KELOMPOK 2
Dibuat Oleh:
BAB INI MENJELAJAHI konsep materialitas dalam fungsi audit IT dan membedakan
materialitas seperti yang umumnya diterapkan pada audit laporan keuangan seperti
yang dilakukan oleh auditor eksternal independen. Dalam konteks ini, kualitas dan jenis
bukti yang diperlukan untuk memenuhi definisi kecukupan, keandalan, dan relevansi
diperiksa. Risiko yang terlibat dalam pemeriksaan bukti untuk sampai pada kesimpulan
audit direview seperti halnya kebutuhan untuk menjaga independensi dan objektivitas
auditor dan tanggung jawab auditor untuk deteksi kecurangan baik dalam pengaturan
Teknologi Informasi (IT) dan non-IT.
Semua bisnis, produk, dan proses melibatkan beberapa tingkat risiko. Manajemen risiko
melibatkan penilaian produk, proses, atau bisnis dengan:
Mengidentifikasi proses
Mengidentifikasi jenis risiko yang terkait dengan setiap proses
Mengidentifikasi pengendalian yang terkait dengan setiap proses
Mengevaluasi kecukupan sistem pengendalian dalam memitigasi risiko
Menentukan pengendalian kunci yang terkait dengan setiap proses
Menentukan efektivitas Pengendalian kunci
Risiko bawaan
Risiko inheren adalah kemungkinan terjadinya kerugian signifikan sebelum
memperhitungkan faktor-faktor pengurang risiko. Dalam mengevaluasi risiko inheren,
auditor harus mempertimbangkan jenis dan sifat risiko serta faktor-faktor apa yang
mengindikasikan adanya risiko. Untuk mencapai hal ini auditor harus terbiasa dengan
lingkungan di mana entitas beroperasi.
Risiko Pengendalian
Risiko pengendalian mengukur kemungkinan bahwa proses pengendalian yang
ditetapkan untuk membatasi atau mengelola risiko inheren tidak efektif. Untuk
memastikan bahwa audit internal mengevaluasi pengendalian dengan benar, auditor
harus memahami bagaimana mengukur pengendalian mana yang efektif. Ini akan
melibatkan pengidentifikasian kontrol yang memberikan tingkat jaminan terbesar untuk
meminimalkan risiko dalam bisnis. Pengendalian dalam operasi bisnis memberikan
garis pertahanan utama terhadap risiko yang melekat. Secara umum, auditor dapat
berasumsi bahwa pengendalian yang lebih kuat mengurangi jumlah risiko; namun, pada
titik tertentu biaya pengendalian dapat menjadi penghalang (baik dalam hal sumber
daya moneter dan staf serta kepuasan pelanggan).
Risiko Audit
Risiko audit adalah risiko bahwa cakupan audit tidak akan menangani eksposur bisnis
yang signifikan. Program audit pro-forma dapat dikembangkan untuk mengurangi risiko
audit. Ini memberikan panduan tentang pengendalian kunci mana yang harus ada untuk
mengatasi risiko, dan kepatuhan yang direkomendasikan dan / atau langkah-langkah
pengujian substantif yang harus dilakukan. Program ini harus digunakan dengan hati-
hati dan dimodifikasi untuk mencerminkan profil risiko bisnis saat ini.
Strategis. Risiko bahwa TI dikembangkan sendiri atau dibeli tidak sejalan dengan
tujuan organisasi dan tidak mendukung pencapaian misinya.
Operasi. Risiko bahwa sistem informasi yang digunakan oleh organisasi
membebankan biaya tambahan yang tidak dapat diterima pada organisasi atau
mengakibatkan tingkat layanan yang kurang optimal. Pada saat yang sama,
ketergantungan organisasi pada sistem informasi berarti bahwa tidak tersedianya
sistem tersebut dalam rentang waktu yang sesuai juga dapat membuktikan risiko
operasional yang besar.
Pelaporan. Risiko TI tidak dapat diandalkan untuk menghasilkan informasi
secara akurat, lengkap, dan tepat waktu.
The Institute of Internal Auditor (IIA) Practice Advisory 2100-6: Pengendalian dan
Implikasi Audit dari Aktivitas E-commerce menyoroti tantangan yang dihadapi auditor
internal dalam organisasi yang semakin menggunakan TI dalam operasi bisnis dan
memberikan panduan tentang peran dan tanggung jawab audit internal.
Banyak organisasi tidak memiliki sumber daya yang tersedia untuk mengidentifikasi,
menganalisis, dan mengendalikan semua risiko bisnis dari perspektif TI. Menerapkan
proses penilaian risiko formal membantu dengan menyediakan metode yang konsisten
untuk memilih risiko berdampak tinggi yang menjadi fokus sumber daya audit.
Auditor harus selalu mengingat bahwa manajer individu memiliki sikap yang berbeda
terhadap risiko. Beberapa manajer atau bahkan organisasi melihat penerimaan risiko
sebagai hal mendasar untuk menghasilkan keuntungan, sedangkan yang lain sangat
menghindari risiko dan menganggap pengurangan risiko sebagai komponen
fundamental bisnis. Ini disebut sebagai toleransi risiko. Kecuali jika auditor memahami
konsep ini, kemungkinan besar manajemen dan auditor akan berbicara pada tujuan
yang berlawanan tentang risiko dan bahwa rekomendasi audit dapat dianggap tidak
praktis atau tidak dapat diterima.
Berdasarkan posisi risiko individu yang diadopsi, perusahaan akan memiliki banyak
intervensi mitigasi risiko yang berbeda, seperti perlindungan asuransi, instrumen
keuangan, kepatuhan, dan fungsi audit internal. Manajemen harus memahami bahwa
audit internal tidak menggantikan tanggung jawab manajemen untuk mengendalikan
risikonya sendiri ke tingkat yang dapat diterima.
Resiko terkendali. Risiko yang ada dalam proses organisasi dan sepenuhnya
berada di tangan organisasi untuk dimitigasi.
Resiko tak terkendali. Risiko yang dapat timbul secara eksternal bagi organisasi
dan yang tidak dapat dikendalikan atau dipengaruhi secara langsung tetapi
memerlukan posisi risiko yang harus diambil oleh organisasi.
Resiko yang berpengaruh. Risiko yang muncul secara eksternal bagi organisasi
tetapi dapat dipengaruhi oleh organisasi.
BUKTI AUDIT
Auditor TI sering diharapkan untuk mengungkapkan pendapat tentang kecukupan dan
efektivitas pengendalian internal dalam memitigasi risiko. Untuk ini auditor harus
mengumpulkan bukti audit. Bukti dapat didefinisikan sebagai informasi yang
dimaksudkan untuk membuktikan atau mendukung suatu keyakinan. Secara individual,
item bukti mungkin cacat oleh bias pribadi atau oleh potensi kesalahan pengukuran dan
setiap bagian mungkin kurang kompeten daripada yang diinginkan sehingga auditor
akan melihat secara total pada "bukti yang ada," yang harus memberikan dasar faktual
untuk opini audit.
Dampak mengacu pada besarnya kerugian yang dapat disebabkan oleh penggunaan
kerentanan oleh ancaman. Tingkat dampak diatur oleh potensi dampak misi dan
menghasilkan nilai relatif untuk aset dan sumber daya TI yang terpengaruh (misalnya,
sensitivitas kritis dari komponen dan data sistem TI). Metodologi penilaian risiko
mencakup sembilan langkah utama: 4
Setelah risiko diukur, mitigasi risiko dipandang sebagai metodologi sistematis yang
digunakan oleh manajemen senior untuk mengurangi risiko misi yang dapat dicapai
melalui salah satu opsi mitigasi risiko berikut:
Asumsi Risiko. Untuk menerima potensi risiko dan terus mengoperasikan sistem
TI atau menerapkan kontrol untuk menurunkan risiko ke tingkat yang dapat
diterima.
Penghindaran Risiko. Untuk menghindari risiko dengan menghilangkan
penyebab dan / atau konsekuensi risiko (misalnya, melupakan fungsi tertentu
dari sistem atau mematikan sistem saat risiko teridentifikasi).
Batasan Resiko. Untuk membatasi risiko dengan menerapkan kontrol yang
meminimalkan dampak merugikan dari ancaman yang menggunakan kerentanan
(misalnya, penggunaan kontrol pendukung, pencegahan, detektif).
Perencanaan Resiko. Mengelola risiko dengan mengembangkan rencana
mitigasi risiko yang memprioritaskan, menerapkan, dan memelihara kontrol.
Riset dan Pengakuan. Untuk menurunkan risiko kerugian dengan mengakui
kerentanan atau kekurangan dan meneliti kontrol untuk memperbaiki kerentanan.
Pemindahan Risiko. Untuk mentransfer risiko dengan menggunakan opsi lain
untuk mengkompensasi kerugian, seperti membeli asuransi.
Tujuannya adalah untuk mengatasi risiko terbesar dan mengupayakan mitigasi risiko
yang memadai dengan biaya terendah, dengan dampak minimal pada kemampuan misi
lainnya.
ISO 27005
ISO 27005 adalah nama standar yang mencakup manajemen risiko keamanan
informasi yang dirancang dan diterbitkan oleh Organisasi Internasional untuk
Standardisasi (ISO) dan Komisi Elektroteknik Internasional (IEC).
Standar ini memberikan pedoman untuk manajemen risiko keamanan informasi (ISRM)
dalam sebuah organisasi, yang secara khusus mendukung persyaratan sistem
manajemen keamanan informasi sebagaimana didefinisikan oleh ISO 27001. Standar
ini mendefinisikan risiko sebagai "kombinasi dari konsekuensi yang akan mengikuti dari
terjadinya suatu peristiwa yang tidak diinginkan dan kemungkinan terjadinya peristiwa
tersebut. " Proses analisis risiko yang diuraikan dalam standar menunjukkan kebutuhan
untuk mengidentifikasi aset informasi yang berisiko, potensi ancaman atau sumber
ancaman, potensi kerentanan, dan potensi konsekuensi (dampak) jika risiko menjadi
kenyataan.
Analisis risiko itu sendiri didefinisikan sebagai penggabungan identifikasi risiko dan
estimasi risiko di mana identifikasi risiko melibatkan risiko yang dicirikan dalam
kerangka kondisi organisasi. Ini biasanya akan melibatkan identifikasi aset: Aset dalam
ruang lingkup yang ditentukan serta identifikasi ancaman berdasarkan tinjauan insiden,
pemilik aset, pengguna aset, ancaman eksternal, dan sebagainya. Selain itu, ISO
27005 memerlukan identifikasi kontrol yang ada dan pengujian bahwa kontrol tersebut
berfungsi dengan benar.
Identifikasi Kerentanan melibatkan daftar pendek kerentanan dalam proses organisasi,
TI, personel, dan sebagainya, serta identifikasi konsekuensi risiko.
Estimasi Risiko menentukan ukuran risiko baik dari segi estimasi kualitatif dan
kuantitatif, sedangkan Evaluasi Risiko melibatkan perbandingan dan prioritas Tingkat
Risiko berdasarkan Kriteria Evaluasi Risiko dan Kriteria Penerimaan Risiko.
Diskusi berikut adalah pendekatan umum untuk identifikasi dan prioritas risiko. Penggunaannya
perlu disesuaikan dengan kebutuhan organisasi individu. Ini disebut di sini sebagai "kubus"
meskipun, pada kenyataannya, berbentuk kubus dengan jumlah lapisan yang bergantung pada
arsitektur individu, komponen, dan risiko yang dihadapi organisasi.
Secara umum pengolahan informasi menggunakan arsitektur seperti yang ditunjukkan pada
Tampilan 3.1.
Arsitektur itu sendiri akan terdiri dari beberapa komponen antara lain:
Data
Software
People
Hardware
Masing-masing lapisan dan komponen arsitek ini akan menghadapi risiko dalam berbagai
bentuk. Biasanya risikonya mungkin termasuk:
Ini ditunjukkan secara tiga dimensi pada Tampilan 3.2. Berdasarkan diskusi dengan staf
operasional dan teknis di organisasi, risiko, komponen sistem, dan komponen arsitektur dapat
diidentifikasi dan diberi peringkat risiko. Risiko peringkat yang lebih tinggi untuk komponen
yang lebih penting membentuk sudut kiri atas setiap potongan arsitektur.
Ini ditunjukkan secara tiga dimensi pada Tampilan 3.2. Berdasarkan diskusi dengan staf
operasional dan teknis di organisasi, risiko, komponen sistem, dan komponen arsitektur dapat
diidentifikasi dan diberi peringkat risiko. Risiko peringkat yang lebih tinggi untuk komponen
yang lebih penting membentuk sudut kiri atas setiap potongan arsitektur.
This will typically result in a cuboid such as that shown in Exhibit 3.3.
Exhibit 3.3 IT Security
Ketika diprioritaskan dan disusun, profil risiko organisasi dapat diwakili oleh risiko peringkat
yang lebih tinggi ke komponen yang lebih penting yang membentuk sudut kiri atas setiap
potongan arsitektur.
Setiap potongan arsitektural kemudian dapat dievaluasi secara terpisah dan pengendalian
operasional, keamanan, dan teknis diidentifikasi dan dialokasikan ke sel tertentu yang mewakili
risiko (seperti tidak tersedianya) ke komponen sistem (seperti data). Pada tahap ini, tidak ada
upaya yang dilakukan untuk menentukan apakah kontrol yang diyakini ada benar-benar ada dan
berfungsi sebagaimana mestinya.
RELIABILITY OF AUDIT EVIDENCE
Bukti audit dapat diklasifikasikan sebagai:
Sufficient
Faktual, memadai, dan meyakinkan sehingga orang yang berhati-hati akan mencapai
kesimpulan yang sama dengan auditor.
Competent
Dapat diandalkan dan pencapaian terbaik melalui penggunaan teknik audit yang tepat.
Relevant
Mendukung temuan dan rekomendasi audit dan konsisten dengan tujuan audit.
Useful
Membantu organisasi mencapai tujuannya.
Bukti, untuk auditor TI, sering dianggap diperoleh dengan interogasi langsung terhadap file data
komputer. Meskipun ini adalah teknik yang umum, bukti juga dapat diperoleh dengan
mengamati kondisi, mewawancarai orang, dan memeriksa catatan. Bukti semacam itu biasanya
diklasifikasikan sebagai:
Bukti fisik. Umumnya diperoleh melalui observasi terhadap orang, properti, atau
peristiwa, dan dapat berupa foto, peta, dan sebagainya. Jika bukti tersebut berasal dari
observasi, itu harus didukung oleh contoh-contoh yang terdokumentasi atau, jika tidak
memungkinkan, dengan observasi yang menguatkan.
Bukti testimonial. Dapat berupa surat, pernyataan sebagai tanggapan atas pertanyaan,
atau wawancara, dan tidak konklusif karena hanya merupakan pendapat orang lain.
Mereka harus didukung oleh dokumentasi jika memungkinkan.
Bukti dokumenter. Bentuk paling umum dari bukti audit dan mencakup surat,
perjanjian, kontrak, arahan, memorandum, dan dokumen bisnis lainnya. Bukti
terdokumentasi tersebut juga dapat diperoleh dari catatan terkomputerisasi dengan
menggunakan alat dan teknik audit yang tepat. Sumber dokumen akan memengaruhi
keandalannya dan kepercayaan yang kami berikan padanya. Kualitas prosedur
pengendalian internal juga akan diperhitungkan.
Bukti analitis. Umumnya berasal dari perhitungan, perbandingan dengan standar, operasi
sebelumnya, dan operasi serupa. Sekali lagi, di bidang ini, alat-alat komputerisasi
biasanya akan membuktikan bantuan yang sangat efektif bagi auditor. Peraturan dan
alasan umum juga akan menghasilkan bukti seperti itu.
Program aktual yang digunakan akan bervariasi dari satu audit ke audit lainnya tergantung pada
apa yang auditor ingin ketahui dan harus selalu menyertakan tingkat fleksibilitas untuk
memungkinkan perubahan berdasarkan bukti yang telah diperoleh. Misalnya, auditor mungkin
ingin memeriksa file data untuk menentukan bahwa hasil cetak yang diandalkan oleh manajemen
cocok dengan file data langsung. Dalam kasus seperti itu, penggunaan alat dan teknik berbantuan
komputer akan sesuai. Dalam skenario yang berbeda, auditor yang ingin memeriksa otorisasi
transaksi dapat menggunakan alat tersebut untuk melakukan ekstraksi catatan guna
menindaklanjuti bukti dokumenter dari dokumen asli yang meminta tanda tangan otorisasi.