Mei 2007 - Salah satu tindakan awal dari US Department of Homeland Security (DHS) adalah untuk mengembangkan kini akrab warna-kode sistem keamanan peringatan: Merah menandakan "parah" ancaman terhadap keamanan nasional, oranye "tinggi" ancaman, kuning yang "ditinggikan" ancaman, biru "dijaga" ancaman, dan hijau "rendah" ancaman. Dalam bangun dari skandal baru-baru ini di Enron, Arthur Andersen, WorldCom, Tyco, dan lain-lain, orang bisa membayangkan sistem keamanan peringatan serupa untuk ancaman terhadap sistem pelaporan keuangan kita.
Dua tingkat risiko yang mungkin keamanan untuk pelaporan keuangan yang rinci dalam Pameran 1 dan 2 . Pertama, mempertimbangkan "Security Level berat Pemberitahuan:. Code Red" Pada tingkat risiko, ada serangan serius mungkin terhadap sistem pelaporan keuangan, pasar keuangan, dan ekonomi. Sumber daya yang langka, termasuk waktu dan uang, sedang menggelapkan, disalahgunakan, atau dialihkan. Kepercayaan investor telah terguncang dan manajemen telah menjadi pesimis tentang masa depan. Pemerintah menanggapinya dengan membuat aturan pengawasan mahal dan peningkatan manajemen eksekutif dan profesi akuntansi. Keamanan informasi adalah mengalami ancaman secara dramatis meningkat.
Sekarang, mempertimbangkan "Security Alert Tingkat Dijaga: Kode Biru" yang lebih rendah dari Bagan 2 . Ini tingkat risiko mengakui pentingnya tata kelola perusahaan yang kuat dan keamanan informasi dalam memanfaatkan sumber daya yang langka untuk meningkatkan kekayaan pemegang saham dan untuk mendapatkan kembali kepercayaan dari pelaku pasar. Keputusan keuangan didasarkan pada informasi yang akurat, transparan, dan tepat waktu yang relevan dan dapat diandalkan. Investor, kreditor, dan pengguna lain dengan aman dapat mengandalkan pada laporan keuangan untuk membantu mereka dalam menilai jumlah, waktu, dan ketidakpastian arus kas masa depan, dalam mengidentifikasi sumber daya dan klaim ke sumber-sumber, dan dalam mengevaluasi kinerja. "Nada di atas" yang tepat sehubungan dengan bisnis dan perilaku etis sedang ditunjukkan. Manajemen, komite audit, akuntan, dan auditor bekerja sama untuk terus meningkatkan pengendalian internal dan memperkuat keamanan informasi.
Tentu saja, ada alasan untuk percaya bahwa lingkungan bisnis telah mengalami banyak ancaman yang konsisten dengan Code Red. Banyak dari ancaman telah memberikan tantangan bagi tata kelola perusahaan, akuntan, auditor, dan akademisi. Salah satu tujuan bisnis diharapkan memiliki kesamaan adalah mengurangi tingkat ancaman terhadap sistem informasi akuntansi kami lebih dekat dengan Kode Biru.
Ancaman keamanan ke Internet Dagang dan Teknologi
Pertumbuhan internet telah dipicu oleh potensi untuk melakukan bisnis. Internet telah dihapus hambatan fisik untuk perdagangan, menekan pasar yang sebelumnya tidak ekonomis. Kekuatan Internet untuk memfasilitasi bisnis dapat sangat diimbangi oleh keprihatinan pengguna atas keamanan. Masalah website kadang-kadang dialami oleh utama e-commerce penyedia seperti Yahoo, eBay, E-Trade, dan Amazon.com telah memberikan bukti dari beberapa risiko serangan berbasis Internet.
Penggunaan teknologi internet telah secara substansial meningkatkan kerentanan sistem informasi. Salah satu yang tercepat-berkembang ancaman di Internet adalah pencurian data keuangan yang sensitif. Kegagalan untuk memasukkan keamanan informasi dasar tanpa disadari menciptakan bisnis yang signifikan dan risiko profesional. Sebagai contoh, tanpa keamanan yang efektif, seorang hacker dapat mengakses password user, menyediakan hidangan ke array kemampuan sistem dan informasi. Pelanggaran tersebut dapat memiliki konsekuensi hukum yang serius. Atau, rahasia dagang yang mungkin ditemukan dan disebarluaskan, mengurangi keunggulan kompetitif dan keuntungan.
Keamanan informasi yang tidak memadai akan meningkatkan peluang untuk manipulasi, pemalsuan, atau perubahan catatan akuntansi. Akses tidak sah atau tidak sesuai dengan sistem informasi akuntansi, atau kegagalan untuk membangun dan mempertahankan pemisahan tugas sebagai bagian dari sistem pengendalian internal, dapat membuat sulit untuk memastikan bahwa transaksi yang valid dan akurat yang dicatat, diproses, dan dilaporkan. Ada sejumlah ancaman terhadap sistem informasi akuntansi, khususnya bagi mereka sistem yang digunakan dalam hubungannya dengan internet. Ancaman ini merupakan tantangan untuk manajemen, akuntan, auditor, dan akademisi.
Ancaman terhadap Sistem Informasi Akuntansi
Ancaman terhadap sistem informasi akuntansi berasal dari berbagai sumber. Jika diabaikan, mereka dapat menghancurkan relevansi dan keandalan informasi keuangan, menyebabkan keputusan yang buruk oleh berbagai stakeholder. (Sebagai contoh khusus, Sidebar daftar 10 keprihatinan atas diidentifikasi oleh survei AICPA 2006.)
Pada titik pengumpulan data, penting untuk menetapkan kontrol keamanan yang memastikan bahwa transaksi atau peristiwa data yang valid, lengkap, dan bebas dari kesalahan material. Masquerading (berpura-pura menjadi pengguna resmi) dan membonceng (memanfaatkan garis telekomunikasi) adalah contoh kegiatan hacker yang dapat berdampak serius pengumpulan data yang valid.
Ancaman terhadap sistem informasi akuntansi juga dapat terjadi selama fase pengolahan data. Membuat program ilegal, mengakses atau menghapus file, menghancurkan atau merusak logika program melalui virus, atau mengubah logika program untuk menyebabkan aplikasi untuk mengolah data yang salah semua mewakili ancaman. Ancaman terhadap manajemen database mungkin termasuk akses yang tidak sah yang memungkinkan mengubah, menghapus, merusak, menghancurkan, atau mencuri data. Kegagalan untuk menjaga file cadangan atau teknik penyimpanan lain merupakan kehilangan yang berpotensi menghancurkan data. Ancaman ke fase informasi generasi dan pelaporan juga harus dipertimbangkan. Sebagai contoh, pencurian, penyesatan, atau penyalahgunaan output komputer dapat merusak daya saing atau reputasi organisasi.
Kemajuan dalam teknologi informasi dan peningkatan penggunaan Internet mengharuskan manajemen, akuntan, auditor, dan akademisi menjadi lebih luas dan fasih dalam desain, operasi, dan kontrol sistem informasi akuntansi.
Implikasi bagi Manajemen
Dengan perluasan teknologi komputer, proses bisnis tradisional telah direstrukturisasi dan unik teknik pengendalian internal yang diperlukan untuk mengatasi paparan bahaya baru. Tanggung jawab untuk membangun dan memelihara sistem pengendalian internal yang efektif berada dengan manajemen. Tanggung jawab manajemen termasuk dokumentasi, pengujian, dan penilaian pengendalian internal, termasuk umum yang relevan TI kontrol (misalnya, program pembangunan, perubahan program, operasi komputer, dan akses ke program dan data) dan sesuai aplikasi-tingkat kontrol yang dirancang untuk memastikan bahwa informasi keuangan dihasilkan dari sistem informasi organisasi dapat cukup diandalkan (lihat www.sec.gov ).
Para Korupsi Asing Practices Act tahun 1977 dan Sarbanes-Oxley Act of 2002 (SOX) menetapkan tanggung jawab hukum yang penting untuk manajemen. Manajemen dan personil lainnya diharapkan untuk memberikan keyakinan memadai setiap tahun mengenai keandalan pelaporan keuangan dan penyusunan laporan keuangan untuk tujuan eksternal sesuai dengan SAK. Manajemen diharapkan untuk membangun, mengevaluasi, memantau, dan memberikan penilaian tertulis dari kontrol internal, yang meliputi kebijakan dan prosedur yang-
- berkaitan dengan pemeliharaan catatan yang secara rinci yang wajar secara akurat dan adil mencerminkan transaksi dan disposisi aset pendaftar,
- memberikan jaminan yang wajar bahwa transaksi dicatat sebagai diperlukan untuk memungkinkan penyusunan laporan keuangan sesuai dengan prinsip akuntansi yang berlaku umum, dan bahwa penerimaan dan pengeluaran pendaftar sedang dibuat hanya sesuai dengan otorisasi manajemen dan direksi pendaftar, dan
- memberikan jaminan yang wajar mengenai pencegahan atau deteksi tepat waktu dari setiap akuisisi yang tidak sah, penggunaan, atau disposisi aset dari pendaftar yang dapat berdampak material terhadap laporan keuangan ( www.sec.gov ).
Bagian 404 dari mandat SOX pernyataan tanggung jawab manajemen untuk membangun dan mempertahankan pengendalian internal yang memadai atas pelaporan keuangan dan penilaian terhadap efektivitas kontrol-kontrol internal: kontrol preventif, yang meliputi teknik yang dirancang untuk mengurangi frekuensi dari tindakan yang tidak diinginkan atau menghancurkan; kontrol detektif , yang meliputi perangkat, teknik, dan prosedur yang dirancang untuk mengekspos tindakan yang tidak diinginkan atau menghancurkan yang menghindari kontrol pencegahan, dan kontrol korektif, yang melibatkan tindakan untuk membalikkan efek dari tindakan yang tidak diinginkan atau berpotensi menghancurkan.
SOX tidak mandat bentuk tertentu tunggal dokumentasi kepatuhan pengendalian internal, tingkat dokumentasi dapat bervariasi, tergantung pada ukuran dan kompleksitas organisasi. Dokumentasi mungkin kertas atau elektronik, dan dapat mencakup berbagai informasi, termasuk manual kebijakan, model proses, diagram alur, deskripsi pekerjaan, dokumen, dan bentuk. Dokumentasi yang tidak memadai dari desain kontrol atas asersi yang relevan terkait dengan account signifikan dan pengungkapan adalah, bagaimanapun, dianggap sebagai kekurangan dalam sistem pengendalian internal perusahaan. COSO ( www.coso.org ), COBIT ( www.isaca.org ), ISO ( www.iso.org ), dan SysTrust ( www.systrustservices.com ) telah menyediakan kerangka kerja dan prinsip-prinsip yang berguna untuk mendokumentasikan kontrol.
Manajemen harus mengajukan pertanyaan-pertanyaan penting dan dapat bergantung pada jawaban dengan keyakinan:
- Apakah aset, kewajiban, dan elemen lainnya yang ditunjukkan pada laporan keuangan benar-benar ada?
- Apakah termasuk transaksi yang dicatat dalam laporan keuangan benar-benar terjadi?
- Apakah laporan keuangan mencakup semua transaksi dan akun yang harus disajikan?
- Apakah rekening termasuk dalam laporan keuangan pada nilai yang sesuai?
- Apakah aset ditampilkan pada hak-hak neraca perusahaan?
- Apakah kewajiban ditampilkan pada kewajiban neraca perusahaan?
- Apakah unsur-unsur laporan keuangan tepat diklasifikasikan dan diungkapkan?
Berapa banyak ketergantungan dapat ditempatkan pada jawaban jika ancaman keamanan ada informasi yang signifikan dan manajemen tidak mengambil langkah-langkah tepat untuk melindungi organisasi dari serangan internal dan eksternal?
Implikasi bagi Akuntan dan Auditor
Akuntan-sebagai pengguna, manajer, desainer, dan evaluator sistem informasi-harus memiliki pengetahuan dari ancaman keamanan dan teknik kontrol yang tepat untuk melindungi sistem informasi mereka sendiri dan untuk memberi informasi kepada bisnis tentang risiko keamanan. Menggunakan A perusahaan teknologi informasi dan keamanan sistem informasi akuntansi mempengaruhi pengendalian internal perusahaan atas pelaporan keuangan. Sistem proses dan sistem yang dihasilkan entri untuk transaksi yang valid dan peristiwa adalah bagian integral dari pelaporan keuangan. Sejak munculnya sistem komputer yang menangkap, memverifikasi, menyimpan, dan melaporkan data yang digunakan dalam laporan keuangan, masalah keamanan baru yang melibatkan teknologi telah dikembangkan.
Meskipun SOX melarang auditor dari desain sistem menawarkan informasi dan layanan implementasi untuk klien audit, SOX mengamanatkan bahwa setiap laporan audit independen termasuk pengesahan laporan auditor berkaitan dengan penilaian pengendalian internal yang dibuat oleh manajemen. Notasi khusus dari setiap cacat yang signifikan atau ketidakpatuhan materi harus disertakan dalam laporan tersebut. Selain itu, New York Stock Exchange sekarang mengharuskan semua perusahaan yang terdaftar untuk mempertahankan fungsi audit internal untuk menyediakan manajemen dan komite audit dengan penilaian berkelanjutan proses manajemen risiko perusahaan dan sistem pengendalian internal.
Auditor juga menghadapi tantangan meningkat dari Laporan terakhir tentang Standar Audit beberapa (SAS), khususnya SAS 94 dan standar audit yang baru risiko (SAS 104-111) yang telah dikeluarkan oleh AICPA Standar Audit itu Board (ASB). Ini Sass menetapkan standar dan memberikan bimbingan tentang penilaian auditor risiko dari salah saji material (baik yang disebabkan oleh kesalahan atau penipuan) dalam audit laporan keuangan, dan desain dan kinerja prosedur audit yang sifat, saat, dan lingkup yang responsif terhadap dinilai risiko. Auditor yang diperlukan untuk mendapatkan pemahaman yang lebih baik dari entitas dan lingkungan, termasuk kontrol internal, dalam rangka untuk mengidentifikasi risiko dari salah saji material dalam laporan keuangan entitas dan apa yang dilakukan untuk mengurangi risiko; melakukan penilaian yang lebih ketat dari risiko dari salah saji laporan keuangan berdasarkan pada pemahaman itu, dan meningkatkan hubungan antara risiko dinilai dan sifat, waktu, dan prosedur audit yang dilakukan dalam menanggapi risiko tersebut. Auditor harus merencanakan dan melaksanakan audit untuk memperoleh bukti yang cukup bahwa risiko audit akan terbatas pada tingkat yang, dalam penilaian profesional-nya, sesuai untuk mengungkapkan pendapat atas laporan keuangan dengan "jaminan yang wajar."
Adopsi teknologi baru dan sistem informasi baru atau dirubah adalah risiko yang muncul dalam lingkungan bisnis saat ini. Perkembangan berbasis komputer sistem informasi memiliki dampak yang luar biasa pada lingkungan bisnis dan audit entitas di mana TI telah terintegrasi ke dalam operasi dan sistem informasi. Auditor internal dan eksternal yang semakin terlibat dalam audit TI dan dalam menilai efektivitas pengendalian internal. Auditor harus menyadari bahwa peningkatan penggunaan TI membutuhkan penilaian dampak potensial terhadap pengendalian internal dan dalam perencanaan dan penyelesaian proses audit. Membuktikan integritas pengumpulan data, pengolahan data, manajemen database, dan generasi informasi telah menjadi lebih rumit sebagai cara mendasar di mana transaksi yang dimulai, dicatat, diproses, dan dilaporkan telah berubah. Kontrol efektif pada TI memberikan ancaman serius terhadap pengendalian internal. Sebagai contoh, akses tidak sah ke perangkat lunak dan data dapat mengakibatkan tidak sah, transaksi tidak ada, atau tidak akurat.
SAS 94 mengharuskan auditor untuk khusus mempertimbangkan efek TI pada pengendalian internal dan bukti audit, memberikan bimbingan pada pengumpulan cukup, bukti-bukti kompeten dan mengidentifikasi keadaan ketika sistem harus diakses dalam mengevaluasi dan menilai risiko kontrol kontrol. Auditor harus memahami desain kontrol, menentukan apakah kontrol berada di tempat, dan mengevaluasi efektivitas dari kontrol. Menggunakan entitas IT dan prosedur manual dapat mempengaruhi kontrol yang relevan dengan audit, dan harus dipertimbangkan. Auditor kemudian menilai risiko pengendalian untuk asersi yang terkandung dalam komponen saldo akun, data transaksi, dan pengungkapan laporan keuangan. Auditor harus memperoleh bukti efektivitas dari desain dan operasi pengendalian untuk mengurangi tingkat risiko kontrol. Auditor menggunakan pemahaman tentang pengendalian internal dan tingkat risiko kontrol dalam menentukan sifat, saat, dan lingkup pengujian substantif untuk asersi laporan keuangan. Sebagai operasi entitas dan sistem menjadi lebih kompleks, menjadi lebih mungkin bahwa auditor akan memerlukan pemahaman yang lebih besar komponen pengendalian internal untuk merancang tes kontrol dan tes substantif.
SAS 94 menjelaskan pengendalian yang dibutuhkan untuk memastikan bahwa entri berulang dan tidak berulang yang resmi, lengkap, dan benar dicatat dalam lingkungan TI. Auditor harus memperoleh pemahaman tentang bagaimana TI mempengaruhi aktivitas kontrol yang relevan untuk perencanaan audit. Aplikasi kontrol memerlukan penggunaan TI untuk memulai, merekam, memproses, dan melaporkan transaksi atau data keuangan lainnya. Contohnya meliputi pemeriksaan mengedit data input, cek urutan numerik, dan manual tindak lanjut dari laporan pengecualian. Kontrol umum adalah kebijakan dan prosedur yang mendukung efektivitas pengendalian aplikasi dengan membantu memastikan pengoperasian lanjutan dari sistem informasi. Jenderal kontrol umumnya termasuk kontrol atas pusat data dan operasi jaringan, akuisisi sistem dan aplikasi dan pemeliharaan, keamanan akses, dan aplikasi sistem akuisisi, pengembangan, dan pemeliharaan. Contoh kontrol umum mencakup kontrol yang membatasi akses ke program atau data, kontrol atas pelaksanaan rilis baru dari aplikasi perangkat lunak paket, dan kontrol atas sistem utilitas yang dapat mengubah data keuangan atau catatan tanpa meninggalkan jejak audit.
SAS 94 mengidentifikasi manfaat potensial dari TI dalam efektivitas pengendalian internal, termasuk: aplikasi yang konsisten dari aturan bisnis dan kinerja perhitungan kompleks, ketepatan waktu ditingkatkan, ketersediaan, dan keakuratan informasi, dan kemampuan ditingkatkan untuk mencapai pemisahan tugas yang efektif dengan menerapkan kontrol keamanan dalam aplikasi, database, dan sistem operasi. SAS 94 juga mengakui, bagaimanapun, bahwa TI menimbulkan risiko khusus untuk pengendalian internal, termasuk ketergantungan pada sistem atau program yang tidak akurat pengolahan data, pengolahan data tidak akurat, atau keduanya; akses tidak sah ke data yang dapat mengakibatkan kerusakan data atau perubahan yang tidak benar data, termasuk transaksi tidak ada atau tidak akurat, dan potensi kehilangan data. SAS 94 juga menekankan bahwa dokumentasi lebih-luas (misalnya, diagram alur, kuesioner, atau tabel keputusan) mungkin diperlukan untuk mendukung pemahaman auditor dan evaluasi pengendalian internal dan IT penilaian risiko.
SAS 94 memberikan panduan dalam menilai ketika ketrampilan khusus yang diperlukan untuk mempertimbangkan efek TI di audit, untuk memahami kontrol, dan untuk merancang dan melakukan prosedur audit. Faktor yang harus dipertimbangkan oleh auditor dalam menentukan apakah seorang spesialis yang dibutuhkan adalah: kompleksitas sistem entitas dan TI kontrol, dan cara di mana mereka digunakan dalam melakukan bisnis entitas, pentingnya perubahan sistem yang ada atau pelaksanaan sistem baru, sejauh mana data yang dibagi di antara sistem; tingkat partisipasi entitas dalam perdagangan elektronik, penggunaan entitas teknologi muncul, dan pentingnya elektronik-satunya bukti audit. Menurut SAS 94, prosedur yang auditor dapat menetapkan untuk seorang IT profesional meliputi: bertanya bagaimana data dan transaksi dimulai, dicatat, diproses, dan dilaporkan; bagaimana TI kontrol yang dirancang; memeriksa sistem dokumentasi; mengamati pengoperasian TI kontrol, dan perencanaan dan melakukan tes TI kontrol. Auditor harus memiliki cukup pengetahuan IT untuk mengkomunikasikan tujuan audit untuk seorang IT profesional, untuk mengevaluasi apakah prosedur yang akan memenuhi tujuan auditor, dan untuk mengevaluasi hasil prosedur yang berkaitan dengan sifat, saat, dan luasnya prosedur audit lainnya .
Sistem informasi auditor, yang mengevaluasi bagaimana sistem komputer perusahaan melindungi aset dan menjaga integritas data, dalam permintaan panas. The Wall Street Journal melaporkan Mei 2006 bahwa para majikan lebih banyak meminta sertifikasi profesional sebagai cara untuk menunjukkan tingkat keterampilan tinggi dan SOX menunjukkan regulator bahwa staf yang berpengetahuan. Komunikasi yang efektif dan strategi antara manajemen, akuntan, dan auditor yang penting dalam mengurangi atau mempertahankan terhadap ancaman yang muncul terhadap sistem informasi akuntansi.
Teknik audit baru untuk mengevaluasi pengendalian internal dan verifikasi keandalan dan kredibilitas data dari sistem informasi akuntansi ini telah dan akan terus dibutuhkan. Untuk benar mengevaluasi potensi risiko, akuntan dan auditor harus terbiasa dengan teknologi saat ini dan muncul. Kontrol atas akses tidak sah ke catatan akuntansi merupakan komponen penting dari pengendalian internal. Akses dan sandi kebijakan, enkripsi, tanda tangan digital, kunci disk, firewall, dan sertifikat digital adalah contoh dari langkah pengendalian yang harus diidentifikasi, didokumentasikan, dilaporkan, dan dikenakan verifikasi dalam evaluasi efektivitas kontrol.
Pengembangan profesional dalam mendokumentasikan pengendalian internal, kepatuhan, dan dampak TI tersedia melalui sejumlah organisasi. Informasi dapat ditemukan dari SEC ( www.sec.gov ), AICPA ( www.aicpa.org ), IIA ( www.theiia.org ), IMA ( www.imanet.org ), COSO ( www.coso.gov ) , dan ISACA ( www.isaca.org ).
Implikasi bagi Akademisi
Apakah pendidik memberikan siswa dengan kerangka untuk memahami kebutuhan keamanan TI dan pentingnya bekerja dengan orang lain untuk mengembangkan kebijakan, proses, dan teknologi untuk mengatasi ancaman? Apakah profesional akuntansi mendatang memiliki kesempatan untuk belajar tentang informasi, jaminan keamanan dan aplikasi kepatuhan, perencanaan kelangsungan bisnis, tata kelola TI, manajemen privasi, identitas digital dan otentikasi teknologi, integrasi aplikasi dan data, baru nirkabel dan teknologi paperless, dan deteksi spyware dan penghapusan ? Apakah jurusan akuntansi diperlukan untuk menunjukkan pengetahuan, keterampilan, dan etika yang akan memungkinkan mereka untuk memahami lingkungan bisnis, membuat penilaian risiko, mengevaluasi pengendalian internal, dan menerapkan langkah-langkah keamanan yang efektif dan efisien?
Akademisi, terutama guru akuntansi, MIS, TI, dan topik-topik bisnis terkait, harus bekerja sama untuk memastikan bahwa profesional masa depan memiliki pengetahuan, keterampilan, dan kemampuan untuk bekerja sebagai manajer, akuntan, atau auditor untuk mengatasi ancaman terus. Mencari integrasi topik keamanan dan teknik ke dalam kurikulum akuntansi adalah penting; bekerja di seluruh disiplin ilmu muncul kritis. Mengenali dan bermanfaat kegiatan fakultas dan prestasi dalam lintas-fungsional pengembangan kurikulum, pertumbuhan profesional, dan layanan profesional melalui promosi dan keputusan kepemilikan adalah penting.
Perlu dicatat bahwa CPA, CMA, dan sertifikasi CIA telah semakin diakui pentingnya TI. Pada ujian CPA, 12% sampai 18% dari bagian "Audit dan Atestasi" dan 22% sampai 28% dari "Lingkungan Bisnis dan Konsep" berhubungan bagian topik tes untuk lingkungan komputerisasi dan TI implikasi dalam lingkungan bisnis. Pada ujian CMA, 15% dari Bagian I dan II berhubungan dengan penilaian risiko, pengendalian internal, sistem kontrol dan keamanan, pengembangan sistem dan desain, perdagangan elektronik, perencanaan sumber daya perusahaan (ERP) sistem, dan daerah lain yang berkaitan dengan sistem informasi dan teknologi . Pada ujian CIA, 30% sampai 40% dari Bagian III meliputi TI, termasuk kerangka kontrol, data dan jaringan komunikasi, pertukaran data elektronik, enkripsi, dan perlindungan informasi.
Baru sebutan profesional, seperti Teknologi Informasi Certified Professional (CITP), Sistem Informasi Certified Auditor (CISA), dan Certified Profesional Keamanan Sistem Informasi (CISSP), menunjukkan permintaan untuk sertifikasi berkaitan dengan teknologi informasi, audit sistem, dan keamanan sistem. Sebagai contoh, ISACA memiliki 31.000 orang mendaftar untuk mengambil CISA tahun 2005, dua kali jumlah pada tahun 2004.
Menginformasikan mahasiswa dari perubahan isi dan pertumbuhan sertifikasi profesional, serta menyediakan mereka dengan pemahaman konseptual keterkaitan pengendalian internal, keamanan informasi, pelaporan keuangan, dan TI-terkait keamanan dan tindakan pengendalian, adalah penting. Selain itu, akademisi akan perlu untuk membantu para profesional akuntansi masa depan menyadari bahwa mereka harus berkomitmen untuk belajar seumur hidup dan tinggal mengikuti masalah ini dan lainnya di masa mendatang.
Memahami Kebutuhan Keamanan: Sebuah Penyebut Umum
Keamanan informasi elektronik telah menjadi perhatian penting. Akademisi, manajer, akuntan, dan auditor semua harus fasih dengan ancaman yang muncul dan langkah-langkah keamanan yang efektif dalam menjaga sistem informasi akuntansi aman.
Menjaga informasi pribadi dan eksklusif dan menjamin integritas dari komponen sistem informasi akuntansi dalam lingkungan digital saat ini hadir banyak tantangan. Penerapan persyaratan sistem informasi yang efektif harus memberikan jaminan yang wajar bahwa sistem informasi akuntansi akan menghasilkan informasi yang relevan dan dapat diandalkan untuk memenuhi kebutuhan pelaporan internal dan eksternal.
Dengan atau tanpa SOX, pengendalian internal harus menjadi prioritas utama. Kebijakan dan prosedur harus memerlukan pemeliharaan catatan yang secara akurat detail dan adil mencerminkan transaksi dan disposisi aset; memberikan jaminan yang wajar bahwa transaksi dicatat dengan benar, memastikan bahwa penerimaan dan pengeluaran yang dibuat hanya sesuai dengan otorisasi yang tepat, dan memberikan jaminan yang wajar mengenai pencegahan atau deteksi tepat waktu akuisisi yang tidak sah, penggunaan, atau disposisi dari aset yang dapat berdampak material terhadap laporan keuangan.
Mengidentifikasi, melaksanakan, dan memantau beberapa persyaratan sistem dasar dan solusi yang berkelanjutan untuk kedua tantangan keamanan umum dan unik yang dapat timbul dalam suatu perusahaan elektronik terbatas dengan lingkungan yang kaya teknologi harus dilakukan. Ini termasuk kebijakan dan prosedur terkait dengan e-mail password dan solusi penggunaan, antivirus dan antispyware, firewall, akses yang berwenang, otentikasi, pemisahan tugas, privasi, enkripsi, tanda tangan digital dan sertifikat, nonrepudiation, integritas data, penyimpanan, file backup dan kaset , dan muncul ancaman lainnya dan teknologi. Akhirnya, pembentukan nada yang tepat di atas sehubungan dengan privasi dan keamanan, serta mempekerjakan waspada, karyawan etis, adalah penting untuk mengamankan sistem informasi kita terhadap ancaman berbahaya.
http://translate.google.co.id/translate?hl=id&langpair=en%7Cid&u=http://www.nysscpa.org/cpajournal/2007/507/essentials/p34.htm
Tidak ada komentar:
Posting Komentar