Contoh Permasalahan Audit Sistem Informasi

Sistem Informasi Audit

Jelaskan dan berikan contohnya masing-masing : Preventive control, detective

control, recovery control, deterrent control.
Jawab

Preventif Control adalah suatu langkah pencegahan yang diambil sebelum

keadaan darurat, kehilangan, atau masalah terjadi. Ini termasuk penggunaan alarm
dan kunci, pemisahan tugas (untuk mencegah perekam uang tunai dari kas dan
mengendalikan persediaan personil dari pengendalian persediaan) ditambah umum
lainnya dan kebijakan-kebijakan otorisasi khusus.

Bisa diartikan bahwa preventif control adalah mengendalikan sistem di muka

sebelum proses dimulai dengan menerapkan hal-hal yang merugikan untuk masuk
ke dalam sistem , sehingga dirancang untuk mencegah kesalahan atau
penyimpangan dari terjadi (misalnya : pengolahan voucher hanya setelah tanda
tangan telah diperoleh dari personil yang tepat)

Contoh :

Sistem pengendalian intern (internal control) dimana penerapan kebijaksanaankebijaksanaan, metode-metode dan prosedur-prosedur didalam sistem
pengendalian intern dimaksudkan untuk mencegah hal-hal yang tidak baik yang
mengganggu masukan, proses dan hasil dari sistem supaya sistem dapat
beroperasi seperti yang diharapkan.
Melindungi kas dari pencurian atau penyalahgunaan mulai saat diterima sampai
disetorkan ke bank

Detective control adalah sesuatu yang dirancang untuk menemukan

kesalahan atau penyimpangan setelah mereka telah terjadi (missalnya :
departemen memeriksa tagihan telepon untuk panggilan pribadi).

Detektif kontrol dirancang untuk mendeteksi kesalahan dan penyimpangan yang

telah terjadi dan untuk menjamin prompt mereka koreksi. Kontrol ini merupakan
biaya operasi yang terus-menerus dan sering kali mahal, tapi perlu.

kontrol ini bertujuan pula untuk menekan dampak dari kesalahan karena dapat
mengindetifikasikan suatu kesalahan dengan cepat.

Contoh :

Menemukan pencurian atau penyalahgunaan kas

Sumber penerimaan kas

Penjualan tunai

Penerimaan lewat pos

Penerimaan lewat bank

Recovery Controls adalah Membantu mengurangi pengaruh dari suatu event

yang hilang melalui prosedur recovery data atau mengembalikan data yang hilang
melalui prosedur recovery data. Misal, memperbaiki data yang terkena virus.

Kategori lainnya mencakup :

Deterrent Control
Application Control (kontrol aplikasi)
Untuk memperkecil dan mendeteksi operasi-operasi perangkat lunak yang tidak
biasa.

Transaction Control (kontrol transaksi)

Untuk menyediakan kontrol di berbagai tahap transaksi (dari inisiasi sampai output,
melalui kontrol testing dan kontrol perubahan).

Recovery dalam basis data adalah file atau database yang telah dibetulkan dari
kesalahan, kehilangan atau kerusakan datanya. Ada beberapa strategi untuk
melakukan back up dan recovery, yaitu :

Strategi Grandfather-Father-Son.
Biasanya strategi ini digunakan untuk file yang disimpan di media simpanan luar
pita magnetik. Strategi ini dilakukan dengan menyimpan tiga generasi file induk
bersama-sama dengan file transaksinya.

Strategi Pencatatan Ganda (Dual Recording).

Strategi ini dilakukan dengan menyimpan dua buah salinan database yang
lengkap secara terpisah dan menyesuaikan keduanya secara serentak. Jika terjadi
kegagalan transaksidalam perangkat keras dapat digunakan alat pengolah kedua
yang akan meng-gantikan fungsi alat pengolah utama jika mengalami kerusakan.
Jika alat pengolah utama tidak berfungsi, secara otomatis program akan dipindah
(men-switch) ke alat pengolah kedua dan database kedua menjadi database
utama. Strategi dual recording ini sangat tepat untuk aplikasi aplikasi yang
databasenya tidak boleh terganggu dan selalu siap. Tetapi hal yang harus
dipertimbangkan adalah biayanya, karena harus menggunakan dua buah alat
pengolah dan dua buah database.

Strategi Dumping.
Dumping dilakukan dengan menyalin semua atau sebagian dari database ke media
back up yang lain (berupa pita magnetik dan disket). Dengan strategi ini
rekonstruksi dilakukan dengan merekam kembali (restore) hasil dari dumping ke
database di simpanan luar utama dan mengolah transaksi terakhir yang sudah
mempengaruhi database sejak proses dumping berakhir.

Contoh :

Penggunaan alat-alat pengaman fisik dapat berupa :

(a) Saluran air yang baik yang dapat mencegah meluapnya air kedalam gedung
bila terjadi banjir atau hujan lebat.

(b) Tersedianya alat pemadam kebakaran di tempat-tempat yang strategis dan

mudah dijangkau bila terjadi kebakaran.

(c) Digunakan UPS (Uninteruptible Power System) untuk mengatasi bila arus
listrik tiba-tiba terputus sehingga proses pengolahan data tidak terganggu dan
dapat dilanjutkan atau dihentikan seketika. UPS berisi accu yang dapat
menggantikan fungsi arus listrik terputus dan dapat tahan berjam-jam.

(d) Stabilizer untuk menghasilkan arus listrik.

(e) Pemakaian AC (Air Conditioning) untuk mengatur temperatur ruangan.

Temperatur yang ideal ini berkisar antara 10C s/d 35C.

(f) Dipasang alat pendeteksi kebakaran atau bila timbul asap yang merupakan
tanda-tanda mulai terjadi kebakaran.

Deterrent control digunakan untuk merujuk kepada suatu kepatuhan

(compliance) dengan peraturan-peraturan external maupun regulasi-regulasi yang
ada.

Contoh :

Pemisahan tugas akan mengurangi kesempatan yang memungkinkan seseorang

dalam posisi yang dapat melakukan sekaligus menutupi kekeliruan atau ke
tidakberesan dalam pelaksanaan tugasnya sehari-hari. Oleh sebab itu tanggung
jawab untuk memberikan otorisasi transaksi, mencatat transaksi dan menyimpan
aktiva perlu dipisahkan ditangan karyawan yang berbeda dengan pemisahan ini
maka tidak ada seorangpun yang menjalankan dua atau tiga fungsi secara

bersama, Hal ini dapat menghindari terjadi kolusi , effensi pelaksanaan tugas lebih
dicapai, serta terhindar dari kesalahan adanya cross check.

Apakah yang dimaksud dengan control effectiveness? Berikan contohnya?

Jawab

Control Effectiveness adalah pengendalian secara efektif dimana audit internal

adalah suatu fungsi penilaian yang idenpenden dalam suatu organisasi untuk
menguji dan mengevaluasi kegiatan organisasi yang dilaksanakan. Tujuan audit
internal adalah membantu para anggota organisasi / perusahaan agar dapat
melaksanakan tanggungjawabnya secara efektif. Untuk itu auditor internal akan
melakukan analisis, penilaian dan mengajukan saran-saran. Tujuan Audit mencakup
pula pengembangan pengawasan yang efektif dengan biaya yang wajar. Selain itu
juga audit internal merupakan suatu aktivitas indenpenden, keyakinan objectif dan
konsultasi yang dirancang untuk memberikan nilai tambah dan meningkatkan
operasi organisasi/perusahaan. Audit pun harus membantu organisasi/perusahaan
mencapai tujuannya dengan menerapkan sistematis dan berdisplin untuk
mengevaluasi dan meningkatkan efektivitas manajemen resiko, pengendalian dan
proses pengaturan dan pengelolaan organisasi.

Monitoring bertujuan untuk memastikan agar sistem internal kontrol berjalan secara
efektif. Monitoring merupakan salah satu dari 5 komponen internal kontrol (4 yang
lainnya: risk assesment, control environment, control activities, information and
communication). Manfaat yang didapatkan apabila monitoring direncanakan dan
dilaksanakan dengan baik adalah :

(a)
Masalah-masalah internal kontrol dapat diidentifikasi dan diperbaiki dengan
segera

(b)
Menghasilkan informasi yang lebih akurat dan reliabel sebagai dasar
pengambilan keputusan

(c)
waktu

Membantu mempersiapkan laporan keuangan secara akurat dan tepat

(d)

Melakukan evaluasi dan penilaian mengenai efektivitas internal kontrol

Beberapa contoh prosedur monitoring sistem internal kontrol yang dapat dilakukan
misalnya:

Evaluasi dan pengujian kontrol (testing of controls) oleh bagian internal audit secara
berkala
Membuat program continuous monitoring dalam sistem informasi
Melakukan pengawasan dan review atas kontrol yang ada (misalnya reconciliation
review)
Evaluasi atas efektivitas the tone at the top
Diskusi antara komite audit dengan auditor internal dan eksternal
Review quality assurance atas departemen internal audit
Ruang lingkup audit intern mencakup pengujian dan pengevaluasian kelayakan dan
keefektifan pengendalian intern dan kualitas kinerja yang berdasarkan tanggung
jawab yang telah ditetapkan termasuk :

Mereview reliabilitas dan integritas informasi keuangan dan operasional yaitu untuk
membantu para anggota organisasi untuk agar dapat menyelesaikan tanggung
jawabnya secara efektif, untuk tujuan tersebut pengawasan internal menyediakan
bagi mereka berbagai analisis, penilaian, rekomendasi, nasihat dan informasi
sehubungan aktivitas yang diperiksa.
Mereview sistem yang ada untuk memastikan kepatuhannya kepada kebijakan
rencana, hukum, dan peraturan yang dapat mempengaruhi secara signifikan
terhadap operasi dan pelaporan, serta menentukan apakah organisasi mematuhi
hal tersebut atau tidak.
Mereview sarana pengamanan aktiva, dan bila dipandang perlu memverifikasi
keberadaan aktiva tersebut.

Menilai keekonomisan dan efisiensi penggunaan sumber daya, dalam hal ini
keekonomisan berarti menggunakan sumber daya secara hati-hati dan bijaksana
agar diperoleh hasil terbaik, sedangkan efisiensi berarti kemampuan untuk
meminimalisir kerugian dan pemborosan sumber daya dan menghasilkan suatu out
put.
Mereview operasi atau program untuk menentukan apakah hasilnya konsisten
dengan sasaran dan tujuan yang akan ditetapkan, dan menentukan apakah operasi
dan program dilaksanakan sesuai dengan perencanaannya.

Merurut Anda, mengapa seorang IT Audit harus menganut Ethical behavior sesuai
dengan ISACA? Berikan contoh tindakan Auditor yag sesuai dengan etika dan yang
melanggar ethika.
Jawab

Karena seorang IT audit harus menggunakan metodologi audit sebagai berikut :

Audit subject : menentukan apa yang akan diaudit.

Audit objective : menentukan tujuan dari audit.

Audit scope : menentukan sistem, fungsi, dan bagian dari organisasi yang
secara spesifik/khusus akan diaudit.

Preaudit planning : mengidentifikasi sumber daya & SDM yang dibutuhkan,

menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit,
menentukan lokasi audit.

Audit procedures & steps for data gathering : menentukan cara melakukan
audit untuk memeriksa & menguji kontrol, menentukan siapa yang akan
diwawancara.

Evaluasi hasil pengujian & pemeriksaan : spesifik pada tiap organisasi.

Prosedur komunikasi dengan pihak manajemen : spesifik pada tiap organisasi.

Audit report preparation (menentukan bagaimana cara mereview hasil audit):

evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi
yang diaudit.

Sehingga perlu adanya pemeliharaan oleh para professional dan ketaatan terhadap
standar-standart pemeriksaan profesional yang dapat digunakan seharusnya
dilakukan dalam berbagai aspek pekerjaan pemeriksa system informasi.

CIA Triad membentuk prinsip-prinsip inti keamanan informasi :

Kerahasiaan (Confidentiality)
Audit berkewajiban untuk menjaga banyak rahasia rahasia organisasi/perusahaan,
rahasia para staff dan rahasia pribadi. Audit juga harus menjaga informasi rahasia
ini tersembunyi dan mendapat kepercayaan dari user / pegawai , kolega, dan
regulator setiap hari.

Integritas (Integrity)
Audit harus bertindak dengan integritas serta mampu mengembangkan kebijakan
yang sehat dan menegakkan / menjaga user tanpa bias. Audit juga harus
menunjukkan kesalahan dan kesalahan, dengan tenang dan objektif dalam rangka
menegakkan kebaikan bersama. Audit harus mencari dan membela kebenaran
dalam segala situasii untuk menemukan jati dirinya.

ketersediaan (Availability)
Bahkan ketika kita mungkin merasa terlalu lelah untuk melakukannya, kita harus
tersedia untuk konsultasi ke pengusaha dan kolega kita. Terdapat terlalu sedikit

profesional keamanan data dan diperlukan nasihat kita sering, terutama ketika
nasihat yang dicari memiliki nilai tinggi hasil.

Menjadi tersedia berarti kita harus mengatur waktu kita dengan baik, untuk
memastikan bahwa kita bekerja pada tugas-tugas yang benar-benar penting dan
tidak semata-mata yang mendesak. Risiko profesional influencer dan kita harus
yakin untuk mempengaruhi hasil dalam situasi yang benar-benar penting.

Etika secara umum didefinisikan sebagai perangkat moral dan nilai. Dari definisi
tersebut dapat dikatakan bahwa etika berkaitan erat dengan moral dan nilai-nilai
yang berlaku. Contoh Auditor sesuai dengan etika adalah

Para akuntan diharapkan oleh masyarakat untuk berlaku jujur, adil dan tidak
memihak serta mengungkapkan laporan keuangan sesuai dengan kondisi
sebenarnya.

Etika-etika yang harus dimiliki para auditor akuntan :

Sensitivitas Etika (Ethical Sensitivity)

Penelitian dalam akuntansi difokuskan pada etika akuntan dalam hal kemampuan
pengambilan keputusan dan perilaku etis. Jika auditor tidak mengakui sifat dasar
etika dalam keputusan, skema moralnya tidak akan mengarah pada masalah etika
tersebut. Jadi kemampuan untuk mengakui sifat dasar etika dari sebuah keputusan
merupakan sensitivitas etika (ethical sensitivity).

Komitmen Organisasi dan Profesional (Organizational and Professional Commitment)

Komitmen organisasi dan profesional menggambarkan intensitas dari identifikasi
individual, tingkat keterlibatan dalam organisasi atau profesi. Identifikasi ini
mengsyaratkan beberapa tingkat persetujuan dengan tujuan dan nilai organisasi
atau profesi, termasuk moral atau nilai etika.
Komitmen organisasi atau profesional dapat didefinisikan sebagai :

sebuah kepercayaan dan dukungan terhadap tujuan dan nilai organisasi dan/atau
profesi
sebuah keinginan untuk menggunakan usaha yang sungguh-sungguh guna
kepentingan organisasi dan/atau profesi
keinginan untuk memelihara keanggotaan dalam organisasi dan/atau profesi
Auditor memiliki tanggungjawab untuk merencanakan dan melaksanakan audit
untuk memperoleh tingkat keyakinan yang memadai tentang apakah laporan
keuangan itu telah terbebas dari kesalahan penyajian yang material, baik
disebabkan oleh kekeliruan maupun oleh kecurangan. Karena sifat audit dan
berbagai karateristik kecurangan auditor dapat memperoleh tingkat keyakinan,
walaupun tidak mutlak, bahwa kesalahan penyajian yang material dapat dideteksi.
Auditor tidak bertanggungjawab untuk merencanakan dan melaksanakan audit
guna memperoleh keyakinan yang memadai bahwa kesalahan penyajian baik
disebabkan oleh kekeliruan maupun oleh kecurangan, yang tidak material terhadap
laporan keuangan dapat dideteksi.

Contoh Auditor melanggar etika :

Manipulasi laporan keuangan PT KAI

Dalam kasus tersebut, terdeteksi adanya kecurangan dalam penyajian laporan

keuangan. Ini merupakan suatu bentuk penipuan yang dapat menyesatkan investor
dan stakeholder lainnya. Kasus ini juga berkaitan dengan masalah pelanggaran
kode etik profesi akuntansi.

Pemberian Honorarium

Auditor menggunakan pendekatan audit model baru atas obyek auditnya dan
mengatakan kepada pimpinan auditan bahwa ia memiliki gagasan yang dapat
menghasilkan restitusi pajak yang sudah terlanjur dibayar oleh pihak auditan pada
waktu-waktu yang lalu. Untuk itu, maka auditor mengusulkan agar honorarium
yang akan diterimanya atas jasa yang diberikannya adalah sebesar 50% dari jumlah
restitusi pajak tersebut. Perlu dicatat bahwa jasa pelayanan audit pada kantor
akuntan publik dikompensasikan dengan honorarium.

Kesepakatan pembayaran honorarium yang bersyarat merupakan pelanggaran dari

etika profesi karena terdapat implikasi negatif yang dapat terjadi apabila
kompensasi dibayarkan secara bersyarat. Honorarium yang dibayar umumnya
didasarkan atas seluruh biaya yang dikeluarkan oleh auditor dalam pemberian jasa
auditnya.

Jelaskan tujuan dari IT Auditing menurut bahasa Anda?

Jawab

IT Audit adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk

menentukan apakah sistem informasi dan sumber-sumber yang berkaitan dapat
menjaga aset, memelihara data dan integritas sistem dengan cukup, menyediakan
informasi yang relevan dan dapat diandalkan, mencapai tujuan organisasi yang
efektif, menggunakan sumber-sumber secara efisien, dan memiliki efek
pengendalian internal yang memberikan jaminan yang layak bahwa tujuan
operasional dan pengendalian akan tercapai.

IT audit juga dapat di artikan sebagai Proses pengumpulan dan evaluasi fakta/bukti
untuk menentukan apakah sistem (terkomputerisasi) dengan tujuan :

Menjaga aset

Memelihara integritas data

Memampukan komunikasi & akses informasi

Mencapai tujuan operasional secara efektif

Mengkonsumsi sumber daya secara efisien

Tujuan IT audit adalah memberikan bantuan atau jasa kepada manajemen

/organisasi perusahaan secara berkesinambungan mengenai temuan-temuan
kesalahan (error) dan ketidakberesan (irregularities) dengan cara memberikan
analisis, penilaian, rekomendasi, dan komentar mengenai pengendalian dengan
prosedur yang telah ditetapkan.

Manfaat Audit IT :

a. Pada saat Implementasi (Pre-Implementation Review)

Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan
kebutuhan ataupun memenuhi acceptance criteria.
Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
Mengetahui apakah outcome sesuai dengan harapan manajemen.
b. Pada saat sistem live (Post-Implementation Review)
Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran
untuk penanganannya.
Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem,
perencanaan strategis, dan anggaran pada periode berikutnya.
Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan
kebijakan atau prosedur yang telah ditetapkan.
Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan
dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang
melakukan pemeriksaan.
Membantu dalam penilaian apakah initial proposed values telah terealisasi dan
saran tindak lanjutnya.

Apa alasannya mengapa harus dilakukan Risk Based IT Auditing?

Jawab

Karena dengan menggunakan pendekatan risk based IT audit dapat lebih

mefokuskan terhadap masalah parameter risk assesment yang diformulasikan pada
risk based audit plan.

Risk assesment dapat mengetahui risk matrix sehingga dapat membantu internal
auditor untuk menyusun risk audit matrix. Manfaat yang akan diperoleh internal
auditor apabila menggunakan risk based audit approach, antara lain internal auditor
akan lebih efisien & efektif dalam melakukan audit, sehingga dapat meningkatkan
kinerja Departemen Internal Audit.

Dengan menggunakan risk asssment maka dapat mengetahui lebih jauh risiko-risiko
potensial yang mungkin dihadapi oleh perusahaan. Proses risk assesment terdiri
dari langkah-langkah sebagai berikut :

Mengidentifikasi risiko-risiko bisnis yang melekat (inherent business risks)

dalam aktivitas perusahaan.

Mengevaluasi efektivitas sistem pengendalian (control systems) dalam rangka

monitoring inherent risk dari aktivitas bisnis (control risk)

Menggambarkan risk matrix yang didasarkan atas inherent business risks dan
control risk.Risk assesment dapat dilakukan dengan pendekatan kuantitatif maupun
kualitatif.

Parameter yang biasa digunakan dalam metodologi risk assesment antara lain :

1)

Trend industri & faktor lingkungan lain.

2)

Kompleksitas & volume aktivitas bisnis.

3)

Perubahan dari fokus bisnis & lini bisnis (busines lines).

4)

Perubahan dari praktek & kebijakan akuntansi (accounting practices / policies).

5)
Adanya perbedaan atas kinerja yang substansial dari Anggaran (Budget)
Perusahaan.

Terdapat tiga aspek dalam Risk Based Auditing, yaitu

Penggunaan faktor risiko (risk factor) dalam audit planning

Identifikasi independent risk & assesment

Partisipasi dalm inisiatif risk management & processes.

Cakupan dari risk based internal audit termasuk dilakukannya identifikasi atas
inherent business risks dan control risk yang potensial. Departemen Internal Audit
dapat melakukan review secara periodik tiap tahun atas risk based internal audit
dikaitkan dengan audit plan. Manajemen puncak (Board of Director) dan Komite
Audit dapat melakukan assessment atas kinerja (performance) dari risk based
internal audit untuk mengetahui realibilitas, keakuratan dan obyektivitasnya. Profil
risiko (Risk profile) atas risk based internal audit didokumentasikan dalam audit plan
yang dibuat oleh Departemen Internal Audit. Risk profile tersebut dapat digunakan
untuk melakukan evaluasi apakah metodologi risk assesment telah rasional.
Manfaat diterapkannya pendekatan risk based internal audit antara lain dapat
meningkatkan efisiensi dan efektivitas internal auditor dalam melakukan audit,
sehingga secara tidak langsung dapat meningkatkan kinerja Departemen Internal
audit.

Apa yang dimaksud dengan Audit Risk?

Jawab

Audit Risk adalah

Resiko bahwa informasi / laporan keuangan mungkin berisi materi kesalahan yang
mungkin tak terdeteksi selama audit
Resiko auditor mengeluarkan pendapat wajar tanpa pengecualian padahal dalam
laporan tersebut terdapat salah saji yang material
Model Audit risk terdiri dari :

?
Inherent risk adalah Resiko dari salah saji material menganggap perusahaan
tidak memiliki kontrol internal dimana resiko yang terkait dengan sifat kegiatan,
Faktor yang relevan (aturan-aturan yang rumit pada formulir klaim, kurangnya
bimbingan-bimbingan)

?
Control risk adalah Resiko bahwa salah saji material tidak terdeteksi oleh
kontrol internal. Dalam pengertian luas, pengendalian risiko adalah resiko bahwa
salah saji material dalam informasi tidak diaudit tidak akan terdeteksi dan dikoreksi
oleh manajemen prosedur pengendalian internal secara tepat waktu.

?
Detection risk adalah Resiko bahwa auditor tidak akan mendeteksi salah saji
material menggunakan prosedur analisis atau pengujian substantif

?
Overall audit risk adalah digunakan untuk menggambarkan risiko bahwa
auditor akan mengeluarkan opini yang tidak pantas

Yang harus dilakukan oleh Auditor adalah

Auditor akan selalu punya resiko audit karena auditor tidak menguji semua
transaksi.

Oleh karenanya Auditor harus berusaha untuk menurunkan atau mengurangi

resiko audit sampai tahap cukup rendah untuk diterima (biasanya 5%).

Activities apa saja yang perlu dilakukan dalam tahap IT Audit Planning?
Jawab

Tahapan IT audit yaitu :

(a)

Memperoleh pemahaman tentang misi bisnis, sasaran, tujuan dan proses.

(b)
Identifikasi menyatakan isi (kebijakan, standar, pedoman, prosedur, dan
struktur organisasi)

(c)

Evaluasi penilaian resiko dan analisis dampak privasi

(d)

Melakukan analisa resiko.

(e)

Melakukan pengendalian internal review.

(f)

Mengatur ruang lingkup pemeriksaan dan tujuan dari pemeriksaan.

(g)

Mengembangkan pendekatan pemeriksaan atau strategi pemeriksaan.

(h)
Menugaskan sumber daya manusia untuk memeriksa dan menyebutkan
logistik yang telah dijanjikan

Tahapan Planning audit teknologi sebagai berikut :

Tahap Persiapan (Pre Audit)

Penetapan obyek dan lingkup audit

Kesepakatan audit dengan auditee

Penyusunan kriteria audit

Penyusunan Audit Plan

Pembentukan Tim audit

Metoda pengumpulan sumber bukti

Tahap Pelaksanaan Audit (Onsite audit)

Pengumpulan data sekunder dan primer

Wawancara

Observasi lapangan

 Pengukuran

Analisa sumber bukti

Tahap Pelaporan (Post Audit)

Analisa sumber bukti

Temuan

Penyusunan Rekomendasi

Klarifikasi Temuan dan Rekomendasi pada auditee

Rencana tindak

Pelaporan

Jelaskan apa yang dimaksud dengan Compliance test dan substantive test, berikan
contohnya masing?
Jawab

Compliance test

Menentukan apakah kontrol sesuai dengan kebijakan dan prosedur manajemen,jika

tes kepatuhan memberikan bukti bahwa kontrol yang berfungsi dengan baik, bukti
yang mendasari dianggap dapat diandalkan, dan CPA dapat mengurangi tingkat
validasi dan prosedur tinjauan analitis.

Berikut tiga prosedur pemeriksaan biasanya digunakan dalam melakukan pengujian

sesuai :

Penyelidikan personil mengenai kinerja tugasnya

Mengamati tindakan personil
Memeriksa dokumentasi untuk bukti kinerja karyawan dalam melaksanakan fungsi

Contoh Compliance Test ( Test Kepatuhan )

Memeriksa faktur untuk memastikan bahwa menerima dokumen dan bukti

pengiriman barang disediakan ketika faktur diberikan untuk pembayaran. Tes
kepatuhan harus diterapkan untuk transaksi sepanjang tahun di bawah audit sejak
laporan keuangan mencerminkan transaksi dan peristiwa-peristiwa sepanjang
tahun. Tes kepatuhan dapat dilakukan pada subjektif atau dasar statistik.

Substantive test

Adalah tes integritas pengolahan secara aktual.

Tiga bentuk tes substantif :

Tes transaksi (yang seringkali dilakukan bersamaan dengan Tes Kepatuhan)

Tes keseimbangan
kajian analitis prosedur.

Contoh Substantive test

Para Nasabah mencek saldo rekening untuk memverifikasi kebenaran jumlah.

Pengujian transaksi dan saldo mengumpulkan bukti validitas dari perlakuan

akuntansi transaksi dan saldo. Sistem tersebut dirancang untuk mengidentifikasi
kesalahan dan penyimpangan. Sampling statistik dapat digunakan dalam
menentukan akurasi angka laporan keuangan. Pengujian transaksi dapat dilakukan
terus-menerus sepanjang tahun atau audit pada atau mendekati tanggal neraca.
Ketika jejak CPA faktur penjualan dari jurnal ke buku besar untuk kebenaran, itu
disebut tes transaksi. Ketika CPA membandingkan saldo buku kas dengan saldo
buku, ini adalah ujian saldo. Tes ini dilakukan di dekat atau pada akhir tahun tanggal
pelaporan. Tes substantif lain menghitung biaya bunga atas utang perusahaan dan
memeriksa jumlah dalam catatan keuangan. Analytical Review memeriksa prosedur
melibatkan hubungan kewajaran dalam laporan keuangan item dan mengungkap
variasi dari tren. Prosedur yang dapat diterapkan untuk keseluruhan informasi
keuangan, data keuangan segmen, dan unsur-unsur individu. Jika hubungan tampak
masuk akal, bukti-bukti yang menguatkan ada saldo account.

Apakah yang dimaksud dengan General Control Audit dan Application Control Audit?
Berikan contohnya ?
Jawab

General Control Audit

Pemeriksaan secara keseluruhan untuk semua bidang organisasi/perusahaan dan
mencakup kebijakan dan praktek yang didirikan oleh manajemen untuk
memberikan keyakinan memadai bahwa tujuan tertentu akan dicapai.

Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam
sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang
digunakan untuk melakukan pemrosesan data

Adapun aturan-aturan Pengendalian Umum sebagai berikut :

Kontrol akuntansi internal diarahkan pada operasi akuntansi

Kontrol operasional yang bersangkutan dengan hari-hari operasi
kontrol administratif yang bersangkutan dengan efisiensi operasional dan
kepatuhan terhadap kebijakan manajemen
Organisasi logis kebijakan keamanan dan prosedur
Secara keseluruhan kebijakan untuk desain dan penggunaan dokumen dan catatan
Prosedur dan fitur untuk memastikan akses terhadap aset yang berwenang
Kebijakan keamanan fisik untuk semua data center
Contoh IT General Control meliputi :

(a) Manajemen TI
Keterlibatan Manajemen senior
IT perencanaan (strategis dan operasional)
Layanan perjanjian tingkat
Hukum kepatuhan
Organisasi TI

(b) Keamanan Fisik

Kontrol akses fisik ke fasilitas, ruang komputer, peralatan jaringan, sistem output
dan lain lain.

(c) Keamanan Informasi

Keamanan kebijakan
Keamanan manajemen
Logical kontrol akses

(d) Kelangsungan Systems

Backup data dan sistem
Kapasitas manajemen
Masalah manajemen
Kesinambungan perencanaan
Operations management
Konfigurasi manajemen

(e) Perubahan dan Manajemen Konfigurasi

Bisnis perubahan manajemen
Technical change management

(f)

Pengembangan Sistem

Pengembangan metodologi
Project management
User / pelanggan partisipasi
Kualitas manajemen
Dokumentasi

Application Control Audit

Application control Audit adalah proses pemeriksaan suatu aplikasi program dimana
digunakan secara spesifik dalam suatu aplikasi sistem informasi untuk
meminimalkan dan mendeteksi prilaku software yang tidak normal.

Application Control Audit melibatkan tinjauan terhadap resiko dan kontrol internal
yang berhubungan dengan komputer tertentu aplikasi (atau sekelompok aplikasi)
yang melakukan fungsi tertentu (seperti Payroll, e-Niaga, General Ledger, Sumber

Daya Manusia, Mahasiswa Pendaftaran dan Rekaman, Treasury Workstation, dan

lain-lain).

Wilayah yang dicakup oleh aplikasi kontrol ini meliputi:

Kontrol Masukan
Contohnya : Suntingan dan lain lain

Kontrol Pemrosesan / Pengolahan

Contohnya : manipulasi input data ke dalam sistem

Kontrol Keluaran
Contohnya : baik file untuk segera menggunakan atau masukan sistem lain atau
bahkan kontrol distribusi laporan, mikrofilm, dan lain-lain

Kontrol Basis Data

Contohnya : Mempunyai tempat penyimpanan yang aman dari orang-orang yang
tidak berkepentingan.

Kontrol Telekomunikasi
Contohnya : Memberikan PIN untuk para pengguna.

Tujuan pengendalian aplikasi (Application Control Audit) dimaksudkan untuk

memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara
benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.

10. Apakah definisi Risk (resiko) menurut Anda? Dan cara menanggulanginya?

Jawab

Resiko adalah pusat dari asuransi selain itu juga selalu berada pada pusat
kehidupan itu sendiri atau seringkali disebut sebagai suatu ketidak pastian di masa
yang akan datang tentang kerugian (uncertainty of loss).

Istilah risiko (risk) dapat juga dalam arti benda atau objek pertanggungan subject
(matter insured) dan bencana / bahaya (perils). Kapal, muatan barang, mobil,
bangunan dan lain-lain adalah beberapa contoh dari benda-benda pertanggungan.
Angin ribut, gempa bumi banjir, kecurian adalah beberapa contoh dari
bencana/bahaya yang dapat menimbulkan kerugian bila terjadi.

Cara untuk menanggulangi resiko :

Menghindari/menekan kemungkinan terjadinya resiko.

Misalnya dg memenuhi standard keamanan perusahaan (dengan memasang sistem
keamanan yg memadai atau menyediakan petugas terlatih untuk mengatasi
kebakaran).

Menanggung sendiri resiko yg terjadi.

Seorang pengusaha harus memiliki dana taktis yang tidak sedikit untuk membiayai
resiko yang terjadi.

Untuk tingkat kepastian yang lebih tinggi, pengusaha sepertinya harus mulai
memikirkan untuk mengkombinasikan cara di atas dengan mengalihkan resiko (risk
transfer) pada pihak lain, dalam hal ini perusahaan asuransi.

Jenis-jenis Resiko :

- Resiko Keuangan
- Resiko Produksi
- Resiko operasional dan pemasaran
- Resiko sumber daya manusia