IT governance

Information system (IT) governance : adalah sebuah subset tata kelola perusahaan yang
relatif baru yang fokus pada manajemen dan penilaian sumber daya IT yg strategis.

Tujuan dari It governance : adalah untuk mengurangi resiko dan memastikan bahwa
investasi pada sumber daya IT menambah nilai perusahaan

3 issues IT governance dari SOX dan COSO internal framework :

1. Organizational structure of the IT function (struktur organisasi pada fungsi IT)
2. Computer center operation (operasi pusat komputer)
3. Disaster recovery planning (rencana pemulihan bencana)

Berikut penjelasan 1 issue IT governance :

1. Structure of the IT function

- Centralized Data Processing
Proses semua data dilakukan oleh 1 atau komputer yg lebih besar pada bagian
pusat yang melayani seluruh pengguna pada organisasi tersebut.
Pengguna bersaing untuk sumber daya ini sesuai kebutuhan
Primary service areas :
a) Database administration
Perusahaan secara terpusat memelihara sumber daya data mereka pada
sebuah lokasi pusat yang dimiliki oleh semua pengguna. Pada pengaturan
bersama ini, kelompok terikat pada database administrator (DBA)
bertanggung jawab atas keamanan dan integritas dari database.
b) Data processing
Kelompok pengolah data mengolah sumber daya komputer yg digunakan
untuk melakukan proses transaksi sehari-hari. Termasuk didalamnya
berbagai fungsi berikut:
(1) Data conversion : berfungsi untuk mentranskrip data transaks dari
sumber dokumen hard copy menjadi computer input / soft copy.
(2) Computer operations : file elektronik dari data conversion akan diproses
pada central computer yg dikelola oleh kelompok computer operations.
Biasanya aplikasi akuntansi dieksekusi sesuai dengan jadwal yang
diawasi oleh sistem operasi komputer pusat.
(3) Data library : ruang yang berdekatan dengan computer center (komputer
pusat) yang menyediakan penyimpanan yg aman untuk data-data
offline.
c) System development and maintenance
Kebutuhan sistem informasi oleh pengguna dibuat dalam 2 fungsi yang
berkaitan yaitu pengembangan sistem (system development) dan
pemeliharaan (maintenance). Pada kelompok ini bertanggung jawab untuk
 menganalisis kebutuhan penggudan dan untuk mendesain sistem baru untuk
memuaskan kebutuhan.
Partisipan pada system development:
(a) System professionals: mengumpulkan fakta-fakta ttg masalah
pengguna, menganalisis fakta, memformulasikan sebuah solusi. Terdiri
dari system analyst, database designers, dan programmer yg mendesain
dan membangun sistem.
(b) End users: adalah untuk mereka yg membangun sistem tersebut. yaitu
managers yg menerima laporan dari sistem dan operasi
(c) Stakeholders: individu dari dalam maupun luar perusahaan yg memiliki
ketertarikan pada sistem tetapi bukan pengguna. Terdiri dari akuntan,
internal dan eksternal auditor, dan orang-orang yg mengawasi
pengembangan sistem

- Alternative Organization of system development

yaitu system analysis pada application programming.
Kelompok System analysis bekerja dengan users untuk menciptakan detail
desain dari sistem baru.
Pada kelompok programming mengkoding program berdasarkan spesifikasi
desain.
Terdapat 2 jenis masalah pada pengawasan ini:
(1) Inadequate documentationkualitas yg buruk pada sistem dokumentasi.
Ada 2 penjelasan yaitu pertama, sistem dokumentasi adalah tugas yang
kurang menarik. Yg kedua, kemanan kerja yang kurang.
(2) Program fraudketika programmer memegang tanggung jawab, begitu
juga dengan meningkatnya kemungkinan fraud. Penjelasannya, mgkin
programmer telah menyembunyikan kecurangan dalam sistem yg karena
programmer akan memelihara atau bertanggungjwb penuh memungkinkan
programmer menyembunyikannya selama bertahun2.

- Segregation of Incompatible IT fucntion

Separating system development from computer operations
Hubungan antara system development and maintenance dengan operation
activities adalah formal dan tanggung jawab masing2 tidak tercampur. System
development and maintenance bertugas untuk menciptakan sistem untuk users
dan operation bertugas untuk menjalankan sistemnya.
Separating database administration from other functions
Separating new system development from maintenance

- The Distributed Model (Distributed Data Processing / DDP)

DDP melibatkan perombakan ulang fungsi pusat IT kedalam unit kecil yg
diletakkan dibawah pengawasan end users
Ada 2 alternatives:
 (1) Variasi pada centralized model; perbedaanya ialah terminal didistribusikan
pada end users untuk menangani input dan output
(2) Perpindahan signifikan dari centralized model; mendistribusikan semua
layanan komputer pada end users
Risk Associated with DDP
(1) Inefficient use of resource : kelalaian dalam mengatur sumber daya IT oleh
end users, operasional menjadi kurang efisien karena tugas yang berlebih,
ketidaksesuaian hardware dan software diantara fungsi end users
(2) Destruction of audit trials (penghancuran jejak audit): jejak audit digunakan
untuk melacak transaksi keuanhan dari sumber dokumen. Pemisahan tugas
yang tidak memadai, standar yg kurang, perekrutan profesional yg
berkualitas
Advantages of DDP
(1) Cost reductions
(2) Improved cost control responsibility
(3) Improved user satisfaction
(4) Backup flexibility
Controlling the DDP environment
(1) Implement a corporate IT function : central testing of commercial software
and hardware, user service, standard setting body, personnel review
(2) Audit objective : untuk melakukan verifikasi bahwa struktur pada fungsi
IT
(3) Audit procedures :
(3.1) centralized IT : review dokumentasi yg relevan; review sistem
dokumentasi dan maintenance catatan; verifikasi operator komputer yg
tidak memiliki akses pada sistem; observasi ruang operasi
(3.2) distibuted IT : review bagan organisasi, misi dan penjelasan pekerjaan;
verifikasi peraturan perusahaan dan standar; verifikasi pengendalian dan
review sistem dokumentasi utk memverifikasi aplikasi, prosedur, dan
database sudah sesuai standar

2. The Computer Center

- Berikut ini beberapa lokasi / area yg dapat berpotensi memberikan pengaruh pada
kualitas informasi, catatan akuntansi, proses transaksi, dan ekfektifitas internal control
lainnya:
Physical location
Dapat langsung mempengaruhi resiko kehancuran/kerusakan pada bencana alami
maupun perbuatan manusia.
Contrustion
Pusat komputer dapat berlokasi pada bangunan tunggal yang berkonstruksi padat
dengan pengawasan akses dengan utility pada bawah tanah. Tidak boleh membuka
jendela dan sistem pertukaran udara harus diletakkan pada tempat yg tepat.
Access
 Akses pada pusat komputer harus dibatasi pada operator dan karyawan lainnya.
Misalnya pintu terkunci, kamera, kartu akses dan login akun.
Air conditioning
Harus menyediakan temperatur dan kelembapan yg tepat untuk ruangan komputer.
Fire suppression
Api adalah hal trpenting yg harus diperhatikan pada perlengkapan komputer, harus
ada alarm otonatis dan manual yg ditempatkan pada lokasi yg strategis, alat
pemadam api otomaatis maupun manual, pembangunan gedung yg tepat, jalur
evakuasi yg benar
Fault tolerance
Adalah sebuah kemampuan dari sistem untuk melanjutkan operasi ketika bagian
dari sistem tersebut gagal karena kegagalan hardware, eror pada aplikasi, atau eror
pd operator.
Contoh fault of olerance technology :
(1) Redundant arrays of independent disks (RAID) : menggunakan disk paralel
dengan kelebihan data dan aplikasi sehingga jika 1 disk mengalami kegagalan
maka data yg hilang akan direkonstruksi kembali (dibangun ulang)
(2) Uninterruptible power supplies :

- Audit Procesure
Beberapa pengawasan keamana fisik :
Test of physical contruction
Test of the fire detection system
Test of access control
Test of RAID
Test of the uninterruptible power supply
Test of insurance coverage

3. Disaster Recovery Planning (DRP)

- Adalah sebuah pernyataan dari semua aksi / tindakan yang sudah diambil, selama dan
setelah berbagai kerusakan / bencana terjadi. Terdapat 4 proses :
(1) Identify critical application
(2) Creating a disaster recovery team
Anggota team harus expert / ahli dalam bidang nya dan memiliki tugas yg jelas
(3) Providing second site back up
Menyediakan duplikasi proses data. Mutual aid pact, empty shell, recovery
operation center, internally provided backup
(4) Back up and off site storage procedure
Semua data, aplikasi, dokumentasi dan kebutuhan lainnya harus secara otomatis
dibackup dan disimpan pada lokasi yg aman. Operating system backup, application
backup, backup data files, backup documentation, backup suplies and source
document, testing the DRP
- Audit procedures
 Site backup. Evaluasi kesesuaian lokasi backup
Critical application list. Review data dari kritikal aplikasi
Software backup. Verifikasi salinan dari kritikal aplikasi dan operasi sistem yg
disimpan
Data backup. Verifikasi data yg disimpan dengan DRP
Backup supplies, documents, documentation. Verifikasi jenis dan jumlah item
yg spesidik pada DRP di lokasi yg aman
Disaster recovery team. Verifikasi anggota team adalah karyawan yg sekaran
dan berhai-hati pada tanggungjawab mrka masing-masing

Outsourcing It function
- Manfaat It oursourcing :
(1) Improved core business processes
(2) Improved IT performance
(3) Reduce It costs
- Lokasi yg mendasari outsourcing mngikuti teori kompetensi inti yg berpendapat bahwa
sebuah organisasi harus berfokus pd kompetensi bisnis intinya. Mengabaikan
perbedaan penting antara :
(1) Commodity IT asset. Tidak unik terhadap organisasi dan mudah diperoleh pada
marketplace
(2) Specific IT asset. Unik dan mendukung tujuan strategis perusahaan / organisasi
(3) Transaction Cost Economic. Menyarankan perusahaan untuk mempertahankan
spesifik asset non IT
(4) Cloud computing. Lokasi yg independen membagi pusat data yg dihosting melalui
layanan It di internet. Ada 3 kelas utama: SaaS (software as a service), IaaS
(Infrastructure as a service), Paas (Platform as a service)
(5) Virtualization. Network virtualization meningkatkan efektifitas network, optimasi
kecepatan, flexibilitas dan meningktkan skalabilitas. Storage virtualization untuk
menghitung penyimpanan fisik dari berbagai perangkat.

Risks Inherent to IT Outsourcing

- Failure to platform
- Vendor exploitation
- Outsourcing cost exceed benefit
- Reduced security
- Loss of strategic advantage
Data structure and CAAT for data extraction
Data structure
Dua komponen dasar dalam data structure :
o Organization : cara mencatat secara fisik pada alat penyimpanan sekunder
o Access method : teknik yang digunakan untuk mencari catatan dan bernavigasi di
basis data

1. Flat files :
File sistem operasi yang record dalam filenya tidak berisi informasi tentang struktur
file atau hubungan antar record yang dikomunikasikan ke aplikasi yang
menggunakannya. (contoh : csv, yang data nya di pisah pake koma )
Cocok untuk menyimpan daftar dan data yang sederhana.
a. Sequential structure :
Mengorganisasi kumpulan record secara berurutan
Kelebihan :
- Harganya relatif murah
- Metode penyimpanan dalam memory sangat sederhana sehingga efisien
untuk menyimpan record yang besar
Kekurangan :
- Prosesnya lambat
- Tidak efisien jika hanya sebagian kecil file yang diproses
- Jika ingin mengubah data,maka semua record yang tersimpan dalam
master file harus diproses semuanya
- Tidak bisa dilakukan pembacaan secara langsung
- Sangat susah untuk mengupdate data,sebab master file hanya bisa berubah
pada saat proses berlangsung.
Sequential access method :suatu cara pengaksesan record, yang didahului
pengaksesan record-record di depannya. (Jadi akses datanya secara berurutan satu satu
dari depan, tidak loncat loncat )
Sequential storage method : data disimpan secara urut dan disortir. Media
penyimpanan : magnetic tape, cd, dvd.

b. Indexed random file structure

Merupakan salah satu cara yang efektif untuk mengorganisasi kumpulan record-record
yang membutuhkan akses record secara sequential maupun secara individu
berdasarkan kata kunci
Keuntungan :
- data yang disimpan tidak harus urut
- lebih cepat dalam hal pengambilan data
- pemrosesan yang lebih efisien dan penyimpanan data yang efisien
kekurangan :
 - data yang tersimpan punya potensi lebih cepat rusak
- kapasitas penyimpanan jadi lebih besar
- memerlukan hardware dan software yang lebih besar dibandingkan
sequential structure

virtual storage acessing method (VSAM) : suatu perusahaan dapat mengatur catatan
dalam file dalam urutan fisik (urutan bahwa mereka masuk), urutan logis menggunakan
kunci (misalnya, nomor ID karyawan), atau dengan jumlah record relatif pada perangkat
penyimpanan akses langsung (DASD).
Kelemahan: Tidak melakukan penyisipan rekaman secara efisien - memerlukan relokasi
fisik semua catatan di luar titik tersebut.
Memiliki tiga komponen fisik: indeks, prime data storage area, overflow area.
c. Hashing structure
o Hashing merupakan salah satu struktur data yang digunakan dalam penyimpanan
data sementara. ( kayak hashtag )
o Tujuan dari hashing adalah untuk mempercepat pencarian kembali dari banyak data
yang disimpan.
o Kelebihan :

o Kekurangan :
- Data yang sama mungkin kestore berkali kali
- Penggunaan hastag yang beda tapi data yang sama

d. Pointer structure
Menyimpan alamat (pointer) catatan terkait di field setiap record data, sehingga
menyediakan koneksi antara catatn dan dapat digunakan untuk menggabungkan
catatan antar file.
o Keuntungan:
- Kecepatan akses
o Kekurangan :
- Jika catatan terkait bergerak, penunjuk harus diubah. Dengan tidak adanya
hubungan logis dengan catatan yang mereka identifikasi, jika pointer hilang
atau hancur, catatan referensi juga hilang.

2. Hierarchical & Network Database Structures

Hirarki : model data yang disusun seperti pohon keluarga (one to many, one to one)
 Network database : Perbedaannya terdapat pada suatu simpul anak bisa memilki lebih
dari satu orang tua. Model ini bisa menyatakan hubungan 1:1 (satu arang tua punya satu
anak), 1:M (satu orang tua punya banyak anak), maupun N:M (beberapa anak bisa
mempunyai beberapa orangtua)

3. Relational database
Model inimenggunakan sekumpulan tabel berdimensi dua(yang disebut relasi atau tabel),
dengan masing-masing relasi tersusun atas tuple dan atribut.Relasi dirancang sedemikian
rupa sehinggadapat menghilangkan kemubaziran data danmenggunakan Field Kunci
(Primary Key) untukberhubungan dengan relasi lain.
 Kelebihan Model Relasional
Model Relasional merupakan model data yang paling banyak digunakan saat ini. Hal ini
disebabkan oleh bentuknya yang sederhana dibandingkan dengan model jaringan/network
atau model hirarki. Bentuk yang sederhana ini membuat pekerjaan seorang programmer
menjadi lebih mudah, yaitu dalam melakukan berbagai operasi data (query, insert, update,
delete, dan lainnya).

Database anomalies
- Update anomali : Yaitu error atau kesalahan yang terjadi sebagai akibat operasi
perubahan tuple/record dari sebuah relasi.
Contoh: Jika harga obat untuk kode_obat Kd01 dinaikkan menjadi 5000, maka harus
dilakukan beberapa kali modifikasi terhadap record-record pasien yang menebus
kode_obat Kd01, agar data selalu tetap konsisten.

- Insertion anomalies : Yaitu error atau kesalahan yang terjadi sebagai akibat operasi
menyisipkan tuple/record pada sebuah relasi.
Contoh: Jika ada obat baru yang akan dimasukkan/disisipkan, maka obat tersebut tidak
dapat disisipkan ke dalam relasi sampai ada pasien yang mengambil jenis obat tersebut

- Deletion anomalies : Anomali penghapusan melibatkan penghilangan data yang tidak

disengaja. Bila item atribut yang digunakan hanya satu entitas dihapus, semua informasi
tentang item atribut tersebut hilang.
Contoh pada table kursus data NoSiswa 20 akan dihapus karena sudah tidak ikut kursus
lagi sehingga akibatnya data kursus bhs jepang dan biaya 70000 akan ikut terhapus.
 6 tahapan desain basis data
- Identifikasi entitas utama organisasi.
- Buatlah model data yang menunjukkan asosiasi entitas (kardinalitas).
- Tambahkan primary key dan atribut ke model.
- Normalisasikan model data dan tambahkan foreign key.
- Hapus kelompok yang berulang, parsial dan transitif independensi dan tetapkan foreign
key untuk menghubungkan tabel.
- Buatlah database fisik.
- Siapkan tampilan pengguna fisik.
Pertemuan Pertama Auditing and Internal Control
Auditing
Perkembangan teknologi informasi (TI) memiliki dampak yang luar biasa dalam audit.
Organisasi bisnis menjalani berbagai jenis audit untuk tujuan yang berbeda.
Yang paling umum adalah audit eksternal (keuangan), audit internal dan audit
kecurangan (fraud audits).

External (Financial ) Audits

Pengesahan independen dilakukan oleh pakar (yaitu, Certified Public Accountant) yang
mengungkapkan pendapat mengenai penyajian laporan keuangan secara adil.
Diperlukan SEC untuk semua perusahaan publik.
Konsep utama dari independen:
- Mirip dengan pengadilan oleh hakim.
- Auditor mengumpulkan bukti dan memberikan pendapat.
- Dasar kepercayaan masyarakat terhadap laporan keuangan.
Aturan ketat harus diikuti:
Ditetapkan oleh SEC, FASB, AICPA dan SOX.

Attest Service vs Advisory Services (jasa atestasi vs jasa pemberi saran )

Persyaratan layanan atau jasa atestasi:
- Pernyataan tertulis dan laporan tertulis praktisi.
- Pembentukan formal kriteria pengukuran.
- Terbatas untuk pemeriksaan, review, dan penerapan prosedur yang disepakati.
Layanan konsultasi yang ditawarkan untuk meningkatkan efektivitas dan efisiensi
operasional klien.
SOX sangat membatasi jenis dari non-audit yang mungkin ditugaskan auditor untuk
mengaudit klien.
- Tidak sah untuk menyediakan banyak akuntansi, keuangan, audit internal, manajemen,
sumber daya manusia atau layanan hukum yang tidak terkait dengan audit.

Internal Audits
Audit internal adalah fungsi penilaian independen untuk memeriksa dan mengevaluasi
kegiatan di dalam, dan sebagai layanan untuk, sebuah organisasi.
Auditor internal melakukan berbagai kegiatan termasuk audit keuangan, operasional,
kepatuhan dan penipuan.
Auditor dapat bekerja untuk organisasi atau tugas yang mungkin dioutsourcing.
- Independen (Kemandirian) dipaksakan sendiri, tapi auditor mewakili kepentingan
organisasi.
 External vs Internal Auditors
Auditor eksternal mewakili pihak luar sementara auditor internal mewakili kepentingan
organisasi.
Auditor internal sering bekerja sama dengan dan membantu auditor eksternal dalam
beberapa aspek audit keuangan.
-Tingkat kerjasama tergantung pada independensi dan kompetensi staf audit internal.
Auditor eksternal dapat mengandalkan sebagian bukti yang dikumpulkan oleh
departemen audit internal yang independen secara organisasi dan melapor kepada komite
audit direksi.

Fraud Audits
Kenaikan popularitas saat ini sebagai alat corporate governance.
Tujuan untuk menyelidiki anomali dan mengumpulkan bukti kecurangan yang dapat
menyebabkan hukuman kriminal.
Mungkin diprakarsai oleh manajemen yang mencurigai kecurangan karyawan atau dewan
direksi yang mencurigai kecurangan eksekutif.

Role of Audit Committee ( peran audit komite)

Pania kecil dari dewan direksi
- Biasanya ada tiga anggota yang luar.
- SOX membutuhkan setidaknya satu anggota harus menjadi "ahli keuangan".
Berfungsi sebagai "checks and balance" independen untuk fungsi audit internal.
Mandat SOX yang dilaporkan auditor eksternal kepada komite audit:
- Komite mempekerjakan dan memecat auditor dan menyelesaikan perselisihan.

Auditing Standars ( standar audit)

Tiga kelas standar auditing: kualifikasi umum, kerja lapangan, dan pelaporan.
Pedoman spesifik yang diberikan oleh AICPA Statements on Auditing Standards (SASs)
sebagai interpretasi otoritatif GAAS.
- Yang pertama dikeluarkan pada tahun 1972.
- Jika rekomendasi tidak diikuti, auditor harus dapat menunjukkan mengapa SAS tidak
berlaku untuk situasi tertentu.
Mengadakan audit adalah proses yang sistematis dan logis yang berlaku untuk semua
bentuk sistem informasi.

Generally Accepted Auditing Standards

Standar Umum
 1. Audit harus dilaksanakan oleh seseorang atau lebih yang memiliki keahlian dan pelatihan
teknis yang cukup sebagai auditor.
2. Dalam Semua Hal yang Berhubungan dengan Perikatan, Independensi dan Sikap Mental
Harus dipertahankan Oleh Auditor.
3. Dalam Pelaksanaan Audit dan Penyusunan Laporannya Auditor Wajib Menggunakan
Kemahiran Profesionalnya dengan Cermat dan Seksama.

Standar Pekerjaan Lapangan

1. Pekerjaan harus direncanakan sebaik-baiknya dan jika digunakan asisten harus disupervisi
dengan semestinya.
2. Pemahaman memadai atas pengendalian intern harus diperoleh untuk merencanakan audit
dan menentukan sifat,saat dan lingkup pengujian yang akan dilakukan.
3. Bukti audit kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan dan
permintaan keterangan dan konfirmasi sebagai dasar memadai untuk menyatakan pendapat
atas laporan keuangan yang diaudit.

Standar Pelaporan
1. Laporan auditor harus menyataklan apakah laporan keuangan telah disusun sesuai dengan
prinsip akuntansi yang berlaku umum di indonesia.
2. Laporan auditor harus menunjukkan, jika ada ketidakonsistenan penerapan prinsip
akuntansi dalam penyusunan laporan keuangan periode berjalan dibandingkan dengan
penerpan prinsip akuntansi tersebut dalam periode sebelumnya.
3. Pengungkapan informatif dalam laporan keuangan harus dipandang memadai, kecuali
dinyatakan lain dalam laporan auditor.
4. Laporan auditor harus memuat suatu pernyataan pendapat mengenai laporan keuangan
secara keseluruhan atau suatu asersi bahwa pernyataan demikian tidak dapat diberikan. Jika
pendapat secara keseluruhan tidak dapat diberikan, maka alasannya hrus dinyatakan.

Auditing Standard
Asersi manajemen dan tujuan audit:
- Keberadaan atau Keberadaan; Kelengkapan; Hak dan kewajiban; Penilaian atau
Alokasi; - Penyajian dan Pengungkapan.
- Auditor mengembangkan tujuan audit dan merancang prosedur audit berdasarkan asersi
ini.
Auditor mencari informasi rahasia yang menguatkan asersi.
Auditor harus menentukan apakah kelemahan pengendalian internal dan salah saji
bersifat material.
Auditor harus mengkomunikasikan hasil tes mereka, termasuk pendapat audit.

Audit Objectives and Audit Procedures Based on Management Assertions

 Management Assertions Audit Objectives Audit Procedure

Existence or occurrence Inventories listed on Observe the counting of

the balance sheet exist. physical inventory.

Completeness Accounts payable Compare receiving

include all obligations reports, supplier invoices,
to vendors for the purchase orders, and
period. journal entries for the
period and the beginning
of the next period.

Rights and obligations Plant \and equipment Review purchase

listed in the balance agreements, insurance
sheet are owned by the policies, and related
entity. documents.

Valuation or allocation Accounts receivable Review entitys aging of

are stated at net accounts and evaluate the
realizable value. adequacy of the
allowance for
uncorrectable accounts.

Presentation and Contingencies not Obtain information from

disclosure reported in financial entity lawyers about the
accounts are properly status of litigation and
disclosed in footnotes. estimates of potential loss.

Audit Risk
Probabilitas auditor akan membuat opini wajar (tidak wajar) atas laporan keuangan yang
pada faktanya salah saji material.
Risiko inheren (IR) dikaitkan dengan karakteristik bisnis klien atau industri yang unik.
Kontrol risiko (CR) adalah kemungkinan struktur kontrol cacat karena kontrol tidak ada
atau tidak memadai untuk mencegah atau mendeteksi kesalahan.
Risiko pendeteksian (DR) adalah auditor risiko bersedia untuk mengambil kesalahan
yang tidak terdeteksi atau dicegah oleh struktur kontrol tidak akan terdeteksi oleh auditor.
Komponen risiko audit dalam model yang digunakan untuk menentukan cakupan, sifat
dan waktu uji substantif:
 Model risiko audit: AR = IR x CR x DR
- Jika risiko audit yang dapat diterima adalah 5%, risiko pendeteksian yang direncanakan
akan tergantung pada struktur kontrol.
Semakin kuat struktur pengendalian internal, semakin rendah risiko pengendalian dan
pengujian substantif yang harus dilakukan auditor.
- Uji substantif adalah padat karya dan memakan waktu, yang mendorong biaya audit dan
menyebabkan gangguan.
- Kepentingan terbaik manajemen dilayani oleh struktur pengendalian internal yang kuat.

The IT Audit
Langkah pertama adalah perencanaan audit yang meliputi analisis risiko audit.
- Teknik pengumpulan bukti meliputi kuesioner, wawancara manajemen, review
dokumentasi sistem dan kegiatan pengamatan.
Tujuan tes kontrol adalah untuk menentukan apakah kontrol yang memadai dilakukan
dan berfungsi.
Tahap ketiga berfokus pada data keuangan dan penyelidikan terperinci mengenai saldo
dan transaksi rekening spesifik melalui uji substantif.
- File dapat diekstraksi dengan menggunakan piranti lunak Computer-Assisted-Audit
Tools and Techniques (CAATTs).

Internal Control
Manajemen diwajibkan oleh hukum untuk membangun dan memelihara sistem kontrol
internal yang memadai.
Sejarah singkat undang-undang pengendalian internal:
- SEC Act of 1933 dan 1934.
- Hukum Hak Cipta tahun 1976.
- Foreign Corrupt Practices (FCPA) tahun 1977 mengharuskan perusahaan yang terdaftar
di SEC untuk:
- Buat catatan yang cukup dan cukup mencerminkan transaksi dan posisi keuangan
perusahaan.
- Menjaga sistem pengendalian internal yang memberikan keyakinan memadai bahwa
tujuan organisasi terpenuhi.
- Komite Organisasi Sponsor 1992
Sarbanes-Oxley Act of 2002 (SOX) mewajibkan manajemen perusahaan publik untuk
menerapkan sistem pengendalian internal yang memadai atas proses pelaporan keuangan
mereka. Berdasarkan Bagian 302:
- Manajer harus mengesahkan kontrol internal organisasi setiap tiga bulan dan setiap
tahun.
- Auditor eksternal harus melakukan prosedur tertentu setiap tiga bulan untuk
 mengidentifikasi modifikasi kontrol material yang mungkin berdampak pada pelaporan
keuangan.
Bagian 404 mewajibkan manajemen perusahaan publik untuk mengakses keefektifan
pengendalian internal mereka dalam sebuah laporan tahunan.

Internal Control System

Sistem pengendalian internal terdiri dari kebijakan, praktik, dan prosedur untuk mencapai
empat tujuan yang luas:
- Melindungi aset perusahaan.
- Memastikan akurasi dan keandalan catatan dan informasi akuntansi.
- Mempromosikan efisiensi dalam operasi perusahaan.
- Ukur kepatuhan terhadap kebijakan dan prosedur yang ditentukan oleh manajemen.

Modifying Principles
Tanggung jawab manajemen dibuat hukum oleh SOX.
Tujuan harus dicapai terlepas dari metode pengolahan data yang digunakan.
Setiap sistem memiliki keterbatasan dalam keefektifannya termasuk: kemungkinan
kesalahan, pengelakan, penanganan manajemen dan perubahan kondisi.
Sistem harus memberikan keyakinan memadai bahwa tujuan yang luas terpenuhi.
- Biaya untuk mencapai kontrol yang lebih baik seharusnya tidak melebihi manfaat.
- Biaya koreksi kelemahan material diimbangi oleh keuntungan.

The PDC Model

Kontrol pencegahan adalah teknik pasif yang dirancang untuk mengurangi frekuensi
kejadian yang tidak diinginkan.
Lebih hemat biaya daripada mendeteksi dan memperbaiki masalah setelah terjadi.
Kontrol detektif adalah perangkat, teknik dan prosedur untuk mengidentifikasi dan
mengekspos kejadian yang tidak diinginkan yang menghindari kontrol pencegahan.
Kontrol korektif memperbaiki masalah yang teridentifikasi.

COSO Internal Control Framework

Control Environment adalah fondasi bagi empat komponen kontrol lainnya dan meliputi:
- Integritas manajemen dan nilai etika, struktur organisasi, dewan direktur dan filosofi
manajemen serta gaya operasinya.
Risk Assesment harus dilakukan untuk mengidentifikasi, menganalisis dan mengelola
risiko pelaporan keuangan.
 Sistem informasi akuntansi yang efektif akan:
- Mengidentifikasi dan mencatat semua transaksi keuangan yang valid, memberikan
informasi yang tepat waktu dan cukup mengukur dan mencatat transaksi.
Monitoring adalah proses dimana kualitas desain pengendalian internal dan operasi dapat
dinilai.
Control Activities adalah kebijakan dan prosedur untuk memastikan tindakan untuk
mengatasi risiko yang teridentifikasi.
- Kontrol fisik berhubungan terutama dengan aktivitas manusia yang digunakan dalam
sistem akuntansi.
- Kontrol teknologi informasi.

Physical Controls
Otorisasi transaksi adalah memastikan semua transaksi yang diproses valid.
- Mungkin umum (penjualan hanya untuk pelanggan yang berwenang) atau spesifik
(memperluas batas kredit pelanggan).
Pemisahan tugas dirancang untuk:
- Otorisasi transaksi terpisah dari pemrosesan.
- Pisahkan hak asuh dari pencatatan.
- Pastikan kecurangan yang sukses membutuhkan kolusi antara individu dengan tanggung
jawab yang tidak sesuai.
Pengawasan adalah kontrol kompensasi bagi organisasi kecil yang tidak dapat mencapai
pemisahan tugas yang memadai.
Catatan akuntansi adalah dokumen sumber, jurnal dan buku besar yang menyediakan
jejak audit.
- Informasi yang dibutuhkan untuk operasional sehari hari dan penting dalam proses audit
keuangan.
Kontrol akses hanya memastikan personil yang berwenang telah menilai aset perusahaan.
Prosedur verifikasi adalah pemeriksaan independen untuk mengidentifikasi kesalahan dan
keliru dalam sistem akuntansi.
- Manajemen dapat menilai kinerja individu, integritas sistem pengolahan transaksi, dan
kebenaran data.

IT Controls
Kontrol aplikasi memastikan validitas, kelengkapan, dan keakuratan transaksi keuangan.
- Termasuk digit cek, balancing batch dan batas gaji.
Kontrol umum berlaku untuk semua sistem dan mencakup:
- Tata kelola TI, infrastruktur TI, keamanan dan akses ke sistem operasi dan database,
prosedur akuisisi dan pengembangan aplikasi dan program.
 Kontrol umum diperlukan untuk mendukung fungsi kontrol aplikasi. Keduanya
diperlukan untuk memastikan pelaporan keuangan yang akurat.

Audit Implications of SOX

Peran auditor yang diperluas:
- Harus membuktikan kualitas kontrol internal organisasi klien dengan opini audit yang
terpisah.
- Kemungkinan memberikan pendapat yang memenuhi syarat mengenai kontrol dan opini
wajar tanpa pengecualian atas laporan keuangan.
Standar PCAOB No. 5 mewajibkan auditor untuk memahami:
- Aliran transaksi termasuk pengendalian yang berkaitan dengan bagaimana transaksi
diinisiasi, diotorisasi, dicatat, dan dilaporkan.
Auditor bertanggung jawab untuk mendeteksi aktivitas penipuan.
 COBIT 5 Implementation

COBIT 5 (Control Objectives for Information and related Technology 5) adalah suatu
panduan standar praktik manajemen teknologi informasi. COBIT dikeluarkan oleh IT Governance
Institute yang merupakan bagian dari ICASA. COBIT merupakan a set of best practice
(framework) bagi pengelolaan teknologi informasi (IT management) yang secara lengkap terdiri
dari: executive summary, framework, control objectives, audit guidelines, implementation tool set
serta management guidelines yang sangat berguna untuk proses system informasi strategis.
COBIT berguna bagi IT user dalam memperoleh kaakinan atas kehandalam system aplikasi
yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan saat
menyusun strategi IT plan, menentukan architecture, dan keputusan atas procurement
(pengadaan/pembelan) inventaris organisasi.

COBIT FRAMEWORK
Kerangka kerja COBIT terdiri dari beberapa guidelines (arahan):
1. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang
tercermin dalam 4 domain, yaitu: planning & organization, acquisition & implementation,
delivery & support, dan monitoring.
2. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management assurance atau saran perbaikan.
3. Management Guidelines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti dilakukan,
seperti: apa saja indicator untuk suatu kinerja yang bagus, apa saja resiko yang timbul, dan
lain-lain.
4. Maturity Models
Untuk memetakan status maturity proses-proses IT (dalam skala 0 5).
 Gambar evolusi penggunaan COBIT

COBIT 5 diimplementasikan pada tahun 2012 dengan berorientasi pada governance atau
tata kelola IT pada perusahaan-perusahaan. COBIT dirancang terdiri dari 34 control objective yang
tercermin dalam 4 domain, seperti pada gambar berikut:

1. Plan and Organize (PO)

Domain ini meliputi strategi dan taktik, serta mengidentifikasikan bagaimana TI dapat
berkontribusi terhadap pencapaian sasaran bisnis. Pada domain ini dibagi menjadi 10 fase
dalam prosesnya:
PO1: mendefenisikan rencana strategis TI
PO2: mendefenisika arsitektur informasi
PO3: menentukan arahan teknologi
 PO4: mendefenisikan proses TO, organisasi dan keterhubungannya
PO5: mengelola investasi TI
PO6: mengkomunikasikan tujuan dan arahan manajemen
PO7: mengelola sumber daya TI
PO8: mengelola kualitas
PO9: menaksir dan mengelola resiko TI
PO10: mengelola proyek

2. Acquire and Implement (AI)

Domain ini menggambarkan bagaimana perubahan dan pemeliharaan dari system yang ada
selaras dengan sasaran bisnis. Domain AI terbagi menjadi 7 proses:
AI1: mengidentifikasi solusi otomatis
AI2: memperoleh dan memelihara software aplikasi
AI3: memperoleh dan memelihara infrastruktur teknologi
AI4: memungkinkan operasional dan penggunaan
AI5: memenuhi sumber daya TI
AI6: mengelola perubahaan
AI7: instalasi dan akreditasi solusi beserta perubahannya

3. Deliver and Support (DS)

Domain ini mencakup penyampaian hasil actual dari layanan yang diminta, termasuk
pengelolaan kelancaran dan kemanan, dukungan layanan terhadap pengguna serta
pengelolaan data dan operasional fasilitas,
DS1: mengidentifikasi dan mengelola tingkat layanan
DS2: mengelola layanan pihak ketiga
DS3: mengelola kinerja dan kapasitas
DS4: memastikan layanan yang berkelanjutan
DS5: memastikan keamanan sistem
DS6: mengidentifikasi dan mengalokasikan biaya
DS7: mendidik dan melatih pengguna
 DS8: mengelola service desk
DS9: engelola konfigurasi
DS10: mengelola permasalahan
DS11: mengelola data
DS12: mengelola lingkungan fisik
DS13: mengelola operasi
4. Monitor and Evaluate (ME)
Domain ini terkait dengan kinerja manajemen, control internal, pemenuham terhadap
aturan serta menyediakan tata kelola.
Fungsi domain ini adalah untuk memastikan seluruh proses TI dapat dikontrol secara
periodic yang bermaksud untuk menjaga kualitas dan pemenuhan kebutuhna pasar. ME
terdiri dari 4 proses:
ME1: mengawasi dan mengevaluasi kinerja TI
ME2: mengawasi dan mengevaluasi control internal
ME3: memastikan pemenuhan terhadap kebutuhan eksternal
ME4: menyediakan tata kelola TI

Tujuan Utama Pengembangan COBIT 5 for Information Security:

1. Menggambarkan keamanan informasi pada perusahaan termasuk tanggung jawab terhadap
fungsi IT pada kemanan informasi, aspek yang akan meningkatkan efektivitas
kepemimpinan dan manajemen keamanan informasi seperti struktur organisasi, aturan-
aturan, dan kultur, serta hubungan dan jaringan kemanan informasi terhadap tujuan
perusahaan.
2. memenuhi kebutuhan enterprise untuk:
menjaga risiko keamanan pada level yang berwenang dan melindungi informasi
terhadap orang yang tidak berkepentingan atau tidak berwenang untuk melakukan
modifikasi yang dapat mengakibatkan kekacauan.
Memastikan layanan dan sisten secara berkelanjutan dapat digunakan oleh internal
dan eksternal stakeholders.
Mengikuti hukum dan peraturan yang relevan
 3. COBIT 5 memberikan fakta bahwa kemanan informasi merupakan salah satu aspek
penting dalam operasional sehari-hari pada enterprise.

Keunggulan COBIT 5
Mengurangi kompleksitas dan meningkatkan efektivitas biaya karena integrasi yang lebih
baik dan lebih mudah
Meningkatkan kepuasan pengguna
Meningkatkan integrasi keamanan informasi dalam perusahaan
Menginformasikan risiko keputusan dan risk awareness
Meningkatkan pencegahan, deteksi, dan pemulihan
Mengurangi insiden atau dampak kemanan informasi
Meningkatkan dukungan untuk inovasi dan daya saing
Meningkatkan pengelolaan biaya yang berhubungan dengan fungsi kemananan informasi
Pemahaman yang lebih baik dari kemanan informasi yaitu memastikan bahwa:
Confidentiality yaitu menjaga hak akses dan penggunaan wewenang untuk
melindungi privacy dan kepemilikan informasi
Integrity yaitu menjaga informasi dari modifikasi atau perusahan dan memastikan
bahwa informasi yang ada merupakan informasi yang asli dan tidak ada penolakan
jika akan dilakukan pembuktian terhadap system.
Availability yaitu memastikan dalam hal waktu dan kehandalam dalam mengakses
dan menggunakan informasi agar selalu tersedia

5 Prinsip yang Mendasari COBIT 5

1. Prinsip 1 Meeting stakeholders needs
COBIT 5 terdiri dari proses dan enabler untuk mendukung penciptaan nilai bisnis melalui
penerapan IT.
2. Prinsip 2 Covering enterprise end to end
COBIT 5 mengintegrasikan pengelolaan IT perusahaan terhadap tata kelola perusahaan.
Hal inii dimungkinkan karena:
COBIT 5 mencakup seluruh fungsi dan proses yang ada di perusahaan
COBIT 5 memepertimbangkan seluruh enabler dari governance dan management
terkait IT dalam sudut pandang perusahaan dan end to end, yang berarti COBIT 5
mempertimbangkan seluruh entitas di perusahaan sebagai bagian yang saling
mempengaruhi.
3. Prinsip 3 Applying a single, integrated framework
COBIT 5 selaras dengan standar terkait yang biasanya memberi panduan untuk sebagian
dari aktivitas IT. COBIT 5 menyediakan panduan high level dan panduan detailnya
disediakan oleh standar terkait lainnya.
4. Prinsip 4 Enabling a holistic approach
Governance dan management IT perusahaan yang efektif dan efisian membutuhkan
pendekatan yang bersifat menyeluruh, yaitu mempertimbangkan komponen-komponen
yang saling berinteraksi.
5. Prinsip 5 Separating governance from management
COBIT 5 memberikan pemisahan yang jelas antara management dan governance karena
kedua hal ini meliputi aktivitas yang berbeda, membutuhkan struktur organisasi yang
berbeda dan melayani tujuan yang berbeda.
Governance memastikan kebutuhan, kondisi, dan pilihan dari stakeholder dievaluasi untuk
menentukan objektif dari perusahaan yang akan dicapai.
Management meliputi aktivitas merencakan, membangun, menjalankan dan memonitor
aktivitas yang diselaraskan dengan arahan yang ditetapkan oleh organisasi governane
untuk mencapai objektif dari perusahaan.