Anda di halaman 1dari 20

PENILAIAN RESIKO DAN ANALISIS PROSES BISNIS

Risiko adalah kemungkinan terjadi tindakan atau peristiwa yang akan memiliki efek buruk pada organisasi dan sistem informasi. Risiko juga dapat potensi bahwa ancaman yang diberikan akan mengeksploitasi hilangnya, atau kelemahan suatu kerusakan, aset. asset Hal atau ini

kelompok aset menyebabkan

biasanya diukur oleh kombinasi efek dan kemungkinan terjadinya. Semakin banyak organisasi yang bergerak ke pendekatan audit berbasis risiko yang dapat disesuaikan untuk mengembangkan dan meningkatkan proses audit terus menerus. Pendekatan ini digunakan untuk menilai risiko dan untuk

membantu IS keputusan auditor untuk melakukan pengujian kepatuhan baik atau pengujian substantif. Dalam pendekatan audit berbasis risiko, IS auditor tidak hanya mengandalkan risiko. Mereka juga mengandalkan pengendalian internal

dan operasional serta pengetahuan organisasi. Jenis keputusan penilaian risiko dapat membantu berhubungan analisis biaya / manfaat dari kontrol untuk risiko yang diketahui, yangmemungkinkan pilihan praktis.

Proses mengukur risiko disebut Risk Assessment. Penilaian Risiko berguna dalam pengambilan keputusan seperti: 1. Fungsi daerah / bisnis yang akan diaudit 2. Sifat, lingkup dan waktu prosedur audit 3. Jumlah sumber daya yang dialokasikan untuk audit

Berbagai jenis risiko harus dipertimbangkan:

Inherent Risk adalah kerentanan area audit bermasalah yang bisa bersifat material, secara individual atau kombinasi dengan masalah yang lain, dengan asumsi bahwa tidak adanya pengendalian internal yang terkait. Dalam menilai inherent risk, IS auditor harus mempertimbangkan baik meresapi dan detail dari kontrol IS. Kontrol IS secara umum dirancang untuk mengelola dan memantau lingkungan dan IS yang karenanya mempengaruhi semua kegiatan yang berhubungan dengan IS.

Beberapa kontrol IS yang auditor dapat dipertimbangkan : Integritas manajemen IS dan pengalaman IS manajemen dan pengetahuan Perubahan dalam manajemen IS Tekanan pada IS manajemen yang mungkin mempengaruhi mereka untukmenyembunyikan atau salah mengutarakan informasi (misalnya besar bisnis penting proyek selama-berjalan, dan aktivitas hacker) Sifat dari bisnis organisasi dan sistem (misalnya, rencana untuk perdaganganelektronik, kompleksitas sistem, dan kurangnya sistem terpadu) Faktor yang mempengaruhi industri organisasi sebagai (misalnya, perubahan teknologi, dan IS ketersediaan staf) seluruh Tingkat pengaruh pihak ketiga pada kontrol dari sistem yang diaudit (misalnya, karena integrasi rantai pasokan, outsourcing IS proses, usaha bisnis bersama,dan akses langsung oleh pelanggan) Temuan dari dan tanggal audit sebelumnya

Control Risk adalah kerentanan area audit bermasalah yang bisa bersifat material, secara individual atau kombinasi dengan masalah yang lain, yang tidak bisa dihindari atau dideteksi dan dibenarkan secara tepat waktu oleh sistem pengendalian internal. IS auditor harus menilai control risk secara tinggi jika tidak, internal control yang relevan adalah : 1. Diidentifikasi 2. Dievaluasi secara efektif 3. Dites dan dibuktikan beroperasi dengan baik 4. Detection Risk adalah resiko bahwa prosedur substantive IS auditor tidak akan mendeteksi masalah yang bisa menjadi material, secara individual atau kombinasi dengan masalah lain. Dalam menentukan tingkat pengujian substantif yang

diperlukan, IS auditor harus mempertimbangkan baik: Penilaian risiko yang melekat Kesimpulan yang dicapai pada risiko kontrol berikut pengujian kepatuhan Semakin tinggi penilaian risiko bawaan dan risiko pengendalian bukti audit yang lebih IS auditor biasanya harus mendapatkan dari kinerja prosedur audit substantif.

PENGENDALIAN INTERNAL

Pengendalian internal berkaitan dengan proses-proses dan praktek-praktek dimana manajemen suatu organisasi berusaha untuk memastikan bahwa keputusankeputusan dan aktivitas-aktivitas yang disetujui dan memadai benar-benar dilaksanakan. Pengendalian internal bertujuan untuk mencegah para penjabat dan karyawan melakukan aktivitas-aktivitas terlarang dan tidak layak. Berkembangannya ukuran dan kerumitan perusahaan-perusahaan modern dan juga sensitivitas masyarakat yang terus meningkat terhadap perilaku perusahaan telah menimbulkan perhatian yang besar terhadap pengendalian internal . Pertumbuhan yang cepat dari Electronic Data Processing (EDP) dalam bisnis memiliki efek yang besar dalam akuntansi publik. Dengan penemuan dari komputer mini dan PC network yang tidak mahal, sehingga banyak klien audit yang menggunakan komputer untuk aktivitas akuntansi yang kecil. Auditor harus mempersiapkan diri dengan lingkungan yang berubah, dimana auditor harus memiliki skill yang memadai untuk melakukan audit dengan komputer. Auditor memiliki tanggung jawab yang sama dalam sistem EDP dengan sistem manual, yaitu untuk menyatakan bahwa laporan keuangan sutau perusahaan telah menginterpretasikan proses dari transaksi-transaksi yang yang sesuai dengan Generally Accepted Accounting Principles (GAAP). Pengendalian internal dalam EDP diorientasikan pada tiga bidang umum operasi perusahaan yaitu : y y y Data keuangan Aktiva bisnis dari suatu organisasi. Efisiensi dari operasi.

Pengendalian internal dalam sistem EDP dibagi menjadi dua, yaitu : 1. Pengendalian Umum (General Control) Memberikan standar dan pedoman sebagai landasan kerja para karyawan. Aspek-aspek pendirian organisasi tercakup dalam pengendalian umum, tujuan utamanya adalah prosedur dan standar yang tercakup dalam pelaksanaan fungsi. Standar dan prosedur dalam lingkungan pengolahan data mencakup bagaimana sistem didokumentasikan, prosedur-prosedur untuk pengembangan sistem dan perubahan-perubahan sistem, dan metode-metode pengoperasian fasilitas pemrosesan informasi yang

mencakup fungsi-fungsi yang meliputi konversi, penyimpanan, kontrol (pengendalian) data dan operasi pusat komputer.

2. Pengendalian Aplikasi (Application Control) Terutama bertalian dengan kecermatan dan kelengkapan data dari suatu aplikasi tertentu dalam suatu organisasi . Sebagai contoh, dalam suatu sistem gaji dan upah, pengendalian aplikasi mempengaruhi perhitungan dan penyusunan cek-cek gaji dan upah dan dokumen-dokumen pendukung serta skedul-skedul.

Pedoman yang dapat digunakan untuk perlindungan intergritas data dalam sistem pengolahan data diidentifikasikan dalam The auditior s Study and Evaluation of Internal Control in EDP Systems (Studi dan Evaluasi Auditor Mengenai Pengendalian Internal dalam Sistem EDP) yang dipublikasikan ole AICPA.

Kesembilan belas standar pengendalian umum adalah sebagai berikut:

1. Fungsi antara departemen EDP dan pemakai harus dipisahkan. 2. Orang-orang dalam departemen EDP tidak diperkenankan melaksanakan atau mengotorisasi transaksi, mengelola harta non-EDP, dan membuat

perubahan-perubahan file induk. 3. Fungsi-fungsi dalam departemen EDP harus dipisahkan dengan tepat. 4. Prosedur-prosedur untuk desa desain sistem, termasuk perolehan paketpaket software, harus memerlukan partisipasi aktif dari wakil-wakil pemakai dan, jika cocok, departemen akuntansi dan auditor internal. 5. Setiap sistem harus memiliki spesifikasi tertulis yang direviu dan disetujui oleh suatu tingkat manajemen yang cocok dan departemen pemakai yang berkepentingan. 6. Pengujian sistem harus merupakan suatu usaha gabungan dari pemakai dan personil EDP dan harus mencakup baik fase manual maupun fase yang dikomputerisasi dari sistem tersebut. 7. Persetujuan final harus diperoleh sebelum penempatan suatu sistem baru ke dalam operasi. 8. Semua file induk dan konversi file transaksi harus dikendalikan untuk menghindari perubahan-perubahan yang tidak sah dan untuk memperoleh hasil yang cermat dan lengkap. 9. Setelah sistem yang baru diterapkan dalam operasi, semua perubahan program harus disetujui sebelum implementasinya untuk menetapkan apakah perubahan-perubahan itu sudah disahkan, diuji, dan

didokumentasikan. 10. Manajemen harus meminta berbagai tingkat dokumentasi dan prosedur formal untuk mendefinisikan sistem ke dalam tingkat perincian yang tepat.

11. Ciri-ciri pengendalian yang melekat dalam hardware komputer, sistem operasi, dan software pendukung lainnya harus digunakan semaksimal mungkin untuk menciptakan pengendalian atas operasi dan untuk mendeteksi dan melaporkan tidak berfungsinya hardware. 12. Software sistem harus tunduk pada prosedur-prosedur pengendalian yang sama sebagaimana diterapkan pada instalasi dan perubahan-perubahan program aplikasi. 13. Akses ke dokumentasi program harus dibatasi hanya pada mereka yang memerlukannya untuk melaksanakan tugas mereka. 14. Akses ke file data dan program-program harus dibatasi hanya pada mereka yang berwenang untuk memroses atau menyelenggarakan sistem tertentu. 15. Akses ke hardware komputer harus dibatasi hanya pada mereka yang berwenang saja. 16. Suatu fungsi pengendali harus bertanggung jawab untuk menerima semua data yang akan diproses, untuk menjamin agar semua data itu dicatat, untuk melaksanakan tindak lanjut atas setiap kesalahan yang dideteksi selama pemrosesan untuk melihat bahwa kesalahan-kesalahan itu dikoreksi dan dikembalikan oleh pihak yang bersangkutan, dan untuk memverifikasi distribusi yang tepat dari output. 17. Suatu pedoman tertulis mengenai sistem dan prosedur harus disusun oleh semua operator komputer dan harus melengkapi otorisasi umum atau khusus dari manajemen untuk memroses transaksi. 18. Auditor internal atau beberapa kelompok independen lainnya dalam suatu organisasi haru mereviu dan mengevaluasi sistem yang diajukan pada tahapan-tahapan kritis pengembangannya. 19. Dengan suatu basis yang kontinu, auditor internal atau beberapa kelompok independen lainnya dalam suatu organisasi harus mereviu dan menguji aktivitas pemrosesan komputer.

Pengendalian Aplikasi yang diterbitkan oleh AICPA terdiri dari dua belas pengendalian yaitu: 1. Hanya input yang telah diotorisasi dan disetujui secara benar, disediakan sesuai dengan otorisasi manajemen yang umum atau spesifik, yang dapat diterima untuk diproses dalam sistem EDP. 2. Sistem harus memverifikasi semua kode yang digunkan untuk menyimpan data. 3. Konversi data ke dalam bentuk yang dapat diterima oleh mesin komputer harus dikendalikan. 4. Perpindahan data dari satu proses ke proses lainnya atau antara departemendepartemen harus dikontrol. 5. Koreksi dan pemasukkan ulang semua kesalahan yang terdeteksi oleh sistem aplikasi harus dikaji ulang dan dikendalikan. 6. Total pengendalian harus dibuat dan direkonsiliasikan dengan total pengendalian input. 7. Pengendalian harus mencegah pemrosesan file yang salah dan mendeteksi kesalahan dalam manipulasi file. 8. Batas dan reasonebleness checks harus dimasukkan ke dalam program-program. 9. Pengendalian run-to-run harus diverifikasi pada titik yang diperlukan dalam siklus pemrosesan. 10. Total pengendalian output harus direkonsiliasi dengan pengendalian-

pengendalian input dan proses. 11. Output harus diamati dan diuji dengan cara membandingkannya dengan dokumen-dokumen sumber yang asli. 12. Output sistem hanya dapat didistribusikan hanya kepada pengguna-penguna yang telah diotorisasi.

Efek EDP dalam Pengendalian Internal


Pengamanan aset, integritas data, keefektifan sistem, dan efisiensi sistem dapat tercapai hanya jika organisasi manajemen membuat sistem pengendalian internal. Secara tradisional, komponen utama dari sistem pengendalian internal telah termasuk pemisahan tugas, pendelegasian yang jelas dari kekuasaan dan tanggung jawab, pengrekrutan dan pelatihan untuk karyawan yang berkualitas tinggi, sistem otorisasi, dokumen dan catatan-catatan yang memadai, kontrol fisk terhadap asetaset dan catatan-catatan, supervisi manajemen, pengecekan yang independen terhadap kinerja, dan perbandingan periodik terhadap catatan akuntabilitas data dengan aset. Di dalam EDP sistem komponen ini harus tetap ada; meskipun, penggunaan dari EDP mempengaruhi implementasi dari komponen-komponen ini dalam beberapa cara pada seksi yang selanjutnya secara singkat memeriksa beberapa dari area-area utama yang terkena imbas/efek sampng.

Pemisahan tugas
Dalam sistem manual, individual yang terpisah seharusnya lebih bertanggung jawab untuk memulai/memprakarsai transaksi, pencatatan transaksi-transaksi, dan pengawasan terhadap aset-aset. Sebagai kontrol yang mendasar, pemisahan tugas itu untuk menghalangi atau mendeteksi adanya kesalahan dan kejanggalan. Di dalam sistem komputer, bagaimanapun, tanggapan tradisional dari pemisahan tugas tidak selalu dipakai.

Sebagai contoh, program yang mungkin merekonsiliasi faktur penjual terhadap dokumen penerimaan dan mencetak cek dengan jumlah yang terhutang ke kreditur. Jadi, program itu adalah menampilkan fungsi yang di dalam manual sistem dapat dianggap tidak sesuai. Akan tetapi, itu mungkin tidak efisien dan dari sudut pandang pengendalian, tidak bermanfaat menempatkan fungsi ini dalam pemisahan program. Sebagai pengganti, pemisahan tugas harus ada di dalam bentuk yang berbeda. Ketika itu suda diputuskan bahwa program telah diesekusi secara benar, kemampuan untuk menjalankan program dalam mode produksi, dan kemampuan untuk mengganti program harus dipisahkan. Dalam lingkungan komputer mini dan komputer mikro, pemisahan fungsi-fungsi yang tidak sesuai mungkin bahkan lebih sulit untuk diterima. Beberapa komputer mini dan komputer mikro memberikan pengguna-penggunanya untuk mengubah programprogram dan data dengan muda; lebih jauh lagi, mereka menyediakan tidak ada pencatatan atas perubahan-perubahan ini. Jika komputer mini dan komputer mikro tidak memiliki kemampuan yang menunjang untuk menyediakan catatan yang aman dari perubahan, itu mungkin sulit untuk diputuskan apakah fungsi-fungsi yang tidak sesuai telah dijalankan oleh pengguna-pengguna sistem.

Pendelegasian kekuasaan dan tanggung jawab


Garis kekuasaan dan tanggung jawab yang jelas merupakan pengendalian yang penting dalam sistem manual dan sistem komputer. Dalam sistem komputer, pendelegasian kekuasaan dan tanggung jawab bisa menjadi sangat sulit karena beberapa sumber daya dipergunakan oleh beberapa pengguna. Ketika beberapa pengguna memiliki akses terhadap data yang sama dan integritas dari data tersebut menjadi dilanggar, sangat tidak mudah untuk melacak siapa yang bertanggung jawab atas pengkorupsian data dan siapa yang bertanggung jawab untuk mengindetifikasi dan memperbaiki kesalahan.

Beberapa organisasi telah mencoba menyelesaikan masalah ini dengan merancang single user sebagai pemilik dari data. Pengguna ini memiliki tanggung jawab yang besar untuk integritas dari data tersebut. Garis kekuasaan dan tanggung jawab juga menjadi tidak jelas karena pertumbuhan yang cepat dalam end user computing, dimana pengguna dapat mengembangkan, memodifikasi, dan menjaga aplikasi mereka sendiri tanpa membutuhkan bantuan dari departemen sistem informasi. Perkembangan ini memiliki keuntungan untuk pengguna jasa komputasi dalam organisasi tetapi hal ini juga menambah masalah dari pengendalian keseluruhan penggunaan komputer.

Karyawan Kompeten yang dapat Dipercaya


Karyawan yang berkemampuan tinggi sangat diperlukan untuk mengembangkan, memodifikasi, menjaga, dan mengoperasikan sistem komputer saat ini. Lalu, keberadaan dari karyawan yang kompeten dan dapat dipercaya menjadi lebih penting ketika sistem komputer digunakan untuk memproses data organisasi. Untuk memastikan bahwa organisasi memiliki karyawan pemrosesan data yang kompeten dan dapat dipercaya menjadi tugas yang sulit karena sedikitnya karyawan pemrosesan data yang terlatih dengan baik dan berpengalaman yang tersedia. Seringkali sangat tidak mudah bagi organisasi untuk menguji kompetensi dan integritas dari staff EDP-nya. Tingginya tingkat keluar masuk dari karyawan pemrosesan data dalam industri dan evolusi dari teknologi yang cepat mempersulit kemampuan manajemen untuk mengevaluasi kemampuan pekerjanya.

Sistem Otorisasi
Sistem otorisasi manajemen untuk menginisiasi suatu transaksi ada dua: 1. Otorisasi umum Otorisasi umum membuat kebijakan yang harus diikuti oleh organisasi, contoh : daftar harga tetap dikeluarkan oleh karyawan untuk digunakan ketika produk dijual. 2. Otorisasi spesifik Otorisasi spesifik diterapkan terhadap transaksi-transaksi individual, contoh : akuisisi aset modal yang penting harus disetejui oleh para direktur.

Di dalam sistem manual, auditor mengevaluasi kecukupan prosedur-prosedur untuk otorisasi dengan memeriksa pekerjaan dari karyawan-karyawan, sedangkan dalam sistem komputer prosedur otorisasa biasanya telah menjadi satu dalam program komputer. Ketika mengevaluasi kecukupan prosedur otorisasi dalam sistem komputer, auditor tidak hanya harus memeriksa pekerjaan dari karyawankaryawannya tetapi juga memeriksa ketepatan dari program pemrosesan. Dalam sistem komputer menjadi lebih sulit untuk menguji apakah kekuasaan yang diberikan kepada individual telah konsisten dengan keinginan manajemen.

Dokumen dan Catatan yang Memadai


Dalam sistem manual, dokumen dan catatan yang memadai sangat diperlukan untuk menyediakan jejak audit dari aktivitas-aktivitas yang terjadi dalam sistem. Dalam sistem komputer, dokumen mungkin tidak digunakan untuk menginisiasi, mengesekusi dan mencatat beberapa transaksi, contoh: di dalam sistem pemesanan online, pemesanan kostumer yang diterima dapat diterima melalui telepon atau langsung dimasukkan ke dalam sistem tanpa menggunakan dokumen seperti sales order. Hal tersebut menyebabkan ketidakadaan jejak audit atau manajemen yang terlihat jelas untuk melacak transaksi-transaksi tersebut. Ketidakadaan dari jejak audit yang jelas bukan merupakan masalah bagi auditor yang mengaudit sistem yang telah dirancang untuk menyimpan catatan dari semua kejadian dan dapat mengakses catatan-catatan tersebut. Dalam sistem komputer yang terancang dengan baik, jejak audit bahkan tersedia lebih baik daripada yang terdapat dalam sistem manual.

Kontrol Fisik Terhadap Aset dan Catatan


Kontrol fisik terhadap akses ke aset dan catatan sangat penting dalam sistem manual maupun sistem komputer. Sistem komputer berbeda dengan sistem manual dalam pemrosesan data aset dan catatan organisasi, sebagai contoh: dalam sistem manual, seseorang yang ingin melakukan fraud memerlukan aset ke catatan yang disimpan di lokasi fisik yang berbeda sedangkan dalam sistem komputer, semua catatan yang diperlukan mungkin tersimpan dlam satu master file sehingga orang yang ingin melakukan fraud tersebut tidak perlu pergi ke lokasi-lokasi yang berbeda.

Pemokusan dari data pemrosesan aset dan catatan juga meningkatkan risiko kehilangan yang disebabkan dari penyalahgunaan komputer atau bencana seperti kebakaran yang memusnahkan komputer yang berisi semua master file yang penting dalam organisasi. Organisasi yang tidak memiliki back up data yang cukup atau memadai memiliki kemungkinan besar tidak dapat melanjutkan operasinya.

Supervisi Manajemen yang Memadai


Dalam sistem manual, supervisi manajemen terhadap aktivitas-ativitas yang dilakukan karyawan biasanya dilakukan secara langsung karena manajer dan

karyawan biasanya berada dalam satu lokasi fisik yang sama. Dalam sistem komputer, komunikasi data mungkin digunakan untuk lenih mendekatkan karyawan kepada pelanggan yang mereka layani sehingga supervisi secara langsung terhdapa karyawan dapat dihilangkan secara perlahan-lahan. Pengendalian supervisi harus dibuat kedalam sistem komputer untuk menggantikan pengendalian yang biasanya dilakukan melalui pengamatan dan tanya jawab. Sistem komputer juga membuat aktivitas-aktivitas yang dilakukan oleh para karyawan menjadi lebih tidak terlihat oleh manajemen karena banyak aktivitas yang dilakukan secara elektronik, sehingga para manajer harus memastikan bahwa mereka mengakses secara periodik jejak audit dari aktivitas-aktivitas yang dilakukan oleh para karyawan dan memeriksa apakah telah terjadi tindakan yang tidak diotorisasi.

Pemeriksaan Independen dari Kinerja


Dalam sistem manual, pmeriksaan secara independen dilakukan karena kebanyakkan dari karyawan lupa mengikuti prosedur, membuat kesalahan-kesalahan, mejnadi ceroboh atau gagal untuk mengikuti prosedur yang telah ditetapkan, sehingga diperlukan pemeriksaan dari orang yang independen terhadapa kejanggalan atau kesalahan yang mungkin muncul. Dalam sistem komputer, disediakan bahwa kode program terotorisasri, akurat dan lengkap dan sistem akan selalu mengikuti prosedur-prosedur yang telah dirancang sehingga pemeriksaan secara independen terhadap kinerja dari program tidak diperlukan tapi dibutuhkan pengendalian yang menekankan keyakinan dari ketepatan dari kode program yang dijalankan.

Perbandingan Akuntabilitas Data yang Tercatat dengan Aset


Secara periodeik, data yang tercatat dan aset yang bersangkutan harus dibandingkan untuk memeriksa keakuratan dan kelengkapan dari data yang ada. Dalam sistem manual, staff indpenden menyediakan data yang akan digunakan untuk perbandingan. Dalam sistem komputer, sistem yang menyediakan data-data yang akan digunakan sebagai perbandingan tersebut, sebagai contoh program akan menampilkan file persediaan yang terdapat dalam beberapa gudang yang kemudian akan dibandingkan dengan jumlah terhitung persediaan yang terdapat dalam gudang-gudang tersebut. Jika terdapat modifikasi terhadap program atau file data dari program yang digunakan, kejanggalan mungkin tidak dapat terdeteksi sehingga pengendalian internal harus diimplementasikan untuk memastikan ketepatan dari kode program semenjak pemisahan tugas secara tradisional tidak lagi diterapkan dalam penyediaan data yang digunakan dalam proses perbandingan.

Performance of Audit Work

Dalam kinerja Work Audit Standar Audit Sistem Informasi mengharuskan kita untuk memberikan supervisi, mengumpulkan audit. Kami mencapai tujuan ini melalui: Membentuk Proses Tinjauan internal di mana pekerjaan satu orang ditinjau oleh yang lain, sebaiknya orang yang lebih senior. Kami memperoleh bukti yang cukup, yang dapat dipercaya dan relevan yang harus diperoleh melalui inspeksi, pengamatan, permintaan, Konfirmasi bukti audit dan dokumen pekerjaan

dan rekomputasi per hitungan. Kami mendokumenkan pekerjaan dengan menggambarkan audit kerja yang telah dilakukan dan bukti audit yang dikumpulkan untuk mendukung

temuan auditor

Berdasarkan penilaian

risiko kita

dan pada identifikasi daerah

berisiko, kita

bergerak ke depan untuk mengembangkan sebuah Rencana Audit dan Program Audit. Rencana Audit akan menjelaskan sifat, tujuan, waktu dan tingkat sumber daya yang dibutuhkan dalam audit. Berdasarkan pengujian kepatuhan dilakukan dalam fase sebelumnya, kita

mengembangkan program audit yang menjelaskan sifat, waktu dan luasnya prosedur audit.Dalam Rencana Audit Pengendalian berbagai tes pengendalian dan

review dapat dilakukan. Mereka dibagi menjadi: 1. Kontrol umum 2. Kontrol khusus

Control Objectives for Information and related Technology (COBIT)

COBIT adalah kumpulan dari pelatihan managemen informasi yang diciptakan dengan Information Systems Audit dan Control Association (ISACA), dan the IT Governance Institute (ITGI) pada tahun 1992. COBIT memberikan manajer, auditor, dan pengguna TI dengan satu set langkahlangkah yang berlaku umum, indikator, proses dan praktek-praktek terbaik

untuk membantu mereka dalam memaksimalkan manfaat yang diperoleh melalui penggunaan teknologi informasi dan pengembangan tata kelola TI yang sesuai dan pengendalian dalam sebuah perusahaan.

COBIT membantu

memenuhi

kebutuhan beberapa manajemen dengan

menjembatani kesenjangan antara resiko bisnis, kebutuhan kontrol dan masalah teknis. Ini menyediakan kerangka kerja praktek terbaik untuk mengelola sumber daya TI dan menyajikan kegiatan pengendalian manajemen dalam struktur logis.

Kerangka

kerja

ini akan akan

membantu mengoptimalkan investasi cocok.

teknologi Kita

informasi dan

memberikan patokan ukuran yang kerja COBIT dalam

akan menerapkan kerangka

perencanaan,pelaksanaan dan

pelaporan hasil audit. Hal ini akan memungkinkan kita untuk meninjau Keterkaitan Pengendalian Umum ( General Control Associated ) dengan Masalah Pemerintahan Informasi Teknologi. Review kami mencakup domain berikut :

Perencanaan dan organisasi sumber daya informasi; Perencanaan dan akuisisi sistem dan jalur dalam model tahap pertumbuhan sistem informasi; Pengiriman dan dukungan dari IS / IT termasuk fasilitas,

pemanfaatan operasi,dan akses; Pemantauan proses sekitar sistem informasi; Tingkat efektivitas, efisiensi, kerahasiaan,Integritas,kepatuhan ketersediaan, dan kehandalan yang terkait dengan informasi yang diadakan; Tingkat pemanfaatan sumber daya TI yang tersedia dalam lingkungan IS, termasuk orang, sistem aplikasi antarmuka, teknologi, fasilitas dan data.

Application Control Review

Sebuah Tinjauan Kontrol Aplikasi jaminan yang wajar bahwa

akan menyediakan transaksi diproses sebagaimana

manajemen dengan dimaksud dan

informasi dari sistem yang akurat, lengkap dan tepat waktu.

Aplikasi Kontrol review akan memeriksa apakah:  Kontrol efektifitas dan efisiensi  Aplikasi Keamanan  Apakah aplikasi melakukan seperti yang diharapkanSebuah hidup data

Tinjauan Kontrol Aplikasi akan

mencakup evaluasi siklus

transaksidari originasi, persiapan, masukan, pengiriman, pengolahan dan output

The use of Computer Aided Audit Techniques (CAATS) in the performance of an IS Audit

Standar Audit Sistem Informasi mengharuskan kita bahwa selama audit, auditor IS harus mendapatkan bukti yang cukup, dapat diandalkan dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan harus didukung oleh analisis yang tepat dan interpretasi bukti ini. CAATs berguna dalam mencapai tujuan ini. Computer Aided Audit Techniques (CAATs) adalah alat penting untuk auditor IS dalam melakukan audit. Mereka meliputi berbagai jenis alat dan teknik,

seperti perangkat lunak audit umum, perangkat lunak peralatan, data uji,perangkat lunak aplikasi pelacakan dan pemetaan, dan ahli sistem audit. CAATs dapat digunakan dalam melakukan berbagai prosedur audit termasuk: 1. Pengujian terhadap saldo dan transaksi ( Pengujian Substantif) 2. Prosedur tinjauan analitis 3. Pengujian kepatuhan terhadap Pengendalian Umum Sistem Informasi 4. Pengujian Kepatuhan terhadap Pengendalian Aplikasi Sistem Informasi