SUMMARY CHAPTER 1 - Otero,Angel R - Information Technology Control and Audit
NAMA : MUHAMMAD ALFINZAH
NPM : 14116696
KELAS : 4KA04
CHAPTER 1
Information Technology Environment and IT Audit
TI Environment
Kebutuhan untuk meningkatkan kontrol atas TI, terutama dalam perdagangan, telah maju selama bertahun-tahun di awal dan melanjutkan studi oleh banyak organisasi nasional dan internasional. Pada dasarnya, teknologi telah berdampak berbagai area yang signifikan dari lingkungan bisnis, termasuk penggunaan dan pengolahan informasi, proses kontrol, dan profesi audit.
Teknologi terus berkembang dan menemukan cara untuk membentuk lingkungan TI hari ini dalam organisasi. Bagian berikut secara singkat menjelaskan berbagai teknologi baru-baru ini yang telah dan pasti akan terus merevolusi organisasi, bagaimana bisnis dilakukan, dan dinamika tempat kerja.
Enterprise Resource Planning (ERP)
Menurut edisi 2016 Juni Apps Run The World, sebuah perusahaan riset pasar teknologi yang dikhususkan untuk ruang aplikasi, pasar dunia sistem ERP akan mencapai $84.100.000.000 oleh 2020 versus $82.100.000.000 di 2015. ERP adalah perangkat lunak yang menyediakan fungsi bisnis standar dalam sistem lingkungan TI terpadu (misalnya, pengadaan, inventarisasi, akuntansi, dan sumber daya manusia [HR]). Rujuk ke pameran 1,1 untuk ilustrasi sistem modular ERP.
Beberapa pemasok ERP utama hari ini termasuk SAP, FIS global, Oracle, Fiserv, Intuit, Inc, Cerner Corporation, Microsoft, Ericsson, infor, dan McKesson.
Meskipun banyak keuntungan dari ERPs, mereka tidak jauh berbeda dari yang dibeli atau sistem dikemas, dan karena itu mungkin memerlukan luas modifikasi untuk proses bisnis baru atau yang sudah ada. Modifikasi ERP (misalnya, rilis perangkat lunak) memerlukan pemrograman yang cukup untuk retrofit semua kode khusus organisasi. Karena sistem Kemasan bersifat generik oleh alam, organisasi mungkin perlu memodifikasi operasi bisnisnya agar sesuai dengan metode pemrosesan vendor, misalnya. Perubahan dalam operasi bisnis mungkin tidak sesuai dengan budaya organisasi atau proses lainnya, dan mungkin juga mahal karena pelatihan. Selain itu, sebagai ERPs ditawarkan oleh satu
Cloud Computing
Komputasi cloud terus memiliki dampak yang meningkat pada lingkungan TI. Menurut ISACA (sebelumnya dikenal sebagai audit sistem informasi dan Asosiasi kontrol), pertumbuhan eksponensial komputasi cloud seharusnya tidak lagi dianggap sebagai teknologi yang muncul. Komputasi cloud telah membentuk bisnis di seluruh dunia, dengan beberapa organisasi memanfaatkannya untuk melakukan proses penting bisnis. Berdasarkan laporan ISACA Innovation Insights pada bulan Juli 2015, komputasi cloud dianggap sebagai salah satu tren utama yang menggerakkan strategi bisnis. International data Corporation, dalam publikasi 2015, juga memprediksi bahwa komputasi cloud akan tumbuh pada 19,4% per tahun selama 5 tahun ke depan. Selain itu, laporan ' s Cloud Computing ' dari Deloitte 2016 (laporan) menunjukkan bahwa untuk perusahaan swasta, komputasi cloud akan terus menjadi faktor yang dominan.
Komputasi cloud, seperti yang didefinisikan oleh PC Magazine, mengacu pada penggunaan internet (versus hard drive komputer seseorang) untuk menyimpan dan mengakses data dan program. Dalam cara yang lebih formal, Institut Nasional standar dan teknologi (NIST) mendefinisikan komputasi cloud sebagai "model untuk memungkinkan akses jaringan di mana-mana, nyaman, on-demand ke kolam bersama sumber daya komputasi dikonfigurasi (misalnya, Jaringan, server, Penyimpanan, aplikasi, dan layanan) yang dapat dengan cepat ditetapkan dan dirilis dengan usaha manajemen minimal atau interaksi penyedia layanan. " NIST juga menekankan bahwa ketersediaan secara signifikan dipromosikan oleh model khusus (cloud) ini.
Mobile Device Management (MDM)
MDM, juga dikenal sebagai Enterprise Mobility Management, adalah istilah yang relatif baru, tetapi sudah membentuk lingkungan TI dalam organisasi. MDM bertanggung jawab untuk mengelola dan mengelola perangkat seluler (misalnya, smartphone, laptop, tablet, printer seluler, dsb.) yang diberikan kepada karyawan sebagai bagian dari tanggung jawab kerja mereka.
Perangkat mobile juga digunakan oleh karyawan untuk alasan pribadi. Artinya, karyawan membawa perangkat mobile (pribadi) mereka sendiri ke organisasi (juga disebut sebagai membawa-Anda-sendiri-perangkat atau BYOD) untuk melakukan pekerjaan mereka. Memungkinkan karyawan untuk menggunakan perangkat mobile yang disediakan oleh organisasi untuk bekerja dan alasan pribadi telah terbukti menarik bagi karyawan yang rata. Namun demikian, organisasi harus memantau dan mengendalikan tugas yang dilakukan oleh karyawan saat menggunakan perangkat mobile, dan memastikan karyawan tetap fokus dan produktif. Hal ini merupakan risiko terhadap keamanan organisasi dan gangguan bagi karyawan ketika perangkat mobile digunakan untuk tujuan pribadi dan pekerjaan. Selain itu, memungkinkan akses langsung ke informasi perusahaan selalu mewakili risiko yang sedang berlangsung, serta meningkatkan keamanan dan kepatuhan keprihatinan kepada organisasi.
Other Technology Systems Impacting the IT Environment
Internet of Things (IoT) memiliki efek transformasional potensial pada lingkungan TI, pusat data, penyedia teknologi, dll. Gartner, Inc. memperkirakan bahwa pada tahun 2020, IoT akan mencakup 26.000.000.000 unit yang terinstal dan pendapatan akan melebihi $300.000.000.000 yang dihasilkan sebagian besar oleh produk IoT dan pemasok layanan.
IoT, seperti yang didefinisikan oleh Gartner, Inc., adalah sebuah sistem yang memungkinkan aset jarak jauh dari "sesuatu" (misalnya perangkat, sensor, objek, dll.) untuk berinteraksi dan berkomunikasi di antara mereka dan dengan sistem jaringan lainnya. Aset, misalnya, mengkomunikasikan informasi tentang status, lokasi, dan fungsinya yang sebenarnya, antara lain. Informasi ini tidak hanya memberikan pemahaman yang lebih akurat tentang aset, tetapi juga memaksimalkan pemanfaatan dan produktivitas mereka, yang menghasilkan proses pengambilan keputusan yang disempurnakan. Volume besar data mentah atau data set (juga disebut sebagai Big data) yang dihasilkan sebagai akibat dari interaksi besar-besaran antara perangkat dan sistem perlu diproses dan dianalisis secara efektif dalam rangka untuk menghasilkan informasi yang bermakna dan berguna dalam proses pengambilan keputusan.
Meskipun data besar yang akurat dapat menyebabkan proses pengambilan keputusan yang lebih percaya diri, dan keputusan yang lebih baik sering mengakibatkan efisiensi operasional yang lebih besar, pengurangan biaya, dan risiko yang berkurang, banyak tantangan yang ada saat ini dan harus diatasi.
Tantangan Big data termasuk, misalnya, analisis, penangkapan, data kurasi, pencarian, berbagi, Penyimpanan, transfer, visualisasi, query, serta memperbarui. Ernst & Young, di situs EY Center for Board Matters terbitan September 2015, menyatakan bahwa tantangan bagi auditor mencakup akses terbatas untuk mengaudit data yang relevan, kelangkaan personel yang tersedia dan berkualitas untuk memproses dan menganalisis data tertentu, dan integrasi analitik yang tepat waktu ke dalam audit. IoT juga memberikan data yang bergerak cepat dari sensor dan perangkat di seluruh dunia, sehingga menghasilkan tantangan yang sama bagi banyak organisasi saat memahami semua data tersebut.
IT Environment as Part of the Organization Strategy
Dalam lingkungan hari ini, organisasi harus mengintegrasikan TI mereka dengan strategi bisnis untuk mencapai tujuan mereka secara keseluruhan, mendapatkan nilai yang paling dari informasi mereka, dan memanfaatkan teknologi yang tersedia untuk mereka. Dimana IT sebelumnya dipandang sebagai enabler dari sebuah organisasi strategi, sekarang dianggap sebagai bagian integral dari strategi untuk mencapai profitabilitas dan pelayanan. Pada saat yang sama, masalah seperti tata kelola TI, infrastruktur informasi internasional, keamanan, dan privasi dan kontrol informasi publik dan organisasi telah mendorong kebutuhan untuk meninjau diri dan jaminan diri.
Untuk manajer TI, kata "audit" dan "auditor" mengirim menggigil atas dan ke bawah tulang belakang. Ya, auditor atau audit telah dianggap sebagai kejahatan yang harus ditangani oleh semua manajer. Dalam bidang IT, Auditor di masa lalu harus dilatih atau diberikan orientasi dalam konsep sistem dan operasi untuk mengevaluasi praktek dan aplikasi TI. Manajer TI ngeri pada kemampuan auditor untuk secara efektif dan efisien mengevaluasi kompleksitas dan memahami masalah. Saat ini, auditor TI diharapkan untuk menyadari infrastruktur, kebijakan, dan operasi TI organisasi sebelum memulai ulasan dan pemeriksaan mereka. Lebih penting lagi, auditor TI harus mampu menentukan apakah kontrol TI di tempat oleh organisasi memastikan perlindungan data dan cukup selaras dengan tujuan organisasi secara keseluruhan.
The Auditing Profession
Komputer telah digunakan secara komersial sejak 1952. Kejahatan terkait komputer dilaporkan sedini 1966. Namun, itu tidak sampai 1973, ketika masalah yang signifikan di ekuitas pendanaan Corporation dari Amerika (EFCA) muncul, bahwa profesi audit tampak serius pada kurangnya kontrol dalam sistem informasi komputer (IS). Di 2002, hampir 30 tahun kemudian, penipuan besar lainnya dihasilkan dari skandal korporat dan Akuntansi (Enron dan WorldCom), yang membawa skeptisisme dan kejatuhan ke pasar keuangan. Kali ini, baik perusahaan akuntansi besar maupun keamanan dan pertukaran-diatur bisnis di Bursa besar mampu menghindari kemarahan publik, kurangnya kepercayaan investor, dan peningkatan peraturan pemerintah yang menimpa perekonomian AS. Sekali lagi, dalam 2008, ekonomi AS menderita sebagai hipotek perbankan dan perusahaan investasi hipotek (seperti Countrywide, IndyMac, dll) gagal dari strategi pinjaman yang tidak bersuara dan manajemen risiko yang buruk.
Masalah " due professional care" telah datang ke garis depan komunitas Audit sebagai hasil dari skandal keuangan utama AS dan manajemen yang buruk, termasuk namun tidak terbatas pada, pengelolaan sampah (1998), Enron (2001), WorldCom (2002), American Insurance Group ( 2005), Lehman Brothers (2008), Bernard L. Madoff Securities LLC (2008), MF global (2011), Anthem Inc. (2015), Wells Fargo (2016), dan lain-lain. The EFCA skandal dari 1973 mengarah pada pengembangan negara yang kuat dan peraturan federal industri asuransi dan perusahaan akuntansi kreatif dalam industri kedirgantaraan, yang menyediakan dukungan untuk UU praktek korupsi asing (FCPA) dari 1977. Mungkin hari ini, yang Sarbanes-Oxley Act of 2002 (SOX) akan menjadi pengingat jelas pentingnya karena perawatan profesional. SOX adalah paket reformasi besar, mengamalkan perubahan yang paling dicapainya Kongres telah dikenakan pada dunia bisnis sejak FCPA dari 1977 dan Securities and Exchange Commission (SEC) Act of 1934. Contoh dari beberapa perubahan signifikan ini termasuk pembuatan Badan Pengawas akuntansi perusahaan publik, * serta peningkatan hukuman pidana untuk pelanggaran hukum sekuritas. SOX akan dibahas lebih rinci dalam bab berikutnya.
Financial Auditing
Audit Keuangan meliputi semua kegiatan dan tanggung jawab yang berkaitan dengan render pendapat tentang keadilan laporan keuangan. Aturan dasar yang mengatur pendapat audit menunjukkan dengan jelas bahwa lingkup audit mencakup semua peralatan dan prosedur yang digunakan dalam memproses data yang signifikan.
Audit Keuangan, seperti yang dilakukan hari ini oleh auditor independen, didorong oleh undang-undang di 1933 dan 1934 yang menciptakan SEC. Legislasi ini mengamatkan bahwa perusahaan yang sekuritas-nya dijual secara publik dapat diaudit setiap tahunnya oleh Akuntan publik bersertifikat (CPA). CPAs, kemudian, didakwa dengan membuktikan keadilan laporan keuangan yang dikeluarkan oleh perusahaan yang dilaporkan ke SEC. Aicpa dikeluarkan di 1993 dokumen yang disebut "pelaporan pada struktur kontrol internal entitas atas pelaporan keuangan (pernyataan tentang standar untuk keterlibatan pengesahan 2)" untuk lebih menentukan pentingnya pengendalian internal dalam keterlibatan pengesahan.
GAAP menetapkan pedoman yang konsisten untuk pelaporan keuangan oleh manajer perusahaan. Sebagai bagian dari persyaratan pelaporan, standar juga ditetapkan untuk pemeliharaan catatan keuangan yang berdasarkan laporan periodik. Auditor, memberikan pendapat yang menunjukkan bahwa laporan keuangan dinyatakan secara adil, menetapkan bahwa laporan keuangan sesuai dengan GAAP. Prinsip akuntansi ini telah dirumuskan dan direvisi secara berkala oleh organisasi sektor swasta yang didirikan untuk tujuan ini. Badan pengatur masa kini adalah Dewan standar akuntansi keuangan (FASB). Pelaksanaan GAAP adalah tanggung jawab pengelolaan entitas Pelapor.
Internal versus External Audit Functions
Ada dua jenis fungsi audit yang ada saat ini. Mereka memiliki peran yang sangat penting dalam menjamin validitas dan integritas akuntansi keuangan dan sistem pelaporan. Mereka adalah internal dan eksternal fungsi audit.
Internal Audit Function
IIA mendefinisikan Internal Audit (IA) sebagai "independen, obyektif dan konsultasi kegiatan yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi." IA membawa organisasi pendekatan yang sistematis dan disiplin untuk menilai dan meningkatkan manajemen risiko, pengendalian, dan proses tata kelola, serta untuk mencapai tujuan dan sasaran mereka.
Departemen IA biasanya dipimpin oleh kepala eksekutif audit (CAE), yang secara langsung melapor kepada Komite Audit Dewan Direksi. CAE juga melapor ke Chief Executive Officer (CEO) organisasi. Tujuan utama dari fungsi IA adalah untuk memastikan bahwa kontrol yang berwenang manajemen sedang diterapkan secara efektif. Fungsi IA, meskipun tidak wajib, ada di sebagian besar perusahaan swasta atau entitas korporasi, dan dalam pemerintahan (seperti pemerintah federal, negara bagian, Kabupaten, dan kota). Misi, karakter, dan kekuatan dari fungsi IA sangat bervariasi dalam gaya eksekutif Top dan tradisi perusahaan dan organisasi. Audit TI adalah salah satu bidang dukungan untuk IA.
Kelompok IA, jika dengan tepat staf dengan sumber daya, melakukan semua tahun pemantauan panjang dan pengujian kegiatan TI dalam kontrol organisasi. Perhatian khusus untuk perusahaan swasta adalah pengolahan data dan generasi informasi relevansi keuangan atau materialitas.
Mengingat sebagian besar manajemen untuk bermain dalam efektivitas fungsi IA, keprihatinan mereka dengan keandalan dan integritas informasi yang dihasilkan komputer dari keputusan yang dibuat sangat penting. Dalam organisasi di mana manajemen menunjukkan dan menunjukkan keprihatinan tentang pengendalian internal, peran dari IA tumbuh dalam perawakan. Sebagai fungsi IA matang melalui pengalaman, pelatihan, dan pengembangan karir, audit eksternal fungsi dan masyarakat dapat mengandalkan kualitas kerja auditor internal. Dengan baik, terus menerus memperbaiki manajemen dan staf IA, Komite Audit Dewan Direksi tidak ragu untuk memberikan tambahan ulasan, konsultasi, dan pengujian tanggung jawab kepada auditor internal. Tanggung jawab ini seringkali lebih luas dalam lingkup daripada auditor eksternal.
External Audit Function
Fungsi audit eksternal mengevaluasi keandalan dan validitas kontrol sistem dalam semua bentuk. Tujuan utama dalam evaluasi tersebut adalah untuk meminimalkan jumlah audit substansial atau pengujian transaksi yang diperlukan untuk membuat pendapat tentang laporan keuangan. Auditor eksternal disediakan oleh perusahaan akuntan publik dan juga ada dalam pemerintahan. Sebagai contoh, akuntabilitas pemerintah kantor (GAO) dianggap sebagai resensi eksternal karena dapat memeriksa karya baik organisasi federal dan swasta di mana dana federal yang disediakan. Para pengawas pengeluaran Kongres memberikan layanan kepada wajib pajak dalam melaporkan langsung kepada Kongres pada masalah-isu salah urus dan kontrol miskin. Menariknya, di luar negeri, kantor Inspektur Jenderal atau kantor auditor Jenderal dalam negara itu mempersiapkan fungsi serupa. Selain itu, GAO telah menjadi pendukung kuat dari organisasi audit internasional, yang memberikan pelatihan dan bimbingan audit pemerintah kepada anggota audit internasionalnya yang mewakili pemerintah di seluruh dunia.
What Is IT Auditing?
Sebelum mendefinisikan apa IT Audit, mari kita jelaskan perbedaan antara IS dan IT. Sebuah IS, diwakili oleh tiga komponen (yaitu, orang, proses, dan IT), adalah kombinasi dari kegiatan strategis, manajerial, dan operasional yang terlibat dalam mengelola informasi. Komponen TI dari a IS melibatkan perangkat keras, perangkat lunak, komunikasi, dan fasilitas lain yang diperlukan untuk mengelola (yaitu, input, Penyimpanan, proses, pengiriman, dan output) informasi tersebut. Lihat Ekshibit 1,2.
Istilah audit, menurut ISACA, mengacu pada inspeksi formal dan verifikasi untuk memeriksa apakah standar atau seperangkat pedoman sedang diikuti, catatan akurat, atau efisiensi dan efektivitas target sedang terpenuhi. Dalam menggabungkan kedua definisi di atas, audit IT dapat didefinisikan sebagai formal, independen, dan objektif pemeriksaan infrastruktur TI organisasi untuk menentukan apakah kegiatan (misalnya, prosedur, kontrol, dll) yang terlibat dalam mengumpulkan, memproses, menyimpan, mendistribusikan, dan menggunakan informasi yang sesuai dengan pedoman, menjaga aset, menjaga integritas data, dan beroperasi secara efektif dan efisien untuk mencapai tujuan organisasi. Audit IT memberikan jaminan yang wajar (tidak pernah mutlak) bahwa informasi yang dihasilkan oleh aplikasi dalam organisasi adalah akurat, lengkap, dan mendukung pengambilan keputusan yang efektif konsisten dengan sifat dan ruang lingkup pertunangan sebelumnya Setuju.
Mempelajari cara-cara baru audit selalu menjadi prioritas auditor TI internal dan eksternal. Kebanyakan auditor ingin alat atau metodologi audit yang akan membantu mereka dalam menyelesaikan tugas mereka lebih cepat dan lebih mudah. Hampir setiap organisasi besar atau perusahaan memiliki semacam fungsi audit IT atau toko yang melibatkan Departemen audit internal. Hari ini, "Big Four" perusahaan telah ditunjuk kelompok khusus yang mengkhususkan diri dalam bidang audit IT. Mereka semua memiliki staf yang melakukan audit TI eksternal ini. Sebagian besar auditor IT ini membantu auditor keuangan dalam menetapkan kebenaran laporan keuangan untuk perusahaan di mana mereka mengaudit. Yang lain berfokus pada proyek khusus seperti keamanan Internet yang berhubungan dengan studi penetrasi, evaluasi firewall, jembatan, router, dan konfigurasi gateway, antara lain.
IT Auditing Trends
Komputasi telah menjadi sangat diperlukan untuk kegiatan organisasi di seluruh dunia. Kerangka kontrol tujuan informasi dan teknologi terkait (COBIT) dibuat di 1995 oleh ISACA. COBIT, sekarang pada edisi kelima, menekankan titik ini dan memperkuat kebutuhan untuk penelitian, mengembangkan, mempublikasikan, dan mempromosikan up-to-date, diterima secara internasional tujuan kontrol TI. Dalam dokumen sebelumnya seperti kertas diskusi 1993 "tingkat keterampilan minimum dalam teknologi informasi untuk akuntan profesional" dan laporan akhir 1992 mereka "dampak teknologi informasi pada profesi akuntansi," Federasi Internasional dari Accountants (IFAC) mengakui perlunya pendidikan tingkat Universitas yang lebih baik untuk mengatasi masalah tumbuh kontrol TI dan isu.
Laporan pencurian informasi, penipuan komputer, penyalahgunaan informasi, dan keprihatinan kontrol terkait lainnya sedang didengar lebih sering di seluruh dunia. Organisasi lebih informationconscious, orang yang tersebar karena desentralisasi, dan komputer yang digunakan lebih luas di semua bidang perdagangan. Berkat difusi teknologi komputer yang cepat dan kemudahan aksesibilitas informasi, auditor TI yang berpengetahuan dan terlatih diperlukan untuk memastikan bahwa kontrol yang lebih efektif diberlakukan untuk menjaga integritas data dan mengelola akses ke Informasi. Kebutuhan untuk kontrol yang lebih baik atas TI telah menggontakan di masa lalu dengan studi sebelumnya seperti AICPA Komite organisasi sponsor dari Komisi treadmill (COSO); Internasional
Komite Eksekutif Layanan Assurance AICPA (ASEC) bertanggung jawab untuk memperbarui dan memelihara prinsip dan kriteria Layanan Trust (TSPC) dan menciptakan kerangka prinsip dan kriteria untuk memberikan kepastian pada integritas informasi. TSPC menyajikan kriteria untuk digunakan oleh praktisi saat memberikan pengesahan atau layanan konsultasi profesional untuk menilai kontrol yang relevan dengan prinsip berikut:
◾ Security: Sistem ini terlindung dari akses yang tidak sah (fisik dan logis).
◾ Availability: Sistem ini tersedia untuk operasi dan digunakan sebagai berkomitmen atau setuju.
◾ Processing integrity: Pengolahan sistem lengkap, akurat, tepat waktu, dan berwenang.
◾ Confidentiality: Informasi yang ditetapkan sebagai rahasia dilindungi sebagai berkomitmen atau disetujui.
◾ Privacy: Informasi pribadi dikumpulkan, digunakan, disimpan, diungkapkan, dan dihancurkan sesuai dengan komitmen dalam pemberitahuan privasi entitas dan dengan kriteria yang ditetapkan dalam prinsip privasi yang diterima secara umum yang dikeluarkan oleh AICPA dan CICA.
Information Assurance
Organisasi semakin mengandalkan kemampuan informasi elektronik digital kritis untuk menyimpan, memproses, dan memindahkan data penting dalam perencanaan, pengarahan, koordinasi, dan pelaksanaan operasi. Ancaman kuat dan canggih dapat mengeksploitasi kelemahan keamanan dalam banyak sistem ini. Outsourcing pengembangan teknologi ke negara-negara yang bisa memiliki teroris pada staf pengembangan mereka menyebabkan spekulasi bahwa potensi ada untuk kode yang akan ditanamkan yang akan menyebabkan gangguan, malapetaka, penggelapan, pencurian, dan sebagainya. Ini dan kelemahan lain yang dapat dimanfaatkan menjadi kerentanan yang dapat membahayakan komponen yang paling sensitif dari kemampuan informasi. Namun, kita dapat menggunakan dalam, pertahanan berlapis untuk mengurangi kerentanan dan menghalangi, kekalahan, dan pulih dari berbagai ancaman. Dari perspektif jaminan informasi, kemampuan yang harus kita Pertahankan dapat dilihat secara luas dalam hal empat elemen utama: lingkungan komputasi lokal, batas mereka, Jaringan yang menghubungkan mereka bersama-sama, dan infrastruktur pendukung mereka. Strategi Nasional AS untuk mengamankan Cyberspace adalah salah satu dari inisiatif tersebut.
Istilah "jaminan informasi" didefinisikan sebagai integritas informasi (tingkat keyakinan dan kepercayaan yang dapat ditempatkan pada informasi) dan ketersediaan layanan. Dalam semua konteks, baik bisnis atau pemerintah, itu berarti menjaga pengumpulan, Penyimpanan, transmisi, dan penggunaan informasi. Tujuan akhir dari jaminan informasi adalah untuk melindungi pengguna, unit bisnis, dan perusahaan dari dampak negatif dari korupsi informasi atau penyangkalan layanan. Departemen Keamanan dalam negeri dan organisasi pendukung seperti badan keamanan nasional (NSA), Federal Bureau of Investigation (FBI), dan Central Intelligence Agency (CIA) memiliki semua bekerja menuju mendukung tujuan ini.
Need for IT
Audit pada awalnya, audit TI (sebelumnya disebut pengolahan data elektronik [EDP], sistem informasi komputer [CIS], dan audit IS) berevolusi sebagai perpanjangan audit tradisional. Pada saat itu, kebutuhan akan audit IT berasal dari beberapa arah:
◾ Auditor menyadari bahwa komputer telah berdampak kemampuan mereka untuk melakukan fungsi pengesahan.
◾ Perusahaan dan manajemen pengolahan informasi diakui bahwa komputer adalah sumber daya utama untuk bersaing dalam lingkungan bisnis dan mirip dengan sumber daya bisnis berharga lainnya dalam organisasi, dan karena itu, kebutuhan untuk kontrol dan audit sangat penting.
◾ Asosiasi dan organisasi profesional, dan badan pemerintah mengakui perlunya kontrol dan auditability TI.
Komponen awal audit TI diambil dari beberapa daerah. Pertama, audit tradisional menyumbang pengetahuan tentang praktek pengendalian internal dan filosofi kontrol secara keseluruhan. Kontributor lainnya adalah manajemen IS, yang menyediakan metodologi yang diperlukan untuk mencapai desain yang sukses dan implementasi sistem. Bidang perilaku ilmu pengetahuan memberikan pertanyaan dan analisis untuk Kapan dan mengapa IS cenderung gagal karena masalah orang. Akhirnya, bidang ilmu komputer memberikan kontribusi pengetahuan tentang konsep kontrol, disiplin, teori, dan model formal yang mendasari desain perangkat keras dan perangkat lunak sebagai dasar untuk menjaga validitas data, keandalan, dan integritas.
Ada beberapa jenis kebutuhan di dalamnya audit, termasuk organisasi itu audit (manajemen kontrol atas itu), teknis itu audit (infrastruktur, pusat data, data komunikasi), dan aplikasi audit (bisnis/keuangan/operasional). Ada juga pengembangan/pelaksanaan audit IT (spesifikasi/persyaratan, Desain, pengembangan, dan fase pasca pelaksanaan), dan kepatuhan TI audit yang melibatkan standar nasional atau internasional.
Ketika mengaudit IT, luas dan kedalaman pengetahuan yang dibutuhkan sangat ekstensif. Misalnya, audit TI melibatkan:
◾ Penerapan pendekatan audit yang berorientasi pada risiko
◾ Penggunaan alat dan teknik audit yang dibantu komputer
◾ Penerapan standar (nasional atau internasional) seperti ISO * untuk meningkatkan dan mengimplementasikan sistem mutu dalam pengembangan perangkat lunak dan memenuhi standar keamanan TI
◾ Memahami peran bisnis dan harapan dalam audit sistem dalam pengembangan serta pembelian Kemasan perangkat lunak dan manajemen proyek
◾ Penilaian atas masalah keamanan, kerahasiaan, privasi, dan ketersediaan informasi yang dapat membahayakan organisasi
◾ Pemeriksaan dan verifikasi kepatuhan organisasiterhadapmasalah hukum yang terkait yang mungkin membahayakan atau menempatkan organisasi pada risiko
◾ Evaluasi siklus hidup pengembangan sistem yang kompleks (SDLC) atau teknik pengembangan baru (yaitu, prototyping, komputasi pengguna akhir, sistem cepat, atau pengembangan aplikasi)
◾ Melaporkan kepada manajemen dan melakukan peninjauan tindak lanjut untuk memastikan tindakan yang dilakukan di kantor
IT Governance
Ada banyak perubahan dalam cara perusahaan mengatasi masalah IT, sehingga fokus baru pada konsep tata kelola TI. CEO, Chief Financial Officer, Chief Operating Officer, Chief Technology Officers, dan Chief Information Officer menyetujui prinsip dasar tata kelola TI, yang berfokus pada keselarasan strategis antara TI dan tujuan perusahaan. Hal ini, pada gilirannya, menciptakan perubahan taktis dan manajemen operasional TI sehari-hari dalam organisasi.
Tata kelola TI adalah proses di mana perusahaan IT diarahkan dan dikendalikan. Sebagaimana didefinisikan sebelumnya, IT mengacu pada perangkat keras, perangkat lunak, komunikasi, dan fasilitas lain yang digunakan untuk memasukkan, menyimpan, memproses, mengirimkan, dan data output dalam bentuk apapun. Tata kelola TI yang efektif membantu memastikan bahwa TI mendukung tujuan bisnis, memaksimalkan investasi bisnis di dalamnya, dan mengelola risiko terkait TI dengan tepat. Tata kelola TI juga membantu memastikan pencapaian faktor keberhasilan yang penting dengan secara efisien dan efektif menyebarkan informasi yang aman dan andal, serta teknologi terapan.
Role of the IT Auditor
Auditor mengevaluasi sistem yang kompleks saat ini harus memiliki keterampilan teknis yang sangat berkembang untuk memahami metode yang berkembang dari pengolahan informasi. Sistem kontemporer membawa risiko seperti platform yang tidak kompatibel, metode baru untuk menembus keamanan melalui jaringan komunikasi (misalnya, internet), dan desentralisasi proses informasi yang cepat dengan hilangnya hasil sentralisasi Kontrol.
Sebagai penggunaan TI dalam organisasi terus tumbuh, audit sistem komputerisasi harus dicapai tanpa banyak pedoman yang ditetapkan untuk upaya audit tradisional. Selain itu, penggunaan baru TI memperkenalkan risiko baru, yang pada gilirannya memerlukan kontrol baru. Auditor TI berada dalam posisi yang unik untuk mengevaluasi relevansi sistem tertentu untuk perusahaan secara keseluruhan. Oleh karena itu, auditor TI sering memainkan peran dalam pengambilan keputusan manajemen senior.
IT Auditor as Counselor
Di masa lalu, pengguna telah turun tahta tanggung jawab untuk mengendalikan sistem komputer, terutama karena hambatan psikologis yang mengelilingi komputer. Akibatnya, ada beberapa cek dan saldo, kecuali untuk auditor TI. Auditor TI harus berperan aktif dalam membantu organisasi dalam mengembangkan kebijakan, prosedur, standar, dan/atau praktik terbaik dalam menjaga informasi, auditability, kontrol, pengujian, dsb. Sebuah kebijakan keamanan informasi yang baik, misalnya, dapat mencakup:
◾ Menentukan fitur keamanan yang diperlukan
◾ Mendefinisikan "ekspektasi yang wajar" tentang privasi mengenai masalah seperti pemantauankegiatan orang
◾ Menentukan hak akses dan hak istimewa serta melindungi aset dari kerugian, pengungkapan, atau kerusakan dengan menetapkan pedoman penggunaan yang dapat diterima untuk pengguna
◾ Memberikan panduan untuk komunikasi eksternal (jaringan)
◾ Mendefinisikan tanggung jawab semua pengguna
◾ Membangun kepercayaan melalui kebijakan sandi yang efektif
◾ Menentukan prosedur pemulihan
◾ Mengharuskan pelanggaran dicatat
◾ Mengakui bahwa pemilik, penjaga, dan klien dari informasi perlu melaporkan penyimpangan dan melindungi penggunaan dan penyebaran
◾ Memberikan informasi dukungan kepada pengguna
SANS Institute menyediakan template kebijakan keamanan informasi umum di situsnya, yang dapat didownload dan menjadi titik awal yang bagus untuk setiap organisasi. Kebijakan keamanan komputer yang baik akan berbeda untuk setiap organisasi, perusahaan, atau individu tergantung pada kebutuhan keamanan. Sebuah kebijakan keamanan informasi tidak akan menjamin keamanan sistem atau membuat jaringan sepenuhnya aman dari kemungkinan serangan dari Cyberspace. Namun demikian, kebijakan keamanan, yang dibantu oleh produk keamanan yang efektif dan rencana pemulihan, dapat membantu menargetkan potensi kerugian terhadap tingkat dianggap "dapat diterima," dan meminimalkan kebocoran informasi pribadi. Auditor TI adalah bagian dari tim institusional yang membantu menciptakan tata kelola bersama atas penggunaan, penerapan, dan jaminan atas TI dalam organisasi.
IT Auditor as Partner of Senior Management
Meskipun peran auditor TI konselor dan teknisi terampil sangat penting untuk operasi perusahaan yang sukses, mereka mungkin tidak relevan jika auditor gagal untuk melihat audit dalam kaitannya dengan organisasi secara keseluruhan. Sebuah sistem yang muncul dengan baik dikontrol mungkin tidak konsisten dengan operasi bisnis.
Keputusan mengenai perlunya sistem secara tradisional milik manajemen, tetapi karena kombinasi faktor (sebagian besar teknologi kompleks komputer), audit sistem komputer tidak berhasil dilakukan. Ketika mengalokasikan dana untuk sistem baru, manajemen harus bergantung pada penilaian personil komputer. Meskipun pilihan mereka baru dan lebih efektif sistem komputer tidak dapat disalkan, personil komputer sering gagal untuk memenuhi kebutuhan bisnis sejati organisasi.
IT Auditor as Investigator
Sebagai akibat dari meningkatnya perundang-undangan dan penggunaan bukti komputer dalam pengadilan, kemampuan untuk menangkap dan mendokumentasikan informasi yang dihasilkan komputer yang terkait dengan kegiatan kriminal sangat penting untuk tujuan penuntutan. Kesadaran dan penggunaan alat bantu komputer dan teknik dalam melakukan pekerjaan dukungan forensik telah memberikan peluang baru bagi auditor TI, personel keamanan TI, dan mereka yang berada dalam penegakan hukum dan investigasi. Untuk audit TI profesional, komputer forensik adalah menarik, mengembangkan lapangan. Auditor TI dapat bekerja di bidang forensik komputer atau bekerja berdampingan dengan spesialis forensik komputer, memasok wawasan ke dalam sistem atau jaringan tertentu. Para spesialis dapat meminta pertanyaan profesional audit TI yang berkaitan dengan sistem dan mendapatkan tanggapan lebih cepat daripada harus melakukan penelitian dan mencari semuanya sendiri. Meskipun spesialis sangat terlatih dan dapat beradaptasi dengan hampir semua sistem atau platform, kolaborasi dapat membuat pekerjaan dari spesialis forensik dan profesional TI lebih mudah dan lebih efisien.
IT Audit: The Profession
Dengan berlalunya Homeland Security Act, Patriot Act, dan SOX, peran Auditor (internal dan eksternal) lebih penting untuk verifikasi dan validasi infrastruktur keuangan. Profesi audit IT dapat memberikan orang dengan paparan cara mengalir informasi dalam suatu organisasi dan memberikan anggotanya kemampuan untuk menilai validitas, kehandalan, dan keamanan. Audit TI melibatkan orang, teknologi, operasi, dan sistem. Ini adalah profesi yang dinamis dan menantang dengan masa depan yang membawa pertumbuhan ke daerah baru seperti keamanan IT dan komputer forensik, untuk beberapa nama.
Saat ini, auditor TI berinteraksi dengan manajer, pengguna, dan teknisi dari semua bidang di sebagian besar organisasi. Mereka harus memiliki keterampilan interpersonal untuk berinteraksi dengan berbagai tingkat personil dan keterampilan teknis untuk memahami berbagai teknologi yang digunakan dalam kegiatan pengolahan informasi-terutama teknologi yang digunakan dalam menghasilkan dan/atau memproses informasi keuangan perusahaan (misalnya, laporan keuangan, dll). Auditor TI juga harus mendapatkan pemahaman dan dapat membiasakan dengan lingkungan operasional untuk menilai efektivitas struktur pengendalian internal. Akhirnya, auditor TI harus memahami kompleksitas teknologi dari sistem yang ada dan masa depan dan dampaknya terhadap operasi dan keputusan di semua tingkatan.
A Common Body of Knowledge
Sejak 1975, ada berbagai studi yang mengidentifikasi tubuh umum pengetahuan untuk profesi audit TI. Sebuah tubuh pengetahuan yang umum terdiri dari daerah yang jelas diidentifikasi di mana seseorang harus mencapai tingkat tertentu pemahaman dan kompetensi yang diperlukan untuk berhasil berlatih dalam profesi. Daerah ini dikategorikan ke dalam daerah inti. Organisasi seperti ISACA, AICPA, IIA, CICA, ISSA, InfoSec, dan lain-lain di seluruh dunia telah mengeluarkan studi besar dan makalah tentang topik pengetahuan, keterampilan, dan kemampuan yang diperlukan untuk mengaudit sistem komputer. Siswa, terutama yang memiliki jurusan Bisnis dan komputer, menerima pelatihan tingkat dasar dalam (1) mengaudit konsep dan praktik; (2) konsep dan praktik manajemen; (3) sistem komputer, telekomunikasi, operasi, dan perangkat lunak; (4) teknik pengolahan informasi komputer; dan (5) pemahaman bisnis pada skala lokal dan internasional. Ini adalah beberapa bidang utama kompetensi yang diidentifikasi oleh berbagai studi independen bagi individu yang memasuki bidang audit, kontrol, dan keamanan IT.
Certification
Sertifikasi adalah komponen penting dari sebuah profesi. Ketika Anda mempersiapkan diri untuk masuk ke profesi Anda, apakah itu akuntansi, IS, atau bidang bisnis lainnya, sertifikasi akan menjadi ukuran tingkat pengetahuan, keterampilan, dan kemampuan dalam profesi. Misalnya, pencapaian penunjukan CPA adalah tonggak karir penting bagi akuntan berlatih. Dalam audit IT, sistem informasi bersertifikat Auditor (CISA) adalah salah satu tingkat utama pengakuan dan pencapaian. Ada persyaratan tertentu untuk kandidat untuk menjadi CISA bersertifikat, seperti:
◾ Melewati ujian tertulis yang ketat
◾ Membuktikan minimal 5 tahun profesional adalah audit, kontrol atau pengalaman kerja keamanan
◾ Mematuhi Kode Etik profesional ISACAdan Standar Audit sistem informasi yang diadopsi oleh
◾ Setuju untuk mematuhi kebijakan pendidikan berkelanjutan CISA
Pemeriksaan CISA mencakup area (atau domain) dalam proses audit IS; Tata Kelola dan pengelolaan TI; Akuisisi, pengembangan, dan implementasi IS; Operasi, pemeliharaan dan Manajemen Layanan IS; dan perlindungan aset informasi. Dengan demikian, pendidikan Universitas memainkan peranan penting dalam menyediakan landasan menuju proses sertifikasi. Lisensi dan sertifikasi lain yang relevan dengan auditor TI adalah sebagai berikut: CPA, Certified Chartered Accountant (CA), Certified Internal Auditor (CIA), bersertifikat Computer Professional (CCP), bersertifikat Government Financial Manager (CGFM), bersertifikat Sistem informasi keamanan profesional (CISSP), manajer keamanan informasi bersertifikat (CISM), bersertifikat di risiko dan sistem informasi kontrol (CRISC), AICPA'S Certified Information Technology Professional (CITP), dan bersertifikat fraud Examiner (CFE) .
Continuing Education
Sertifikasi memerlukan pendidikan berkelanjutan sehingga mereka yang bersertifikat mempertahankan tingkat kemahiran dan melanjutkan sertifikasi mereka. Melanjutkan pendidikan merupakan unsur penting bagi pertumbuhan karir. Sebagai lulusan memasuki profesi mereka, mereka akan menemukan bahwa pendidikan akademik mereka adalah landasan untuk pengembangan lanjutan dari pengetahuan, keterampilan, dan kemampuan yang meningkatkan karir. Sebuah persyaratan pendidikan berkelanjutan ada untuk mendukung program CISA. Auditor TI masa depan akan terus menghadapi perubahan berkenaan dengan sistem yang ada dan dinamika lingkungan (yaitu, reorganisasi, teknologi baru, perubahan operasional, dan persyaratan perubahan).
Luasnya dan kedalaman pengetahuan yang dibutuhkan untuk mengaudit TI sangat luas. Misalnya, audit TI melibatkan penerapan pendekatan audit yang berorientasi pada risiko; penggunaan alat audit dibantu komputer dan teknik (misalnya, EnCase, CaseWare, Idea, ACL, Guardant, eTrust, CA-Periksa, dll); penerapan standar nasional atau internasional (yaitu, ISO 9000/3, ISO 17799, ISO 27000, dan Amandemen terkait untuk memperbaiki dan mengimplementasikan sistem mutu dalam pengembangan perangkat lunak); Audit sistem dalam pengembangan yang melibatkan SDLC kompleks atau teknik pengembangan baru (misalnya, prototyping, komputasi pengguna akhir, pengembangan sistem yang cepat, dll); dan pengauditan teknologi kompleks yang melibatkan pertukaran data elektronik, server klien, jaringan area lokal dan luas, komunikasi data, telekomunikasi, dan sistem suara/data/video terpadu.
Professional Associations and Ethical Standards
Sebagai seorang manajer di tingkat manapun, seseorang harus ingat bahwa auditor, baik internal atau eksternal, memiliki standar praktik yang harus mereka ikuti. Seperti profesional TI, auditor mungkin termasuk dalam satu asosiasi profesional atau lebih dan memiliki kode etik dan standar profesional dalam praktik dan panduan yang membantu mereka dalam melakukan ulasan dan audit mereka. Jika mereka terlihat tidak melakukan pekerjaan mereka untuk "standar praktik" untuk profesi mereka, mereka tahu bahwa mereka bisa terbuka untuk gugatan potensial atau bahkan "decertified." Beberapa organisasi yang memproduksi standar praktik tersebut adalah AICPA, IIA, IFAC, CICA, GAO, dan ISACA.
Dalam perekonomian dunia saat ini, kepercayaan adalah kata yang belum pernah didengar. Tidak ada yang bisa mempercayai siapa pun hari ini dan untuk alasan ini sangat penting bahwa etika tinggi berada di atas daftar manajer topik untuk menutup dengan tim audit baru. Waktu berubah dan begitu juga klien meminta layanan audit. Kebanyakan manajer akan menyatakan bahwa mereka menghargai aspek ini disebut etika karena membedakan mereka dari orang lain tanpa itu.
Misalnya, katakanlah anggaran panggilan untuk banyak jam. Tidak etis untuk meletakkan jam tidak bekerja. Hal ini juga tidak etis untuk mengabaikan sesuatu selama audit karena klien mengatakan itu tidak penting. Sebuah garis halus ada antara apa yang etis dan apa yang legal. Sesuatu dapat secara etis salah tetapi masih legal. Namun, dengan bahwa menjadi kata, beberapa hal yang awalnya dianggap tidak etis menjadi ilegal dari masa ke waktu. Jika ada populasi yang cukup besar menentang sesuatu yang tidak benar secara etis, Anda akan melihat peraturan diperkenalkan untuk membuatnya ilegal.
Educational Curricula
Audit IT adalah profesi dengan perilaku, tujuan, dan kualitas yang ditandai dengan standar teknis dan etika di seluruh dunia. Hal ini membutuhkan pengetahuan khusus dan seringkali persiapan akademik panjang dan intensif. Kebanyakan komunitas profesional akuntansi, audit, dan TI meyakini bahwa perbaikan dalam penelitian dan pendidikan pasti akan memberikan "basis pengetahuan teoritis dan empiris yang lebih baik untuk fungsi audit TI." Mereka merasa bahwa penekanan harus ditempatkan pada pendidikan yang diperoleh di tingkat perguruan tinggi.
Komunitas akademik baik di Amerika Serikat maupun di luar negeri telah mulai memasukkan bagian dari tubuh umum pengetahuan dan pemeriksaan CISA domain ke dalam kursus yang diajarkan di tingkat Universitas. Beberapa studi terbaru menunjukkan pertumbuhan program audit komputer yang muncul dalam kurikulum Universitas di seluruh dunia.
Berbagai universitas telah mengembangkan kurikulum yang dirancang untuk mendukung profesi audit IT. Meskipun kurikulum di Universitas ini terus berkembang, mereka saat ini ada di institusi seperti Bentley University (Massachusetts), Bowling Green State University (Ohio), California State Polytechnic University, University of Mississippi, University of Texas, Georgia State University, Universitas Maryland, University of Tennessee, Universitas Teknologi Nasional (Argentina), University of British Columbia (Kanada), York University (Kanada), dan Hong Kong University of Science dan Teknologi, antara lain. Lulusan dari program ini memenuhi syarat untuk pengalaman kerja 1 tahun menuju sertifikasi CISA mereka.
IT Auditor Profile: Experience and Skills
Pengalaman dalam IT Audit adalah suatu keharusan. Tidak ada di dunia ini dapat dibandingkan dengan aktual on-The-Job, pengalaman dunia nyata. Teori juga berharga, dan untuk sebagian besar auditor IT harus bergantung pada teori untuk kemajuan melalui audit. Misalnya, jika auditor ini ingin menunjukkan komitmen dan tingkat pengetahuan mereka tentang bidang tersebut, mereka dapat memilih area yang akan diuji. Sejumlah sertifikasi profesional ada yang dapat menguntungkan auditor. Dalam bidang audit IT, misalnya, untuk lulus ujian CISA, seseorang harus tahu, mengerti, dan dapat menerapkan teori audit TI modern untuk semua pertanyaan ujian yang diajukan. Ada lisensi dan sertifikasi lain yang relevan, seperti disebutkan sebelumnya, yang dapat sangat berguna untuk karir auditor TI dan rencana masa depan.
Pemahaman teori ini jelas penting bagi auditor IT yang sukses. Namun, teori hanya bisa mengambil satu sejauh ini. Buku pelajaran dan lain-lain yang tersedia harus dipandang sebagai panduan. Dalam bidang ini, karena kompleksitas dan situasi teknologi, ada saatnya ketika auditor TI harus bergantung pada pengalaman untuk menghadapi situasi baru yang belum pernah dihadapi. Pengalaman di lapangan adalah pasti Plus, tetapi memiliki pengalaman dalam berbagai bidang lain kadang-terkadang dapat lebih menguntungkan. Misalnya, manajer audit TI yang bekerja untuk perusahaan akuntan publik empat besar akan terpapar berbagai situasi audit IT dan skenario. Pengalaman tersebut akan membantu memperluas wawasan dan pengetahuan lebih lanjut dalam bidang audit IT. Contoh lain akan menjadi Internal Audit supervisor yang telah melakukan audit yang berfokus pada risiko dan kepatuhan untuk semua departemen dalam suatu organisasi. Pengalaman yang cukup seperti itu tidak lain adalah plus, dan mungkin akan memungkinkan auditor untuk menambahkan nilai yang signifikan, di atas dan di luar untuk operasi organisasi.
Pengalaman datang dengan waktu dan ketekunan, seperti yang dikenal, tetapi auditor tidak harus membatasi diri hanya untuk satu industri, perangkat lunak, atau sistem operasi. Mereka harus menantang diri mereka sendiri dan memperluas cakrawala mereka dengan banyak eksposur di lingkungan yang berbeda, jika mungkin. Auditor IT yang lebih luas dan berpengetahuan, semakin baik kesempatan untuk karir audit yang sukses. Selain pengalaman, auditor TI yang efektif harus memiliki berbagai keterampilan yang memungkinkan mereka untuk menambah nilai bagi organisasi atau klien mereka. Pengalaman teknis atau pelatihan terbaik belum tentu sepenuhnya mempersiapkan auditor untuk komunikasi dan negosiasi keterampilan yang diperlukan untuk sukses.
Career Opportunities
Ada sejumlah peluang karir yang tersedia untuk individu mencari kesempatan dalam audit IT. Untuk lulusan perguruan tinggi dengan yang sesuai entry-level pengetahuan, keterampilan, dan kemampuan, karir ini menyediakan banyak jalan untuk pertumbuhan dan perkembangan. Selanjutnya, sebagai karir berkembang dan berkembang, audit IT dapat memberikan mobilitas ke area lain juga. Auditor TI saat ini dipekerjakan oleh perusahaan akuntan publik, industri swasta, perusahaan konsultan manajemen, dan pemerintah.
Public Accounting Firms
Perusahaan akuntansi publik menawarkan kesempatan kepada individu untuk memasuki bidang audit TI. Meskipun perusahaan ini mungkin mengharuskan individu tersebut untuk memulai karir mereka dalam audit keuangan untuk mendapatkan pengalaman dalam memahami metodologi audit organisasi, setelah audit awal mengalami individu yang mengungkapkan minat pada suatu spesialisasi (misalnya, forensik, keamanan, dll) akan ditransfer ke spesialisasi tersebut untuk pelatihan lebih lanjut dan pengembangan karir. Banyak yang telah mengambil jalur karier ini telah berhasil, dan beberapa telah menjadi mitra, kepala sekolah, atau Direktur dalam perusahaan. Sumber utama untuk sebagian besar perusahaan akuntansi publik adalah perekrutan dan pengembangan perguruan tinggi di dalamnya. Namun, hal ini tidak biasa bagi perusahaan untuk menyewa dari luar untuk keahlian khusus (misalnya, komputer forensik, telekomunikasi, sistem database, dll).
Private Industry
Seperti halnya firma akuntansi publik, industri swasta menawarkan posisi profesional audit TI tingkat pemula. Selain itu, auditor IT memperoleh keahlian di bidang yang lebih khusus (yaitu, telekomunikasi, sistem perangkat lunak, dan desain sistem), yang dapat membuat mereka kandidat untuk operasi TI, IT forensik, dan posisi keamanan TI. Banyak CEOs melihat pengalaman audit sebagai fungsi pelatihan manajemen. Auditor TI memiliki kekuatan khusus dari latar belakang pendidikan, pengalaman praktis dengan perusahaan IS, dan pemahaman tentang pengambilan keputusan eksekutif. Beberapa perusahaan telah membuat perbedaan antara auditor TI dan auditor operasional dan keuangan. Lainnya mengharuskan semua auditor internal untuk mampu mengaudit sistem TI. Sumber untuk orang staf audit IT fungsi dalam perusahaan umumnya mungkin datang dari perekrutan perguruan tinggi, transfer internal, promosi, dan/atau di luar mempekerjakan.
Management Consulting Firms
Bidang lain dari kesempatan untuk personil audit TI adalah konsultasi manajemen. Area karir ini biasanya tersedia bagi para auditor IT dengan beberapa tahun pengalaman. Banyak praktik konsultasi manajemen, terutama yang menyediakan layanan di lingkungan komputer IS, mempekerjakan auditor TI berpengalaman. Jalur karier ini memungkinkan kandidat untuk menggunakan pengetahuan, keterampilan, dan kemampuan khusus mereka dalam mendiagnosis serangkaian masalah informasi komputer dan manajemen dan kemudian membantu organisasi dalam menerapkan solusi. Sumber daya yang biasa untuk posisi tersebut adalah personil yang berpengalaman dari perusahaan BPA akuntansi publik, industri swasta, dan pemerintah. IT forensik adalah daerah lain yang berkembang dalam layanan konsultasi manajemen
Government
Pemerintah menawarkan jalan lain untuk satu untuk mendapatkan pengalaman audit TI. Di Amerika Serikat, pemerintah federal, negara bagian, Kabupaten, dan kota mempekerjakan personel untuk melakukan tanggung jawab terkait audit TI. Organisasi Federal seperti NSA, FBI, Departemen Kehakiman, dan CIA mempekerjakan personil yang memiliki pengalaman audit TI, pengalaman keamanan komputer, dan TI pengalaman forensik. Pemerintah di seluruh dunia juga mempekerjakan personil untuk melakukan audit TI.
Posisi pemerintah menawarkan pelatihan dan pengalaman kepada personil yang bertanggung jawab untuk melakukan fungsi audit TI. Sumber untuk auditor TI pemerintah adalah perekrutan di perguruan tinggi dan karyawan yang mencari promosi atau transfer internal. Ada kesempatan ketika sumber daya yang berpengalaman dapat disewa dari luar juga.
Conclusion
Operasi bisnis berubah dengan cepat karena peningkatan teknologi yang berkelanjutan. Teknologi telah berdampak pada berbagai bidang lingkungan bisnis, termasuk penggunaan dan pemrosesan informasi, proses pengendalian yang ada, dan bagaimana audit dilakukan untuk menarik kesimpulan mengenai efektivitas operasional atau sistem, efisiensi, dan melaporkan integritas. Hal ini juga mencatat bahwa teknologi terus berubah dan mengidentifikasi cara untuk membentuk lingkungan TI hari ini dalam organisasi. Ada beberapa teknologi baru-baru ini dijelaskan yang telah dan tentu akan terus merevolusi organisasi, khususnya bagaimana bisnis dilakukan dan dinamika tempat kerja.
Karena perusahaan besar dan akuntansi penipuan dan skandal, profesi audit, baik fungsi internal dan eksternal, sekarang terlihat serius pada kurangnya kontrol dalam sistem informasi komputer. Dalam audit keuangan, misalnya, ada prinsip dan standar yang memerintah profesi CPA di Amerika Serikat (yaitu GAAP dan GAAS). Ini mencari persiapan akurat laporan keuangan serta prosedur yang efektif untuk pemeriksaan audit mereka. Jenis audit yang berbeda, audit IT, telah menjadi bagian integral dari fungsi audit karena mendukung penilaian auditor terhadap kualitas informasi yang diproses oleh sistem komputer. Audit IT memberikan jaminan yang wajar (tidak pernah mutlak) bahwa informasi yang dihasilkan oleh aplikasi dalam organisasi adalah akurat, lengkap, dan mendukung pengambilan keputusan yang efektif sesuai dengan sifat dan lingkup yang disepakati. Ada dua pengelompokan luas dari audit TI (yaitu, audit kontrol komputer umum dan aplikasi kontrol audit), baik penting untuk memastikan operasi yang terus menerus dari IS.
0 komentar:
Posting Komentar