Tugas EDP

KELOMPOK 2

Dibuat Oleh:

 Shinta Khairunnisa (125170201)

 Cheristin Natalia (125170211)
 Evita Yunita (125170224)
IT RISK AND FUNDAMENTAL AUDITING CONCEPTS

BAB INI MENJELAJAHI konsep materialitas dalam fungsi audit IT dan membedakan
materialitas seperti yang umumnya diterapkan pada audit laporan keuangan seperti
yang dilakukan oleh auditor eksternal independen. Dalam konteks ini, kualitas dan jenis
bukti yang diperlukan untuk memenuhi definisi kecukupan, keandalan, dan relevansi
diperiksa. Risiko yang terlibat dalam pemeriksaan bukti untuk sampai pada kesimpulan
audit direview seperti halnya kebutuhan untuk menjaga independensi dan objektivitas
auditor dan tanggung jawab auditor untuk deteksi kecurangan baik dalam pengaturan
Teknologi Informasi (IT) dan non-IT.

RISIKO DAN EKSPOSUR KOMPUTER

"pengendalian" terdiri dari semua elemen organisasi (termasuk sumber daya, sistem,
proses, budaya, struktur, dan tugasnya) yang, jika digabungkan, mendukung orang
dalam pencapaian tujuan organisasi. Pengendalian adalah "efektif" sejauh
pengendalian memberikan jaminan yang wajar bahwa organisasi akan mencapai
tujuannya dengan andal. Kepemimpinan melibatkan membuat pilihan dalam
menghadapi ketidakpastian. “Risiko” adalah kemungkinan bahwa satu atau lebih
individu atau organisasi akan mengalami konsekuensi yang merugikan dari pilihan
tersebut. Risiko adalah bayangan cermin dari peluang. Secara umum, semua
keputusan bisnis melibatkan elemen risiko termasuk elemen seperti pembiayaan, lini
produk atau sumber, dan metode pasokan. 

Semua bisnis, produk, dan proses melibatkan beberapa tingkat risiko. Manajemen risiko
melibatkan penilaian produk, proses, atau bisnis dengan: 
 Mengidentifikasi proses 
 Mengidentifikasi jenis risiko yang terkait dengan setiap proses 
 Mengidentifikasi pengendalian yang terkait dengan setiap proses 
 Mengevaluasi kecukupan sistem pengendalian dalam memitigasi risiko 
 Menentukan pengendalian kunci yang terkait dengan setiap proses 
 Menentukan efektivitas Pengendalian kunci 

Tiga jenis risiko biasanya dipertimbangkan ketika menggunakan pendekatan audit

berbasis risiko. Mereka adalah risiko inheren, risiko pengendalian, dan risiko audit.

Risiko bawaan
Risiko inheren adalah kemungkinan terjadinya kerugian signifikan sebelum
memperhitungkan faktor-faktor pengurang risiko. Dalam mengevaluasi risiko inheren,
auditor harus mempertimbangkan jenis dan sifat risiko serta faktor-faktor apa yang
mengindikasikan adanya risiko. Untuk mencapai hal ini auditor harus terbiasa dengan
lingkungan di mana entitas beroperasi. 

Risiko Pengendalian 
Risiko pengendalian mengukur kemungkinan bahwa proses pengendalian yang
ditetapkan untuk membatasi atau mengelola risiko inheren tidak efektif. Untuk
memastikan bahwa audit internal mengevaluasi pengendalian dengan benar, auditor
harus memahami bagaimana mengukur pengendalian mana yang efektif. Ini akan
melibatkan pengidentifikasian kontrol yang memberikan tingkat jaminan terbesar untuk
meminimalkan risiko dalam bisnis. Pengendalian dalam operasi bisnis memberikan
garis pertahanan utama terhadap risiko yang melekat. Secara umum, auditor dapat
berasumsi bahwa pengendalian yang lebih kuat mengurangi jumlah risiko; namun, pada
titik tertentu biaya pengendalian dapat menjadi penghalang (baik dalam hal sumber
daya moneter dan staf serta kepuasan pelanggan). 

Risiko Audit 
Risiko audit adalah risiko bahwa cakupan audit tidak akan menangani eksposur bisnis
yang signifikan. Program audit pro-forma dapat dikembangkan untuk mengurangi risiko
audit. Ini memberikan panduan tentang pengendalian kunci mana yang harus ada untuk
mengatasi risiko, dan kepatuhan yang direkomendasikan dan / atau langkah-langkah
pengujian substantif yang harus dilakukan. Program ini harus digunakan dengan hati-
hati dan dimodifikasi untuk mencerminkan profil risiko bisnis saat ini.

PENGARUH RISIKO Secara umum, risiko bisnis dapat mempengaruhi kemampuan

perusahaan untuk berhasil bersaing, mempertahankan kekuatan finansial dan citra
publik yang positif, dan pada akhirnya, kemampuannya untuk bertahan. Risiko akan
mempengaruhi kualitas keseluruhan produk, orang, atau layanan organisasi. Risiko
tidak dapat dihilangkan — hanya dikelola. Auditor secara tradisional ditugaskan untuk
mendapatkan dan memastikan pemahaman tentang sistem pengendalian internal
sebagai dasar untuk mengevaluasi kecukupan dan efektivitas pengendalian internal
manajemen. Pengendalian internal dianggap sebagai respon terhadap risiko bisnis.
Untuk mengevaluasi efektivitas tindakan pengendalian risiko, auditor harus memiliki
pemahaman komprehensif tentang risiko bisnis yang mendasarinya.
Dalam organisasi yang sangat terkomputerisasi, pemahaman seperti itu memerlukan,
pada awalnya, pemahaman menyeluruh tentang proses bisnis untuk mengidentifikasi
proses kritis di mana kinerja yang kurang optimal dapat menimbulkan konsekuensi yang
parah. Selain itu, pemahaman tentang risiko yang melekat dalam lingkungan
terkomputerisasi sangat penting untuk menilai kesesuaian dan efek mitigasi dari
lingkungan pengendalian. Pemahaman tentang proses bisnis dan lingkungan IT
tersebut menyiratkan pendekatan kolaboratif karena auditor internal jarang memiliki
pengetahuan tentang proses sebagai manajer yang secara rutin mengontrolnya atau
staf IT yang menerapkan lingkungan kontrol IT. Dengan cara yang sama, manajemen
dan tim IT yang terlibat dalam proses IT sehari-hari biasanya tidak memiliki perspektif
independen yang dapat dibawa oleh auditor internal ke dalam evaluasi risiko. Salah
satu pilar utama tata kelola IT adalah manajemen risiko. Hal ini semakin dilihat sebagai
masalah strategis yang harus ditangani di tingkat dewan untuk memastikan
kelangsungan hidup organisasi karena kegagalan dalam IT dapat berdampak besar
pada organisasi. Dalam beberapa kasus, ini disebabkan oleh kurangnya pemahaman
dasar tentang penggunaan dan potensi penyalahgunaan sistem informasi tersebut.
Banyak eksekutif memperoleh pemahaman mereka tentang risiko IT dari media
populer, yang cenderung berfokus pada area risiko dengan visibilitas tinggi dan
kepentingan manusia serta mengabaikan kelemahan mendasar dalam strategi
pengendalian yang memungkinkan risiko tersebut terwujud. Risiko tidak menggunakan
IT dengan cara yang tepat atau mungkin lebih besar daripada risiko kegagalan atau
penetrasi teknologi yang ada, karena lingkungan bisnis yang semakin kompleks
ditambah dengan pertumbuhan penggunaan solusi teknologi canggih, pengelolaan
informasi risiko telah menjadi salah satu bidang yang paling menantang dimana
manajemen harus beroperasi. Sebagai hasil dari persyaratan untuk tata kelola yang
baik ini, organisasi semakin menekankan pada manajemen risiko perusahaan (ERM).

Risiko perusahaan datang dalam berbagai bentuk termasuk risiko operasional,

keuangan, dan sistemik. Dalam hal ini, risiko teknologi dan risiko kegagalan dalam
keamanan informasi sangat penting. COSO telah mendefinisikan Kerangka ERM yang
meliputi:
 "Strategis. Sasaran tingkat tinggi, selaras dengan dan mendukung misinya.
 Operasi. Penggunaan sumber dayanya secara efektif dan efisien
 Pelaporan. Keandalan pelaporan
 Pemenuhan. Kepatuhan terhadap hukum dan peraturan yang berlaku "

Dengan demikian, risiko TI dapat didefinisikan sebagai:

 Strategis. Risiko bahwa TI dikembangkan sendiri atau dibeli tidak sejalan dengan
tujuan organisasi dan tidak mendukung pencapaian misinya.
 Operasi. Risiko bahwa sistem informasi yang digunakan oleh organisasi
membebankan biaya tambahan yang tidak dapat diterima pada organisasi atau
mengakibatkan tingkat layanan yang kurang optimal. Pada saat yang sama,
ketergantungan organisasi pada sistem informasi berarti bahwa tidak tersedianya
sistem tersebut dalam rentang waktu yang sesuai juga dapat membuktikan risiko
operasional yang besar.
 Pelaporan. Risiko TI tidak dapat diandalkan untuk menghasilkan informasi
secara akurat, lengkap, dan tepat waktu.

 Pemenuhan. Risiko bahwa TI dengan sendirinya mengarah pada pelanggaran

hukum dan peraturan yang mengakibatkan kerugian bagi organisasi, baik
finansial maupun reputasi.

AUDIT DAN RISIKO

The Institute of Internal Auditor (IIA) Practice Advisory 2100-6: Pengendalian dan
Implikasi Audit dari Aktivitas E-commerce menyoroti tantangan yang dihadapi auditor
internal dalam organisasi yang semakin menggunakan TI dalam operasi bisnis dan
memberikan panduan tentang peran dan tanggung jawab audit internal.

Perubahan berkelanjutan dalam teknologi menawarkan profesi audit internal peluang

dan risiko yang besar. Sebelum mencoba memberikan asurans pada sistem dan
proses, auditor internal harus memahami perubahan dalam bisnis dan sistem informasi,
risiko terkait, dan penyelarasan strategi dengan desain perusahaan dan persyaratan
pasar. Auditor internal harus meninjau perencanaan strategis manajemen dan proses
penilaian risiko dan keputusannya.

Merupakan tanggung jawab manajemen operasional untuk mengidentifikasi, menilai,

dan mengelola risiko. Merupakan tanggung jawab audit TI untuk membantu manajemen
dalam proses ini dengan memfasilitasi identifikasi dan penilaian risiko dan dengan
membantu manajemen untuk memantau seberapa baik risiko sebenarnya dikelola oleh
bisnis.

Banyak organisasi tidak memiliki sumber daya yang tersedia untuk mengidentifikasi,
menganalisis, dan mengendalikan semua risiko bisnis dari perspektif TI. Menerapkan
proses penilaian risiko formal membantu dengan menyediakan metode yang konsisten
untuk memilih risiko berdampak tinggi yang menjadi fokus sumber daya audit.

Selama penilaian risiko, auditor TI mengembangkan pemahaman tentang bisnis operasi

untuk memfasilitasi identifikasi dan penilaian risiko signifikan ke dan dari sistem
informasi. Penilaian ini kemudian digunakan untuk mengalokasikan sumber daya audit
ke area dalam organisasi yang menyediakan tingkat cakupan audit yang paling efisien
dan efektif bagi manajemen eksekutif dan Komite Audit.

Auditor harus selalu mengingat bahwa manajer individu memiliki sikap yang berbeda
terhadap risiko. Beberapa manajer atau bahkan organisasi melihat penerimaan risiko
sebagai hal mendasar untuk menghasilkan keuntungan, sedangkan yang lain sangat
menghindari risiko dan menganggap pengurangan risiko sebagai komponen
fundamental bisnis. Ini disebut sebagai toleransi risiko. Kecuali jika auditor memahami
konsep ini, kemungkinan besar manajemen dan auditor akan berbicara pada tujuan
yang berlawanan tentang risiko dan bahwa rekomendasi audit dapat dianggap tidak
praktis atau tidak dapat diterima.

Berdasarkan posisi risiko individu yang diadopsi, perusahaan akan memiliki banyak
intervensi mitigasi risiko yang berbeda, seperti perlindungan asuransi, instrumen
keuangan, kepatuhan, dan fungsi audit internal. Manajemen harus memahami bahwa
audit internal tidak menggantikan tanggung jawab manajemen untuk mengendalikan
risikonya sendiri ke tingkat yang dapat diterima.

Risiko sendiri biasanya dikategorikan berdasarkan respon organisasi, sebagai berikut:

 Resiko terkendali. Risiko yang ada dalam proses organisasi dan sepenuhnya
berada di tangan organisasi untuk dimitigasi.
 Resiko tak terkendali. Risiko yang dapat timbul secara eksternal bagi organisasi
dan yang tidak dapat dikendalikan atau dipengaruhi secara langsung tetapi
memerlukan posisi risiko yang harus diambil oleh organisasi.
 Resiko yang berpengaruh. Risiko yang muncul secara eksternal bagi organisasi
tetapi dapat dipengaruhi oleh organisasi.
BUKTI AUDIT
Auditor TI sering diharapkan untuk mengungkapkan pendapat tentang kecukupan dan
efektivitas pengendalian internal dalam memitigasi risiko. Untuk ini auditor harus
mengumpulkan bukti audit. Bukti dapat didefinisikan sebagai informasi yang
dimaksudkan untuk membuktikan atau mendukung suatu keyakinan. Secara individual,
item bukti mungkin cacat oleh bias pribadi atau oleh potensi kesalahan pengukuran dan
setiap bagian mungkin kurang kompeten daripada yang diinginkan sehingga auditor
akan melihat secara total pada "bukti yang ada," yang harus memberikan dasar faktual
untuk opini audit.

MELAKUKAN PROSES PENILAIAN RISIKO TI

Berbagai metodologi tersedia untuk pelaksanaan penilaian risiko TI. Kami akan
memeriksa beberapa di antaranya, bersama dengan metodologi penulis sendiri, yang
telah terbukti efektif dalam evaluasi risiko dan desain manajemen pengendalian.

KERANGKA NIST SP 800 30 

Di bawah kerangka kerja SP 800 30 dari National Institute of Standards and Technology
(NIST), penilaian risiko, melibatkan penentuan kemungkinan kejadian buruk di masa
depan. Ancaman terhadap sistem TI harus dievaluasi sehubungan dengan potensi
kerentanan dan kontrol yang ada untuk sistem TI.

Dampak mengacu pada besarnya kerugian yang dapat disebabkan oleh penggunaan
kerentanan oleh ancaman. Tingkat dampak diatur oleh potensi dampak misi dan
menghasilkan nilai relatif untuk aset dan sumber daya TI yang terpengaruh (misalnya,
sensitivitas kritis dari komponen dan data sistem TI). Metodologi penilaian risiko
mencakup sembilan langkah utama: 4

 Langkah 1. Karakterisasi Sistem

 Langkah 2. Identifikasi Ancaman
 Langkah 3. Identifikasi Kerentanan
 Langkah 4. Analisis Pengendalian
 Langkah 5. Penentuan Kemungkinan
 Langkah 6. Analisis Dampak
 Langkah 7. Penentuan Risiko
 Langkah 8. Rekomendasi Kontrol
 Langkah 9. Dokumentasi Hasil

Setelah risiko diukur, mitigasi risiko dipandang sebagai metodologi sistematis yang
digunakan oleh manajemen senior untuk mengurangi risiko misi yang dapat dicapai
melalui salah satu opsi mitigasi risiko berikut:
  Asumsi Risiko. Untuk menerima potensi risiko dan terus mengoperasikan sistem
TI atau menerapkan kontrol untuk menurunkan risiko ke tingkat yang dapat
diterima.
 Penghindaran Risiko. Untuk menghindari risiko dengan menghilangkan
penyebab dan / atau konsekuensi risiko (misalnya, melupakan fungsi tertentu
dari sistem atau mematikan sistem saat risiko teridentifikasi).
 Batasan Resiko. Untuk membatasi risiko dengan menerapkan kontrol yang
meminimalkan dampak merugikan dari ancaman yang menggunakan kerentanan
(misalnya, penggunaan kontrol pendukung, pencegahan, detektif).
 Perencanaan Resiko. Mengelola risiko dengan mengembangkan rencana
mitigasi risiko yang memprioritaskan, menerapkan, dan memelihara kontrol.
 Riset dan Pengakuan. Untuk menurunkan risiko kerugian dengan mengakui
kerentanan atau kekurangan dan meneliti kontrol untuk memperbaiki kerentanan.
 Pemindahan Risiko. Untuk mentransfer risiko dengan menggunakan opsi lain
untuk mengkompensasi kerugian, seperti membeli asuransi.
Tujuannya adalah untuk mengatasi risiko terbesar dan mengupayakan mitigasi risiko
yang memadai dengan biaya terendah, dengan dampak minimal pada kemampuan misi
lainnya.

ISO 27005
ISO 27005 adalah nama standar yang mencakup manajemen risiko keamanan
informasi yang dirancang dan diterbitkan oleh Organisasi Internasional untuk
Standardisasi (ISO) dan Komisi Elektroteknik Internasional (IEC).

Standar ini memberikan pedoman untuk manajemen risiko keamanan informasi (ISRM)
dalam sebuah organisasi, yang secara khusus mendukung persyaratan sistem
manajemen keamanan informasi sebagaimana didefinisikan oleh ISO 27001. Standar
ini mendefinisikan risiko sebagai "kombinasi dari konsekuensi yang akan mengikuti dari
terjadinya suatu peristiwa yang tidak diinginkan dan kemungkinan terjadinya peristiwa
tersebut. " Proses analisis risiko yang diuraikan dalam standar menunjukkan kebutuhan
untuk mengidentifikasi aset informasi yang berisiko, potensi ancaman atau sumber
ancaman, potensi kerentanan, dan potensi konsekuensi (dampak) jika risiko menjadi
kenyataan.

Secara keseluruhan, ini mendefinisikan penilaian risiko keamanan informasi sebagai

kombinasi dari analisis risiko dan evaluasi risiko.

Analisis risiko itu sendiri didefinisikan sebagai penggabungan identifikasi risiko dan
estimasi risiko di mana identifikasi risiko melibatkan risiko yang dicirikan dalam
kerangka kondisi organisasi. Ini biasanya akan melibatkan identifikasi aset: Aset dalam
ruang lingkup yang ditentukan serta identifikasi ancaman berdasarkan tinjauan insiden,
pemilik aset, pengguna aset, ancaman eksternal, dan sebagainya. Selain itu, ISO
27005 memerlukan identifikasi kontrol yang ada dan pengujian bahwa kontrol tersebut
berfungsi dengan benar.
Identifikasi Kerentanan melibatkan daftar pendek kerentanan dalam proses organisasi,
TI, personel, dan sebagainya, serta identifikasi konsekuensi risiko.
Estimasi Risiko menentukan ukuran risiko baik dari segi estimasi kualitatif dan
kuantitatif, sedangkan Evaluasi Risiko melibatkan perbandingan dan prioritas Tingkat
Risiko berdasarkan Kriteria Evaluasi Risiko dan Kriteria Penerimaan Risiko.

Standar ini tidak menentukan, merekomendasikan, atau bahkan menyebutkan

metodologi tertentu, meskipun ia menetapkan bahwa metode analisis risiko yang
terstruktur, sistematis, dan ketat harus ada dan harus mencakup pembuatan rencana
perlakuan risiko.

THE “CASCARINO CUBE”

Diskusi berikut adalah pendekatan umum untuk identifikasi dan prioritas risiko. Penggunaannya
perlu disesuaikan dengan kebutuhan organisasi individu. Ini disebut di sini sebagai "kubus"
meskipun, pada kenyataannya, berbentuk kubus dengan jumlah lapisan yang bergantung pada
arsitektur individu, komponen, dan risiko yang dihadapi organisasi.

Secara umum pengolahan informasi menggunakan arsitektur seperti yang ditunjukkan pada
Tampilan 3.1.

Tampilan 3.1 Infrastruktur TI yang Khas

 The core is the organization’s data, which is the major asset to be protected.

 This exists within, and under the control of, the mainframe computer itself.
  In order to gain access to the Mainframe, mainframe communications channels
are used.
 This communication is typically conducted from servers or intermediate
processors.
 These in turn, communicate via routers and cabling through wide area networks
Komunikasi Jaringan
Workstation adalah titik dari mana pengguna dapat memasuki sistem. Selain itu seringkali ada
pengguna yang akan mengakses data melalui internet dan komputasi bergerak. Cincin-cincin ini
kemudian membentuk lapisan pertama kubus (lihat Gambar 3.1).

Arsitektur itu sendiri akan terdiri dari beberapa komponen antara lain:
 Data
 Software
 People
 Hardware

Masing-masing lapisan dan komponen arsitek ini akan menghadapi risiko dalam berbagai
bentuk. Biasanya risikonya mungkin termasuk:

 Sistem tidak tersedia

 Kehilangan kerahasiaan
 Kehilangan integritas
 Ketidakakuratan dan ketidaklengkapan
 Kurangnya pemantauan
 Kurangnya kepatuhan
 Di bawah rata-rata

Ini ditunjukkan secara tiga dimensi pada Tampilan 3.2. Berdasarkan diskusi dengan staf
operasional dan teknis di organisasi, risiko, komponen sistem, dan komponen arsitektur dapat
diidentifikasi dan diberi peringkat risiko. Risiko peringkat yang lebih tinggi untuk komponen
yang lebih penting membentuk sudut kiri atas setiap potongan arsitektur.

Ini ditunjukkan secara tiga dimensi pada Tampilan 3.2. Berdasarkan diskusi dengan staf
operasional dan teknis di organisasi, risiko, komponen sistem, dan komponen arsitektur dapat
diidentifikasi dan diberi peringkat risiko. Risiko peringkat yang lebih tinggi untuk komponen
yang lebih penting membentuk sudut kiri atas setiap potongan arsitektur.
This will typically result in a cuboid such as that shown in Exhibit 3.3.
Exhibit 3.3 IT Security

Ketika diprioritaskan dan disusun, profil risiko organisasi dapat diwakili oleh risiko peringkat
yang lebih tinggi ke komponen yang lebih penting yang membentuk sudut kiri atas setiap
potongan arsitektur.

Setiap potongan arsitektural kemudian dapat dievaluasi secara terpisah dan pengendalian
operasional, keamanan, dan teknis diidentifikasi dan dialokasikan ke sel tertentu yang mewakili
risiko (seperti tidak tersedianya) ke komponen sistem (seperti data). Pada tahap ini, tidak ada
upaya yang dilakukan untuk menentukan apakah kontrol yang diyakini ada benar-benar ada dan
berfungsi sebagaimana mestinya.
RELIABILITY OF AUDIT EVIDENCE
Bukti audit dapat diklasifikasikan sebagai:
 Sufficient
Faktual, memadai, dan meyakinkan sehingga orang yang berhati-hati akan mencapai
kesimpulan yang sama dengan auditor.
 Competent
Dapat diandalkan dan pencapaian terbaik melalui penggunaan teknik audit yang tepat.
 Relevant
Mendukung temuan dan rekomendasi audit dan konsisten dengan tujuan audit.
 Useful
Membantu organisasi mencapai tujuannya.

Bukti, untuk auditor TI, sering dianggap diperoleh dengan interogasi langsung terhadap file data
komputer. Meskipun ini adalah teknik yang umum, bukti juga dapat diperoleh dengan
mengamati kondisi, mewawancarai orang, dan memeriksa catatan. Bukti semacam itu biasanya
diklasifikasikan sebagai:
 Bukti fisik. Umumnya diperoleh melalui observasi terhadap orang, properti, atau
peristiwa, dan dapat berupa foto, peta, dan sebagainya. Jika bukti tersebut berasal dari
observasi, itu harus didukung oleh contoh-contoh yang terdokumentasi atau, jika tidak
memungkinkan, dengan observasi yang menguatkan.
 Bukti testimonial. Dapat berupa surat, pernyataan sebagai tanggapan atas pertanyaan,
atau wawancara, dan tidak konklusif karena hanya merupakan pendapat orang lain.
Mereka harus didukung oleh dokumentasi jika memungkinkan.
 Bukti dokumenter. Bentuk paling umum dari bukti audit dan mencakup surat,
perjanjian, kontrak, arahan, memorandum, dan dokumen bisnis lainnya. Bukti
terdokumentasi tersebut juga dapat diperoleh dari catatan terkomputerisasi dengan
menggunakan alat dan teknik audit yang tepat. Sumber dokumen akan memengaruhi
keandalannya dan kepercayaan yang kami berikan padanya. Kualitas prosedur
pengendalian internal juga akan diperhitungkan.
 Bukti analitis. Umumnya berasal dari perhitungan, perbandingan dengan standar, operasi
sebelumnya, dan operasi serupa. Sekali lagi, di bidang ini, alat-alat komputerisasi
biasanya akan membuktikan bantuan yang sangat efektif bagi auditor. Peraturan dan
alasan umum juga akan menghasilkan bukti seperti itu.

PROSEDUR BUKTI AUDIT

Auditor sangat bergantung pada pengumpulan bukti. Ini dilakukan dengan berbagai cara dan
mengikuti program audit. Program audit adalah serangkaian langkah rinci yang akan diikuti
auditor untuk mendapatkan bukti yang tepat dan, bagi auditor TI, mungkin juga menyertakan
penggunaan teknik terkomputerisasi, meskipun hal ini tidak selalu terjadi.

Program aktual yang digunakan akan bervariasi dari satu audit ke audit lainnya tergantung pada
apa yang auditor ingin ketahui dan harus selalu menyertakan tingkat fleksibilitas untuk
memungkinkan perubahan berdasarkan bukti yang telah diperoleh. Misalnya, auditor mungkin
ingin memeriksa file data untuk menentukan bahwa hasil cetak yang diandalkan oleh manajemen
cocok dengan file data langsung. Dalam kasus seperti itu, penggunaan alat dan teknik berbantuan
komputer akan sesuai. Dalam skenario yang berbeda, auditor yang ingin memeriksa otorisasi
transaksi dapat menggunakan alat tersebut untuk melakukan ekstraksi catatan guna
menindaklanjuti bukti dokumenter dari dokumen asli yang meminta tanda tangan otorisasi.