IMPACT OF IT ON INTERNAL AUDITMakalah Kelompok 4

Disusun Oleh :Astrid Shabrina DamayantiDiqi Faruk AshshidiqPherinda Eka PutriTriazty Resti RamadhaniTry Setiawan PutraYudika Setiawan

PROGRAM STUDI EKSTENSI AKUNTANSIFAKULTAS EKONOMIUNIVERSITAS INDONESIA2015

Statement of AuthorshipKami yang bertandatangan dibawah ini menyatakan bahwa makalah/tugas terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang kami gunakan tanpa menyebutkan sumbernya.Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan dengan jelas menggunakannya.Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.Mata Ajaran: Audit InternalJudul Makalah/Tugas: Impact of IT on Internal AuditTanggal: 23 April 2015Dosen: Robert Porhas Tobing S.E. MBA.Anggota:

Astrid Shabrina D 1306484103 Diqi Faruk Ashshidiq 1306484311

Pherinda Eka Putri 1306485030 Triazty Resti R 1306485440

Try Setiawan 1306485453 Yudika Setiawan 1306485554

BAB IPENDAHULUAN

1.1 Latar BelakangTeknologi Informasi berbasis komputer mempunyai pengaruh yang cukup besar dalam masyarakat modern terutama bagi organisasiperusahaan. Sekarang ini perusahaan dihadapkan dalam lingkungan yang berubah-ubah dan sangat kompetitif. Untuk itu peran teknologi informasi sangatlah penting bagi perusahaan untuk membantu dalam perbaikan proses bisnis danpengambilankeputusan.Proses bisnis dan pengambilan keputusan akan lebih baik apabila perusahan menerapkan teknologi informasi dengan baik dan benar, untuk itu dibutuhkan proses pengendalian intern yang baik terhadap aplikasi-aplikasi teknologi informasi yang ada dalam perusahaan sekaligus melakukan proses audit yang berkesinambungan, teratur, dan independen terhadap sistem informasi yang ada. Pada saat komputer diperkenalkan kedalam organisasi bisnis, risiko-risiko baru ataubertambahnya risikojugaakan ditemui. Sebagai contoh, dalam lingkungan pengolahan komputer, kesalahan sejenis dapat terulang sampaiberibukalidalamsatuharikarenaadanya konsistensi dan kecepatan yang tinggi dalampengolahankomputer. Jadi, salahsaturisikobaruyangdiakibatkanolehsuatukomputer adalah pengulangan kesalahan seperti itu. Auditor harus mempelajari keahlian-keahlian baru untuk bekerja secara efektif dalam suatu lingkungan bisnis yang dikomputerisasi. Keahlian-keahlian baru ini menyangkut tiga bidang :1. Pemahaman konsep komputer dan desain sistem.2. Kemampuan untuk mengidentifikasi risiko-risiko baru atau tambahan risiko dan mengetahui pengendalian apa yang efektif dalam mengurangi risiko-risiko tersebut.3. Suatu pengetahuan mengenai bagaimana menggunakan komputer untuk mengaudit komputer.Ini merupakan keahlian-keahlian baru yang diperlukan untuk mereview teknologi komputer.

1.2 Rumusan Masalah1. Bagaimana melakukan review risiko berdasarkan ITIL?2. Bagaimana melakukan audit terhadap suatu aplikasi?3. Bagaimana melakukan review yang menggunakan dasar sistem IT pada area cybersecurity dan kebijakan pengamanan?4. Bagaimana internal auditor melakukan proteksi atau pengamanan atas audit prosedur yang sudah dijalankannya?

1.3 Tujuan Penulisan1. Untuk mengetahui bagaimana melakukan review risiko berdasarkan ITIL2. Untuk mengetahui bagaimana melakukan audit terhadap suatu aplikasi3. Untuk mengetahui bagaimana melakukan review yang menggunakan dasar sistem IT pada area cybersecurity dan kebijakan pengamanan4. Untuk mengetahui bagaimana internal auditor melakukan proteksi atau pengamanan atas audit prosedur yang sudah dijalankannya

1.4 Manfaat Penulisan1. Untuk menambah ilmu pengetahuan dan wawasan serta pemahaman teori mengenai dampak teknologi informasi terhadap internal audit2. Penulisan ini diharapkan untuk referensi bagi peneliti lanjutan, yang dapat diteliti lebih lanjut sehingga berguna untuk menambah wawasan ilmu pengetahuan.

BAB IIPEMBAHASAN

IT General Control and ITIL Best Practices

Dalam zaman sekarang dimana berkembang pesatnya teknologi informasi (TI) dan sistem komputer, banyaknya aplikasi-aplikasi sebagai fungsi kontrol perusahaan seperti buku besar accounting hingga internet, auditor internal perlu memiliki pengetahuan yang cukup akan teknik pengendalian internal melalui teknologi informasi. Terkadang, kita berpikir bahwa pengendalian TI adalah sebuah proses yang spesifik seperti aplikasi Account Payable: pembayaran faktur dari sebuah pembelian. Sebenarnya pengendalian IT terbagi menjadi dua yaitu proses spesifik seperti diatas dan general IT controls.Kendala utama dari proses memahami IT general controls adalah banyaknya variasi dan perbedaan aplikasi TI yang digunakan oleh masing-masing perusahaan. Aplikasi ini dibangun menyesuaikan dengan kebutuhan perusahaan, sehingga setiap satu perusahaan akan berbeda dengan perusahaan yang lain. Di dalam chapter ini akan melihat IT general controls dan perspektik auditor internal yaitu berdasarkan information technology infrastructure library (ITIL). ITIL ini merekomendasikan kerangka best practices dalam mereview risiko pengendalian internal TI dan peningkatan efektivitas pengendalian umum TI.

Importance of IT General ControlsIT general control harus termasuk semua fungsi sistem informasi dan termasuk: Reliability of information system processingPengendalian yang baik diperlukan dalam semua aspek sistem operasi TI. Pengendalian ini biasanya tergantung pada nature dan manajemen dari ukuran yang spesifik dan tipe sistem yang digunakan. Integrity of dataKeseluruhan proses tepat di tempat yang seharusnya untuk memastikan tingkatan integritas atas seluruh data yang digunakan dalam program aplikasi.

Integrity of programsBaru atau revisi program seharusnya dikembangkan dengan pengendalian yang baik untuk menyediakan hasil proses yang akurat. Integritas akan pengendalian ini termasuk keseluruhan proses pengembangan atas aplikasi program. Control of the proper developments and implementation of systemsPengendalian perlu ditempatkan untuk memastikan pengembangan yang teratur dalam pengembangan baru ataupun revisi sistem informasi. Continuity of processingPengendalian perlu ditempatkan dalam sistem back-up dan dalam operasi recovery dalam kejadian kejadian yang tidak biasa.

Client-server and Smaller Systems General IT Control(a) General Controls for Small Business SystemsSistem yang lebih kecil dapat diimplementasikan dalam berbagai cara, tergantung konfigurasi sistem dan ukuran dari perusahaan. Auditor internal sebaiknya dapat mengetahui perberdaan-perbedaan dengan perusahan yang besar dan menyusun prosedur internal audit yang pantas untuk mereview pengendalian umum. Dalam subbab ini dibahas mengenai pengendalian umum dalam sistem komputer bisnis kecil, internet dan sistem jaringan, sistem server, dll.(i) Small Business Computer System ControlKarakteristik dari sistem komputer pada bisnis kecil adalah diantaranya: Staff IT yang terbatasDalam perusahaan kecil biasanya memiliki staf IT yang sedikit. Risiko pengendalian dari perusahan kecil adalah ketika mereka masih menggunakan jasa pihak ketiga dalam mengelola sistem IT nya, sehingga ada resiko pada keamaan data-data penting perusahaan. Kapabilitas programing yang terbatasTipikal dalam perusahaan kecil dalam menerapkan sistem komputernya adalah membeli paket software dan perusahaan hanya memperbaharui paket sistem tersebut dan melakukan pemeliharaan sistem.

Pengendalian Lingkungan yang terbatasTidak memerlukan perlindungan lingkungan yang khusus. Pengendalian keamanaan fisik yang terbatasTingkatan kekhawatiran auditor dalam pengendalian fisik TI tergantung pada aplikasi yang di proses. Internal audit akan merekomedasikan peningkatan keamanan jika suatu aplikasi sedang dalam tahap pengembangan yang membutuhkan proteksi yang lebih. Selebihnya, tidak perlu ada keamanan fisik yang signifikan. Pengendalian jaringan telekomunikasiDalam lingkup bisnis yang kecil tidak memerlukan pengendalian dan kebijakan dalam pengendalian jaringan telekomunikasi.(ii) Client Server Computer SystemDalam jaringan lokal, setiap workstation adalah klien. Prosesor yang terpusat yang dimana bisa men-share file dan sumber-sumber lainnya, disebut server.(iii) Non-Business Specialized Processor Computer SystemDi dalam dunia bisnis sekarang ini, banyak sistem-sistem lain yang digunakan selain dalam operasional TI seperti penelitian insinyur, pengendalian operasi manufaktur, pemasaran, dll. Sistem-sistem ini sudah spesifik dikhususkan untuk area-area tertentu. Contohnya, computer-aided design (CAD). Sebelum memulai review atas IT yang khusus ini, auditor internal perlu memahami pengetahuan yang cukup dalam atas seluruh fungsi operasional. Review atas IT yang terspesialisasi ini tidak disarankan bagi auditor internal yang kurang berpengalaman.(b) Smaller System IT Operations Internal ControlSeperti dibahas sebelumnya, auditor internal biasanya memeriksa pemisahan pekerjaan dalam prosedur awal evaluasi IT general control. Tetapi pemisahan tugas ini terkadang sulit jika diimplementasikan dalam departemen yang kecil. Tetapi biasanya dalam lingkungan yang kecil menerapkan: Pembelian Software Peningkatan perhatian manajemen Pemisahan pekerjaan input dan processingnyaResiko pengendalian dapat menjadi pertimbangan utama saat prosedur audit sudah mengidentifikasi pengendalian yang lemah dalam sistem bisnis yang kecil. Dalam sistem bisnis yang besar, auditor internal sering meminta dokumen deskripsi posisi sebagai bukti pengendalian baik atas fungsi TI. Tetapi, biasanya dalam sistem bisnis yang kecil tidak mempunyai deskripsi posisi yang jelas. Oleh karena itu, penting bagi perusahaan kecil untuk mendokumentasikan prosedur TI nya. Sehingga, pada saat satu personel berhalangan/mengundurkan diri, pekerjaannya dapat digantikan oleh orang lain berdasarkan prosedur yang telah didokumentasikan. Jika dalam perusahaan yang besar, selalu ada suatu standard wajib yang berlaku umum baik untuk lingkup besar maupun kecil.(c) Auditing IT General Controls for Smaller IT SystemsDalam mengaudit sistem IT yang lebih kecil, auditor internal perlu memperhatikan hal-hal berkut ini:(i) Smaller System Controls Over Access to Data and Programs are Often WeakSaat ada personel yang dapat mengakses data-data komputer, maka pengendalian umumnya sudah lemah. Auditor internal perlu fokus pada otorisasi akses ke pusat data pada perusahaan yang kecil. Apakah perusahaan tersebut memiliki log-on untuk masuk ke data-data perusahaan. Jika pun ada, perlu diperiksa apakah passwordnya diubah secara berkala. Apakah ada perbedaan akses antara karyawan/divisi.(ii) Unathorized Use of Utility ProgramsDalam sistem TI selalu ada yang disebut program utiliti, yaitu program yang khusus digunakan untuk merubah sistem data suatu aplikasi, seharusnya hanya personel TI yang boleh menggunakannnya. Sistem ini pun berisiko untuk digunakan oleh pihak-pihak yang ingin menyalahgunakannya.(iii) Improper IT Data and Program Access RequestsDalam perusahaan atau entitas yang besar selalu menerapkan sistem persetujuan dalam permohonan untuk berbagai macam akses data perusahaan. Persetujuan ini biasanya mengacu ke atasan yang bersangkutan. Dalam perusahaan atau entitas kecil biasanya mengacuhkan persetujuan, sehingga resiko pengendalian mengenai akses yang tidak benar menjadi lebih besar.Components and Controls of Mainframe and Legacy System(a) Characteristic of Larger IT System Pengendalian keamanan fisikSistem komputer yang besar biasanya memiliki komputer sentral yang berisi data-data di dalam suatu ruangan yang diamankan. Pengendalian LingkunganSumber tenaga khusus dan pendingin ruangan dibutuhkan karena komponen elektrikal dalam tenaga penuh akan menimbulkan panas. Kebutuhan-kebutuhan khusus ini juga perlu diperhatikan oleh auditor internal. Media penyimpanan yang terpisahBarang-barang yang mengandung magnetik seperti catridge harus disimpan pada tempat yang terpisah. Sistem Operasi yang multitasking Kemampuan programing in-houseKebalikan dari perusahaan atau entitas yang kecil biasanya hanya membeli software dari pihak luar. Perusahaan atau entitas yang lebih besar biasanya juga mempunyai aplikasi yang dikembangkan secara internal. Jaringan telekomunikasi yang lebih luasPada perusahaan besar biasanya telah memiliki jaringan telekomunikasi yang lebih luas tersambung dengan seluruh perusahaan, online dengan internet. Memiliki data kritikal yang berjumlah sangat besarData-data yang kritikal ini harus di back-up secara berkala.(b) Operating Systems SoftwareSistem operasi adalah software dasar yang menyediakan tampilan bagi pengguna, termasuk program aplikasi dan lain-lain. Seorang auditor internal perlu memiliki kemampuan yang lebih dalam memahami berbagai sistem operasi dan sistem bawaan terkait: Sistem Operasi yang terpusatMemahami sistem operasi apa yang digunakan dan kelebihan dan kekurangan akan sistem tersebut.

Sistem MonitorPengendalian dari sistem tersebut terhadap penggunaan oleh user. Contoh, memory RAM yang melebihi kapasitas.

Legacy System General Control ReviewInternal audit sebaiknya membangun satu set tujuan-tujuan pengendalian yang terspesifik untuk perencanaan review. Objektif ini bergantung pada tujuan pemeriksaan. Review Awal Pengendalian Umum TITujuan dilakukan review awal ini adalah untuk mendapatkan pemahaman umum dari pengendalian TI. Auditor internal dapat melakukan wawancara, observasi operasi, review dokumentasi, yang biasanya hanya tanya jawab saja, belum mengambil sampel. Tahap awal ini dapat membantu untuk menentukan seberapa detail review yang dibutuhkan. Review Detail Pengendalian Umum atas Operasional TISebuah review yang detail dan komprehensif dari pengendalian umum sistem TI yang besar, termasuk sistem program, pengendalian telekomunikasi, administrasi penyimpanan di operasional TI dan fungsi pengembangan. Prosedur audit yang detail ini didapatkan dari review awal langkah pertama. Dasarnya adalah agar auditor internal memahami alur kerja fungsi opersional TI. Sistem yang sudah berkembang biasanya selalu melakukan perubahan prosedur dari waktu ke waktu menambahkan atau merubah kompleksitas yang dibutuhkan. Sehingga audit prosedur yang digunakan dapat diganti mengikut pergantian yang dilakukan oleh manajemen, tergantung kompleksitas dan ukuran perusahaan/entitas. Review atas lingkup terbatas terspesialisasiKarena permintaan manajemen, auditor terkadang juga perlu melakukan spesial review, misalnya khusus database administrasi. Ketaatan hukum dan peraturan

ITIL Service Support and Delivery InfrastructureITIL adalah akronim dari Information Technology Infrastructure Library, sebuah set best practice pertama di kembangkan pada tahun 1980 di UK oleh British Governments Office of Government Commerce (OGC). ITIL adalah sebuah kerangka best practice dengan daftar komprehensif, tugas, prosedur, tanggungjawab yang dapat diaplikasikan di berbagai fungsi TI. Sebenarnya banyak area yang dibahas dalam ITIL, tetapi pada pembahasan ini difokuskan pada 5 proses service support, area yang penting bagi auditor internal saat melaksanakan IT general control review. Pendekatan-pendekatan ini mengarah pada efisiensi fungsi operasional TI sehingga dapat memberikan jasa terbaik kepada pelanggan.

(a) ITIL Service Support Incident ManagementIncident management process harus mengcover dalam aktivitas memperbaiki gangguan dalam TI. Gangguan ini dapat berupa kegagalan sistem, ketidakmampuan user mengakses sesuatu, dll. Tempat user mengadu ini disebut service desk. Tujuan dari ITIL Service Support Incident Management ini adalah mengembalikan operasional yang seharusnya/normalnya secepat mungkin dengan keefektifan biaya dengan dampak minimal yang berpengaruh ke user. Saat service desk menerima keluhan, service desk sebaiknya langsung mengklasifikasikan sebagai prioritas, sangat penting, dan penting. Pengklasifikasian ini sangat penting dalam insiden TI. Siklus dibawah ini dapat membantu auditor internal dengan memperlihatkan best practice dalam TI. Dengan begitu akan lebih mudah bagi auditor internal melakukan review dan bertanya dengan personel TI.

(b) Service Support Problem ManagementSaat proses insiden manajemen menemui insiden yang sulit dan tidak bisa diketahui alasannya, insiden tersebut harus di beritahukan kepada problem management process. 3 term dalam problem management process adalah problem control, error control, dan proactive problem management. ITIL mengartikan problem sebagai sesuatu yang tidak dapat diketahui penyebabnya. Error adalah penyebab yang diketahui setelah insiden terjadi, sedangkan proactive problem management adalah langkah pencegahan sebelum insiden terjadi. Idenya adalah bagaimana dan kapan service desk melaporkan suatu insiden yang sudah bukan wewenangnya lagi. Dalam service support management ini juga harus dilakukan evalusi bagaimana mencegah masalah itu terjadi. Oleh karena itu, service support management fokus pada mencari pola insiden yang sering terjadi, mencari penyebabnya dan mencari solusinya. Perbedaan problem management dengan incident management adalah problem management bertujuan mengurangi jumlah dan variasi insiden yang menghambat bisnis, sedangkan incident management bertujuan menyelesaikan masalah secepatnya. Bagi auditor internal hal-hal yang dapat ditanyakan adalah: Seberapa sering adanya request dari user Berapa lama TI menyelesaikan masalah Berapa banyak insiden yang terjadi sampai TI dapat melihat pola keterjadian insiden yang serupa Solusi penyelesaian yang ditawarkan dan berapa anggaran yang dibutuhkan.Problem management adalah area yang tepat bagi auditor internal karena disini memperlihatkan keefektifan operasional TI. (i) Service Support Configuration ManagementFungsi konfigurasi adalah proses yang sangat penting yaitu termasuk identifikasi, mencatat dan melaporkan komponen-komponen TI, versi-versinya. Manajemen konfigurasi termasuk mengatur hubungan antar aset. Manajemen konfigurasi juga termasuk elemen kontrol di dalamnya, seperti memerlukan cek fisik yang dicocokkan dengan yang tercatat. Data-data individual harus dicatat secara teratur dalam configuration management database (CMDB).(ii) Service Support Change ManagementTujuan ITIL change management adalah menstandarisasi metode dan prosedur untuk efisiensi penggantian untuk menghindari mengurangi kualitas pelayanan sehari-hari. ITIL change management termasuk: IT hardware dan sistem perangkat lunak Peralatan komunikasi dan perangkat lunak Semua aplikasi perangkat lunak Semua dokumentasi dan prosedur yang berhubungan dengan sistemProses yang efisien dalam penggantian ini adalah dengan melakukannya dengan seminimal mungkin timbulnya dampak eror. Saat mengaudit IT internal kontrol, internal auditor seharusnya melihat change management yang melengkapi : Selaras dengan bisnis Peningkatan jaringan telekomunikasi antara staf dan manajemen Meningkatkan penilaian risiko Mengurangi dampak negatif pada pelayanan kualitas Penilaian yang lebih baik terhadap biaya-biaya yg muncul Menurunnya tingkat eror yang muncul(iii) Service Support Release ManagementFungsi TI memerlukan proses yang memastikan segala perubahan akan berdampak pada semua pihak dengan baik. Release disini dimaksudkan termasuk pembetulan beberapa masalah, peningkatan pelayanan termasuk yang baru atau perubahan perangkat lunak. Pada intinya, release management memastikan semua komponen yang diubah telah dibangun, dites, didistribusikan dan diimplementasikan secara bersama.

Service Delivery Best Practice(a) Service Delivery Service-Level ManagementService-Level Management adalah proses perencanaan, pengkoordinasian, perancangan, persetujuan, pengawasan, dan pelaporan dalam persetujuan/perjanjian formal antara TI dan pemberi layanan/penerima layanan. Service Level Agreement (SLA) dapat merupakan antara TI dan pihak luar atau antara TI dan pengguna. Secara umum SLA berisi target pelayanan yang dijanjikan, hak dan kewajiban masing-masing pihak, jadwal pelaksanaan, penalti jika merugikan pihak pengguna. Proses SLA sangat penting dalam komponen operasional TI. Jika perusahaan belum menggunakan, maka auditor internal dapat merekomendasikannya. SLA dapat dijadikan dasar bagi auditor internal dalam mengukur pengendalian internal TI karena dalam SLA diketahui tanggung jawab masing-masing pihak sehingga dapat saling mengontrol.

(b) Service Delivery Financial Management for IT ServicesTujuan Financial Management for IT Services adalah sebagai pemandu agar tercapai efektifitas biaya dalam mengadakan jasa TI. Tiga sub yang berhubungan adalah : IT BudgetingProses estimasi dan mengatur pengeluaran biaya untuk keperluan TI. IT AccountingProses TI untuk menentukan bagaimana uang tersebut dihabiskan untuk pelanggan, penyediaan jasa dan aktivitas. ChargingPemberian harga dan penagihan untukyang telah menggunakan jasa TI.(c) Service Delivery Capacity ManagementMemastikan kapasitas dari infrastruktur TI sejalan dengan kebutuhan bisnis dan kualitas jasa yang diberikan telah sesuai. Manajemen kapasitas pada umumnya termasuk mempertimbangkan bisnis, jasa, dan manajemen kapasitas sumber. Manajemen kapasitas bisnis adalah proses jangka panjang untuk menentukan masa depan bisnis telah dipertimbangkan akan diimplementasi di masa mendatang. Manajemen kapasitas jasa bertanggung jawab memastikan semua jasa TI telah dilaksanakan. Manajemen kapasitas sumberdaya bertanggung jawab atas komponen infrastruktur TI secara individu. Dari ketiga komponen tersebut, biasanya dibawahi oleh satu manajer yang mengatur pelaksanaan perancanaan kapasitas, memastikan seluruh kapasitas diperbaharui. Implementasi dari manajemen kapasitas yang efektif memberi keuntungan yaitu gambaran akan kapasitas saat ini dan dapat digunakan untuk perencanaan kapasitas kedepan.(d) Service Delivery Availability ManagementManajemen ketersediaan dapat digambarkan sebagai perencanaan, peningkatan dan pengukuran aksi yang dilakukan. Perencanaan termasuk menentukan persyaratan dan bagimana TI dapat memenuhinya. Keuntungan utama dari manajemen ketersediaan adalah adanya proses yang terstruktur untuk memastikan jasa TI terpenuhi sampai ke pelanggan. Hal ini akan menambah jasa TI yang terus tersedia dan meningkatkan kepuasan pelanggan.

(e) Service Delivery Continuity ManagementFungsi TI yang semakin dependen dengan dunia bisnis saat ini, maka dibutuhkan peranan TI secara terus menerus dari waktu ke waktu.

Auditing IT Infrastructure ManagementJasa pendukung dan proses delivery service ITIL memperkenalkan peningkatan semua aspek dalam infrastruktur TI. Proses-proses ini tidak independen dan berdiri sendiri. Walaupun keseluruhannya dapat berjalan sendiri-sendiri namun, mereka bergantung input dan dukungan satu sama lain untuk proses yang berhubungan. Bagi auditor internal yang mereview pengendalian melalui proses ITIL, harus berpikir pengendalian ini berkaitan satu dengan yang lainnya.

Reviewing and Assesing IT Application Controls

Pada dasarnya, Pengendalian IT dalam konteks Audit dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data diinput secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektivitas atas pengendalian-pengendalian aplikasi. Internal audit secara efektif perlu melakukan review terhadap pengendali internal atas suatu aplikasi, termasuk menilai risiko yang muncul pada saat memilih suatu aplikasi yang akan direview, menguji pengendalian, dan mereview atas suatu aplikasi yang sedang dibangun.1. IT Application Control Components3 komponen dasar:1. Sistem Input2. Pemrosesan3. Sistem outputDalam semua jenis aplikasi, ketiga elemen tersebut pasti dimiliki oleh setiap entitas. Oleh karena itu, bagaimanapun kompleksitas dari suatu aplikasi yang dimiliki internal auditor perlu memahami dengan membagi aplikasi tersebut berdasarkan ketiga elemen tersebut. Internal auditor minimal memiliki pemahaman terhadap IT aplikasi dan proses penunjangnya yang memang menjadi bagian dari dasar kebutuhan dari Common Body Of Knowledge (CBOK).a) Application Input ComponentsInput merupakan salah satu tahap dalam sistem komputerisasi yang paling krusial dan mengandung risiko. Pengendalian masukan (input control) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan. Input controls ini merupakan pengendalian aplikasi yang penting, karena input yang salah akan menyebabkan output juga keliru.1. Data Collection And Other Input DevicesData yang banyak biasa diinput kedalam sistem dalam bentuk batch atau data gelondongan. Pada masa kini banyak alat-alat yang dapat digunakan untuk memasukan data kedalam suatu aplikasi, contohnya dalam siklus payroll data absen diinput sudah berdasarkan timecard yang dihasilkan secara otomatis melalui fingerprint absent. Dan juga dalam siklus penjualan, teknologi Radio Frequency ID (RFID) atau barcode scanner digunakan untuk menginput penjualan yang terjadi. Suatu pengendalian yang baik didalam input suatu data kedalam sistem sudah menggunakan skema check and balances, sehingga data yang dimiliki dapat dikatakan valid. Pada hal ini, auditor internal perlu meastikan apakah skema tersebut sudah berjalan dengan baik.2. Application Inputs From Other Automated SystemsSuatu data dalam aplikasi dapat diinput secara otomatis akibat adanya integrasi suatu aplikasi dengan aplikasi lainnya. Sebagai contoh, dalam siklus penggajian seorang sales executive, gaji yang akan diterima akan berhubungan jumlah penjualan yang dilakukannya untuk menghitung komisi yang didapat.3. Files And DatabasesSuatu file yang baik di dalam sistem sebuah aplikasi memiliki minimal kriteria kapan file tersebut dibuat dan label checking control untuk menghindari kesalahan input ke dalam siklus pemprosesan atau aplikasi lainnya yang ada. Database sekarang ini biasa digunakan dalam susumam hierarchical databases dimana data diorganisasikan berdasarkan konsep struktur family tree. Produk database yang biasa digunakan yakni IMS (Integrated Management System) yang dikeluarkan oleh IBM. IMS adalah sistem yang mengkombinasikan semua sistem manajemen yang diimplementasikan dengan tujuan untuk kepentingan bisnis organisasi. Contohnya dalam perusahaan manufaktur, setiap produk dapat dilihat bagian-bagian apa saja yang digunakan didalamnya dengan data yang terintegrasi.

(c) Application ProgramSuatu program komputer disusun berdasarkan intruksi yang memuat setiap detail proses yang ada. Internal auditor sebaiknya memahami bagaimana program aplikasi computer dibuat dan kemampuannya, agar dapat menjelaskan prosedur pengendalian yang memadai untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah divalid) menjadi error karena adanya kesalahan proses. Menurut IAI (SA341,Par.08) pengendalian ini didesain untuk memberi keyakinan yang memadai bahwa:(a) transaksi, termasuk transaksi yang dipicu melalui sistem, diolah semestinya oleh komputer; (b) transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya; dan (c) kekeliruan pengolahan dapat diidentifikasi dan dikoreksi secara tepat waktu. Traditional Mainframe and Client Server ProgramsPada saat ini aplikasi dibuat berdasarkan suatu bahasa pemprograman yang universal. COBOL merupakan bahasa pemprograman universal yang sering digunakan oleh banyak entitas dalam membuat suatu proses aplikasi. COBOL adalah singkatan dari Common Business Oriented Language yang berarti suatu bahasa tingkat tinggi yang berorentasi langsung pada masalah bisnis. Dari namanya dapat ketahui bahwa COBOL adalalah bahasa pemprograman yang digunkan dalam dunia bisnis. COBOL juga dapat digunakan untuk pengolahan database, aplikasi perbankan, dan accounting. Modern Computer Program ArchitecturesSelain menggunakan COBOL, developer program juga banyak yang menggunakan bahasa pemprograman seperti JAVA dan C++ untuk membuat program yang lebih sederhana. Vendor Supplied SoftwareBanyak aplikasi IT sekarang tidak dibuat oleh entitasnya sendiri melainkan menggunakan Vendor. Dalam menggunakan Vendor Supplied Software, perusahaan seharusnya sudah menimbang-nimbang cost and benefit yang menghasilkan keputusan dalam penggunaan Vendor tersebut.

(d) IT Application Output ComponentsPengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat lengkap, dan digunakan sebagaimana mestinya. Pengendalian keluaran (output controls) ini didesain agar output/informasi disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak secara cepat waktu dan tepat waktu.2. Selecting Applications for Internal Audit ReviewsDikarenakan aplikasi yang sangat banyak dan beragam dimiliki oleh suatu perusahaan, biasanya internal auditor melakukan review berdasarkan aplikasi yang paling krusial dan memiliki resiko yang tinggi. Berikut ini beberapa faktor dalam pemilihan aplikasi yang perlu direview oleh internal auditor:a) Management RequestManajemen kadang suka melakukan permintaan kepada internal audit untuk mereview pengendalian dari aplikasi yang baru diinstal atau IT yang memiliki signifikansi tehradap sauatu permasalahan atau penyusunan strategis perusahaan.b) Pre-implementation review of new applicationInternal audit terkadang diminta untuk berpartisipasi dalam memberikan saran ketika suatu aplikasi ingin diciptakan.c) Post-implementation application reviewUntuk beberapa aplikasi yang cukup kritikal dan berhubungan dengan analisis resiko, biasanya internal audit perlu melakukan review yang cukup mendetail apakah aplikasi berjalan sudah sesuai dengan yang diharapkan.d) Internal control assessment considerationEvaluasi dan percobaan pengujian pengendalian internal guna memenuhi standar kebijakan yang ditetapkan, seperti pada SOX section 404.e) Other audit application selection criteriaBeberapa hal signifikan lainnya yang membuat internal auditor perlu melakukan review atas aplikasi tersebut, seperti: Aplikasi yang melakukan pengendalian atas aset yang signifikan Aplikasi yang melakukan pengendalian atas risiko yang signifikan Aplikasi yang baru dilakukan perubahan didalamnya Dan lain-lainInternal auditor juga biasanya melakukan review terhadap aplikasi yang spesifik yang menunjang keseluruhan fungsi area. Contohnya dalam mereview operasional dan keuangan dan departemen pembelian.3. Preliminary Steps to Performing Application Controls ReviewsPada saat internal auditor sudah menentukan aplikasi mana yang akan direview, maka dia perlu memahami objektif yang ingin dicapai, teknologi yang digunakan, dan hubungan aplikasi tersebut dengan aplikasi lainnya.1. Pertama, biasanya internal auditor akan meminta dokumen-dokumen yang terlibat dalam siklus kegiatan dan pembuatan aplikasi tersebut. Seperti SOP yang terkait dalam kegiatan bisnis dalam aplikasi tersebut dan juga beberapa dokumen yang ada dalam aplikasi tersebut, seperti : System Development Methodology (SDM) initiating documentDokumen ini akan menunjukan permintaan dalam pembuatan system, cost/benefit yang ada, dan design general system yang dibutukan. Functional design specificationDokumen ini berisi hal-hal mendetail mengenai elemen program, database spesifikasi, dan pengendalian system yang dijelaskan secara jelas. Program change historiesDokumen ini berisi hal-hal historis yang menunjukan dasar perubahan suatu aplikasi terjadi ataupun bukti-bukti dokumen atas revisi aplikasi yang terjadi. User documentation ManualDokumen ini biasanya berbentuk buku manual penggunaan aplikasi ataupun buku bantuan apabila berbagai macam hal terjadi.2. Conducting an Application Walk-ThroughSetelah melakukan pengecekan dokumen, internal auditor akan melakukan walk-through review, hal ini dilakukan dengan agar internal auditor dapat memahami proses kerja suatu aplikasi mulai dari sistem input, proses aplikasi, dan sistem output.

3. Developing Application Control ObjectivesSelanjutnya internal audit perlu mendefiniskan objektif yang dihasilkan dalam proses aplikasi yang sudah direview. Didalamnya termasuk menentukan level pengendalian resiko yang diterima dan kehandalan aplikasi dalam menunjang tujuan yang dicapai.4. Completing the IT Applications Controls AuditProsedur audit dalam detailed IT application biasanya lebih sulit untuk dijelaskan jika dibandingkan dengan internal audits general objective. Prosedurnya berbeda dan tergantung atas beberapa hal, yakni: Aplikasinya apakah dibangun sendiri atau membeli dari vendor Aplikasi terintegrasi dengan aplikasi lain atau tidak Menggunakan sistem Web Based Service provider/Client server atau legacy computer system method Aplikasi lebih banyak terotomatisasi atau banyak diintervensi oleh manusiaSelain melakukan pengumpulan dokumen dan melakukan walk-through, internal auditor juga perlu melakukan diskusi dengan pengguna aplikasi terkait dan tanggung jawab dari setiap pengguna untuk membantu pemahaman auditor.a) Clarifying And Testing Audit Internal Control ObjectivesDalam beberapa hal sering ditemukan apabila objektif yang dihasilkan pada suatu aplikasi yang ada berbeda dengan objektif yang dikemukakan internal auditor dalam pelaksanannya. Hal tersebut diakibatkan tujuan pengendalian yang dinilai oleh internal audit belum tercapai dan minimalisir risiko yang ada belum terjadi atau malah mengakibatkan risiko yang ada bertambah besar. Oleh karena itu Internal audit, manajemen, dan pengguna harus duduk bersama untuk dapat merumuskan dan memberikan penyataan yang sesuai dengan aktualisasi yang sebenarnya. i. Test Of Application Inputs And OutputsInternal audit akan menguji ketepatan data input yang dimasukan kedalam sistem dan melihat apakah hasil yang keluar (output) sudah sesuai dengan seharusnya.

ii. Test transaction Evaluation ApproachesInternal audit akan melakukan pengujian apakah proses yang dilakukan sistem dalam aplikasi sudah berjalan dengan baik.iii. Other Application Review Techniques Reperfomance of application function or calculations Reviews of program source code Continuous audit monitoring approaches Observation of proceduresb) Completing The Application Controls ReviewWalaupun internal auditor sudah menguji pengendalian yang dimiliki oleh suatu aplikasi, namun hal tersebut belum tentu sesuai dengan risiko yang diharapkan dapat diminimalisir. Risiko terkadang timbul di luar keseharian yang tidak dapat diduga pada saat auditor melaksanakan tes. Hal tersebut perlu diverifikasi kembali khususnya oleh user yang menggunakan aplikasi tersebut. Oleh karena itu dalam review yang dilakukan internal auditor juga perlu memiliki pemahaman atas pengendalian dan penilaian resiko yang dilakukan.5. Auditing Application Under DevelopmentBanyak internal auditor merasa lebih efisien bila melakukan review pada saat suatu aplikasi sedang dikembangkan jika dibandingkan dengan aplikasi yang sudah jadi. Pada posisi ini internal auditor bekerja sebagai pemberi saran untuk meningkatkan pengendalian sistem, bukan sebagai pembangun sistem. Saran tersebut merupakan hasil analisis atas kelemahan-kelemahan yang ditemukan dan diberikan dalam bentuk rekomendasi.a) Objectives and Obstacles of Pre-implementation AuditingTerdapat beberapa hambatan pada saat internal auditor melakukan review atas suatu aplikasi IT yang sedang dibangun:i. Them versus us attitudesPada saat internal auditor mencoba membantu memberikan masukan, IT manajemen terkadang suka merasa hati-hati atau timbul kebencian karena akan menambah pekerjaan dalam bentuk dokumen-dokumen yang lebih mendetail.

ii. Internal Auditor role problemsPeran internal auditor harus dipahami oleh semua pihak : Extra member of the implementation team Specialized consultant Internal controls expert Occupant of the extra chair State of the art awareness needs Many and varied pre-implementation candidatesb) Pre-implementation Review ObjectivesInternal auditor perlu mengidentifikasi dan memberikan rekomendasi atas pengendalian yang ada dalam suatu aplikasi yang sedang dibuat dalam bentuk hal-hal apa saja yang sekiranya perlu diinstal. Dalam beberapa Negara, peran internal auditor dalam pembangunan suatu aplikasi IT ternyata memang diwajibkan.c) Pre-implementation Review ProblemDalam penerapan review yang dilakukan oleh internal auditor, belum tentu hasil yang ditentukan dapat diterima atau sesuai dengan kebutuhan pengguna. Untuk mengurangi kesulitan dalam menyamakan hal tersebut, internal audit perlu memperhatikan hal-hal berikut : Selecting the right application to review Determining the proper auditors role Review objectives can be difficult to defined) Pre-implementation Review ProceduresReview dilakukan oleh internal auditor dalam setiap fase yakni inisiasi projek, mendefinisikan kebutuhan, pengembangan, percobaan, dan terakhir implementasi. Step penting yang wajib dilakukan oleh internal auditor yakni menyampaikan rencana program audit kepada IT manajemen sehingga ada pemahaman atas apa yang diharapkan dari internal audit berdasarkan pendekatan review yang dijalankan.i. Application Requirement Definition ObjectivesInternal auditor perlu mereview kebutuhan-kebutuhan dalam bentuk detail apa saja yang dibutuhkan dalam pembangunan aplikasi, dengan begitu apabila internal auditor dapat mengidentifikasi pengendalian pada review tersebut, akan lebih memudahkan bagi pengembang program untuk menyesuaikan masukan yang diterima.ii. Detailed Design And Program Development ObjectivesFase ini merupakan fase yang paling lama dalam pembuatan suatu aplikasi dan biasanya internal auditor menginginkan jadwal untuk melakukan review secara bertahap. Beberapa perusahaan IT terkadang menggunakan internal auditor untuk memastikan fungsi dari projek yang diciptakannya sudah sesuai. Sehingga suatu audit keseluruhan dapat diminimalisir apabila sejak awal internal auditor sudah membantu memberikan saran atas perbaikan yang dalam aplikasi tersebut.iii. Application Testing and Implementation ObjectivesPada fase ini biasanya terdiri dari percobaan aplikasi baru, melengkapi dokumen, pelatihan pengguna, dan pemindahan data. Internal auditor biasa memastikan apakah aplikasi sudah berjalan sesuai dengan yang diharapkan dan melakukan pengujiannya. Selanjutnya internal auditor akan menyiapkan laporan dalam bentuk dokumen-dokumen untuk pengendalian signifikan yang teridentifikasi, laporan tersebut dapat berupa rekomendasi bukan implementasi yang diwajibkan.iv. Post-implementation review Objective and ReportsPada saat aplikasi sudah berjalan, review juga tetap perlu dilaksanakan. User sebagai pihak yang paling memahami tentu saja akan memberikan masukan-masukan baru terhadap sistem yang sudah berjalan. Selain itu, internal audit juga biasanya melakukan review kembali namun dengan staf yang berbeda untuk melakukan pengujian dari perspektif individu lain. Untuk laporan, biasanya internal audit sudah memiliki format baku dalam pembuatannya. Report dibuat oleh internal auditor dan disetujui oleh pihak yang diaudit dan diberikan kepada pihak-pihak yang berwenang.

Cybersecurity and Privacy Controls

Dalam dunia sekarang ini yang serba menggunakan teknologi dan informasi sebagai komoditas utama dalam komunikasi, keamanan dan privasi sangatlah dibutuhkan. Dalam melakukan review yang menggunakan dasar sistem IT pada area cybersecurity dan kebijakan pengamanan, auditor minimal perlu memahami atas pengendalian internal secara general yang ada dan resiko-resiko yang berkaitan dengan hal tersebut. Selain itu, dalam pembahasan ini juga internal auditor perlu memiliki proteksi atau pengamanan atas audit prosedur yang sudah dijalankannya. Karena data-data atau dokumen yang dimiliki atas prosedur yang sudah diaudit tersebut juga sifatnya rahasia. Oleh karena itu, sebaiknya diperlukan pemahaman lebih dalam kepada seorang internal auditor mengenai IT pada saat melakukan melakukan review ataupun penyimpanan data-data yang dimiliki. Minimal sesuai dengan CBOK, internal auditor memahami 3 hal yang menjadi dasar utama, yakni pemahaman atas risiko cybersecurity, pengendalian yang tinggi, dan mekanisme pencegahannya.1. IT Networks Security FundamentalsSuatu jaringan perlu memiliki kemanan yang mencukupi agar tidak terjadi hal-hal yang tidak diinginkan. Dalam hal ini, internal auditor perlu menetapkan prosedur pengamanan IT apa yang mencukupi untuk mengamankan suatu jaringan tersebut. Minimnya prosedur pengendalian internal yang ada pada suatu sistem IT, dapat mengakibatkan hambatan beberapa hal yakni:i. Interruptions Sistem yang menyimpan suatu aset dapat mengalami kehilangan, tidak tersedia, ataupun tidak dapat digunakan dengan cara memasukan suatu program jahat yang dapat merusak semua data didalamnya yang sudah ada.ii. InterceptionsPihak luar baik orang, program, ataupun suatu sistem luar dapat mendapatkan akses terlarang ke dalam sistem yang kita miliki. Contoh yang paling umum saat ini adalah seperti penyadapan yang sulit untuk diketahui pelakunya.iii. ModificationSelain melihat data yang kita miliki terkadang orang-orang yang tidak bertanggung jawab tersebut juga kerap melakukan perubahan terhadap data-data tersebut.iv. FabricationKejadian ini dapat terjadi apabila adanya data yang dipalsukan yang dapat menyerang suatu sistem.Semua hambatan di atas dapat terjadi dalam lingkungan internet, hubungan telekomunikasi, dabase ERP dan perangkat computer yang paling canggih hingga yang sederhana. Oleh karena itu internal auditor perlu sadar dengan adanya perubahan teknologi yang terjadi di lingkungan sehari-hari dan menetapkan hambatan apa saja yang dapat muncul secara signifikan.Walaupun internal auditor tidak memiliki pemahaman yang mendetail mengenai lingkungan IT, namun basis CBOK menyatakan internal auditor perlu memahami konsep proteksi atas IT untuk digunakan dalam cakupan internal audit review.a) Security DataSalah satu yang dapat kita lakukan dalam keamanan suatu jaringan yaitu bisa dengan mengendalikan suatu akses yang bisa kita lakukan dalam suatu jaringan. Dengan mengendalikan akses yang dilakukan pada setiap sumber jaringan dan dengan melakukan pengontrolan akses yang dapat dilakukan oleh kita. Oleh karena itu kita harus mengetahui apa saja prinsip-prinsip yang ada dalam keamanan jaringan mulai dari integrity, confidentiality, dan availability.Prinsip keamanan jaringan:i. Kerahasiaan (Confidentiality)Dimana objek tidak diumbar atau dibocorkan kepada subjek yang tidak seharusnya berhak terhadap objek tersebut, atau lazim disebut tidak authorize.ii. Integritas (Integrity)Bahwa objek tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi dalam perjalanannya dari sumber menuju penerimanya.iii. Ketersediaan (Availability)Dimana user yang mempunyai hak akses atau authorized users diberi akses tepat waktu dan tidak terkendala apapun.Prinsip keamanan ini lazim disebut segitiga CIA (Confidentiality, Integrity, Availability). Dan salah satu tujuan utama dari pengendalian akses adalah untuk menjaga jangan sampai ada yang tidak authorize mengakses objek-objek seperti jaringan, layanan-layanan, link komunikasi, komputer atau sistem infrastruktur jaringan lainnya oleh apa yang kita sebut sebagai ancaman keamanan jaringan.Dalam perjalanan untuk membangun suatu sistem kemanan jaringan, salah satu prosesnya adalah menilai resiko keamanan dalam organisasi. Akan tetapi terlebih dahulu perlu juga memahami berbagai jenis ancaman keamanan jaringan. Oleh karena itu internal auditor dirasa perlu untuk memahami konsep tersebut dalam aktivitas reviewnya.b) Importance of IT PasswordUntuk melakukan akses terhadap suatu aplikasi atau bagian dari IT sistem, sangatlah penting sekali untuk diterapkan password untuk melindungi dari orang-orang yang tidak memiliki akses didalamnya. Berikut ini merupakan kriteria yang baik dalam penerapan suatu password: Password dibuat oleh user, namun ketentuan dan kriteria perlu diatur. Sebagai contoh password minimal terdiri dari sekian kombinasi huruf dan angka dan tidak boleh menggunakan tanggal lahir atau nama. Password memiliki masa tenggang agar terus dapat termodifikasi dengan baik.Pada suatu aplikasi yang memiliki tingkat privasi yang tinggi, bahkan password dapat diterapkan dalam bentuk fingerprint atau eye pupil scanner agar lebih unik dan tidak dapat ditiru. Pada hal ini, internal auditor perlu mengevaluasi apakah penerapan standar penggunaan password sudah dilakukan dengan baik pada suatu aplikasi.c) Viruses and Malicious Program CodeVirus-virus telah menyebabkan kerusakan dan kerugian finansial yang tidak sedikit. Seperti ancaman kelemahan lainnya, kerugian ini dirasakan baik oleh perusahaan besar maupun kecil. Jika tidak ingin kehilangan data karena virus, maka harus melaksanakan tinjauan rutin, memasang patch, dan mengupdate tanda-tanda kelemahan.Perlindungan yang terbaik adalah kebijakan, prosedur, serta teknologi. Karyawan harus diberikan instruksi yang tegas perihal penerimaan e-mail yang mencurigakan dan apa yang mereka harus lakukan jika terinfeksi. Kalau hal itu dirasa kurang efektif, maka membutuhkan sebuah manajemen yang dapat menjamin konsistensi di seluruh aspek bisnis termasuk didalamnya upaya pencegahan terhadap serangan virus. Dalam kondisi ini, internal auditor perlu memberikan saran bentuk anti virus apa yang sepatutnya digunakan untuk menjaga setiap data yang dimiliki oleh suatu perusahaan.d) Phising and other Identify ThreatsPhising adalah tindakan memperoleh informasi pribadi seperti User ID, PIN, nomor rekening bank, nomor kartu kredit anda secara tidak sah. Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk mengakses rekening, melakukan penipuan kartu kredit atau memandu nasabah untuk melakukan transfer ke rekening tertentu dengan iming-iming hadiah.e) IT System firewallFirewall adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah firewall diimplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah generik yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Internal auditor perlu mengetahui lokasi dan fungsi dari firewall yang digunakan. Selanjutnya apakah firewall tersebut masih relevan untuk digunakan dengan hambatan-hambatan yang ada. Terakhir internal auditor juga perlu melihat laporan yang dihasilkan oleh firewall tersebut atas pelanggaran-pelanggaran yang ada.2. IT Systems Privacy ControlsPrivasi adalah suatu informasi yang rahasia atau hanya dapat diketahui oleh kalangan terbatas. Dan apabila hal tersebut diketahui oleh pihak lain, dapat terjadi suatu hal-hal yang tidak diinginkan. Data Profiling Privacy IssuesSuatu perusahaan atau entitas yang biasanya mendapatkan database pelanggan terkadang dapat melalui pelanggan langsung ataupun pihak lain. Dalam hal ini, perusahaan perlu menjaga database tersebut agar tidak tersebar karena hal tersebut merupakan nilai privasi dari pelanggan tersebut. Online Privacy and E-Commerce IssuesDalam setiap aktivitas pelanggan yang dilakukan dalam suatu website biasanya tercatat identitas computer dari pelanggan tersebut yang disebut dengan cookies. Cookies merupakan data file yang ditulis ke dalam harddisk komputer oleh web server yang digunakan untuk mengidentifikasi user pada situs tersebut, situs itu akan dapat mengenalinya. Jadi dapat dikatakan cookies adalah ID card user saat koneksi pada situs. Hal tersebut merupakan database yang dimiliki oleh perusahan-perusahaan. Radio Frequency IdentificationPenggunaan Radio Frequency ID (RFID) dalam berbagai macam hal aktivitas yang dilakukan oleh perusahaan baik dengan pelanggan ataupun karyawannya merupakan suatu hal yang perlu memilki privasi didalamnya. Karena hal tersebut merupakan suatu hal yang memiliki keunikan dalam arti berbeda satu sama lain, RFID tersebut sudah memiliki data personal atas pemiliknya masing-masing.3. Auditing IT Security and PrivacyTerdapat beberapa pertanyaan umum yang biasa diajukan oleh internal auditor pada saat melakukan review atas IT Security and Privacy, yakni: Can you give me a diagram of your IT Network here showing all internal and external connections within the network? Have you installed firewalls for the network and di they protect all access points? Is ther any way that devices on the network can communicate to other devices, such as a dila-up line through a modem, and bypass the firewall barrier? Dan lain-lain.Biasanya yang akan menjadi poin utama dalam review bagian ini adalah, apakah firewall sudah bekerja dengan baik dalam melakukan pengendalian internal dan meminimalisir setiap kemungkinan resio-resiko yang dapat terjadi. Selain itu internal audit juga memastikan privasi yang dimiliki setiap data/file dapat terjaga dengan baik.

4. Security and Privacy in the Interal Audit DepartmentSekarang ini pengerjaan sebuah working paper sudah menggunakan internet based, jarang yang masih menggunakan paper based. Oleh karena itu data-data yang dimiliki dari hasil setiap review audit yang dilakukan harus dapat dikumpulkan dan dikelola dengan baik berdasarkan dengan pihak-pihak mana saja yang berhak mengaksesnya.a) Security and Control for Auditor ComputersSetiap internal auditor biasanya kini sudah memiliki laptop masing-masing dalam menjalankan aktivitasnya. Di dalam laptop tersebut tentu saja berisikan data-data audit yang dilakukannya pada setiap pengerjaan yang tentu saja memiliki sifat rahasia dan tidak semua pihak dapat mengetahuinya. Berikut ini hal-hal teknis yang perlu diketahui internal auditor dalam melindungi laptopnya: Auditor personal responsibility for auditors laptopInternal auditor tentu saja bertanggung jawab masing-masing atas laptop tersebut, sehingga diharapkan mereka dapat menjaganya dengan baik. File backup procedureFile-file juga biasanya disimpan dalam suatu server agar dapat terkelola dengan baik jika sewaktu-waktu dibutuhkan. Physical locks and mechanismsLaptop juga perlu diberikan pengamanan dalam bentuk tas yang aman dan penggunaan password dalam akses masuk ke komputernya. Anti-virus and other toolsUntuk menhindari virus, sebaiknya laptop menggunakan anti-virus yang selalu diupdate dan ditambahkan aplikasi-aplikasi penunjang untuk melindungi laptop tersebut.b) Workpaper SecuritySeperti yang sudah dijelakan sebelumnya, dengan mekanisme working paper yang sudah menggunakan internet based, maka perlu diterapkan pengamanan atas data tersebut karena working paper merupakan dasar awal pembuatan laporan.c) Audit reports and privacyLaporan audit juga perlu diamankan sebelum dapat disampaikan kepada pihak-pihak yang bersangkutan.d) Internal audit security and privacy standard and trainingSebaiknya dalam satu bagian internal audit diterapkan mekanisme pengamanan data. Karena walau mereka sudah mencoba untuk menerapkan pengamanan tersebut pada setiap divisi atau departemen lain yang direviewnya, jika mareka sendiri tidak menerapkannya dengan baik mereka tidak dapat menjadi contoh untuk pihak-pihak yang lain.

BAB IIIPENUTUP

3.1.KesimpulanTeknologi Informasi berbasis komputer mempunyai pengaruh yang cukup besar dalam masyarakat modern terutama bagi organisasiperusahaan. Sekarang ini perusahaan dihadapkan dalam lingkungan yang berubah-ubah dan sangat kompetitif. Untuk itu peran teknologi informasi sangatlah penting bagi perusahaan untuk membantu dalam perbaikan proses bisnis danpengambilankeputusan. Banyak cara yang bisa dilakukan perusahaan untuk menerapkan teknologi informasi yaitu, membeli, membangun sendiri, atau menyerahkanke pihak lain untuk pengembangannya. Penerapan teknologi informasi melalui pengolahan data secaraelektronis (Electronic Data Processing/EDP) mau tidak mau akan memberikan dampak terhadap proses audit internal dan sekaligus proses pengendalian intern perusahaan. Untuk memastikan bahwa pengendalianintern dalam proses pengolahan data secara elektronik (electronic data processing/EDP) telah dilakukandengan baik dan benar maka perusahaan harus menjalankan fungsi audit terhadat sistem tersebut. Fungsi audit dilakukan oleh seorang Auditor, baik itu Auditor internal maupun Auditor eksternal. Di dalammelakukan kegiatan audit, seorang auditor sudah memiliki standar kerja sendiri, dengan harapan seorangauditor mampu bertindak secara independent dan dapat dipercaya. Hasil audit dari auditor dapatdimanfaatkan perusahaan sebagai bahan untuk melakukan perbaikan sistem dan efektifitas terhadappengendalian internal. Intinya, ketika sebuah perusahaan memutuskan untuk menggunakan teknologi informasi, perusahaan tersebut melalui pengendalian internalnya harus melakukan review terhadap risiko baru yang muncul akibat penggunaan teknologi informasi, aplikasi komputer yang digunakan, dan memastikan bahwa sistem keamanan/cybersecurity perusahaan sudah memadai.

DAFTAR PUSTAKA

Lawrence B Sawyer & Glen E. Sumners Sawyers Internal Audit 5th edition, The Institute of Internal Auditors, 2003

Moeller, Robert R, Brinks Modern Internal Auditing, 2009 Edisi 7, John Wiley & Sons, Inc, Hoboken, New Jersey