Top Banner
UNIVERSITAS INDONESIA Impact of IT on Internal Audit Mata Kuliah Audit Internal Disusun Oleh: Alexandra Maulana 1306483971 Salamun Norman Austin 1306485283 UNIVERSITAS INDONESIA
82

Audit Internal - Impact of IT on Internal Audit

Jan 30, 2016

Download

Documents

Norman Austin

Impact of IT on Internal Audit - Lawrence B. Sawyer
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Audit Internal - Impact of IT on Internal Audit

UNIVERSITAS INDONESIA

Impact of IT on Internal Audit

Mata Kuliah

Audit Internal

Disusun Oleh:

Alexandra Maulana1306483971

Salamun Norman Austin1306485283

UNIVERSITAS INDONESIADEPOK

NOPEMBER 2015

Page 2: Audit Internal - Impact of IT on Internal Audit

STATEMENT OF AUTHORSHIP

“Kami yang bertandatangan dibawah ini menyatakan bahwa makalah terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang kami gunakan tanpa menyebutkan sumbernya.

Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan dengan jelas menggunakannya.

Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.”

Mata Ajaran : Audit Internal

Judul Makalah/Tugas : Impact of IT on Internal Audit

Tanggal : 5 Nopember 2015

Dosen : Elok Tresnaningsih M.S.Ak

Nama NPM TTD

Alexandra Maulana 1306483971

Salamun Norman Austin 1306485283

2 Universitas Indonesia

Page 3: Audit Internal - Impact of IT on Internal Audit

DAFTAR ISI

Halaman Cover 1

Statement of Authorship 2

DAFTAR ISI 3

BAB 1 PENDAHULUAN 4

BAB 2 PEMBAHASAN 5

A. IT General Control and ITIL Best Practice 5

B. Reviewing and Assesing IT 25

C. Cybersecurity and Privacy Control 49

BAB 3 KESIMPULAN 50

DAFTAR PUSTAKA 51

3 Universitas Indonesia

Page 4: Audit Internal - Impact of IT on Internal Audit

BAB 1

PENDAHULUAN

Saat ini perkembangan teknologi dan informasi dalam dunia bisnis semakin

pesat. Salah satunya adalah penggunaan IT pada fungsi pengendalian perusahaan

seperti aplikasi akuntansi hingga aplikasi bisnis proses lainnya. Oleh karena itu,

pengawasan yang dilakukan auditor internal semakin kompleks terhadap sistem

tersebut.

Permasalahan dalam memahami proses umum IT adalah terlalu banyaknya

variasi dari aplikasi yang digunakan oleh organisasi. Hal ini karena penggunaan

aplikasi setiap organisasi disesuaikan dengan kebutuhan utama proses bisnis dari

organisasi tersebut.

4 Universitas Indonesia

Page 5: Audit Internal - Impact of IT on Internal Audit

BAB 2

PEMBAHASAN

IT General Control and ITIL Best Practice

Dalam dunia tekhnologi informasi (IT) sekarang ini, internal auditor harus

memiliki pemahaman yang kuat tentang tekhnik-tekhnik IT Internal control. IT

control terdiri dari dua level; yaitu application control yang melingkupi proses

yang spesifik, seperti account payable application dan IT General control.

Selanjutnya, pada bab ini akan dibahas tentang IT General Control dari

perspektif auditor internal dan praktik terbaik IT General Control yang yang telah

diakui di seluruh dunia, yaitu Information Technology Infrastructure Library

(ITIL). Di dalam ITIL telah dijabarkan jenis kerangka audit yang harus

dipertimbangkan ketika mereviu resiko pengendalian internal pada teknologi

informasi dan merekomendasikan perbaikan yang efektif dari general control.

A. Importance of IT General Controls

Auditor Internal mulai terlibat dalam audit IT dan prosedur pengendalian

ketika aplikasi akuntansi pertama kali terinstal (pada saat kartu masukan ditekan

ke dalam sistem komputer). Sistem-sistem perusahaan pada awal mulanya sering

dipasang pada kamar berdinding kaca dalam lobi perusahaan untuk member kesan

kepada pengunjung bahwa sistem dalam perusahaan tersebut sangat canggih.

Namun pada kenyataannya, sistem-sistem tersebut tidak canggih. Auditor internal

yang tidak mengenal teknologi pengolahan data tersebut akan melakukan ”audit

around the computer”Artinya auditor internal akan berfokus pada prosedur

pengendalian input dan penerapan pada output untuk memeriksa apakah input

seimbang untuk menghasilkan laporan output. Di era ini, ada sedikit pertanyaan

tentang akurasi dan kontrol dari laporan yang dihasilkan oleh sistem komputer.

Auditor internal hanya berfokus pada input dan output, sementara yang terjadi di

sekitar komputer adalah prosedur pengolahan program

5 Universitas Indonesia

Page 6: Audit Internal - Impact of IT on Internal Audit

Pada awal tahun 1970, Equity Funding yang merupakan perusahaan

asuransi di California mengalami pertumbuhan yang sangat pesat. Beberapa pihak

merasa bahwa perusahaan tersebut tumbuh terlalu cepat. Karena demikian, auditor

eksternal perusahaan tersebut memutuskan untuk mencoba teknik baru dan

menjalankan software yang telah mereka rancang sendiri pada dokumen Equity

Funding. Hasilnya telah ditemukan penipuan secara besar-besaran dengan data

yang tidak valid yang telah dimasukan ke dalam file komputer . Pihak manajemen

telah memasukan data polis asuransi fiktif. Padahal sebelumnya, pihak eksternal

auditor telah mengandalkan output yang telah dicetak oleh sistem komputer tanpa

adanya prosedur tambahan prosedur untuk memastikan kebenaran dokumen dan

program komputer. Setelah peristiwa tersebut, American Institute of Certified

Public Akuntan (AICPA) dan Institut of Internal Auditors (IIA) mulai menekankan

pentingnya audit pada kegiatan pengolahan data dan kontrol aplikasi. Lalu

kemudian meluncurkan spesialis baru, yaitu computer auditing.

Dalam lingkungan IT modern, profesi internal auditor mulai berfokus pada

aplikasi spesifik dan general control yang meliputi semua operasi IT. IT General

Control mencakup semua operasi sistem informasi termasuk :

Reliability of information system processing

Pengendalian yang baik harus ditempatkan pada seluruh sistem operasi IT.

Pengendalian juga tergantung pada sifat dan pengelolaan pada sistem yang

berjenis dan berukuran tertentu.

Integrity of data

Proses yang harus dilakukan adalah memastikan tingkat integritas semua data

yang digunakan dalam berbagai aplikasi program.

Integrity of programs

Baru atau revisi program seharusnya dikembangkan dengan pengendalian

yang baik untuk menyediakan hasil proses yang akurat. Integritas akan

pengendalian ini termasuk keseluruhan proses pengembangan atas aplikasi

program.

6 Universitas Indonesia

Page 7: Audit Internal - Impact of IT on Internal Audit

Control of the proper developments and implementation of systems

Pengendalian perlu ditempatkan untuk memastikan pengembangan yang

teratur dalam pengembangan baru ataupun revisi sistem informasi.

Continuity of processing

Pengendalian perlu ditempatkan dalam sistem back-up dan dalam operasi

recovery dalam kejadian kejadian yang tidak biasa.

B. Client-server and Smaller Systems General IT Control

1. General Controls for Small Business Systems

Sistem yang lebih kecil dapat diimplementasikan dalam berbagai cara,

tergantung konfigurasi sistem dan ukuran dari perusahaan. Auditor internal

sebaiknya dapat mengetahui perberdaan-perbedaan dengan perusahan yang

esar dan menyusun prosedur internal audit yang pantas untuk mereview

pengendalian umum. Dalam subbab ini dibahas mengenai pengendalian umum

dalam sistem komputer bisnis kecil, internet dan sistem jaringan, sistem server

dll.

a) Small Business Computer System Controls

Karakteristik dari sistem komputer pada bisnis kecil adalah diantaranya :

Staff IT yang terbatas

Dalam perusahaan kecil biasanya memiliki staff IT yang sedikit. Resiko

pengendalian dari perusahan kecil adalah ketika mereka masih

menggunakan jasa pihak ketiga dalam mengelola sistem IT nya, sehingga

ada resiko pada keamaan data-data penting perusahaan.

Kapabilitas programming yang terbatas

Tipikal dalam perusahaan kecil dalam menerapkan sistem komputernya

adalah membeli paket software dan perusahaan hanya memperbaharui

paket sistem tersebut dan melakukan pemelihara sistem.

Pengendalian Lingkungan yang terbatas

Tidak memerlukan perlindungan lingkungan yang khusus

Pengendalian keamanaan fisik yang terbatas

7 Universitas Indonesia

Page 8: Audit Internal - Impact of IT on Internal Audit

Tingkatan kekhawatiran auditor dalam pengendalian fisik TI tergantung

pada aplikasi yang di proses.Internal audit akan merekomedasikan

peningkatan keamanan jika suatu aplikasi sedang dalam tahap

pengembangan yang membutuhkan proteksi yang lebih. Selebihnya,

tidak perlu ada keamanan fisik yang signifikan.

Pengendalian jaringan telekomunikasi

Dalam lingkup bisnis yang kecil tidak memerlukan pengendalian dan

kebijakan dalam pengendalian jaringan telekomunikasi.

b) Client-Server Computer Systems

Dalam jaringan lokal, setiap workstation adalah klien. Prosesor yang

terpusat yang dimana bisa men-share file dan sumber-sumber lainnya, disebut

server. Berikut ini adalah gambar ilustrasi dari client server :

c) Nonbusiness Specialized Processor Computer Systems

Di dalam dunia bisnis sekarang ini, banyak sistem-sistem lain yang

digunakan selain dalam operasional TI seperti penilitian insinyur,

pengendalian Operasi manufaktur, pemasaran dll. Sistem-sistem ini sudah

spesifik dikhususkan untuk area-area tertentu. Contohnya, computer-aided

design (CAD). Sebelum memulai review atas IT yang khusus ini, auditor

internal perlu memahami pengetahuan yang cukup dalam atas seluruh

fungsi operasional. Review atas IT yang terspesialisasi ini tidak disarankan

bagi auditor internal yang kurang berpengalaman.

8 Universitas Indonesia

Page 9: Audit Internal - Impact of IT on Internal Audit

2. Smaller Systems’ IT Operations Internal Controls

Seperti dibahas sebelumnya, auditor internal biasanya memeriksa

pemisahan pekerjaan dalam prosedur awal evaluasi IT general control. Tetapi

pemisahan tugas ini terkadang sulit jika diimplementasikan dalam departemen

yang kecil.Tetapi biasanya dalam lingkungan yang kecil menerapkan :

Pembelian Software

Peningkatan perhatian manajemen

Pemisahan pekerjaan input dan processingnya

Resiko pengendalian dapat menjadi pertimbangan utama saat prosedur

audit sudah mengidentifikasi pengendalian yang lemah dalam system bisnis yang

kecil.Dalam system bisnis yang besar, auditor internal sering meminta dokumen

deskripsi posisi sebagai bukti pengendalian baik atas fungsi TI. Tetapi, biasanya

dalam system bisnis yang kecil tidak mempunyai deskripsi posisi yang jelas.Oleh

karenaitu, penting bagi perusahaan kecil untuk mendokumentasikan prosedur TI

nya.Sehingga, pada saat satu personel berhalangan/mengundurkandiri,

pekerjaannya dapat digantikan oleh orang lain berdasarkan prosedur yang telah

didokumentasikan. Jika dalam perusahaan yang besar, selalu ada suatu standard

wajib yang berlaku umum baik untuk lingkup besar maupun kecil.

3. Auditing IT General Controls for Smaller IT Systems

Dalam mengaudit sistem It yang lebih kecil, auditor internal perlu memperhatikan

hal-hal berkut ini :

a) Smaller System Controls Over Access To Data And Programs Are

Often Weak

Saat ada personel yang dapat mengakses data-data komputer, maka

pengendalian umumnya sudah lemah. Auditor internal perlu fokus pada

otorisasi akses ke pusat data pada perusahaan yang kecil. Apakah

perusahaan tersebut memiliki log-on untuk masuk ke data-data

perusahaan. Jika pun ada, perlu di periksa apakah password nya diubah

secara berkala. Apakah ada perbedaan akses antara karyawan/divisi.

9 Universitas Indonesia

Page 10: Audit Internal - Impact of IT on Internal Audit

b) Unauthorized Use Of Utility Programs

Dalam sistem TI selalu ada yang disebut program utiliti, yaitu program

yang khusus digunakan untuk merubah sistem data suatu aplikasi,

seharusnya hanya personel TI yang boleh menggunakannnya. Sistem ini

pun beresiko untuk digunakan oleh pihak-pihak yang ingin

menyalahgunakannya.

c) Improper It Data And Program Access Requests

Dalam perusahaan atau entitas yang besar selalu menerapkan sistem

‘persetujuan’ dalam permohonan untuk berbagai macam akses data

perusahaan. Persetujuan ini biasanya mengacu ke atasan yang

bersangkutan. Dalam perusahaan atau entitas kecil biasanya mengacuhkan

‘persetujuan’, sehingga resiko pengendalian mengenai akses yang tidak

benar menjadi lebih besar.

C. Components and Controls of Mainframe and Legacy Systems

1. Characteristics of Larger IT Systems

Berikut ini merupakan karakteristik pengendalian internal yang khas

dalam sistem bisnis TI besar :

Kontrol keamanan fisik (Physical security controls)

Pusat komputer dengan file data yang besar biasanya diletakan

pada ruangan yang terkunci rapat dan tanpa jendela . Hal ini

dilakukan untuk mencegah orang yang tidak memiliki wewenang

untuk masuk mengambil laporan, menanyakan hal-hal yang dapat

mengganggu operator atau menyebabkan kerusakan berbahaya.

Karena adanya potensi kemunculan hal yang diluar dugaan seperti

adanya terorisme dan bencana alam maka peralatan pada pusat

sistem komputer akan rusak. Untuk itu sistem operasi harus

ditempatkan di lokasi yang aman dan sangat terlindungi, sehingga

dapat meminimalisir resiko.

10 Universitas Indonesia

Page 11: Audit Internal - Impact of IT on Internal Audit

Persyaratan pengendalian lingkungan (Environmental control

requirements)

Ruangan tempat menyimpan hardware terutama pusat komputer

harus dilengkapi dengan mesin pendingin seperti AC atau water-

cooling chiller systems karena alat elektronik yang bekerja dengan

kekuatan penuh seringkali menghasilkan panas. Selain itu karena

banyak komputer yang saling terhubung baik dengan komputer

pusat maupun dengan peralatan lainnya dengan menggunakan

kabel yang banyak, maka perlu dibuat lubang dan jalur kabel pada

dinding, lantai dan meja. Sistem yang besar juga rentan terhadap

pemadaman listrik secara tiba-tiba dan adanya fluktuasi pada

tegangan. Oleh karena itu perlu dipasang stabilizer, power supply

dan genset, sehingga apabila terjadi pemadaman listrik secara tiba-

tiba, komputer tidak akan padam.

Memisahkan area media penyimpanan (Separate storage media

libraries.)

Barang-barang yang mengandung magnetik seperti catridge harus

disimpan pada tempat yang terpisah.

Sistem Operasi yang multitasking (Multitask operating systems)

Kemampuan programming in-house (In-house programming

capabilities)

Kebalikan dari perusahaan atau entitas yang kecil biasanya hanya

membeli software dari pihak luar. Perusahaan atau entitas yang

lebih besar biasanya juga mempunyai aplikasi yang dikembangkan

secara internal.

Jaringan telekomunikasi yang lebih luas (Extensive

telecommunications network.)

Pada perusahaan besar biasanya telah memiliki jaringan

telekomunikasi yang lebih luas tersambung dengan seluruh

perusahaan, online dengan internet.

Memiliki data kritikal yang berjumlah sangat besar (Very large or

critical files)

11 Universitas Indonesia

Page 12: Audit Internal - Impact of IT on Internal Audit

Data-data yang kritikal ini harus di back-up secara berkala

2. Operating Systems Software

Sistem operasi adalah software dasar yang menyediakan tampilan bagi

pengguna, termasuk program aplikasi dan lain lain. Seorang auditor

internal perlu memiliki kemampuan yang lebih dalam memahami berbagai

sistem operasi dan sistem bawaan yang sbb :

Sistem Operasi yang terpusat

Memahami sistem operasi apa yang digunakan dan kelebihan dan

kekurangan akan sistem tersebut.

Sistem Monitor

Pengendalian dari sistem tersebut terhadap penggunaan oleh user.

Contoh, memory RAM yang melebihi kapasitas.

D. Legacy System General Controls Reviews

Internal audit sebaiknya membangun satu set tujuan-tujuan pengendalian

yang terspesifik untuk perencanaan review. Objektif ini bergantung pada tujuan

pemeriksaan.

1. Review awal pengendalian umum IT.

Tujuan dikalkukan review awal ini adalah untuk mendapatkan pemahaman

umum dari pengendalian TI. Auditor internal dapat melakukan wawancara,

observasi operasi, review dokumentasi dll, biasanya hanya tanya jawab saja,

belum mengambil sampel. Tahap awal ini dapat membantu untuk menentukan

seberapa detail review yang dibutuhkan.

2. Review detail pengendalian umum atas operasional IT.

Sebuah review yang detail dan komprehensif dari pengendalian umum sistem

TI yang besar, termasuk sistem program, pengendalian telekomunikasi,

adiministrasi penyimpanan di operasional TI dan fungsi pengembangan.

Prosedur audit yang detail ini dapat didapatkan dari review awal langkah

pertama. Dasarnya adalah agar auditor internal memahami alur kerja fungsi

opersional TI. Sistem yang sudah berkembang biasanya selalu melakukan

perubahan prosedur dari waktu ke waktu menambahkan atau merubah

12 Universitas Indonesia

Page 13: Audit Internal - Impact of IT on Internal Audit

kompleksitas yang dibutuhkan. Sehingga audit prosedur yang digunakan dapat

diganti mengikut pergantian yang dilakukan oleh manajemen, tergantung

kompleksitas dan ukuran perusahaan/entitas.

3. Review atas lingkup terbatas terspesialisasi.

Karena permintaan manajemen, auditor terkadang juga perlu melakukan

spesial review, misalnya khusus database administration.

4. Ketaatan hukum dan peraturan.

E. ITIL Service Support and Delivery Infrastructure

ITIL (information technology infrastructure library) pertama kali

dikembangkan tahun 1980 oleh Office of Government Commerce (OGC) adalah

adalah suatu rangkaian konsep dan teknik pengelolaan infrastruktur,

pengembangan serta operasi TI. ITIL mendeskripsikan secara detil proses,

prosedur, tugas, dan checklist untuk membangun integrasi antara TI dengan

strategi perusahaan yang dirancang untuk disesuaikan dengan setiap organisasi.

ITIL merupakan panduan dalam melakukan perencanaan, desain, transisi,

operasional, dan peningkatan layanan TI secara berkesinambungan dalam

perusahaan. ITIL membagi proses utama yang meliputi IT service delivery dan

service support. Proses service support membantu membuat aplikasi IT beroperasi

secara efisien dan memuaskan pelanggan, sedangkan proses service delivery

meningkatkan efisiensi dan kinerja dari elemen infrastruktur IT. Sebenarnya

banyak area yang dibahas dalam ITIL, tetapi pada pembahasan ini difokuskan

13 Universitas Indonesia

Page 14: Audit Internal - Impact of IT on Internal Audit

pada 5 proses service support, area yang penting bagi auditor internal saat

melaksanakan IT general control review.Pendekatan-pendekatan ini mengarah

pada efisiensi fungsi operasional TI sehingga dapat memberikan jasa terbaik

kepada pelanggan.

ITIL tidak menetapkan rincian "bagaimana" untuk melaksanakan proses

layanan dukungan, seperti konfigurasi atau manajemen perubahan. Sebaliknya,

ITIL menyarankan praktek yang baik dan cara-cara untuk mengelola input dan

hubungan antara proses-proses tersebut. Tidak ada urutan atau mana yang lebih

dulu di antara masing-masingnya. Mereka dapat dipertimbangkan dan dikelola

secara terpisah, tetapi semuanya agak terkait satu sama lain.

1. ITIL Service Support Incident Management

Proses Incident management harus meng-cover aktivitas memperbaiki

gangguan dalam TI. Gangguan ini dapat berupa kegagalan sistem,

ketidakmampuan user meng-akses sesuatu dll. Tempat user mengadu ini

disebut service desk. Tujuan dari ITIL service Support Incident

Management ini adalah mengembalikan operasional yang

seharusnya/normalnya secepat mungkin dengan keefektifan biaya dengan

dampak minimal yang berpengatuh ke user. Saat service desk menerima

keluhan, service desk sebaiknya langsung meng-klasifikasikan sebagai

prioritas, sangat penting dan penting. Pengklasifikasian ini sangat penting

dalam insiden TI. Siklus dibawah ini dapat membantu auditor internal

yaitu dengan memperlihatkan ‘best practice’ dalam TI. Dengan begitu

akan lebih mudah bagi auditor internal melakukan review dan bertanya

dengan personel TI.

14 Universitas Indonesia

Page 15: Audit Internal - Impact of IT on Internal Audit

2. Service Support Problem Management

Saat proses insiden manajemen menemui insiden yang sulit dan

tidak bisa diketahui alasannya, insiden tersebut harus di beritahukan

kepada ‘problem management process’. 3 term dalam problem

management process adalah problem control, error control, dan proactive

problem management. ITIL mengartikan ‘problem’ sebagai sesuatu yang

tidak dapat diketahui penyebabnya. Eror adalah penyebab yang diketahui

setelah insiden terjadi, sedangkan proactive problem management adalah

langkah pencegahan sebelm insiden terjadi. Idenya adalah bagaimana dan

kapan service desk melaporkan suatu insiden yang sudah bukan

wewenangnya lagi. Dalam service support management ini juga harus

dilakukan evalusi bagaimana mencegah masalah itu terjadi. Oleh karena

itu, service support management fokus pada mencari pola insiden yang

sering terjadi, mencari penyebabnya dan mencari solusinya. Perbedaan

Problem management dengan incident management adalah problem

management bertujuan mengurangi jumlah dan variasi insiden yang

15 Universitas Indonesia

Page 16: Audit Internal - Impact of IT on Internal Audit

menghambat bisnis sedangkan insiden bertujuan menyelesaikan masalah

secepatnya. Bagi auditor internal hal-hal yang dapat ditanyakan :

Seberapa sering adanya request dari user

Berapa lama TI menyelesaikan masalah

Berapa banyak nsiden yang terjadi sampai TI dapat melihat pola

keterjadian insiden yang serupa

Solusi penyelesaian yang ditawarkan dan berapa anggaran yang

dibutuhkan.

Problem management adalah area yang tepat bagi auditor internal karena

disini memperlihatkan keefektifan operasional TI.

a) Service Support Configuration Management

Fungsi konfigurasi adalah proses yang sangat penting yaitu

termasuk identifikasi, mencatat dan melaporkan komponen-

komponen TI , versi-versinya. Managemen konfigurasi termasuk

mengatur hubungan antar aset. Managemen konfigurasi juga

termasuk elemen kontrol didalamnya, seperti memerlukan cek fisik

yang dicocokan dengan yang dicatat. Data-data individual harus

dicatat secara teratur dalam configuration management database

(CMDB). Exhibit 18.7 pokok dari prosedur audit untuk mereviu

proses manajemen konfigurasi perusahaan.

b) Service Support Change Management

Tujuan ITIL manajemen perubahan adalah menstandarisasi metode

dan prosedur untuk efisiensi penggantian untuk menghindari

mengurangi kualitas pelayanan sehari-hari. ITIL manajemen

perubahan termasuk :

Perangkat keras TI dan sistem perangkat lunak

Peralatan komunikasi dan perangkat lunak

Semua aplikasi perangkat lunak

Semua dokumentasi dan prosedur yang berhubungan dengan

sistem

16 Universitas Indonesia

Page 17: Audit Internal - Impact of IT on Internal Audit

Proses yang efisien dalam penggantian ini adalah dengan

melakukannya dengan seminimal mungkin timbulnya dampak eror.

Saat mengaudit IT internal kontrol, internal auditor seharusnya

melihat change management yang melengkapi :

Selaras dengan bisnis

Peningkatan jaringan telekomunikasi antara staff dan manajemen

Meningkatkan penilaian resiko

Mengurangi dampak negatif pada pelayanan kualitas

Penilaian yang lebih baik terhadap biaya-biaya yg muncul

Menurunnya tingkat eror yang muncul

c. Service Support Release Management

Fungsi TI memerlukan proses yang memastikan segala perubahan

akan berdampak pada semua pihak dengan baik. ‘Release’ disini

dimaksudkan termasuk pembetulan beberapa masalah, peningkatan

pelayanan termasuk yang baru atau perubahan perangkat lunak.

Pada intinya, release management memastikan semua komponen

yang diubah telah dibangun, di tes, di distribusikan dan di

implementasikan secara bersama.

F. Service Delivery Best Practice

1. Service Delivery Service-Level Management

Service-Level Management adalah prosess perencanaan, pengkoordinasian,

perancangan, persetujuan, pengawasan dan pelaporan dalam

persetujuan/perjanjian formal antara TI dan pemberi layanan/penerima

layanan. Service Level Agreement (SLA) dapat merupakan antara TI dan

pihak luar atau antara TI dan pengguna. Secara umum SLA berisi target

pelayanan yang dijanjikan, hak dan kewajiban masing-masing pihak,

jadwal pelaksanaan, penalti jika merugikan pihak pengguna. Proses SLA

sangat penting dalam komponen operasional TI. Jika perusahaan belum

menggunakan, maka auditor internal dapat merekomendasikannya. SLA

dapat dijadikan dasar bagi auditor internal dalam mengukur pengendalian

17 Universitas Indonesia

Page 18: Audit Internal - Impact of IT on Internal Audit

internal TI karena dalam SLA diketahui tanggung jawab masing-masing

pihak sehingga dapat saling mengontrol.

18 Universitas Indonesia

Page 19: Audit Internal - Impact of IT on Internal Audit

2. Service Delivery Financial Management for IT Services

Tujuan Financial Management for IT Services adalah sebagai pemandu

agar tercapai efektifitas biaya dalam mengadakan jasa TI. Tiga sub yang

berhubungan adalah :

a) IT Budgeting

Adalah proses memprediksi dan mengontrol pengeluaran uang untuk

sumber daya TI. Budgeting terdiri dari periodic, biasanya tahunan,

siklus negosiasi untuk mengatur budget keseluruhan anggaran bersama

dengan pemantauan sehari-hari yang sedang berlangsung dari

anggaran saat ini. Penganggaran memastikan bahwa telah

merencanakan dan mendanai layanan TI yang tepat dan TI yang

beroperasi dalam anggaran ini selama periode tersebut. Fungsi bisnis

lainnya akan memiliki negosiasi periodik dengan IT untuk membangun

rencana pengeluaran dan setuju program investasi; ini akhirnya

menetapkan anggaran untuk IT.

19 Universitas Indonesia

Page 20: Audit Internal - Impact of IT on Internal Audit

b) IT Accounting

Adalah proses TI untuk menentukan berapa banyak uang yang

dihabiskan oleh pelanggan, layanan, dan aktivitas. Fungsi TI tidak

selalu melakukan pekerjaan yang baik di area ini, mereka mempunya

bervariasi biaya eksternal, termasuk perangkat lunak, perjanjian sewa

perlengkapan, biaya telekomunikasi, dan lainnya, tetapi biaya tersebut

biasnaya tidak di atur atau dilaporkan dengan baik. Mereka memiliki

data yang cukup untuk membayar bon dan mengevaluasi beberapa

specific area costs, tetapi fungsi TI sering lack tingkat akuntansi rinci

ditemukan di sebuah perusahaan manufaktur besar.

c) Charging

Adalah himpunan harga dan penagihan proses untuk mengisi

pelanggan untuk layanan yang disediakan. Hal ini membutuhkan

akuntansi TI sound dan dilakukan dengan cara yang sederhana, adil,

dan terkendali dengan baik. Proses pengisian TI kadang-kadang rusak

dalam fungsi TI karena laporan penagihan layanan TI terlalu rumit

atau teknis untuk banyak pelanggan. TI perlu untuk menghasilkan

yang jelas, laporan dimengerti layanan TI yang digunakan sehingga

pelanggan dapat memverifikasi rincian, memahami cukup untuk

mengajukan pertanyaan mengenai layanan, dan bernegosiasi

penyesuaian jika diperlukan.

3. Service Delivery Capacity Management

Memastikan kapasitas dari infrastruktur TI sejalan dengan kebutuhan

bisnis dan kualitas jasa yang diberikan telah sesuai. Manajemen kapasitas

pada umumnya termasuk mempertimbangkan bisnis, jasa, dan manajemen

kapasitas sumber. Manajemen kapasitas bisnis adalah proses jangka

panjang untuk menentukan masa depan bisnis telah dipertimbangkan akan

diimplementasi di masa mendatang. Manajemen kapasitas jasa

bertanggung jawab memastikan semua jasa TI telah dilaksanakan.

Manajemen kapasitas sumberdaya bertanggung jawab atas komponen

infrastruktur TI secara individu. Dari ketiga komponen tersebut, biasanya

20 Universitas Indonesia

Page 21: Audit Internal - Impact of IT on Internal Audit

dibawahi oleh satu manajer yang mengatur pelaksanaan perancanaan

kapasitas, memastikan seluruh kapasitas diperbaharui. Implementasi dari

manajemen kapasitas yang efektif memberi keuntungan yaitu gambaran

akan kapasitas saat ini dan dapat digunakan untuk perencanaan kapasitas

kedepan.

4. Service Delivery Availability Management

Manajemen ketersediaan dapat digambarkan sebagai perencanaan,

peningkatan dan pengukuran aksi yang dilakukan. Perencanaan termasuk

menentukan persyaratan dan bagimana TI dapat memenuhinya.

Keuntungan utama dari manajemen ketersediaan adalah adanya proses

yang terstruktur untuk memastikan jasa TI terpenuhi sampai ke pelanggan.

Hal ini akan menambah jasa TI yang terus tersedia dan meningkatkan

kepuasan pelanggan.

21 Universitas Indonesia

Page 22: Audit Internal - Impact of IT on Internal Audit

5. Service Delivery Continuity Management

Karena bisnis menjadi sangat tergantung dengan TI, dampak dari

ketidaktersediaan jasa TI meningkat secara drastic. Setiap kali

ketersediaan atau kienrja dari jasa berkurang, konsumen TI tidak bisa

melanjutkan kerja normal mereka. Tren ini kearah ketergangtungan tinggi

pada pendukung TI dan jasa akan berlanjut dan meningkat mempengaruhi

konsumen langsung, manager dan pembuat keputusan. Manajemen

kontinuitas ITIL menekankan bahwa dampak dari kerugian total atau

bahkan sebagian dari layanan TI harus diperkirakan dan rencana

kontinuitas dibentuk untuk memastikan bahwa bisnis, dan infrastruktur

pendukung TI, akan selalu dapat berlanjut.

G. Auditing IT Infrastructure Management

Dukungan layanan ITIL dan layanan proses pengiriman memperkenalkan

pendekatan expanded dan improved untuk mencari semua aspek infrastruktur TI.

Proses ini tidak independen dan berdiri bebas. Sementara setiap proses dapat

beroperasi dengan sendirinya, mereka semua tergantung pada input dan bentuk

dukungan proses terkait lainnya. Kami telah mencoba untuk menunjukkan saling

ketergantungan dalam beberapa deskripsi proses, dan auditor internal yang

meninjau kontrol atas salah satu proses ITIL, harus memikirkan kontrol ini dalam

kaitannya dengan proses lainnya. Misalnya, exhibit 18.10 menunjukkan

bagaimana proses perubahan manajemen ITIL tergantung dan mendukung proses

ITIL terkait lainnya.

Jasa pengiriman dan jasa pendukung ITIL adalah dua unsur yang saling

terkait dan hampir sejajar. Mereka mendukung pengelolaan infrastruktur TI dan

perusahaan. Aplikasi TI di tengah teka-teki ini dan merupakan daerah pusat utama

dari perhatian kontrol internal. Diskusi kami dari masalah, kejadian, dan proses

perubahan manajemen ITIL, antara lain, cenderung untuk memanggil fungsi TI

yang sangat besar dengan berbagai tingkat sumber daya staf dan manajemen.

Internal auditor mungkin bertanya apakah ini standar ITIL berlaku untuk

perusahaan yang jauh lebih kecil. Jawaban iya, ITIL berlaku untuk semua ukuran

22 Universitas Indonesia

Page 23: Audit Internal - Impact of IT on Internal Audit

fungsi TI. Agar ITIL memenuhi persyaratan, perusahaan does not need multiples

levels of staf pendukung. Melainkan, perlu memikirkan berbagai jasa dukungan

dan jasa proses pengiriman dari perspektif ITIL praktik terbaik. Fungsi kecil TI

mungkin tidak perlu membangun manajemen insiden dan fungsi manajemen

masalah yang terpisah tetapi harus memikirkan setiap proses yang terpisah dengan

prosedur kontrol yang unik. Bahkan jika fungsi TI sangat kecil, setiap area proses

ITIL harus diperlakukan sebagai daerah penting untuk proses perbaikan.

Auditor internal harus menaruh perhatian khusus pada kepatuhan ITIL

ketika membuat rekomendasi. Ukuran dan lingkup area yang diaudit dan lingkup

operasi harus selalu dipertimbangkan.

Infrastruktur TI merupakan area penting untuk reviu audit internal. Di

masa lalu, semua auditor internal terlalu sering berkonsentrasi pada kontrol

aplikasi dan kontrol umum TI. Proses ITIL diuraikan dalam bab ini adalah

beberapa daerah yang sangat baik untuk perhatian audit internal di dunia saat ini

proses kompleks yang mendukung infrastruktur TI. Ketika meninjau kontrol

internal untuk setiap perusahaan TI, apakah operasi perusahaan-tingkat TI besar

atau fungsi yang lebih kecil ditemukan di banyak perusahaan hari ini, auditor

internal yang efektif harus berkonsentrasi pada meninjau kontrol atas proses

infrastruktur TI utama.

23 Universitas Indonesia

Page 24: Audit Internal - Impact of IT on Internal Audit

H. Internal Auditor CBOK Needs for IT General Controls

Auditor internal harus memahami dasar CBOK dari reviu audit internal

dari control umum TI dan infrastruktur TI tetapi tidak perlu terlalu detail. Area

tersebut menggambarkan persyaratan CBOK yang kuat untuk semua auditor

internal. Control umum TI tampaknya terus berubah dan berkembang, banyak isu

teknikal may be best reserved untuk spesialis audit TI, tapi semua auditor internal

harus memiliki pengetahuan yang cukup dari control umum TI dan infrastruktur

pendukung yang memperbolehkan control umum tersebut untuk beroperasi dan

berfungsi.

Pemahaman audit internal terhadap kontrol umum IT sangat penting.

Tidak peduli apa ukuran atau ruang lingkup operasional IT, kontrol tertentu

prosedur-seperti revisi Program kontrol-berlaku untuk semua operasi. Selain itu,

pemahaman keseluruhan praktik terbaik ITIL harus memungkinkan auditor

internal untuk memahami dan mengevaluasi kontrol umum IT di banyak

lingkungan.

24 Universitas Indonesia

Page 25: Audit Internal - Impact of IT on Internal Audit

Reviewing and Assesing IT

Teknologi informasi (TI) aplikasi drive sebagian besar proses perusahaan

yang ada saat ini. Aplikasi TI ini berkisar dari yang relatif sederhana, seperti

sistem hutang untuk membayar faktur vendor, untuk yang sangat kompleks,

seperti manajemen sumber daya perusahaan (ERM) set aplikasi database yang

saling terkait untuk mengontrol hampir semua proses perusahaan. Banyak aplikasi

TI didasarkan pada vendor software yang dibeli, peningkatan jumlah berasal dari

layanan berbasis Web, dan banyak lainnya mungkin didasarkan pada spreadsheet

atau desktop aplikasi database. Dalam rangka untuk melakukan internal yang

ulasan kontrol di daerah tertentu seperti akuntansi, distribusi, atau rekayasa,

auditor internal harus memiliki keterampilan untuk memahami, mengevaluasi, dan

menguji kontrol atas aplikasi pendukung TI. Auditor internal juga harus

memahami: bagaimana aplikasi tersebut bekerja dengan mendokumentasikan

aplikasi TI, menentukan tujuan pengujian audit yang spesifik, dan melakukan

serangkaian pengujian audit untuk memastikan bahwa control aplikasi ini berjalan

sesuai dengan yang diharapkan.

Pada dasarnya, Pengendalian IT dalam konteks Audit dapat dibedakan

menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan

Pengendalian Umum (General Control). Tujuan pengendalian umum lebih

menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus

meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan

pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk

memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara

benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.

Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian

umum juga dilakukan mengingat pengendalian umum memiliki kontribusi

terhadap efektifitas atas pengendalian-pengendalian aplikasi. Internal audit secara

efektif perlu melakukan reviu terhadap pengendali internal atas suatu aplikasi,

termasuk menilai resiko yang muncul pada saat memilih suatu aplikasi yang akan

direviu, menguji pengendalian dan mereviu atas suatu aplikasi yang sedang

dibangun.

25 Universitas Indonesia

Page 26: Audit Internal - Impact of IT on Internal Audit

A. IT Application Control Components

Auditor internal harus memahami komponen dari typical aplikasi TI dan

dibutuhkan untuk control pendukung. Orang-orang yang tidak familiar dengan TI

terkadang berpikir aplikasi TI dengan istilah laporan system output atau data yang

ditunjukkan dalam layar terminal. Bagaimanapun, setiap aplikasi, apakah Web-

based, system mainframe yang lebih tua, aplikasi client-server, atau paket

produktivitas kantor yang diinstal di system desktop local, memiliki 3 (tiga)

komponen dasar, yaitu system input, program yang digunakan untuk memproses,

dan system output. Setiap komponen mempunyai peran penting dalam struktur

aplikasi control internal.

Komponen input, output, dan sistem pengolahan komputer mungkin tidak

semua clear untuk internal auditor melakukan review awal, tiga elemen yang ada

untuk semua aplikasi. Tidak peduli seberapa kompleks aplikasi, auditor internal

harus selalu mengembangkan pemahaman tentang aplikasi dengan breaking down

komponen input, output, dan pengolahannya.

Dalam semua jenis aplikasi, ketiga element tersebut pasti dimiliki oleh

setiap entitas. Oleh karena itu, bagaimanapun kompleksitas dari suatu aplikasi

yang dimiliki internal auditor perlu memahami dengan membagi aplikasi tersebut

berdasarkan ketiga elemen tersebut. Auditor internal minimal memiliki

pemahaman terhadap IT aplikasi dan proses penunjangnya yang memang menjadi

bagian dari dasar kebutuhan dari Common Body Of Knowledge (CBOK).

1. Application Input Components

Setiap aplikasi TI memerlukan beberapa form input untuk menghasilkan

ouput, apakah data yang diinput secara manual dari voucher transaksi atau

diambil dari system secara otomatis. Input merupakan salah satu tahap dalam

sistem komputerisasi yang paling krusial dan mengandung risiko.

Pengendalian masukan (input control) dirancang dengan tujuan untuk

mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta

bebas dari kesalahan dan penyalahgunaan. Input controls ini merupakan

26 Universitas Indonesia

Page 27: Audit Internal - Impact of IT on Internal Audit

pengendalian aplikasi yang penting, karena input yang salah akan

menyebabkan output juga keliru.

a) Data Collection And Other Input Devices

Data yang banyak biasa diinput kedalam sistem dalam bentuk batch atau

data gelondongan. Pada masa kini banyak alat-alat yang dapat digunakan

untuk memasukkan data kedalam suatu aplikasi, contohnya dalam siklus

penggajian, data absen diinput sudah berdasarkan timecard yang

dihasilkan secara otomatis melalui finger print absensi. Dan juga dalam

siklus penjualan, teknologi Radio Frequency ID (RFID) atau barcode

scanner digunakan untuk menginput penjualan yang terjadi. Suatu

pengendalian yang baik didalam input suatu data kedalam system sudah

menggunakan skema check and balances, sehingga data yang dimiliki

dapat dikatakan valid. Pada hal ini, auditor internal perlu meastikan

apakah skema tersebut sudah berjalan dengan baik.

b) Application Inputs From Other Automated Systems

Suatu data dalam aplikasi dapat diinput secara otomatis akibat adanya

integrasi suatu aplikasi dengan aplikasi lainnya. Sebagai contoh, dalam

siklus penggajian seorang sales executive, gaji yang akan diterima akan

berhubungan jumlah penjualan yang dilakukannya untuk menghitung

komisi yang didapat.

c) Files And Databases

Suatu file yang baik didalam system sebuah aplikasi memiliki minmal

kriteria kapan file tersebut dibuat dan label checking control untuk

menghindari kesalahan input kedalam siklus pemprosesan atau aplikasi

lainnya yang ada. Database sekarang ini biasa digunakan dalam susumam

hierarchical databases dimana data diorganisasikan berdasarkan konsep

struktur family tree. Produk database yang biasa digunakan yakni IMS

(Integrated Management System) yang dikeluarkan oleh IBM. IMS adalah

sistem yang mengkombinasikan semua sistem manajemen yang

diimplementasikan dengan tujuan untuk kepentingan bisnis organisasi.

Contohnya dalam perusahaan manufaktur, setiap produk dapat dilihat

27 Universitas Indonesia

Page 28: Audit Internal - Impact of IT on Internal Audit

bagian-bagian apa saja yang digunakan didalamnya dengan data yang

terintegrasi.

2. Application Program

Suatu program komputer disusun berdasarkan instruksi yang memuat

setiap detail proses yang ada. Internal auditor sebaiknya memahami

bagaimana program aplikasi computer dibuat dan kemampuannya, agar

dapat menjelaskan prosedur pengendalian yang memadai untuk

mendeteksi jangan sampai data (khususnya data yang sudah divalid)

menjadi error karena adanya kesalahan proses. Pengendalian ini didesain

untuk memberi keyakinan yang memadai bahwa :

a) Transaksi, termasuk transaksi yang dipicu melalui sistem, diolah

semestinya oleh komputer

b) Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak

semestinya, dan

c) kekeliruan pengolahan dapat diidentifikasi dan dikoreksi secara tepat

waktu.

1) Traditional Mainframe and Client Server Programs

Pada saat ini aplikasi dibuat berdasarkan suatu bahasa

pemprograman yang universal. COBOL merupakan bahasa

pemprograman universal yang sering digunakan oleh banyak

entitas dalam membuat suatu proses aplikasi. COBOL adalah

singkatan dari Common Business Oriented Language yang berarti

suatu bahasa tingkat tinggi yang berorentasi langsung pada

masalah bisnis. Dari namanya dapat ketahui bahwa cobol adalalah

bahasa pemrograman yang digunkan dalam dunia bisnis. Cobol

juga dapat digunakan untuk pengolahan database, aplikasi

perbakan dan accounting.

28 Universitas Indonesia

Page 29: Audit Internal - Impact of IT on Internal Audit

2) Modern Computer Program Architectures

Selain menggunakan COBOL, developer program juga banyak

yang menggunakan bahasa pemprograman seperti JAVA dan C++

untuk membuat program yang lebih sederhana

29 Universitas Indonesia

Page 30: Audit Internal - Impact of IT on Internal Audit

30 Universitas Indonesia

Page 31: Audit Internal - Impact of IT on Internal Audit

3) Vendor Supplied Software

Banyak apalikasi IT sekarang tidak dibuat oleh entitasnya sendiri

melainkan menggunakan Vendor. Dalam menggunakan Vendor

Supplied Software, perusahaan seharusnya sudah

memperhitungkan cost dan benefit yang menghasilkan keputusan

dalam penggunaan Vendor tersebut.

3. IT Application Output Components

Pengendalian keluaran merupakan pengendalian yang dilakukan untuk

menjaga output sistem agar akurat lengkap, dan digunakan sebagaimana

mestinya. Pengendalian keluaran (output controls) ini didesain agar

31 Universitas Indonesia

Page 32: Audit Internal - Impact of IT on Internal Audit

output/informasi disajikan secara akurat, lengkap, mutakhir, dan

didistribusikan kepada orang-orang yang berhak secara cepat waktu dan

tepat waktu.

B. Selecting Applications for Internal Audit Reviews

Dikarenakan aplikasi yang sangat banyak dan beragam dimiliki oleh suatu

perusahaan, biasanya internal auditor melakukan reviu berdasarkan aplikasi yang

paling krusial dan memiliki resiko yang tinggi. Berikut ini beberapa factor dalam

pemilihan aplikasi yang perlu direviu oleh internal auditor:

32 Universitas Indonesia

Page 33: Audit Internal - Impact of IT on Internal Audit

1. Management Request

Manajemen kadang suka melakukan permintaan kepada internal audit

untuk mereviu pengendalian dari aplikasi yang baru diinstal atau IT yang

memiliki signifikansi terhadap sauatu permasalahan atau penyusunan

strategis perusahaan.

2. Preimplementation review of new application

Internal audit terkadang diminta untuk berpartisipasi dalam memberikan

saran ketika suatu aplikasi ingin diciptakan.

3. Postimplementation application review

Untuk beberapa aplikasi yang cukup kritikal dan berhubungan dengan

analisis resiko, biasanya internal audit perlu melakukan reviu yang cukup

mendetail apakah aplikasi berjalan sudah sesuai dengan yang diharapkan.

4. Internal control assessment consideration

Evaluasi dan percobaan pengujian pengendalian internal guna memenuhi

standar kebijakan yang ditetapkan, seperti pada SOX section 404.

5. Other audit application selection criteria

Beberapa hal signifikan lainnya yang membuat internal auditor perlu

melakukan reviu atas aplikasi tersebut, seperti :

a) Aplikasi yang melakukan pengendalian atas asset yang signifikan

b) Aplikasi yang melakukan pengendalian atas Resiko yang signifikan

c) Aplikasi yang baru dilakukan perubahan didalamnya

d) Dan lain-lain.

Internal auditor juga biasanya melakukan reviu terhadap aplikasi yang

spesifik yang menunjang keseluruhan fungsi area. Contohnya, dalam

mereviu operasional dan keuangan dan department pembelian.

C. Preliminary Steps to Performing Application Controls Reviews

Pada saat internal auditor sudah menentukan aplikasi mana yang akan

direviu, maka dia perlu memahami objektif yang ingin dicapai, teknologi yang

digunakan, dan hubungan aplikasi tersebut dengan aplikasi lainnya.

Pertama, biasanya internal auditor akan meminta dokumen-dokumen yang

terlibat dalam siklus kegiatan dan pembuatan aplikasi tersebut. Seperti SOP yang

33 Universitas Indonesia

Page 34: Audit Internal - Impact of IT on Internal Audit

terkait dalam kegiatan bisnis dalam aplikasi tersebut dan juga beberapa dokumen

yang ada dalam aplikasi tersebut, seperti :

System Development Methodology (SDM) initiating document

Dokumen ini akan menunjukan permintaan dalam pembuatan system,

cost/benefit yang ada, dan design general system yang dibutukan.

Functional design specification

Dokumen ini berisi hal-hal mendetail mengenai elemen program, database

spesifikasi, dan pengendalian system yang dijelaskan secara jelas.

Program change histories

Dokumen ini berisi hal-hal historis yang menunjukan dasar perubahan

suatu aplikasi terjadi ataupun bukti-bukti dokumen atas revisi aplikasi

yang terjadi.

User documentation Manual

Dokumen ini biasanya berbentuk buku manual penggunaan aplikasi

ataupun buku bantuan apabila berbagai macam hal terjadi.

1. Conducting an Application Walk-Through

Setalah melakukan pengecekan dokumen, internal auditor akan melakukan

walk-through reviu, hal ini dilakukan dengan agar internal auditor dapat

memahami proses kerja suatu aplikasi mulai dari system input, proses

aplikasi, dan system output.

34 Universitas Indonesia

Page 35: Audit Internal - Impact of IT on Internal Audit

2. Developing Application Control Objectives

Selanjutnya internal audit perlu mendefiniskan objektif yang dihasilkan

dalam proses aplikasi yang sudah direviu. Didalamnya termasuk

menentukan level pengendalian resiko yang diterima dan kehandalan

aplikasi dalam menunjang tujuan yang dicapai.

35 Universitas Indonesia

Page 36: Audit Internal - Impact of IT on Internal Audit

D. Completing the IT Application’s Controls Audit

Rincian prosedur audit pada aplikasi TI biasanya lebih sulit untuk

ditetapkan jika dibandingkan dengan tujuan umum audit internal. Prosedur sangat

beragam dan tergantung pada beberapa hal, yakni :

Apakah aplikasinya dibangun sendiri atau membeli dari vendor?

Apakah aplikasinya terintegrasi dari aplikasi lain atau tidak?

Apakah aplikasi menggunakan Web Based Service Provider/Client Server

atau Legacy Computer System Method?

Aplikasinya banyak yang terotomasi atau banyak diintervensi oleh

manusia?

Dalam melakukan pengujian terhadap pengendalian aplikasi, selain

meninjau dokumentasi dan melakukan penelusuran, akan sangat membantu jika

auditor internal dapat berkomunikasi dengan karyawan yang bertanggung jawab

atas sistem.

36 Universitas Indonesia

Page 37: Audit Internal - Impact of IT on Internal Audit

1. Clarifying and Testing Audit Internal Control Objectives

Pada bagian sebelumnya telah dibahas mengenai pentingnya

membangun tujuan pengujian sebagai bagian dari pengujian aplikasi.

Selanjutnya kita akan mengklarifikasi tujuan pengujian. Dalam beberapa

hal sering ditemukan bahwa terjadi kesalahpahaman antara auditor dan

manajemen dalam menetapkan tujuan audit. Misalnya manajemen

menginginkan auditor untuk menguji pengendalian pada akuntansi,

sementara auditor hanya menguji logika pada keamanan pengendalian.

Untuk itu manajemen, user dan auditor harus duduk bersama untuk

menetapkan tujuan pengendalian.

Namun biasanya tujuan pengujian audit juga akan berubah jika

auditor menemukan bukti dari masalah pengendalian lainnya selama

proses pengujian dan akan menyarankan ruang lingkup baru atau

perubahan prosedur kepada manajemen. Misalnya pada tujuan awal yang

ditetapkan adalah kecukupan pengendalian internal aplikasi mungkin akan

berubah pada deteksi penipuan jika ditemukan adanya transaksi yang tidak

sah.

Setelah melakukan klarifikasi, auditor internal harus menguji key

control points dalam aplikasi. Kemudian setelah mendapatkan pemahaman

pada key control point, prosedur pengujian dapat dikembangkan untuk

membuat penilaian aplikasi lebih jelas. Dua gambar di bawah ini

merupakan contoh prosedur audit yang berorientasi pada aplikasi client

server modern dan uji kepatuhan atas aplikasi pembelian yang telah

terotomasi :

37 Universitas Indonesia

Page 38: Audit Internal - Impact of IT on Internal Audit

38 Universitas Indonesia

Page 39: Audit Internal - Impact of IT on Internal Audit

a) Tests of application inputs and outputs

Internal audit akan menguji ketepatan data input yang dimasukan kedalam

system dan melihat apakah hasil yang keluar(output) sudah sesuai dengan

seharusnya.

b) Test transaction evaluation approaches

Dalam pengujian ini, auditor internal harus memastikan bahwa input

transaksi harus diproses dengan benar. Contohnya, ketika meninjau

aplikasi manufaktur di pabrik, internal auditor mungkin mencatat beberapa

transaksi pembelian yang material sebagaimana mereka masuk ke dalam

terminal manufaktur. Setelah terjadi siklus pengolahan, auditor dapt

memverifikasi bahwa telah dibuat penyesuaian persediaan atas peristiwa

tersebut dan work-in-process cost reports telah diperbaharui dengan benar.

c) Other application-review techniques

Berikut ini adalah teknik-teknik lain yang digunakan dalam mereviu

aplikasi :

1) Reperformance of application functions or calculations

Jenis pengujian ini berlaku baik untuk aspek manual dan yang

terotomasi dari sistem aplikasi. Contohnya jika aplikasi untuk

aset tetap melakukan perhitungan penyusutan secara otomatis,

maka auditor internal dapat menggunakan proses CAATT untuk

menghitung ulang penyusutan untuk transaksi terpilih dalam uji

kepatuhan.

2) Reviews of program source code

Untuk pengembangan aplikasi secara in-house, internal audit

dapat memverifikasi bahwa pengecekan logika tertentu

dilakukan di dalam program dengan memverifikasi source code.

Namun jenis uji kepatuhan ini harus digunakan jika dalam

jumlah besar dan penuh kehati-hatian. Karena adanya potensi

kompleksitas dari membaca dan memahami source code

program, sangat mudah untuk melewatkan cabang program di

sekitar area yang diuji. Maka dari itu terdapat program khusus

39 Universitas Indonesia

Page 40: Audit Internal - Impact of IT on Internal Audit

yang tersedia untuk membandingkan source code program

dengan versi yang dikompilasi dalam perpustakaan produksi.

3) Continuous audit monitoring approaches.

Internal auditor dapat sewaktu-waktu merencanakan untuk

membangun prosedur audit yang melekat pada aplikasi produksi

agar aplikasi tersebut mudah dikendalikan. Pendekatan ini

hanya sekedar mengaudit aplikasi dan membantu mengaudit diri

sendiri.

4) Observation of procedures.

Pengamatan berguna ketika meninjau proses aplikasi manual

maupun yang terotomasi. Misalnya stasiun kerja yang terpencil

menerima data download dari sistem pusat mungkin

memerlukan prosedur tambahan untuk membuat koneksi

download yang tepat.

d) Completing the Application Controls Review

Pengujian pada kepatuhan tidak menjamin bahwa tidak ada resiko yang

muncul. Dalam melakukan pengujian dalam kontrol aplikasi mungkin

auditor tidak menemukan permasalahan karena dalam keadaan normal

mungkin sistem tidak bekerja sama seperti ketika sistem diuji. Auditor

internal harus selalu berhati-hati dalam mengkondisikan laporan terkait

dengan hasil uji kepatuhan yang keliru. Di dalam laporan audit harus

disebutkan bahwa terdapat resiko hasil yang salah karena pengujian yang

terbatas.

Kadang-kadang aspek pengendalian yang telah diuji tidak membuahkan

hasil karena auditor internal tidak dapat memahami aspek dari aplikasi.

Maka dari itu internal audior harus meninjau deskripsi dari aplikasi

tersebut dan pengendaliannya dengan memastikan ulang pada staf TI dan

user. Berdasarkan tinjauan tersebut ada kemungkinan bahwa pemahaman

pengendalian aplikasi harus direvisi dan kemudian melakukan kembali

prosedur penilaian resiko audit.

40 Universitas Indonesia

Page 41: Audit Internal - Impact of IT on Internal Audit

Jika auditor internal menemukan bahwa melalui uji kepatuhan

pengendalian aplikasi tidak bekerja, maka auditor internal harus

melaporkan temuan ini. Sifat laporan ini sangat tergantung dari tingkat

keparahan dari kelemahan pengendalian dan jenis dari pengujian. Sebagai

contoh, jika aplikasi sedang ditinjau atas permintaan dari auditor eksternal

maka jika dideteksi bahwa ada kelemahan dalam pengendalian, maka hal

ini dapat dijadikan sebagai pencegahan atas kepercayaan pada hasil

keuangan yang dihasilkan dari aplikasi tersebut. Jika kelemahan pada

pengendalian pengendalian terutama terkait efisiensi atau operasional,

auditor internal mungkin hanya melaporkannya kepada manajer TI untuk

tindakan korektif di masa depan.

E. Application Review Example: Client-Server Budgeting System

Dalam contoh ini, auditor internal diminta untuk meninjau pengendalian

atas suatu in-house client server dari architecture capital budgeting system.

Departemen perencanaan keuangan telah mengembangkan bagian dari

aplikasianalisa penganggaran modal menggunakan satu set spreadsheet.

Meskipun dibangun dalam sebuah aplikasi yang dibeli, pengguna telah

memasukan beberapa coding untuk menjalankan program. Bagian workstation

system berkomunikasi dengan server file yang berasal dari sistem mainframe dari

penganggaran.

Auditor internal juga telah melakukan tinjauan atas general control atas

jaringan lokal dan clien server operasi komputer dan ditemukan bahwa general

control telah memadai. Artinya pengguna telah mendokumentasikan aplikasi

mereka, file dan programs telah dibackup pada file server, password procedures

terbatas pada personil yang berwenang, dan prosedur pengendalian lainnya telah

diikuti dengan baik. Auditor juga telah merekomendasikan untuk menempatkan

pengendalian yang kuat atas akses telekomunikasi ke jaringan lokal dan

menginstal prosedur untuk anti virus.

41 Universitas Indonesia

Page 42: Audit Internal - Impact of IT on Internal Audit

Setelah dilakukannya peninjauan atas general control, sistem

penganggaran modal diimplementasikan pada jaringan kantor administrasi.

Karena Karena sistem ini memberikan masukan langsung ke sistem penganggaran

perusahaan, manajemen telah meminta audit internal untuk meninjau kontrol

aplikasi.

Pertama-tama auditor internal membangun tujuan dari peninjauan, yaitu :

Spreadsheet pada capital budgeting system harus memiliki pengendalian

internal akuntansi yang baik.

Aplikasi harus membuat keputusan tentang capital budgeting yang benar

berdasarkan parameter input pada sistem dan rumus makro yang telah

deprogram

Sistem tersebut harus memberikan masukan yang akurat kepada anggaran

pusat atau perusahaan sistem penganggaran perusahaan melalui file server

lokal.

Sistem penganggaran modal harus mendorong efisiensi dalam departemen

perencanaan keuangan.

1. Reviewing Capital Budgeting System Documentation

Langkah pertama adalah internal auditor harus meninjau dokumentasi yang

tersedia untuk aplikasi ini. Beberapa dokumentasi yang diperlukan auditor

meliputi :

a) Dokumentasi untuk paket perangkat lunak penganggaran modal,

termasuk spreadsheet prosedur makro dan formula.

b) Prosedur untuk meng-upload data anggaran modal ke aplikasi

sistem penganggaran pusat, melalui file server jaringan serta

prosedur untuk menerima input data ke fungsi mainframe IT.

c) Prosedur untuk memastikan integritas keseluruhan data pada file

server. Internal auditor harus mendapatkan okumentasi yang

mencakup produk perangkat lunak yang digunakan, antarmuka

dengan aplikasi lain, dan prosedur manual yang diperlukan.

42 Universitas Indonesia

Page 43: Audit Internal - Impact of IT on Internal Audit

Tujuan dari peninjauan dokumentasi pada aplikasi ini adalah untuk

mengetahui apakah dokumentasi lengkap dan untuk mendapatkan pemahaman

yang umum dari aplikasi secara keseluruhan. Kemudian, setelah meninjau

dokumentasi ini dan mendiskusikannya dengan user (perencana keuangan),

auditor internal harus mendokumentasikan dokumentasi yang telah diperoleh ke

dalam kertas kerja. Auditor internal seringkali lebih nyaman menggambarkan

dokumentasi tersebut menggunakan diagram alur (flowchart) meskirun

keterangan tertulis mungkinlebih memadai. Tujuan dari menggunakan diagram

alur ini adalah memberikan dokumentasi pada kertas kerja auditor dan

memberikan dasar dalam megidentifikasi titik pengendalian yang signifikan.

2. Identifying Capital Budgeting Application Key Controls

Meskipun aplikasi ini sederhana, namun aplikasi tersebut memiliki

beberapa titik kritis. Sebagai contoh, jika spreadsheet prosedur makro yang salah

menghitung capital costs, present values, dan faktor terkait, manajemen akan

mengambil tindakan yang salah mengenai keputusan investasi. Jika data yang

dikirimkan ke mainframe penganggaran salah, catatan atas laporan keuangan akan

salah juga. Jika aplikasi tidak didokumentasikan dengan benar, adanya perubahan

key user di departemen perencanaan keuangan, maka dapat membuat sistem

nyaris tidak dapat beroperasi.

Berdasarkan pemahaman audit internal dari contoh sistem ini, key system

control sekarang didefinisikan dan didokumentasikan. Karena auditor internal

baru melakukan tinjauan atas general control, maka tidak perlu mengulas kembali

control selama application review. Berikut ini adalah prosedur pemeriksaan audit

yang dikembangkan :

43 Universitas Indonesia

Page 44: Audit Internal - Impact of IT on Internal Audit

3. Performing Application Tests of Compliance

Langkah terakhir dari peninjauan ini adalah auditor internal harus

melakukan pengujian dengan prosedur yang ditetapkan. Control yang diujikan di

dalam tahap ini tergantung pada manajemen dan kepentingan internal audit

(mungkin tidak seluruhnya). Antara control yang satu dengan yang lain mungkin

terkait. Jika ada masalah atau kelemahan yang diidentifikasi dalam suatu daerah

pengujian, auditor internal dapat memutuskan untuk memeriksa pula daerah yang

terkait. Pengujian yang dilakukan termasuk ;

Reperformance of computations.

Proses penganggaran modal didasarkan pada beberapa perhitungan yang

sangat spesifik, seperti estimasi nilai kini arus kas masa depan berdasarkan

faktor diskon. Menggunakan alat spreadsheet lain atau bahkan kalkulator

meja, audit internal bisa memilih salah satu atau beberapa perhitungan nilai

44 Universitas Indonesia

Page 45: Audit Internal - Impact of IT on Internal Audit

sekarang yang dihasilkan oleh sistem dan menghitung ulang, untuk

menentukankewajaran proses sistem. Jika ada perbedaan harus diselesaikan.

Comparison of transactions.

Audit internal dapat memilih beberapa set aplikasi budget schedules dan

melakukan pelacakan melalui sistem anggaran file server untuk

menentukan bahwa budget schedules telah dikirimkan dengan benar.

Proper approval of transactions.

Sebelum hasil dari sistem budget schedule dikirimkan ke sistem anggaran

pusat, sistem tersebut harus memiliki management approval yang tepat.

Internal audit harus mengambil sampel dari salah satu pengiriman tersebut

untuk diteliti.

Setelah melakukan serangkaian prosedur yang ada, sebaiknya hasil audit

dilaporkan kepada manajemen supaya dapat membuat tindakan perbaikan.

F. Auditing Applications under Development

Banyak internal Auditor merasa lebih efisien bila melakukan review pada

saat suatu aplikasi sedang dikembangkan jika dibandingkan dengan aplikasi yang

sudah jadi. Pada posisi ini Internal Auditor bekerja sebagai pemberi saran untuk

meningkatkan pengendalian system, bukan sebagai pembangun system. Saran

tersebut merupakan hasil analysis atas kelemahan-kelemahan yang ditemukan dan

diberikan dalam bentuk rekomendasi. .

1. Objectives and Obstacles of Preimplementation Auditing

Terdapat beberapa hambatan pada saat internal auditor melakukan review

atas suatu aplikasi IT yang sedang dibangun :

a) Them versus us attitudes

Pada saat internal auditor mencoba membantu memberikan masukan, IT

management terkadang suka merasa hati-hati atau timbul kebencian karena

akan menambah pekerjaan dalam bentuk dokumen-dokumen yang lebih

mendetail.

b) Internal Auditor role problems

Peran internal auditor harus dipahami oleh semua pihak :

45 Universitas Indonesia

Page 46: Audit Internal - Impact of IT on Internal Audit

Extra member of the implementation team

Specialized consultant

Internal controls expert

Occupant of the extra chair

State of the art awareness needs

Many and varied preimplmentation candidates

2. Preimplementation Review Objectives

Internal auditor perlu mengidentifikasi dan memberikan rekomendasi atas

pengendalian yang ada dalam suatu aplikasi yang sedang dibuat dalam bentuk hal-

hal apa saja yang sekiranya perlu diinstal. Dalam beberap Negara, peran internal

auditor dalam pembangunan suatu aplikasi IT ternyata memang diwajibkan.

3. Preimplementation Review Problem

Dalam penerapan review yang dilakukan oleh internal auditor, belum tentu

hasil yang ditentukan dapat diterima atau sesuai dengan kebutuhan pengguna.

Untuk mengurangi kesulitan dalam menyamakan hal tersebut, internal audit perlu

memperhatikan hal-hal berikut :

Selecting the right application to review

Determining the proper auditor’s role

Review objectives can be difficult to define

4. Preimplementation Review Procedures

Reviu dilakukan oleh internal auditor dalam setiap fase yakni inisiasi

projek, mendefinisikan kebutuhan, pengembangan, percobaan, dan terakhir

implmentasi. Step penting yang wajib dilakukan oleh internal auditor yakni

menyampaikan rencana program audit kepada IT manjemen sehingga ada

pemahaman atas apa yang diharapkan dari internal audit berdasarkan pendekatan

review yang dijalankan.

a) Application Requirement Definition Objectives

Internal auditor perlu mereview kebutuhan-kebutuhan dalam bentuk detail

apa saja yang dibutuhkan dalam pembangunan aplikasi, dengan begitu

apabila internal auditor dapat mengidentifikasi pengendalian pada review

46 Universitas Indonesia

Page 47: Audit Internal - Impact of IT on Internal Audit

tersebut, akan lebih memudahkan bagi pengembang program untuk

menyesuaikan masukan yang diterima.

b) Detailed Design And Program Development Objectives

Fase ini merupakan fase yang paling lama dalam pembuatan suatu aplikasi

dan biasanya internal auditor menginginkan jadwal untuk melakukan reviu

secara bertahap. Beberapa perusahaan IT terkadang menggunakan internal

auditor untuk memastikan fungsi dari projek yang diciptakannya sudah

sesuai. Sehingga suatu audit keseluruhan dapat diminimalisir apabila sejak

awal internal auditor sudah membantu memberikan saran atas perbaikan

yang dalam aplikasi tersebut.

c) Application Testing and Implementation Objectives

Pada fase ini biasanya terdiri dari percobaan aplikasi baru, melengkapi

dokumen, pelatihan pengguna, dan pemindahan data.Internal auditor biasa

memastikan apakah aplikasi sudah berjalan sesuai dengan yang diharapkan

dan melakukan pengujiannya. Selanjutnya internal auditor akan

menyiapkan laporan dalam bentuk dokumen-dokumen untuk pengendalian

signifikan yang teridentifikasi, laporan tersebut dapat berupa rekomendasi

bukan implementasi yang diwajibkan.

d) Postimplementation review Objective and Reports

Pada saat aplikasi sudah berjalan, review juga tetap perlu dilaksanakan.

Pengguna sebagai pihak yang paling memahami tentu saja

akanmemberikan masukan-masukan baru terhadap system yang sudah

berjalan. Selain itu, internal audit juga biasanya melakukan review

kembali namun dengan staff yang berbeda untuk melakukan pengujian

dari perspektif individu lain. Untuk laporan, biasanya internal audit sudah

memiliki format baku dalam pembuatannya. Report dibuat oleh internal

auditor dan disetujui oleh pihak yang diaudit dan diberikan kepada pihak-

pihak yang berwenang.

G. Importance of Reviewing IT Application Controls

Tinjauan tersebut akan memberikan keyakinan (assurance) pada

manajemen bahwa aplikasi telah beroperasi dengan benar dan untuk manajemen

47 Universitas Indonesia

Page 48: Audit Internal - Impact of IT on Internal Audit

TI memastikan bahwa desain dan standar pengendalian yang telah mereka buat

dapat diterapkan yang memungkinkan mereka untuk menempatkan

ketergantungan lebih besar pada hasil output dari aplikasi tersebut.

48 Universitas Indonesia

Page 49: Audit Internal - Impact of IT on Internal Audit

Cybersecurity and Privacy Controls

Teknologi sudah menjadi suatu aspek yang krusial di dalam perusahaan

dalam mendukung proses bisnis dan mewujudkan efisiensi. Walaupun datang

dengan berbagai kemudahan yang ditawarkan bukan berarti teknologi ada tanpa

adanya risiko. Salah satu risiko utama yang meliputi perkembangan teknologi

adalah risiko keamanan data. Dalam melakukan reviu yang menggunakan dasar

sistem TI, auditor minimal perlu memahami pengendalian internal secara general

dan resiko-resiko yang berkaitan dengan hal tersebut. Selain itu, auditor internal

perlu memiliki proteksi atau pengamanan atas audit prosedur yang sudah

dijalankannya. Karena data-data atau dokumen yang dimiliki atas prosedur yang

sudah diaudit tersebut juga sifanya rahasia. Berbeda dengan di masa lampau

dimana pencurian yang dilakukan berupa pencurian fisik, saat ini pencurian lebih

bersifat logical dimana pelaku mencoba mendapatkan akses untuk mengambil

informasi penting yang tidak seharusnya dapat diakses secara sembarangan.

A. IT Networks Security Fundamentals

Suatu jaringan perlu memiliki kemanan yang mencukupi agar tidak terjadi

hal-hal yang tidak diinginkan. Dalam hal ini, internal auditor perlu menetapkan

prosedur pengamanan TI apa yang mencukupi untuk mengamankan suatu jaringan

tersebut. Minimnya prosedur pengendalian internal yang ada pada suatu sistem TI,

dapat mengakibatkan hambatan beberapa hal yakni :

Interruptions

Terjadi saat sistem tidak dapat diakses, tak bekerja, dan hilang akibat adanya

perusakan, pencurian, atau penggunaan yang salah.

Interceptions

Pihak luar dapat mengakses aset teknologi informasi.

Modification

Pihak yang tidak berwenang memiliki kemampuan untuk merubah data,

program, maupun komponen perangkat keras.

Fabrication

Terjadi saat pihak yang tak berwenang dapat memasukkan data atau

informasi fiktif ke dalam sistem.

49 Universitas Indonesia

Page 50: Audit Internal - Impact of IT on Internal Audit

Semua hambatan diatas dapat terjadi dalam lingkungan internet, hubungan

telekomunikasi, database ERP dan perangkat computer yang paling canggih

hingga yang sederhana. Oleh karena itu auditor internal perlu menyadari dengan

adanya perubahan teknologi yang terjadi dilingkungan sehari-hari dan

menetapkan hambatan apa saja yang dapat muncul secara signifikan.

Auditor internal mungkin tidak memiliki kemampuan dan pengetahuan

yang komprehensif terkait keamanan sistem maupun teknologi informasi secara

keseluruhan, karena bidang ilmu ini memiliki kerumitan tersendiri. Hal ini dapat

menghambat auditor internal dalam melakukan penilaian dan rekomendasi terkait

risiko yang meliputi teknologi informasi. Namun, auditor seharusnya memiliki

pengertian terkait konsep dasar terkait keamanan.

1. Security of Data

Salah satu yang dapat kita lakukan dalam keamanan suatu jaringan

yaitu bisa dengan mengendalikan suatu akses yang bisa kita lakukan dalam

suatu jaringan. Dengan mengendalikan akses yang dilakukan pada setiap

sumber jaringan dan dengan melakukan pengontrolan akses yang dapat

dilakukan oleh kita. Oleh karena itu kita harus mengetahui apa saja

prinsip-prinsip yang ada dalam keamanan jaringan mulai dari integrity,

confidentiality dan availability.

Prinsip keamanan jaringan:

a) Kerahasiaan (confidentiality)

Dimana object tidak di umbar atau dibocorkan kepada subject yang

tidak seharusnya berhak terhadap object tersebut, atau lazim disebut

tidak authorize.

b) Integritas (Integrity)

Bahwa object tetap orisinil, tidak diragukan keasliannya, tidak

dimodifikasi dalam perjalanan nya dari sumber menuju penerimanya.

c) Ketersediaan (Availability)

Dimana user yang mempunyai hak akses atau authorized users diberi

akses tepat waktu dan tidak terkendala apapun.

50 Universitas Indonesia

Page 51: Audit Internal - Impact of IT on Internal Audit

2. Importance of IT Password

Untuk melakukan akses terhadap suatu aplikasi atau bagian dari

system TI, sangatlah penting sekali untuk menerapkan Password untuk

melindungi dari orang-orang yang tidak memiliki akses didalamnya.

Berikut ini merupakan criteria yang baik dalam penerapan suatu password:

a) Password adalah tanggung jawab pengguna untuk menciptakan

password tetapi peraturan administrasi harus dibuat untuk membuat

pihak lain tidak mudah menebusnya. Contohnya. Pengendalian dan

panduan harus dibuat untuk mencegah karyawan menggunakan tanggal

lahir dan nama panggilan sebagai password.

b) Password harus disusun sedemikian rupa supaya tidak mudah untuk

ditebak. Contohnya, peraturan yang mensyaratkan untuk

mencampurkan kata dan angka didalam sebuah password.

c) Adanya persyaratan untuk mengganti password secara berkala.

d) Dalam proses indentifikasi password, jika terdapat beberapa kali

kesalahan dalam memasukkan password, system harus menolak akses

dan meminta pengguna untuk merubah password

e) Password yang dibuat jangan terlalu kompleks dan susah diingat.

51 Universitas Indonesia

Page 52: Audit Internal - Impact of IT on Internal Audit

Pada suatu aplikasi yang memiliki tingkat privasi yang tinggi,

bahkan password dapat dibuat dalam bentuk finger print atau eye pupil

scanner agar lebih unik dan tidak dapat ditiru. Pada hal ini, internal auditor

perlu mengevaluasi apakah penerapan standar penggunaan password sudah

dilakukan dengan baik pada suatu aplikasi.

3. Viruses and Malicious Program Code

Virus-virus menyebabkan kerusakan dan kerugian finansial yang

tidak sedikit. Seperti ancaman kelemahan lainnya, kerugian ini dirasakan

baik oleh perusahaan besar maupun kecil. Jika tidak ingin kehilangan data

karena virus, maka harus melaksanakan tinjauan rutin, memasang patch,

dan meng-update tanda-tanda kelemahan.

Perlindungan yang terbaik adalah kebijakan, prosedur, serta

teknologi. Karyawan harus diberikan instruksi yang tegas perihal

penerimaan e-mail yang mencurigakan dan apa yang mereka harus

lakukan jika terinfeksi. Kalau hal itu dirasa kurang efektif, maka

membutuhkan sebuah manajemen yang dapat menjamin konsistensi di

seluruh aspek bisnis termasuk didalamnya upaya pencegahan terhadap

serangan virus. Dalam kondisi ini, internal auditor perlu memberikan saran

bentuk anti virus apa yang sepatutnya digunakan untuk menjaga setiap

data yang dimiliki oleh suatu perusahaan.

52 Universitas Indonesia

Page 53: Audit Internal - Impact of IT on Internal Audit

4. Phising and other Identify Threats

Phising adalah tindakan memperoleh informasi pribadi seperti User

ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak sah.

Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk

mengakses rekening, melakukan penipuan kartu kredit atau memandu

nasabah untuk melakukan transfer ke rekening tertentu dengan iming-

iming hadiah. Phaxing adalah ancaman otentikasi terkait, penjahat dapat

mengirim faks kepada pelanggan suatu perusahaan meminta mereka untuk

login ke Internet dan meminta mereka untuk mengirim kembali alamat

URL internet mereka. Versi yang terkait dengan fax disebut disebut

"phaxing."

5. IT System firewall

Firewall adalah sebuah sistem atau perangkat yang mengizinkan

lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah

lalu lintas jaringan yang tidak aman. Umumnya, sebuah firewall

diimplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada

pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya.

Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa

saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat

ini, istilah firewall menjadi istilah generik yang merujuk pada sistem yang

mengatur komunikasi antar dua jaringan yang berbeda. Internal auditor

perlu mengetahui lokasi dan fungsi dari firewall yang digunakan.

Selanjutnya apakah firewall tersebut masih relevan untuk digunakan

53 Universitas Indonesia

Page 54: Audit Internal - Impact of IT on Internal Audit

dengan hambatan-hambatan yang ada. Terakhir internal auditor juga perlu

melihat laporan yang dihasilkan oleh firewall tersebut atas pelanggaran-

pelanggaran yang ada.

6. Other Computer Security issues

Jaringan IT saat ini harus berurusan dengan banyak ancaman

keamanan dan kode berbahaya. Metode mengatasi termasuk password dan

firewall, ditambah kontrol akses rumit, kebutuhan untuk menggunakan

enkripsi ketika transmisi data, keamanan bertingkat dalam administrasi

database, dan banyak lagi. Dari perspektif audit internal, beberapa masalah

keamanan komputer yang paling penting fokus pada kebutuhan untuk

membangun dukungan manajemen yang kuat untuk program keamanan IT

di tempat dan untuk program pendidikan pemangku kepentingan

keseluruhan untuk mengesankan semua orang IT jaringan ancaman

keamanan dan kerentanan.

B. IT Systems Privacy Controls

Privasi adalah suatu informasi yang rahasia atau hanya dapat diketahui

oleh kalangan terbatas. Dan apabila hal tersebut diketahui oleh pihak lain, dapat

terjadi suatu hal-hal yang tidak diingingankan.

1. Data Profiling Privacy Issues

Suatu perusahaan atau entitas yang biasanya mendapatkan database

pelanggan terkadang dapat melalui pelanggan langsung ataupun pihak lain.

Dalam hal ini, perusahaan perlu menjaga database tersebut agar tidak

tersebar karena hal tersebut merupakan nilai privasi dari pelanggan

tersebut.

2. Online Privacy and E-Commerce Issues

Dalam setiap aktifitas pelanggan yang dilakukan dalam suatu website

biasanya tercatat identitas computer dari pelanggan tersebut yang disebut

dengan cookies. Cookies merupakan data file yang ditulis kedalam hard

disk computer oleh web server yang digunakan untuk mengidentifikasi

user pada situs tersebut, situs itu akan dapat mengenalinya. Jadi dapat

54 Universitas Indonesia

Page 55: Audit Internal - Impact of IT on Internal Audit

dikatakan cookies adalah ID card user saat koneksi pada situs. Hal tersebut

merupakan database yang dimiliki oleh perusahan-perusahaan.

3. Radio Frequency Identification

Penggunaan Radio Frequency ID (RFID) dalam berbagai macam hal

aktifitas yang dilakukan oleh perusahaan baik dengan pelanggan ataupun

karyawannya nerupakan suatu hal yang perlu memilki privasi didalamnya.

Karena hal tersebut merupakan suatu hal yang memiliki keunikan dalam

arti berbeda satu sama lain, RFID tersebut sudah memiliki data personal

atas pemiliknya masing-masing.

C. Auditing IT Security and Privacy

Terdapat beberapa pertanyaan umum yang biasa dilemparkan oleh internal

auditor pada saat melakukan review atas IT Security and Privacy, yakni :

Can you give me a diagram of your IT Network here showing all internal

and external connections within the network?

Have you installed firewalls for the network and di they protect all access

points?

Is ther any way that devices on the network can communicate to other

devices, such as a dila-up line through a modem, and bypass the firewall

barrier?

Etc.

Biasanya yang akan menjadi poin utama dalam review bagian ini adalah,

bagaimana firewall sudah bekerja dengan baik dalam melakukan pengendalian

internal dan meminimalisir setiap kemungkinan resio-resiko yang dapat terjadi.

Selain itu internal audit juga meastikan privacy yang dimiliki setiap data/file dapat

terjaga dengan baik

D. Security and Privacy in the Interal Audit Department

Sekarang ini pengerjaan sebuah working paper sudah menggunakan

internal based, jarang yang masih menggunakan paper based. Oleh karena itu

data-data yang dimiliki dari hasil setiap review audit yang dilakukan harus dapat

55 Universitas Indonesia

Page 56: Audit Internal - Impact of IT on Internal Audit

dikumpulkan dan dikelola dengan baik berdasarkan dengan pihak-pihak mana saja

yang berhak mengaksesnya.

1. Security and Control for Auditor Computers

Setiap internal auditor biasanya kini sudah memiliki laptop masing-masing

dalam menjalankan aktifitasnya. Didalam laptop tersebut tentu saja

berisikan data-data audit yang dilakukannya pada setiap pengerjaan yang

tentu saja memiliki sifat rahasia dan tidak semua pihak dapat

mengetahuinya. Berikut ini hal-hal teknis yang perlu diketahui internal

auditor dalam melindungi laptopnya :

a) Auditor personal responsibility for auditors laptop

Internal auditor tentu saja bertanggung jawab masing-masing atas

laptop tersebut, sehingga diharapkan mereka dapat menjaganya dengan

baik

b) File backup procedure

File-file juga biasanya disimpan dalam suatu server agar dapat

terkelola dengan baik jika sewaktu-waktu dibutuhkan.

c) Physical locks and mechanisms

Laptop juga perlu diberikan pengamanan dalam bentuk tas yang aman

dan penggunaan password dalam akses masuk ke kompternya.

d) Antivirus and other tools

Untuk menhindari virus, sebaiknya laptop menggunakan antivirus

yang selalu diupdate dan ditambahkan aplikasi-aplikasi penunjang

untuk melindungi latop tersebut.

2. Workpaper Security

Seperti yang sudah dijelakan sebelumnya, dengan mekanisme

working paper yang sudah menggunakan internet based, maka perlu

diterapkan pengamanan atas data tersebut karena working paper

merupakan dasar awal pembuatan laporan.

3. Audit reports and privacy

Laporan audit juga perlu diamankanm sebelum dapat dismapaikan

kepada pihak-pihak yang bersangkutan.

4. Internal audit security and privacy standard and training

56 Universitas Indonesia

Page 57: Audit Internal - Impact of IT on Internal Audit

Sebaiknya dalam satu department internal audit diterpakan

mekanisme pengamanan data. Karena walau mereka sudah mencoba untuk

menerapkan pengamanan tersebut pada setiap divisi atau departemen lain

yang direviewnya, jika mareka sendiri tidak menerapkannya dengan baik

mereka tidak dapat menjadi contoh untuk pihak-oihak yang lain.

57 Universitas Indonesia

Page 58: Audit Internal - Impact of IT on Internal Audit

BAB 3

KESIMPULAN

Pada makalah ini dibahas mengenai IT general control dan perspektif

auditor internal yaitu berdasarkan information technology infrastructure library

(ITIL). ITIL ini merekomendasikan kerangka ‘best practices’ dalam mereview

risiko pengendalian internal IT dan peningkatan efektivitas pengendalian umum

IT.

Pengendalian IT dalam konteks audit dapat dibedakan menjadi dua kategori

yaitu general control dan application control. Tujuan general control lebih

menjamin integritas data yang terdapat di dalam sistem komputer. Sementara,

tujuan application control dimaksudkan untuk memastikan bahwa data diinput

secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian

yang memadai atas output yang dihasilkan.

Dalam melakukan review yang menggunakan dasar sistem IT pada area

cybersecurity dan kebijakan pengamanan, auditor minimal perlu memahami atas

pengendalian internal secara general dan risiko-risiko yang berkaitan dengan hal

tersebut. Kemudian dapat mengatasi berbagai masalah keamanan sistem IT yang

dpat merugikan organisasi.

58 Universitas Indonesia

Page 59: Audit Internal - Impact of IT on Internal Audit

DAFTAR PUSTAKA

Lawrence B. Sawyer & Glen E. Sumners Sawyer’s Internal Audit 5th edition, The

Institute of Internal Auditors, 2003

Moeller, Robert R, Brink’s Modern Internal Auditing, 2009 Edisi 7, John Wiley & Sons, Inc, Hoboken, New Jersey

59 Universitas Indonesia