STANDAR ISACA S7.

PELAPORAN

Tugas Mata Kuliah Audit Teknologi Informasi

Oleh : Meta Suzana 09142115 M. Ricky Hafid 09142275 Sutrisno 09142305

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS ILMU KOMPUTER UNIVERSITAS BINA DARMA PALEMBANG 2012

PEMERIKSAAN TEKNOLOGI INFORMASI S7. PELAPORAN LATAR BELAKANG 1.1 Keterkaitan dengan Standar ISACA 1.1.1. Standar Pelaporan S7 menyatakan "Auditor IS harus memberikan laporan, dalam bentuk yang tepat, pada saat selesainya audit. Laporan ini harus mengidentifikasi organisasi, para penerima yang dimaksudkan dan pembatasan pada sirkulasi. Laporan tersebut harus menyatakan ruang lingkup, tujuan, periode cakupan, dan sifat, waktu dan luasnya pekerjaan audit yang dilakukan. Laporan tersebut harus menyatakan temuan, kesimpulan dan rekomendasi dan setiap pemesanan, kualifikasi atau keterbatasan dalam lingkup yang IS auditor telah dengan menghormati untuk audit. " 1,2 Definisi 1.2.1. Materi pelajaran atau bidang kegiatan adalah subjek informasi spesifik untuk laporan auditor IS dan prosedur terkait. Hal ini dapat mencakup hal-hal seperti desain atau operasi pengendalian internal dan kepatuhan praktek privasi atau standar atau hukum yang ditetapkan dan peraturan. 1.2.2. Keterlibatan pelaporan atestasi adalah keterlibatan mana IS auditor baik meneliti pernyataan manajemen mengenai topik tertentu materi atau materi pelajaran secara langsung. Laporan auditor IS terdiri dari pendapat atas salah satu dari berikut: Subyek. Laporan-laporan ini berhubungan langsung dengan materi pelajaran itu sendiri bukan sebuah pernyataan. Dalam situasi tertentu manajemen tidak akan dapat membuat sebuah pernyataan atas subjek pertunangan. Contoh dari situasi ini adalah ketika TI jasa outsourcing ke pihak ketiga. Manajemen biasanya tidak akan dapat membuat sebuah pernyataan atas kontrol untuk dimana pihak ketiga bertanggung jawab. Oleh karena itu, IS auditor harus melaporkan langsung pada subyek dan bukan pernyataan. pernyataan manajemen tentang efektivitas prosedur pengendalian Suatu pelaporan pemeriksaan keterlibatan, di mana isu-isu IS auditor pendapat tentang subyek tertentu. Keterlibatan ini dapat mencakup laporan pengendalian yang diterapkan oleh manajemen dan efektivitas operasi mereka. Pedoman ini diarahkan pada jenis pertama pendapat. Jika kerangka acuan memerlukan jenis kedua pendapat, pelaporan persyaratan mungkin perlu diadaptasi.

1.2.3. Tujuan pengendalian adalah tujuan manajemen yang digunakan sebagai kerangka kerja untuk mengembangkan dan menerapkan kontrol (Prosedur kontrol). 1.2.4 Kontrol atau prosedur kontrol berarti kebijakan dan prosedur diterapkan untuk mencapai tujuan pengendalian terkait. 1.2.5. Kelemahan kontrol berarti kekurangan dalam desain atau operasi prosedur kontrol. Kelemahan kontrol berpotensi dapat mengakibatkan dalam risiko yang relevan dengan bidang aktivitas tidak menurun ke tingkat yang dapat diterima (risiko yang relevan adalah mereka yang mengancam pencapaian tujuan yang relevan dengan bidang kegiatan yang diperiksa). Kelemahan kontrol dapat menjadi bahan ketika desain atau operasi satu atau lebih prosedur kontrol tidak mengurangi, ke tingkat yang relatif rendah, risiko salah saji yang disebabkan oleh tindakan ilegal atau penyimpangan dapat terjadi dan tidak terdeteksi oleh prosedur pengendalian terkait. 1.2.6. Kriteria adalah standar dan tolok ukur digunakan untuk mengukur dan menyajikan materi pelajaran dan dikompensasi dengan IS auditor mengevaluasi materi pelajaran. Kriteria harus: Tujuan Bebas dari bias Terukur-Menyediakan pengukuran yang konsisten Lengkapi-Masukkan semua faktor yang relevan untuk mencapai kesimpulan Relevan Berkaitan dengan materi pelajaran 1.2.7. Keterlibatan pelaporan langsung adalah keterlibatan mana manajemen tidak membuat pernyataan tertulis tentang efektivitas kendali mereka prosedur dan auditor ADALAH memberikan pendapat, seperti efektivitas prosedur pengendalian, tentang materi pelajaran secara langsung. 1.2.8. Struktur pengendalian internal (internal control) adalah, dinamis proses yang terintegrasi dipengaruhi oleh manajemen, badan dan semua staf lainnya, dan dirancang untuk memberikan keyakinan memadai mengenai pencapaian tujuan umum berikut: Efektivitas, efisiensi dan ekonomi operasi Keandalan manajemen Kepatuhan terhadap hukum, peraturan dan kebijakan internal

1.2.9 Manajemen strategi untuk mencapai tujuan-tujuan umum dipengaruhi oleh desain dan operasi dari berikut komponen:

 Pengendalian lingkungan Sistem informasi Kontrol prosedur 1.3 1.3.1 Kebutuhan Pedoman Pedoman ini menetapkan bagaimana auditor IS harus sesuai dengan ISACA IS Auditing Standar dan COBIT ketika melaporkan pada informasi kontrol sistem organisasi dan tujuan pengendalian terkai

2.1.1

Tujuan dari pedoman ini adalah untuk memberikan arah untuk IS auditor terlibat untuk melaporkan apakah prosedur pengendalian untuk ditentukan bidang kegiatan yang efektif untuk: Manajemen Sebuah organisasi di badan dan / atau tingkat operasional pihak ketiga tertentu, misalnya regulator atau auditor lain 2.1.2 Auditor IS dapat bergerak untuk melaporkan efektivitas desain atau efektivitas operasi. 3. JAMINAN 3.1 Jenis Layanan 3.1.1 Sebuah IS auditor dapat melakukan salah satu dari berikut: Audit (langsung atau atestasi) Review (langsung atau atestasi) Setuju upon prosedur 3.2 Audit dan Review 3.2.1 Audit menyediakan tinggi, namun tidak mutlak, tingkat kepastian tentang efektivitas prosedur pengendalian. Ini biasanya adalah dinyatakan sebagai keyakinan memadai sebagai pengakuan atas kenyataan bahwa jaminan absolut jarang dicapai karena faktor-faktor seperti kebutuhan untuk penilaian, penggunaan pengujian, keterbatasan pengendalian internal dan karena banyak bukti yang tersedia kepada auditor IS adalah persuasif daripada konklusif di alam.

3.2.2 Ulasan menyediakan tingkat moderat kepastian tentang efektivitas prosedur pengendalian. Tingkat jaminan yang diberikan adalah kurang dari yang disediakan di audit karena lingkup pekerjaan adalah kurang luas dibandingkan

dengan audit, dan alam, waktu dan luasnya prosedur yang dilakukan tidak memberikan bukti audit yang cukup dan tepat untuk memungkinkan IS auditor untuk mengekspresikan pendapat positif. Tujuan dari tinjauan adalah untuk memungkinkan IS auditor untuk menyatakan apakah, berdasarkan prosedur, apapun telah menjadi perhatian IS auditor yang menyebabkan IS auditor untuk percaya bahwa prosedur pengendalian tidak efektif berdasarkan kriteria yang diidentifikasi (ekspresi jaminan negatif). 3.2.3 Kedua audit dan review dari prosedur pengendalian meliputi: Perencanaan pertunangan Mengevaluasi efektivitas desain prosedur pengendalian Pengujian efektivitas operasi prosedur pengendalian (sifat, waktu dan luasnya pengujian akan bervariasi antara audit dan review) Membentuk kesimpulan tentang, dan melaporkan, efektivitas desain dan operasi dari prosedur pengendalian berdasarkan diidentifikasi kriteria: o o 3,3 Setuju upon Prosedur 3.3.1 Sebuah disepakati prosedur keterlibatan tidak mengakibatkan ekspresi jaminan apapun oleh auditor IS. Auditor IS adalah terlibat untuk melakukan prosedur khusus untuk memenuhi kebutuhan informasi dari pihak-pihak yang telah setuju untuk melaksanakan prosedur. IS auditor menerbitkan laporan temuan faktual dengan yang ihak yang telah menyetujui prosedur. Para penerima membentuk kesimpulan mereka sendiri dari laporan ini karena IS auditor belum menentukan sifat, waktu dan luasnya prosedur untuk dapat mengekspresikan jaminan apapun. Laporan ini terbatas pada pihak-pihak (misalnya, badan pengawas) yang telah sepakat untuk prosedur yang harus dilakukan, karena orang lain tidak menyadari alasan prosedur dan mungkin salah menafsirkan hasilnya. 3.4 3.4.1 Setuju upon Prosedur Pelaporan Laporan disepakati prosedur harus dalam bentuk prosedur dan temuan. Laporan ini harus berisi berikut elemen: Sebuah judul yang mencakup kata independen Identifikasi pihak-pihak tertentu Identifikasi subyek (atau amendemen pernyataan tertulis terkait) dan jenis pertunangan Identifikasi pihak yang bertanggung jawab Kesimpulan untuk audit dinyatakan sebagai ekspresi positif dari pendapat dan menyediakan tingkat tinggi jaminan. Kesimpulan untuk tinjauan dinyatakan sebagai pernyataan jaminan negatif danhanya menyediakan tingkat moderat jaminan.

Pernyataan bahwa materi pelajaran merupakan tanggung jawab pihak yang bertanggung jawab Pernyataan bahwa prosedur yang dilakukan adalah mereka disetujui oleh pihak-pihak tertentu yang diidentifikasi dalam laporan Pernyataan bahwa kecukupan prosedur adalah semata-mata tanggung jawab pihak-pihak tertentu dan disclaimer tanggung jawab atas kecukupan prosedur tersebut Daftar prosedur dilakukan (atau tambahan referensi) dan temuan terkait Pernyataan bahwa auditor IS tidak bertunangan dengan dan tidak melakukan pemeriksaan terhadap materi pelajaran Pernyataan bahwa jika IS auditor telah melakukan prosedur tambahan, hal-hal lain mungkin datang untuk IS auditor perhatian dan akan dilaporkan Pernyataan pembatasan penggunaan laporan tersebut karena dimaksudkan untuk digunakan hanya oleh pihak tertentu 3.5.1 Dimana pertunangan yang akan dilakukan untuk memenuhi persyaratan peraturan atau sama dijatuhkan, maka penting bahwa IS auditor puas bahwa jenis keterlibatan jelas dari peraturan yang relevan atau sumber lain dari mandat pertunangan. Jika ada adalah ketidakpastian pun, dianjurkan bahwa IS auditor dan / atau menunjuk berkomunikasi dengan pihak regulator yang relevan atau jawab untuk menetapkan atau mengatur persyaratan dan setuju dengan tipe keterlibatan dan jaminan untuk menjadi pihak disediakan. 3.5.2 Sebuah IS auditor yang sebelum berakhirnya pertunangan diminta untuk mengubah keterlibatan dari pemeriksaan untuk tinjauan atau disepakati keterlibatan prosedur, perlu mempertimbangkan kesesuaian melakukannya, dan tidak dapat menyetujui perubahan mana tidak ada pembenaran yang masuk akal untuk perubahan. Sebagai contoh, perubahan tidak tepat untuk menghindari laporan yang dimodifikasi. 4. PENDAPAT AUDIT 4.1 Keterbatasan 4.1.1 IS opini auditor didasarkan pada prosedur bertekad untuk menjadi yang diperlukan untuk pengumpulan cukup dan tepat bukti, bahwa menjadi bukti persuasif daripada konklusif di alam. Jaminan yang diberikan oleh IS auditor pada efektivitas pengendalian internal, bagaimanapun, terbatas karena sifat kontrol internal dan keterbatasan yang melekat pada setiap set kontrol internal dan operasi mereka. Keterbatasan ini meliputi: Manajemen biasa persyaratan bahwa biaya kontrol internal tidak melebihi manfaat ang diharapkan akan berasal. Sebagian besar kontrol internal yang cenderung diarahkan pada rutinitas dan bukan transaksi tidak rutin / acara. Potensi untuk kesalahan manusia akibat kecerobohan, gangguan atau kelelahan, kesalahpahaman instruksi dan kesalahan dalam pertimbangan.

 Kemungkinan pengelakan kontrol internal melalui kolusi karyawan dengan satu sama lain atau dengan pihak luar organisasi. Kemungkinan bahwa orang yang bertanggung jawab untuk melaksanakan kontrol internal bisa menyalahgunakan bahwa tanggung jawab, misalnya, anggota manajemen mengesampingkan prosedur control . Kemungkinan bahwa manajemen tidak dapat dikenakan kontrol internal yang sama berlaku untuk personil lainnya. Kemungkinan bahwa pengendalian internal mungkin menjadi tidak memadai karena perubahan kondisi, dan kepatuhan dengan prosedur mungkin memburuk. 4.1.2 Custom, budaya dan pemerintahan (perusahaan dan TI) sistem dapat menghambat penyimpangan oleh manajemen, tetapi mereka tidak sempurna pencegah. Lingkungan pengendalian yang efektif dapat membantu mengurangi kemungkinan penyimpangan tersebut. Pengendalian lingkungan faktor seperti badan yang efektif, komite audit, dan fungsi audit internal mungkin membatasi perilaku yang tidak benar oleh manajemen. Atau, lingkungan pengendalian yang tidak efektif dapat meniadakan efektivitas prosedur pengendalian dalam pengendalian internal struktur. Sebagai contoh, meskipun sebuah organisasi memiliki cukup kontrol TI prosedur yang berkaitan dengan kepatuhan peraturan lingkungan, manajemen mungkin memiliki bias yang kuat untuk menekan informasi tentang pelanggaran mendeteksi bahwa akan mencerminkan buruk pada citra publik organisasi. Efektivitas atau relevansi kontrol internal juga mungkin dipengaruhi oleh faktor-faktor seperti perubahan kepemilikan atau kontrol, perubahan manajemen atau karyawan lain, atau perkembangan dalam organisasi pasar atau industri. 4.2 Peristiwa Setelah Tanggal Neraca 4.2.1 Peristiwa kadang-kadang terjadi, setelah titik waktu atau periode waktu dari materi pelajaran yang diuji tetapi sebelum tanggal laporan auditor IS, yang material mempengaruhi pada subyek dan karenanya memerlukan penyesuaian atau pengungkapan dalam penyajian materi pelajaran atau pernyataan. Kejadian ini disebut sebagai peristiwa berikutnya. Dalam menjalankan sebuah atestasi keterlibatan, IS auditor harus mempertimbangkan informasi tentang kejadian yang akan datang berikutnya atau perhatiannya. Namun, IS auditor tidak bertanggung jawab untuk mendeteksi kejadian setelah. 4.2.2 IS auditor harus menanyakan manajemen, apakah mereka mengetahui adanya kejadian setelah, melalui dengan tanggal IS laporan auditor, yang akan berdampak material pada subyek atau pernyataan. 4.3 Kesimpulan dan Pelaporan 4.3.1 IS auditor harus meninjau dan menilai kesimpulan yang ditarik dari bukti yang diperoleh sebagai dasar untuk membentuk pendapat atas efektivitas prosedur pengendalian berdasarkan kriteria diidentifikasi.

4.3.2 Sebuah IS laporan auditor tentang efektivitas prosedur pengendalian harus mencakup sebagai berikut: Judul Penerima Deskripsi ruang lingkup audit, termasuk: - Identifikasi atau deskripsi bidang kegiatan. - Kriteria yang digunakan sebagai dasar untuk kesimpulan IS auditor. - Pernyataan bahwa pemeliharaan struktur pengendalian internal yang efektif, termasuk prosedur pengendalian untuk daerah kegiatan, adalah tanggung jawab manajemen. Dimana pertunangan adalah keterlibatan atestasi, pernyataan mengidentifikasi sumber representasi manajemen tentang efektivitas prosedur pengendalian. Pernyataan bahwa IS auditor telah melakukan pertunangan untuk menyatakan pendapat atas efektivitas pengendalian prosedur. Identifikasi tujuan yang laporan IS auditor telah disusun dan dari mereka yang berhak bergantung pada itu, dan disclaimer tanggung jawab untuk penggunaannya untuk tujuan lain atau oleh orang lain. Deskripsi kriteria atau pengungkapan sumber kriteria Pernyataan bahwa audit telah dilakukan dengan ISACA ISAuditing Standar atau lainnya yang berlaku standar professional. sesuai

Rincian lebih lanjut mengenai variabel yang mempengaruhijaminan yang disediakan dan informasi lainnya yang sesuai. Apabila diperlukan, laporan terpisah harus mencakuprekomendasi untuk tindakan korektif dan termasuk manajemen yang tanggapan. Sebuah pernyataan menyatakan bahwa akibat keterbatasan yang melekat dari setiap pengendalian intern, salah saji karena kesalahan atau kecurangan dapat terjadi dan tidak terdeteksi. Selain itu, ayat tersebut harus menyatakan bahwa proyeksi dalam mengevaluasi pengendalian internal atas pelaporan keuangan untuk periode yang akan datang memiliki risiko bahwa pengendalian internal mungkin menjadi tidak memadaikarena perubahan kondisi, atau bahwa tingkat kepatuhan dengan kebijakanatau prosedur mungkin memburuk.

- Suatu audit tidak didesain untuk mendeteksi semua kelemahan dalam prosedur pengendalian karena tidak dilakukan terus-menerus sepanjang periode dan pengujian yang dilakukan pada prosedur pengendalianyang berdasarkan sampel. - Bila pendapat auditor IS memenuhi menjelaskan kualifikasi harus disertakan. syarat, sebuah paragraf yang

Sebuah ekspresi pendapat tentang apakah, dalam semua halyang material, desain dan operasi prosedur pengendalian dalam kaitannya dengan bidang kegiatan yang efektif. IS tanda tangan auditor. IS alamat auditor. Tanggal IS laporan auditor. Dalam kebanyakan kasus, datinglaporan didasarkan pada standar profesional yang berlaku. Di lain kasus, tanggal laporan harus didasarkan pada kesimpulan daristudi lapangan. 4.3.3 Dalam keterlibatan pelaporan langsung, IS auditor laporan langsung pada subjek bukan pada sebuah pernyataan. Laporan ini harus membuat referensi hanya untuk subjek pertunangan dan tidak mengandung referensi ke pernyataan manajemen pada materi pelajaran. 4.3.4 Dimana IS auditor melakukan keterlibatan review, laporan itu menunjukkan bahwa IS kesimpulan auditor berkaitan denganmerancang dan efektivitas operasi, dan bahwa IS kerja auditor dalam kaitannya dengan efektivitas operasi terbatas terutama untuk pertanyaan, inspeksi, observasi dan minim pengujian pengoperasianpengendalian internal. Laporan ini mencakup pernyataan bahwa audit belum dilakukan, bahwa prosedur yang dilakukan memberikan jaminan kurang dari audit dan bahwa opini audit tidak diungkapkan. Keyakinan negatif bahwa tidak ada yang menjadi perhatian IS auditor yang menyebabkan IS auditor untuk percaya prosedur pengendalian organisasi itu, dalam setiap hal yang material, tidak efektif dalam kaitannya denganbidang kegiatan, berdasarkan kriteria diidentifikasi. 4.3.5 Selama pertautan IS auditor mungkin mengetahuikelemahan kontrol. Auditor IS harus melaporkan ke sesuai tingkat manajemen secara tepat waktu setiap kelemahankontrol diidentifikasi. Prosedur keterlibatan dirancang untuk mengumpulkan bukti yang sesuai cukup untuk membentuk kesimpulan sesuai dengan ketentuan pertunangan. Karena ketiadaan persyaratan tertentu dalam hal keterlibatan, IS auditor tidak memiliki tanggung jawab untuk merancang prosedur untuk mengidentifikasi hal-hal yang mungkin sesuai untuk melaporkan kepada manajemen.

5. EFFECTIVE DATE 5.1 This guideline is effective for all information systems audits beginning on or after 1 January 2003. A full glossary of terms can be found on the ISACA web site at www.isaca.org/glossary.