Summary Audit Internal

Internal Audit Processes & Methods

Testing Effectiveness of Controls and Other Risk Management Techniques
(Chapter 11 )
Dosen: Agung Nugroho Soedibyo, S.E., M.Ak.
Amalia Damayanti - 1406534355 Deiann Rim DGracias - 1406534260
Olga Devina - 1406611455 Bernadetta Winandya - 1406575342
Rainner Marcellino - 1406612123
___________________________________________________________________________
Testing Determinations
- Sesuai ketentuan umum, kontrol utama/primer harus diuji. Jika kontrol primer tidak
beroperasi secara efektif, maka tidak akan ada jaminan pencapaian tujuan terkait.
- Kontrol sekunder tidak selalu harus diuji.
- Dua situasi yang mengharuskan pekerjaan audit lebih lanjut:
a. Seorang manajer mungkin bertanya, atau auditor mungkin bertanya-tanya, jika ada
kerugian.
b. Seorang manajer mungkin tidak setuju bahwa ada kelemahan desain atau mungkin
mengatakan bahwa risikonya sepele.
Types of Audit Evidence
- Testimonial Evidence merupakan apa yang dikatakan oleh orang-orang kepada
auditor. Bukti testimonial dianggap sebagai bentuk bukti yang paling lemah, namun ada
beberapa bukti testimonial yang dapat menjadi bukti yang lebih kuat dibandingkan
bentuk bukti yang lainnya. Auditor akan memilih narasumber yang berwawasan luas
dan andal sebagai sumber bukti testimoninya.
- Documentary evidence merupakan bukti yang terkandung dalam beberapa dokumen.
Bukti dokumenter merupakan bukti terkuat yang kedua, namun terkadang bukti
tersebut tidak sekuat tampilannya. Oleh karena itu, penting bagi auditor untuk
mengetahui sumber dari dokumen yang akan direviu sebagai bukti. Pada perjalanannya,
dokumen dari sumber eksternal dapat menjadi bukti yang jauh lebih kuat dibandingkan
dengan dokumen yang berasal dari sumber internal perusahaan.
- Physical evidence merupakan bukti yang akan dilihat sendiri oleh auditor. Ketika
audit melihat bahwa bukti fisiknya kurang dalam keadaan dimana auditor yakin bahwa
ada bukti fisik (contoh: produk mie instan) yang hilang entah kemana, auditor harus
meyakinkan pendapatnya tersebut pada orang lain. Dalam kondisi seperti ini,

1
 diperlukan adanya auditor lain yang juga melihat keberadaan bukti fisik sebelum
menghilang. Atau dokumentasi dalam bentuk foto akan sangat membantu dalam
memperkuat keyakinan auditor terkait bukti fisik yang hilang.
- Analytical evidence merupakan bukti yang diperoleh dengan cara membandingkan,
memperhitungkan, atau dengan melakukan metode analisa data yang lainnya. Bukti
analitikal mengasumsikan bahwa data yang dianalisa adalah akurat dan membuktikan
bahwa ada hubungan di antara masing-masing data.
Standards of Audit Information
IIA Standard 2310: Indentifying Information and its Interpretation menyatakan bahwa
informasi audit (yang meliputi bukti audit) harus memiliki 4 kualitas untuk memenuhi tujuan
perikatan, antara lain:
- Informasi yang cukup bersifat faktual, memadai, dan meyakinkan sehingga bersifat
hati-hati, dan orang yang diinformasikan akan mencapai kesimpulan yang sama dengan
auditor.
- Informasi yang andal adalah informasi terbaik yang dapat dicapai melalui penggunaan
teknik perikatan yang tepat.
- Informasi yang relevan mendukung perikatan obverservasi dan rekomendasi dan
konsisten dengan tujuan untuk perikatan.
- Informasi yang berguna membantu organisasi mencapai tujuannya.
Manual Testing Method
Auditor internal mengunakan banyak metode pengujian untuk mencari bukti audit yang
dapat meningkatkan efektifitas terhadap kesimpulan. Pengambilan keputusan mengenai
metode yang akan digunakan dipengaruhi oleh beberapa faktor, antara lain :
Tujuan dilakukannya pengujian
Misalnya ketika auditor internal ingin menguji existence dari aset tetap, maka
pengujian yang harus dilakukan adalah mengecek aset tetap tersebut ada/tidak secara
fisik. Untuk menguji efektifitas dari suatu prosedur operasional, auditor internal dapat
menguji sampel dari beberapa transaksi. Sedangkan untuk menguji accuracy dari
laporan, maka dapat didukung dengan melihat dokumen pendukung atas transaksi
tersebut.
Risiko yang melandasi
Pengendalian yang digunakan untuk memitigasi risiko-risiko besar maka
membutuhkan bukti audit yang lebih kuat dan metode yang lebih kompleks.
Sumber daya yang dibutuhkan untuk menggunakan metode tersebut.

2
 Aktivitas audit harus efisien dari segi biaya. Semakin kuat bukti audit yang harus
didapatkan maka semakin banyak sumber daya dan waktu yang harus dikorbankan.
Beberapa metode yang biasa digunakan oleh auditor internal untuk melakukan pengujian,
antara lain :
Wawancara
Metode ini adalah yang paling sering digunakan untuk menguji desain dari
pengendalian, karena wawancara hanya menyediakan bukti testimonial, maka masih
perlu didukung dengan bukti audit yang lebih kuat lagi.
Survey
Merupakan salah satu metode yang efisien karena dapat mengumpulkan bukti
testimonial dari sampel yang tersebar luas secara geografis. Survey dapat
menghasilkan bukti yang sifatnya tangible sehingga mudah untuk dokumentasi
pelaporan. Selain itu melalui survey, orang yang menjadi subjek akan lebih sedikit
untuk menghindari pertanyaan dibandingkan metode wawancara.
Internal control questionnaires (ICQs)
Merupakan metode yang efisien untuk menentukn apakah pengendalian tertentu
telah dilaksanakan dengan sebagaimana mestinya. ICQs ini dapat digunakan oleh
auditor sebagai panduan wawancara. Keunggulan dari metode ini adalah efisien karena
auditor dapat menjangkau banyak prosedur pengendalian dalam waktu yang relatif
singkat. Namun tetap saya metode ini adalah alat yang terbatas (checklist auditing).
Misalnya ketika klien termotivasi untuk menjawab ya, karena setiap jawaban tidak
adalah bahwa klien menyutujui ada kelemahan dalam pengendalian internalnya. Maka
untuk mengatasinya, langkah yang dapat dilakukan oleh auditor adalah untuk setiap
jawaban ya harus disertai dengan bukti yang memadai, namun jika jawabannya adalah
tidak maka harus dilakukan penyelidikan lebih lanjut akan hal tersebut.
Observasi
Adalah pengujuian audit dengan secara sederhana menyaksikan sesuatu terjadi.
Apa yang auditor lihat dengan mata kepalanya sendiri akan menjadi bukti yang lebih
kuat daripada informasi yang disampaikan oleh orang lain. Namun yang perlu
diperhatikan adalah ketika misalnya auditor sedang mengobservasi karyawan, maka
harus dipastikan bahwa karyawan tersebut bertindak secara konsisten jika ia sedang
tidak diobservasi.
Inspeksi

3
 Artinya metode yang digunakan untuk melihat dengan mata auditor sendiri.
Misalnya ketika auditor internal melakukan inspeksi atas aset-aset fisik, maka ia
memperoleh bukti yang kuat bahwa aset tersebut memang benar ada. Namun tetap
dibutuhkan penilaian lebih lanjut dengan melihat dokumen pendukung untuk
menentukan apa yang dilihat oleh auditor internal memang benar adanya.
Konfirmasi
Dilakukan dengan melibatkan pihak ketiga untuk melakukan konfirmasi atas
informasi yang diberikan oleh klien. Mislanya melakukan konfirmasi atas dokumen
utang dan bunga utang. Hasil dari dokumen konfirmasi merupakan bukti yang kuat bagi
auditor, namun tetap diperlukan beberapa pengujian, antara lain:
Konfirmasi positif adalah menanyakan respon terkait apakah informasi
tersebut akurat atau tidak. Hal ini menjadi bukti audit yang lebih kuat
dibandingkan dengan konfirmasi negatif, yaitu bertanya kepada pihak ketiga
jika informasi tersebut adalah tidak akurat. Dengan jenis konfirmasi positif,
maka auditor akan terus follow up sampai mendapatkan respon. Namun dengan
konfirmasi negatif maka setiap respon tersebut tidak dapat diasumsikan untuk
mengkonfirmasi keakuratan dari informasi yang ada.
Blank confirmation yaitu ketika auditor bertanya kepada pihak ketiga untuk
mengisi sendiri atas informasi yang ditanyakan sehingga menghasilkan bukti
yang paling kuat.
Tracing
Adalah mengambil informasi dari dokumen, pencatatan atau asset forward to
dokumen yang akan dipersiapkan nantinya. Contohnya ketika auditor menghitung nilai
persediaan, maka auditor akan melacak jumlah perhitungan mereka terhadap jumlah
persediaan yang ada di gudang klien.
Vouching
Adalah mengambil informasi dari satu dokumen atau suatu record backward
kepada aset, dokumen maupun pencatatan yang telah disiapkan sebelumnya. Misalnya
auditor ingin vouch informasi yang terdapat pada computer report ke dokumen sumber
dari informasi yang diinput ke sistem untuk menguji validitas dari informasi.
Reperformance
Adalah menjalankan/ mencoba pengendalian secara independen oleh auditor
internal untuk menilai apakah hasilnya sesuai dengan apa yang disampaikan oleh klien.

4
 Prosedur analitis
Berkaitan dengan membandingkan informasi klien dengan data dari sumber
yang independen dengan harapan bahwa akan melihat variance dan menyelidiki
mengapa sampai terjadinya perbedaan yang signifikan. Prosedur analitis terdiri
beberapa hal, antara lain :
Membandingkan antara nilai ekspektasi dengan hasil aktual
Yaitu dengan menggunakan forecast, anggaran, dan informasi ekonomi serta
informasi serupa. Perbedaan yang sifatnya positif maupun negatif harus tetap
diinvestigasi. Auditor internal harus mendapatkan penjelasan dari klien dan
memverifikasi pernyataan tersebut apakah masuk akal atau tidak. Jika tidak
masuk akal maka dapat mengindikasikan bahwa informasi yang disampaikan
oleh klien adalah tidak benar.
Analisis tren
Adalah membandingkan informasi yang sama dari periode ke periode maupun
ke peride sebelumnya. Jika terdapat variance yang signifikan maka harus
dilakukan penyelidikan lebih lanjut.
Membandingkan dengan faktor terkait / independent causal factor
Misalnya adalah membandingkan beban gaji dengan jumlah karyawan yang
ada, atau melihat perubahan dari beban bunga terhadap nilai dari utang
perusahaan.
Reasonableness tests
Adalah dengan membandingkan informasi terhadap pengetahuan yang dimiliki
oleh auditor internal terhadap industri klien.
Benchmarking
Adalah membandingkan informasi perusahaan klien dengan informasi yang
serupa yang berasal dari benchmark. External benchmark adalah dimana
sumber informasinya berasar dari luar organisasi misalnya perusahaan lain.
Sedangkan internal benchmarking adalah dimana sumbernya berasal dari unit
dari perusahaan tersebut.
Analisis rasio
Adalah dilakukan dengan menghitung rasio keuangan dan non keuangan
perusahaan. Rasio tersebut dapat dikatakan reasonableness jika dapat
dibandingkan dari satu periode ke periode sebelumnya.
Analisis regresi

5
 Merupakan analisis yang dilakukan dengan teknik stastistik untuk melihat
hubungan antara variabel dependen dengan satu atau lebih variabel independen.
Misalnya auditor ingin menguji estimasi beban gaji berdasarkan jumlah
karyawan, rata-rata rate dari pembayaran dan jumlah jam kerja karyawan.
Kemudian membandingkan hasil tersebut dengan beban gaji yang tercatat.
Ketika memilih dan menggunakan pengujian audit dan ketika auditor membuat
kesimpulan, maka auditor harus selalu bertanya kepada dirinya sendiri apakah pengujian
teresebut adalah terbukti atau tidak terbukti.
Sampling
Ketika menguji transaksi, auditor internal perlu memutuskan berapa banyak transaksi
yang harus diuji dan bagaimana cara menyeleksinya. Auditor internal ingin menentukan
apakah kontrol beroperasi secara konsisten seperti yang didesain, dengan tingkat pengecualian
yang dapat diterima. Untuk tujuan ini, maka cukup digunakan sampel dari transaksi. Dalam
memilih metode sampling dan ukuran sampling perlu diketahui seberapa representatif sampel
dibutuhkan terhadap keseluruhan populasi. Metode dan teknik dasar sampling:
Statistical sampling: mendefenisikan secara presisi akan sebagaimana representatif
sampel. Pertama, auditor mendefinisikan confidence level yang diinginkan. Auditor
juga mendefinisikan expected error rate dan acceptable error rate dalam populasi.
Kemudian auditor memasukan varibel-variabel ini ke tabel atau software statistical
sampling yang akan menghitung ukuran sampel yang dibutuhkan. Setelah itu, auditor
menyatakan kesimpulan bahwa dengan confidence level tersebut, berapa error rate
dalam populasi.
Random sample: setiap item di dalam populasi memiliki kesempatan yang sama untuk
dipilih. Dua metode umum untuk memilih random sample adalah menggunakan
random number generator (jika item dalam populasi bernomor) dan menggunakan
systematic selection (memilih setiap item ke-n). Statistical sample harus dipilih secara
random, nonstatistical sample dapat dipilih secara random atau judgmental.
Judgmental sample: menggunakan judgment auditor dalam berbagai cara. Melakukan
ini dapat menghasilkan hasil yang bias dan kurang representatif terhadap populasi.
Namun terdapat beberapa alasan yang baik untuk memilih sampel secara judgmental.
Statistical sampling menghasilkan bukti audit yang lebih persuasive namun lebih
memakan waktu dan biaya, sehingga digunakan judgmental sample. Jika tidak ada
pengecualian, dapat disimpulkan bahwa kontrol beroperasi secara konsisten seperti yang
dirancang. Jika ada pengecualian, maka auditor harus menyelidiki penyebabnya. Jika

6
penyebabnya adalah kelemahan kontrol, maka pengujian telah memenuhi tujuannya. Jika
penyebabnya bukan kelemahan kontrol dan risiko yang dihasilkan oleh pengecualian adalah
minor, pengecualian dianggap terisolasi dan tidak diteruskan lebih lanjut.
Salah satu pendekatan umum judgmental sampling adalah untuk memasukkan item-
item yang besar dan tidak biasa ke dalam sampel. Memilih item yang besar memungkinkan
auditor untuk meng-cover lebih banyak risiko. Memilih item yang tidak biasa memungkinkan
auditor untuk menemukan error. Jika tidak lebih dari jumlah kesalahan yang dapat diterima
ditemukan, kesimpulan positif auditor terhadap kontrol lebih kuat daripada dengan
nonstatistical random sample. Jika jumlah kesalahan yang tidak dapat diterima ditemukan,
auditor tidak dapat menyimpulkan bahwa tingkat error dalam populasi tidak dapat diterima.
Sehingga auditor harus menyelidiki mengapa error ini terjadi yang mungkin merupakan gejala
yang mendasari kelemahan kontrol. Pendekatan umum judgmental sampling lainnya adalah
dengan menstratifikasikan sampel dengan cara tertentu agar lebih representatif.
Testing Soft Controls
Menguji soft control untuk activity-level assurance engagement dapat dilakukan
dengan teknik yang sama dengan entity-wide assurance projects. Jika lingkungan kontrol
organisasi telah dievaluasi dan ternyata kuat, manajer membuat lingkungan kontrol mini di
dalam area yang mereka kelola. Lingkungan kontrol mini ini bisa tidak konsisten dengan
lingkungan kontrol organisasi secara keseluruhan.
Ketika menggunakan teknik di tingkat aktivitas, penting bagi auditor untuk mengingat
bahwa bukti yang mereka hasilkan adalah testimonial, dan bukti testimonial dari sejumlah kecil
orang tidak sepersuasif bukti testimonial dari keseluruhan organisasi. Auditor internal harus
mencari bukti yang lebih menguatkan dari setiap kekhawatiran yang diajukan oleh pegawai.
Jika mereka menemukan bukti tersebut, mereka melakukan pengamatan audit. Jika mereka
tidak dapat menemukan bukti tersebut, mereka harus memberikan bukti testimonial sebagai
layanan untuk manajemen kegiatan tersebut.

Testing Application Controls

Application controls adalah pengendalian yang berkaitan dengan lingkup proses bisnis
atau sistem aplikasi, termasuk data edits, pembagian fungsi bisnis, transaction logging, dan
eror pelaporan. Tujuan application controls berkaitan dengan akurasi dan kelengkapan data
input, data yang sudah diproses, data yang disimpan, dan data output. Application controls juga
menekankan bahwa catatan harus dijaga untuk dapat menyelidiki pemrosesan data.
Beberapa tipe application controls:

7
 - Input controls: untuk memeriksa integritas data yang dimasukkan ke dalam aplikasi
bisnis bahwa data tetap berada pada parameter yang telah ditentukan.
- Processing controls: secara otomatis memastikan bahwa pemrosesan lengkap, akurat,
dan terotorisasi.
- Output controls: memeriksa apa yang sudah dilakukan terhadap data dan
membandingkan hasil output dengan hasil yang diinginkan.
- Integrity controls: mengawasi data yang sedang diproses dan data pada storage untuk
memastikan bahwa data tetap konsisten dan benar.
- Management trail: memungkinkan manajemen untuk mengidentifikasi transaksi dan
kejadian yang dicatat dengan menelusuri transaksi dari sumbernya hingga output.

Application controls dapat berupa:

- Preventive controls: mencegah terjadinya error dalam aplikasi. Contoh: input data
validation routine.
- Detective controls: mendeteksi error berdasarkan program logic. Contoh: menemukan
adanya variasi antara invoice price dengan purchase order price.

Application controls umumnya terotomatisasi di dalam sistem IT yang mendukung

proses bisnis di dalam organisasi. Berikut adalah tahapan aktivitas audit pada application
controls
1. Auditor internal perlu memahami hal-hal berikut:
- Apa yang dilakukan oleh aplikasi?
- Apa proses bisnis yang didukung oleh aplikasi?
- Apa aktivitas bisnis yang bekerja dalam aplikasi?
2. Auditor internal perlu memahami risiko terkait aktivitas yang didukung oleh aplikasi
(what can go wrong?).
3. Auditor internal perlu memahami bagaimana risiko-risiko tersebut ditangani dan
dikelola oleh aplikasi.

Secara spesifik menurut ISACA Journal, berikut adalah langkah-langkah audit

application control.
1. Mempelajari dan meninjau dokumentasi terkait aplikasi
2. Mempelajari fungsi kunci dari software dengan mengobservasi dan berinteraksi dengan
karyawan yang mengoperasikan software

8
 3. Menjalankan menu, fitur, dan opsi pada aplikasi untuk mengidentifikasi proses dan
kesesuaian dengan aturan bisnis
4. Memvalidasi setiap input ke dalam sistem dengan kriteria yang sudah ditetapkan
5. Memverifikasi akses pengendalian dalam software aplikasi
6. Memverifikasi bagaimana error dan pengecualian ditangani
7. Mengoreksi kelemahan yang ditemukan pada akhir peninjauan aplikasi
Computer-Assisted Audit Techniques (CAATs)
Sistem IT menjadi semakin kompleks. Auditor IT diekspektasikan tidak hanya untuk
memahami kompleksitas sistem tapi juga memastikan efisiensi dalam mencapai tugas yang
diberikan kepada sistem. CAATs merupakan teknik audit terotomatisasi yang dapat membantu
auditor IT melakukan aktivitas audit secara otomatis. CAATs dapat dilakukan dalam berbagai
situasi audit seperti prosedur audit anti-fraud yang terkomputerisasi, pengendalian internal
yang melekat pada sistem IT, dan analisa data dalam jumlah besar.
Contiuous Monitoring and Continuous Auditing
Untuk melakukan testing of controls, secar tradisional dilakukan akan basis siklikal dan
pada umumnya menghambat aktivitas bisnis, bahkan bisa memakan waktu beberapa bulan.
Selain itu pula, test of controls yang dilakukan berdasarkan teknik sampling dan lingkup
evaluasinya pun terbatas pula. Seringkali, ketika test of controls sudah selesai ternyata sudah
terlambat untuk menjadi real value terhadap bisnis lain atau untuk membantu ketaatan pada
peraturan.
Ketimbang secara periodik, auditing yang secara kontinu lebih diperlukan. Auditor
internal perlu mempertimbangkan teknik auditing yang berkelanjutan sebagai bagian yang
integral dalam rencana audit mereka secara keseluruhan. Menurut buah pikiran IIA pada GTAG
3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment,
pendekatan audit yang berkelanjutan akan membantu auditor internal untuk mengerti
sepenuhnya terkait poin kontrol yang critical, peraturan, dan pengecualian. Dengan adanya
otomasi dan analisa data yang sering, mereka mampu untuk perform kontrol dan risiko
penilaian secara real time ataupun mendekati real time. Dengan auditing yang kontinu, hasil
dari analisis dapat terintegrasi ke dalam segala aspek dari proses audit: mulai dari
pengembangan dan pemeliharaan dari rencana audit organisasi hingga pada follow-up audit
yang spesifik.
Selain itu, monitoring secara kontinu di sisi lain melibatkan proses otomasi yang
dirancang oleh manajemen untuk meyakinkan bahwa peraturan dan bisnis proses beroperasi
secara efektif. Dengan menyebarkan pendekatan yang terintegrasi terkait monitoring dan

9
auditing yang kontinu, organisasi bisa menurunkan secara signifikan tingkat error, risiko, dan
fraud -- sehingga menelurkan hasil yang positif.
General IT Controls
Seturut dengan IIA yang menelurkan GTAG 8: Auditing Application Controls, ITGCs
berlaku bagi semua komponen sistem, proses, dan data yang disajikan oleh suatu organisasi
atau lingkup sistem. Tujuan dari kontrol ini adalah untuk meyakinkan bahwa terdapat
pengembangan yang sesuai dan implementasi dari aplikasi tersebut; sesuai pada integritas
program dan file data dan dari operasi komputer.
Beberapa area yang biasa dalam area ITGCs adalah:
Akses logis terhadap infrastruktur, aplikasi, dan data
Kontrol SDLC dan kontrol program penggantian manajemen
Kontrol operasional IT lainnya
Selain ITGCs yang biasa diterapkan ini, organisasi juga perlu memperhatikan bahwa
konsep-konsep yang baru dan teknologi yang tercakup dalam kontrol IT yang umum, biasanya
meningkatkan risiko inheren. Konsep dan teknik ini termasuk, namun tidak terbatas pada
virtualisasi, cloud computing, perangkat ponsel pintar, media dan jaringan sosial, web content
filtering, network firewalls, deteksi intrusion, dan sistem pencegahan intrusi.

Logical Access
Tujuan dari akses logis ini adalah untuk meyakinkan bahwa hanya orang-orang yang
berwenang dan aplikasinya (termasuk program, tabel, dan sumber daya lain yang terkait)
memiliki akses terhadap data dan aplikasinya, kemudian hanya bisa bertindak sesuai fungsi
tersebut (inquire, execute, update). Area-area di mana kontrol-kontrol ini biasanya
diimplementasikan termasuk:
Jalan akses logis: Internet/akses remot, jaringan, sistem operasi, aplikasi, database.
Medium yang mendukung kontrol dari jalan akses logis adalah ketika organisasi
bergantung pada:
Pengaturan konfigurasi (kontrol kata sandri, kontrol user)
Kontrol pergantian pada tool
Akses User yang Berwenang
Proses mendapatkan akses user (akses di awal, transfer/penggantian,
terminasi/pemberhentian)
Sumber daya di mana user dapat diberikan akses
Tingkat akses user (membaca, menuliskan, mengedit)

10
Systems Development Life Cyce and Change Controls
Tujuan dari kontrol SDLC dan program penggantian adalah untuk meyakinkan bahwa
program pengembangan yang baru dan perubahannya baik yang sifatnya rutin ataupun darurat
terhadap aplikasi di masa sekarang telah diotorisasi dengan baik, dites, dan diterima sebelum
mereka diimplementasikan. Beberapa area di mana kontrol-kontrol ini biasa
diimplementasikan mencakup: Authorization of changes, Appropriate testing of the change
prior to the change being moved into production, Approval of the change prior to the change
being moved into production, Monitoring of the change process.

Other IT Operational Controls

Tujuan dari melakukan kontrol operasional IT adalah untuk meyakinkan bahwa sumber
daya IT dan aplikasi untuk terus berfungsi dalam waktu yang panjang. Berikut adalah area-area
di mana kontrol biasa diimplementasikan: Scheduling, Backup and recovery, Problem and
inciden management, Physical security of data centers and server rooms, monitoring.

Relevant Standards and Professional Guidance

Standards: 2300 (Performing the Engagement); 2310 (Identifying Information); 2320
(Analysis and Evaluation)
Practice Advisories: PA 2320-1 (Analytical Procedures)
Practice Guides: Auditing the Control Environment
Global Technology Audit Guides: GTAG 3: Continuous Auditing: Implications for Assurance,
Monitoring, and Risk Assessment; GTAG 8: Auditing Application Controls

11