UNIVERSITAS INDONESIA

Impact of IT on Internal Audit

Mata Kuliah
Audit Internal

Disusun Oleh:
Alexandra Maulana
1306483971
Salamun Norman Austin
1306485283

UNIVERSITAS INDONESIA
DEPOK
NOPEMBER 2015

STATEMENT OF AUTHORSHIP
Kami yang bertandatangan dibawah ini menyatakan bahwa makalah terlampir
adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang
kami gunakan tanpa menyebutkan sumbernya.
Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk
makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas
bahwa kami menyatakan dengan jelas menggunakannya.
Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan
atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.

Mata Ajaran

: Audit Internal

Judul Makalah/Tugas : Impact of IT on Internal Audit

Tanggal

: 5 Nopember 2015

Dosen

: Elok Tresnaningsih M.S.Ak

Nama

NPM

Alexandra Maulana

1306483971

Salamun Norman Austin

1306485283

TTD

Universitas Indonesia

DAFTAR ISI

Halaman Cover

Statement of Authorship

DAFTAR ISI

BAB 1

PENDAHULUAN

BAB 2

PEMBAHASAN

A. IT General Control and ITIL Best Practice

B. Reviewing and Assesing IT

25

C. Cybersecurity and Privacy Control

49

BAB 3 KESIMPULAN

50

DAFTAR PUSTAKA

51

Universitas Indonesia

BAB 1
PENDAHULUAN
Saat ini perkembangan teknologi dan informasi dalam dunia bisnis semakin
pesat. Salah satunya adalah penggunaan IT pada fungsi pengendalian perusahaan
seperti aplikasi akuntansi hingga aplikasi bisnis proses lainnya. Oleh karena itu,
pengawasan yang dilakukan auditor internal semakin kompleks terhadap sistem
tersebut.
Permasalahan dalam memahami proses umum IT adalah terlalu banyaknya
variasi dari aplikasi yang digunakan oleh organisasi. Hal ini karena penggunaan
aplikasi setiap organisasi disesuaikan dengan kebutuhan utama proses bisnis dari
organisasi tersebut.

Universitas Indonesia

BAB 2
PEMBAHASAN
IT General Control and ITIL Best Practice
Dalam dunia tekhnologi informasi (IT) sekarang ini, internal auditor harus
memiliki pemahaman yang kuat tentang tekhnik-tekhnik IT Internal control. IT
control terdiri dari dua level; yaitu application control yang melingkupi proses
yang spesifik, seperti account payable application dan IT General control.
Selanjutnya, pada bab ini akan dibahas tentang IT General Control dari
perspektif auditor internal dan praktik terbaik IT General Control yang yang telah
diakui di seluruh dunia, yaitu Information Technology Infrastructure Library
(ITIL). Di dalam ITIL telah dijabarkan jenis kerangka audit yang harus
dipertimbangkan ketika mereviu resiko pengendalian internal pada teknologi
informasi dan merekomendasikan perbaikan yang efektif dari general control.
A. Importance of IT General Controls
Auditor Internal mulai terlibat dalam audit IT dan prosedur pengendalian
ketika aplikasi akuntansi pertama kali terinstal (pada saat kartu masukan ditekan
ke dalam sistem komputer). Sistem-sistem perusahaan pada awal mulanya sering
dipasang pada kamar berdinding kaca dalam lobi perusahaan untuk member kesan
kepada pengunjung bahwa sistem dalam perusahaan tersebut sangat canggih.
Namun pada kenyataannya, sistem-sistem tersebut tidak canggih. Auditor internal
yang tidak mengenal teknologi pengolahan data tersebut akan melakukan audit
around the computerArtinya auditor internal akan berfokus pada prosedur
pengendalian input dan penerapan pada output untuk memeriksa apakah input
seimbang untuk menghasilkan laporan output. Di era ini, ada sedikit pertanyaan
tentang akurasi dan kontrol dari laporan yang dihasilkan oleh sistem komputer.
Auditor internal hanya berfokus pada input dan output, sementara yang terjadi di
sekitar komputer adalah prosedur pengolahan program

Universitas Indonesia

Pada awal tahun 1970, Equity Funding yang merupakan perusahaan

asuransi di California mengalami pertumbuhan yang sangat pesat. Beberapa pihak
merasa bahwa perusahaan tersebut tumbuh terlalu cepat. Karena demikian, auditor
eksternal perusahaan tersebut memutuskan untuk mencoba teknik baru dan
menjalankan software yang telah mereka rancang sendiri pada dokumen Equity
Funding. Hasilnya telah ditemukan penipuan secara besar-besaran dengan data
yang tidak valid yang telah dimasukan ke dalam file komputer . Pihak manajemen
telah memasukan data polis asuransi fiktif. Padahal sebelumnya, pihak eksternal
auditor telah mengandalkan output yang telah dicetak oleh sistem komputer tanpa
adanya prosedur tambahan prosedur untuk memastikan kebenaran dokumen dan
program komputer. Setelah peristiwa tersebut, American Institute of Certified
Public Akuntan (AICPA) dan Institut of Internal Auditors (IIA) mulai menekankan
pentingnya audit pada kegiatan pengolahan data dan kontrol aplikasi. Lalu
kemudian meluncurkan spesialis baru, yaitu computer auditing.
Dalam lingkungan IT modern, profesi internal auditor mulai berfokus pada
aplikasi spesifik dan general control yang meliputi semua operasi IT. IT General
Control mencakup semua operasi sistem informasi termasuk :

Reliability of information system processing

Pengendalian yang baik harus ditempatkan pada seluruh sistem operasi IT.
Pengendalian juga tergantung pada sifat dan pengelolaan pada sistem yang
berjenis dan berukuran tertentu.

Integrity of data

Proses yang harus dilakukan adalah memastikan tingkat integritas semua data
yang digunakan dalam berbagai aplikasi program.

Integrity of programs
Baru atau revisi program seharusnya dikembangkan dengan pengendalian
yang baik untuk menyediakan hasil proses yang akurat. Integritas akan
pengendalian ini termasuk keseluruhan proses pengembangan atas aplikasi
program.

Universitas Indonesia

Control of the proper developments and implementation of systems

Pengendalian perlu ditempatkan untuk memastikan pengembangan yang
teratur dalam pengembangan baru ataupun revisi sistem informasi.
Continuity of processing
Pengendalian perlu ditempatkan dalam sistem back-up dan dalam operasi
recovery dalam kejadian kejadian yang tidak biasa.

B. Client-server and Smaller Systems General IT Control

1. General Controls for Small Business Systems
Sistem yang lebih kecil dapat diimplementasikan dalam berbagai cara,
tergantung konfigurasi sistem dan ukuran dari perusahaan. Auditor internal
sebaiknya dapat mengetahui perberdaan-perbedaan dengan perusahan yang
esar dan menyusun prosedur internal audit yang pantas untuk mereview
pengendalian umum. Dalam subbab ini dibahas mengenai pengendalian umum
dalam sistem komputer bisnis kecil, internet dan sistem jaringan, sistem server
dll.
a) Small Business Computer System Controls
Karakteristik dari sistem komputer pada bisnis kecil adalah diantaranya :
Staff IT yang terbatas
Dalam perusahaan kecil biasanya memiliki staff IT yang sedikit. Resiko
pengendalian dari perusahan kecil adalah ketika mereka masih
menggunakan jasa pihak ketiga dalam mengelola sistem IT nya, sehingga

ada resiko pada keamaan data-data penting perusahaan.

Kapabilitas programming yang terbatas
Tipikal dalam perusahaan kecil dalam menerapkan sistem komputernya
adalah membeli paket software dan perusahaan hanya memperbaharui

paket sistem tersebut dan melakukan pemelihara sistem.

Pengendalian Lingkungan yang terbatas
Tidak memerlukan perlindungan lingkungan yang khusus
Pengendalian keamanaan fisik yang terbatas
Tingkatan kekhawatiran auditor dalam pengendalian fisik TI tergantung
pada aplikasi yang di proses.Internal audit akan merekomedasikan
peningkatan keamanan jika suatu aplikasi sedang dalam tahap

Universitas Indonesia

pengembangan yang membutuhkan proteksi yang lebih. Selebihnya,

tidak perlu ada keamanan fisik yang signifikan.

Pengendalian jaringan telekomunikasi
Dalam lingkup bisnis yang kecil tidak memerlukan pengendalian dan
kebijakan dalam pengendalian jaringan telekomunikasi.

b) Client-Server Computer Systems

Dalam jaringan lokal, setiap workstation adalah klien. Prosesor yang
terpusat yang dimana bisa men-share file dan sumber-sumber lainnya, disebut
server. Berikut ini adalah gambar ilustrasi dari client server :

c) Nonbusiness Specialized Processor Computer Systems

Di dalam dunia bisnis sekarang ini, banyak sistem-sistem lain yang
digunakan selain dalam operasional TI seperti penilitian insinyur,
pengendalian Operasi manufaktur, pemasaran dll. Sistem-sistem ini sudah
spesifik dikhususkan untuk area-area tertentu. Contohnya, computer-aided
design (CAD). Sebelum memulai review atas IT yang khusus ini, auditor
internal perlu memahami pengetahuan yang cukup dalam atas seluruh
fungsi operasional. Review atas IT yang terspesialisasi ini tidak disarankan
bagi auditor internal yang kurang berpengalaman.
2. Smaller Systems IT Operations Internal Controls
Seperti dibahas sebelumnya, auditor internal biasanya memeriksa
pemisahan pekerjaan dalam prosedur awal evaluasi IT general control. Tetapi

Universitas Indonesia

pemisahan tugas ini terkadang sulit jika diimplementasikan dalam departemen

yang kecil.Tetapi biasanya dalam lingkungan yang kecil menerapkan :

Pembelian Software
Peningkatan perhatian manajemen
Pemisahan pekerjaan input dan processingnya

Resiko pengendalian dapat menjadi pertimbangan utama saat prosedur

audit sudah mengidentifikasi pengendalian yang lemah dalam system bisnis yang
kecil.Dalam system bisnis yang besar, auditor internal sering meminta dokumen
deskripsi posisi sebagai bukti pengendalian baik atas fungsi TI. Tetapi, biasanya
dalam system bisnis yang kecil tidak mempunyai deskripsi posisi yang jelas.Oleh
karenaitu, penting bagi perusahaan kecil untuk mendokumentasikan prosedur TI
nya.Sehingga,

pada

saat

satu

personel

berhalangan/mengundurkandiri,

pekerjaannya dapat digantikan oleh orang lain berdasarkan prosedur yang telah
didokumentasikan. Jika dalam perusahaan yang besar, selalu ada suatu standard
wajib yang berlaku umum baik untuk lingkup besar maupun kecil.
3. Auditing IT General Controls for Smaller IT Systems
Dalam mengaudit sistem It yang lebih kecil, auditor internal perlu memperhatikan
hal-hal berkut ini :
a) Smaller System Controls Over Access To Data And Programs Are
Often Weak
Saat ada personel yang dapat mengakses data-data komputer, maka
pengendalian umumnya sudah lemah. Auditor internal perlu fokus pada
otorisasi akses ke pusat data pada perusahaan yang kecil. Apakah
perusahaan tersebut memiliki log-on untuk masuk ke data-data
perusahaan. Jika pun ada, perlu di periksa apakah password nya diubah
secara berkala. Apakah ada perbedaan akses antara karyawan/divisi.
b) Unauthorized Use Of Utility Programs
Dalam sistem TI selalu ada yang disebut program utiliti, yaitu program
yang khusus digunakan untuk merubah sistem data suatu aplikasi,
seharusnya hanya personel TI yang boleh menggunakannnya. Sistem ini
9

Universitas Indonesia

pun

beresiko

untuk

digunakan

oleh

pihak-pihak

yang

ingin

menyalahgunakannya.
c) Improper It Data And Program Access Requests
Dalam perusahaan atau entitas yang besar selalu menerapkan sistem
persetujuan dalam permohonan untuk berbagai macam akses data
perusahaan.

Persetujuan

ini

biasanya

mengacu

ke

atasan

yang

bersangkutan. Dalam perusahaan atau entitas kecil biasanya mengacuhkan

persetujuan, sehingga resiko pengendalian mengenai akses yang tidak
benar menjadi lebih besar.

C. Components and Controls of Mainframe and Legacy Systems

1. Characteristics of Larger IT Systems
Berikut ini merupakan karakteristik pengendalian internal yang khas
dalam sistem bisnis TI besar :

Kontrol keamanan fisik (Physical security controls)

Pusat komputer dengan file data yang besar biasanya diletakan
pada ruangan yang terkunci rapat dan tanpa jendela . Hal ini
dilakukan untuk mencegah orang yang tidak memiliki wewenang
untuk masuk mengambil laporan, menanyakan hal-hal yang dapat
mengganggu operator atau menyebabkan kerusakan berbahaya.
Karena adanya potensi kemunculan hal yang diluar dugaan seperti
adanya terorisme dan bencana alam maka peralatan pada pusat
sistem komputer akan rusak. Untuk itu sistem operasi harus
ditempatkan di lokasi yang aman dan sangat terlindungi, sehingga
dapat meminimalisir resiko.

Persyaratan pengendalian lingkungan (Environmental control

requirements)
Ruangan tempat menyimpan hardware terutama pusat komputer
harus dilengkapi dengan mesin pendingin seperti AC atau watercooling chiller systems karena alat elektronik yang bekerja dengan
10

Universitas Indonesia

kekuatan penuh seringkali menghasilkan panas. Selain itu karena

banyak komputer yang saling terhubung baik dengan komputer
pusat maupun dengan peralatan lainnya dengan menggunakan
kabel yang banyak, maka perlu dibuat lubang dan jalur kabel pada
dinding, lantai dan meja. Sistem yang besar juga rentan terhadap
pemadaman listrik secara tiba-tiba dan adanya fluktuasi pada
tegangan. Oleh karena itu perlu dipasang stabilizer, power supply
dan genset, sehingga apabila terjadi pemadaman listrik secara tibatiba, komputer tidak akan padam.

Memisahkan area media penyimpanan (Separate storage media

libraries.)
Barang-barang yang mengandung magnetik seperti catridge harus

disimpan pada tempat yang terpisah.

Sistem Operasi yang multitasking (Multitask operating systems)
Kemampuan programming in-house (In-house programming
capabilities)
Kebalikan dari perusahaan atau entitas yang kecil biasanya hanya
membeli software dari pihak luar. Perusahaan atau entitas yang
lebih besar biasanya juga mempunyai aplikasi yang dikembangkan

secara internal.
Jaringan
telekomunikasi

yang

telecommunications network.)
Pada perusahaan besar biasanya

lebih
telah

luas

(Extensive

memiliki

jaringan

telekomunikasi yang lebih luas tersambung dengan seluruh

perusahaan, online dengan internet.

Memiliki data kritikal yang berjumlah sangat besar (Very large or
critical files)
Data-data yang kritikal ini harus di back-up secara berkala

2.

Operating Systems Software

Sistem operasi adalah software dasar yang menyediakan tampilan bagi
pengguna, termasuk program aplikasi dan lain lain. Seorang auditor
internal perlu memiliki kemampuan yang lebih dalam memahami berbagai
sistem operasi dan sistem bawaan yang sbb :

11

Universitas Indonesia

Sistem Operasi yang terpusat

Memahami sistem operasi apa yang digunakan dan kelebihan dan
kekurangan akan sistem tersebut.
Sistem Monitor
Pengendalian dari sistem tersebut terhadap penggunaan oleh user.
Contoh, memory RAM yang melebihi kapasitas.

D. Legacy System General Controls Reviews

Internal audit sebaiknya membangun satu set tujuan-tujuan pengendalian
yang terspesifik untuk perencanaan review. Objektif ini bergantung pada tujuan
pemeriksaan.
1. Review awal pengendalian umum IT.
Tujuan dikalkukan review awal ini adalah untuk mendapatkan pemahaman
umum dari pengendalian TI. Auditor internal dapat melakukan wawancara,
observasi operasi, review dokumentasi dll, biasanya hanya tanya jawab saja,
belum mengambil sampel. Tahap awal ini dapat membantu untuk menentukan
seberapa detail review yang dibutuhkan.
2. Review detail pengendalian umum atas operasional IT.
Sebuah review yang detail dan komprehensif dari pengendalian umum sistem
TI yang besar, termasuk sistem program, pengendalian telekomunikasi,
adiministrasi penyimpanan di operasional TI dan

fungsi pengembangan.

Prosedur audit yang detail ini dapat didapatkan dari review awal langkah
pertama. Dasarnya adalah agar auditor internal memahami alur kerja fungsi
opersional TI. Sistem yang sudah berkembang biasanya selalu melakukan
perubahan prosedur dari waktu ke waktu menambahkan atau merubah
kompleksitas yang dibutuhkan. Sehingga audit prosedur yang digunakan dapat
diganti mengikut pergantian yang dilakukan oleh manajemen, tergantung
kompleksitas dan ukuran perusahaan/entitas.
3. Review atas lingkup terbatas terspesialisasi.
Karena permintaan manajemen, auditor terkadang juga perlu melakukan
spesial review, misalnya khusus database administration.
4. Ketaatan hukum dan peraturan.

12

Universitas Indonesia

E. ITIL Service Support and Delivery Infrastructure

ITIL (information technology infrastructure library) pertama kali
dikembangkan tahun 1980 oleh Office of Government Commerce (OGC) adalah
adalah

suatu

rangkaian

konsep

dan

teknik

pengelolaan

infrastruktur,

pengembangan serta operasi TI. ITIL mendeskripsikan secara detil proses,

prosedur, tugas, dan checklist untuk membangun integrasi antara TI dengan
strategi perusahaan yang dirancang untuk disesuaikan dengan setiap organisasi.
ITIL merupakan panduan dalam melakukan perencanaan, desain, transisi,
operasional, dan peningkatan layanan TI secara berkesinambungan dalam
perusahaan. ITIL membagi proses utama yang meliputi IT service delivery dan

service support. Proses service support membantu membuat aplikasi IT beroperasi

secara efisien dan memuaskan pelanggan, sedangkan proses service delivery
meningkatkan efisiensi dan kinerja dari elemen infrastruktur IT. Sebenarnya
banyak area yang dibahas dalam ITIL, tetapi pada pembahasan ini difokuskan
pada 5 proses service support, area yang penting bagi auditor internal saat
melaksanakan IT general control review.Pendekatan-pendekatan ini mengarah
pada efisiensi fungsi operasional TI sehingga dapat memberikan jasa terbaik
kepada pelanggan.
ITIL tidak menetapkan rincian "bagaimana" untuk melaksanakan proses
layanan dukungan, seperti konfigurasi atau manajemen perubahan. Sebaliknya,
ITIL menyarankan praktek yang baik dan cara-cara untuk mengelola input dan

13

Universitas Indonesia

hubungan antara proses-proses tersebut. Tidak ada urutan atau mana yang lebih
dulu di antara masing-masingnya. Mereka dapat dipertimbangkan dan dikelola
secara terpisah, tetapi semuanya agak terkait satu sama lain.
1. ITIL Service Support Incident Management
Proses Incident management harus meng-cover aktivitas memperbaiki
gangguan dalam TI. Gangguan ini dapat berupa kegagalan sistem,
ketidakmampuan user meng-akses sesuatu dll. Tempat user mengadu ini
disebut service desk. Tujuan dari ITIL service Support Incident
Management

ini

adalah

mengembalikan

operasional

yang

seharusnya/normalnya secepat mungkin dengan keefektifan biaya dengan

dampak minimal yang berpengatuh ke user. Saat service desk menerima
keluhan, service desk sebaiknya langsung meng-klasifikasikan sebagai
prioritas, sangat penting dan penting. Pengklasifikasian ini sangat penting
dalam insiden TI. Siklus dibawah ini dapat membantu auditor internal
yaitu dengan memperlihatkan best practice dalam TI. Dengan begitu
akan lebih mudah bagi auditor internal melakukan review dan bertanya
dengan personel TI.

14

Universitas Indonesia

2. Service Support Problem Management

Saat proses insiden manajemen menemui insiden yang sulit dan
tidak bisa diketahui alasannya, insiden tersebut harus di beritahukan
kepada problem management process. 3 term dalam problem
management process adalah problem control, error control, dan proactive
problem management. ITIL mengartikan problem sebagai sesuatu yang
tidak dapat diketahui penyebabnya. Eror adalah penyebab yang diketahui
setelah insiden terjadi, sedangkan proactive problem management adalah
langkah pencegahan sebelm insiden terjadi. Idenya adalah bagaimana dan
kapan service desk melaporkan suatu insiden yang sudah bukan
wewenangnya lagi. Dalam service support management ini juga harus
dilakukan evalusi bagaimana mencegah masalah itu terjadi. Oleh karena
itu, service support management fokus pada mencari pola insiden yang
sering terjadi, mencari penyebabnya dan mencari solusinya. Perbedaan
Problem management dengan incident management adalah problem
management bertujuan mengurangi jumlah dan variasi insiden

15

yang

Universitas Indonesia

menghambat bisnis sedangkan insiden bertujuan menyelesaikan masalah

secepatnya. Bagi auditor internal hal-hal yang dapat ditanyakan :

Seberapa sering adanya request dari user

Berapa lama TI menyelesaikan masalah

Berapa banyak nsiden yang terjadi sampai TI dapat melihat pola

keterjadian insiden yang serupa

Solusi penyelesaian yang ditawarkan dan berapa anggaran yang

dibutuhkan.

Problem management adalah area yang tepat bagi auditor internal karena
disini memperlihatkan keefektifan operasional TI.
a) Service Support Configuration Management
Fungsi konfigurasi adalah

proses yang sangat penting yaitu

termasuk identifikasi, mencatat dan melaporkan komponenkomponen TI , versi-versinya. Managemen konfigurasi termasuk
mengatur hubungan antar aset. Managemen konfigurasi juga
termasuk elemen kontrol didalamnya, seperti memerlukan cek fisik
yang dicocokan dengan yang dicatat. Data-data individual harus
dicatat secara teratur dalam configuration management database
(CMDB). Exhibit 18.7 pokok dari prosedur audit untuk mereviu
proses manajemen konfigurasi perusahaan.
b) Service Support Change Management
Tujuan ITIL manajemen perubahan adalah menstandarisasi metode
dan prosedur untuk efisiensi penggantian untuk menghindari
mengurangi kualitas pelayanan sehari-hari. ITIL manajemen
perubahan termasuk :

Perangkat keras TI dan sistem perangkat lunak

Peralatan komunikasi dan perangkat lunak

Semua aplikasi perangkat lunak

Semua dokumentasi dan prosedur yang berhubungan dengan sistem

16

Universitas Indonesia

Proses yang efisien dalam penggantian ini adalah dengan

melakukannya dengan seminimal mungkin timbulnya dampak eror.
Saat mengaudit IT internal kontrol, internal auditor seharusnya
melihat change management yang melengkapi :

Selaras dengan bisnis

Peningkatan jaringan telekomunikasi antara staff dan manajemen

Meningkatkan penilaian resiko

Mengurangi dampak negatif pada pelayanan kualitas

Penilaian yang lebih baik terhadap biaya-biaya yg muncul

Menurunnya tingkat eror yang muncul

c. Service Support Release Management
Fungsi TI memerlukan proses yang memastikan segala perubahan
akan berdampak pada semua pihak dengan baik. Release disini
dimaksudkan termasuk pembetulan beberapa masalah, peningkatan
pelayanan termasuk yang baru atau perubahan perangkat lunak.
Pada intinya, release management memastikan semua komponen
yang diubah telah dibangun, di tes, di distribusikan dan di
implementasikan secara bersama.

F. Service Delivery Best Practice

1. Service Delivery Service-Level Management
Service-Level Management adalah prosess perencanaan, pengkoordinasian,
perancangan,

persetujuan,

pengawasan

dan

pelaporan

dalam

persetujuan/perjanjian formal antara TI dan pemberi layanan/penerima

layanan. Service Level Agreement (SLA) dapat merupakan antara TI dan
pihak luar atau antara TI dan pengguna. Secara umum SLA berisi target
pelayanan yang dijanjikan, hak dan kewajiban masing-masing pihak,
jadwal pelaksanaan, penalti jika merugikan pihak pengguna. Proses SLA
sangat penting dalam komponen operasional TI. Jika perusahaan belum
menggunakan, maka auditor internal dapat merekomendasikannya. SLA
dapat dijadikan dasar bagi auditor internal dalam mengukur pengendalian

17

Universitas Indonesia

internal TI karena dalam SLA diketahui tanggung jawab masing-masing

pihak sehingga dapat saling mengontrol.

18

Universitas Indonesia

2. Service Delivery Financial Management for IT Services

Tujuan Financial Management for IT Services adalah sebagai pemandu
agar tercapai efektifitas biaya dalam mengadakan jasa TI. Tiga sub yang
berhubungan adalah :
a) IT Budgeting
Adalah proses memprediksi dan mengontrol pengeluaran uang untuk
sumber daya TI. Budgeting terdiri dari periodic, biasanya tahunan,
siklus negosiasi untuk mengatur budget keseluruhan anggaran bersama
dengan pemantauan sehari-hari yang sedang berlangsung dari
anggaran

saat

ini.

Penganggaran

memastikan

bahwa

telah

merencanakan dan mendanai layanan TI yang tepat dan TI yang

beroperasi dalam anggaran ini selama periode tersebut. Fungsi bisnis
lainnya akan memiliki negosiasi periodik dengan IT untuk membangun
rencana pengeluaran dan setuju program investasi; ini akhirnya
menetapkan anggaran untuk IT.
19

Universitas Indonesia

b) IT Accounting
Adalah proses TI untuk menentukan berapa banyak uang yang
dihabiskan oleh pelanggan, layanan, dan aktivitas. Fungsi TI tidak
selalu melakukan pekerjaan yang baik di area ini, mereka mempunya
bervariasi biaya eksternal, termasuk perangkat lunak, perjanjian sewa
perlengkapan, biaya telekomunikasi, dan lainnya, tetapi biaya tersebut
biasnaya tidak di atur atau dilaporkan dengan baik. Mereka memiliki
data yang cukup untuk membayar bon dan mengevaluasi beberapa
specific area costs, tetapi fungsi TI sering lack tingkat akuntansi rinci
ditemukan di sebuah perusahaan manufaktur besar.
c) Charging
Adalah himpunan harga dan penagihan proses untuk mengisi
pelanggan untuk layanan yang disediakan. Hal ini membutuhkan
akuntansi TI sound dan dilakukan dengan cara yang sederhana, adil,
dan terkendali dengan baik. Proses pengisian TI kadang-kadang rusak
dalam fungsi TI karena laporan penagihan layanan TI terlalu rumit atau
teknis untuk banyak pelanggan. TI perlu untuk menghasilkan yang
jelas, laporan dimengerti layanan TI yang digunakan sehingga
pelanggan dapat memverifikasi rincian, memahami cukup untuk
mengajukan

pertanyaan

mengenai

layanan,

dan

bernegosiasi

penyesuaian jika diperlukan.

3. Service Delivery Capacity Management
Memastikan kapasitas dari infrastruktur TI sejalan dengan kebutuhan
bisnis dan kualitas jasa yang diberikan telah sesuai. Manajemen kapasitas
pada umumnya termasuk mempertimbangkan bisnis, jasa, dan manajemen
kapasitas sumber. Manajemen kapasitas bisnis adalah proses jangka
panjang untuk menentukan masa depan bisnis telah dipertimbangkan akan
diimplementasi

di

masa

mendatang.

Manajemen

kapasitas

jasa

bertanggung jawab memastikan semua jasa TI telah dilaksanakan.

Manajemen kapasitas sumberdaya bertanggung jawab atas komponen
infrastruktur TI secara individu. Dari ketiga komponen tersebut, biasanya

20

Universitas Indonesia

dibawahi oleh satu manajer yang mengatur pelaksanaan perancanaan

kapasitas, memastikan seluruh kapasitas diperbaharui. Implementasi dari
manajemen kapasitas yang efektif memberi keuntungan yaitu gambaran
akan kapasitas saat ini dan dapat digunakan untuk perencanaan kapasitas
kedepan.

4. Service Delivery Availability Management

Manajemen ketersediaan dapat digambarkan sebagai perencanaan,
peningkatan dan pengukuran aksi yang dilakukan. Perencanaan termasuk
menentukan

persyaratan

dan

bagimana

TI

dapat

memenuhinya.

Keuntungan utama dari manajemen ketersediaan adalah adanya proses

yang terstruktur untuk memastikan jasa TI terpenuhi sampai ke pelanggan.
Hal ini akan menambah jasa TI yang terus tersedia dan meningkatkan
kepuasan pelanggan.

21

Universitas Indonesia

5. Service Delivery Continuity Management

Karena bisnis menjadi sangat tergantung dengan TI, dampak dari
ketidaktersediaan jasa TI meningkat secara drastic. Setiap kali
ketersediaan atau kienrja dari jasa berkurang, konsumen TI tidak bisa
melanjutkan kerja normal mereka. Tren ini kearah ketergangtungan tinggi
pada pendukung TI dan jasa akan berlanjut dan meningkat mempengaruhi
konsumen langsung, manager dan pembuat keputusan. Manajemen
kontinuitas ITIL menekankan bahwa dampak dari kerugian total atau
bahkan sebagian dari layanan TI harus diperkirakan dan rencana
kontinuitas dibentuk untuk memastikan bahwa bisnis, dan infrastruktur
pendukung TI, akan selalu dapat berlanjut.

G. Auditing IT Infrastructure Management

Dukungan layanan ITIL dan layanan proses pengiriman memperkenalkan
pendekatan expanded dan improved untuk mencari semua aspek infrastruktur TI.
Proses ini tidak independen dan berdiri bebas. Sementara setiap proses dapat
beroperasi dengan sendirinya, mereka semua tergantung pada input dan bentuk
dukungan proses terkait lainnya. Kami telah mencoba untuk menunjukkan saling
ketergantungan dalam beberapa deskripsi proses, dan auditor internal yang
meninjau kontrol atas salah satu proses ITIL, harus memikirkan kontrol ini dalam
kaitannya dengan proses lainnya. Misalnya, exhibit 18.10 menunjukkan
bagaimana proses perubahan manajemen ITIL tergantung dan mendukung proses
ITIL terkait lainnya.
Jasa pengiriman dan jasa pendukung ITIL adalah dua unsur yang saling
terkait dan hampir sejajar. Mereka mendukung pengelolaan infrastruktur TI dan
perusahaan. Aplikasi TI di tengah teka-teki ini dan merupakan daerah pusat utama
dari perhatian kontrol internal. Diskusi kami dari masalah, kejadian, dan proses
perubahan manajemen ITIL, antara lain, cenderung untuk memanggil fungsi TI
yang sangat besar dengan berbagai tingkat sumber daya staf dan manajemen.
Internal auditor mungkin bertanya apakah ini standar ITIL berlaku untuk
perusahaan yang jauh lebih kecil. Jawaban iya, ITIL berlaku untuk semua ukuran

22

Universitas Indonesia

fungsi TI. Agar ITIL memenuhi persyaratan, perusahaan does not need multiples
levels of staf pendukung. Melainkan, perlu memikirkan berbagai jasa dukungan
dan jasa proses pengiriman dari perspektif ITIL praktik terbaik. Fungsi kecil TI
mungkin tidak perlu membangun manajemen insiden dan fungsi manajemen
masalah yang terpisah tetapi harus memikirkan setiap proses yang terpisah dengan
prosedur kontrol yang unik. Bahkan jika fungsi TI sangat kecil, setiap area proses
ITIL harus diperlakukan sebagai daerah penting untuk proses perbaikan.
Auditor internal harus menaruh perhatian khusus pada kepatuhan ITIL
ketika membuat rekomendasi. Ukuran dan lingkup area yang diaudit dan lingkup
operasi harus selalu dipertimbangkan.
Infrastruktur TI merupakan area penting untuk reviu audit internal. Di
masa lalu, semua auditor internal terlalu sering berkonsentrasi pada kontrol
aplikasi dan kontrol umum TI. Proses ITIL diuraikan dalam bab ini adalah
beberapa daerah yang sangat baik untuk perhatian audit internal di dunia saat ini
proses kompleks yang mendukung infrastruktur TI. Ketika meninjau kontrol
internal untuk setiap perusahaan TI, apakah operasi perusahaan-tingkat TI besar
atau fungsi yang lebih kecil ditemukan di banyak perusahaan hari ini, auditor
internal yang efektif harus berkonsentrasi pada meninjau kontrol atas proses
infrastruktur TI utama.

23

Universitas Indonesia

H. Internal Auditor CBOK Needs for IT General Controls

Auditor internal harus memahami dasar CBOK dari reviu audit internal
dari control umum TI dan infrastruktur TI tetapi tidak perlu terlalu detail. Area
tersebut menggambarkan persyaratan CBOK yang kuat untuk semua auditor
internal. Control umum TI tampaknya terus berubah dan berkembang, banyak isu
teknikal may be best reserved untuk spesialis audit TI, tapi semua auditor internal
harus memiliki pengetahuan yang cukup dari control umum TI dan infrastruktur
pendukung yang memperbolehkan control umum tersebut untuk beroperasi dan
berfungsi.
Pemahaman audit internal terhadap kontrol umum IT sangat penting.
Tidak peduli apa ukuran atau ruang lingkup operasional IT, kontrol tertentu
prosedur-seperti revisi Program kontrol-berlaku untuk semua operasi. Selain itu,
pemahaman keseluruhan praktik terbaik ITIL harus memungkinkan auditor
internal untuk memahami dan mengevaluasi kontrol umum IT di banyak
lingkungan.

24

Universitas Indonesia

Reviewing and Assesing IT

Teknologi informasi (TI) aplikasi drive sebagian besar proses perusahaan
yang ada saat ini. Aplikasi TI ini berkisar dari yang relatif sederhana, seperti
sistem hutang untuk membayar faktur vendor, untuk yang sangat kompleks,
seperti manajemen sumber daya perusahaan (ERM) set aplikasi database yang
saling terkait untuk mengontrol hampir semua proses perusahaan. Banyak aplikasi
TI didasarkan pada vendor software yang dibeli, peningkatan jumlah berasal dari
layanan berbasis Web, dan banyak lainnya mungkin didasarkan pada spreadsheet
atau desktop aplikasi database. Dalam rangka untuk melakukan internal yang
ulasan kontrol di daerah tertentu seperti akuntansi, distribusi, atau rekayasa,
auditor internal harus memiliki keterampilan untuk memahami, mengevaluasi, dan
menguji kontrol atas aplikasi pendukung TI. Auditor internal juga harus
memahami: bagaimana aplikasi tersebut bekerja dengan mendokumentasikan
aplikasi TI, menentukan tujuan pengujian audit yang spesifik, dan melakukan
serangkaian pengujian audit untuk memastikan bahwa control aplikasi ini berjalan
sesuai dengan yang diharapkan.
Pada dasarnya, Pengendalian IT dalam konteks Audit dapat dibedakan
menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan
Pengendalian Umum (General Control). Tujuan pengendalian umum lebih
menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus
meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan
pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk
memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara
benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.
Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian
umum juga dilakukan mengingat pengendalian umum memiliki kontribusi
terhadap efektifitas atas pengendalian-pengendalian aplikasi. Internal audit secara
efektif perlu melakukan reviu terhadap pengendali internal atas suatu aplikasi,
termasuk menilai resiko yang muncul pada saat memilih suatu aplikasi yang akan
direviu, menguji pengendalian dan mereviu atas suatu aplikasi yang sedang
dibangun.
25

Universitas Indonesia

A. IT Application Control Components

Auditor internal harus memahami komponen dari typical aplikasi TI dan
dibutuhkan untuk control pendukung. Orang-orang yang tidak familiar dengan TI
terkadang berpikir aplikasi TI dengan istilah laporan system output atau data yang
ditunjukkan dalam layar terminal. Bagaimanapun, setiap aplikasi, apakah Webbased, system mainframe yang lebih tua, aplikasi client-server, atau paket
produktivitas kantor yang diinstal di system desktop local, memiliki 3 (tiga)
komponen dasar, yaitu system input, program yang digunakan untuk memproses,
dan system output. Setiap komponen mempunyai peran penting dalam struktur
aplikasi control internal.
Komponen input, output, dan sistem pengolahan komputer mungkin tidak
semua clear untuk internal auditor melakukan review awal, tiga elemen yang ada
untuk semua aplikasi. Tidak peduli seberapa kompleks aplikasi, auditor internal
harus selalu mengembangkan pemahaman tentang aplikasi dengan breaking down
komponen input, output, dan pengolahannya.
Dalam semua jenis aplikasi, ketiga element tersebut pasti dimiliki oleh
setiap entitas. Oleh karena itu, bagaimanapun kompleksitas dari suatu aplikasi
yang dimiliki internal auditor perlu memahami dengan membagi aplikasi tersebut
berdasarkan ketiga elemen tersebut. Auditor internal minimal memiliki
pemahaman terhadap IT aplikasi dan proses penunjangnya yang memang menjadi
bagian dari dasar kebutuhan dari Common Body Of Knowledge (CBOK).
1. Application Input Components
Setiap aplikasi TI memerlukan beberapa form input untuk menghasilkan
ouput, apakah data yang diinput secara manual dari voucher transaksi atau
diambil dari system secara otomatis. Input merupakan salah satu tahap dalam
sistem

komputerisasi

yang

paling

krusial

dan

mengandung

risiko.

Pengendalian masukan (input control) dirancang dengan tujuan untuk

mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta
bebas dari kesalahan dan penyalahgunaan. Input controls ini merupakan

26

Universitas Indonesia

pengendalian aplikasi yang penting, karena input yang salah akan

menyebabkan output juga keliru.
a)

Data Collection And Other Input Devices

Data yang banyak biasa diinput kedalam sistem dalam bentuk batch atau
data gelondongan. Pada masa kini banyak alat-alat yang dapat digunakan
untuk memasukkan data kedalam suatu aplikasi, contohnya dalam siklus
penggajian, data absen diinput sudah berdasarkan timecard yang
dihasilkan secara otomatis melalui finger print absensi. Dan juga dalam
siklus penjualan, teknologi Radio Frequency ID (RFID) atau barcode
scanner digunakan untuk menginput penjualan yang terjadi. Suatu
pengendalian yang baik didalam input suatu data kedalam system sudah
menggunakan skema check and balances, sehingga data yang dimiliki
dapat dikatakan valid. Pada hal ini, auditor internal perlu meastikan
apakah skema tersebut sudah berjalan dengan baik.

b)

Application Inputs From Other Automated Systems

Suatu data dalam aplikasi dapat diinput secara otomatis akibat adanya
integrasi suatu aplikasi dengan aplikasi lainnya. Sebagai contoh, dalam
siklus penggajian seorang sales executive, gaji yang akan diterima akan
berhubungan jumlah penjualan yang dilakukannya untuk menghitung
komisi yang didapat.

c)

Files And Databases

Suatu file yang baik didalam system sebuah aplikasi memiliki minmal
kriteria kapan file tersebut dibuat dan label checking control untuk
menghindari kesalahan input kedalam siklus pemprosesan atau aplikasi
lainnya yang ada. Database sekarang ini biasa digunakan dalam susumam
hierarchical databases dimana data diorganisasikan berdasarkan konsep
struktur family tree. Produk database yang biasa digunakan yakni IMS
(Integrated Management System) yang dikeluarkan oleh IBM. IMS adalah
sistem

yang

mengkombinasikan

semua

sistem

manajemen

yang

diimplementasikan dengan tujuan untuk kepentingan bisnis organisasi.

Contohnya dalam perusahaan manufaktur, setiap produk dapat dilihat

27

Universitas Indonesia

bagian-bagian apa saja yang digunakan didalamnya dengan data yang

terintegrasi.
2. Application Program
Suatu program komputer disusun berdasarkan instruksi yang memuat
setiap detail proses yang ada. Internal auditor sebaiknya memahami
bagaimana program aplikasi computer dibuat dan kemampuannya, agar
dapat

menjelaskan

prosedur

pengendalian

yang

memadai

untuk

mendeteksi jangan sampai data (khususnya data yang sudah divalid)

menjadi error karena adanya kesalahan proses. Pengendalian ini didesain
untuk memberi keyakinan yang memadai bahwa :
a)

Transaksi, termasuk transaksi yang dipicu melalui sistem, diolah

semestinya oleh komputer

b)

Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak

semestinya, dan

c)

kekeliruan pengolahan dapat diidentifikasi dan dikoreksi secara tepat

waktu.
1)

Traditional Mainframe and Client Server Programs

Pada

saat

ini

aplikasi

dibuat

berdasarkan

suatu

bahasa

pemprograman yang universal. COBOL merupakan bahasa

pemprograman universal yang sering digunakan oleh banyak
entitas dalam membuat suatu proses aplikasi. COBOL adalah
singkatan dari Common Business Oriented Language yang berarti
suatu bahasa tingkat tinggi yang berorentasi langsung pada
masalah bisnis. Dari namanya dapat ketahui bahwa cobol adalalah
bahasa pemrograman yang digunkan dalam dunia bisnis. Cobol
juga dapat digunakan untuk pengolahan database, aplikasi
perbakan dan accounting.

28

Universitas Indonesia

2)

Modern Computer Program Architectures

Selain menggunakan COBOL, developer program juga banyak
yang menggunakan bahasa pemprograman seperti JAVA dan C++
untuk membuat program yang lebih sederhana

29

Universitas Indonesia

30

Universitas Indonesia

3) Vendor Supplied Software

Banyak apalikasi IT sekarang tidak dibuat oleh entitasnya sendiri
melainkan menggunakan Vendor. Dalam menggunakan Vendor
Supplied

Software,

perusahaan

seharusnya

sudah

memperhitungkan cost dan benefit yang menghasilkan keputusan

dalam penggunaan Vendor tersebut.
3. IT Application Output Components
Pengendalian keluaran merupakan pengendalian yang dilakukan untuk
menjaga output sistem agar akurat lengkap, dan digunakan sebagaimana
mestinya. Pengendalian keluaran (output controls) ini didesain agar
31

Universitas Indonesia

output/informasi disajikan secara akurat, lengkap, mutakhir, dan

didistribusikan kepada orang-orang yang berhak secara cepat waktu dan
tepat waktu.

B. Selecting Applications for Internal Audit Reviews

Dikarenakan aplikasi yang sangat banyak dan beragam dimiliki oleh suatu
perusahaan, biasanya internal auditor melakukan reviu berdasarkan aplikasi yang
paling krusial dan memiliki resiko yang tinggi. Berikut ini beberapa factor dalam
pemilihan aplikasi yang perlu direviu oleh internal auditor:

32

Universitas Indonesia

1. Management Request
Manajemen kadang suka melakukan permintaan kepada internal audit
untuk mereviu pengendalian dari aplikasi yang baru diinstal atau IT yang
memiliki signifikansi terhadap sauatu permasalahan atau penyusunan
strategis perusahaan.
2. Preimplementation review of new application
Internal audit terkadang diminta untuk berpartisipasi dalam memberikan
saran ketika suatu aplikasi ingin diciptakan.
3. Postimplementation application review
Untuk beberapa aplikasi yang cukup kritikal dan berhubungan dengan
analisis resiko, biasanya internal audit perlu melakukan reviu yang cukup
mendetail apakah aplikasi berjalan sudah sesuai dengan yang diharapkan.
4. Internal control assessment consideration
Evaluasi dan percobaan pengujian pengendalian internal guna memenuhi
standar kebijakan yang ditetapkan, seperti pada SOX section 404.
5. Other audit application selection criteria
Beberapa hal signifikan lainnya yang membuat internal auditor perlu
melakukan reviu atas aplikasi tersebut, seperti :
a) Aplikasi yang melakukan pengendalian atas asset yang signifikan
b) Aplikasi yang melakukan pengendalian atas Resiko yang signifikan
c) Aplikasi yang baru dilakukan perubahan didalamnya
d) Dan lain-lain.
Internal auditor juga biasanya melakukan reviu terhadap aplikasi yang
spesifik yang menunjang keseluruhan fungsi area. Contohnya, dalam
mereviu operasional dan keuangan dan department pembelian.
C. Preliminary Steps to Performing Application Controls Reviews
Pada saat internal auditor sudah menentukan aplikasi mana yang akan
direviu, maka dia perlu memahami objektif yang ingin dicapai, teknologi yang
digunakan, dan hubungan aplikasi tersebut dengan aplikasi lainnya.
Pertama, biasanya internal auditor akan meminta dokumen-dokumen yang
terlibat dalam siklus kegiatan dan pembuatan aplikasi tersebut. Seperti SOP yang

33

Universitas Indonesia

terkait dalam kegiatan bisnis dalam aplikasi tersebut dan juga beberapa dokumen
yang ada dalam aplikasi tersebut, seperti :

System Development Methodology (SDM) initiating document

Dokumen ini akan menunjukan permintaan dalam pembuatan system,
cost/benefit yang ada, dan design general system yang dibutukan.

Functional design specification

Dokumen ini berisi hal-hal mendetail mengenai elemen program, database
spesifikasi, dan pengendalian system yang dijelaskan secara jelas.

Program change histories

Dokumen ini berisi hal-hal historis yang menunjukan dasar perubahan
suatu aplikasi terjadi ataupun bukti-bukti dokumen atas revisi aplikasi
yang terjadi.

User documentation Manual

Dokumen ini biasanya berbentuk buku manual penggunaan aplikasi
ataupun buku bantuan apabila berbagai macam hal terjadi.
1. Conducting an Application Walk-Through
Setalah melakukan pengecekan dokumen, internal auditor akan melakukan
walk-through reviu, hal ini dilakukan dengan agar internal auditor dapat
memahami proses kerja suatu aplikasi mulai dari system input, proses
aplikasi, dan system output.

34

Universitas Indonesia

2. Developing Application Control Objectives

Selanjutnya internal audit perlu mendefiniskan objektif yang dihasilkan
dalam proses aplikasi yang sudah direviu. Didalamnya termasuk
menentukan level pengendalian resiko yang diterima dan kehandalan
aplikasi dalam menunjang tujuan yang dicapai.

35

Universitas Indonesia

D. Completing the IT Applications Controls Audit

Rincian prosedur audit pada aplikasi TI biasanya lebih sulit untuk
ditetapkan jika dibandingkan dengan tujuan umum audit internal. Prosedur sangat
beragam dan tergantung pada beberapa hal, yakni :

Apakah aplikasinya dibangun sendiri atau membeli dari vendor?

Apakah aplikasinya terintegrasi dari aplikasi lain atau tidak?

Apakah aplikasi menggunakan Web Based Service Provider/Client Server

atau Legacy Computer System Method?

Aplikasinya banyak yang terotomasi atau banyak diintervensi oleh

manusia?
Dalam melakukan pengujian terhadap pengendalian aplikasi, selain

meninjau dokumentasi dan melakukan penelusuran, akan sangat membantu jika

36

Universitas Indonesia

auditor internal dapat berkomunikasi dengan karyawan yang bertanggung jawab

atas sistem.
1. Clarifying and Testing Audit Internal Control Objectives
Pada bagian sebelumnya telah dibahas mengenai pentingnya
membangun tujuan pengujian sebagai bagian dari pengujian aplikasi.
Selanjutnya kita akan mengklarifikasi tujuan pengujian. Dalam beberapa
hal sering ditemukan bahwa terjadi kesalahpahaman antara auditor dan
manajemen dalam menetapkan tujuan audit. Misalnya manajemen
menginginkan auditor untuk menguji pengendalian pada akuntansi,
sementara auditor hanya menguji logika pada keamanan pengendalian.
Untuk itu manajemen, user dan auditor harus duduk bersama untuk
menetapkan tujuan pengendalian.
Namun biasanya tujuan pengujian audit juga akan berubah jika
auditor menemukan bukti dari masalah pengendalian lainnya selama
proses pengujian dan akan menyarankan ruang lingkup baru atau
perubahan prosedur kepada manajemen. Misalnya pada tujuan awal yang
ditetapkan adalah kecukupan pengendalian internal aplikasi mungkin akan
berubah pada deteksi penipuan jika ditemukan adanya transaksi yang tidak
sah.
Setelah melakukan klarifikasi, auditor internal harus menguji key
control points dalam aplikasi. Kemudian setelah mendapatkan pemahaman
pada key control point, prosedur pengujian dapat dikembangkan untuk
membuat penilaian aplikasi lebih jelas. Dua gambar di bawah ini
merupakan contoh prosedur audit yang berorientasi pada aplikasi client
server modern dan uji kepatuhan atas aplikasi pembelian yang telah
terotomasi :

37

Universitas Indonesia

38

Universitas Indonesia

a) Tests of application inputs and outputs

Internal audit akan menguji ketepatan data input yang dimasukan kedalam
system dan melihat apakah hasil yang keluar(output) sudah sesuai dengan
seharusnya.
b) Test transaction evaluation approaches
Dalam pengujian ini, auditor internal harus memastikan bahwa input
transaksi harus diproses dengan benar. Contohnya, ketika meninjau
aplikasi manufaktur di pabrik, internal auditor mungkin mencatat beberapa
transaksi pembelian yang material sebagaimana mereka masuk ke dalam
terminal manufaktur. Setelah terjadi siklus pengolahan, auditor dapt
memverifikasi bahwa telah dibuat penyesuaian persediaan atas peristiwa
tersebut dan work-in-process cost reports telah diperbaharui dengan benar.
c) Other application-review techniques
Berikut ini adalah teknik-teknik lain yang digunakan dalam mereviu
aplikasi :
1) Reperformance of application functions or calculations
Jenis pengujian ini berlaku baik untuk aspek manual dan yang
terotomasi dari sistem aplikasi. Contohnya jika aplikasi untuk
aset tetap melakukan perhitungan penyusutan secara otomatis,
maka auditor internal dapat menggunakan proses CAATT untuk
menghitung ulang penyusutan untuk transaksi terpilih dalam uji
kepatuhan.
2) Reviews of program source code
Untuk pengembangan aplikasi secara in-house, internal audit
dapat memverifikasi

bahwa pengecekan logika tertentu

dilakukan di dalam program dengan memverifikasi source code.

Namun jenis uji kepatuhan ini harus digunakan jika dalam
jumlah besar dan penuh kehati-hatian. Karena adanya potensi
kompleksitas dari membaca dan memahami source code
program, sangat mudah untuk melewatkan cabang program di
sekitar area yang diuji. Maka dari itu terdapat program khusus

39

Universitas Indonesia

yang tersedia untuk membandingkan source code program

dengan versi yang dikompilasi dalam perpustakaan produksi.
3) Continuous audit monitoring approaches.
Internal auditor dapat sewaktu-waktu merencanakan untuk
membangun prosedur audit yang melekat pada aplikasi produksi
agar aplikasi tersebut mudah dikendalikan. Pendekatan ini
hanya sekedar mengaudit aplikasi dan membantu mengaudit diri
sendiri.
4) Observation of procedures.
Pengamatan berguna ketika meninjau proses aplikasi manual
maupun yang terotomasi. Misalnya stasiun kerja yang terpencil
menerima

data

download

dari

sistem

pusat

mungkin

memerlukan prosedur tambahan untuk membuat koneksi

download yang tepat.
d) Completing the Application Controls Review
Pengujian pada kepatuhan tidak menjamin bahwa tidak ada resiko yang
muncul. Dalam melakukan pengujian dalam kontrol aplikasi mungkin
auditor tidak menemukan permasalahan karena dalam keadaan normal
mungkin sistem tidak bekerja sama seperti ketika sistem diuji. Auditor
internal harus selalu berhati-hati dalam mengkondisikan laporan terkait
dengan hasil uji kepatuhan yang keliru. Di dalam laporan audit harus
disebutkan bahwa terdapat resiko hasil yang salah karena pengujian yang
terbatas.
Kadang-kadang aspek pengendalian yang telah diuji tidak membuahkan
hasil karena auditor internal tidak dapat memahami aspek dari aplikasi.
Maka dari itu internal audior harus meninjau deskripsi dari aplikasi
tersebut dan pengendaliannya dengan memastikan ulang pada staf TI dan
user. Berdasarkan tinjauan tersebut ada kemungkinan bahwa pemahaman
pengendalian aplikasi harus direvisi dan kemudian melakukan kembali
prosedur penilaian resiko audit.

40

Universitas Indonesia

Jika auditor internal menemukan bahwa melalui uji kepatuhan

pengendalian aplikasi tidak bekerja, maka auditor internal harus
melaporkan temuan ini. Sifat laporan ini sangat tergantung dari tingkat
keparahan dari kelemahan pengendalian dan jenis dari pengujian. Sebagai
contoh, jika aplikasi sedang ditinjau atas permintaan dari auditor eksternal
maka jika dideteksi bahwa ada kelemahan dalam pengendalian, maka hal
ini dapat dijadikan sebagai pencegahan atas kepercayaan pada hasil
keuangan yang dihasilkan dari aplikasi tersebut. Jika kelemahan pada
pengendalian pengendalian terutama terkait efisiensi atau operasional,
auditor internal mungkin hanya melaporkannya kepada manajer TI untuk
tindakan korektif di masa depan.
E. Application Review Example: Client-Server Budgeting System
Dalam contoh ini, auditor internal diminta untuk meninjau pengendalian
atas suatu in-house client server dari architecture capital budgeting system.
Departemen

perencanaan

keuangan

aplikasianalisa penganggaran modal

telah

mengembangkan

bagian

dari

menggunakan satu set spreadsheet.

Meskipun dibangun dalam sebuah aplikasi yang dibeli, pengguna telah

memasukan beberapa coding untuk menjalankan program. Bagian workstation
system berkomunikasi dengan server file yang berasal dari sistem mainframe dari
penganggaran.
Auditor internal juga telah melakukan tinjauan atas general control atas
jaringan lokal dan clien server operasi komputer dan ditemukan bahwa general
control telah memadai. Artinya pengguna telah mendokumentasikan aplikasi
mereka, file dan programs telah dibackup pada file server, password procedures
terbatas pada personil yang berwenang, dan prosedur pengendalian lainnya telah
diikuti dengan baik. Auditor juga telah merekomendasikan untuk menempatkan
pengendalian yang kuat atas akses telekomunikasi

ke jaringan lokal dan

menginstal prosedur untuk anti virus.

41

Universitas Indonesia

Setelah

dilakukannya

peninjauan

atas

general

control,

sistem

penganggaran modal diimplementasikan pada jaringan kantor administrasi.

Karena Karena sistem ini memberikan masukan langsung ke sistem penganggaran
perusahaan, manajemen telah meminta audit internal untuk meninjau kontrol
aplikasi.
Pertama-tama auditor internal membangun tujuan dari peninjauan, yaitu :

Spreadsheet pada capital budgeting system harus memiliki pengendalian

internal akuntansi yang baik.

Aplikasi harus membuat keputusan tentang capital budgeting yang benar

berdasarkan parameter input pada sistem dan rumus makro yang telah
deprogram

Sistem tersebut harus memberikan masukan yang akurat kepada anggaran

pusat atau perusahaan sistem penganggaran perusahaan melalui file server
lokal.

Sistem penganggaran modal harus mendorong efisiensi dalam departemen

perencanaan keuangan.

1. Reviewing Capital Budgeting System Documentation

Langkah pertama adalah internal auditor harus meninjau dokumentasi yang
tersedia untuk aplikasi ini. Beberapa dokumentasi yang diperlukan auditor
meliputi :
a) Dokumentasi untuk paket perangkat lunak penganggaran modal,
termasuk spreadsheet prosedur makro dan formula.
b) Prosedur untuk meng-upload data anggaran modal ke aplikasi sistem
penganggaran pusat, melalui file server jaringan serta prosedur untuk
menerima input data ke fungsi mainframe IT.
c) Prosedur untuk memastikan integritas keseluruhan data pada file
server. Internal auditor harus mendapatkan okumentasi yang
mencakup produk perangkat lunak yang digunakan, antarmuka
dengan aplikasi lain, dan prosedur manual yang diperlukan.

42

Universitas Indonesia

Tujuan dari peninjauan dokumentasi pada aplikasi ini adalah untuk

mengetahui apakah dokumentasi lengkap dan untuk mendapatkan pemahaman
yang umum dari aplikasi secara keseluruhan. Kemudian, setelah meninjau
dokumentasi ini dan mendiskusikannya dengan user (perencana keuangan),
auditor internal harus mendokumentasikan dokumentasi yang telah diperoleh ke
dalam kertas kerja. Auditor internal seringkali lebih nyaman menggambarkan
dokumentasi

tersebut

menggunakan

diagram

alur

(flowchart)

meskirun

keterangan tertulis mungkinlebih memadai. Tujuan dari menggunakan diagram

alur ini adalah memberikan dokumentasi pada kertas kerja auditor dan
memberikan dasar dalam megidentifikasi titik pengendalian yang signifikan.
2. Identifying Capital Budgeting Application Key Controls
Meskipun aplikasi ini sederhana, namun aplikasi tersebut memiliki
beberapa titik kritis. Sebagai contoh, jika spreadsheet prosedur makro yang salah
menghitung capital costs, present values, dan faktor terkait, manajemen akan
mengambil tindakan yang salah mengenai keputusan investasi. Jika data yang
dikirimkan ke mainframe penganggaran salah, catatan atas laporan keuangan akan
salah juga. Jika aplikasi tidak didokumentasikan dengan benar, adanya perubahan
key user di departemen perencanaan keuangan, maka dapat membuat sistem
nyaris tidak dapat beroperasi.
Berdasarkan pemahaman audit internal dari contoh sistem ini, key system
control sekarang didefinisikan dan didokumentasikan. Karena auditor internal
baru melakukan tinjauan atas general control, maka tidak perlu mengulas kembali
control selama application review. Berikut ini adalah prosedur pemeriksaan audit
yang dikembangkan :

43

Universitas Indonesia

3. Performing Application Tests of Compliance

Langkah terakhir dari peninjauan ini adalah auditor internal harus
melakukan pengujian dengan prosedur yang ditetapkan. Control yang diujikan di
dalam tahap ini tergantung pada manajemen dan kepentingan internal audit
(mungkin tidak seluruhnya). Antara control yang satu dengan yang lain mungkin
terkait. Jika ada masalah atau kelemahan yang diidentifikasi dalam suatu daerah
pengujian, auditor internal dapat memutuskan untuk memeriksa pula daerah yang
terkait. Pengujian yang dilakukan termasuk ;

Reperformance of computations.
Proses penganggaran modal didasarkan pada beberapa perhitungan yang
sangat spesifik, seperti estimasi nilai kini arus kas masa depan berdasarkan
faktor diskon. Menggunakan alat spreadsheet lain atau bahkan kalkulator
meja, audit internal bisa memilih salah satu atau beberapa perhitungan nilai
44

Universitas Indonesia

sekarang yang dihasilkan oleh sistem dan menghitung ulang, untuk

menentukankewajaran proses sistem. Jika ada perbedaan harus diselesaikan.

Comparison of transactions.
Audit internal dapat memilih beberapa set aplikasi budget schedules dan
melakukan pelacakan melalui sistem anggaran file server untuk
menentukan bahwa budget schedules telah dikirimkan dengan benar.

Proper approval of transactions.

Sebelum hasil dari sistem budget schedule dikirimkan ke sistem anggaran
pusat, sistem tersebut harus memiliki management approval yang tepat.
Internal audit harus mengambil sampel dari salah satu pengiriman tersebut
untuk diteliti.

Setelah melakukan serangkaian prosedur yang ada, sebaiknya hasil audit

dilaporkan kepada manajemen supaya dapat membuat tindakan perbaikan.
F. Auditing Applications under Development
Banyak internal Auditor merasa lebih efisien bila melakukan review pada
saat suatu aplikasi sedang dikembangkan jika dibandingkan dengan aplikasi yang
sudah jadi. Pada posisi ini Internal Auditor bekerja sebagai pemberi saran untuk
meningkatkan pengendalian system, bukan sebagai pembangun system. Saran
tersebut merupakan hasil analysis atas kelemahan-kelemahan yang ditemukan dan
diberikan dalam bentuk rekomendasi. .
1. Objectives and Obstacles of Preimplementation Auditing
Terdapat beberapa hambatan pada saat internal auditor melakukan review
atas suatu aplikasi IT yang sedang dibangun :
a) Them versus us attitudes
Pada saat internal auditor mencoba membantu memberikan masukan, IT
management terkadang suka merasa hati-hati atau timbul kebencian karena
akan menambah pekerjaan dalam bentuk dokumen-dokumen yang lebih
mendetail.
b) Internal Auditor role problems
Peran internal auditor harus dipahami oleh semua pihak :
45

Universitas Indonesia

Extra member of the implementation team

Specialized consultant

Internal controls expert

Occupant of the extra chair

State of the art awareness needs

Many and varied preimplmentation candidates

2. Preimplementation Review Objectives

Internal auditor perlu mengidentifikasi dan memberikan rekomendasi atas
pengendalian yang ada dalam suatu aplikasi yang sedang dibuat dalam bentuk halhal apa saja yang sekiranya perlu diinstal. Dalam beberap Negara, peran internal
auditor dalam pembangunan suatu aplikasi IT ternyata memang diwajibkan.
3. Preimplementation Review Problem
Dalam penerapan review yang dilakukan oleh internal auditor, belum tentu
hasil yang ditentukan dapat diterima atau sesuai dengan kebutuhan pengguna.
Untuk mengurangi kesulitan dalam menyamakan hal tersebut, internal audit perlu
memperhatikan hal-hal berikut :

Selecting the right application to review

Determining the proper auditors role

Review objectives can be difficult to define

4. Preimplementation Review Procedures

Reviu dilakukan oleh internal auditor dalam setiap fase yakni inisiasi
projek, mendefinisikan kebutuhan, pengembangan, percobaan, dan terakhir
implmentasi. Step penting yang wajib dilakukan oleh internal auditor yakni
menyampaikan rencana program audit kepada IT manjemen sehingga ada
pemahaman atas apa yang diharapkan dari internal audit berdasarkan pendekatan
review yang dijalankan.
a)

Application Requirement Definition Objectives

Internal auditor perlu mereview kebutuhan-kebutuhan dalam bentuk detail
apa saja yang dibutuhkan dalam pembangunan aplikasi, dengan begitu

46

Universitas Indonesia

apabila internal auditor dapat mengidentifikasi pengendalian pada review

tersebut, akan lebih memudahkan bagi pengembang program untuk
menyesuaikan masukan yang diterima.
b)

Detailed Design And Program Development Objectives

Fase ini merupakan fase yang paling lama dalam pembuatan suatu aplikasi
dan biasanya internal auditor menginginkan jadwal untuk melakukan reviu
secara bertahap. Beberapa perusahaan IT terkadang menggunakan internal
auditor untuk memastikan fungsi dari projek yang diciptakannya sudah
sesuai. Sehingga suatu audit keseluruhan dapat diminimalisir apabila sejak
awal internal auditor sudah membantu memberikan saran atas perbaikan
yang dalam aplikasi tersebut.

c)

Application Testing and Implementation Objectives

Pada fase ini biasanya terdiri dari percobaan aplikasi baru, melengkapi
dokumen, pelatihan pengguna, dan pemindahan data.Internal auditor biasa
memastikan apakah aplikasi sudah berjalan sesuai dengan yang diharapkan
dan

melakukan

pengujiannya.

Selanjutnya

internal

auditor

akan

menyiapkan laporan dalam bentuk dokumen-dokumen untuk pengendalian

signifikan yang teridentifikasi, laporan tersebut dapat berupa rekomendasi
bukan implementasi yang diwajibkan.
d)

Postimplementation review Objective and Reports

Pada saat aplikasi sudah berjalan, review juga tetap perlu dilaksanakan.
Pengguna

sebagai

pihak

yang

paling

memahami

tentu

saja

akanmemberikan masukan-masukan baru terhadap system yang sudah

berjalan. Selain itu, internal audit juga biasanya melakukan review
kembali namun dengan staff yang berbeda untuk melakukan pengujian
dari perspektif individu lain. Untuk laporan, biasanya internal audit sudah
memiliki format baku dalam pembuatannya. Report dibuat oleh internal
auditor dan disetujui oleh pihak yang diaudit dan diberikan kepada pihakpihak yang berwenang.
G. Importance of Reviewing IT Application Controls

47

Universitas Indonesia

Tinjauan tersebut akan memberikan keyakinan (assurance) pada

manajemen bahwa aplikasi telah beroperasi dengan benar dan untuk manajemen
TI memastikan bahwa desain dan standar pengendalian yang telah mereka buat
dapat

diterapkan

yang

memungkinkan

mereka

untuk

menempatkan

ketergantungan lebih besar pada hasil output dari aplikasi tersebut.

48

Universitas Indonesia

Cybersecurity and Privacy Controls

Teknologi sudah menjadi suatu aspek yang krusial di dalam perusahaan
dalam mendukung proses bisnis dan mewujudkan efisiensi. Walaupun datang
dengan berbagai kemudahan yang ditawarkan bukan berarti teknologi ada tanpa
adanya risiko. Salah satu risiko utama yang meliputi perkembangan teknologi
adalah risiko keamanan data. Dalam melakukan reviu yang menggunakan dasar
sistem TI, auditor minimal perlu memahami pengendalian internal secara general
dan resiko-resiko yang berkaitan dengan hal tersebut. Selain itu, auditor internal
perlu memiliki proteksi atau pengamanan atas audit prosedur yang sudah
dijalankannya. Karena data-data atau dokumen yang dimiliki atas prosedur yang
sudah diaudit tersebut juga sifanya rahasia. Berbeda dengan di masa lampau
dimana pencurian yang dilakukan berupa pencurian fisik, saat ini pencurian lebih
bersifat logical dimana pelaku mencoba mendapatkan akses untuk mengambil
informasi penting yang tidak seharusnya dapat diakses secara sembarangan.
A. IT Networks Security Fundamentals
Suatu jaringan perlu memiliki kemanan yang mencukupi agar tidak terjadi
hal-hal yang tidak diinginkan. Dalam hal ini, internal auditor perlu menetapkan
prosedur pengamanan TI apa yang mencukupi untuk mengamankan suatu jaringan
tersebut. Minimnya prosedur pengendalian internal yang ada pada suatu sistem TI,
dapat mengakibatkan hambatan beberapa hal yakni :

Interruptions

Terjadi saat sistem tidak dapat diakses, tak bekerja, dan hilang akibat adanya
perusakan, pencurian, atau penggunaan yang salah.

Interceptions

Pihak luar dapat mengakses aset teknologi informasi.

Modification

Pihak yang tidak berwenang memiliki kemampuan untuk merubah data,

program, maupun komponen perangkat keras.

Fabrication

Terjadi saat pihak yang tak berwenang dapat memasukkan data atau
informasi fiktif ke dalam sistem.
49

Universitas Indonesia

Semua hambatan diatas dapat terjadi dalam lingkungan internet, hubungan

telekomunikasi, database ERP dan perangkat computer yang paling canggih
hingga yang sederhana. Oleh karena itu auditor internal perlu menyadari dengan
adanya perubahan teknologi yang terjadi dilingkungan sehari-hari dan
menetapkan hambatan apa saja yang dapat muncul secara signifikan.
Auditor internal mungkin tidak memiliki kemampuan dan pengetahuan
yang komprehensif terkait keamanan sistem maupun teknologi informasi secara
keseluruhan, karena bidang ilmu ini memiliki kerumitan tersendiri. Hal ini dapat
menghambat auditor internal dalam melakukan penilaian dan rekomendasi terkait
risiko yang meliputi teknologi informasi. Namun, auditor seharusnya memiliki
pengertian terkait konsep dasar terkait keamanan.
1. Security of Data
Salah satu yang dapat kita lakukan dalam keamanan suatu jaringan
yaitu bisa dengan mengendalikan suatu akses yang bisa kita lakukan dalam
suatu jaringan. Dengan mengendalikan akses yang dilakukan pada setiap
sumber jaringan dan dengan melakukan pengontrolan akses yang dapat
dilakukan oleh kita. Oleh karena itu kita harus mengetahui apa saja
prinsip-prinsip yang ada dalam keamanan jaringan mulai dari integrity,
confidentiality dan availability.
Prinsip keamanan jaringan:
a) Kerahasiaan (confidentiality)
Dimana object tidak di umbar atau dibocorkan kepada subject yang
tidak seharusnya berhak terhadap object tersebut, atau lazim disebut
tidak authorize.
b) Integritas (Integrity)
Bahwa object tetap orisinil, tidak diragukan keasliannya, tidak
dimodifikasi dalam perjalanan nya dari sumber menuju penerimanya.
c) Ketersediaan (Availability)
Dimana user yang mempunyai hak akses atau authorized users diberi
akses tepat waktu dan tidak terkendala apapun.

50

Universitas Indonesia

2. Importance of IT Password
Untuk melakukan akses terhadap suatu aplikasi atau bagian dari
system TI, sangatlah penting sekali untuk menerapkan Password untuk
melindungi dari orang-orang yang tidak memiliki akses didalamnya.
Berikut ini merupakan criteria yang baik dalam penerapan suatu password:
a) Password adalah tanggung jawab pengguna untuk menciptakan
password tetapi peraturan administrasi harus dibuat untuk membuat
pihak lain tidak mudah menebusnya. Contohnya. Pengendalian dan
panduan harus dibuat untuk mencegah karyawan menggunakan tanggal
lahir dan nama panggilan sebagai password.
b) Password harus disusun sedemikian rupa supaya tidak mudah untuk
ditebak.

Contohnya,

peraturan

yang

mensyaratkan

untuk

mencampurkan kata dan angka didalam sebuah password.

c) Adanya persyaratan untuk mengganti password secara berkala.
d) Dalam proses indentifikasi password, jika terdapat beberapa kali
kesalahan dalam memasukkan password, system harus menolak akses
dan meminta pengguna untuk merubah password
e) Password yang dibuat jangan terlalu kompleks dan susah diingat.

51

Universitas Indonesia

Pada suatu aplikasi yang memiliki tingkat privasi yang tinggi,

bahkan password dapat dibuat dalam bentuk finger print atau eye pupil
scanner agar lebih unik dan tidak dapat ditiru. Pada hal ini, internal auditor
perlu mengevaluasi apakah penerapan standar penggunaan password sudah
dilakukan dengan baik pada suatu aplikasi.
3. Viruses and Malicious Program Code
Virus-virus menyebabkan kerusakan dan kerugian finansial yang
tidak sedikit. Seperti ancaman kelemahan lainnya, kerugian ini dirasakan
baik oleh perusahaan besar maupun kecil. Jika tidak ingin kehilangan data
karena virus, maka harus melaksanakan tinjauan rutin, memasang patch,
dan meng-update tanda-tanda kelemahan.
Perlindungan yang terbaik adalah kebijakan, prosedur, serta
teknologi. Karyawan harus diberikan instruksi yang tegas perihal
penerimaan e-mail yang mencurigakan dan apa yang mereka harus
lakukan jika terinfeksi. Kalau hal itu dirasa kurang efektif, maka
membutuhkan sebuah manajemen yang dapat menjamin konsistensi di
seluruh aspek bisnis termasuk didalamnya upaya pencegahan terhadap
serangan virus. Dalam kondisi ini, internal auditor perlu memberikan saran
bentuk anti virus apa yang sepatutnya digunakan untuk menjaga setiap
data yang dimiliki oleh suatu perusahaan.

52

Universitas Indonesia

4. Phising and other Identify Threats

Phising adalah tindakan memperoleh informasi pribadi seperti User
ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak sah.
Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk
mengakses rekening, melakukan penipuan kartu kredit atau memandu
nasabah untuk melakukan transfer ke rekening tertentu dengan imingiming hadiah. Phaxing adalah ancaman otentikasi terkait, penjahat dapat
mengirim faks kepada pelanggan suatu perusahaan meminta mereka untuk
login ke Internet dan meminta mereka untuk mengirim kembali alamat
URL internet mereka. Versi yang terkait dengan fax disebut disebut
"phaxing."
5. IT System firewall
Firewall adalah sebuah sistem atau perangkat yang mengizinkan
lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah
lalu lintas jaringan yang tidak aman. Umumnya, sebuah firewall
diimplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada
pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya.
Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa
saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat
ini, istilah firewall menjadi istilah generik yang merujuk pada sistem yang
mengatur komunikasi antar dua jaringan yang berbeda. Internal auditor
perlu mengetahui lokasi dan fungsi dari firewall yang digunakan.
Selanjutnya apakah firewall tersebut masih relevan untuk digunakan

53

Universitas Indonesia

dengan hambatan-hambatan yang ada. Terakhir internal auditor juga perlu

melihat laporan yang dihasilkan oleh firewall tersebut atas pelanggaranpelanggaran yang ada.
6. Other Computer Security issues
Jaringan IT saat ini harus berurusan dengan banyak ancaman
keamanan dan kode berbahaya. Metode mengatasi termasuk password dan
firewall, ditambah kontrol akses rumit, kebutuhan untuk menggunakan
enkripsi ketika transmisi data, keamanan bertingkat dalam administrasi
database, dan banyak lagi. Dari perspektif audit internal, beberapa masalah
keamanan komputer yang paling penting fokus pada kebutuhan untuk
membangun dukungan manajemen yang kuat untuk program keamanan IT
di tempat dan untuk program pendidikan pemangku kepentingan
keseluruhan untuk mengesankan semua orang IT jaringan ancaman
keamanan dan kerentanan.

B. IT Systems Privacy Controls

Privasi adalah suatu informasi yang rahasia atau hanya dapat diketahui
oleh kalangan terbatas. Dan apabila hal tersebut diketahui oleh pihak lain, dapat
terjadi suatu hal-hal yang tidak diingingankan.
1. Data Profiling Privacy Issues
Suatu perusahaan atau entitas yang biasanya mendapatkan database
pelanggan terkadang dapat melalui pelanggan langsung ataupun pihak lain.
Dalam hal ini, perusahaan perlu menjaga database tersebut agar tidak
tersebar karena hal tersebut merupakan nilai privasi dari pelanggan
tersebut.
2. Online Privacy and E-Commerce Issues
Dalam setiap aktifitas pelanggan yang dilakukan dalam suatu website
biasanya tercatat identitas computer dari pelanggan tersebut yang disebut
dengan cookies. Cookies merupakan data file yang ditulis kedalam hard
disk computer oleh web server yang digunakan untuk mengidentifikasi
54

Universitas Indonesia

user pada situs tersebut, situs itu akan dapat mengenalinya. Jadi dapat
dikatakan cookies adalah ID card user saat koneksi pada situs. Hal tersebut
merupakan database yang dimiliki oleh perusahan-perusahaan.
3. Radio Frequency Identification
Penggunaan Radio Frequency ID (RFID) dalam berbagai macam hal
aktifitas yang dilakukan oleh perusahaan baik dengan pelanggan ataupun
karyawannya nerupakan suatu hal yang perlu memilki privasi didalamnya.
Karena hal tersebut merupakan suatu hal yang memiliki keunikan dalam
arti berbeda satu sama lain, RFID tersebut sudah memiliki data personal
atas pemiliknya masing-masing.
C. Auditing IT Security and Privacy
Terdapat beberapa pertanyaan umum yang biasa dilemparkan oleh internal
auditor pada saat melakukan review atas IT Security and Privacy, yakni :

Can you give me a diagram of your IT Network here showing all internal
and external connections within the network?

Have you installed firewalls for the network and di they protect all access
points?

Is ther any way that devices on the network can communicate to other
devices, such as a dila-up line through a modem, and bypass the firewall
barrier?

Etc.
Biasanya yang akan menjadi poin utama dalam review bagian ini adalah,

bagaimana firewall sudah bekerja dengan baik dalam melakukan pengendalian

internal dan meminimalisir setiap kemungkinan resio-resiko yang dapat terjadi.
Selain itu internal audit juga meastikan privacy yang dimiliki setiap data/file dapat
terjaga dengan baik
D. Security and Privacy in the Interal Audit Department
Sekarang ini pengerjaan sebuah working paper sudah menggunakan
internal based, jarang yang masih menggunakan paper based. Oleh karena itu
data-data yang dimiliki dari hasil setiap review audit yang dilakukan harus dapat

55

Universitas Indonesia

dikumpulkan dan dikelola dengan baik berdasarkan dengan pihak-pihak mana saja
yang berhak mengaksesnya.
1. Security and Control for Auditor Computers
Setiap internal auditor biasanya kini sudah memiliki laptop masing-masing
dalam menjalankan aktifitasnya. Didalam laptop tersebut tentu saja
berisikan data-data audit yang dilakukannya pada setiap pengerjaan yang
tentu saja memiliki sifat rahasia dan tidak semua pihak dapat
mengetahuinya. Berikut ini hal-hal teknis yang perlu diketahui internal
auditor dalam melindungi laptopnya :
a) Auditor personal responsibility for auditors laptop
Internal auditor tentu saja bertanggung jawab masing-masing atas
laptop tersebut, sehingga diharapkan mereka dapat menjaganya dengan
baik
b) File backup procedure
File-file juga biasanya disimpan dalam suatu server agar dapat
terkelola dengan baik jika sewaktu-waktu dibutuhkan.
c) Physical locks and mechanisms
Laptop juga perlu diberikan pengamanan dalam bentuk tas yang aman
dan penggunaan password dalam akses masuk ke kompternya.
d) Antivirus and other tools
Untuk menhindari virus, sebaiknya laptop menggunakan antivirus
yang selalu diupdate dan ditambahkan aplikasi-aplikasi penunjang
untuk melindungi latop tersebut.
2. Workpaper Security
Seperti yang sudah dijelakan sebelumnya, dengan mekanisme
working paper yang sudah menggunakan internet based, maka perlu
diterapkan pengamanan atas data tersebut karena working paper
merupakan dasar awal pembuatan laporan.
3. Audit reports and privacy
Laporan audit juga perlu diamankanm sebelum dapat dismapaikan
kepada pihak-pihak yang bersangkutan.
4. Internal audit security and privacy standard and training

56

Universitas Indonesia

Sebaiknya dalam satu department internal audit diterpakan

mekanisme pengamanan data. Karena walau mereka sudah mencoba untuk
menerapkan pengamanan tersebut pada setiap divisi atau departemen lain
yang direviewnya, jika mareka sendiri tidak menerapkannya dengan baik
mereka tidak dapat menjadi contoh untuk pihak-oihak yang lain.

57

Universitas Indonesia

BAB 3
KESIMPULAN

Pada makalah ini dibahas mengenai IT general control dan perspektif

auditor internal yaitu berdasarkan information technology infrastructure library
(ITIL). ITIL ini merekomendasikan kerangka best practices dalam mereview
risiko pengendalian internal IT dan peningkatan efektivitas pengendalian umum
IT.
Pengendalian IT dalam konteks audit dapat dibedakan menjadi dua kategori
yaitu general control dan application control. Tujuan general control lebih
menjamin integritas data yang terdapat di dalam sistem komputer. Sementara,
tujuan application control dimaksudkan untuk memastikan bahwa data diinput
secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian
yang memadai atas output yang dihasilkan.
Dalam melakukan review yang menggunakan dasar sistem IT pada area
cybersecurity dan kebijakan pengamanan, auditor minimal perlu memahami atas
pengendalian internal secara general dan risiko-risiko yang berkaitan dengan hal
tersebut. Kemudian dapat mengatasi berbagai masalah keamanan sistem IT yang
dpat merugikan organisasi.

58

Universitas Indonesia

DAFTAR PUSTAKA

Lawrence B. Sawyer & Glen E. Sumners Sawyers Internal Audit 5th edition, The
Institute of Internal Auditors, 2003
Moeller, Robert R, Brinks Modern Internal Auditing, 2009 Edisi 7, John Wiley &
Sons, Inc, Hoboken, New Jersey

59

Universitas Indonesia