan kerangka ‘best practices’ dalam mereview risiko pengendalian internal IT dan peningkatan efektivitas pengendalian umum IT. Pengendalian IT dalam konteks audit dapat dibedakan menjadi dua kategori yaitu general control dan application control. Tujuan general control lebih menjamin integritas data yang terdapat di dalam sistem komputer. Sementara, tujuan application control dimaksudkan untuk memastikan bahwa data diinput secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam melakukan review yang menggunakan dasar sistem IT pada area cybersecurity dan kebijakan pengamanan, auditor minimal perlu memahami atas pengendalian internal secara general dan risiko-risiko yang berkaitan dengan hal tersebut. Kemudian dapat mengatasi berbagai masalah keamanan sistem IT yang dpat merugikan organisasi.

58


DAFTAR PUSTAKA

Lawrence B. Sawyer & Glen E. Sumners Sawyer’s Internal Audit 5th edition, The Institute of Internal Auditors, 2003 Moeller, Robert R, Brink’s Modern Internal Auditing, 2009 Edisi 7, John Wiley & Sons, Inc, Hoboken, New Jersey

59


UNIVERSITAS INDONESIA

Recommend Documents