Tugas
Audit Teknologi Sistem Informasi
Disusun oleh:
Naufal Rabbani Pasaniri (15116351)
UNIVERSITAS GUNADARMA
JURUSAN SISTEM INFORMASI
2019/2020
A. Definisi Audit TSI
Konsep audit menggambarkan mengenai pedoman yang menyeluruh dalam melaksanakan proses audit. Sedangkan proses audit merupakan Proses yang sistematis, berkaitan dengan verifikasi dan atestasi yang bertujuan untuk membuktikan validitas dan kesesuaian antara informasi yang di audit dengan kriteria yang telah ditetapkan, serta menguji temuan-temuan tersebut dengan menerbitkan laporan yang sesuai dengan jenis dan tujuan audit. Proses audit mengandung beberapa konsep sebagai berikut:
ü Proses yang Sistematis, adalah proses terstruktur sebagai suatu aktivitas yang dinamis yang dilakukan secara logis.
ü Memperoleh dan menilai bukti, bukti bagi auditor merupakan informasi yang digunakan untuk menentukan aktivitas bisnis yang diaudit sesuai dengan kondisi yang sebenarnya.
ü Menentukan tingkat kesesuaian informasi dengan ketentuan yang berlaku, membandingkan antara kondisi sebenarnya dengan seharusnya atau menentukan tingkat kesesuaian kondisi dimaksud.
ü Melaporkan hasil audit, melaporkan hasil audit kepada pihak-pihak yang terkait.
Metode Yang digunakan dalam Audit TSI
1. Wawancara
Wawancara adalah teknik pengumpulan data yang dilakukan melalui tatap muka dan tanya jawab langsung antara peneliti dan narasumber. Wawancara terbagi atas dua kategori, yaitu wawancara terstruktur dan tidak terstruktur.
a. Terstruktur
Dalam wawancara terstruktur, peneliti telah mengetahui dengan pasti informasi apa yang hendak digali dari narasumber. Peneliti juga bisa menggunakan berbagai instrumen penelitian seperti alat bantu recorder, kamera untuk foto, serta instrumen-instrumen lain.
b. Tidak terstruktur
Wawancara tidak terstruktur adalah wawancara bebas. Peneliti tidak menggunakan pedoman wawancara yang berisi pertanyaan-pertanyaan spesifik, namun hanya memuat poin-poin penting dari masalah yang ingin digali dari responden.
2. Observasi
Observasi adalah metode pengumpulan data yang kompleks karena melibatkan berbagai faktor dalam pelaksanaannya. Metode pengumpulan data observasi tidak hanya mengukur sikap dari responden, namun juga dapat digunakan untuk merekam berbagai fenomena yang terjadi. Teknik pengumpulan data observasi cocok digunakan untuk penelitian yang bertujuan untuk mempelajari perilaku manusia, proses kerja, dan gejala-gejala alam. Metode ini juga tepat dilakukan pada responden yang kuantitasnya tidak terlalu besar. Metode pengumpulan data observasi terbagi menjadi dua kategori, yakni:
a. Participant
Dalam participant observation, peneliti terlibat secara langsung dalam kegiatan sehari-hari orang atau situasi yang diamati sebagai sumber data.
b. Non participant
Non participant observation merupakan observasi yang penelitinya tidak ikut secara langsung dalam kegiatan atau proses yang sedang diamati.
3. Kuesioner
Kuesioner merupakan metode pengumpulan data yang dilakukan dengan cara memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden untuk dijawab. Kuesioner merupakan metode pengumpulan data yang lebih efisien bila peneliti telah mengetahui dengan pasti variabel yag akan diukur dan tahu apa yang diharapkan dari responden. Selain itu kuesioner juga cocok digunakan bila jumlah responden cukup besar dan tersebar di wilayah yang luas. Berdasarkan bentuk pertanyaannya, kuesioner dapat dikategorikan dalam dua jenis, yaitu kuesioner terbuka, kuesioner tertutup, dan kuesioner semi terbuka.
a. Kuesioner terbuka
Kuesioner terbuka adalah kuesioner yang memberikan kebebasan kepada objek penelitian untuk menjawab.
b. Kuesioner tertutup
Kuesioner tertutup adalah kuesioner yang telah menyediakan pilihan jawaban untuk dipilih oleh objek penelitian.
c. Kuesioner Semi Terbuka
Kuesioner semi terbuka adalah kuesioner yang pilihan jawabannya telah diberikan oleh peneliti, namun objek penelitian tetap diberi kesempatan untuk menjawab sesuai dengan kemauan mereka.
4. Studi Dokumen
Studi dokumen adalah metode pengumpulan data yang tidak ditujukan langsung kepada subjek penelitian. Studi dokumen adalah jenis pengumpulan data yang meneliti berbagai macam dokumen yang berguna untuk bahan analisis. Dokumen yang dapat digunakan dalam pengumpulan data dibedakan menjadi dua, yakni:
a. Dokumen primer
Dokumen primer adalah dokumen yang ditulis oleh orang yang langsung mengalami suatu peristiwa, misalnya: autobiografi
b. Dokumen sekunder
Dokumen sekunder adalah dokumen yang ditulis berdasarkan oleh laporan atau cerita orang lain, misalnya: biografi.
.Seperti diketahui saat ini banyak auditor yang masih memiliki keterbatasan ilmu terkait sistem kontrol teknologi informasi (IT systems controls) dan terdapat perbedaan ilmu dan atau persepsi antara para auditor, spesialis keamanan sistem dan pengembang (developers).
Berikut beberapa framework yang dapat digunakan untuk mengaudit pada sebuah sistem :
1. CobiT to Perform IT Audits
CobiT diluncurkan sebagai panduan untuk membantu para profesional yang pernah disebut auditor komputer-spesialis internal dan eksternal auditor yang ditinjau terkait IT internal Control-CobiT telah berevolusi menjadi alat yang berguna untuk mengevaluasi semua kontrol internal di Perusahaan. CobiT menekankan keterkaitan TI dengan sumber daya bisnis lainnya untuk memberikan nilai keseluruhan pada suatu perusahaan saat ini.
Berikut gambaran umum mengenai Tata Kelola TI.
Berikut gambaran umum mengenai Tata Kelola TI.
Gambar Tata Kelola TI.
Pameran menunjukkan area utama CobiT penekanan diatur di sekitar konsep inti penting dalam tata kelola TI,berikut aspek aspek dalam tata kelola TI:
- Strategic alignment (Keselarasan Strategis). Upaya harus di tempat untuk meyelaraskan operasi TI dan kegiatan dengan semua operasi perusahaan lain. Upaya ini mencakup membangun keterkaitan antara operasi bisnis perusahaan dan rencana TI serta proses untuk menentukan, mempertahankan dan memvalidasi hubungan kualitas dan nilai.
- Value delivery (Nilai Pengiriman). Proses harus di tempat untuk memastikan bahwa TI dan unit operasi lain memberikan manfaat yang dijanjikan sepanjang siklus pengiriman dan dengan strategi yang mengoptimalkan biaya sambil menekankan nilai intrinsik TI dan kegiatan terkait.
- Risk management (Manajemen Resiko). Manajemen, di semua tingkatan, harus memiliki pemahaman yang jelas terkait risiko, persyaratan kepatuhan perusahaan, dan dampak dari risiko yang signifikan. TI dan operasi lain memiliki risiko sendiri dan bersama tanggung jawab manajemen yang mungkin secara perorangan atau bersama berdampak Perusahaan.
- Resource management (Manajemen Sumber). Dengan penekanan pada IT, harus ada investasi yang optimal dalam, dan manajemen yang tepat, penting sumber daya TI, aplikasi, informasi, infrastruktur, dan orang-orang. Tata kelola TI yang efektif bergantung pada optimalisasi pengetahuan dan infrastruktur.
- Performance measurement (Pengukuran Kinerja). Proses harus di tempat untuk melacak dan memantau pelaksanaan strategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses, dan pengiriman layanan. Mekanisme tata kelola TI harus menerjemahkan strategi implementasi ke dalam tindakan dan pengukuran untuk mencapai tujuan ini.
2. IIA and ISACA Standards for the Professional Practice of Internal Auditing
Bagian ini berfokus pada standar IIA dan ISACA yang penting untuk audit TI. Setiap profesi membutuhkan seperangkat standar untuk mengatur praktik, prosedur umum, dan etika. Standar ini memungkinkan spesialis melakukan pekerjaan serupa untuk menyebut dirinya profesional di bidang keahlian mereka. Kunci profesi sangat membutuhkan seperangkat standar untuk mengatur praktik, standar untuk semua auditor internal adalah lembaga auditor internal internasional (IIA) standar profesional International untuk praktek audit internal, seperangkat pedoman bahan yang di pre-web kertas-dokumen hari dikenal sebagai buku merah oleh banyak Auditor internal. Standar ini telah melalui beberapa revisi selama bertahun-tahun dan baru-baru ini telah dikeluarkan dalam satu set audit internal wajib dan panduan bahan yang dikenal sebagai International Professional Practices Framework (IPPF). Auditor Internal bekerja di berbagai perusahaan besar dan diminta untuk melakukan Audit di sejumlah bidang operasional, keuangan, dan terkait TI. Meskipun ini Komite Audit perusahaan dan manajemen senior mengharapkan adanya melakukan tinjauan dengan cara yang kompeten dan konsisten. Audit internal dilakukan menggunakan seperangkat standar yang diakui adalah pendekatan kunci untuk memenuhi harapan manajemen. Sebagai perusahaan audit internal utama dan terdepan di perusahaan profesional, IIA mengembangkan dan mengeluarkan standar yang menentukan dasar praktik audit internal. Standar internasional untuk praktek profesional.
Gambar Audit Sistem,Proses,dan Produk.
Audit internal dirancang untuk:
- Delineate prinsip dasar untuk praktek audit internal.
- Menyediakan kerangka kerja untuk melakukan dan mempromosikan berbagai nilai tambah kegiatan audit internal.
- Menetapkan dasar untuk pengukuran kinerja audit internal.
- Mendorong peningkatan proses dan operasi organisasi.
Standar IIA membantu proses ini; mereka memberikan panduan baik untuk audit Komite dan manajemen untuk mengukur auditor internal mereka dan juga untuk internal untuk mengukur diri mereka sendiri. Meskipun penekanan keseluruhan buku ini adalah di IT masalah audit, keamanan, dan kontrol, karena standar IIA dan standar ISACA menetapkan beberapa kendala pada semua kegiatan audit internal, baik terkait atau tidak, keduanya dibahas di sini.
3. Risk Management with COSO ERM
Auditor TI perlu memiliki pemahaman tentang manajemen risiko dan bagaimana dampaknya pendekatan mereka untuk menilai atau mengembangkan pengendalian internal yang efektif. Committee of Sponsoring Organizations (COSO) merilis metodologi risiko perusahaan yang bernama COSO Enterprise Risk Management Integrated Format Standards (COSO ERM). Ini adalah kerangka kerja untuk memungkinkan perusahaan untuk mempertimbangkan dan menilai risikonya di semua tingkatan, apakah itu di area individual, seperti untuk proyek pembangunan, atau untuk risiko global mengenai ekspansi internasional.
B. Jenis-Jenis Audit Dan Ruang Lingkup Audit TSI
Berdasarkan buku Moeller yaitu IT Audit, Control, and Security (2010) menjelaskan bahwa auditor IT adalah orang yang bertanggung jawab terkait penilaian terhadap kontrol-kontrol. Pembahasan audit berdasarkan buku IT Audit, Control, and Security dibagi menjadi:
1. Technology-driven audit and internal control. Auditor TI yang efektif saat ini perlu memiliki pemahaman yang baik tentang berbagai Teknologi IT serta audit terkait, keamanan, dan masalah dan teknik kontrol. Sebagai area konsentrasi luas pertama kami, teks ini membahas beberapa perubahan teknologi yang lebih signifikan saat ini bersama dengan implikasi audit, keamanan, dan kontrol internalnya. Ini adalah masalah-masalah TI yang penting dan memperkenalkan prosedur pengendalian TI mereka di bidang-bidang luas berikut:
- Electronic commerce systems (Sistem perdagangan elektronik), termasuk penggunaan protokol XBRL serta komputasi nirkabel dan cloud. Area ini umumnya menggunakan nama "e-bisnis" dengan standar yang berkembang dan praktik yang baik.
- Modern application implementation processes (Proses implementasi aplikasi modern), termasuk penggunaan paket perangkat lunak perencanaan sumber daya perusahaan (ERP) yang komprehensif, pendekatan implementasi perangkat lunak sebagai layanan (SAAS) dan proses pengembangan aplikasi berorientasi objek.
- Effective IT continuity planning processes (Proses perencanaan kontinuitas TI yang efektif). Karena hampir semua operasi perusahaan saat ini terkait dengan proses TI yang saling terkait, fasilitas harus ada untuk mengembalikannya ke operasi normal jika beberapa peristiwa tak terduga muncul.
- Systems infrastructure controls for managing existing applications and operations (Kontrol infrastruktur sistem untuk mengelola aplikasi dan operasi yang ada). Manajemen konfigurasi, perjanjian tingkat layanan, dan fungsi layanan pelanggan yang efektif adalah penting dalam lingkungan TI modern saat ini.
- Effective IT governance procedures (Prosedur tata kelola TI yang efektif). Apakah Sarbanes-Oxley Act (SOx) aturan atau pedoman standar internasional, semua organisasi TI saat ini harus memahami dan mematuhi banyak aturan baru yang mencakup semua aspek tata kelola dan operasi TI.
- The importance of storage management (Pentingnya manajemen penyimpanan). Aturan pemrosesan yang efektif dan persyaratan tata kelola TI mengharuskan kami menyimpan salinan cadangan dari banyak data yang kami gunakan dalam operasi TI serta operasi basis data untuk memungkinkan perusahaan mencari dan mengambil data itu dengan mudah. Audit penyimpanan TI, masalah keamanan dan kontrol internal, dan konsep baru seperti virtualisasi adalah masalah TI yang penting.
- Modern computer security procedures (Prosedur keamanan komputer modern), Termasuk jaringan tepercaya dan sistem yang dilindungi firewall. Perusahaan perlu melindungi data mereka mengingat ancaman yang terus meningkat di Web dan lingkungan nirkabel saat ini.
2. Security, privacy, and continuity issues. Sebagai area topik luas kedua dalam buku ini, kami membahas perencanaan pemulihan disasater serta proses keamanan sistem kontinuitas dan informasi yang efektif dalam lingkungan TI modern. Penekanannya lebih pada mendapatkan bisnis kembali beroperasi daripada hanya membuat sumber daya TI bekerja kembali. Terkait erat dengan masalah keamanan, privasi adalah masalah lain yang dihadapi auditor TI. Kami semakin melihat undang-undang yang mengamanatkan perlindungan privasi atas berbagai jenis data sistem informasi, seperti catatan medis, data keuangan, dan bidang lainnya. Aturan baru ini telah mendorong banyak perusahaan untuk menginstal kontrol internal yang diperkuat.
3. Auditing legislative and governance changes. Profesional terus-menerus menghadapi perubahan hukum dan lainnya yang memengaruhi pekerjaan mereka. Memahami dan mengembangkan prosedur yang tepat adalah tujuan luas ketiga buku ini. Meskipun terjadi bertahun-tahun yang lalu sekarang, kegagalan bencana dari perusahaan yang saat itu menonjol, Enron, memperkenalkan rakit masalah baru. Berdasarkan kapitalisasi pasar saham, Enron kemudian menjadi perusahaan besar yang berkembang pesat yang bergerak dalam perdagangan minyak, gas, dan komoditas lainnya.
Dalam laporan keuangan Enron, dalam retrospeksi, berisi banyak peringatan tanda bahaya yang mungkin timbul. Terlepas dari tanda-tanda peringatan ini, auditor eksternal Enron tampaknya memandang sebaliknya. Enron kemudian pingsan, menyakiti banyak orang dan meninggalkan jejak tuduhan dan pertanyaan tentang independensi dan objektivitas auditor eksternal secara keseluruhan. Akibatnya, Kongres AS mengeluarkan Sarbanes-Oxley (SOx), yang mengubah proses audit akuntansi internal untuk manajemen keuangan serta untuk auditor eksternal dan internal.
Dalam laporan keuangan Enron, dalam retrospeksi, berisi banyak peringatan tanda bahaya yang mungkin timbul. Terlepas dari tanda-tanda peringatan ini, auditor eksternal Enron tampaknya memandang sebaliknya. Enron kemudian pingsan, menyakiti banyak orang dan meninggalkan jejak tuduhan dan pertanyaan tentang independensi dan objektivitas auditor eksternal secara keseluruhan. Akibatnya, Kongres AS mengeluarkan Sarbanes-Oxley (SOx), yang mengubah proses audit akuntansi internal untuk manajemen keuangan serta untuk auditor eksternal dan internal.
C. Jenis-Jenis Kontrol dan Audit Teknologi Sistem Informasi
Berikut ini adalah jenis-jenis kontrol yang ada pada audit teknologi sistem informasi.
Berikut ini adalah jenis-jenis kontrol yang ada pada audit teknologi sistem informasi.
1. IT Governance General Controls
Konsep dari IT Governance relatif baru. Auditor TI umumnya tidak akan menemukan TI Governnace dalam setiap buku manajemen TI yang diterbitkan sebelum pergantian Abad. Konsep ini berkembang melalui Committee of Sponsoring Organizations (COSO) kerangka kerja kontrol internal, dimana perusahaan masalah tata pemerintahan muncul sebagai landasan kerangka kerja pengendalian internal sebagai komponen lingkungan kontrol internal. COSO berbicara tentang berbagai kontrol tata kelola perusahaan, seperti pentingnya Komite Audit aktif dan manajemen senior di bagian atas, dan kontrol internal tingkat tinggi yang sama pesan juga berlaku untuk fungsi TI. Kontrol internal TI pada tingkat tata kelola memastikan TI yang efektif prinsip-prinsip manajemen dan keamanan, kebijakan, dan proses dengan alat pengukuran kepatuhan yang sesuai tersedia untuk menilai dan mengukur kontrol tersebut.
TI yang efektif kontrol tata kelola membutuhkan komite audit aktif yang melampaui sekadar keuangan melaporkan masalah dan meninjau berbagai masalah perusahaan, termasuk masalah TI. Meskipun aturan Sarbanes-Oxley (SOx) mengharuskan setiap komite audit harus memiliki setidaknya satu “ pakar keuangan” tidak ada persyaratan untuk TI tingkat dewan ahli. Sebaliknya, fungsi audit TI dan keseluruhan kelompok audit TI harus menyajikannya rekomendasi dan masalah sehingga anggota dewan dapat dengan mudah memahami audit TI keprihatinan dan masalah. Ini sering menjadi tantangan bagi auditor TI untuk tidak terlalu teknis dan untuk menyajikan hal-hal dengan cara yang mudah dipahami. Kontrol tata kelola TI juga dapat menimbulkan kekhawatiran karena terkadang tingkat atas masalah tata kelola perusahaan tidak dikomunikasikan dan dipromosikan secara aktif ke fungsi IT perusahaan. Ini benar terutama tahun beberapa tahun lalu, ketika banyak dari IT staf bekerja di balik pintu terkunci dari ruang komputer dan tidak memiliki banyak kontak sehari-hari dengan kegiatan perusahaan lainnya. Namun, isolasi yang sama ini masih ada sampai hari ini, fungsi TI sering dipisahkan dari banyak kegiatan perusahaan lainnya.
2. IT Management General Controls
a. IT Standards
Ada standar untuk mendukung persyaratan kebijakan perusahaan yang secara umum dinyatakan. Perusahaan yang lebih besar berada dalam posisi untuk mengembangkan standar TI mereka sendiri, tetapi banyak yang akan melakukannya mengadopsi praktik terbaik atau praktik profesional yang diakui sebagai dasar untuk TI mereka standar. Serangkaian praktik terbaik ITIL adalah contoh TI dokumen yang dapat ditetapkan sebagai standar TI perusahaan. Auditor TI harus mencari standar yang ditetapkan dalam organisasi TI, yang meliputi bidang-bidang seperti pengembangan sistem baru, akuisisi perangkat lunak, dokumentasi, dan prosedur kontrol aplikasi, di antara banyak masalah lainnya. Bukti harus ada untuk menunjukkan bahwa prosedur telah dikomunikasikan dan diikuti oleh semua anggota organisasi TI. Contoh standar kontrol umum TI ini meliputi:
- E-mail communications protocols (Protokol komunikasi E-mail). Sebuah perusahaan dapat mengalami banyak e-mail pelanggaran, seperti lampiran besar dan tidak perlu yang terhubung ke pesan, penggunaan grafis ' ' cute ' ' secara berlebihan, atau pembagian data rahasia. Mirip dengan Kode Etik, suatu perusahaan dan fungsi TI harus mengembangkan standar untuk penggunaan e-mail dan pesan.
- Systems development standards (Standar pengembangan sistem). Meskipun fungsi TI berkembang jauh lebih sedikit program dan aplikasi dari-awal hari ini dan biasanya membeli diperlukan paket perangkat lunak, standar pengembangan sistem yang diperlukan. Perusahaan perlu menetapkan standar proses pengembangan sistem (SDLC) untuk mengembangkan dan menerapkan aplikasi IT baru.
- IT Documentation (Dokumentasi IT). Standar harus menentukan tingkat minimum dokumentasi yang diperlukan untuk setiap aplikasi atau instalasi IT. Standar ini harus mencakup berbagai kelas aplikasi, proses, dan fasilitas TI fisik.
b. IT organization and management
Organisasi TI dan proses manajemen yang efektif adalah bidang yang penting secara umum kontrol. Apakah perusahaan yang lebih besar dengan banyak, pusat data fasilitas besar atau bisnis yang lebih kecil dengan sistem server dan sejumlah terminal yang terpasang, TI auditor harus memiliki pemahaman yang baik tentang kontrol manajemen secara keseluruhan, termasuk ketentuan untuk pemisahan tugas yang memadai, manajemen keuangan, dan perubahan keseluruhan kontrol manajemen. Jika fasilitas TI baru yang belum ditinjau di masa lalu, sebuah TI auditor harus melakukan tinjauan awal terhadap organisasi fungsi TI dan kontrol manajemen
c. IT Physical and Environment Larger System General Controls
Langkah penting dalam tinjauan audit pengendalian umum operasi TI adalah dengan jelas menentukan tujuan ulasan yang direncanakan. Terlalu sering, manajemen dapat meminta audit TI “ Meninjau kontrol sistem komputer “ di pusat data tanpa tujuan yang jelas untuk ulasan. Ingatan manajemen tidak memudar secepat itu dan permintaan manajemen untuk itu audit mungkin didasarkan pada kontrol TI seperti yang pernah ada dalam sistem lama yang sebelumnya. Sebuah IT auditor harus mempertimbangkan pertanyaan-pertanyaan ini ketika merencanakan tinjauan:
- Apa tujuan dari tinjauan operasi sistem informasi?
- Kontrol dan prosedur spesifik apa yang diharapkan ada?
- Bagaimana bukti dikumpulkan untuk menentukan apakah kontrol umum ini berfungsi?
Berdasarkan hasil latihan ini, audit TI harus mengembangkan satu set kontrol tujuan secara khusus dirancang untuk ulasan yang direncanakan daripada hanya menggunakan set standar pertanyaan kontrol internal. Tujuan audit TI yang diidentifikasi selalu bergantung pada tujuan ulasan.
d. Client-server and Smaller-systems General IT Controls
Sistem client-server sering merupakan kombinasi dari berbagai jenis dan ukuran sistem TI yang saling berhubungan dan ditemukan di banyak perusahaan. Istilah client-server terlebih dahulu muncul dalam literatur IT pada akhir 1980-an. Ini adalah salah satu istilah IT yang sulit untuk spesialis non-IT untuk memahami, apalagi menggambarkan. Sebagai cara berpikir tentang hal ini konfigurasi, auditor TI harus ingat bahwa dalam lingkungan jaringan lokal masing-masing workstation adalah klien; prosesor terpusat, yang berisi file bersama umum dan sumber daya lainnya, disebut server. Mungkin juga ada server khusus untuk tugas-tugas seperti itu sebagai manajemen penyimpanan atau pencetakan. Pengguna workstation mengirimkan permintaan dari klien mesin ke server, yang kemudian melayani klien itu dengan melakukan pemrosesan yang diperlukan.
Gambar Client-Server System Configuration
konfigurasi di mana satu server menangani permintaan dari beberapa klien di seluruh jaringan. Konfigurasi server klien ini, meskipun sangat umum, mewakili sistem TI yang khas untuk ini.
Small Business IT System Controls
Audit IT sering di lingkungan di mana hanya sistem bisnis yang lebih kecil yang digunakan, terutama ketika perusahaan relatif kecil. Sebuah contoh akan menjadi not-for-Profit perusahaan yang hanya membutuhkan sistem server dan sistem desktop untuk mendukung langsung aplikasi terkait akuntansi yang terbatas. Audit IT harus meninjau Umum kontrol atas seperti sistem server seolah-olah itu adalah klasik, sistem perusahaan yang lebih besar. Artinya, masih ada kebutuhan untuk sistem keamanan, integritas, dan prosedur backup. Ini jenis sistem bisnis yang lebih kecil umumnya memiliki karakteristik umum:
- Limited IT staff (Staff TI terbatas). Sistem IT bisnis kecil, apakah sistem desktop tunggal yang terhubung dengan Internet atau serangkaian unit yang terikat pada server, akan memiliki sistem yang sangat terbatas. staf TI yang berdedikasi, jika ada. Sistem desktop untuk menyediakan laporan akuntansi untuk yang perusahaan kecil dapat dikelola oleh satu orang. Usaha kecil atau sistem server mungkin memiliki manajer / administrator dan mungkin satu atau dua administrator sistem sebagai departemen IT totalnya. Operasi IT sekecil itu menciptakan risiko pengendalian karena itu bergantung pada beberapa perusahaan konsultan kecil yang terpisah untuk sebagian besar dukungan TInya, dan persyaratan untuk membuat cadangan file penting mungkin diabaikan. Namun, ukuran staf kecil tidak akan dengan sendirinya membuat masalah kontrol internal. Audit TI harus dapat dicari mengkompensasi kontrol seperti halnya ketika meninjau departemen akuntansi yang lebih kecil di mana pemisahan tugas yang klasik kurang.
- Limited programming and system development capability (Kemampuan pemrograman dan pengembangan sistem terbatas). Yang khas sistem TI bisnis kecil memanfaatkan ekstensif paket perangkat lunak yang dibeli. Satu-satunya “pemrograman” yang diperlukan mungkin untuk menginstal dan memperbarui yang dibeli perangkat lunak, memelihara tabel parameter sistem, dan menulis program pengambilan sederhana. Jika auditor TI menemukan staf pemrograman atau pengembangan internal yang ekstensif aktivitas di awal tinjauan, ia harus mempertimbangkan beberapa kontrol prosedur yang dibahas untuk fungsi pengembangan sistem yang lebih besar.
- Limited environmental control (Kontrol lingkungan yang terbatas). Sistem bisnis kecil umumnya bisa dicolokkan ke sistem daya normal dan beroperasi dalam kisaran suhu yang cukup luas. Karena persyaratan mereka yang terbatas, mereka kadang-kadang dipasang tanpa penting, kontrol lingkungan yang mudah digunakan, seperti drive cadangan atau listrik pelindung lonjakan listrik. Beberapa instalasi komputer bisnis kecil atau server file mungkin bertempat di ruang komputer formal yang dikendalikan lingkungan, tetapi ini bukan atribut yang diperlukan dari sistem ini.
- Limited physical security control (Kontrol keamanan fisik yang terbatas). Karena sistem ini kurang membutuhkan kontrol lingkungan, seringkali dipasang langsung di area kantor. Tingkat Kekhawatiran auditor TI mengenai kontrol keamanan fisik tergantung pada jenis peralatan dan aplikasi yang diproses. Audit TI terkadang dapat direkomendasikan bahwa keamanan fisik ditingkatkan, khususnya di mana aplikasi kritis berada sedang diproses. Namun dalam banyak contoh lain, kurangnya keamanan fisik ini kontrol seharusnya tidak menghadirkan masalah kontrol internal yang signifikan.
- Extensive telecommunications network (Jaringan telekomunikasi yang luas). Hampir semua sistem desktop saat ini terikat ke Internet. Data dan aplikasi dapat diunggah atau diunduh dengan mudah. Selain itu, materi dapat diunduh dengan mudah melalui USB biasa perangkat. Kombinasi kontrol dan kebijakan harus ditetapkan untuk melindungi perusahaan. Auditor TI harus mencari penggunaan efektif antivirus yang diinstal perangkat lunak serta sistem firewall
Karakteristik ini tentu saja tidak mendefinisikan sistem TI bisnis yang lebih kecil tetapi hanya jelaskan beberapa atribut umum. Namun, mereka harus membantu audit TI untuk memutuskan dengan lebih baik prosedur kontrol yang digunakan. Namun, ketika ragu, audit TI harus mempertimbangkan sistem untuk memiliki karakteristik kontrol internal sistem TI yang lebih besar dan lebih kompleks.
3. IT Technical Environment General Controls
Bagian ini telah memperkenalkan proses tingkat tinggi audit kontrol umum TI, kontrol yang luas yang keefektifannya sangat penting untuk kontrol internal TI yang kuat lingkungan. Apakah bekerja dengan perusahaan besar dengan sumber daya TI yang luas atau sistem bisnis yang lebih kecil, auditor TI harus mengidentifikasi dan kemudian menilai efektivitas kontrol umum TI mereka. Jika kontrol umum TI lemah, auditor TI dapat berharap untuk menemukannya kekurangan dalam aplikasi dan kontrol internal lainnya di seluruh organisasi.
Meskipun beberapa auditor TI menemukan tinjauan bidang teknis TI, seperti keamanan dunia maya dari prosedur sistem operasi, agar lebih menarik dari perspektif audit, kontrol umum TI perusahaan harus ditinjau secara berkala dan berkelanjutan. dasar. Jika suatu daerah telah ditinjau dalam periode terakhir, hasil ulasan tersebut harus diulangi dengan pembaruan dan penyesuaian yang sesuai untuk kebijakan manajemen baru, standar, dan perubahan perangkat keras dan organisasi TI. Auditor TI harus selalu demikian menyadari bahwa kekuatan dan kelemahan banyak bidang lain yang ditinjau tergantung pada kontrol umum TI ini.
4. Infrastructure Control and ITIL Service Management
Kontrol umum infrastruktur TI berdasarkan serangkaian praktik terbaik yang diakui di seluruh dunia yang disebut Perpustakaan Infrastruktur Teknologi Informasi (ITIL). Praktik terbaik manajemen layanan yang direkomendasikan ITIL ini menguraikan jenis kerangka kerja audit internal harus dipertimbangkan ketika meninjau risiko pengendalian internal TI dan merekomendasikan perbaikan kontrol umum TI yang efektif. Karena tidak pernah ada definisi tunggal untuk apa yang dianggap terbaik, beberapa menyebutnya sebagai praktik yang baik. Kami lebih suka menggunakan istilah praktik terbaik.
Referensi :
- Moeller, Robert.2010. IT Audit, Control and Security. John Wiley & Sons
