Chapter 1Why control and audit are important?Peran teknologi
informasi (TI) kontrol dan audit yang telah menjadi mekanisme
penting untuk memastikan integritas sistem informasi (IS) dan
pelaporan keuangan organisasi untuk menghindari dan mudah-mudahan
mencegah fiascos keuangan masa depan, seperti Enron dan WorldCom.
Ekonomi global lebih saling tergantung dari sebelumnya dan risiko
geopolitik dampak semua orang. Infrastruktur elektronik dan
perdagangan yang terintegrasi dalam proses bisnis di seluruh dunia.
Kebutuhan untuk mengontrol dan mengaudit TI belum pernah lebih
besar.
Awalnya, IT audit (sebelumnya disebut pengolahan data elektronik
(EDP), sistem informasi komputer (CIS), dan IS audit) berkembang
sebagai perpanjangan audit tradisional. Pada saat itu, kebutuhan
untuk fungsi audit IT datang dari beberapa arah
Auditor menyadari bahwa komputer telah berdampak kemampuan
mereka untuk melakukan fungsi pengesahan.
Manajemen pengolahan perusahaan dan informasi diakui bahwa
komputer yang sumber utama untuk bersaing dalam lingkungan bisnis
dan mirip dengan sumber daya bisnis yang berharga lainnya di dalam
organisasi, dan karena itu, kebutuhan untuk kontrol dan
auditability sangat penting.
Asosiasi profesi dan organisasi, dan lembaga pemerintah mengakui
kebutuhan untuk mengontrol IT dan auditability.
Komponen awal IT audit diambil dari beberapa daerah. Pertama,
audit tradisional memberikan kontribusi pengetahuan tentang praktek
pengendalian internal dan filosofi kontrol secara keseluruhan.
Kontributor lain adalah IS manajemen, yang menyediakan metodologi
yang diperlukan untuk mencapai desain yang sukses dan implementasi
sistem. Bidang ilmu perilaku disediakan pertanyaan tersebut dan
analisis untuk kapan dan mengapa IS cenderung gagal karena masalah
orang. Akhirnya, bidang ilmu komputer memberikan kontribusi
pengetahuan tentang konsep kontrol, disiplin, teori, dan
model-model formal yang mendasari hardware dan software desain
sebagai dasar untuk menjaga validitas data, reliabilitas, dan
integritas.
IT audit merupakan bagian integral dari fungsi audit karena
mendukung pertimbangan auditor pada kualitas informasi yang
diproses oleh sistem komputer. Awalnya, auditor dengan keahlian
audit TI dipandang sebagai sumber daya teknologi untuk staf audit.
Staf audit sering tampak kepada mereka untuk bantuan teknis.
Seperti yang akan Anda lihat dalam buku ini, ada banyak jenis audit
perlu dalam audit TI, seperti audit organisasi TI (kontrol
manajemen atas IT), audit IT teknis (infrastruktur, pusat data,
komunikasi data), pemeriksaan aplikasi IT (bisnis / keuangan /
operasional), pengembangan / implementasi audit IT (spesifikasi /
persyaratan, desain, pengembangan, dan tahap pasca implementasi),
dan kepatuhan audit IT melibatkan standar nasional atau
internasional. Peran IT auditor telah berkembang untuk memberikan
jaminan bahwa kontrol yang memadai dan tepat berada di tempat.
Tentu saja, tanggung jawab untuk memastikan bahwa pengendalian
internal yang memadai di tempat bersandar dengan manajemen. Peran
utama audit, kecuali di bidang jasa konsultasi manajemen, adalah
untuk memberikan pernyataan jaminan apakah pengendalian internal
yang memadai dan dapat diandalkan di tempat dan beroperasi secara
efisien dan efektif. Oleh karena itu, sedangkan manajemen adalah
untuk memastikan, auditor harus menjamin.
Hari ini, audit IT adalah profesi dengan perilaku, tujuan, dan
kualitas yang ditandai dengan standar teknis di seluruh dunia, satu
set etika aturan (Sistem Informasi Audit dan Control Association
[ISACA] Kode Etik), dan program sertifikasi profesi (Informasi
Bersertifikat Sistem Auditor [CISA]). Hal ini membutuhkan
pengetahuan khusus dan kemampuan praktis, dan persiapan akademik
sering panjang dan intensif. Seringkali, di mana program-program
akademik yang tidak tersedia, pelatihan yang signifikan dalam rumah
dan pengembangan profesional harus dikeluarkan oleh pengusaha.
Kebanyakan akuntansi, audit, dan IT masyarakat profesional percaya
bahwa perbaikan dalam penelitian dan pendidikan pasti akan
memberikan auditor IT dengan teoritis dan empiris pengetahuan dasar
yang lebih baik untuk fungsi audit TI. Mereka merasa bahwa
penekanan harus ditempatkan pada pendidikan yang diperoleh di
tingkat universitas.
Luas dan kedalaman pengetahuan yang dibutuhkan untuk mengaudit
sistem TI yang luas. Misalnya, IT audit melibatkan
Penerapan pendekatan audit yang berorientasi risiko
Penggunaan perangkat audit dengan bantuan komputer dan
teknik
Penerapan standar (nasional atau internasional) seperti ISO
9000/3 dan ISO 17799 untuk meningkatkan dan menerapkan sistem mutu
dalam pengembangan perangkat lunak dan memenuhi standar
keamanan
Memahami peran bisnis dan harapan dalam audit sistem dalam
pengembangan serta pembelian kemasan perangkat lunak dan manajemen
proyek
Penilaian masalah keamanan informasi dan privasi yang dapat
menempatkan organisasi pada risiko
Pemeriksaan dan verifikasi kepatuhan organisasi dengan masalah
hukum terkait IT yang dapat membahayakan atau menempatkan
organisasi pada risiko
Evaluasi kompleks siklus hidup pengembangan sistem (SDLC) atau
teknik pengembangan baru; misalnya, prototyping, komputasi pengguna
akhir, sistem yang cepat, atau pengembangan aplikasi
Pelaporan ke manajemen dan melakukan ulasan tindak lanjut untuk
memastikan tindakan yang diambil di tempat kerja
Audit teknologi yang kompleks dan protokol komunikasi melibatkan
internet, intranet, extranet, pertukaran data elektronik, server
client, jaringan area lokal dan luas, komunikasi data,
telekomunikasi, teknologi nirkabel, dan sistem suara / data / video
terintegrasi.kategorisasi:
Organisasi IT Audit (kontrol lebih tentang manajemen atas
IT).
Teknis IT Audit (tentang infrastruktur)
Aplikasi IT Audit (bisnis / keuangan / operasi)
Pembangunan / Pelaksanaan Audit IT
Kepatuhan IT Audit (sekitar / standar internasional
nasional)
Tujuan untuk ini jika untuk mempertahankan data validitas,
reliabilitas, dan integritas.Informasi Integritas, Keandalan, dan
Validitas:
Pentingnya di Lingkungan Bisnis Global Hari ini Organisasi saat
ini beroperasi dalam lingkungan global yang dinamis multienterprise
dengan berorientasi tim. Kolaborasi tempat dan persyaratan yang
sangat ketat pada jaringan dia telekomunikasi. Desain sistem
tersebut adalah kompleks dan manajemen bisa sangat sulit.
Organisasi sangat tergantung pada aliran informasi secara tepat
waktu yang akurat. Cara yang baik untuk melihat bagaimana ketat
jaringan persyaratan adalah untuk menganalisis mereka dalam hal
kualitas layanan telekomunikasi. Mungkin, dua contoh ketergantungan
dunia pada IT datang sebagai sult ulang dua Peristiwa dilaporkan di
masa lalu di mana kegagalan TI berdampak dunia perdagangan dan
komunikasi
Peningkatan penggunaan Internet telah membawa dengan itu suatu
bentuk baru pertukaran: perdagangan virtual (Virtual Commerce) yang
melibatkan ditinggalkannya era penggunaan uang fisik dalam
perdagangan sehari-hari. Virtual commerce ini melibatkan uang tunai
elektronik (e-cash). Virtual Commerce ini sebetulnya tetap
mempergunakan currency atau mata uang yang berlaku, namun proses
pertukarannya adalah bersifat digital yang mana dapat memperbesar
timbulnya gangguan keamaan dan privasi. Sementara perkembangan yang
kini terjadi mengarahkan pada persaingan dengan melakukan bisnis
online yang mentargetkan pelanggan yang juga pengguna Internet,
yang biasa kita kenal dengan sebutan E-commerce. Bidang-bidang
utama yang menjadi perhatian dengan E-commerce adalah kerahasiaan,
integritas, non-repudiation, dan authentication. Cara-cara yang
biasa dipergunakan dalam menjawab perhatian pada bidang utama ini
adalah enkripsi, kriptografi, dan keterlibatan pihak ketiga.
Meskipun banyak produk yang cukup efisien dalam mengamankan
mayoritas serangan pada jaringan, tidak ada produk tunggal yang
dapat melindungi sistem dari setiap serangan penyusup. Meski
undang-undang keamanan yang berlaku telah melindungi terhadap
kemungkinan bahaya penyerangan ke dalam system jaringan, namun
terkadang tetap seringkali menyebabkan beberapa penjahat bisa lolos
dari jeratan hukum meskipun mereka telah melanggar dengan melakukan
akses tanpa ijin ke dalam sistem komputer. Belum lagi permasalahan
lain yang timbul adalah perundang-undangan tersebut seringkali
tidak dilakukan tinjauan periodik sehingga kerap kali terjadi
kebijakan dan prosedur menjadi usang dan tidak efektif.
Dari sudut pandang privasi, telah terlihat bahwa di dalam dunia
Internet, informasi pribadi dapat diakses dengan mudah oleh
siapapun, termasuk juga oleh orang yang bermaksud untuk
menyalahgunakannya. Disini perundang-undangan juga sudah mengatur
beberapa hal, namun tetap saja tidak melindungi pengguna terhadap
unsur penyerangan privasi.
Untuk mengontrol proses IT, kita perlu memiliki seperangkat
memadai keterampilan. Keterampilan ini kemudian didefinisikan oleh
beberapa organisasi seperti IFAC (International Federation of
Accountants) atau IIA (Institute of Internal Auditors), atau banyak
organisasi terkait.
Pertumbuhan teknologi pertumbuhan diperlukan pada set
keterampilan.
Dampak teknologi:
Apa yang bisa Technology lakukan dalam bisnis dalam hal
informasi (enabler bisnis).
Teknologi telah secara signifikan berdampak pada proses
pengendalian.
Teknologi telah berdampak profesi audit dalam hal bagaimana
pemeriksaan dilakukan.
Global Concern for Control and Audit
E-Commerce
Dikenal sebagai (pemasaran elektronik) e-commerce atau
eCommerce, terdiri dari pembelian dan penjualan produk atau jasa
melalui sistem elektronik seperti internet dan jaringan komputer
lainnya.
Layanan web
Sistem perangkat lunak yang dirancang untuk mendukung
interoperable interaksi mesin-ke-mesin melalui jaringan
Proses pembayaran
Sebuah proses pembayaran hanyalah transaksi uang antara pengguna
dan pedagang (pemilik produk). Growth of E-Commerce
Primary concern with e-commerce: Confidentiality Integrity
Non-Repudiation Authentication To address the primary concern:
Encryption Cryptography Use of 3rd partiesLegal Issues Impacting
ITBerdasarkan apa yang terjadi dengan Enron, WorldCom, dan Arthur
Andersen; membawa lebih banyak permintaan pada 'bagaimana' untuk
mencegah, mendeteksi, dan memperbaiki situasi sebelum nya
benar-benar terjadi.
Keamanan Federal Legislasi
Komputer Penipuan dan Penyalahgunaan Act
Keamanan Komputer Act tahun 1987
Privasi pada Raya Informasi
Legislasi privasi dan Privacy Act Pemerintah Federal
Komunikasi elektronik Privacy Act
Komunikasi UU Kesusilaan 1995
Asuransi Kesehatan Portabilitas dan Akuntabilitas Act of
1996
Keamanan Komputer Act tahun 1987Tindakan lain yang penting
adalah Undang-Undang Keamanan Komputer 1987, yang dirancang karena
kekhawatiran kongres dan kesadaran masyarakat tentang isu-isu yang
berkaitan dengan keamanan komputer dan karena perselisihan pada
kontrol informasi unclassified. Tujuan umum dari tindakan itu
deklarasi dari pemerintah yang meningkatkan keamanan dan privasi
informasi sensitif dalam sistem komputer federal untuk kepentingan
umum. Tindakan menetapkan program keamanan komputer pemerintah
federal yang akan melindungi informasi sensitif dalam sistem
komputer pemerintah federal. Hal ini juga akan mengembangkan
standar dan pedoman untuk sistem komputer federal yang unclassified
dan memfasilitasi perlindungan tersebut.
Undang-Undang Keamanan Komputer tanggung jawab juga ditugaskan
untuk mengembangkan standar governmentwide sistem keamanan
komputer, pedoman, dan program pelatihan keamanan kepada Biro
Standar Nasional. Lebih lanjut membentuk Sistem Komputer Keamanan
dan Privasi Dewan Penasehat dalam Departemen Perdagangan, dan
diperlukan lembaga federal untuk mengidentifikasi sistem komputer
yang berisi informasi sensitif dan mengembangkan rencana keamanan
untuk sistem tersebut. Akhirnya, itu memberikan pelatihan berkala
keamanan komputer untuk semua karyawan federal dan kontraktor yang
berhasil, digunakan, atau dioperasikan sistem komputer federal.
Undang-Undang Keamanan Komputer sangat penting karena merupakan
dasar untuk pengembangan standar federal menjaga informasi
unclassified dan membangun keseimbangan antara isu-isu non-rahasia
lainnya keamanan dan nasional dalam melaksanakan kebijakan keamanan
dan privasi dalam pemerintah federal. Hal ini juga penting dalam
mengatasi isu-isu tentang kontrol pemerintah kriptografi, yang
baru-baru ini menjadi topik diperebutkan Tidak ada saat ini akan
menjamin keamanan sistem, tetapi titik awal yang baik mungkin untuk
mengembangkan dan menerapkan dari keamanan komputer yang baik, yang
dapat meliputi.
Menentukan fitur keamanan yang diperlukan.
Mendefinisikan "ekspektasi yang wajar" privasi mengenai isu-isu
seperti pemantauan kegiatan masyarakat.
Mendefinisikan hak akses dan previledge dan melindungi aset dari
kerugian, pengungkapan, atau kerusakan dengan menentukan pedoman
penggunaan diterima bagi pengguna dan juga, memberikan pedoman
untuk komunikasi eksternal (jaringan).
Mendefinisikan tanggung jawab dari semua pengguna.
Membangun kepercayaan melalui kebijakan password yang
efektif.
Menentukan prosedur pemulihan.
Mewajibkan pelanggaran dicatat.
Menyediakan pengguna dengan dukungan informasi.
Kebijakan keamanan yang baik akan bervariasi untuk setiap
organisasi.
Fokus utama kebijakan ini adalah untuk:
Menargetkan kerugian menjadi "diterima" tingkat.
Diminimalkan kebocoran informasi.
Hal ini tanggung jawab semua orang untuk merancang,
melaksanakan, dan menjaga lingkungan yang aman
Skandal-skandal keuangan yang melibatkan Enron dan Arthur
Andersen LLP, dan lain-lain menghasilkan permintaan untuk
undang-undang baru untuk mencegah, mendeteksi, dan mengoreksi
penyimpangan tersebut. Selain itu, kemajuan dalam lingkungan
teknologi jaringan telah mengakibatkan membawa ke garis depan
masalah keamanan dan privasi yang dulunya hanya menarik bagi ahli
hukum dan teknis, tetapi yang saat ini topik yang mempengaruhi
hampir setiap pengguna Internet. Internet telah tumbuh secara
eksponensial dari sebuah hubungan yang sederhana dari pemerintah
relatif sedikit dan komputer pendidikan untuk jaringan di seluruh
dunia yang kompleks yang digunakan oleh hampir semua orang dari
teroris yang memiliki kemampuan komputer untuk pengguna pemula dan
semua orang di antara.
Menggunakan umum untuk Internet termasuk segala sesuatu dari
tujuan pemasaran, penjualan, dan hiburan ke e-mail, penelitian,
perdagangan, dan hampir semua jenis lain berbagi informasi.
Sayangnya, karena dengan terobosan dalam teknologi, kemajuan juga
telah menimbulkan berbagai masalah baru yang harus ditangani,
seperti keamanan dan privasi. Masalah ini sering dibawa ke
perhatian spesialis TI audit dan kontrol karena dampaknya terhadap
organisasi publik dan swasta.
Enron-Arthur Andersen LLP skandal keuangan terus menghantui
pasar keuangan saat ini sebagai kepercayaan dari konsumen,
investor, dan pemerintah untuk memungkinkan industri untuk mengatur
diri sendiri semuanya telah dilanggar. Sarbanes-Oxley Act of 2002
akan menjadi pengingat jelas tentang pentingnya perawatan
profesional karena. Sarbanes-Oxley Act melarang semua perusahaan
akuntan publik memberikan pelayanan jasa audit dan non-audit
(termasuk outsourcing internal audit, keuangan-informasi-sistem
desain dan implementasi layanan, dan layanan ahli) secara
bersamaan.
Protection against Computer FraudMengingat tidak adanya
peraturan yang efektif saat ini, pertahanan terbaik terhadap
penipuan komputer adalah meningkatkan kewaspadaan. IT auditor harus
waspada klien mereka terhadap bahaya yang hadir, dan ada beberapa
cara mereka dapat melindungi klien mereka dari penipuan komputer.
Ini umumnya dalam bentuk kontrol, firewall, atau enkripsi.
Penggunaan gabungan dari metode ini tentu akan membantu mengurangi
risiko akses tidak sah ke IS.
Komputer Nasional FBI Skuad Kejahatan saran berikut untuk
membantu melindungi terhadap penipuan komputer:
Tempatkan log-in banner untuk memastikan bahwa pengguna tidak
sah memperingatkan bahwa mereka mungkin dikenakan pemantauan.
Aktifkan audit pada.
Pertimbangkan pemantauan keystroke tingkat jika banner yang
memadai ditampilkan. Permintaan perangkap dan pelacakan dari
perusahaan telepon lokal Anda.
Pertimbangkan untuk menginstal caller identification.
Membuat backup file yang rusak atau diubah.
Menjaga backup agar tetap dalam kondisi asli (tidak ada upaya
perubahan terhadap backup yang tersimpan).
Menunjuk satu orang untuk mengamankan bukti potensial. Bukti
dapat terdiri dari backup tape dan printout. Potongan-potongan
bukti harus didokumentasikan dan diverifikasi oleh orang
mendapatkan bukti. Bukti harus disimpan di lemari terkunci dengan
akses terbatas pada satu orang.
Mencatat resources yang digunakan untuk membangun kembali sistem
dan mencari pelaku.
Mengenkripsi file.
Mengenkripsi transmisi.
Gunakan one-time password (OTP) generator.
Gunakan firewall.
Ledakan dari era informasi telah menciptakan banyak peluang
untuk meningkatkan bisnis. Hal ini juga menciptakan lebih banyak
peluang bagi para penjahat. Tiga tahun yang lalu, Komisi
Perdagangan Internasional melaporkan bahwa pembajakan perangkat
lunak komputer adalah $4 milyar per tahun masalah dunia. Hari ini,
para ahli percaya bahwa pembajakan perangkat lunak biaya industri
komputer lebih dari $ 11 miliar per tahun dan pencurian perangkat
lunak menguras ekonomi AS pekerjaan dan upah. Organisasi lain
memperkirakan bahwa ada satu salinan ilegal dari masing-masing
program perangkat lunak komputer untuk setiap dua salinan yang sah.
Organisasi seperti Business Software Alliance, Software Publishers
Association, Institute of Internal Auditors, dan Audit Sistem
Informasidan Pengendalian telah berperan dalam meningkatkan
kesadaran untuk jenis kejahatan.
Selain fungsi utama auditor TI audit sistem komputer, ia telah
memperoleh tanggung jawab tambahan dari keamanan sistem. Pemerintah
lewat undang-undang baru dan meningkatkan yang sudah ada untuk
membantu memerangi kejahatan komputer. Namun, bantuan terbesar
untuk keamanan informasi adalah kombinasi dari kontrol pengawasan,
firewall, dan enkripsi. Peran auditor TI terus berkembang, dan
keamanan data adalah merupakan hal yang penting.
Sebuah survei yang dilakukan oleh Computer Security Institute
(CSI) dan FBI mengungkapkan hal berikut:
90% responden mendeteksi pelanggaran komputer keamanan dalam 12
bulan terakhir.
80% mengakui kerugian keuangan karena pelanggaran keamanan
komputer.
44% dihitung kerugian keuangan mereka untuk total $ 455.848.000
kerugian antara 223 responden.
74% dikutip koneksi internet mereka sebagai titik sering
menyerang.
33% dikutip sistem internal mereka sebagai titik sering
menyerang.
34% melaporkan intrusi untuk penegakan hukum.
Tiga kategori utama kejahatan yang melibatkan komputer:
Dimana komputer adalah target kejahatan informasi pencurian yang
disimpan pada komputer. Techno-vandalisme dan
Techno-pelanggaran.
Ketika komputer digunakan sebagai alat kejahatan komputer
digunakan untuk membantu penjahat dalam melakukan kejahatan.
Penipuan digunakan Automatic Teller Machine.
Komputer tidak diperlukan untuk melakukan kejahatan. Sebuah
komputer adalah insidental dan digunakan untuk melakukan kejahatan
lebih cepat, proses jumlah yang lebih besar dari informasi, dan
membuat kejahatan lebih sulit untuk mengidentifikasi dan
melacak.
Audit StandardsKomite AICPA, dibebankan dengan tanggung jawab
meninjau standar audit sebagai akibat dari runtuhnya EFCA,
menyatakan bahwa "umumnya standar auditing yang diterima secara
memadai dan tidak ada perubahan yang disebut dalam prosedur yang
biasa digunakan oleh auditor."
PersamaanTampaknya bahwa setiap kali proses audit memiliki
breakdown, standar audit baru yang diperlukan untuk pemeriksaan
laporan keuangan berdasarkan catatan yang dihasilkan komputer.
Secara umum, standar pekerjaan lapangan adalah sama seperti yang
diterapkan pada catatan manual yang dihasilkan. Juga, unsur-unsur
dasar dari pengendalian internal yang memadai tetap sama. Tujuan
utama dari studi dan evaluasi pengendalian internal masih untuk
memberikan bukti untuk pendapat dan menentukan dasar bagi lingkup,
waktu, dan luasnya pemeriksaan yang akan dilakukan di masa
depan.
PerbedaanDengan komputer berbasis sistem pelaporan keuangan,
prosedur audit baru harus terus dikembangkan dan ditingkatkan.
Perhitungan dilakukan, penambahan atau penghapusan catatan atau
bidang dalam catatan, dan jaminan bahwa transaksi itu disahkan
harus dilakukan melalui komputer dalam konser dengan aliran
transaksi. Sebagai salah satu dapat pengalaman, ada perbedaan yang
signifikan dalam teknik memelihara pengendalian internal yang
memadai di komputer berbasis proses. Juga, ada beberapa variasi
dalam cara di mana studi dan evaluasi pengendalian internal dibuat.
Sebuah perbedaan utama adalah bahwa keterlibatan orang telah
dihapus dari beberapa fase pengendalian akuntansi internal, karena
komputer yang melakukan proses validasi dan prosedur.
Frameworks: COSO and COBIT Organizations structure their
assessment of their internal controls according to the COSO
framework. COSO stands for Committee of Sponsoring Organizations of
the Treadway Commission. This framework takes a holistic approach
to the five elements of internal control, which are: 1. Control
environment The tone that senior management sets provides the basis
for all the other components of internal control. The tone at the
top influences organizational structure, determines authority and
responsibility, directs human resource decisions and more. 2. Risk
assessment The organization identif es risks that would interfere
with achieving its business objectives, and develops strategies for
managing those risks.3. Control activities These policies and
procedures ensure the implementation of risk management strategies.
They may include physical controls, segregation of
responsibilities, information processing, reviews and so on.4.
Information/communication These accounting, information and
computer systems enable people to gather and communicate
information. Information technology (IT) has its own risk
management framework, COBIT (Control Objectives for Information and
Related Technology), which is similar to COSO. Both systems
consider controls in the context of business objectives and risks.
ITs purpose is to help the organization achieve its objectives. In
the phrase information technology, COBIT puts the accent on
information over technology.5. Monitoring An ongoing system of
scrutinizing and adjusting risk.Role of the IT AuditorAuditor
mengevaluasi sistem yang kompleks saat ini harus memiliki
keterampilan teknis yang perlu terus berkembang untuk memahami
metode yang selalu mengalami perkembangan dalam pemrosesan
informasi. Sistem kontemporer membawa risiko seperti platform
noncompatible, metode baru untuk menembus keamanan melalui jaringan
komunikasi (misalnya, Internet), dan desentralisasi yang cepat
pengolahan informasi dengan hilangnya kontrol terpusat.
Audit lingkungan pengolahan dibagi menjadi dua bagian. Bagian
pertama dan paling teknis audit adalah evaluasi dari lingkungan
operasi, dengan paket perangkat lunak utama (misalnya, operasi dan
sistem keamanan) yang mewakili kontrol umum atau lingkungan di
lingkungan pemrosesan otomatis. Bagian ini biasanya diaudit oleh
spesialis audit TI. Bagian kedua dari lingkungan pengolahan adalah
aplikasi otomatis, yang diaudit oleh auditor umum yang memiliki
beberapa keterampilan komputer.
Sebagai penggunaan TI dalam organisasi terus berkembang, audit
sistem komputerisasi harus dicapai tanpa banyak pedoman yang
ditetapkan bagi upaya audit tradisional. Selain itu, penggunaan
baru dari TI memperkenalkan risiko baru, yang pada gilirannya
memerlukan kontrol baru. IT auditor juga dalam posisi yang unik
untuk mengevaluasi relevansi dari sebuah sistem khusus untuk
perusahaan secara keseluruhan. Karena itu, auditor TI sering
memainkan peran dalam pengambilan keputusan manajemen senior.
Peran auditor TI dapat diperiksa melalui tata kelola proses TI
dan standar praktek profesional yang ada untuk profesi ini. Seperti
disebutkan sebelumnya, tata kelola TI adalah keterlibatan
organisasi dalam pengelolaan dan meninjau penggunaan TI dalam
mencapai tujuan dan sasaran yang ditetapkan oleh organisasi. Karena
dampak TI operasi seluruh organisasi, setiap orang harus memiliki
minat dan peran dalam mengatur penggunaan dan aplikasi. Hal ini
telah menyebabkan meningkatnya kesadaran organisasi untuk mengakui
bahwa, jika mereka ingin membuat sebagian besar investasi TI mereka
dan melindungi investasi itu, mereka memerlukan proses formal untuk
mengaturnya. Top 10 alasan untuk Start Up IT Audit:1. Audit sekitar
komputer itu menjadi tidak memuaskan untuk tujuan data
ketergantungan.2. Ketergantungan pada kontrol itu menjadi sangat
dipertanyakan.3. Lembaga keuangan yang kehilangan uang karena
pemrograman kreatif.4. database Payroll tidak bisa diandalkan untuk
akurasi karena programmer canggih.5. Keamanan data tidak bisa lagi
ditegakkan secara efektif.6. Kemajuan terjadi dalam teknologi.7.
Jaringan internal yang sedang diakses oleh komputer desktop
karyawan.8. Komputer Personal menjadi diakses untuk kantor dan
digunakan di rumah.9. Sejumlah besar data yang diperlukan program
perangkat lunak canggih untuk mengaudit mereka, yang dikenal
sebagai CAATs (Computer Assisted Audit Technique).10. Pertumbuhan
yang luar biasa dari hacker perusahaan, baik internal maupun
eksternal, dijamin kebutuhan IT Auditor.
Tipe Auditor:
Auditor Intern adalah fungsi kontrol dalam perusahaan atau
organisasi dengan tujuan utama adalah untuk memastikan bahwa
manajemen berwenang sedang diterapkan secara efektif. Auditor
Eksternal adalah untuk mengevaluasi keandalan dan validitas kontrol
sistem dalam segala bentuk. Tujuan utama dalam evaluasi mereka
adalah untuk meminimalkan jumlah audit besar atau pengujian
transaksi yang diperlukan untuk memberikan pendapat atas laporan
keuangan.
