- Apakah data dikonversi secara otomatis dari form dan dimasukkan ke dalam
aplikasi seacra akurat, lengkap dan tepat waktu;
- Apakah data diproses oleh aplikasi secara lengkap dan tepat waktu, sesuai
kebutuhan, dan
Pada phase ini, auditor menghasilkan opini pada akhir periode tentang apakah
kontrol internal sudah cukup dalam mengantisipasi pencegahan atau deteksi kerugian,
noncompliance atau missstatement yang cukup material berhubungan dengan laporan
keuangan.
-Memperoleh pemahaman tentang misi bisnis,tujuan dan proses, yang meliputi informasi
dan persyaratan pengolahan, seperti ketersediaan, integritas, keamanan dan teknologi
bisnis.Pada langkah ini kita harus mempelajari tujuan dan fungsi dari dibangunnya sistem
ATM,dimana kita mempelajari proses dari aplikasi system dan data yang menjadi sumber
proses ATM tersebut untuk menghasilkan informasi.
• Teknologi bisnis yaitu dapat mempelajari jalannya proses ATM secara umum.
- Evaluasi penilaian risiko dan analisis dampak privasi apapun yang dilakukan oleh
manajemen.
Pada tahap ini akan dilakukan kegiatan pemeriksaan sistem manajemen resiko pada ATM
apakah sudah berjalan dengan baik untuk melindungi sistem ini dari ancaman,dan mempelajari
kembali kegiatan evaluasi yang dilakukan oleh manajemen apakah kegiatan yang dilakukan oleh
manajemen menimbulkan resiko pada ATM atau manajemen telah melakukan penyimpamgan
dan penyalahgunaan sistem terkait.
3. Perencanaan risiko kontrol tinggi berdasar kontrol umum dan tindak lanjut manual
Untuk menentukan kecenderungan dari dampak negatif, maka ancaman pada sistem IT harus
dianalisa bersamaan dengan potensi kelemahan dan kontrol yang ada pada sistem IT. Rating
kecenderungan dan kelemahan dapat dianalisa dengan melakukan langkah – langkah berikut:
Karakteristik sistem diperlukan untuk memperoleh informasi sehubungan dengan batasan analisa
risiko yang akan dilakukan serta untuk mendapatkan informasi (seperti hardware, software,
Dalam mengidentifikasi risiko, maka perlu dilakukan pengumpulan informasi yang berhubungan
• Hardware
• Software
• Interface sistem (konektivitas internal dan eksternal)
Sebuah ancaman adalah potensi dimana sebuah sumber kejadian berhasil memanfaatkan
kelemahan yang ada. Sebuah sumber ancaman tidak akan menimbulkan risiko jika tidak ada
kelemahan yang dapat dimanfaatkan. Dalam menentukan kecederungan sebuah ancaman, maka
harus dipertimbangkan sumber ancaman, potensi kelemahan dan kontrol yang ada.
Analisa terhadap ancaman dalam sistem IT harus mencakup analisis terhadap kelemahan dalam
lingkungan sistem. Contoh dari kelemahan adalah karyawan yang sudah dikeluarkan masih
tercatat dalam sistem payroll. Tujuan dari tahapan ini adalah untuk mendapatkan list kelemahan
pada sistem yang dapat diungkapkan oleh sumber ancaman.
Tujuan dari tahap ini adalah untuk menganalisa kontrol yang sudah diimplementasikan atau
direncanakan untuk diimplementasikan oleh organisasi untuk meminimalisasi atau
menghilangkan kecenderungan (kemungkinan) sebuah ancaman memanfaatkan kelemahan
sistem.
a. Sumber ancaman
Langkah berikutnya dalam melakukan pengukuran level risiko adalah menetapkan dampak
negatif akibat keberhasilan sebuah ancaman memanfaatkan kelemahan yang ada. Sebelum
memulai analisa dampak, pertama kali perlu didapatkan informasi berikut:
a. Misi sistem
Data diatas dapat dipergunakan sebagai dasar dalam menentukan indikator risiko yang dapat
berdampak negatif pada sistem serta menentukan besaran kualitatif dari dampak yang ada.
Tujuan dari tahap ini adalah untuk menilai level risiko pada sistem IT. Penetapan risiko untuk
ancaman/kelemahan tertentu dapat digambarkan sebagai ekspresi:
b. Besaran dampak dimana sebuah sumber ancaman berhasil mengungkapkan sebuah kelemahan
c. Kecukupan control yang ada maupun yang akan diterapkan untuk mengurangi atau
menghilangkan risiko.
Langkah 8: Rekomendasi Kontrol
Selama tahapan proses analisa risiko, kontrol yang dapat memitigasi atau menghilangkan risiko
yang ada harus ditetapkan. Tujuan dari kontrol yang direkomendasikan adalah untuk mengurangi
level risiko pada sistem IT dan datanya sampai pada level yang dapat diterima. Faktor berikut
harus dipertimbangkan dalam merekomendasikan kontrol dan solusi alternatif untuk
meminimalisasi atau mengeliminasi risiko yang ada adalah:
• Kebijakan organisasi
• Dampak operasional
Pada tahap ini kegiatan pengendalian intern dapat mencegah kerugian atau pemborosan
menyediakan informasi tentang bagaimana menilai kinerja system ATM dan manajemen
system serta menyediakan informasi yang akan digunakan sebagai pedoman dalam
perencanaan.
1. Manajemen Proyek
Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang
diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas
project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan
pekerjaan proyek.
Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman
dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi
proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output.
3. Desain Infrastruktur
Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server,
Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan
Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan
menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat
-Migrasi data, pada saat “roll-out” ke cabang-cabang, termasuk kapasitas pemrosesan dan
penyimpanannya.
-Kesiapan pemakai dalam menggunakan sistem ini, kualitas pelatihan yang diberikan dan
dokumentasi pengguna ( user manual )
Pada tahap ini pendekatan audit sistem informasi yang dapat dikategorikan ke dalam tiga
kelompok, yaitu : (a) auditing around the computer (b) auditing with the computer dan (c)
(a) Auditing around the computer, adalah mentrasir balik (trace -back) hasil olahan komputer
antara lain output ke bukti dasarnya antara lain input tanpa melihat prosesnya. Auditing with the
computer, pendekatan ini menitikberatkan pada penggunaan komputer sebagai alat bantu audit .
Alat bantu audit ini berupa komputer dilengkapi dengan software umum audit( enerale audit
(b) Auditing with computer yaitu kegiatan audit yang berkenaan dengan sistematika informasi
(c) Auditing throught the computer, auditor harus memperlakukan komputer sebagai target audit
dan melakukan audit throught atau memasuki area program. Oleh sebab itu pendekatan
Auditing throught the computer termasuk juga dalam CAATs (Computer Assisted
b. Kekhawatiran bahwa jumlah yang ditunjukkan pada print-out komputer tidak sama dengan
Suatu daftar periksa untuk menilai seluruh aspek dari manajemen sumber daya manusia dalam
suatu perusahaan.
-Menyiapkan laporan audit untuk manager lini dan evaluasi departemen SDM
Tahapan ini bertujuan untuk mengetahui secara detail mengenai sistem yang
akan diaudit. Beberapa hal yang perlu diperhatikan pada saat identifikasi
adalah :
-operasional
-kelangsungan operasional
Setelah Identifikasi sistem diketahui, maka teknik pengawasan dan prosedur audit
dapat dilakukan. Berikut adalah tahapan evaluasi dan uji pada sistem informasi yang
harus dilakukan :
Pembatasan dan pendeteksian akses ke komputer sumber (data, program, peralatan, dan
- dikomunikasikan secara
aman kepada fungsi
keamanan
- secara otomatis
diterminasi setelah periode
tertentu
- akses kontrol ke DD
menggunakan profil
security dan password
- memelihara jejak audit
untuk memonitoring
perubahan DD
diimplementasikan.
3. Software Sistem(SS)
Mengontrol batasan akses dan memonitor akses ke seluruh program dan file-file sensitif
yang mengontrol hardware komputer dan aplikasi keamanan yang didukung oleh sistem.
Untuk proses audit pada Automated Teller Machine, tahapan yang dilakukan sama
dengan proses diatas, hanya saja teknik kontrol dan prosedur audit disesuaikan dengan
kondisi yang terdapat pada ATM. Pada modul ini kegiatan audit difokuskan pada aplikasi
Host / ATM center. Adapun beberapa hal yang harus diperhatikan pada audit Host adalah
- Site security and controls (Mis. Siapa saja yang dapat masuk ke ruangan Host ?