Mohamad Nurreza Rachman

Pricelia Puteri Ramadhani

IT General Controls and ITIL Best Practices

Dalam zaman sekarang dimana berkembang pesatnya teknologi informasi (TI) dan sistem komputer,

banyaknya aplikasi aplikasi sebagai fungsi kontrol perusahaan seperti buku besar accounting hingga

internet, auditor internal perlu memiliki pengetahuan yang cukup akan teknik pengendalian internal

melalui teknologi informasi. Terkadang, kita berfikir bahwa pengendalian TI adalah sebuah proses

yang spesifik seperti aplikasi Account Payable: pembayaran faktur dari sebuah pembelian.

Sebenarnya pengendalian IT terbagi menjadi dua yaitu proses spesifik seperti diatas dan general IT

controls.

Kendala utama dari proses memahami IT general controls adalah banyaknya variasi dan perbedaan

aplikasi TI yang digunakan oleh masing-masing perusahaan. Aplikasi ini dibangun menyesuaikan

dengan kebutuhan perusahaan sehingga, setiap satu perusahaan akan berbeda dengan perusahaan

yang lain. Di dalam chapter ini akan melihat IT general controls dan prespektik auditor internal yaitu

berdasarkan information technology infrastructure library (ITIL). ITIL ini merekomendasikan kerangka

‘best practices’ dalam mereview resiko pengendalian internal TI dan peningkatan efektivitas

pengendalian umum TI.

Imprortance of IT General Controls

IT general control harus termasuk semua fungsi sistem informasi dan termasuk :

Reliability of information system processing

Pengendalian yang baik diperlukan dalam semua aspek sistem operasi TI. Pengendalian ini

biasanya tergantung pada ‘nature’ dan manajemen dari ukuran yang spesifik dan tipe

sistem yang diguknakan.

Integrity of data

Keseluruhan proses tepat di tempat yang seharusnya untuk memastikan tingkatan

integritas atas seluruh data yang digunakan dalam program aplikasi.

Integrity of programs

Baru atau revisi program seharusnya dikembangkan dengan pengendalian yang baik untuk

menyediakan hasil proses yang akurat. Integritas akan pengendalian ini termasuk

keseluruhan proses pengembangan atas aplikasi program.

Control of the proper developments and implementation of systems

Pengendalian perlu ditempatkan untuk memastikan pengembangan yang teratur dalam

pengembangan baru ataupun revisi sistem informasi.

Continuity of processing

Pengendalian perlu ditempatkan dalam sistem back-up dan dalam operasi recovery dalam

kejadian kejadian yang tidak biasa.

Client-server and Smaller Systems’ General IT Control

(a) General Controls for Small Business Systems

Sistem yang lebih kecil dapat diimplementasikan dalam berbagai cara, tergantung

konfigurasi sistem dan ukuran dari perusahaan. Auditor internal sebaiknya dapat

mengetahui perberdaan-perbedaan dengan perusahan yang esar dan menyusun prosedur

internal audit yang pantas untuk mereview pengendalian umum. Dalam subbab ini dibahas

mengenai pengendalian umum dalam sistem komputer bisnis kecil, internet dan sistem

jaringan, sistem server dll.

(i) Small Business Computer System Control

Karakteristik dari sistem komputer pada bisnis kecil adalah diantaranya :

Staff IT yang terbatas

Dalam perusahaan kecil biasanya memiliki staff IT yang sedikit.

Resiko pengendalian dari perusahan kecil adalah ketika mereka

masih menggunakan jasa pihak ketiga dalam mengelola sistem IT

nya, sehingga ada resiko pada keamaan data-data penting

perusahaan.

Kapabilitas programming yang terbatas

Tipikal dalam perusahaan kecil dalam menerapkan sistem

komputernya adalah membeli paket software dan perusahaan

hanya memperbaharui paket sistem tersebut dan melakukan

pemelihara sistem.

Pengendalian Lingkungan yang terbatas

Tidak memerlukan perlindungan lingkungan yang khusus

Pengendalian keamanaan fisik yang terbatas

Tingkatan kekhawatiran auditor dalam pengendalian fisik TI

tergantung pada aplikasi yang di proses.Internal audit akan

merekomedasikan peningkatan keamanan jika suatu aplikasi

sedang dalam tahap pengembangan yang membutuhkan proteksi

yang lebih. Selebihnya, tidak perlu ada keamanan fisik yang

signifikan.

Pengendalian jaringan telekomunikasi

Dalam lingkup bisnis yang kecil tidak memerlukan pengendalian

dan kebijakan dalam pengendalian jaringan telekomunikasi.

(ii) Client Server Computer System

Dalam jaringan lokal, setiap workstation adalah klien. Prosesor yang

terpusat yang dimana bisa men-share file dan sumber-sumber lainnya,

disebut server.

(iii) Non-Business Specialized Processor Computer System

Di dalam dunia bisnis sekarang ini, banyak sistem-sistem lain yang digunakan

selain dalam operasional TI seperti penilitian insinyur, pengendalian Operasi

manufaktur, pemasaran dll. Sistem-sistem ini sudah spesifik dikhususkan

untuk area-area tertentu. Contohnya, computer-aided design (CAD).

Sebelum memulai review atas IT yang khusus ini, auditor internal perlu

memahami pengetahuan yang cukup dalam atas seluruh fungsi operasional.

Review atas IT yang terspesialisasi ini tidak disarankan bagi auditor internal

yang kurang berpengalaman.

(b) Smaller System’ IT operations Internal Control

Seperti dibahas sebelumnya, auditor internal biasanya memeriksa pemisahan pekerjaan

dalam prosedur awal evaluasi IT general control. Tetapi pemisahan tugas ini terkadang sulit

jika diimplementasikan dalam departemen yang kecil.Tetapi biasanya dalam lingkungan yang

kecil menerapkan :

Pembelian Software

Peningkatan perhatian manajemen

Pemisahan pekerjaan input dan processingnya

Resiko pengendalian dapat menjadi pertimbangan utama saat prosedur audit sudah

mengidentifikasi pengendalian yang lemah dalam system bisnis yang kecil.Dalam system

bisnis yang besar, auditor internal sering meminta dokumen deskripsi posisi sebagai bukti

pengendalian baik atas fungsi TI. Tetapi, biasanya dalam system bisnis yang kecil tidak

mempunyai deskripsi posisi yang jelas.Oleh karenaitu, penting bagi perusahaan kecil untuk

mendokumentasikan prosedur TI nya.Sehingga, pada saat satu personel

berhalangan/mengundurkandiri, pekerjaannya dapat digantikan oleh orang lain berdasarkan

prosedur yang telah didokumentasikan. Jika dalam perusahaan yang besar, selalu ada suatu

standard wajib yang berlaku umum baik untuk lingkup besar maupun kecil.

(c) Auditing IT General Controls for Smaller IT Systems

Dalam mengaudit sistem It yang lebih kecil, auditor internal perlu memperhatikan hal-hal

berkut ini :

(i) Smaller System Controls Over Access to Data and Programs are Often Weak

Saat ada personel yang dapat mengakses data-data komputer, maka pengendalian

umumnya sudah lemah. Auditor internal perlu fokus pada otorisasi akses ke pusat

data pada perusahaan yang kecil. Apakah perusahaan tersebut memiliki log-on

untuk masuk ke data-data perusahaan. Jika pun ada, perlu di periksa apakah

password nya diubah secara berkala. Apakah ada perbedaan akses antara

karyawan/divisi.

(ii) Unathorized use of Utility Programs

Dalam sistem TI selalu ada yang disebut program utiliti, yaitu program yang khusus

digunakan untuk merubah sistem data suatu aplikasi, seharusnya hanya personel TI

yang boleh menggunakannnya. Sistem ini pun beresiko untuk digunakan oleh pihak-

pihak yang ingin menyalahgunakannya.

(iii) Improper IT Data and Program Access Requests

Dalam perusahaan atau entitas yang besar selalu menerapkan sistem ‘persetujuan’

dalam permohonan untuk berbagai macam akses data perusahaan. Persetujuan ini

biasanya mengacu ke atasan yang bersangkutan. Dalam perusahaan atau entitas

kecil biasanya mengacuhkan ‘persetujuan’, sehingga resiko pengendalian mengenai

akses yang tidak benar menjadi lebih besar.

Components and Controls of Mainframe and Legacy System

(a) Characteristic of Larger IT System

o Pengendalian keamanan fisik

Sistem komputer yang besar biasanya memiliki komputer sentral yang berisi data-data di

dalam suatu ruangan yang diamankan.

o Pengendalian Lingkungan

Sumber tenaga khusus dan pendingin ruangan dibutuhkan karena komponen elektrikal

dalam tenaga penuh akan menimbulkan panas. Kebutuhan-kebutuhan khusus ini juga

perlu diperhatikan oleh auditor internal.

o Media penyimpanan yang terpisah

Barang-barang yang mengandung magnetik seperti catridge harus disimpan pada

tempat yang terpisah.

o Sistem Operasi yang multitasking

o Kemampuan programming in-house

Kebalikan dari perusahaan atau entitas yang kecil biasanya hanya membeli software dari

pihak luar. Perusahaan atau entitas yang lebih besar biasanya juga mempunyai aplikasi

yang dikembangkan secara internal.

o Jaringan telekomunikasi yang lebih luas

Pada perusahaan besar biasanya telah memiliki jaringan telekomunikasi yang lebih luas

tersambung dengan seluruh perusahaan, online dengan internet.

o Memiliki data kritikal yang berjumlah sangat besar

Data-data yang kritikal ini harus di back-up secara berkala

(b) Operating Systems Software

Sistem operasi adalah software dasar yang menyediakan tampilan bagi pengguna, termasuk

program aplikasi dan lain lain. Seorang auditor internal perlu memiliki kemampuan yang

lebih dalam memahami berbagai sistem operasi dan sistem bawaan yang sbb :

o Sistem Operasi yang terpusat

Memahami sistem operasi apa yang digunakan dan kelebihan dan kekurangan akan

sistem tersebut.

o Sistem Monitor

Pengendalian dari sistem tersebut terhadap penggunaan oleh user. Contoh, memory

RAM yang melebihi kapasitas.

Legacy System General Control Review

Internal audit sebaiknya membangun satu set tujuan-tujuan pengendalian yang terspesifik untuk

perencanaan review. Objektif ini bergantung pada tujuan pemeriksaan.

o Review Awal Pengendalian Umum TI

Tujuan dikalkukan review awal ini adalah untuk mendapatkan pemahaman umum dari

pengendalian TI. Auditor internal dapat melakukan wawancara, observasi operasi,

review dokumentasi dll, biasanya hanya tanya jawab saja, belum mengambil sampel.

Tahap awal ini dapat membantu untuk menentukan seberapa detail review yang

dibutuhkan.

o Review Detail Pengendalian Umum atas Operasional TI

Sebuah review yang detail dan komprehensif dari pengendalian umum sistem TI yang

besar, termasuk sistem program, pengendalian telekomunikasi, adiministrasi

penyimpanan di operasional TI dan fungsi pengembangan. Prosedur audit yang detail ini

dapat didapatkan dari review awal langkah pertama. Dasarnya adalah agar auditor

internal memahami alur kerja fungsi opersional TI. Sistem yang sudah berkembang

biasanya selalu melakukan perubahan prosedur dari waktu ke waktu menambahkan

atau merubah kompleksitas yang dibutuhkan. Sehingga audit prosedur yang digunakan

dapat diganti mengikut pergantian yang dilakukan oleh manajemen, tergantung

kompleksitas dan ukuran perusahaan/entitas.

o Review atas lingkup terbatas terspesialisasi

Karena permintaan manajemen, auditor terkadang juga perlu melakukan spesial review,

misalnya khusus database administration.

o Ketaatan hukum dan peraturan

ITIL Service Support and Delivery Infrastructure

ITIL adalah akronim dari Information Technology Infrastructure Library, sebuah set ‘best practice’

pertama di kembangkan pada tahun 1980 di UK oleh British Government’s Office of Government

Commerce (OGC). ITIL adalah sebuah kerangka ‘best practice’ dengan daftar komprehensif, tugas,

prosedur, tanggung-jawab yang dapat diaplikasikan di berbagai fungsi TI. Sebenarnya banyak area

yang dibahas dalam ITIL, tetapi pada pembahasan ini difokuskan pada 5 proses service support, area

yang penting bagi auditor internal saat melaksanakan IT general control review. Pendekatan-

pendekatan ini mengarah pada efisiensi fungsi operasional TI sehingga dapat memberikan jasa

terbaik kepada pelanggan.

(a) ITIL Service Support Incident Management

Incident management process harus meng-cover dalam aktivitas memperbaiki gangguan

dalam TI. Gangguan ini dapat berupa kegagalan sistem, ketidakmampua user meng-akses

sesuatu dll. Tempat user mengadu ini disebut service desk. Tujuan dari ITIL service Support

Incident Management ini adalah mengembalikan operasional yang seharusnya/normalnya

secepat mungkin dengan keefektifan biaya dengan dampak minimal yang berpengatuh ke

user. Saat service desk menerima keluhan, service desk sebaiknya langsung meng-

klasifikasikan sebagai prioritas, sangat penting dan penting. Pengklasifikasian ini sangat

penting dalam insiden TI. Siklus dibawah ini dapat membantu auditor internal yaitu dengan

memperlihatkan ‘best practice’ dalam TI. Dengan begitu akan lebih mudah bagi auditor

internal melakukan review dan bertanya dengan personel TI.

(b) Service Support Problem Management

Saat proses insiden manajemen menemui insiden yang sulit dan tidak bisa diketahui

alasannya, insiden tersebut harus di beritahukan kepada ‘problem management process’. 3

term dalam problem management process adalah problem control, error control, dan

proactive problem management. ITIL mengartikan ‘problem’ sebagai sesuatu yang tidak

dapat diketahui penyebabnya. Eror adalah penyebab yang diketahui setelah insiden terjadi,

sedangkan proactive problem management adalah langkah pencegahan sebelm insiden

terjadi. Idenya adalah bagaimana dan kapan service desk melaporkan suatu insiden yang

sudah bukan wewenangnya lagi. Dalam service support management ini juga harus

dilakukan evalusi bagaimana mencegah masalah itu terjadi. Oleh karena itu, service support

management fokus pada mencari pola insiden yang sering terjadi, mencari penyebabnya dan

mencari solusinya. Perbedaan Problem management dengan incident management adalah

problem management bertujuan mengurangi jumlah dan variasi insiden yang menghambat

bisnis sedangkan insiden bertujuan menyelesaikan masalah secepatnya. Bagi auditor

internal hal-hal yang dapat ditanyakan :

o Seberapa sering adanya request dari user

o Berapa lama TI menyelesaikan masalah

o Berapa banyak nsiden yang terjadi sampai TI dapat melihat pola keterjadian insiden

yang serupa

o Solusi penyelesaian yang ditawarkan dan berapa anggaran yang dibutuhkan.

Problem management adalah area yang tepat bagi auditor internal karena disini

memperlihatkan keefektifan operasional TI.

(i) Service Support Configuration Management

Fungsi konfigurasi adalah proses yang sangat penting yaitu termasuk

identifikasi, mencatat dan melaporkan komponen-komponen TI , versi-

versinya. Managemen konfigurasi termasuk mengatur hubungan antar aset.

Managemen konfigurasi juga termasuk elemen kontrol didalamnya, seperti

memerlukan cek fisik yang dicocokan dengan yang dicatat. Data-data

individual harus dicatat secara teratur dalam configuration management

database (CMDB)

(ii) Service Support Change Management

Tujuan ITIL change management adalah menstandarisasi metode dan

prosedur untuk efisiensi penggantian untuk menghindari mengurangi

kualitas pelayanan sehari-hari. ITIL change management termasuk :

IT hardware dan system perangkat lunak

Peralatan komunikasi dan perangkat lunak

Semua aplikasi perangkat lunak

Semua dokumentasi dan prosedur yang berhubungan dengan

sistem

Proses yang efisien dalam penggantian ini adalah dengan melakukannya

dengan seminimal mungkin timbulnya dampak eror. Saat mengaudit IT

internal kontrol, internal auditor seharusnya melihat change management

yang melengkapi :

Selaras dengan bisnis

Peningkatan jaringan telekomunikasi antara staff dan manajemen

Meningkatkan penilaian resiko

Mengurangi dampak negatif pada pelayanan kualitas

Penilaian yang lebih baik terhadap biaya-biaya yg muncul

Menurunnya tingkat eror yang muncul

(iii) Service Support Release Management

Fungsi TI memerlukan proses yang memastikan segala perubahan akan

berdampak pada semua pihak dengan baik. ‘Release’ disini dimaksudkan

termasuk pembetulan beberapa masalah, peningkatan pelayanan termasuk

yang baru atau perubahan perangkat lunak. Pada intinya, release

management memastikan semua komponen yang diubah telah dibangun, di

tes, di distribusikan dan di implementasikan secara bersama.

Service Delivery Best Practice

(a) Service Delivery Service-Level Management

Service-Level Management adalah prosess perencanaan, pengkoordinasian, perangcangan,

persetujuan, pengawasan dan pelaporan dalam persetujuan/perjanjian formal antara TI dan

pemberi layanan / penerima layanan. Service level Agreement (SLA) dapat merupakan antara

TI dan pihak luar atau antara TI dan pengguna. Secara umum SLA berisi target pelayanan

yang dijanjikan, hak dan kewajiban masing-masing pihak, jadwal pelaksanaan, penalti jika

merugikan pihak pengguna. Proses SLA sangat penting dalam komponen operasional TI. Jika

perusahaan belum menggunakan, maka auditor internal dapat merekomendasikannya. SLA

dapat dijadikan dasar bagi auditor internal dalam mengukur pengendalian internal TI karena

dalam SLA diketahui tanggung jawab masing-masing pihak sehingga dapat saling

mengontrol.

(b) Service Delivery Financial Management for IT Services

Tujuan Financial Management for IT Services adalah sebagai pemandu agar tercapai

efektifitas biaya dalam mengadakan jasa TI. Tiga sub yang berhubungan adalah :

o IT Budgeting

Proses estimasi dan mengatur pengeluaran biaya untuk keperluan TI

o IT Accounting

Proses TI untuk menentukan bagaimana uang tersebut dihabiskan untuk

pelanggan, penyediaan jasa dan aktivitas.

o Charging

Pemberian harga dan penagihan untukyang telah menggunakan jasa TI

(c) Service Delivery Capacity Management

Memastikan kapasitas dari infrastruktur TI sejalan dengan kebutuhan bisnis dan kualitas

jasa yang telah diberikan telah sesuai. Manajemen kapasitas pada umumnya termasuk

mempertimbangkan bisnis, jasa, dan manajemen kapasitas sumber. Manajemen kapasitas

bisnis adalah proses jangka panjang untuk menentukan masa depan bisnis telah

dipertimbangkan akan diimplementasi di masa mendatang. Manajemen kapasitas jasa

bertanggung jawab memastikan semua jasa TI telah dilaksanakan. Manajemen kapasitas

sumberdaya bertanggung jawab atas komponen infrastruktur TI secara individu. Dari ketiga

komponen tersebut, biasanya dibawahi oleh satu manajer yang mengatur pelaksanaan

perancanaan kapasitas, memastikan seluruh kapasitas diperbaharui. Implementasi dari

manajemen kapasitas yang efektif memberi keuntungan yaitu gambaran akan kapasitas saat

ini dan dapat digunakan untuk perencanaan kapasitas kedepan.

(d) Service Delivery Availability Management

Manajemen ketersediaan dapat digambarkan sebagai perencanaan, peningkatan dan

pengukuran aksi yang dilakukan. Perencanaan termasuk menentukan persyaratan dan

bagimana TI dapat memenuhinya. Keuntungan utama dari manajemen ketersediaan adalah

adanya proses yang terstruktur untuk memastikan jasa TI terpenuhi sampai ke pelanggan.

Hal ini akan menambah jasa TI yang terus tersedia dan meningkatkan kepuasan pelanggan.

(e) Service Delivery Continuity Management

Fungsi TI yang semakin dependen dengan dunia bisnis saat ini, maka dibutuhkan peranan TI

secara terus menerus dari waktu ke waktu.

Auditing IT Infrastructure Management

Jasa pendukung dan proses ‘delivery service’ ITIL memperkenalkan peningkatan semua aspek dalam

infrastruktur TI. Proses-proses ini tidak independen dan berdiri sendiri. Walaupun keseluruhannya

dapat berjalan sendiri-sendiri namun, mereka bergantung input dan dukungan satu sama lain untuk

proses yang berhubungan. Bagi auditor internal yang mereview pengendalian melalui proses ITIL,

harus berpikir pengendalian ini berkaitan satu dengan yang lainnya.

Reviewing and Assesing IT

Application Controls

Pada dasarnya, Pengendalian IT dalam konteks Audit dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang diguna-kan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.

Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi. Internal audit secara efektif perlu melakukan review terhadap pengendali internal atas suatu aplikasi, termasuk menilai resiko yang muncul pada ssat memilih suatu aplikasi yang akan direview, menguji pengendalian dan mereview atas suatu aplikasi yang sedang dibangun

1. IT Application Control Components3 Basic komponen :

1. System Input2. Pemprosesan3. System output

Dalam semua jenis aplikasi, ketiga element tersebut pasti dimiliki oleh setiap entitas. Oleh karena itu, bagaimanapun kompleksitas dari suatu aplikasi yang dimiliki internal auditor perlu memahami dengan membagi aplikasi tersebut berdasarkan ketiga elemen tersebut. Internal auditor minimal memiliki pemahaman terhadap IT aplikasi dan proses penunjangnya yang memang menjadi bagian dari dasar kebutuhan dari Common Body Of Knowledge (CBOK)a) Application Input Components

Input merupakan salah satu tahap dalam sistem komputerisasi yang paling krusial dan mengandung risiko. Pengendalian masukan (input control) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan. Input controls ini merupakan pengendalian aplikasi yang penting, karena input yang salah akan menyebabkan output juga keliru.

a) Data Collection And Other Input DevicesData yang banyak biasa diinput kedalam system dalam bentuk batch atau data gelondongan. Pada masa kini banyak alat-alat yang dapat digunakan untuk memasukan data kedalam suatu aplikasi, contohnya dalam siklus payroll data absen diinput sudah berdasarkan timecard yang dihasilkan secara otomatis melalui finger print absent. Dan juga dalam siklus penjualan, teknologi Radio Frequency ID (RFID) atau barcode scanner digunakan untuk menginput penjualan yang terjadi. Suatu pengendalian yang baik didalam input suatu data kedalam system sudah

menggunakan skema check and balances, sehingga data yang dimiliki dapat dikatakan valid. Pada hal ini, auditor internal perlu meastikan apakah skema tersebut sudah berjalan dengan baik.

b) Application Inputs From Other Automated SystemsSuatu data dalam aplikasi dapat diinput secara otomatis akibat adanya integrasi suatu aplikasi dengan aplikasi lainnya. Sebagai contoh, dalam siklus penggajian seorang sales executive, gaji yang akan diterima akan berhubungan jumlah penjualan yang dilakukannya untuk menghitung komisi yang didapat.

c) Files And DatabasesSuatu file yang baik didalam system sebuah aplikasi memiliki minmal kriteria kapan file tersebut dibuat dan label checking control untuk menghindari kesalahan input kedalam siklus pemprosesan atau aplikasi lainnya yang ada. Database sekarang ini biasa digunakan dalam susumam hierarchical databases dimana data diorganisasikan berdasarkan konsep struktur family tree. Produk database yang biasa digunakan yakni IMS (Integrated Management System) yang dikeluarkan oleh IBM. IMS adalah sistem yang mengkombinasikan semua sistem manajemen yang diimplementasikan dengan tujuan untuk kepentingan bisnis organisasi. Contohnya dalam perusahaan manufaktur, setiap produk dapat dilihat bagian-bagian apa saja yang digunakan didalamnya dengan data yang terintegrasi.

b) Application ProgramSuatu program computer disusun berdasarkan intruksi yang memuat setiap detail proses yang ada. Internal auditor sebaiknya memahami bagaimana program aplikasi computer dibuat dan kemampuannya, agar dapat menjelaskan prosedur pengendalian yang memadai untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah divalid) menjadi error karena adanya kesalahan proses. Menurut IAI (SA341,Par.08) pengendalian ini didesain untuk memberi keyakinan yang memadai bahwa :(a) transaksi, termasuk transaksi yang dipicu melalui sistem, diolah semestinya oleh komputer, (b) transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya, dan(c) kekeliruan pengolahan dapat diidentifikasi dan dikoreksi secara tepat waktu.

a) Traditional Mainframe and Client Server ProgramsPada saat ini aplikasi dibuat berdasarkan suatu bahasa pemprograman yang universal. COBOL merupakan bahasa pemprograman universal yang sering digunakan oleh banyak entitas dalam membuat suatu proses aplikasi. COBOL adalah singkatan dari Common Business Oriented Language yang berarti suatu bahasa tingkat tinggi yang berorentasi langsung pada masalah bisnis. Dari namanya dapat ketahui bahwa cobol adalalah bahasa pemrograman yang digunkan dalam dunia bisnis. Cobol juga dapat digunakan untuk pengolahan database, aplikasi perbakan dan accounting.

b) Modern Computer Program ArchitecturesSelain menggunakan COBOL, developer program juga banyak yang menggunakan bahasa pemprograman seperti JAVA dan C++ untuk membuat program yang lebih sederhana

c) Vendor Supplied Software

Banyak apalikasi IT sekarang tidak dibuat oleh entitasnya sendiri melainkan menggunakan Vendor. Dalam menggunakan Vendor Supplied Software, perusahaan seharusnya sudah menimbang-nimbang cost dan benefit yang menghasilkan keputusan dalam penggunaan Vendor tersebut.

c) IT Apllication Output ComponentsPengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat lengkap, dan digunakan sebagaimana mestinya. Pengendalian keluaran (output controls) ini didesain agar output/informasi disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak secara cepat waktu dan tepat waktu.

2. Selecting Applications for Internal Audit Reviews.Dikarenakan aplikasi yang sangat banyak dan beragam dimiliki oleh suatu perusahaan, biasanya internal auditor melakukan review berdasarkan aplikasi yang paling krusial dan memiliki resiko yang tinggi. Berikut ini beberapa factor dalam pemilihan aplikasi yang perlu direview oleh internal auditor:a) Management Request

Manajemen kadang suka melakukan permintaan kepada internal audit untuk mereview pengendalian dari aplikasi yang baru diinstal atau IT yang memiliki signifikansi tehradap sauatu permasalahan atau penyusunan strategis perusahaan.

b) Preimplementation review of new applicationInternal audit terkadang diminta untuk berpartisipasi dalam memberikan saran ketika suatu aplikasi ingin diciptakan.

c) Postimplementation application reviewUntuk beberapa aplikasi yang cukup kritikal dan berhubungan dengan analisis resiko, biasanya internal audit perlu melakukan review yang cukup mendetail apakah aplikasi berjalan sudah sesuai dengan yang diharapkan.

d) Internal control assessment considerationEvaluasi dan percobaan pengujian pengendalian internal guna memenuhi standar kebijakan yang ditetapkan, seperti pada SOX section 404.

e) Other audit application selection criteriaBeberapa hal signifikan lainnya yang membuat internal auditor perlu melakukan review atas aplikasi tersebut, seperti :

Aplikasi yang melakukan pengendalian atas asset yang signifikan Aplikasi yang melakukan pengendalian atas Resiko yang signifikan Aplikasi yang baru dilakukan perubahan didalamnya Dan lain-lain.

Internal auditor juga biasanya melakukan review terhadap aplikasi yang spesifik yang menunjang keseluruhan fungsi area. Contohnya, dalam mereview operasional dan keuangan dan department pembelian.

3. Preliminary Steps to Performing Application Controls ReviewsPada saat internal auditor sudah menentukan aplikasi mana yang akan direview, maka dia perlu memahami objektif yang ingin dicapai, teknologi yang digunakan, dan hubungan aplikasi tersebut dengan aplikasi lainnya.

Pertama, biasanya internal auditor akan meminta dokumen-dokumen yang terlibat dalam siklus kegiatan dan pembuatan aplikasi tersebut. Seperti SOP yang terkait dalam kegiatan bisnis dalam aplikasi tersebut dan juga beberapa dokumen yang ada dalam aplikasi tersebut, seperti :

System Development Methodology (SDM) initiating documentDokumen ini akan menunjukan permintaan dalam pembuatan system, cost/benefit yang ada, dan design general system yang dibutukan.

Functional design specificationDokumen ini berisi hal-hal mendetail mengenai elemen program, database spesifikasi, dan pengendalian system yang dijelaskan secara jelas.

Program change historiesDokumen ini berisi hal-hal historis yang menunjukan dasar perubahan suatu aplikasi terjadi ataupun bukti-bukti dokumen atas revisi aplikasi yang terjadi.

User documentation ManualDokumen ini biasanya berbentuk buku manual penggunaan aplikasi ataupun buku bantuan apabila berbagai macam hal terjadi.

a) Conducting an Application Walk-ThroughSetalah melakukan pengecekan dokumen, internal auditor akan melakukan walk-through review, hal ini dilakukan dengan agar internal auditor dapat memahami proses kerja suatu aplikasi mulai dari system input, proses aplikasi, dan system output..

b) Developing Application Control ObjectivesSelanjutnya internal audit perlu mendefiniskan objektif yang dihasilkan dalam proses aplikasi yang sudah direview. Didalamnya termasuk menentukan level pengendalian resiko yang diterima dan kehandalan aplikasi dalam menunjang tujuan yang dicapai.

4. Completing the IT Application’s Controls AuditProsedur audit dalam detailed IT application biasanya lebih sulit untuk dijelaskan jika dibandingkan dengan internal audit’s general objektif. Prosedurnya berbeda dan tergantung atas beberapa hal, yakni:

Aplikasinya apakah dibangun sendiri atau membeli dari vendor Aplikasi terintegrasi dengan aplikasi lain atau tidak Menggunakan system Web Based Service provider/Client server atau legacy computer

system method Aplikasi lebih banyak terotomatisasi atau banyak diintervensi oleh manusia.

Selain melakukan pengumpulan dokumen dan melakukan walk through, internal auditor juga perlu melakukan diskusi dengan pengguna aplikasi terkait dan tanggung jawab dari setiap pengguna untuk membantu pemahaman auditor.a) Clarifying And Testing Audit Internal Control Objectives

Dalam beberapa hal sering ditemukan apabila objektif yang dihasilkan pada suatu aplikasi yang ada berbeda dengan objektif yang dikemukakan internal auditor dalam pelaksanannya.Hal tersebut diakibatkan tujuan pengendalian yang dinilai oleh internal audit belum tercapai dan minimalisir resiko yang ada belum terjadi atau malah mengakibatkan resiko yang ada bertambah besar. Oleh karena itu Internal audit, manajemen, dan pengguna harus duduk bersama untuk dapat merumuskan dan memberikan penyataan yang sesuai dengan aktualisasi yang sebenarnya.

i. Test Of Application Inputs And Outputs

Internal audit akan menguji ketepatan data input yang dimasukan kedalam system dan melihat apakah hasil yang keluar(output) sudah sesuai dengan seharusnya.

ii. Test transaction Evaluation ApproachesInternal audit akan melakukan pengujian apakah proses yang dilakukan system dalam aplikasi sudah berjalan dengan baik.

iii. Other Application Review Techniques Reperfomance of application function or calculations Reviews of program souce code Continuous audit monitoring approaches Observation of procedures

b) Completing The Application Controls ReviewWalaupun internal auditor sudah menguji pengendalian yang dimiliki oleh suatu aplikasi, namun hal tersebut belum tentu sesuai dengan resiko yang diharapkan dapat diminamilisir. Resiko terkadang timbul diluar keseharian yang tidak dapat pada saat auditor melaksanakan test. Hal tersebut perlu diverifikasi kembali khususnya oleh user yang menggunakan aplikasi tersebut Oleh karena itu dalam review yang dilakukan Internal Auditor juga perlu memiliki pemahaman atas pengendalian dan penilaian resiko yang dilakukan.

5. Auditing Application Under DevelopmentBanyak internal Auditor merasa lebih efisien bila melakukan review pada saat suatu aplikasi sedang dikembangkan jika dibandingkan dengan aplikasi yang sudah jadi. Pada posisi ini Internal Auditor bekerja sebagai pemberi saran untuk meningkatkan pengendalian system, bukan sebagai pembangun system. Saran tersebut merupakan hasil analysis atas kelemahan-kelemahan yang ditemukan dan diberikan dalam bentuk rekomendasi. .a) Objectives and Obstacles of Preimplementation Auditing

Terdapat beberapa hambatan pada saat internal auditor melakukan review atas suatu aplikasi IT yang sedang dibangun :

i. Them versus us attitudesPada saat internal auditor mencoba membantu memberikan masukan, IT management terkadang suka merasa hati-hati atau timbul kebencian karena akan menambah pekerjaan dalam bentuk dokumen-dokumen yang lebih mendetail.

ii. Internal Auditor role problemsPeran internal auditor harus dipahami oleh semua pihak :

Extra member of the implementation team Specialized consultant Internal controls expert Occupant of the extra chair State of the art awareness needs Many and varied preimplmentation candidates

b) Preimplementation Review ObjectivesInternal auditor perlu mengidentifikasi dan memberikan rekomendasi atas pengendalian yang ada dalam suatu aplikasi yang sedang dibuat dalam bentuk hal-hal apa saja yang sekiranya perlu diinstal. Dalam beberap Negara, peran internal auditor dalam pembangunan suatu aplikasi IT ternyata memang diwajibkan.

c) Preimplementation Review ProblemDalam penerapan review yang dilakukan oleh internal auditor, belum tentu hasil yang ditentukan dapat diterima atau sesuai dengan kebutuhan pengguna. Untuk mengurangi kesulitan dalam menyamakan hal tersebut, internal audit perlu memperhatikan hal-hal berikut :

Selecting the right application to review Determining the proper auditor’s role Review objectives can be difficult to define

d) Preimplementation Review ProceduresReview dilakukan oleh internal auditor dalam setiap fase yakni inisiasi projek, mendefinisikan kebutuhan, pengembangan, percobaan, dan terakhir implmentasi. Step penting yang wajib dilakukan oleh internal auditor yakni menyampaikan rencana program audit kepada IT manjemen sehingga ada pemahaman atas apa yang diharapkan dari internal audit berdasarkan pendekatan review yang dijalankan.

i. Application Requirement Definition ObjectivesInternal auditor perlu mereview kebutuhan-kebutuhan dalam bentuk detail apa saja yang dibutuhkan dalam pembangunan aplikasi, dengan begitu apabila internal auditor dapat mengidentifikasi pengendalian pada review tersebut, akan lebih memudahkan bagi pengembang program untuk menyesuaikan masukan yang diterima.

ii. Detailed Design And Program Development ObjectivesFase ini merupakan fase yang paling lama dalam pembuatan suatu aplikasi dan biasanyab internal auditor menginginkan jadwal untuk melakukan review secara bertahap. Beberapa perusahaan IT terkadang menggunakan internal auditor untuk memastikan fungsi dari projek yang diciptakannya sudah sesuai. Sehingga suatu audit keseluruhan dapat diminimalisir apabila sejak awal internal auditor sudah membantu memberikan saran atas perbaikan yang dalam aplikasi tersebut.

iii. Application Testing and Implementation ObjectivesPada fase ini biasanya terdiri dari percobaan aplikasi baru, melengkapi dokumen, pelatihan pengguna, dan pemindahan data.Internal auditor biasa memastikan apakah aplikasi sudah berjalan sesuai dengan yang diharapkan dan melakukan pengujiannya. Selanjutnya internal auditor akan menyiapkan laporan dalam bentuk dokumen-dokumen untuk pengendalian signifikan yang teridentifikasi, laporan tersebut dapat berupa rekomendasi bukan implementasi yang diwajibkan.

iv. Postimplementation review Objective and ReportsPada saat aplikasi sudah berjalan, review juga tetap perlu dilaksanakan. Pengguna sebagai pihak yang paling memahami tentu saja akanmemberikan masukan-masukan baru terhadap system yang sudah berjalan. Selain itu, internal audit juga biasanya melakukan review kembali namun dengan staff yang berbeda untuk melakukan pengujian dari perspektif individu lain. Untuk laporan, biasanya internal audit sudah memiliki format baku dalam pembuatannya. Report dibuat oleh internal auditor dan disetujui oleh pihak yang diaudit dan diberikan kepada pihak-pihak yang berwenang.

Cybersecurity and Privacy Controls

Dalam dunia sekarang ini yang serba menggunakan teknologi dan informasi sebagai komoditas utama dalam komunikasim kemananan dan privasi sangatlah dibutuhkan. Dalam melakukan reviu yang menggunakan dasar sistem IT pada area cybersecurity dan kebijakan pengamanan, auditor minimal perlu memahami atas pengendalian internal secara general yang ada dan resiko-resiko yang berkaitan dengan hal tersebut. Selain itu, dalam pembahasan ini juga internal auditor perlu memiliki proteksi atau pengamanan atas audit prosedur yang sudah dijalankannya. Karena data-data atau dokumen yang dimiliki atas prosedur yang sudah diaudit tersebut juga sifanya rahasia. Oleh karena itu, sebaiknya diperlukan pemahaman lebih dalam kepada seorang internal auditor mengenai IT pada saat melakukan melakukan reviu ataupun penyimpanan data-data yang dimiliki. Minimal sesuai dengan CBOK, internal auditor memahami 3 hal yang menjadi dasar utama, yakni pemahaman atas resiko cybersecurity, pengendalian yang tinggi, dan mekanisme pencegahannya.

1. IT Networks Security FundamentalsSuatu jaringan perlu memiliki kemanan yang mencukupi agar tidak terjadi hal-hal yang tidak diingankan. Dalam hal ini, internal auditor perlu menetapkan prosedur pengamanan IT apa yang mencukupi untuk mengamankan suatu jaringan tersebut. Minimnya prosedur pengendalian internal yang ada pada suatu system IT, dapat mengakibatkan hambatan beberapa hal yakni :

i. Interruptions System yang menimpan suatu asset dapat mengalami kehilangan, tidak tersedia, ataupun tidak dapat digunakan dengan cara memasukan suatu program jahat yang dapat merusak semua data didalamnya yang sudah ada.

ii. InterceptionsPihak luar baik orang, program, ataupun suatu system luar dapat mendapatkan akses terlarang kedalam system yang kita miliki. Contoh yang paling umum saat ini adalah seperti penyadapan yang sulit untuk diketahui pelakunya.

iii. ModificationSelain melihat data yang kita miliki terkadang orang-orang yang tidak bertanggung jawab tersebut juga kerap melakukan perubahan terhadap data-data tersebut.

iv. FabricationKejadian ini dapat terjadi apabila adanya data yang dipalsukan yang dapat menyerang suatu sistem.

Semua hambatan diatas dapat terjadi dalam lingkungan internet, hubungan telekomunikasi, dabase ERP dan perangkat computer yang paling canggih hingga yang sederhana. Oleh karena itu internal perlu sadar dengan adanya perubahan teknologi yang terjadi dilingkungan sehari-hari dan menetapkan hambatan apa saja yang dapat muncul secara signifikan.

Walaupun internal auditor tidak memiliki pemahaman yang mendetail mengenai lingkungan IT, namun basic CBOK menyatakan internal auditor perlu memahami konsep proteksi atas IT untuk digunakan dalam cakupan internal audit reviu.

a) Security Data

Salah satu yang dapat kita lakukan dalam keamanan suatu jaringan yaitu bisa dengan mengendalikan suatu akses yang bisa kita lakukan dalam suatu jaringan. Dengan mengendalikan akses yang dilakukan pada setiap sumber jaringan dan dengan melakukan pengontrolan akses yang dapat dilakukan oleh kita.Oleh karena itu kita harus mengetahui apa saja prinsip-prinsip yang ada dalam keamanan jaringan mulai dari integrity, confidentiality dan availability.Prinsip keamanan jaringan

i. Kerahasiaan (confidentiality)Dimana object tidak di umbar atau dibocorkan kepada subject yang tidak seharusnya berhak terhadap object tersebut, atau lazim disebut tidak authorize.

ii. Integritas (Integrity)Bahwa object tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi dalam perjalanan nya dari sumber menuju penerimanya.

iii. Ketersediaan (Availability) Dimana user yang mempunyai hak akses atau authorized users diberi akses tepat waktu dan tidak terkendala apapun.

Prinsip keamanan ini lazim disebut segitiga CIA (Confidentiality, Integrity, Availability). Dan salah satu goal utama dari pengendalian akses adalah untuk menjaga jangan sampai ada yang tidak authorize mengakses objek-objek seperti jaringan, layanan-layanan, link komunikasi, komputer atau system infrastruktur jaringan lainnya oleh apa yang kita sebut sebagai ancaman keamanan jaringan.Dalam perjalanan untuk membangun suatu system kemanan jaringan, salah satu prosesnya adalah menilai resiko keamanan dalam organisasi anda. Akan tetapi terlebih dahulu perlu juga memahami berbagai jenis ancaman keamanan jaringan. Oleh karena itu internal auditor dirasa perlu untuk memahami konsep tersebut dalam aktifitas reviewnya.

b) Importance of IT PasswordUntuk melakukan akses terhadap suatu aplikasi atau bagian dari IT system, sangatlah penting sekali untuk diterapkan Password untuk melindungi dari orang-orang yang tidak memiliki akses didalamnya. Berikut ini merupakan criteria yang baik dalam penerapan suatu password :

Password dibuat oleh pengguna, namun ketentuan dan criteria perlu diatur. Sebagai contoh password minimal terdiri dari sekian kombinasi huruf dan angka dan tidak boleh menggunakan tanggal lahir atau nama.

Password memiliki masa tenggang agar terus dapat termodifikasi dengan baik.Pada suatu aplikasi yang memiliki tingkat privasi yang tinggi, bahkan password dapat diterpakan dalam bentuk finger print atau eye pupil scanner agar lebih unik dan tidak dapat ditiru. Pada hal ini, internal auditor perlu mengevaluasi apakah penerapan standar penggunaan password sudah dilakukan dengan baik pada suatu aplikasi.

c) Viruses and Malicious Program CodeVirus-virus telah menyebabkan kerusakan dan kerugian finansial yang tidak sedikit. Seperti ancaman kelemahan lainnya, kerugian ini dirasakan baik oleh perusahaan besar maupun kecil. Jika tidak ingin kehilangan data karena virus, maka harus melaksanakan tinjauan rutin, memasang patch, dan meng-update tanda-tanda kelemahan.Perlindungan yang terbaik adalah kebijakan, prosedur, serta teknologi. Karyawan harus diberikan instruksi yang tegas perihal penerimaan e-mail yang mencurigakan dan apa yang

mereka harus lakukan jika terinfeksi. Kalau hal itu dirasa kurang efektif, maka membutuhkan sebuah manajemen yang dapat menjamin konsistensi di seluruh aspek bisnis termasuk didalamnya upaya pencegahan terhadap serangan virus. Dalam kondisi ini, internal auditor perlu memberikan saran bentuk anti virus apa yang sepatutnya digunakan untuk menjaga setiap data yang dimiliki oleh suatu perusahaan.

d) Phising and other Identify ThreatsPhising adalah tindakan memperoleh informasi pribadi seperti User ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak sah. Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk mengakses rekening, melakukan penipuan kartu kredit atau memandu nasabah untuk melakukan transfer ke rekening tertentu dengan iming-iming hadiah

e) IT System firewallFirewall adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah firewall diiplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah generik yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Internal auditor perlu mengetahui lokasi dan fungsi dari firewall yang digunakan. Selanjutnya apakah firewall tersebut masih relevan untuk digunakan dengan hambatan-hambatan yang ada. Terakhir internal auditor juga perlu melihat laporan yang dihasilkan oleh firewall tersebut atas pelanggaran-pelanggaran yang ada.

2. IT Systems Privacy ControlsPrivasi adalah suatu informasi yang rahasia atau hanya dapat diketahui oleh kalangan terbatas. Dan apabila hal tersebut diketahui oleh pihak lain, dapat terjadi suatu hal-hal yang tidak diingingankan. Data Profiling Privacy Issues

Suatu perusahaan atau entitas yang biasanya mendapatkan database pelanggan terkadang dapat melalui pelanggan langsung ataupun pihak lain. Dalam hal ini, perusahaan perlu menjaga database tersebut agar tidak tersebar karena hal tersebut merupakan nilai privasi dari pelanggan tersebut.

Online Privacy and E-Commerce IssuesDalam setiap aktifitas pelanggan yang dilakukan dalam suatu website biasanya tercatat identitas computer dari pelanggan tersebut yang disebut dengan cookies. Cookies merupakan data file yang ditulis kedalam hard disk computer oleh web server yang digunakan untuk mengidentifikasi user pada situs tersebut, situs itu akan dapat mengenalinya. Jadi dapat dikatakan cookies adalah ID card user saat koneksi pada situs. Hal tersebut merupakan database yang dimiliki oleh perusahan-perusahaan.

Radio Frequency IdentificationPenggunaan Radio Frequency ID (RFID) dalam berbagai macam hal aktifitas yang dilakukan oleh perusahaan baik dengan pelanggan ataupun karyawannya nerupakan suatu hal yang perlu memilki privasi didalamnya. Karena hal tersebut merupakan suatu hal yang memiliki keunikan dalam arti berbeda satu sama lain, RFID tersebut sudah memiliki data personal atas pemiliknya masing-masing.

3. Auditing IT Security and PrivacyTerdapat beberapa pertanyaan umum yang biasa dilemparkan oleh internal auditor pada saat melakukan review atas IT Security and Privacy, yakni : Can you give me a diagram of your IT Network here showing all internal and external

connections within the network ? Have you installed firewalls for the network and di they protect all access points ? Is ther any way that devices on the network can communicate to other devices, such as a

dila-up line through a modem, and bypass the firewall barrier ? Etc.Biasanya yang akan menjadi poin utama dalam review bagian ini adalah, bagaimana firewall sudah bekerja dengan baik dalam melakukan pengendalian internal dan meminimalisir setiap kemungkinan resio-resiko yang dapat terjadi. Selain itu internal audit juga meastikan privacy yang dimiliki setiap data/file dapat terjaga dengan baik

4. Security and Privacy in the Interal Audit Department.Sekarang ini pengerjaan sebuah working paper sudah menggunakan internal based, jarang yang masih menggunakan paper based. Oleh karena itu data-data yang dimiliki dari hasil setiap review audit yang dilakukan harus dapat dikumpulkan dan dikelola dengan baik berdasarkan dengan pihak-pihak mana saja yang berhak mengaksesnya.a) Security and Control for Auditor Computers

Setiap internal auditor biasanya kini sudah memiliki laptop masing-masing dalam menjalankan aktifitasnya. Didalam laptop tersebut tentu saja berisikan data-data audit yang dilakukannya pada setiap pengerjaan yang tentu saja memiliki sifat rahasia dan tidak semua pihak dapat mengetahuinya. Berikut ini hal-hal teknis yang perlu diketahui internal auditor dalam melindungi laptopnya :

Auditor personal responsibility for auditors laptopInternal auditor tentu saja bertanggung jawab masing-masing atas laptop tersebut, sehingga diharapkan mereka dapat menjaganya dengan baik

File backup procedureFile-file juga biasanya disimpan dalam suatu server agar dapat terkelola dengan baik jika sewaktu-waktu dibutuhkan.

Physical locks and mechanismsLaptop juga perlu diberikan pengamanan dalam bentuk tas yang aman dan penggunaan password dalam akses masuk ke kompternya.

Antivirus and other toolsUntuk menhindari virus, sebaiknya laptop menggunakan antivirus yang selalu diupdate dan ditambahkan aplikasi-aplikasi penunjang untuk melindungi latop tersebut.

b) Workpaper SecuritySeperti yang sudah dijelakan sebelumnya, dengan mekanisme working paper yang sudah menggunakan internet based, maka perlu diterapkan pengamanan atas data tersebut karena working paper merupakan dasar awal pembuatan laporan.

c) Audit reports and privacyLaporan audit juga perlu diamankanm sebelum dapat dismapaikan kepada pihak-pihak yang bersangkutan.

d) Internal audit security and privacy standard and training

Sebaiknya dalam satu department internal audit diterpakan mekanisme pengamanan data. Karena walau mereka sudah mencoba untuk menerapkan pengamanan tersebut pada setiap divisi atau departemen lain yang direviewnya, jika mareka sendiri tidak menerapkannya dengan baik mereka tidak dapat menjadi contoh untuk pihak-oihak yang lain.