impact of it on internal audit ch 18,19, & 20

Novrizal Nugroho Kelompok 7Shella Keshia P

Impact of IT on Internal Audit

IT General Controls and ITIL Best Practices [CH 18]

Dalam dunia proses teknologi informasi (IT) dan sistem komputer sekarang ini, mulai dari aplikasi untuk mengontrol akuntansi buku besar suatu perusahaan ke semua yang meliputi internet, auditor internal harus memiliki pemahaman yang kuat tentang IT teknik pengendalian internal. Bab ini membahas kontrol umum IT dari perspektif audit internal dan dengan penekanan pada pengendalian umum IT didasarkan pada set praktek terbaik yang diakui di seluruh dunia yang disebut information technology infrastructure library (ITIL). Kontrol umum IT mencakup kontrol internal yang penting bagi semua aspek suatu operasi IT perusahaan; mereka mencakup lebih dari aplikasi IT yang spesifik dan termasuk kontrol IT yang menjalar pada perusahaan.

18.1 Importance of IT General Controls

Pada masa awal pengolahan data bisnis, kebanyakan sistem komputer dianggap "besar", dan standar menetapkan tujuan pengendalian auditor dan prosedur dikembangkan untuk meninjau pengendalian. Banyak tujuan pengendalian ini yang masih berlaku hari ini, tetapi auditor internal harus melihat tujuan pengendalian IT ini dari perspektif yang agak berbeda ketika meninjau kontrol dalam lingkungan IT modern. Profesi mulai berpikir IT kontrol dalam aplikasi spesifik dan kontrol umum yang meliputi semua operasional IT. Kontrol umum IT mencakup semua informasi operasi sistem dan meliputi:

Keandalan pengolahan sistem informasi. Integritas sebuah data. Integritas sebuah program. Kontrol dari pengembangan yang tepat dan implementasi sistem. Keberlangsungan proses.

18.2 Client-Server and Smaller Systems’ General IT Controls

Perusahaan saat ini telah menerapkan banyak jaringan dan sistem untuk mendukung unit bisnis yang lebih kecil atau komputasi departemen tertentu, atau untuk menyediakan IT untuk seluruh perusahaan. Meskipun ukurannya yang lebih kecil, sistem ini sering mewakili perhatian pada pengendalian umum yang signifikan. Auditor Internal harus memahami kontrol umum seputar sistem komputer yang lebih kecil. Kontrol umum yang memadai diperlukan untuk mengandalkan kontrol aplikasi tertentu.


a) General Controls for Small Business Systems Sistem yang lebih kecil dapat diimplementasikan dalam berbagai cara, tergantung pada konfigurasi sistem dan ukuran perusahaan. Auditor internal harus mampu mengenali perbedaan-perbedaan ini dan mengembangkan prosedur pengendalian internal secara umum tepat untuk meninjau kontrol umum mereka. Bagian ini membahas ini kontrol umum dalam hal sistem komputer usaha kecil, Internet dan sistem jaringan, kontrol sistem client-server, dan sistem yang besar klasik kontrol umum.

(i) SMALL BUSINESS COMPUTER SYSTEM CONTROLSAudit internal sering bekerja dalam lingkungan di mana sistem bisnis yang digunakan lebih kecil, terutama ketika di perusahaan-perusahaan yang relatif kecil. Contohnya sebuah perusahaan non-profit yang sumber daya IT-nya hanya server dan sistem desktop untuk mendukung direct mailing dan aplikasi yang sebatas berhubungan dengan akuntansi. Audit internal harus meninjau kontrol umum atas suatu sistem server seolah-olah sistem klasik, sistem perusahaan yang lebih besar. Artinya, masih ada kebutuhan untuk sistem keamanan, integritas, dan prosedur backup. Jenis-jenis sistem bisnis yang lebih kecil umumnya memiliki karakteristik umum:

Staff IT yang terbatas. Kapabilitas pemrograman yang terbatas. Pengendalian lingkungan yang terbatas. Pengendalian keamanan fisik yang terbatas. Jaringan telekomunikasi yang luas.

(ii) CLIENT-SERVER COMPUTER SYSTEMSArsitektur client-server telah menjadi konfigurasi IT yang sangat populer di semua ukuran perusahaan dan sistem. Dalam lingkungan jaringan lokal, misalnya, masing-masing workstation adalah klien. Sebuah prosesor terpusat, yang berisi file bersama umum dan sumber daya lainnya, yang disebut server. Mungkin juga ada server khusus untuk tugas-tugas seperti manajemen penyimpanan atau pencetakan. Pengguna workstation mengirimkan permintaan dari mesin klien ke server, yang kemudian memberikan dukungan, atau fungsi, bahwa klien dengan melakukan proses yang diperlukan.


(iii) NONBUSINESS SPECIALIZED PROCESSOR COMPUTER SYSTEMSDalam banyak perusahaan saat ini, sistem lain dapat ditemukan di wilayah di luar operasi TI seperti laboratorium teknik, operasi pengendalian manufaktur, departemen pemasaran, dan di tempat lain. Sistem ini dapat digunakan untuk pengendalian proses, karya desain otomatis, pengolahan analisis statistik, atau aplikasi lainnya. Beberapa benar-benar didedikasikan untuk aplikasi spesifik; yang lain dapat digunakan untuk berbagai tugas dalam fungsi sebagaimana mereka ditugaskan. Meskipun sistem ini tidak digunakan untuk kebutuhan informasi bisnis tradisional, seperti memelihara rekening catatan piutang, mereka sering mendukung aplikasi kritis untuk perusahaan.

b) Smaller Systems’ IT Operations Internal ControlsPemisahan tugas kontrol yang ditemukan di toko yang lebih besar tidak ada dalam lingkungan kecil ini, tetapi harus ada kompensasi kontrol, termasuk:

Pembelian perangkat lunak. Peningkatan perhatian manajemen. Pemisahan tugas input dan pengolahan.

Bahkan dengan control yang mengkompensasi dalam sistem IT usaha kecil yang modern, audit internal juga harus menyadari untuk mengendalikan risiko potensial dan kelemahan. Beberapa contoh kelemahan kontrol di perusahaan dengan IT kecil yang tidak biasanya ada di departemen yang lebih besar meliputi:

Karyawan "Setia" yang tidak mengambil liburan atau waktu libur mereka Penggunaan khusus, program berdokumen yang hanya diketahui oleh manajer TI Partisipasi departemen IT langsung dalam transaksi sistem input, seperti penyesuaian dengan sistem persediaan


c) Auditing IT General Controls for Smaller IT SystemsAudit internal akan menghadapi berbagai merek perangkat keras komputer atau nama produk dalam sistem lingkungan yang lebih kecil, tetapi sebagian besar merupakan sistem terbuka dengan sistem operasi umum yang dapat berfungsi tidak peduli apa merek hardware yang digunakan. Auditor internal akan lebih efektif dalam meninjau kontrol sistem komputer usaha kecil jika mereka memiliki pengetahuan yang menyeluruh dari beberapa kemampuan mereka. Meskipun sifat bisnis kecil yang lebih informal atas sebuah sistem komputer, audit internal dapat mengharapkan beberapa masalah pengendalian internal yang akan dibahas berikut.

(i) SMALLER SYSTEM CONTROLS OVER ACCESS TO DATA AND PROGRAMS ARE OFTEN WEAKAudit internal harus mempertimbangkan akses ke data dan program agar menjadi tujuan kontrol umum utama ketika meninjau perusahaan IT kecil. Sistem yang kecil, seringkali tidak memiliki kontrol keamanan yang canggih seperti pada kebanyakan system yang lebih besar. Dalam rangka untuk meninjau kontrol di daerah ini, audit internal harus terlebih dahulu mendapatkan pemahaman umum dari sistem keamanan data yang terpasang, yang bisa berkisar dari sistem berbasis password yang baik sampai satu set prosedur yang sangat terstruktur dari. Langkah berikutnya adalah untuk memahami bagaimana sistem keamanan telah dilaksanakan dan sedang digunakan. Untuk melakukan hal ini, auditor internal harus meluangkan waktu meninjau bagaimana pengendalian aplikasi yang digunakan di daerah pengguna.

(ii) UNAUTHORIZED USE OF UTILITY PROGRAMSAudit internal harus memahami jenis-jenis program utilitas standar yang tersedia untuk sistem dalam kajian. Penggunaan suatu program ini oleh perusahaan dapat ditentukan melalui penyelidikan dan observasi.

(iii) IMPROPER IT DATA AND PROGRAM ACCESS REQUESTS Sifat yang informal dari banyak perusahaan yang lebih kecil sering memungkinkan data

yang akan diakses tidak dilakukan dengan benar melalui prosedur operasional IT yang normal. Audit internal harus dapat menemukan kontrol untuk mencegah permintaan IT tersebut. Kontrol terbaik bisa menjadi "permintaan untuk layanan data" tipe form yang seperti itu dan disetujui oleh manajemen. Selain itu, log harus dijaga dalam membuat daftar semua kegiatan produksi IT serta nama pemohon dan penerima laporan.

18.3 Components and Controls of Mainframe and Legacy Systems

Auditor internal dulu lebih tertarik pada ukuran sistem komputer untuk ditinjau kembali karena dampaknya pada review pengendalian prosedur audit internal. Ini telah berubah dengan pengenalan banyak perkembangan teknologi baru. Hari ini tidak ada lagi hubungan langsung


antara ukuran mesin dan kompleksitas audit. Namun demikian, beberapa kontrol yang audit internal temukan dalam operasi pusat komputer yang sangat besar belum tentu berlaku untuk sistem komputer bisnis kecil.

a) Characteristics of Larger IT Systemsb) Classic Mainframe or Legacy Computer Systemsc) Operating Systems Software

18.4 Legacy System General Controls Reviews

Sebuah langkah penting dalam kajian audit internal operasi kontrol umum IT sistem besar adalah untuk mendefinisikan dengan jelas apa yang menjadi tujuan tujuan review tersebut. Meskipun tinjauan kontrol umum system IT yang lebih besar dapat memiliki berbagai tujuan, terkadang masuk kedalam salah satu dari empat jenis ulasan:

1. Preliminary reviews of IT general controls.2. Detailed general controls reviews of IT operations.3. Specialized or limited-scope reviews.4. Reviews to assess compliance with laws or regulations.

18.5 ITIL Service Support and Delivery Infrastructure Best Practices

ITIL adalah kerangka rinci praktik terbaik IT yang signifikan, dengan checklist yang komprehensif, tugas, prosedur, dan tanggung jawab yang dirancang untuk disesuaikan dengan setiap organisasi IT. Membagi proses utama antara mereka yang meliputi penyediaan layanan IT dan dukungan layanan, ITIL telah menjadi standar de facto untuk menggambarkan banyak proses fundamental dalam pengelolaan layanan IT, seperti konfigurasi atau manajemen perubahan. Proses ITIL secara tradisional telah dibagi antara mereka yang mencakup dukungan layanan dan orang-orang untuk penyediaan layanan . Proses dukungan layanan membantu membuat aplikasi IT beroperasi secara efisien dan memuaskan pelanggan , sedangkan proses pelayanan meningkatkan efisiensi dan kinerja dari elemen infrastruktur IT . Ada lima proses praktik terbaik dukungan layanan ITIL mulai dari manajemen rilis , menempatkan proses ke dalam produksi , manajemen insiden , sampai pelaporan tertib mengenai masalah atau kejadian IT. Proses dukungan layanan ITIL mencakup praktek-praktek yang baik untuk setiap perusahaan IT , apakah operasi terpusat dengan menggunakan sistem warisan mainframe terutama yang klasik , sebagai titik kontrol pusat IT, hingga operasi client-server yang sangat terdistribusi. Karena banyak variasi yang mungkin dalam fungsi operasional TI , ITIL tidak menetapkan rincian " bagaimana " untuk melaksanakan proses layanan dukungan , seperti konfigurasi atau manajemen perubahan . Sebaliknya , ITIL menyarankan praktek yang baik dan cara-cara untuk


mengelola input dan hubungan antara proses-proses tersebut. Tidak ada urutan atau mana yang lebih dulu di antara masing-masingnya . Mereka dapat dipertimbangkan dan dikelola secara terpisah, tetapi semuanya agak terkait satu sama lain.

18.6 Service Delivery Best Practices

Layanan dukungan meliputi pengolahan aplikasi IT dan komponen yang akurat mulai dari menerima insiden dilaporkan, mendefinisikan masalah, memperkenalkan perubahan dan kemudian melepaskannya ke produksi. Proses pelayanan ITIL yang sama pentingnya mencakup wilayah yang lebih diselaraskan dengan kelancaran dan efisien infrastruktur IT secara keseluruhan. Beberapa di antaranya, seperti proses manajemen kontinuitas, secara tradisional telah dekat di hati banyak auditor internal. Lainnya, seperti SLA yang menentukan kinerja dan harapan antara TI dan pelanggan, harus akrab bagi auditor internal yang mengalami pengaturan serupa di daerah lain.

18.7 Auditing IT Infrastructure Management

Proses Dukungan layanan dan layanan pengiriman ITIL memperkenalkan pendekatan yang diperluas dan ditingkatkan untuk melihat semua aspek dari infrastruktur IT. Proses ini tidak independen dan berdiri sendiri. Sementara setiap proses dapat beroperasi dengan sendirinya, mereka semua bergantung pada masukan dan dukungan proses terkait lainnya.


18.8 Internal Auditor CBOK Needs for IT General Controls

Pemahaman audit internal terhadap kontrol umum IT sangat penting. Tidak peduli apa ukuran atau ruang lingkup operasional IT, kontrol tertentu prosedur-seperti revisi Program kontrol-berlaku untuk semua operasi. Selain itu, pemahaman keseluruhan praktik terbaik ITIL harus memungkinkan auditor internal untuk memahami dan mengevaluasi kontrol umum IT di banyak lingkungan.


Reviewing and Assessing IT Application Controls [CH 19]

Aplikasi Teknologi informasi (TI) mendorong sebagian besar proses perusahaan saat ini. Aplikasi TI ini berkisar dari yang relatif sederhana, seperti sistem akun hutang untuk membayar faktur vendor, hingga yang sangat kompleks, seperti manajemen sumber daya perusahaan (ERM) mengatur aplikasi database yang saling terkait untuk mengontrol hampir semua proses perusahaan. Banyak aplikasi IT didasarkan pada vendorpurchased software; peningkatan jumlah berasal dari layanan berbasis web; ada pula yang dikembangkan oleh tim pengembangan in-house; dan banyak lainnya mungkin didasarkan pada spreadsheet atau aplikasi desktop database. Dalam rangka untuk melakukan ulasan kontrol internal di daerah tertentu seperti akuntansi, distribusi, atau rekayasa, auditor internal harus memiliki keterampilan untuk memahami, mengevaluasi, dan menguji kontrol atas aplikasi pendukung TI. Ulasan kontrol aplikasi yang spesifik sering lebih penting untuk mencapai tujuan audit secara keseluruhan daripada tinjauan kontrol TI yang umum.

Seorang auditor internal harus memahami unsur-unsur dari aplikasi TI dan kebutuhan mereka untuk pengendalian pendukung. Orang-orang yang tidak akrab dengan IT kadang-kadang berpikir aplikasi IT hanya dalam hal laporan output sistem atau data yang ditampilkan pada layar terminal. Namun, setiap aplikasi, baik berbasis web, sistem mainframe yang lebih tua, aplikasi client-server, atau paket produktivitas kantor yang diinstal pada sistem desktop lokal, memiliki tiga komponen dasar: (1) input sistem, (2) program yang digunakan untuk pengolahan, dan (3) output sistem. Masing-masing memiliki peran penting dalam struktur pengendalian internal suatu aplikasi.

Sementara semua operasi utama TI dan aplikasi kunci harus tunduk pada tinjauan rutin, audit internal biasanya tidak memiliki sumber daya atau waktu untuk secara teratur meninjau kontrol untuk semua aplikasi TI. Selain itu, banyak aplikasi TI yang merupakan tingkat minimal risiko pengendalian. Sebagai bagian dari kajian operasional tertentu atau pengendalian IT umum, audit internal harus memilih aplikasi yang lebih penting untuk diperiksa. Karena aplikasi TI sangat penting untuk operasi perusahaan, auditor internal sering menerima permintaan khusus dari komite audit atau manajemen untuk meninjau kontrol aplikasi spesifik. Beberapa faktor yang dapat mempengaruhi keputusan audit internal untuk memilih satu aplikasi tertentu atas yang lain mungkin termasuk:

Management requests. Preimplementation reviews of new applications. Postimplementation applications reviews. Internal control assessment considerations. Other audit application selection criteria.


Setelah aplikasi telah dipilih untuk review, audit internal harus memperoleh pemahaman tentang maksud atau tujuan, pendekatan teknologi yang digunakan, dan hubungan aplikasi tersebut untuk proses otomatis atau signifikan terkait lainnya. Mungkin perlu untuk auditor internal yang ditugaskan untuk melakukan beberapa bacaan mengenai latar belakang dan mempelajari aspek-aspek teknis khusus dari aplikasi tersebut. Seringkali pemahaman auditor ini dapat dicapai melalui review dari kertas kerja audit yang lalu, wawancara dengan IT dan personil pengguna, dan review dari aplikasi dokumentasi. Sebagai langkah awal dalam proses peninjauan ini, audit internal harus melakukan walkthrough pada aplikasi untuk lebih memahami cara kerjanya dan bagaimana kontrol yang ada berfungsi. Langkah-langkah awal ini akan memungkinkan auditor internal untuk mengembangkan tes audit tertentu terhadap kontrol aplikasi yang lebih signifikan. Saat melakukan review, audit internal biasanya harus mencari unsur-unsur dokumentasi ini:

Systems development methodology (SDM) initiating documents. Functional design specification. Program change histories. User documentation manuals.

Prosedur audit aplikasi IT yang mendetil biasanya lebih sulit untuk ditentukan daripada tujuan umum audit internal. Prosedur bervariasi dan tergantung pada apakah (1) aplikasi utama yang digunakan dibeli atau komponen perangkat lunak yang dikembangkan sendiri; (2) aplikasi terintegrasi dengan yang lain atau proses yang terpisah; (3) menggunakan penyedia layanan berbasis Web, client-server atau yang lebih tua lagi, metode sistem komputer warisan; dan (4) apakah kontrol yang sebagian besar otomatis atau memerlukan tindakan intervensi manusia. Sifat dari suatu aplikasi juga dapat bervariasi. Meskipun penekanan audit internal dulunya terutama melalui kontrol dalam aplikasi yang berhubungan dengan akuntansi, auditor internal saat ini harus meninjau aplikasi di daerah lain juga, seperti perencanaan sumber daya manufaktur atau analisis portofolio kredit.

Auditor Internal harus menempatkan penekanan utama pada meninjau aplikasi TI yang mendukung saat melakukan tinjauan di daerah lain dari perusahaan. Meskipun prosedur pengendalian TI baik yang umum atau yang saling tergantung mungkin telah cukup baik, kontrol aplikasi individu mungkin tidak semuanya kuat. Aplikasi suatu perusahaan mungkin telah dikembangkan melalui serangkaian kompromi antara pengguna atau tanpa tingkat jaminan kualitas yang tepat. Untuk mengevaluasi aplikasi TI kontrol dengan benar, audit internal membutuhkan pemahaman yang baik dari kedua prosedur IT dan kontrol tertentu dan karakteristik prosedural dari setiap aplikasi.

CH 20 Cybersecurity and Privacy Control


Karena ada tingkat besar kompleksitas praktik IT cybersecurity, banyak fungsi audit internal mungkin tidak memiliki keahlian teknis yang memadai di bidang ini. Namun, meskipun mereka mungkin tidak spesialis cybersecurity, semua auditor internal harus memiliki pemahaman Common Body Of Knowledge (CBOK) mengenai risiko cybersecurity, kontrol tingkat tinggi, dan mekanisme pencegahan. Internal auditor juga harus memahami ketika ia harus mencari bantuan dan saran dari para ahli cybersecurity berpengalaman saat melakukan audit internal.

Dasar Keamanan Jaringan IT

Karena tidak memiliki prosedur pengendalian internal yang tepat, sistem TI hardware suatu perusahaan, perangkat lunak, dan data mungkin menghadapi salah satu atau empat dasar ancaman:

1. Interupsi. Aset sistem dapat menjadi hilang, tidak tersedia atau tidak dapat digunakan melalui penghancuran berbahaya dari program, pencurian komponen hardware, atau penyalahgunaan sumber daya jaringan.

2. Intersepsi. Pihak luar, seperti orang, program, atau sistem komputer total, dapat memperoleh akses ke aset IT. Contoh dari jenis ancaman dapat penyadapan untuk memperoleh data atau penggunaan ilegal sumber daya program. intersepsi sering dapat berlangsung dengan beberapa jejak dan bisa sulit untuk dideteksi.

3. Modifikasi. penyusup yang tidak sah tidak hanya mengakses tapi membuat perubahan data, program, atau bahkan komponen hardware. Sementara modifikasi sering dapat cepat terdeteksi, dalam beberapa kasus mereka bisa pergi pada hampir tanpa disadari.

4. Fabrikasi. Ancaman ini terjadi ketika orang yang tidak berhak memperkenalkan objek palsu ke dalam lingkungan TI. Ini mungkin termasuk transaksi palsu ke sistem komunikasi kerja baru atau memasukkan catatan dalam database didirikan.

a. Security of DataDalam beberapa kasus, data mungkin memerlukan beberapa perlindungan kerahasiaan. Berdasarkan gambar ilustrasi di bawah, kontrol penekanan di sini adalah bukan pada kerahasiaan dan integritas ancaman melalui luar tembok pelindung; bukan, kontrol ketersediaan diperlukan untuk melindungi program dan data. Contoh ekstrim kerahasiaan dan integritas kontrol di sini adalah landasan bangunan di mana beberapa catatan penting disegel dalam batu fondasi dan tidak pernah terlihat lagi, sementara bangunan itu berdiri. Landasan umumnya tidak banyak gunanya dalam kebanyakan situasi, dan data harus tersedia, dan secara rahasia dilindungi. Meskipun selalu ada ancaman, data harus dilindungi dari tumpahan atau rembesan yang tak terduga.


b. Importance of IT PasswordsBeberapa praktik dalam penggunaan password IT adalah:1. Password adalah tanggung jawab pengguna untuk membangun aturan-aturan administratif

dan dibentuk untuk membuat sulit ditebak oleh orang lain. 2. Password harus disusun sedemikian rupa sehingga mereka sulit untuk menebak dengan

mudah. Misalnya, keamanan IT dapat menetapkan aturan yang memerlukan campuran huruf dan angka dalam password.

3. Adanya permintaan perubahan password.4. Proses harus dilakukan untuk memantau password, menolak akses jika mungkin dua upaya

sandi tidak valid, dan memungkinkan password diatur ulang melalui prosedur administrasi. Proses-proses ini harus memungkinkan pengguna untuk menerima duplikat jika password telah terlupakan.

5. Sistem tidak boleh dipasang jika menghasilkan atau membutuhkan password yang sangat panjang atau kompleks yang biasanya akan sulit untuk diingat. Jika terlalu kompleks, pengguna akan posting password mereka sebagai self-help, dan tujuan dari password rahasia hilang.

6. Perusahaan degan prosedur yang kuat harus ada penggunaan password. Artinya, harus ada larangan berbagi password atau posting dimana semua orang dapat melihatnya.


c. Viruses and Malicious Program CodeVirus, istilah ini digunakan karena merupakan jenis program yang dapat menempelkan dirinya ke sistem lain dan kemudian menyebar sendiri ke orang lain ketika mereka datang dalam kontak dengan set kode virus. Sebuah virus dapat menyebar dari satu komputer ke komputer lain hanya bila kode virus dibawa ke beberapa komputer yang tidak terinfeksi, misalnya, pengguna mengirimnya melalui jaringan atau Internet, atau dengan membawanya pada removable media seperti compact disc atau USB drive. Virus juga dapat menyebar ke komputer lain dengan menginfeksi file pada sistem file jaringan yang diakses oleh komputer lain.

d. Phishing and other identity threat Phishing. Aktivitas penipuan yang dikenal sebagai phishing, istilah hacker, berasal dari

paralel penipuan. Berikut e-mail palsu dan Website digunakan sebagai umpan untuk menangkap informasi rahasia korban yang sedang terjaring sebagai "phish." Dalam serangan phishing, scammers mengirimkan e-mail otentik yang mengaku berasal dari lembaga yang sah terkenal. Penerima didorong untuk mengklik link situs Web dalam e-mail. Dengan demikian, korban kemudian dibawa ke situs yang palsu.

Phaxing. Sebagai ancaman otentikasi terkait, penjahat dapat mengirim faks kepada pelanggan suatu perusahaan meminta mereka untuk login ke Internet dan meminta


mereka untuk mengirim kembali URL alamat Internet mereka. Versi-fax terkait phishing ini disebut disebut "phaxing."

e. IT System FirewallsFirewall adalah sebuah perangkat lunak yang menyaring lalu lintas antara "di luar" lingkungan yang dilindungi atau "di dalam". Ini adalah jenis khusus dari perangkat lunak yang baik memungkinkan atau mencegah jenis transaksi tertentu. Suatu perusahaan perlu untuk menginstal firewall antara jaringan sistem dan dunia luar melalui internet atau sumber informasi lainnya. Firewall memonitor lalu lintas, rute tertentu untuk lokasi jaringan yang ditunjuk, dan blok lain.

f. Other Computer Security IssuesJaringan IT saat ini harus berurusan dengan banyak ancaman keamanan dan kode berbahaya. Metode mengatasi termasuk password dan firewall, ditambah kontrol akses rumit, kebutuhan untuk menggunakan enkripsi ketika transmisi data, keamanan bertingkat dalam administrasi database, dan banyak lagi. Dari perspektif audit internal, beberapa masalah keamanan komputer yang paling penting fokus pada kebutuhan untuk membangun dukungan manajemen yang kuat untuk program keamanan IT di tempat dan untuk program pendidikan pemangku kepentingan keseluruhan untuk mengesankan semua orang IT jaringan ancaman keamanan dan kerentanan.

Kekhawatiran Sistem Privasi IT

Privasi adalah harapan bahwa informasi pribadi yang bersifat rahasia yang diungkapkan di tempat pribadi tidak akan diungkapkan kepada pihak ketiga. Informasi harus ditafsirkan secara luas untuk memasukkan gambar (misalnya, foto, kaset video), dan opini yang meremehkan. Ini tentu mencakup semua aspek sistem IT dan jaringan.

Keamanan dan privasi dalam departemen audit internal

Auditor internal sebagai fungsi operasi dalam perusahaan dan sebagai auditor internal individu perlu menetapkan prosedur keamanan dan privasi mereka sendiri. Auditor internal secara teratur mengunjungi sebuah situs dan menangkap informasi dan data, baik dalam format hard atau soft-copy, mencakup wilayah kajian mereka serta informasi lainnya dari situs diaudit. Tergantung pada sifat dari tinjauan, bahwa bahan bukti audit yang diambil harus dipertahankan dengan cara yang aman dan rahasia.

a. Security and Control for Auditor ComputersKomputer auditor internal sering digunakan untuk narasi auditor, salinan dokumen, dan bukti audit penting lainnya. Prosedur keamanan yang baik harus dibentuk untuk melindungi sumber daya penting audit internal. Bahkan ketika fungsi audit internal tidak menggunakan laptop dan bergantung pada mesin desktop, auditor praktik keamanan serupa harus dipasang.

b. Workpaper SecurityKertas kerja adalah dokumen penting yang membawa bukti auditor dan hasil audit internal tugas pekerjaan. Keamanan kertas kerja selalu menjadi perhatian, dan apakah file-file tersebut dalam format hard atau soft-copy, prosedur harus ditetapkan untuk mendukung dan melindungi


mereka. Dokumen hard copy harus disimpan di tempat yang aman, terkunci fasilitas dengan akses terbatas. Karena akumulasi tujuh tahun dapat membuat cukup volume bahan, persiapan harus dibuat untuk mengirim kertas kerja yang lebih tua untuk layanan repositori dokumen aman. Bahan telaah kertas kerja Soft-copy harus didukung juga. Ada bisa menjadi perhatian khusus di sini, namun, seperti format file dapat berubah.

c. Audit Reports and PrivacyLaporan audit internal adalah dokumen yang menggambarkan kegiatan audit internal untuk proyek audit yang direncanakan, prosedur yang dilakukan, temuan dan rekomendasi, dan tanggapan auditee manajemen untuk temuan tersebut bersama dengan rencana mereka untuk tindakan korektif. Secara alami mereka, laporan audit bukan merupakan dokumen untuk distribusi massa. Mereka hanya harus dibagi dengan manajemen auditee, manajemen senior perusahaan, audit eksternal, dan komite audit. Anggota tim audit harus secara teratur menekankan kerahasiaan kebutuhan untuk dokumen-dokumen ini.

d. Internal Audit Security and Privacy Standards and TrainingAudit internal harus menetapkan standar untuk keamanan departemen telaah kertas kerja dan privasi. Pengaturan untuk repositori perpustakaan formal harus ditetapkan dalam perusahaan. Hal ini biasanya akan terletak dekat CAE dan kantor pusat perusahaan; Namun, untuk yang besar, multi-unit usaha dan fungsi audit internal yang lebih besar, off-site atau beberapa repositori perpustakaan telaah kertas kerja dapat dibentuk. Lokasi harus aman dengan kontrol administratif keseluruhan ditugaskan untuk anggota staf administrasi. Dengan tujuh tahun persyaratan retensi yang sedang berlangsung, repositori telaah kertas kerja keras dan soft-copy dan perpustakaan harus diatur sedemikian rupa sehingga pengambilan nanti akan relatif mudah.

impact of it on internal audit ch 18,19, & 20

Documents