FINANCIAL AUDIT COMPONENTS & STRUCTURE

Produk dari fungsi pengesahan adalah laporan tertulis formal yang menyatakan pendapat tentang
apakah laporan keuangan sesuai dengan Generally Accepted Accounting Principle (GAAP).

GENERALLY ACCEPTED AUDITING STANDARDS

GENERAL Auditor harus memiliki pelatihan dan kecakapan teknis yang memadai; Auditor
STANDARD harus memiliki sikap mental yang independen; Auditor harus melakukan kehati-
S hatian profesional dalam pelaksanaan audit dan penyusunan laporan
STANDARD Pekerjaan audit harus direncanakan secara memadai; Auditor harus
S OF FIELD memperoleh pemahaman yang memadai tentang struktur pengendalian
WORK internal; Auditor harus memperoleh bukti yang cukup dan kompeten
Auditor harus menyatakan dalam laporannya apakah laporan keuangan disusun
REPORTING sesuai dengan prinsip akuntansi yang berlaku umum; Laporan harus
STANDARD mengidentifikasi keadaan di mana prinsip akuntansi yang berlaku umum tidak
S diterapkan; Laporan harus mengidentifikasi item apa pun yang tidak memiliki
pengungkapan informatif yang memadai; Laporan harus memuat pernyataan
opini auditor atas laporan keuangan secara keseluruhan

IT Audit melibatkan prosedur khusus yang diarahkan pada aspek-aspek sistem klien, dimana
teknologi memainkan peran material dan menambahkan tingkat kompleksitas ke audit
STRUCTURE OF AN AUDIT
Sebelum auditor menentukan sifat dan sejauh mana tes dilakukan, harus
mendapat pemahaman (informasi) menyeluruh tentang klien.
 Tests of Controls. Bertujuan untuk menentukan apakah kontrol
AUDIT internal yang memadai telah pada tempatnya dan berfungsi dengan
PLANNING baik. Teknik pengumpulan bukti menggunakan teknik manual, maupun
CAATTs.
 Substantive Testing. Berfokus pada pengumpulan bukti yang
berkaitan dengan data keuangan. Melibatkan penyelidikan terperinci
atas saldo akun dan transaksi tertentu. Auditor memilih sampel akun
pelanggan.
Klaim yang dibuat manajemen mengenai isi laporan keuangan. Auditor
mengumpulkan bukti yang dapat menguatkan atau menyangkal asersi.
 Transactions & Events for Period Under Audit: Keterjadian, Akurasi,
MANAGEMEN Kelengkapan, Cutoff; dan Klasifikasi
T  Account Balances at Period End: Eksistensi, Hak & Kewajiban,
ASSERTIONS Alokasi dan Penilaian, serta Kelengkapan.
 Presentation and Disclosure: Keterjadian & Hak & Kewajiban,
Akurasi dan Penilaian, Kelengkapan, serta Klasifikasi dan
Pemahaman.
Probabilitas bahwa auditor memberikan opini wajar tanpa pengecualian atas
pernyataan laporan keuangan yang kenyataannya salah saji secara material
karena kesalahan atau error yang tidak terdeteksi.
 Audit Risk Component :. Mencapai tingkat risiko audit yang bisa
diterima. Inherent Risk. Terkait karakteristik unik bisnis atau industri
klien.
AUDIT RISK  Control Risk : Kemungkinan bahwa struktur kontrol cacat karena
 kontrol tidak ada atau tidak memadai untuk mencegah kesalahan
dalam akun. Detection Risk. Risiko yang bersedia diambil oleh auditor
bahwa errors yang tidak terdeteksi juga tidak akan terdeteksi saat
pengujian substantif.
 Audit Risk Model : AR = IR x CR x DR.
 Audit Report : Meliputi opini atas penyajian pernyataan laporan
keuangan yang wajar dan opini atas kualitas pengendalian internal.

OVERVIEW OF SOX SECTIONS 302 AND 404

SOX tahun 2002 menetapkan peraturan dan standar tata kelola perusahaan untuk perusahaan
publik yang terdaftar di SEC. Bagian 404 mengharuskan manajemen perusahaan publik untuk
menilai efektivitas pengendalian internal organisasi mereka atas pelaporan keuangan.
RELATIONSHIP BETWEEN IT CONTROLS AND FINANCIAL REPORTING
Model COSO mengidentifikasi dua kelompok besar kontrol TI: kontrol aplikasi dan pengendalian
umum.dimana kontrol aplikasi memastikan validitas, kelengkapan, dan akurasi transaksi
keuangan. Kontrol ini dirancang untuk menjadi aplikasi spesifik.
AUDIT IMPLICATIONS OF SECTIONS 302 AND 404
Undang-undang SOX secara dramatis memperluas peran auditor eksternal dengan
mengamanatkan bahwa mereka membuktikan kualitas pengendalian internal. Ini merupakan
penerbitan opini audit terpisah selain pendapat atas kewajaran laporan keuangan. Standar untuk
opini audit tambahan ini adalah tinggi. COMPUTER FRAUD memiliki 3 elemen : data collection,
Tujuan pengendalian adalah untuk memastikan bahwa data kejadian yang masuk ke sistem
adalah valid, lengkap, dan bebas dari kesalahan material. Data processing.Penipuan program
mencakup Teknik membuat/ menghancurkan / mengubah logika program. Database
management Penipuan manajemen basis data termasuk mengubah, menghapus, merusak,
menghancurkan, atau mencuri data organisasi. Information generation Scavenging melibatkan
pencarian melalui sampah dari pusat komputer untuk output yang dibuang. Menguping melibatkan
mendengarkan transmisi output melalui jalur telekomunikasi.
ORGANIZATIONAL STRUCTURE CONTROLS

SEGREGATION OF DUTIES WITHIN THE CENTRALIZED FIRM

Memisahkan Pengembangan Sistem dari Operasi Komputer, Memisahkan Administrator Basis
Data dari Fungsi Lainnya (Memisahkan DBA dari sistem pengembangan), Memisahkan
Pengembangan Sistem Baru dari Pemeliharaan (dokumentasi tidak memadai, dan program
fraud). Struktur Unggul untuk Pengembangan Sistem
THE DISTRIBUTED MODEL

Distributed Data Processing (DDP) melibatkan reorganisasi fungsi IT menjadi unit-unit kecil yang
didistribusikan ke pengguna akhir dan ditempatkan di bawah kendali mereka. Beberapa manfaat
DDP adalah pengurangan biaya, peningkatan tanggung jawab pengendalian biaya, meningkatkan
kepuasan pengguna, dan backup. Kelemahan DDP adalah pengelolaan sumber daya, tidak
kompatibilitasnya hardware dan software, kerusakan tugas, kegiatan konsolidasi tidak kompatibel
CREATING CORPORATE IT FUNCTION
Tujuan auditor adalah untuk memastikan apakah individu yang bertugas di area yang tidak sesuai
dipisahkan sesuai dengan tingkat risiko yang dapat diterima dan dengan cara yang mendorong
efektivitas lingkungan kerja. Pengujian yang dapat memberikan bukti untuk mencapai tujuan audit
diantaranya mendapatkan dan meninjau kebijakan perusahaan tentang keamanan komputer,
meninjau dokumentasi yang relevan, meninjau dokumentasi sistem dan catatan pemeliharaan,
menentukan apakah segregasi diterapkan dalam praktek, dan meninjau peran user untuk
memverifikasi hak akses konsisten.
COMPUTER CENTER SECURITY AND CONTROLS
Beberapa kontrol pusat komputer yang membantu menciptakan keamanan lingkungan : Physical
Location, Construction, Access, Air Conditioning, Fire Suppression (kebakaran), Fault
Tolerance Controls (kemampuan sistem untuk melanjutkan operasi ketika bagian dari sistem
gagal karena kegagalan perangkat keras).
AUDIT PROCEDURE :
 Pengujian Kontrol Toleransi Kesalahan
 Prosedur audit untuk menilai kontrol keamanan fisik. (Uji konstruksi fisik, Uji ontro deteksi
kebakaran dan Uji ontrol akses).
 Prosedur Audit untuk Memverifikasi Pertanggungan Asuransi
 Prosedur Audit untuk Memverifikasi Kecukupan Dokumentasi Operator
DISASTER RECOVERY PLANNING
Disaster recovery plan (DRP) adalah pernyataan komprehensif dari semua tindakan yang harus
diambil sebelum, selama, dan setelah bencana, bersama dengan prosedur terdokumentasi dan
teruji yang akan memastikan kelangsungan operasi. Control Issues terdiri dari:
 Providing Second-Site Backup : untuk menyediakan duplikat fasilitas pemrosesan data
setelah bencana seperti The Empty dan The Recovery Operations Center.
 Identifying Critical Applications : untuk fokus pada pemulihan aplikasi dan data yang
penting bagi kelangsungan hidup jangka pendek organisasi.
 Performing Backup and Off-Site Storage Procedures : untuk secara rutin melakukan
prosedur pencadangan dan penyimpanan demi melindungi sumber daya kritis, termasuk
File Data Cadangan, Dokumentasi Cadangan, Persediaan Cadangan, dan Dokumen
Sumber..
 Creating a Disaster Recovery Team : tangggung jawab individu didefinisikan dengan
jelas dan dikomunikasikan pada personil yang terlibat.
 Testing the DRP : untuk memberi langkah kesiapsiagaan personil dan mengidentifikasi
kelalaian atau hambatan dalam rencana.
 OUTSOURCING THE IT FUNCTION
Pengalihdayaan TI mencakup peningkatan kinerja bisnis inti dan TI serta pengurangan biaya TI.
Risks inherent to it outsourcing : outsourcing TI skala besar adalah upaya yang berisiko,
sebagian karena ukurannya yang tipis kesepakatan keuangan.
Loss of strategic advantage : T outsourcing dapat menyebabkan ketidaksesuaian antara
perencanaan strategis TI perusahaan dan bisnisnya fungsi perencanaan.
Audit implications of it outsourcing : PCAOB secara khusus menyatakan dalam Auditing
Standard No. 2 bahwa penggunaan organisasi jasa tidak mengurangi tanggung jawab manajemen
untuk mempertahankan pengendalian internal yang efektif atas pelaporan keuangan.
SSAE 16 report contents : Laporan pengesahan SSAE 16 memberikan deskripsi sistem
penyedia layanan termasuk detailnya tentang bagaimana transaksi diproses dan hasilnya
dikomunikasikan ke organisasi klien mereka
CONTROLLING THE OPERATING SYSTEM

Sistem operasi adalah program kontrol computer dimana memungkinkan pengguna dan aplikasi
mereka untuk berbagi dan mengakses sumber daya komputer umum, seperti prosesor, memori
utama, database, dan printer.

Operating Sistem operasi melakukan tiga tugas utama. Pertama, itu menerjemahkan
System bahasa tingkat tinggi, seperti COBOL, C++, dsb. Kedua, sistem operasi
Objectives mengalokasikan sumber daya komputer untuk pengguna, kelompok kerja,
dan aplikasi. Ketiga, sistem operasi mengelola tugas penjadwalan pekerjaan
dan multiprogramming.
Operating Keamanan sistem operasi melibatkan kebijakan, prosedur, dan kontrol yang
System menentukan siapa yang dapat mengakses sistem operasi, sumber daya
Security mana yang dapat mereka akses, Adapun komponennya adalah log-on
procedure (megakses),
access token (berisi informasi tentang pengguna), access control list (Daftar
kontrol akses yang ditetapkan untuk setiap sumber daya), discretionary
access privileges (hak atas SD)
Threats to Tujuan pengendalian sistem operasi mungkin tidak tercapai karena
Operating kelemahan dalam sistem operasi yang dieksploitasi baik secara tidak sengaja
System atau sengaja ditutupnya informasi rahasia. Ancaman yang disengaja
Integrity terhadap sistem operasi paling sering adalah upaya untuk mengakses data
secara ilegal
Operating berbagai teknik kontrol untuk menjaga integritas sistem operasi :
System menggunakan pengendalian hak akses, pengendalian password,
Controls And pengendalian malware, dan pengendalian system audit trails
Tests Of
Controls