Evaluating Design of Control & Other Risk

Management Techniques and Testing Effectiveness of

Controls and Other Risk

Tasya Imara 2017130124

Yashinta Ayu 2017130130
Intan Khairun Nuzulan 2017130185
Fifi Natalia 2017710022
Kelas B
 Chapter 10:
Evaluating Design of Control & Other Risk Management Techniques
Adequacy and Effectiveness

Beberapa aktivitas audit internal menerima kebijakan dan prosedur area tanpa pertanyaan sebagai standar yang
mereka audit. Kegiatan audit internal yang mengevaluasi kecukupan desain kebijakan, prosedur, dan teknik
manajemen risiko lainnya, biasanya menemukan bahwa bagian evaluasi ini menghasilkan pengamatan audit yang
lebih signifikan. Misalnya, menguji kontrol yang dirancang dengan baik dapat
Activity-level menghasilkan hingga 15 persen
Controls
tingkat kesalahan. Hal ini tidak terlalu baik, tetapi itu berarti kontrol untuk mencapai tujuannya adalah 85 persen
waktu. Kontrol yang dirancang dengan buruk tidak akan pernah benar-benar mencapai tujuannya, bahkan dengan
tingkat kesalahan 0 persen.

Detailed Assurance Engagement Risk Assessment

Penilaian risiko tingkat tinggi yang dilakukan selama tahap perencanaan bukan proses linear. Hal ini membutuhkan
auditor internal untuk memilah-milah berbagai informasi yang beragam untuk menemukan indikator utama risiko.
Penilaian risiko terperinci dari aktivitas yang termasuk dalam ruang lingkup audit adalah linear. Ini berlangsung
selangkah demi selangkah melalui proses analitis yang disiplin. Proses tersebut diwujudkan dan paling mudah
dipahami jika menggunakan alat audit yaitu matriks risiko. Biasanya, matriks risiko digunakan untuk menemukan
bagian-bagian tertentu dari proses berpikir yang wujudnya tidak bekerja dengan baik dan mengubahnya hingga
mewujudkan proses pemikiran yang intuitif bagi auditor dan manajer bisnis.
 Item 1

Identify Objective Item 2

Analisis dimulai dengan tujuan, yang 39

masing-masing memiliki suatu tujuan pada 4

sebuah matriks. Setelah melengkapi kolom matrix 29

27
tersebut , lalu membandingkan tujuan dari matriks 4
5
kegiatan dengan tujuan seluruh area yang diaudit 20
35
5
dan organisasi secara keseluruhan.
25 22
Ketidaksamaan tujuan dapat menjadi pengamatan
yang serius. 15

20XX 20XX 20XX 20XX

 Resiko terhadap suatu tujuan adalah segala sesuatu
yang dapat mencegah tercapainya tujuan tersebut.
Risiko juga dapat muncul dalam mengejar tujuan.
Cara yang baik untuk memasukkan risiko yang
mencegah pencapaian suatu tujuan dan risiko yang
muncul dan juga cara yang masuk akal untuk
meminta manajer mengidentifikasi risiko adalah

Identify Inherent Risk dengan bertanya secara sederhana, “what could go

wrong?”
Auditor internal, tentu saja, tidak sepenuhnya
bergantung pada apa yang dikatakan manajer. Dan
berusaha untuk mengidentifikasi secara mandiri.
Idealnya, langkah analisis ini akan mengidentifikasi
risiko yang melekat yaitu, apa yang bisa salah jika
tidak ada kontrol atau teknik manajemen risiko
lainnya.
Assess Risk Impact and Likelihood
● Setiap risiko harus dinilai. Manajemen menilai setiap risiko, setidaknya secara intuitif, untuk
memutuskan berapa banyak sumber daya yang akan diberikan untuk mengelolanya.
● Auditor internal harus menilai setiap risiko untuk memutuskan berapa banyak upaya audit
yang harus dilakukan untuk itu. Dua faktor kunci untuk menilai adalah dampak dari
peristiwa risiko jika itu terjadi dan kemungkinan itu terjadi.
● Dampak dan kemungkinan dapat diukur dengan berbagai cara. Misalnya, perusahaan jasa
keuangan mengukur risiko kredit dan risiko pasar dengan metode kuantitatif yang sangat
canggih. Mereka melakukan ini karena sifat dari risiko ini cocok untuk analisis kuantitatif
dan karena dampak potensial membenarkan biaya. Namun, untuk tujuan perikatan asurans,
sebagian besar risiko dapat dengan mudah dinilai sebagai tinggi, sedang, atau rendah.
● Hal ini biasanya bermanfaat untuk menilai dampak dan kemungkinan secara terpisah,
karena hal itu membantu manajemen memutuskan teknik manajemen risiko terbaik dan
membantu auditor internal memutuskan : Pertama, apakah manajemen telah memilih
teknik terbaik . Kedua, apakah akan melanjutkan analisis risiko.
Teknik Manajemen Resiko Khusus

Avoidance ● Keluar dari aktivitas yang menimbulkan risiko.

● Tindakan diambil untuk mengurangi

Reduction
kemungkinan atau dampak risiko, atau keduanya.

● Mengurangi kemungkinan atau dampak risiko

Sharing
dengan mentransfer atau membagi sebagian risiko.

● Tidak ada tindakan yang diambil untuk

Acceptance
mempengaruhi kemungkinan atau dampak risiko
Assess Risk Impact and Likelihood
● Pengendalian internal, yang mengurangi kemungkinan atau dampak terjadinya risiko, termasuk
dalam respons risiko pengurangan.
● Exhibit 10-2 menunjukkan bagaimana mengevaluasi dampak dan kemungkinan secara terpisah
yang dapat membantu auditor internal mengevaluasi apakah manajemen telah memilih respons
risiko terbaik dan apakah risiko bawaan cukup besar bagi auditor internal untuk mencurahkan
waktu dalam menganalisisnya lebih lanjut.
● Exhibit ini menunjukkan jenis pemikiran untuk diterapkan, tetapi sama sekali tidak definitif.
Beberapa poin penting yang dapat diambil dari pameran ini adalah:
● Jika risikonya kecil, auditor internal tidak boleh menghabiskan waktu untuk menganalisisnya lebih
lanjut.
● Dampak harus lebih dipertimbangkan daripada kemungkinan. Misalnya, risiko dampak
tinggi/kemungkinan rendah sering diabaikan karena tidak ada yang mengira itu akan pernah
terjadi. Kemudian seseorang melakukannya, dan dampaknya adalah bencana besar. Di sisi lain,
risiko kemungkinan kecil yang berdampak kecil kecuali dampaknya sangat rendah sehingga dapat
diabaikan pasti akan dikenali dan hampir pasti dikelola dengan kontrol yang hemat biaya.
 ● Jika suatu risiko layak untuk dianalisis lebih
lanjut, langkah selanjutnya adalah
mengidentifikasi kontrol atau teknik
manajemen risiko lain yang digunakan untuk
mengelola risiko.
● Teknik manajemen risiko selain kontrol
(menghindari teknik pembagian risiko seperti
Identify Controls and Other asuransi, lindung nilai, atau kontrak sebaiknya

Risk Management Techniques

didiskusikan dengan manajer.
● Kontrol biasanya banyak, dan banyak yang
beroperasi pada tingkat yang terperinci.
● Selain itu, menggunakan sumber lain untuk
mengidentifikasi pengendalian memerlukan
waktu yang berharga dari manajer. Seperti :
Kebijakan tertulis, prosedur manual,Proses
dokumentasi seperti diagram alur/ flowcharts
dan proses narasi serta karyawan lini
pertama/first line employees
 ● Sumber-sumber apapun , auditor internal harus
membedakan pengendalian dari banyak langkah
Identify Controls and Other lain dalam proses bisnis. Auditor internal juga
harus membedakan pengendalian kunci atau
Risk Management Techniques utama dari pengendalian sekunder

(cont.)
● Verifikasi sangat membantu untuk
mengidentifikasi pengendalian kunci karena
pengendalian sekunder biasanya tidak perlu
diuji efektivitasnya.
● Membedakan kontrol dari langkah-langkah lain
dalam suatu proses, dan membedakan kontrol
utama dari kontrol sekunder, bisa jadi sulit.
 Ini paling baik dilakukan dengan walk-through
dimana karyawan menjelaskan atau menunjukkan
kepada auditor, langkah demi langkah, bagaimana

Evaluate design of
karyawan melakukan tugas. Auditor melihat apakah
kontrol disertakan. Jika tidak, ada dua kemungkinan

Controls and Other

alasan:

a. Karyawan tidak mengikuti prosedur yang

Risk Management
benar
b. Prosedur, yang dirancang oleh orang yang

Techniques
tidak melakukan pekerjaan, secara teoritis baik,
tetapi tidak bekerja dengan baik di dunia nyata
(atau bekerja dengan baik ketika dirancang,
tetapi lingkungan telah berubah dan prosedur
belum diperbarui)
 Walk-throughs melayani tujuan ganda.
Mereka adalah uji efektivitas (apakah kontrol
beroperasi seperti yang dirancang), yang dibahas

Evaluate design of
dalam Bab 11. Mereka dibahas di sini, dan
dilakukan selama fase evaluasi desain, karena

Controls and Other

dua alasan:
a. Auditor internal ingin

Risk Management
mendokumentasikan keadaan
pengendalian yang sebenarnya

Techniques
b. Jika prosedurnya tidak berjalan dengan
baik di dunia nyata, kelemahannya ada di
desain, bukan eksekusi
Evaluate design of ● Formulasi yang baik adalah:

Controls and Other Risiko bawaan – teknik manajemen

risiko = risiko residual

Risk Management
Techniques
 Pengauditan internal memberikan
pendekatan / disiplin yang sistematis

Tool for untuk melakukan evaluasi dan

meningkatkan efektivitas dari GRC

Documenting and (risk management, pengendalian, dan

proses tata kelola).

Evaluating Control Tools:

Design
● Risk/Control Matrix
● Flowchart
● Narratives
Risk Control Matrix
● Kegiatan audit internal yang menggunakan matriks risiko/kontrol sebagai alat
audit utama mereka biasanya melengkapinya dengan alat lain. Ini sebagian
karena memasukkan semua informasi dalam serangkaian kolom sempit akan
merepotkan.

● Hal ini juga karena beberapa informasi lebih baik didokumentasikan dan
dianalisis dengan alat lain
Risk Control Matrix
● Matriks risiko/kontrol dapat diterapkan pada tingkat mana pun.

● Untuk keterlibatan jaminan kecil, matriks tunggal mungkin semua yang

diperlukan. Atau, mungkin ada penilaian risiko tingkat tinggi non linier
untuk menentukan tujuan dan ruang lingkup audit, dan beberapa matriks
untuk penilaian risiko terperinci dari aktivitas yang termasuk dalam ruang
lingkup tersebut.
Flowchart
● Setiap proses linear akan berpindah dari 1 tahap ke tahap lainnya (seperti
ketika informasi atau transaksi berpindah dari 1 orang, dokumen, atau sistem
ke yang lainnya), akan ada peluang untuk terjadinya error.
● Titik pengendalian / control points yaitu titik di mana control diterapkan
untuk memastikan error tersebut tidak terjadi.
● Flowchart sering juga disebut sebagai process map, menunjukkan aliran
proses secara visual dengan menyoroti control points dan dengan begitu
membantu internal auditor untuk mengidentifikasi control yang hilang / tidak
ada dan menilai apakah control yang ada sudah memadai.
Flowchart
Keunggulan: Kekurangan:

● Kebanyakan orang dapat mengerti ● Flowchart ini hanya dapat

aliran proses secara lebih cepat diterapkan pada aliran proses yang
ketika disajikan secara visual linear
dibandingkan dengan membaca ● Banyak risiko yang tidak ada
narasi dalam proses linear. Contohnya
● Membantu auditor melakukan adalah tindakan yang tidak etis
evaluasi atas rancangan / design atau kekalahan bisnis dari
control karena menyoroti control kompetitor
pointsnya
Narratives
Narratives tidak ada komposisi bakunya dan tidak memiliki disiplin yang
melekat, seperti risk/control matrix dan flowcharts. Narratives penting
untuk hal-hal yang memerlukan penjelasan yang cukup panjang yang
tidak cukup dalam kedua tools sebelumnya karena adanya
batasan-batasan. Narratives biasanya dibuat dalam kertas kerja terpisah
dan mereferensi silang ke matrix atau pun flowchart yang berkaitan.
 Beberapa konsep dari control:

Preventive or Detective Control

Control Concepts
●
● Directive
Compensating
and Principles
●
● Manual or automated
● Entity-level, Activity-level, or
Transaction-level
Control Concepts and Principles
Evaluasi atas design control adalah persoalan tentang apakah yang akan tetap salah
dengan asumsi control diterapkan secara efektif dan apakah risiko residual dapat
diterima atau tidak. Hal ini akan sangat dipengaruhi oleh judgement auditor, sehingga
agar judgement auditor baik, auditor perlu memiliki pengetahuan atas bisnis klien dan
melakukan diskusi bersama klien.

Auditor harus tahu bahwa dalam control tidak terkandung value / nilai, karena control
hanya tools untuk mengurangi risiko. Dengan begitu, value atas control bergantung
pada seberapa besar risiko yang dapat dikurangi.

Meskipun control dinilai tidak memadai, tapi hal ini masih dapat diterima jika risiko
tetap dapat dikurangi hingga pada level yang dapat diterima dengan cara lainnya.
Some of the most commonly used concepts of control:
● Preventive control menghentikan / mencegah
suatu peristiwa yang tidak diinginkan untuk
terjadi.
Preventive or Detective
● Detective control adalah control untuk
Control
mengungkap kejadian berdasarkan fakta
sehingga dapat dilakukan / diambil tindakan
koreksinya.

Control ini mendorong suatu kejadian yang

Directive diharapkan terjadi untuk terjadi
Some of the most commonly used concepts of control:
(cont.)
Compensating control mengurangi risiko
sampai pada level yang dapat diterima ketika
Compensating
control pilihan gagal atau tidak efisien (not
cost effective).

● Manual control memerlukan adanya manusia

yang melakukan tugas dan akan selalu adanya
risiko human error atau intentional
Manual or automated non-performance.
● Automated control dibuat dalam sistem
komputer dan dengan begitu dapat lebih
diandalkan
Some of the most commonly used concepts of control:
(cont.)
Compensating control mengurangi risiko
sampai pada level yang dapat diterima ketika
Compensating ● Entity-level controls beroperasi untuk
control pilihan gagal atau tidak efisien (not
organisasi secara keseluruhan.
cost effective).
● Activity-level controls beroperasi untuk
Entity-level, keseluruhan aktivitas (area, proses, atau
Activity-level, or program) yang menjadi subjek dari assurance
Transaction-level engagement.
● Transaction-level controls adalah control yang
hanya beroperasi dalam sistem pemrosesan
transaksi.
IT Control Concepts and Principles
Entity-level Controls Activity-level Controls

Disebut sebagai IT General Controls Disebut sebagai Application Controls

Entity - level controls dalam IT dapat Activity-level Controls diterapkan untuk

diterapkan dalam bentuk jaringan, server, mendukung aktivitas dan proses bisnis
database, aplikasi (seperti e-mail), yang otomatis dan sangat bergantung pada
penyimpanan, dan sistem operasi. sistem IT. Tetapi ada juga proses bisnis
yang masih manual atau semi otomatis.
Relevant Standards and Professional Guidance

● 2300 : Performing the Engagement

Standards ● 2310 : Identifying Information
● 2320 : Analysis and Evaluation

PA 2120 - 2 : Managing the Risk of the Internal

Practices Advisories
Auditor Activity
 Chapter 11:
Testing Effectiveness of Controls and Other Risk
Testing Determinations
Key / primary control adalah control yang harus beroperasi secara
efektif sehingga dapat menurunkan risiko secara signifikan hingga
pada acceptable level yang dapat diterima, sehingga menjadi
penting untuk primary control ini dilakukan pengujiannya.

Secondary controls merupakan control yang membantu proses agar

dapat berjalan secara lancar tetapi tidak terlalu esensial. Atas
control ini tidak harus selalu dilakukan pengujian keefektifan.
Testing Determinations (cont.)
Jika design control dinilai tidak baik, maka auditor tidak perlu lagi melakukan
pengujian atas control tersebut, karena meskipun control tersebut dijalankan
sesuai yang rancangannya, tetap saja control tersebut tidak akan dapat / tidak
akan efektif untuk menurunkan risiko yang ada.

Dua situasi di mana auditor harus melakukan tindakan yang lebih lanjut:

1. Ditanya oleh manajer atau auditor apakah ada kerugian yang ditimbulkan
dan sejauh mana kerugian tersebut.
2. Manager bisa saja tidak setuju bahwa rancangan / design controlnya jelek
atau manager berpendapat bahwa risiko yang ditimbulkan kecil.
Types of Audit Evidence
Testimonial Evidence
● Bukti yang didapat dari apa yang
dikatakan seseorang kepada auditor.
● Bukti ini dianggap paling lemah, tetapi
bisa juga dianggap lebih kuat dari
bukti lain.
● Informasi yang diberikan bisa lebih
akurat dari supervisor, karena terjun
langsung ke lapangan. Tetapi, bisa juga
menutupi yang sebenarnya.
Documentary Evidence
● Bukti ada di dalam dokumen
● Bukti ini adalah jenis bukti terkuat kedua.
● Penting untuk mengetahui sumber
dokumen tersebut berasal. Dokumen yang
berasal dari pihak eksternal organisasi
akan jauh lebih kuat daripada bukti yang
berasal dari internal
● Dokumen yang berasal dari eksternal
dikirim ke organisasi akan lebih kuat
daripada dokumen internal, tetapi tidak
sekuat dokumen yang langsung
dikirimkan ke auditor
Types of Audit Evidence (cont.)
Physical Evidence Analytical Evidence

● Bukti yang dapat dilihat oleh auditor ● Bukti didapat dari membandingkan,
secara langsung, sehingga dikategorikan menghitung, atau menganalisis data.
sebagai bukti terkuat. Tapi auditor perlu Contoh bukti analitik adalah
mengetahui apa yang dapat dibuktikan membandingkan actual vs budget,
dan yang tidak dari bukti tersebut. menghitung rasio keuangan, dll.
● Ketika auditor mengetahui adanya ● Dalam bukti analitik, diasumsikan data
kekurangan dari bukti fisik, mereka harus yang dianalisis akurat untuk
dapat membuktikannya kepada yang lain. membuktikan adanya hubungan antar
Pernyataan auditor atas kekurangan data.
tersebut termasuk ke dalam testimonial
evidence.
 Standards of Audit Information

Sufficient Reliable Relevant Useful

Faktual, memadai, dan Dapat diandalkan, melalui Mendukung, konsisten Dapat digunakan
meyakinkan cara yang jelas.
 Manual Testing Methods
The resources required by
The objective of the test method
Membuktikan adanya fixed Audit internal harus
asset dengan melakukan menghemat biaya dalam
pengecekan secara fisik menghasilkan bukti penting
karena membutuhkan dana
dan waktu yang cukup besar
The underlying risk
Mitigasi risiko utama yang
memiliki jaminan, sehingga
memerlukan metode yang
dapat menghasilkan bukti
yang kuat
Some of the testing methods frequently used by internal
auditors
Teknik yang biasanya digunakan untuk tahap
planning, mengevaluasi desain pengendalian
Interviews
dan melaporkan hasil. Hanya menyediakan
pengujian bukti testimoni yang dipelajari
auditor

Survei merupakan cara yang efisien ketika

dalam melakukan pengumpulan bukti yang
Survey berjumlah besar atau sample geografis dalam
sejumlah orang. Menggunakan pertanyaan
terbuka setara dengan teknik wawancara atau
dapat juga lebih valid.
Internal Control internal adalah alat yang efisien untuk menentukan apakah
Kuesioner pengendalian
Questionnaires (ICQs) prosedur pengendalian yang ditentukan sudah ada

Pengamatan sebagai tes audit berarti hanya menonton sesuatu yang dilakukan. Apa
Observation yang dilihat oleh auditor internal dengan mata kepala sendiri adalah bukti yang
lebih kuat daripada apa yang dikatakan seseorang

Inspeksi berarti melihat sesuatu dengan mata kepala sendiri. Ketika auditor
Inspection
memeriksa aset fisik, audit memiliki bukti terkuat bahwa aset itu ada.

Konfirmasi dikirim ke pihak ketiga independen yang meminta audit untuk

Confirmations
memverifikasi keakuratan informasi klien.
 Menelusuri adalah mengambil informasi dari satu dokumen, catatan, atau aset
Tracing
untuk suatu dokumen atau catatan yang disiapkan kemudian.

Vouching adalah pengambilan informasi dari satu dokumen atau catatan ke

Vouching
belakang ke suatu aset, dokumen, atau catatan yang telah disiapkan sebelumnya.

Auditor melakukan perbandingan harga pada invoice dengan daftar harga, serta
Reperformance auditor melakukan kembali analisis dan klasifikasi aging atas tagihan yang
dimiliki klien.

Prosedur analitis membandingkan informasi keuangan klien untuk memperoleh

Analytic
informasi dari sumber independen, mengidentifikasi varians, dan menyelidiki
Procedures penyebab varians yang signifikan.
Sampling
Saat menguji transaksi, auditor internal perlu Statistic Sampling
memutuskan berapa banyak transaksi yang akan diuji
dan bagaimana memilih transaksi. Auditor internal Pengambilan sampel statistik yang memungkinkan
hanya dapat menguji satu transaksi. Melakukannya auditor untuk menentukan dengan tepat seberapa
hanya akan membuktikan bahwa satu transaksi ini representatif sampel tersebut. Auditor
benar. Tidak ada kesimpulan yang dapat ditarik pertama-tama mendefinisikan tingkat kepercayaan
tentang populasi secara keseluruhan. Di sisi lain, yang diinginkan. Misalnya, tingkat kepercayaan 95
auditor dapat menguji setiap transaksi. Dengan
persen berarti bahwa tidak akan ada lebih dari 5
populasi kecil dari transaksi berisiko tinggi, ini
persen probabilitas bahwa kesimpulan tidak akan
mungkin tepat, tetapi ini jarang terjadi. Sebagai
mewakili seluruh populasi (probabilitas ini juga
aturan umum, auditor internal ingin menentukan
disebut risiko pengambilan sampel).
apakah kontrol beroperasi secara konsisten seperti
yang dirancang, dengan tingkat pengecualian yang
dapat diterima. Untuk tujuan ini, sampel transaksi
sudah cukup.
 A Random Sample A Judgement Sample

Sampel acak berarti bahwa setiap item dalam populasi

Sampel dipilih menggunakan cara yang
memiliki kesempatan yang sama untuk dipilih. Dua
purposive melakukan membiaskan sisanya
metode umum untuk memilih sampel acak adalah
penilaian auditor di beberapa cara, sehingga
menggunakan generator angka acak (jika item dalam
populasi diberi nomor, seperti cek bank) dan hasilnya akan kurang representatif dari
menggunakan pemilihan sistematis (yaitu, memilih populasi. Namun, sering kali ada alasan bagus
setiap item ke-n, dimulai dengan nomor arbitrer). untuk memilih sampel secara purposive
Sampel statistik harus dipilih secara acak sedangkan
sampel nonstatistik dapat dipilih secara acak atau
menghakimi.
 ● Saat menggunakan teknik ini pada tingkat

aktivitas, penting bagi auditor untuk mengingat

bahwa bukti yang mereka hasilkan adalah
kesaksian, dan bukti kesaksian dari sejumlah
kecil orang tidak sepersuasif bukti kesaksian dari

Testing Soft Control seluruh organisasi.

● Auditor internal harus mencari bukti kuat yang

lebih nyata dari setiap kekhawatiran yang

diajukan oleh karyawan. Jika mereka
menemukan bukti tersebut, mereka memiliki
observasi audit.
 ● Tujuan pengendalian aplikasi berkaitan
dengan keakuratan dan kelengkapan

Testing Application data masukan, data yang diproses, data

yang disimpan, dan data keluaran.
Control Kontrol aplikasi juga membahas bahwa
catatan dipelihara untuk melacak
pemrosesan data.
 ● Input Control
Testing Application ● Processing Controls
Control ● Output Controls
● Integrity Controls
● Management Trail.
 ● Preventif dan Detektif

Testing Application
Sebelum melakukan aktivitas audit apa
pun, auditor internal harus memahami hal-hal
Control berikut tentang suatu aplikasi:

● Apa yang dilakukan aplikasi?

● Proses bisnis apa yang didukungnya?
● Aktivitas bisnis apa yang dilakukan dalam
aplikasi?
Steps of an Application Control Audit
● Soudy dan review dokumentasi yang berkaitan dengan
Step 1 aplikasi

● Mempelajari perangkat lunak di tempat kerja dengan mengamati dan

Step 2
berinteraksi dengan personel operasi selama bekerja.

● Mengoperasikan melalui berbagai menu, fitur, dan opsi untuk

Step 3 mengidentifikasi proses dan opsi untuk kesesuaian dengan aturan dan
praktik bisnis

Step 4 ● Memvalidasi setiap sistem input terhadap kriteria yang berlaku.

Steps of an Application Control Audit (cont.)
● Memverifikasi kontrol akses dalam perangkat
Step 5
lunak aplikasi.

● Verifikasi bagaimana kesalahan dan

Step 6
pengecualian dapat ditangani.
● Perbaiki setiap kelemahan yang ditemukan di akhir tinjauan
Step 7 aplikasi dalam perangkat lunak yang dapat menyebabkan
kesalahan atau kompromi pada keamanan.

● Mengevaluasi lingkungan di mana aplikasi

Step 8
berjalan.
 ● Auditor IT diharapkan tidak hanya
memahami kompleksitas sistem ini
tetapi juga menjadi lebih efisien
dalam menyelesaikannya serta

Computer-Assisted Audit
mengerjakan tugas-tugas yang
diberikan kepada mereka.
Techniques (CAATS) ● CAAT digunakan oleh auditor dalam
banyak situasi audit, termasuk
prosedur audit anti-penipuan
terkomputerisasi, kontrol internal
yang tertanam dalam sistem IT, dan
keterlibatan di mana sejumlah besar
data perlu dianalisis.
Continous Monitoring and Continous Auditing
● Secara tradisional, pengujian
pengendalian dilakukan secara siklis
dan umumnya dengan aktivitas
bisnis selama berbulan-bulan. Selain
itu, pengujian pengendalian ini
didasarkan pada kelambatan pada
teknik pengambilan sampel dan
memberikan cakupan evaluasi yang
sempit.
● Audit berkelanjutan adalah metode
yang sering melakukan pengujian
pengendalian.
● Menurut The IIA's GTAG 3: Continuous
Auditing: Implications for Assurance,
Monitoring, and Risk Assessment, "Pendekatan
audit berkelanjutan memungkinkan auditor
internal untuk sepenuhnya memahami titik
kontrol kritis, aturan, dan pengecualian.
Dengan analisis data yang sering dan otomatis,
mereka dapat untuk melakukan kontrol dan
penilaian risiko secara real time atau
mendekati waktu nyata.
● Dengan menerapkan pendekatan terpadu dari
pemantauan dan audit berkelanjutan,
organisasi dapat secara signifikan mengurangi
contoh kesalahan, risiko, dan penipuan. pada
investasi penggelaran pendekatan terpadu
menunjukkan hasil positif yang cepat
General IT Control
Menurut The ILA's GTAG 8: Auditing
Application controls, “ITGCs [IT general
controls] berlaku untuk semua komponen
sistem, proses, dan data yang menyajikan
lingkungan organisasi atau sistem. Tujuan dari
pengendalian ini adalah untuk memastikan
pengembangan dan implementasi aplikasi yang
sesuai dengan integritas program dan file data
dan operasi komputer "ITGC yang paling
umum adalah" :
● Kontrol akses logis atas infrastruktur,
aplikasi, dan data.
● Kontrol siklus hidup pengembangan
sistem (SDLC) dan kontrol manajemen
perubahan program.
● Kontrol operasional TI lainnya.
Selain ITGC ini, organisasi harus mengingat
konsep dan teknologi baru yang tercakup
dalam kontrol IT umum, yang
meningkatkan risiko bawaan. Konsep dan
teknologi ini termasuk, namun tidak
terbatas pada:
● Virtualisasi.
● Komputasi awan/Cloud computing
● Perangkat seluler pintar
● Jejaring sosial dan media sosial.
Penyaringan konten web.
● Network firewalls, Deteksi intrusi, dan
sistem pencegahan intrusi.
Logical Assess
Alat yang mendukung kontrol atas
Jalur akses logis: jalur akses logis yang diandalkan Otorisasi Akses Pengguna

● Proses untuk memberikan

● Pengaturan akses kepada pengguna
● Internet/akses jarak
konfigurasi (misalnya, akses awal,
jauh. transfer, perubahan,
(misalnya, kontrol
● Jaringan pemberhentian).
kata sandi, kontrol ● Sumber daya yang
● Sistem operasi.
pengguna). aksesnya diberikan kepada
● Aplikasi. pengguna.
● Ubah kontrol atas Tingkat akses pengguna
● Basis data. ●
alat. (misalnya, baca, tulis,
edit).
● Pemantauan (Seperti :
Validasi aks
 Tujuan dari SDLC dan pengendalian perubahan
program adalah untuk memastikan bahwa
pengembangan dan perubahan program, baik
rutin maupun darurat, ke aplikasi saat ini
diotorisasi, diuji, dan disetujui dengan benar
sebelum diterapkan. Beberapa area di mana

Systems Development Life

pengendalian ini biasanya diterapkan meliputi:
● Otorisasi perubahan.

Cycle and Change Control

● Pengujian perubahan yang sesuai sebelum
perubahan dipindahkan ke produksi (mis.,
pengujian pengguna)
● Persetujuan perubahan sebelum
perubahan dipindahkan ke produksi
(misalnya, pengguna akhir).
● Pemantauan proses perubahan (misalnya,
komite pengarah, tinjauan manajemen
terhadap perubahan produksi).
 Item 1

Other IT Operational Controls Item 2

Tujuan pengendalian operasional TI adalah untuk 39

memastikan bahwa sumber daya dan aplikasi TI terus berfungsi 4
sebagaimana dimaksud dari waktu ke waktu. Beberapa area di 29
mana kontrol ini biasanya diterapkan meliputi: 27
4
5
● Penjadwalan. 20
35
● Cadangan dan pemulihan. 5
● Manajemen masalah dan insiden. 25 22

● Keamanan fisik pusat data dan ruang server. 15

● Pemantauan (misalnya, indikator kinerja utama meja
bantuan, tinjauan kesalahan).
20XX 20XX 20XX 20XX
Relevant Standard and Professional Guidance
● 2300: Performing Engagement
Standards ● 2310: Identifying information
● 2320: Analysis and Evaluation

Practices Advisories ● PA 2320-1: Analytical Procedures

Practices Guides ● Auditing the Control Environment

● GTAG 3: Continuous Auditing: Implications for

Global Technology
Assurance, Monitoring, and Risk Assessment
Audit Guides
● GTAG 8: Auditing Application Controls
THANKYOU!