Risiko adalah kemungkinan terjadi tindakan atau peristiwa yang akan memiliki efek buruk pada organisasi dan sistem informasi. Risiko juga dapat potensi bahwa ancaman yang diberikan akan mengeksploitasi hilangnya, atau kelemahan suatu kerusakan, aset. asset Hal atau ini
biasanya diukur oleh kombinasi efek dan kemungkinan terjadinya. Semakin banyak organisasi yang bergerak ke pendekatan audit berbasis risiko yang dapat disesuaikan untuk mengembangkan dan meningkatkan proses audit terus menerus. Pendekatan ini digunakan untuk menilai risiko dan untuk
membantu IS keputusan auditor untuk melakukan pengujian kepatuhan baik atau pengujian substantif. Dalam pendekatan audit berbasis risiko, IS auditor tidak hanya mengandalkan risiko. Mereka juga mengandalkan pengendalian internal
dan operasional serta pengetahuan organisasi. Jenis keputusan penilaian risiko dapat membantu berhubungan analisis biaya / manfaat dari kontrol untuk risiko yang diketahui, yangmemungkinkan pilihan praktis.
Proses mengukur risiko disebut Risk Assessment. Penilaian Risiko berguna dalam pengambilan keputusan seperti: 1. Fungsi daerah / bisnis yang akan diaudit 2. Sifat, lingkup dan waktu prosedur audit 3. Jumlah sumber daya yang dialokasikan untuk audit
Inherent Risk adalah kerentanan area audit bermasalah yang bisa bersifat material, secara individual atau kombinasi dengan masalah yang lain, dengan asumsi bahwa tidak adanya pengendalian internal yang terkait. Dalam menilai inherent risk, IS auditor harus mempertimbangkan baik meresapi dan detail dari kontrol IS. Kontrol IS secara umum dirancang untuk mengelola dan memantau lingkungan dan IS yang karenanya mempengaruhi semua kegiatan yang berhubungan dengan IS.
Beberapa kontrol IS yang auditor dapat dipertimbangkan : Integritas manajemen IS dan pengalaman IS manajemen dan pengetahuan Perubahan dalam manajemen IS Tekanan pada IS manajemen yang mungkin mempengaruhi mereka untukmenyembunyikan atau salah mengutarakan informasi (misalnya besar bisnis penting proyek selama-berjalan, dan aktivitas hacker) Sifat dari bisnis organisasi dan sistem (misalnya, rencana untuk perdaganganelektronik, kompleksitas sistem, dan kurangnya sistem terpadu) Faktor yang mempengaruhi industri organisasi sebagai (misalnya, perubahan teknologi, dan IS ketersediaan staf) seluruh Tingkat pengaruh pihak ketiga pada kontrol dari sistem yang diaudit (misalnya, karena integrasi rantai pasokan, outsourcing IS proses, usaha bisnis bersama,dan akses langsung oleh pelanggan) Temuan dari dan tanggal audit sebelumnya
Control Risk adalah kerentanan area audit bermasalah yang bisa bersifat material, secara individual atau kombinasi dengan masalah yang lain, yang tidak bisa dihindari atau dideteksi dan dibenarkan secara tepat waktu oleh sistem pengendalian internal. IS auditor harus menilai control risk secara tinggi jika tidak, internal control yang relevan adalah : 1. Diidentifikasi 2. Dievaluasi secara efektif 3. Dites dan dibuktikan beroperasi dengan baik 4. Detection Risk adalah resiko bahwa prosedur substantive IS auditor tidak akan mendeteksi masalah yang bisa menjadi material, secara individual atau kombinasi dengan masalah lain. Dalam menentukan tingkat pengujian substantif yang
diperlukan, IS auditor harus mempertimbangkan baik: Penilaian risiko yang melekat Kesimpulan yang dicapai pada risiko kontrol berikut pengujian kepatuhan Semakin tinggi penilaian risiko bawaan dan risiko pengendalian bukti audit yang lebih IS auditor biasanya harus mendapatkan dari kinerja prosedur audit substantif.
PENGENDALIAN INTERNAL
Pengendalian internal berkaitan dengan proses-proses dan praktek-praktek dimana manajemen suatu organisasi berusaha untuk memastikan bahwa keputusankeputusan dan aktivitas-aktivitas yang disetujui dan memadai benar-benar dilaksanakan. Pengendalian internal bertujuan untuk mencegah para penjabat dan karyawan melakukan aktivitas-aktivitas terlarang dan tidak layak. Berkembangannya ukuran dan kerumitan perusahaan-perusahaan modern dan juga sensitivitas masyarakat yang terus meningkat terhadap perilaku perusahaan telah menimbulkan perhatian yang besar terhadap pengendalian internal . Pertumbuhan yang cepat dari Electronic Data Processing (EDP) dalam bisnis memiliki efek yang besar dalam akuntansi publik. Dengan penemuan dari komputer mini dan PC network yang tidak mahal, sehingga banyak klien audit yang menggunakan komputer untuk aktivitas akuntansi yang kecil. Auditor harus mempersiapkan diri dengan lingkungan yang berubah, dimana auditor harus memiliki skill yang memadai untuk melakukan audit dengan komputer. Auditor memiliki tanggung jawab yang sama dalam sistem EDP dengan sistem manual, yaitu untuk menyatakan bahwa laporan keuangan sutau perusahaan telah menginterpretasikan proses dari transaksi-transaksi yang yang sesuai dengan Generally Accepted Accounting Principles (GAAP). Pengendalian internal dalam EDP diorientasikan pada tiga bidang umum operasi perusahaan yaitu : y y y Data keuangan Aktiva bisnis dari suatu organisasi. Efisiensi dari operasi.
Pengendalian internal dalam sistem EDP dibagi menjadi dua, yaitu : 1. Pengendalian Umum (General Control) Memberikan standar dan pedoman sebagai landasan kerja para karyawan. Aspek-aspek pendirian organisasi tercakup dalam pengendalian umum, tujuan utamanya adalah prosedur dan standar yang tercakup dalam pelaksanaan fungsi. Standar dan prosedur dalam lingkungan pengolahan data mencakup bagaimana sistem didokumentasikan, prosedur-prosedur untuk pengembangan sistem dan perubahan-perubahan sistem, dan metode-metode pengoperasian fasilitas pemrosesan informasi yang
mencakup fungsi-fungsi yang meliputi konversi, penyimpanan, kontrol (pengendalian) data dan operasi pusat komputer.
2. Pengendalian Aplikasi (Application Control) Terutama bertalian dengan kecermatan dan kelengkapan data dari suatu aplikasi tertentu dalam suatu organisasi . Sebagai contoh, dalam suatu sistem gaji dan upah, pengendalian aplikasi mempengaruhi perhitungan dan penyusunan cek-cek gaji dan upah dan dokumen-dokumen pendukung serta skedul-skedul.
Pedoman yang dapat digunakan untuk perlindungan intergritas data dalam sistem pengolahan data diidentifikasikan dalam The auditior s Study and Evaluation of Internal Control in EDP Systems (Studi dan Evaluasi Auditor Mengenai Pengendalian Internal dalam Sistem EDP) yang dipublikasikan ole AICPA.
1. Fungsi antara departemen EDP dan pemakai harus dipisahkan. 2. Orang-orang dalam departemen EDP tidak diperkenankan melaksanakan atau mengotorisasi transaksi, mengelola harta non-EDP, dan membuat
perubahan-perubahan file induk. 3. Fungsi-fungsi dalam departemen EDP harus dipisahkan dengan tepat. 4. Prosedur-prosedur untuk desa desain sistem, termasuk perolehan paketpaket software, harus memerlukan partisipasi aktif dari wakil-wakil pemakai dan, jika cocok, departemen akuntansi dan auditor internal. 5. Setiap sistem harus memiliki spesifikasi tertulis yang direviu dan disetujui oleh suatu tingkat manajemen yang cocok dan departemen pemakai yang berkepentingan. 6. Pengujian sistem harus merupakan suatu usaha gabungan dari pemakai dan personil EDP dan harus mencakup baik fase manual maupun fase yang dikomputerisasi dari sistem tersebut. 7. Persetujuan final harus diperoleh sebelum penempatan suatu sistem baru ke dalam operasi. 8. Semua file induk dan konversi file transaksi harus dikendalikan untuk menghindari perubahan-perubahan yang tidak sah dan untuk memperoleh hasil yang cermat dan lengkap. 9. Setelah sistem yang baru diterapkan dalam operasi, semua perubahan program harus disetujui sebelum implementasinya untuk menetapkan apakah perubahan-perubahan itu sudah disahkan, diuji, dan
didokumentasikan. 10. Manajemen harus meminta berbagai tingkat dokumentasi dan prosedur formal untuk mendefinisikan sistem ke dalam tingkat perincian yang tepat.
11. Ciri-ciri pengendalian yang melekat dalam hardware komputer, sistem operasi, dan software pendukung lainnya harus digunakan semaksimal mungkin untuk menciptakan pengendalian atas operasi dan untuk mendeteksi dan melaporkan tidak berfungsinya hardware. 12. Software sistem harus tunduk pada prosedur-prosedur pengendalian yang sama sebagaimana diterapkan pada instalasi dan perubahan-perubahan program aplikasi. 13. Akses ke dokumentasi program harus dibatasi hanya pada mereka yang memerlukannya untuk melaksanakan tugas mereka. 14. Akses ke file data dan program-program harus dibatasi hanya pada mereka yang berwenang untuk memroses atau menyelenggarakan sistem tertentu. 15. Akses ke hardware komputer harus dibatasi hanya pada mereka yang berwenang saja. 16. Suatu fungsi pengendali harus bertanggung jawab untuk menerima semua data yang akan diproses, untuk menjamin agar semua data itu dicatat, untuk melaksanakan tindak lanjut atas setiap kesalahan yang dideteksi selama pemrosesan untuk melihat bahwa kesalahan-kesalahan itu dikoreksi dan dikembalikan oleh pihak yang bersangkutan, dan untuk memverifikasi distribusi yang tepat dari output. 17. Suatu pedoman tertulis mengenai sistem dan prosedur harus disusun oleh semua operator komputer dan harus melengkapi otorisasi umum atau khusus dari manajemen untuk memroses transaksi. 18. Auditor internal atau beberapa kelompok independen lainnya dalam suatu organisasi haru mereviu dan mengevaluasi sistem yang diajukan pada tahapan-tahapan kritis pengembangannya. 19. Dengan suatu basis yang kontinu, auditor internal atau beberapa kelompok independen lainnya dalam suatu organisasi harus mereviu dan menguji aktivitas pemrosesan komputer.
Pengendalian Aplikasi yang diterbitkan oleh AICPA terdiri dari dua belas pengendalian yaitu: 1. Hanya input yang telah diotorisasi dan disetujui secara benar, disediakan sesuai dengan otorisasi manajemen yang umum atau spesifik, yang dapat diterima untuk diproses dalam sistem EDP. 2. Sistem harus memverifikasi semua kode yang digunkan untuk menyimpan data. 3. Konversi data ke dalam bentuk yang dapat diterima oleh mesin komputer harus dikendalikan. 4. Perpindahan data dari satu proses ke proses lainnya atau antara departemendepartemen harus dikontrol. 5. Koreksi dan pemasukkan ulang semua kesalahan yang terdeteksi oleh sistem aplikasi harus dikaji ulang dan dikendalikan. 6. Total pengendalian harus dibuat dan direkonsiliasikan dengan total pengendalian input. 7. Pengendalian harus mencegah pemrosesan file yang salah dan mendeteksi kesalahan dalam manipulasi file. 8. Batas dan reasonebleness checks harus dimasukkan ke dalam program-program. 9. Pengendalian run-to-run harus diverifikasi pada titik yang diperlukan dalam siklus pemrosesan. 10. Total pengendalian output harus direkonsiliasi dengan pengendalian-
pengendalian input dan proses. 11. Output harus diamati dan diuji dengan cara membandingkannya dengan dokumen-dokumen sumber yang asli. 12. Output sistem hanya dapat didistribusikan hanya kepada pengguna-penguna yang telah diotorisasi.
Pemisahan tugas
Dalam sistem manual, individual yang terpisah seharusnya lebih bertanggung jawab untuk memulai/memprakarsai transaksi, pencatatan transaksi-transaksi, dan pengawasan terhadap aset-aset. Sebagai kontrol yang mendasar, pemisahan tugas itu untuk menghalangi atau mendeteksi adanya kesalahan dan kejanggalan. Di dalam sistem komputer, bagaimanapun, tanggapan tradisional dari pemisahan tugas tidak selalu dipakai.
Sebagai contoh, program yang mungkin merekonsiliasi faktur penjual terhadap dokumen penerimaan dan mencetak cek dengan jumlah yang terhutang ke kreditur. Jadi, program itu adalah menampilkan fungsi yang di dalam manual sistem dapat dianggap tidak sesuai. Akan tetapi, itu mungkin tidak efisien dan dari sudut pandang pengendalian, tidak bermanfaat menempatkan fungsi ini dalam pemisahan program. Sebagai pengganti, pemisahan tugas harus ada di dalam bentuk yang berbeda. Ketika itu suda diputuskan bahwa program telah diesekusi secara benar, kemampuan untuk menjalankan program dalam mode produksi, dan kemampuan untuk mengganti program harus dipisahkan. Dalam lingkungan komputer mini dan komputer mikro, pemisahan fungsi-fungsi yang tidak sesuai mungkin bahkan lebih sulit untuk diterima. Beberapa komputer mini dan komputer mikro memberikan pengguna-penggunanya untuk mengubah programprogram dan data dengan muda; lebih jauh lagi, mereka menyediakan tidak ada pencatatan atas perubahan-perubahan ini. Jika komputer mini dan komputer mikro tidak memiliki kemampuan yang menunjang untuk menyediakan catatan yang aman dari perubahan, itu mungkin sulit untuk diputuskan apakah fungsi-fungsi yang tidak sesuai telah dijalankan oleh pengguna-pengguna sistem.
Beberapa organisasi telah mencoba menyelesaikan masalah ini dengan merancang single user sebagai pemilik dari data. Pengguna ini memiliki tanggung jawab yang besar untuk integritas dari data tersebut. Garis kekuasaan dan tanggung jawab juga menjadi tidak jelas karena pertumbuhan yang cepat dalam end user computing, dimana pengguna dapat mengembangkan, memodifikasi, dan menjaga aplikasi mereka sendiri tanpa membutuhkan bantuan dari departemen sistem informasi. Perkembangan ini memiliki keuntungan untuk pengguna jasa komputasi dalam organisasi tetapi hal ini juga menambah masalah dari pengendalian keseluruhan penggunaan komputer.
Sistem Otorisasi
Sistem otorisasi manajemen untuk menginisiasi suatu transaksi ada dua: 1. Otorisasi umum Otorisasi umum membuat kebijakan yang harus diikuti oleh organisasi, contoh : daftar harga tetap dikeluarkan oleh karyawan untuk digunakan ketika produk dijual. 2. Otorisasi spesifik Otorisasi spesifik diterapkan terhadap transaksi-transaksi individual, contoh : akuisisi aset modal yang penting harus disetejui oleh para direktur.
Di dalam sistem manual, auditor mengevaluasi kecukupan prosedur-prosedur untuk otorisasi dengan memeriksa pekerjaan dari karyawan-karyawan, sedangkan dalam sistem komputer prosedur otorisasa biasanya telah menjadi satu dalam program komputer. Ketika mengevaluasi kecukupan prosedur otorisasi dalam sistem komputer, auditor tidak hanya harus memeriksa pekerjaan dari karyawankaryawannya tetapi juga memeriksa ketepatan dari program pemrosesan. Dalam sistem komputer menjadi lebih sulit untuk menguji apakah kekuasaan yang diberikan kepada individual telah konsisten dengan keinginan manajemen.
Pemokusan dari data pemrosesan aset dan catatan juga meningkatkan risiko kehilangan yang disebabkan dari penyalahgunaan komputer atau bencana seperti kebakaran yang memusnahkan komputer yang berisi semua master file yang penting dalam organisasi. Organisasi yang tidak memiliki back up data yang cukup atau memadai memiliki kemungkinan besar tidak dapat melanjutkan operasinya.
karyawan biasanya berada dalam satu lokasi fisik yang sama. Dalam sistem komputer, komunikasi data mungkin digunakan untuk lenih mendekatkan karyawan kepada pelanggan yang mereka layani sehingga supervisi secara langsung terhdapa karyawan dapat dihilangkan secara perlahan-lahan. Pengendalian supervisi harus dibuat kedalam sistem komputer untuk menggantikan pengendalian yang biasanya dilakukan melalui pengamatan dan tanya jawab. Sistem komputer juga membuat aktivitas-aktivitas yang dilakukan oleh para karyawan menjadi lebih tidak terlihat oleh manajemen karena banyak aktivitas yang dilakukan secara elektronik, sehingga para manajer harus memastikan bahwa mereka mengakses secara periodik jejak audit dari aktivitas-aktivitas yang dilakukan oleh para karyawan dan memeriksa apakah telah terjadi tindakan yang tidak diotorisasi.
Dalam kinerja Work Audit Standar Audit Sistem Informasi mengharuskan kita untuk memberikan supervisi, mengumpulkan audit. Kami mencapai tujuan ini melalui: Membentuk Proses Tinjauan internal di mana pekerjaan satu orang ditinjau oleh yang lain, sebaiknya orang yang lebih senior. Kami memperoleh bukti yang cukup, yang dapat dipercaya dan relevan yang harus diperoleh melalui inspeksi, pengamatan, permintaan, Konfirmasi bukti audit dan dokumen pekerjaan
dan rekomputasi per hitungan. Kami mendokumenkan pekerjaan dengan menggambarkan audit kerja yang telah dilakukan dan bukti audit yang dikumpulkan untuk mendukung
temuan auditor
Berdasarkan penilaian
risiko kita
berisiko, kita
bergerak ke depan untuk mengembangkan sebuah Rencana Audit dan Program Audit. Rencana Audit akan menjelaskan sifat, tujuan, waktu dan tingkat sumber daya yang dibutuhkan dalam audit. Berdasarkan pengujian kepatuhan dilakukan dalam fase sebelumnya, kita
mengembangkan program audit yang menjelaskan sifat, waktu dan luasnya prosedur audit.Dalam Rencana Audit Pengendalian berbagai tes pengendalian dan
review dapat dilakukan. Mereka dibagi menjadi: 1. Kontrol umum 2. Kontrol khusus
COBIT adalah kumpulan dari pelatihan managemen informasi yang diciptakan dengan Information Systems Audit dan Control Association (ISACA), dan the IT Governance Institute (ITGI) pada tahun 1992. COBIT memberikan manajer, auditor, dan pengguna TI dengan satu set langkahlangkah yang berlaku umum, indikator, proses dan praktek-praktek terbaik
untuk membantu mereka dalam memaksimalkan manfaat yang diperoleh melalui penggunaan teknologi informasi dan pengembangan tata kelola TI yang sesuai dan pengendalian dalam sebuah perusahaan.
COBIT membantu
memenuhi
menjembatani kesenjangan antara resiko bisnis, kebutuhan kontrol dan masalah teknis. Ini menyediakan kerangka kerja praktek terbaik untuk mengelola sumber daya TI dan menyajikan kegiatan pengendalian manajemen dalam struktur logis.
Kerangka
kerja
teknologi Kita
informasi dan
perencanaan,pelaksanaan dan
pelaporan hasil audit. Hal ini akan memungkinkan kita untuk meninjau Keterkaitan Pengendalian Umum ( General Control Associated ) dengan Masalah Pemerintahan Informasi Teknologi. Review kami mencakup domain berikut :
Perencanaan dan organisasi sumber daya informasi; Perencanaan dan akuisisi sistem dan jalur dalam model tahap pertumbuhan sistem informasi; Pengiriman dan dukungan dari IS / IT termasuk fasilitas,
pemanfaatan operasi,dan akses; Pemantauan proses sekitar sistem informasi; Tingkat efektivitas, efisiensi, kerahasiaan,Integritas,kepatuhan ketersediaan, dan kehandalan yang terkait dengan informasi yang diadakan; Tingkat pemanfaatan sumber daya TI yang tersedia dalam lingkungan IS, termasuk orang, sistem aplikasi antarmuka, teknologi, fasilitas dan data.
Aplikasi Kontrol review akan memeriksa apakah: Kontrol efektifitas dan efisiensi Aplikasi Keamanan Apakah aplikasi melakukan seperti yang diharapkanSebuah hidup data
The use of Computer Aided Audit Techniques (CAATS) in the performance of an IS Audit
Standar Audit Sistem Informasi mengharuskan kita bahwa selama audit, auditor IS harus mendapatkan bukti yang cukup, dapat diandalkan dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan harus didukung oleh analisis yang tepat dan interpretasi bukti ini. CAATs berguna dalam mencapai tujuan ini. Computer Aided Audit Techniques (CAATs) adalah alat penting untuk auditor IS dalam melakukan audit. Mereka meliputi berbagai jenis alat dan teknik,
seperti perangkat lunak audit umum, perangkat lunak peralatan, data uji,perangkat lunak aplikasi pelacakan dan pemetaan, dan ahli sistem audit. CAATs dapat digunakan dalam melakukan berbagai prosedur audit termasuk: 1. Pengujian terhadap saldo dan transaksi ( Pengujian Substantif) 2. Prosedur tinjauan analitis 3. Pengujian kepatuhan terhadap Pengendalian Umum Sistem Informasi 4. Pengujian Kepatuhan terhadap Pengendalian Aplikasi Sistem Informasi