b.
sifat dari tes dimana auditor melakukan untuk mencapai tujuan tersebut .
Jenis Jenis General Control
1. operating system controls
memverifikasi bahwa kebijakan dan pengendalian prosedur keamanan cukup ketat
untuk melindungi sistem operasi terhadap hardware failure, software efforts,
destructive acts by employees or hackers, virus infection
2. data management controls
Tujuan dari data management control adalah melindungi terhadap akses tidak sah
atau kerusakan data & memadai backup data. Adapun control tersebut meliputi
kontrol terhadap:
Tmenentukan apakah pemisahan ditopang lingkungan kerja yang mempromosikan hubungan formal
antara tugas-tugas yang tidak kompatibel
control terhadap: review organizational & systems documentation, observe behavior, and review
database authority tables
semua transaksi EDI diautorisasi, divalidasi, dan sesuai dengan kebijakan organisasi
tidak ada organisasi yang tidak sah yang mendapatkan akses ke catatan data base
mitra dagang resmi hanya memiliki akses ke data yang disetujui
kontrol yang memadai di tempat untuk memastikan transaksi EDI lengkap
Controls: sophisticated authorization & validation techniques, access controls, audit trail modules and
controls
9. personal computer controls
pengawasan dan operasi prosedur yang memadai untuk mengkompensasi kurangnya pemisahan
antara tugas pengguna , programmer , dan operator
akses ke mikrokomputer , file data , dan file program dibatasi untuk petugas yang berwenang
prosedur cadangan berada di tempat untuk mencegah data dan kehilangan program dari kegagalan
hardware
sistem seleksi dan akuisisi prosedur menghasilkan aplikasi yang berkualitas tinggi , bebas dari
kesalahan , dan dilindungi dari perubahan yang tidak sah
Controls: increased supervision, access & security controls, backup controls, systems development
and maintenance controls, systems development and acquisition controls
Aplication Control
Aplication control adalah sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau
kegiatan tertentu yang telah ditentukan.
Tujuan pengendalian aplikasi :
1. Input data akurat, lengkap, terotorisasi dan benar
2. Data diproses sebagaimana mestinya dalam periode waktu yang tepat
3. Data disimpan secara tepat dan lengkap
4. Output yang dihasilkan akurat dan lengkap
5. Adanya catatan mengenai pemrosesan data dari input sampai menjadi output
Aplication Control berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi,
termasuk : suntingan data, pemisahan fungsi bisnis ( misalnya , transc inisiasi terhadap otorisasi ) ,
menyeimbangkan total pengolahan , transc logging , dan pelaporan kesalahan .
Teknik untuk aplikasi komputer audit dibagi ke dalam dua kelas :
1 ) teknik untuk pengendalian aplikasi pengujian
2 ) teknik untuk memeriksa rincian transaksi dan saldo akun - substantif pengujian
1) Testing Aplication Control
White Box Approach - understanding the internal logic of the application : authenticity (access)
tests, accuracy tests, completeness tests, redundancy tests,audit trail tests, rounding error tests
Metode pengujian Data : pengujian untuk logika atau kontrol masalah - baik untuk sistem baru atau
sistem yang telah mengalami perawatan baru-baru ini
Integrated Test Facility ( ITF ) : sebuah otomatis , on- akan teknik yang memungkinkan auditor untuk
menguji logika aplikasi dan kontrol selama operasi normal
Parallel Simulation : auditor menulis program simulasi dan menjalankan transaksi yang sebenarnya
dari klien melalui sistem
2) Substantive Test
Substantive Test Techniques
Menelusuri kewajiban yang tidak tercatat
Konfirmasi piutang untuk memastikan mereka tidak dilebih-lebihkan
Menentukan nilai yang benar dari persediaan , dan memastikan mereka tidak dilebih-lebihkan
Menentukan ketepatan akrual untuk biaya yang dikeluarkan , namun belum menerima ( juga
pendapatan jika sesuai )
Embedded Audit Module
Modul yang sedang berlangsung yang menyaring transaksi non - materi
Dipilih , transaksi material yang digunakan untuk pengambilan sampel dalam tes substantif
Membutuhkan sumber daya tambahan komputasi oleh klien
Sulit untuk mempertahankan sistem dengan pemeliharaan yang tinggi
screen data
format reports
sumber
daya,
dan
manajemen
risiko.
IT Governance adalah tanggung jawab dewan direksi dan manajemen eksekutif dan merupakan
bagian integral dari tata kelola perusahaan. IT governance terdiri dari kepemimpinan dan organisasi
struktur dan proses yang memastikan bahwa organisasi IT ini menopang dalam arti luas strategi dan
tujuan organisasi.
COBIT Framework
End-to-end coverage
COBIT merupakan kepanjangan dari Control Objectives for Information and Related Technology yang
dikembangkan oleh IT Governance Institute atas promosi atau saran dari ISACA, yang diartikan
sebagai sebuah standar pengaturan di bidang informasi tata kelola , kontrol , dan keamanan bagi
para profesional.
COBIT ini dibuat dengan tujuan:
Untuk meneliti, mengembangkan , mempublikasikan dan mempromosikan otoritatif , up - to-date , yang
diterima secara internasional sebagai IT Governance Control Framework
untuk diadopsi oleh perusahaan dan digunakan secara rutin oleh manajer bisnis , profesional TI dan
assurance profesional
Keberhasilan COBIT diterima secara internasional sebagai bahan panduan untuk tata kelola TI yang
telah menghasilkan penciptaan hubungan dalam peningkatan publikasi dan produk yang dirancang
untuk membantu dalam pelaksanaan tata kelola TI yang efektif di seluruh perusahaan
Komponen IT Governance (COBIT)
1. Keselarasan strategi, IT selaras dengan kondisi dan jenis bisnis
2. Pencapaian nilai, IT mendukung organisasi dan memaksimalkan keuntungan
3. Pengelolaan sumber daya, Sumber daya IT digunakan secara bertanggungjawab
4. Manajemen risiko, Risiko IT dikelola dengan baik
5. Pengukuran kinerja, transparansi IT dicapai melalui pengukuran kinerja
COBIT adalah framework untuk informasi manajemen Risiko IT, atau merupakan "kerangka kerja dan
tool set pendukung yang memungkinkan manajer untuk menjembatani kesenjangan antara kebutuhan
pengendalian permasalahan teknis dan risiko bisnis, pertama dirilis 1996 oleh Information System
Audit and Control Association (ISACA). Versi terbarunya adalah COBIT 5.
Tujuan utama COBIT adalah menyediakan kebijakan yang jelas dan best practice untuk IT
governance, membantu manajemen senior dalam memahami dan mengelola risiko yang
berhubungan dengan IT
process-oriented,
controls-based, and
measurement-driven.
1.
stakeholdernya dengan menjaga keseimbangan antara realisasi keuntungan dan optimasi risiko dan
penggunaan sumber daya.
2. Melingkupi seluruh perusahaan, mengintegrasikan tata kelola TI perusahaan kedalam tata kelola
perusahaan
3.
Menerapkan satu kerangka tunggal yang terintegrasi, prinsip ini menyatukan semua pengetahuan
yang sebelumnya tersebar dalam berbagai framework ISACA (COBIT, VAL IT, Risk IT, BMIS, ITAF, dll)
4.
5.
Pemisahan tata kelola dari manajemen, membuat perbedaan yang cukup jelas antara tata kelola dan
manajemen. Kedua hal tersebut mencakup brbagai kegiatan yang berbeda, memerlukan struktur
organisasi yang berbeda, dan melayani untuk tujuan yang berbeda pula.
Kelebihan COBIT
1.
2.
Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik
mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.
3.
Rahasia
4.
Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.
5.
Integritas
6.
7.
Ketersediaan
8.
Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan
masa depan.
9.
Kepatuhan Nyata
COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi
operasional.
diadopsi berbagai framework tata kelola operasional seperti ITIL (The Information Technology
Infrastructure Library) yang merupakan sebuah kerangka pengelolaan layanan TI yang terbagi ke
dalam proses dan fungsi.
2.
Kerumitan penerapan. Apakah semua control objective dan detailed control objective harus
diadopsi, ataukah hanya sebagian saja? Bagaimana memilihnya?
3.
4.
COBIT kurang dalam memberikan panduan keamanan namun memberikan wawasan umum atas
proses TI pada organisasi daripada ITIL misalnya.
Jenis-jenis IT Governance Framework
a.
b.
c.
management, Software
asset
management,The
business
perspective, Security
khusus
yang mungkin
dapat
diterapkan ke lingkungan
ini
biasanya dilakukan melalui penilaian risiko. Dikembangkan oleh The International Organization for
Standardization (ISO) dan The International Electrotechnical Commission (IEC) dengan titel
"Information Technology - Code of Practice for Information Security Management". ISO/IEC 17799
dirilis pertama kali pada bulan desember 2000.
ISO 17799 terdiri dari : Security policy, Organizational security, Asset calssification, Human
resources, Physical and environmental, Communcation and operations, Access control, System
development, Business continuity, Compliance, Risk asessment, Information System acquisition
Perbandingan antar Framework
Area
Function
Area
COBIT
Mapping
IT
process
4
domain,
ISACA
Implementatio
Information
System Audit
Accounting
34
process
Issuer
Consultant
ITIL
IT firm
9 process
10 domain
OGC
ISO BOARD
ISO 17799
IT Consulting firm
Kapan digunakan
b.
c.
d.
e.
masalah perencanaan , penyimpanan data , integritas data dan kelengkapan , privasi dan
kerahasiaan kekhawatiran
f.
penghapusan file atau catatan yang dipilih ke komputer auditor dan berpotensi offsite .
g.
Planning
Merupakan bagian integral dari perencanaan untuk memahami lingkungan sistem informasi
organisasi : sampai batas yang cukup untuk IS auditor untuk menentukan :
ukuran dan kompleksitas sistem dan
tingkat ketergantungan organisasi pada sistem informasi . IS auditor harus memperoleh pemahaman
tentang misi dan tujuan bisnis organisasi ,
tingkat dan cara di mana teknologi informasi dan sistem informasi yang digunakan untuk mendukung
organisasi , dan
risiko dan eksposur yang terkait dengan tujuan organisasi dan sistem informasinya .
Juga , pemahaman tentang struktur organisasi termasuk peran dan tanggung jawab kunci IS staf dan
pemilik proses bisnis dari sistem aplikasi harus diperoleh .
2.
Reporting
Weakness
IT Control
General IT controls
kontrol yang meminimalkan risiko dengan fungsi keseluruhan sistem IT organisasi dan infrastruktur
dan untuk satu set luas solusi otomatis ( aplikasi ) .
Application controls
seperangkat kontrol tertanam dalam aplikasi .
Pervasive IT controls
kontrol TI umum yang dirancang untuk mengelola dan memantau lingkungan TI dan , karena itu ,
mempengaruhi semua kegiatan yang berhubungan dengan IT .
Detailed IT controls
terdiri dari pengendalian aplikasi ditambah IT kontrol umum yang tidak termasuk dalam pervasive IT
Control .