RINGKASAN

dengan keandalan pengendalian komputer

CHAPTER 1: AUDITING AND

INTERNAL CONTROL

serta konten database yang telah diproses

oleh program komputer. Auditor juga harus
menentukan apakah terdapat kelemahan
dalam pengendalian internal serta salah saji
yang ditemukan dalam transaksi dan saldo

Overview Auditing

akun

Audit eksternal (keuangan)

adalah

material.

Menilai

suatu

materialitas dalam IT dapat dikatakan sulit

Audit eksternal/audit keuangan adalah suatu

karena teknologi dan struktur pengendalian

atestasi independen yang dilakukan oleh

internal yang canggih.

seorang ahli (auditor) yang mengungkapkan

suatu opini terkait dengan penyajian laporan

RISIKO AUDIT

keuangan. Tugas ini disebut jasa atestasi

Risiko audit adalah kemungkinan bahwa

yang

Public

auditor akan membuat pendapat wajar tanpa

Accountant (CPA) yang bekerja untuk

pengecualian (bersih) atas laporan keuangan

kantor akuntans publik yang independen

yang,

terhadap organisasi klien yang diaudit.

material.

Dalam pelaksanaan audit keuangan, auditor

disebabkan

eksternal harus mengikuti standar-standar

penyimpangan atau keduanya.

dilakukan

oleh

Certified

yang telah ditetapkan oleh SEC, FASB,

AICPA, dan Sarbanes-Oxley (SOX) Act
2002.

pada

kenyataannya,

Salah

saji

oleh

salah

saji

material

dapat

kesalahan

atau

Komponen Risiko Audit

Risiko yang Melekat (Inherent Risk)

Risiko Deteksi (Detection Risk)

Audit internal
AUDIT TEKNOLOGI INFORMASI
IIA mengdefinisikan audit internal sebagai
fungsi penilaian independen yang dibentuk
dalam suatu organisasi untuk memeriksa dan

Struktur Audit TI

mengevaluasi aktivitas-aktivitasnya sebagai

suatu layanan dalam organisasi. Dalam
lingkungan IT, proses pengumpulan bukti
meliputi pengumpulan bukti yang berkaitan

Perencanaan Audit (Audit Planning)

Sebagian besar dari fase audit ini
adalah analisis risiko audit.
Uji Pengendalian (Test of Control)
Tujuan dari tahap ini adalah untuk
menentukan apakah pengendalian

internal yang memadai telah pada

tempatnya dan berfungsi dengan

baik.
Uji Substantif (Substantive Testing)
Fase ini melibatkan penyelidikan
rinci

dari

saldo

rekening

Model PDC
Pengendalian internal terbagi ke dalam 3
tingkat yang disebut model Pengendalian
PDC, yaitu:

dan

transaksi khusus melalui apa yang

disebut pengujian substantif.
TUJUAN,

PRINSIP,

DAN

MODEL

PENGENDALIAN INTERNAL

Pengendalian Preventif.
Pengendalian Detektif.
Pengendalian Korektif.

COSO Internal Control Framework

Pengendalian internal menurut COSO, ada 5

Sistem pengendalian internal organisasi

komponen, yaitu:

terdiri dari kebijakan, praktik, dan prosedur

1.
2.
3.
4.
5.

untuk mencapai empat tujuan utama:

1. Untuk

mengamankan

aset

perusahaan.
2. Untuk menjamin keakuratan dan
keandalan

pencatatan

informasi akuntansi.
3. Untuk mendorong

dalam operasi perusahaan.

4. Untuk mengukur kepatuhan
terhadap kebijakan dan prosedur
yang dianjurkan manajemen.
Melekat dalam tujuan pengendalian ini,
terdapat empat prinsip yang memandu
desainer

dan

auditor

dari

sistem

pengendalian intern, yaitu:

1.
2.
3.
4.

CHAPTER 2: AUDITING IT

dan

efisiensi

Tanggung Jawab Manajemen

Metode Pemrosesan Data
Pembatasan
Keyakinan yang Memadai.

Lingkungan Pengendalian.
Penilaian Risiko.
Informasi dan Komunikasi.
Pengawasan.
Aktivitas Pengendalian.

GOVERNANCE CONTROLS
Information Technology Governance
Tujuan utama dari tata kelola TI:

mengurangi risiko
memastikan bahwa
sumber daya TI

investasi

dalam

menambah nilai bagi

perusahaan
IT Governance Controls
Isu tata kelola IT berdasarkan SOX dan
COSO:
1. Organizational structure of the IT
function
2. Computer center operations
3. Disaster recovery planning

STRUCTURE OF THE INFORMATION

Disaster Recovery Planning

TECHNOLOGY

Dengan perencanaan kontinjensi yang hati-

Centralized Data Processing adalah semua

hati, dampak dari bencana dapat diredam

pemrosesan data dilakukan oleh satu atau

dan organisasi dapat pulih dengan cepat.

lebih komputer yang lebih besar bertempat

Untuk bertahan hidup dari peristiwa darurat

di situs pusat yang melayani pengguna di

seperti

seluruh organisasi.

mengembangkan prosedur pemulihan dan

Pemisahan antara suatu fungsi tertentu demi

meresmikan mereka ke dalam suatu rencana

menjaga IC yang baik:

pemulihan bencana (DRP), suatu skema

Inadequate

Documentation:

Programmer

lebih

mengembangkan

sistem

baru

perusahaan

menghadapi

harus

keadaan

darurat.Prosesnya adalah:
a. Identify Critical Applications

daripada mendokumentasikan kinerja

b. Creating a Disaster Recovery Team

sistem lama, juga soal job security

c. Providing Second- Site Backup

perlu

karena

dpat

mutual aid pact

yang

tidak

empty shell or cold site

sempurna biar ada kerjaan terus.

Program Fraud: unauthorized change

recovery operations center or hot site

internally provided backup

diperhatikan

menyusun

menyukai

dalam

itu,

program

karena programer faham seluk beluk

operasi normal.