Nama : Eef Saifullah

NIM : 4320085
Mata Kuliah : Audit Sistem Informasi
Kelas : C
Resume Materi Pertemuan 10-14
Bab 10
Processing Integrity dan Availability Control
A. Processing Integrity
Prinsip integritas pemrosesan dari Trust Services Framework menyatakan bahwa sistem yang
andal adalah sistem yang menghasilkan informasi yang akurat, lengkap, tepat waktu, dan valid.
Integritas Pemrosesan kontrol dasar atas input, pemrosesan, dan output data yang diidentifikasi
oleh proses COBIT 5 DSS06 sebagai hal yang penting untuk pemrosesan integritas.
1. Kontrol Input
Ungkapan "sampah masuk, sampah keluar" menyoroti pentingnya kontrol masukan.
Jika data yang dimasukkan ke dalam sistem tidak akurat, tidak lengkap, atau tidak
valid, outputnya juga akan demikian. Konsekuensinya, hanya personel yang
berwenang yang bertindak dalam kewenangannya yang harus menyiapkan dokumen
sumber. Selain itu, desain formulir, pembatalan dan penyimpanan dokumen sumber,
dan kontrol entri data otomatis diperlukan untuk memverifikasi validitas input data.
a. DESAIN BENTUK
Dokumen sumber dan formulir lain harus dirancang untuk meminimalkan
kemungkinan kesalahan dan kelalaian. Dua kontrol desain formulir yang
sangat penting melibatkan penomoran dokumen sumber secara berurutan dan
menggunakan dokumen turnaround.
i. Semua dokumen sumber harus diberi nomor sebelumnya secara
berurutan. Penomoran sebelumnya meningkatkan kontrol dengan
memungkinkan untuk memverifikasi bahwa tidak ada dokumen yang
hilang. (Untuk memahami ini, pertimbangkan kesulitan yang akan
Anda alami dalam menyeimbangkan rekening giro Anda jika tidak
ada cek Anda yang diberi nomor.) Ketika dokumen data sumber yang
diberi nomor berurutan digunakan, sistem harus diprogram untuk
mengidentifikasi dan melaporkan dokumen sumber yang hilang atau
duplikat.
ii. Dokumen turnaround adalah catatan data perusahaan yang dikirim ke
pihak eksternal dan kemudian dikembalikan oleh pihak eksternal
untuk selanjutnya diinput ke sistem. Dokumen turnaround disiapkan
dalam bentuk yang dapat dibaca mesin untuk memfasilitasi
pemrosesan selanjutnya sebagai catatan masukan. Contohnya adalah
tagihan utilitas yang dibaca oleh perangkat pemindaian khusus saat
tagihan dikembalikan dengan pembayaran. Dokumen turnaround
meningkatkan akurasi dengan menghilangkan potensi kesalahan
input saat memasukkan data secara manual.
b. PEMBATALAN DAN PENYIMPANAN DOKUMEN SUMBER
Dokumen sumber yang telah dimasukkan ke dalam sistem harus dibatalkan
sehingga tidak dapat secara tidak sengaja atau curang dimasukkan kembali ke
dalam sistem. Dokumen kertas harus dirusak, misalnya dengan mencapnya
“sudah dibayar”. Dokumen elektronik juga dapat “dibatalkan” dengan
menetapkan bidang bendera untuk menunjukkan bahwa dokumen tersebut
telah diproses. Catatan: Pembatalan tidak berarti pembuangan. Dokumen
 sumber asli (atau gambar elektroniknya) harus disimpan selama diperlukan
untuk memenuhi persyaratan hukum dan peraturan dan memberikan jejak
audit.
c. KONTROL ENTRI DATA
Dokumen sumber harus dipindai untuk kewajaran dan kepatutan sebelum
dimasukkan ke dalam sistem. Namun, kontrol manual ini harus dilengkapi
dengan kontrol entri data otomatis, seperti berikut ini:
i. Pemeriksaan kolom menentukan apakah karakter dalam kolom
merupakan tipe yang tepat.
ii. Pemeriksaan tanda menentukan apakah data dalam bidang memiliki
tanda aritmetika yang sesuai.
iii. Pemeriksaan batas menguji jumlah numerik terhadap nilai tetap.
iv. Pemeriksaan rentang menguji apakah jumlah numerik berada di
antara batas bawah dan atas yang ditentukan sebelumnya.
v. Pemeriksaan ukuran memastikan bahwa data masukan akan sesuai
dengan kolom yang ditetapkan.
vi. Pemeriksaan (atau pengujian) kelengkapan memverifikasi bahwa
semua item data yang diperlukan telah dimasukkan.
vii. Pengecekan validitas membandingkan kode ID atau nomor rekening
pada data transaksi dengan data serupa dalam file induk untuk
memverifikasi bahwa akun tersebut ada.
viii. Uji kewajaran menentukan kebenaran hubungan logis antara dua
item data.
ix. Kode ID (seperti nomor komponen) dapat nerisi digit cek yang
dihitung dari digit lainnya.
d. KONTROL ENTRI DATA PENGOLAHAN BATCH TAMBAHAN
i. Pemrosesan batch bekerja lebih efisien jika transaksi disortir
sehingga jumlah akun yang terpengaruh berada dalam urutan yang
sama dengan catatan yang disimpan dalam file induk.
ii. Log kesalahan yang mengidentifikasi kesalahan input data (tanggal,
penyebab, masalah) memfasilitasi secara tepat waktu review dan
pengajuan kembali transaksi yang tidak dapat diproses.
iii. Total batch menghitung nilai numerik untuk batch rekaman input.
Berikut ini adalah tiga total batch yang umum digunakan:
1) Total finansial menjumlahkan bidang yang berisi nilai
moneter, seperti total dolar jumlah seluruh penjualan untuk
satu batch transaksi penjualan.
2) Total hash menjumlahkan bidang numerik nonfinansial,
seperti total kuantitas bidang yang dipesan dalam batch
transaksi penjualan.
3) Hitungan record adalah jumlah record dalam satu batch.
e. KONTROL ENTRI DATA ONLINE TAMBAHAN
i. Prompt, di mana sistem meminta setiap item input data dan menunggu
respons yang dapat diterima, memastikan bahwa semua data yang
diperlukan dimasukkan (yaitu, prompt adalah pemeriksaan kelengkapan
online)
ii. Verifikasi loop tertutup memeriksa keakuratan data input dengan
menggunakannya untuk mengambil dan menampilkan informasi terkait
lainnya.
iii. Log transaksi mencakup catatan terperinci dari semua transaksi, termasuk
pengidentifikasi transaksi unik, tanggal dan waktu masuk, dan siapa yang
memasukkan transaksi. Jika file online rusak, log transaksi dapat
digunakan untuk merekonstruksi file tersebut. Jika kerusakan mematikan
sistem untuk sementara, log transaksi dapat digunakan untuk memastikan
bahwa tindakan transaksi tidak hilang atau dimasukkan dua kali.
2. Kontrol Pengolahan
Kontrol juga diperlukan untuk memastikan bahwa data diproses dengan benar.
Kontrol pemrosesan yang penting meliputi yang berikut ini:
a. Pencocokan data. Dalam kasus tertentu, dua atau lebih item data harus
dicocokkan sebelum sebuah tindakan dapat berlangsung.
b. Label file.
Label file perlu diperiksa untuk memastikan bahwa file yang benar dan
terbaru sedang diperbarui. Baik label eksternal yang dapat dibaca oleh
manusia maupun label internal yang ditulis dalam bentuk yang dapat dibaca
mesin pada media perekam data harus digunakan. Dua jenis penting dari
label internal adalah rekaman header dan trailer. Catatan header terletak di
awal setiap file dan berisi nama file, tanggal kedaluwarsa, dan data
identifikasi lainnya. Catatan trailer terletak di akhir file; dalam file transaksi
berisi total batch yang dihitung selama input. Program harus dirancang untuk
membaca catatan header sebelum diproses, untuk memastikan bahwa file
yang benar sedang diperbarui. Program juga harus dirancang untuk membaca
informasi dalam catatan cuplikan setelah diproses, untuk memverifikasi
bahwa semua catatan input telah diproses dengan benar.
c. Penghitungan ulang total batch.
Total batch harus dihitung ulang sebagai setiap transaksicatatan diproses, dan
total untuk bets kemudian harus dibandingkan dengan nilai dalam catatan
cuplikan. Setiap perbedaan menunjukkan kesalahan pemrosesan. Seringkali,
sifat ketidaksesuaian memberikan petunjuk tentang jenis kesalahan yang
terjadi.
d. Uji lintas pijakan dan keseimbangan nol.
Seringkali total dapat dihitung dengan berbagai cara. Misalnya, dalam
spreadsheet, total keseluruhan dapat dihitung dengan menjumlahkan kolom
dari total baris atau dengan menjumlahkan satu baris dari total kolom. Kedua
metode ini harus menghasilkan hasil yang sama. Tes keseimbangan pijakan
silang membandingkan hasil yang dihasilkan oleh masing-masing metode
untuk memverifikasi akurasi. Tes saldo nol menerapkan logika yang sama ini
untuk memverifikasi keakuratan pemrosesan yang melibatkan akun kontrol.
e. Mekanisme perlindungan penulisan.
Ini melindungi terhadap penimpaan atau penghapusan data file yang
disimpan pada media magnetik. Mekanisme perlindungan tulis telah lama
digunakan untuk melindungi file master agar tidak rusak secara tidak sengaja.
Inovasi teknologi juga memerlukan penggunaan mekanisme proteksi
penulisan untuk melindungi integritas data transaksi.
f. Kontrol pembaruan bersamaan. Kesalahan dapat terjadi saat dua atau lebih
pengguna mencoba memperbarui catatan yang sama secara bersamaan.
Kontrol pembaruan bersamaan mencegah kesalahan tersebut dengan
mengunci satu pengguna hingga sistem selesai memproses transaksi yang
dimasukkan oleh pengguna lainnya.
3. Kontrol Keluaran
Pengecekan yang hati-hati terhadap output sistem memberikan kontrol tambahan atas
integritas pemrosesan. Kon
trol keluaran yang penting mencakup yang berikut ini:
a. Tinjauan pengguna terhadap output. Pengguna harus hati-hati memeriksa
output sistem untuk memverifikasi bahwa itu masuk akal, lengkap, dan
bahwa mereka adalah penerima yang dituju.
b. Prosedur rekonsiliasi. Secara berkala, semua transaksi dan pembaruan sistem
lainnya harus direkonsiliasi untuk mengontrol laporan, file laporan
status/pembaruan, atau mekanisme kontrol lainnya. Selain itu, akun buku
besar harus direkonsiliasi ke total akun pembantu secara teratur.
 c. Rekonsiliasi data eksternal. Total basis data harus direkonsiliasi secara
berkala data disimpan di luar sistem
d. Kontrol transmisi data. Organisasi juga perlu menerapkan kontrol yang
dirancang untuk meminimalkan risiko kesalahan transmisi data. Setiap kali
perangkat penerima mendeteksi kesalahan transmisi data, meminta perangkat
pengirim untuk mengirim ulang data tersebut. Umumnya, ini terjadi secara
otomatis, dan pengguna tidak menyadari bahwa hal itu telah terjadi.
4. Pengolahan Kontrol Integritas Dalam Spreadsheet
Sebagian besar organisasi memiliki ribuan spreadsheet yang digunakan untuk
mendukung pengambilan keputusan Namun, karena pengguna akhir hampir selalu
mengembangkan spreadsheet, mereka jarang memiliki kontrol aplikasi yang
memadai. Oleh karena itu, tidak mengherankan jika banyak organisasi mengalami
masalah serius yang disebabkan oleh kesalahan spreadsheet. Pengujian spreadsheet
yang cermat sebelum digunakan dapat mencegah kesalahan yang merugikan
semacam ini. Meskipun sebagian besar perangkat lunak spreadsheet berisi fitur
“audit” bawaan yang dapat dengan mudah mendeteksi kesalahan umum, spreadsheet
yang dimaksudkan untuk mendukung keputusan penting memerlukan pengujian yang
lebih menyeluruh untuk mendeteksi kesalahan yang tidak kentara. Sangat penting
untuk memeriksa hardwiring, di mana formula berisi nilai numerik tertentu
(misalnya, pajak penjualan 5 8,5% 3 A33). Praktik terbaik adalah dengan
menggunakan sel referensi (misalnya, simpan tarif pajak penjualan di sel A8) lalu
tulis rumus yang menyertakan sel referensi (misalnya, ubah contoh sebelumnya
menjadi pajak penjualan 5 A8 3 A33). Masalah dengan pemasangan kabel adalah
bahwa spreadsheet pada awalnya menghasilkan jawaban yang benar, tetapi ketika
variabel bawaan (misalnya, tarif pajak penjualan dalam contoh sebelumnya) berubah,
rumus mungkin tidak diperbaiki di setiap sel yang menyertakan nilai bawaan tersebut.
Sebaliknya, mengikuti praktik terbaik yang direkomendasikan dan menyimpan nilai
pajak penjualan dalam sel yang diberi label dengan jelas berarti ketika tarif pajak
penjualan berubah, hanya satu sel yang perlu diperbarui. Praktik terbaik ini juga
memastikan bahwa tarif pajak penjualan yang diperbarui digunakan di setiap formula
yang melibatkan penghitungan pajak penjualan.
B. Ketersediaan
Gangguan pada proses bisnis karena tidak tersedianya sistem atau informasi dapat
menyebabkan kerugian finansial yang signifikan. Akibatnya, proses kontrol COBIT 5 DSS01
dan DSS04 membahas pentingnya memastikan bahwa sistem dan informasi tersedia untuk
digunakan kapan pun diperlukan. Tujuan utamanya adalah untuk meminimalkan risiko
downtime sistem. Namun, tidak mungkin untuk sepenuhnya menghilangkan risiko downtime.
Oleh karena itu, organisasi juga memerlukan kontrol yang dirancang untuk memungkinkan
dimulainya kembali operasi normal dengan cepat setelah suatu peristiwa mengganggu
ketersediaan sistem.
1. Meminimalkan resiko downtime sistem
a. Pemeliharaan preventif
b. Toleransi kesalahan
c. Lokasi dan desain pusat data
d. Pelatihan
e. Manajemen Tambalan dan perangkat lunak antivirus
2. Pemulihan dan Kembali Operasi Normal
Kontrol preventif yang dibahas di bagian sebelumnya dapat meminimalkan, namun
tidak sepenuhnya menghilangkan, risiko downtime sistem. Malfungsi perangkat
keras, masalah perangkat lunak, atau kesalahan manusia dapat menyebabkan data
menjadi tidak dapat diakses.
a. Prosedur Pengadaan Data
Prosedur pencadangan data dirancang untuk menangani situasi di mana
informasi tidak dapat diakses karena file atau database yang relevan telah
rusak akibat kegagalan perangkat keras, masalah perangkat lunak, atau
 kesalahan manusia, tetapi sistem informasi itu sendiri masih berfungsi. Ada
beberapa prosedur pencadangan yang berbeda. Cadangan lengkap adalah
salinan persis dari seluruh database. Pencadangan penuh menghabiskan
waktu, sehingga sebagian besar organisasi hanya melakukan pencadangan
penuh setiap minggu dan melengkapinya dengan pencadangan parsial harian.
Membandingkan dua jenis pencadangan parsial harian:
i. Pencadangan tambahan melibatkan penyalinan hanya item data
yang telah berubah sejak pencadangan sebagian terakhir . Ini
menghasilkan satu set file cadangan inkremental, masing-masing
berisi hasil transaksi satu hari. Pemulihan pertama-tama melibatkan
pemuatan cadangan penuh terakhir dan kemudian menginstal setiap
cadangan tambahan berikutnya dalam urutan yang tepat.
ii. Cadangan diferensial menyalin semua perubahan yang dibuat sejak
pencadangan penuh terakhir . Dengan demikian, setiap file
cadangan diferensial baru berisi efek kumulatif dari semua aktivitas
sejak pencadangan penuh terakhir. Akibatnya, kecuali untuk hari
pertama setelah pencadangan penuh, pencadangan diferensial
harian membutuhkan waktu lebih lama daripada pencadangan
inkremental. Pemulihan lebih sederhana, bagaimanapun, karena
pencadangan penuh terakhir perlu dilengkapi hanya dengan
cadangan diferensial terbaru, bukan satu set file cadangan
inkremental harian.
b. Pemulihan Bencana dan Perencanaan Berkelanjutan Bisnis
Cadangan dirancang untuk mengurangi masalah saat satu atau lebih file
atau database rusak karena perangkat keras, perangkat lunak, atau
kesalahan manusia. Rencana pemulihan bencana dan rencana
kesinambungan bisnis dirancang untuk mengurangi masalah yang lebih
serius. Rencana pemulihan bencana (DRP) menguraikan prosedur untuk
memulihkan fungsi TI organisasi jika pusat datanya hancur. Organisasi
memiliki tiga opsi dasar untuk mengganti infrastruktur TI mereka, yang
tidak hanya mencakup komputer, tetapi juga komponen jaringan seperti
router dan sakelar, perangkat lunak, data, akses Internet, printer, dan
persediaan. Opsi pertama adalah mengontrak untuk penggunaan cold site,
yaitu bangunan kosong yang telah dilengkapi kabel untuk akses telepon dan
Internet yang diperlukan, ditambah kontrak dengan satu atau lebih vendor
untuk menyediakan semua peralatan yang diperlukan dalam jangka waktu
tertentu. Pilihan kedua adalah mengontrak penggunaan hot site, yang
merupakan fasilitas yang tidak hanya dilengkapi kabel untuk akses telepon
dan Internet tetapi juga berisi semua peralatan komputasi dan kantor yang
dibutuhkan organisasi untuk menjalankan aktivitas bisnis utamanya. Pilihan
ketiga adalah pencerminan waktu-nyata, yang melibatkan pemeliharaan dua
salinan basis data di dua pusat data terpisah setiap saat dan memperbarui
kedua basis data secara waktu-nyata untuk setiap transaksi.

BAB 11
Audit Computer Based Information System
Audit adalah proses sistematis untuk memperoleh dan mengevaluasi bukti mengenai asersi tentang
tindakan dan peristiwa ekonomi untuk menentukan seberapa baik mereka sesuai dengan kriteria yang
ditetapkan. Audit internal adalah kegiatan jaminan dan konsultasi yang independen dan objektif yang
dirancang untuk menambah nilai dan meningkatkan efektivitas dan efisiensi organisasi, termasuk
membantu dalam desain dan implementasi SIA. Audit internal membantu organisasi mencapai
tujuannya dengan membawa pendekatan yang sistematis dan disiplin untuk mengevaluasi dan
meningkatkan efektivitas manajemen risiko, kontrol, dan proses tata kelola. Ada beberapa jenis audit
internal :
~Audit keuangan memeriksa keandalan dan integritas transaksi keuangan, catatan akuntansi, dan
laporan keuangan.
~Audit sistem informasi, atau pengendalian internal, meninjau pengendalian SIA untuk menilai
kepatuhannya terhadap kebijakan dan prosedur pengendalian internal dan keefektifannya dalam
mengamankan aset. Audit biasanya mengevaluasi input dan output sistem, kontrol pemrosesan,
rencana pencadangan dan pemulihan, keamanan sistem, dan fasilitas komputer.
~Audit operasional berkaitan dengan penggunaan sumber daya secara ekonomis dan efisien dan
pencapaian tujuan dan sasaran yang telah ditetapkan.
~Audit kepatuhan menentukan apakah entitas mematuhi undang-undang, peraturan, kebijakan, dan
prosedur yang berlaku. Audit ini sering menghasilkan rekomendasi untuk meningkatkan proses dan
kontrol yang digunakan untuk memastikan kepatuhan terhadap peraturan.
~Audit investigatif memeriksa insiden kemungkinan penipuan, penyalahgunaan aset, pemborosan dan
penyalahgunaan, atau kegiatan pemerintah yang tidak patut.
A. Sifat Audit
1. Tinjauan Proses Audit
Semua audit mengikuti urutan kegiatan yang serupa. Audit dapat dibagi menjadi
empat tahap: perencanaan, pengumpulan bukti, evaluasi bukti, dan komunikasi hasil
audit.
a. Perencanaan Audit
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa
audit akan dilakukan. Langkah pertama adalah menetapkan ruang lingkup
dan tujuan audit. Misalnya, audit perusahaan terbuka menentukan apakah
laporan keuangannya disajikan secara wajar. Sebaliknya, audit internal
dapat memeriksa departemen tertentu atau aplikasi komputer. Ini mungkin
berfokus pada pengendalian internal, informasi keuangan, kinerja operasi,
atau kombinasi dari ketiganya.Untuk mengakhiri tahap perencanaan,
program audit disiapkan untuk menunjukkan sifat, luas, dan waktu
prosedur yang diperlukan untuk mencapai tujuan audit dan meminimalkan
risiko audit. Anggaran waktu disiapkan, dan anggota staf ditugaskan untuk
melakukan langkah-langkah audit tertentu.
b. Pengumpulan Bukti Audit
Sebagian besar upaya audit dihabiskan untuk mengumpulkan bukti. Karena
banyak pengujian audit tidak dapat dilakukan pada semua item yang
direview, pengujian tersebut sering dilakukan berdasarkan sampel. Berikut
ini adalah cara paling umum untuk mengumpulkan bukti audit:
i. Pengamatan terhadap aktivitas yang diaudit (misalnya, mengamati
bagaimana personel mengontrol data prosedur
ii. Meninjau dokumentasi untuk memahami bagaimana proses
tertentu atau sistem kontrol internal seharusnya berfungsi melalui
komunikasi dengan pihak ketiga yang independen
iii. Diskusi dengan karyawan tentang pekerjaan mereka dan tentang
bagaimana mereka melakukan pekerjaan tertentu
iv. Kuesioner yang mengumpulkan data
v. Pemeriksaan fisik jumlah dan/atau kondisi aset berwujud, seperti
peralatan dan inventaris
vi. Konfirmasi keakuratan informasi, seperti saldo rekening
pelanggan,menangani pekerjaan pemrosesan data saat diterima)
vii. Kinerja ulang kalkulasi untuk memverifikasi informasi kuantitatif
(misalnya, kalkulasi ulang biaya penyusutan tahunan)
 viii. Menjamin keabsahan suatu transaksi dengan memeriksa dokumen
pendukung, seperti pesanan pembelian, laporan penerimaan, dan
faktur vendor yang mendukung transaksi hutang dagang
ix. Tinjauan analitik hubungan dan tren di antara informasi untuk
mendeteksi item yang harus diselidiki lebih lanjut. Misalnya,
seorang auditor untuk rantai toko menemukan bahwa rasio satu
toko dari piutang terhadap penjualan terlalu tinggi. Investigasi
mengungkapkan bahwa manajer mengalihkan dana yang
terkumpul untuk penggunaan pribadinya.
c. Evaluasi Hasil Audit
Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah
mendukung kesimpulan yang menguntungkan atau tidak menguntungkan.
Jika tidak meyakinkan, auditor melakukan prosedur tambahan yang cukup
untuk mencapai kesimpulan definitif. .Karena kesalahan ada di sebagian
besar sistem, auditor berfokus pada pendeteksian dan pelaporan kesalahan
yang berdampak signifikan terhadap interpretasi manajemen atas temuan
audit. Menentukan materialitas, apa yang penting dan tidak penting dalam
suatu audit, merupakan masalah pertimbangan profesional. Dalam semua
tahapan audit, temuan dan kesimpulan didokumentasikan dalam kertas
kerja audit. Dokumentasi sangat penting pada tahap evaluasi, ketika
kesimpulan harus dicapai dan didukung.
d. Komunikasikan Hasil Audit
Auditor menyampaikan laporan tertulis yang meringkas temuan audit dan
rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak
lain yang sesuai. Setelah itu, auditor sering melakukan studi lanjutan untuk
memastikan apakah rekomendasi telah diterapkan.
2. Pendekatan Audit Berbasis Resiko
Pendekatan evaluasi pengendalian internal berikut, yang disebut pendekatan audit
berbasis risiko, menyediakan kerangka kerja untuk melakukan audit sistem informasi:
a. Menentukan ancaman (kecurangan dan kesalahan) yang dihadapi
perusahaan.
b. Identifikasi prosedur pengendalian yang mencegah, mendeteksi, atau
memperbaiki ancaman.
c. Evaluasi prosedur pengendalian.
d. Mengevaluasi kelemahan pengendalian untuk menentukan pengaruhnya
terhadap sifat, saat, atau luas prosedur audit.
B. Audit Sustem Informasi
Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal
yang melindungi sistem. Saat melakukan audit sistem informasi, auditor harus memastikan
bahwa enam tujuan berikut terpenuhi:
1. Ketentuan keamanan melindungi peralatan komputer, program, komunikasi, dan data
dari akses yang tidak sah, modifikasi, atau penghancuran.
2. Pengembangan dan akuisisi program dilakukan sesuai dengan manajemen otorisasi
umum dan khusus.
3. Modifikasi program memiliki otorisasi dan persetujuan manajemen.
4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya secara akurat dan
lengkap.
5. Data sumber yang tidak akurat atau tidak diotorisasi secara tepat diidentifikasi dan
ditangani sesuai dengan kebijakan manajerial yang ditentukan.
6. File data komputer akurat, lengkap, dan rahasia.
C. Audit Operasional SIA
Teknik dan prosedur yang digunakan dalam audit operasional mirip dengan audit sistem
informasi dan laporan keuangan. Perbedaan mendasar adalah ruang lingkup audit. Audit
sistem informasi terbatas pada pengendalian internal dan audit keuangan pada output sistem,
 sedangkan audit operasional mencakup semua aspek manajemen sistem. Selain itu, tujuan
audit operasional meliputi evaluasi efektivitas, efisiensi, dan pencapaian tujuan.

Langkah pertama dalam audit operasional adalah perencanaan audit, di mana ruang lingkup
dan tujuan audit ditetapkan, tinjauan sistem pendahuluan dilakukan, dan program audit
tentatif disiapkan. Langkah selanjutnya, pengumpulan bukti, meliputi kegiatan berikut:
-Meninjau kebijakan dan dokumentasi pengoperasian
-Mengonfirmasi prosedur dengan manajemen dan personel pengoperasian
- Mengamati fungsi dan aktivitas pengoperasian
- Memeriksa rencana dan laporan keuangan dan pengoperasian
- Menguji keakuratan informasi pengoperasian

Pada tahap evaluasi bukti, auditor mengukur sistem terhadap sistem yang mengikuti prinsip
manajemen sistem terbaik. Salah satu pertimbangan penting adalah bahwa hasil kebijakan dan
praktik manajemen lebih signifikan daripada kebijakan dan praktik itu sendiri. Artinya, jika
hasil yang baik dicapai melalui kebijakan dan praktik yang secara teoritis kurang, maka
auditor harus mempertimbangkan dengan hati-hati apakah perbaikan yang direkomendasikan
akan meningkatkan hasil secara substansial. Auditor mendokumentasikan temuan dan
kesimpulan mereka dan mengkomunikasikannya kepada manajemen.

Bab 12
Audit Planning Process
A. Proses Perencanaan Audit
1. Manfaat Rencana Audit
Proses perencanaan melibatkan:
a. Mengidentifikasi tugas yang akan dilakukan selama audit
b. Alokasi tugas tersebut kepada auditor tertentu
c. Memutuskan kapan suatu tugas harus dimulai
d. Kuantifikasi durasi setiap tugas individu berdasarkan alokasi auditor
2. Struktur Rencana
Audit harus mencakup:
a. Penentuan tentatif tujuan dan ruang lingkup audit
b. Pada tahap ini, auditor akan berupaya menentukan tujuan bisnis
keseluruhan dari area yang akan ditinjau serta tujuan pengendalian
c. Untuk setiap KPA (bidang kinerja utama), sasaran kinerja harus ditetapkan
d. Tujuan keseluruhan audit tertentu dapat diklasifikasikan sebagai meninjau
kecukupan rancangan sistem pengendalian internal, pengujian kepatuhan
terhadap sistem pengendalian yang dirancang, dan evaluasi efektivitas
penerapan sistem pengendalian
e. Pemilihan tim audit
f. Komunikasi awal dengan pihak yang diaudit dan pihak lain yang terlibat
didalam proses audit
g. Persiapan program audit pendahuluan
h. Perencanaan laporan audit
i. Persetujuan pendekatan audit
3. Struktur Rencana
a. Survei Pendahuluan
b. Deskripsi dan Analisis Pengendalian Internal
c. Pengujian yang Diperluas
d. Temuan dan Rekomendasi
e. Pembuatan Laporan
f. Tindak Lanjut
 g. Evaluasi Audit
4. Jenis Audit
a. Audit keuangan cenderung melibatkan verifikasi angka yang dihasilkan
oleh sistem komputer. Hal ini biasanya melibatkan auditor yang
menggunakan CAAT untuk mengekstrak informasi secara langsung dari
file data untuk dibandingkan dengan angka yang dilaporkan.
b. Audit operasional berfokus pada efektivitas dan efisiensi operasi bisnis dan
dapat menyertakan TI itu sendiri sebagai fungsi bisnis
c. Audit kontrol umum berfokus pada kontrol manajemen di sekitar fungsi
dan fasilitas pemrosesan informasi dan dapat berbasis operasional atau
kepatuhan
d. Audit aplikasi dapat berupa tinjauan sistem aplikasi langsung dalam arena
pengguna, audit sistem aplikasi yang sedang dikembangkan, atau audit
proses pengembangan sistem aplikasi itu sendiri
e. Audit yang melibatkan sistem operasi kurang memperhatikan audit
terhadap sistem operasi itu sendiri melainkan cara instalasi telah memilih
untuk mengimplementasikan opsi sistem operasi
f. Audit akses fisik dilakukan dengan cara yang sama seperti audit akses fisik
ke setiap aset perusahaan untuk tujuan utama dan pengamanan aset
perusahaan.
g. Audit akses logis, bagaimanapun, biasanya akan melibatkan interogasi file
kontrol sistem komputer untuk mencocokkan hak akses yang diberikan
dengan persyaratan pekerjaan
B. Manajemen Pemeriksaan
1. Perencanaan
Merencanakan fungsi IS Audit melibatkan pendefinisian area keterlibatan audit. Ini
dapat berupa tinjauan terhadap:
a. Sistem bisnis
b. Sistem dalam pengembangan
c. Manajemen fasilitas SI
d. Kontrol keamanan dan pemulihan
e. Efisiensi dan efektivitas SI
2. Misi Pemeriksaan
Meninjau, menilai, dan melaporkan tentang:
a. Kesehatan, kecukupan, dan penerapan kontrol
b. Kepatuhan terhadap kebijakan, rencana, dan prosedur yang telah ditetapkan
c. Akuntansi dan pengamanan aset perusahaan
d. Penerapan tingkat otoritas yang tepat
e. Keandalan akuntansi dan data lainnya
f. Kualitas pelaksanaan tugas yang diberikan
g. Tingkat upaya terkoordinasi antar departemen
h. Menjaga kepentingan perusahaan
3. Misi Audit Sistem Informasi
Untuk meninjau, menilai, dan melaporkan:
a. Kesehatan, kecukupan, dan penerapan standar operasional SI
b. Kesehatan, kecukupan, dan penerapan pengembangan sistem
c. Tingkat kepatuhan terhadap standar perusahaan
d. Keamanan investasi SI perusahaan
e. Kecukupan pengaturan kontinjensi
f. Kelengkapan dan keakuratan informasi yang diproses komputer
g. Apakah penggunaan yang optimal dibuat dari semua sumber daya
komputasi
h. Kekokohan sistem aplikasi yang dikembangkan
4. Fungsi Organisasi
 Garis pemisah antara apa itu fungsi audit komputer dan apa itu fungsi audit umum
dapat bervariasi secara signifikan di antara kelompok audit. Beberapa kelompok
memasukkan apa yang di departemen audit lain akan menjadi fungsi audit komputer
dalam tanggung jawab audit
umum.
a. Pandangan pertama, dan yang sering dipegang oleh auditor komputer sendiri,
adalah bahwa setiap tinjauan pengendalian komputer harus dilakukan oleh
auditor komputer spesialis
b. Pandangan sebaliknya adalah bahwa auditor komputer dan auditor umum harus
berintegrasi sepenuhnya.
c. Ada beberapa manfaat di beberapa bidang pekerjaan audit yang melibatkan
tinjauan sistem komputer yang dilakukan oleh auditor umum yang melek
komputer.
5. Kepegawaian
Bergantung pada ukuran dan kerumitannya, staf dapat terdiri dari campuran:
a. Manajer audit komputer
b. Auditor aplikasi
c. Auditor pelatihan
d. Staf pengembangan aplikasi audit
e. Dukungan teknis
6. Audit Sistem Informasi Sebagai Fungsi Pendukung
Dengan asumsi cakupan Audit SI tipikal di organisasi besar, keterampilan atau
pengetahuan berikut mungkin diperlukan di departemen Audit SI :
a. Prinsip keamanan dan kontrol SI.
b. Prinsip audit.
c. Keterampilan interpersonal dan komunikasi yang baik,
d. Rasa penilaian yang baik,
e. Keterampilan khusus bisnis;
f. Keterampilan analisis sistem,
g. Keterampilan analisis data,
h. Beberapa keterampilan pemrograman,
i. Pengalaman pengoperasian komputer,
j. Jaringan,
k. Perangkat lunak sistem,
l. PC dan komputer mini.
7. Sistem Informasi Bisnis
Tinjauan sistem bisnis mencakup audit sistem aplikasi, audit penipuan, audit
kepatuhan, audit keuangan, audit operasional, audit pemulihan, dan audit
pengembangan sistem.
a. Pemahaman bisnis
i. tujuan bisnis
ii. tujuan kontrol
iii. kontrol/ proses kritis/eksposur nyata
8. Aplikasi Alat Audit
Alat yang tersedia untuk auditor komputer tidak hanya mencakup CAAT tetapi juga
alat standar seperti wawancara, kuesioner sistem, kuesioner kontrol, dan
dokumentasi.
9. Sistem Lanjutan
Audit sistem lanjutan seperti sistem tanpa kertas (misalnya, pertukaran data
elektronik [EDI]) atau sistem pendukung keputusan (misalnya, Sistem Informasi
Eksekutif) melibatkan faktor pengalaman.
10. Jaminan Kualitas Audit
Seperti area audit lainnya, penjaminan mutu tetap menjadi tanggung jawab manajer
audit. Dalam praktiknya, hal ini biasanya melibatkan peninjauan pekerjaan audit oleh
Auditor SI lainnya serta manajemen audit.
 Bab 13
Audit Evidence Process
Proses bukti audit fundamental dan pengumpulan bukti yang dianggap cukup, andal, relevan, dan
berguna. Teknik pengumpulan bukti seperti observasi, penyelidikan, wawancara, dan pengujian
diperiksa dan teknik kepatuhan versus pengujian substantif dikontraskan. Area kompleks teknik
pengambilan sampel statistik dan non-statistik dan desain dan pemilihan sampel dan evaluasi hasil
sampel diperiksa. Teknik penting dari teknik audit berbantuan komputer (CAAT) dicakup dan studi
kasus menggunakan perangkat lunak IDEA.
A. Bukti Audit
Auditor TI harus mengumpulkan bukti audit untuk menyatakan pendapat. Bukti audit itu
sendiri dapat diklasifikasikan sebagai cukup, kompeten, relevan, atau berguna dan bukti
biasanya diklasifikasikan sebagai fisik, kesaksian, dokumenter, atau analitis.
B. Prosedur Bukti Audit
Auditor mengumpulkan bukti dengan mengikuti program audit, yang merupakan serangkaian
langkah terperinci yang akan diikuti oleh auditor untuk mendapatkan bukti yang tepat dan,
untuk auditor TI, mungkin termasuk penggunaan teknik terkomputerisasi, meskipun ini tidak
selalu terjadi. Bukti yang dikumpulkan memungkinkan pengungkapan pendapat tentang
efisiensi, ekonomi, dan efektivitas kegiatan. Ini daftar arah untuk pemeriksaan dan evaluasi
informasi dan menyediakan hubungan utama antara pekerjaan lapangan audit dan laporan
audit. Langkah-langkah dalam merumuskan program audit meliputi penentuan hasil survei
pendahuluan, penentuan risiko apa yang terindikasi jika ada; menentukan jenis kontrol apa
yang paling baik untuk mengelola risiko; menentukan bukti tambahan apa, jika ada, yang
diinginkan auditor; dan memilih tes audit. Ibarat peta rute, program audit harus sesuai dengan
kebutuhan traveler. Ini menyatakan
apa yang harus dilakukan, kapan harus dilakukan, bagaimana melakukannya, siapa yang akan
melakukannya, dan berapa lama waktu yang dibutuhkan. Program audit membantu auditor
tetap sesuai jadwal/anggaran. Ini mungkin pro-forma atau dirancang khusus, tetapi dalam
kedua kasus itu memberikan manfaat sebagai berikut:
1. Ini adalah rencana sistematis untuk setiap fase pekerjaan audit yang memberikan dasar
untuk menugaskan pekerjaan kepada anggota tim.
2. Ini adalah sarana untuk mengendalikan dan mengevaluasi kemajuan dan membantu dalam
melatih anggota staf yang tidak berpengalaman.
3. Ini memberikan catatan ringkasan pekerjaan yang dilakukan.
4. Ini mengurangi persyaratan pengawasan langsung dengan memberikan jalur yang jelas
bagi bawahan dan memberikan informasi jaminan kualitas audit internal.
Program audit akhir harus disiapkan segera setelah survei pendahuluan, meskipun demikian
program tersebut dapat dimodifikasi selama audit. Jika program audit pro-forma baru akan
diperkenalkan, program tersebut harus dipersiapkan jauh sebelumnya dan diuji di lapangan.
Program yang terlambat disiapkan akan terburu-buru dan langkah-langkahnya hilang.
Penyusunan program audit harus fokus pada apa yang berbahaya bagi korporasi. Program
tersebut harus bijaksana, relevan, efektif, dan ekonomis, mengingat lagi bahwa tidak setiap
item perlu diperiksa dan kewajaran dan relevansi harus dipertahankan.
Bab 14
Audit Reporting
Pelaporan audit dan tindak lanjutnya. Bentuk dan isi laporan audit dirinci dan tujuan, struktur, isi, dan
gayanya sebagaimana ditentukan oleh efek yang diinginkan pada penerima yang dituju untuk berbagai
jenis pendapat dipertimbangkan, serta tindak lanjut untuk menentukan keputusan manajemen.
tindakan untuk mengimplementasikan rekomendasi.
A. Pelaporan Audit
Berbagai individu akan menggunakan laporan audit untuk berbagai tujuan. Manajemen
eksekutif biasanya akan menggunakan laporan audit untuk mendapatkan wawasan tentang
status keseluruhan pengendalian internal dalam area bisnis tertentu dan untuk organisasi
secara keseluruhan. Manajemen operasional menggunakan laporan audit untuk menentukan
kecukupan dan efektivitas pengendalian tertentu dalam mencapai tujuan kinerja dan
pengendalian tertentu. Instansi lain mungkin menggunakan laporan audit untuk mendapatkan
wawasan tentang cara kerja bagian dalam operasi tertentu dan tingkat ketergantungan yang
dapat ditempatkan pada keluaran dari area bisnis tersebut. Secara umum, auditor
mengomunikasikan keseluruhan temuan bersama dengan rekomendasi tindakan yang akan
diambil dengan menggunakan laporan audit. Laporan-laporan ini dikirim ke orang-orang yang
berada dalam posisi efektif tindakan atau memastikan bahwa tindakan korektif diambil.
Eksekutif senior dalam organisasi juga dapat menerima salinan laporan atau ringkasan
laporan. Hasil audit biasanya dilaporkan secara lisan dalam bentuk laporan sementara dan
konferensi penutup serta secara tertulis.
B. Laporan Interim
Laporan interim adalah laporan yang disiapkan dan dikeluarkan saat audit sedang
berlangsung. Mereka biasanya digunakan untuk melaporkan kemajuan audit yang
diperpanjang atau untuk memberi tahu pihak yang diaudit tentang temuan yang memerlukan
perhatian segera. Mereka dapat berupa tertulis atau lisan, meskipun laporan berbentuk memo
tertulis dapat
menjadi bukti yang berguna untuk penyampaian temuan. Keuntungan utama dari laporan
interim adalah penyediaan umpan balik yang tepat waktu kepada auditi ditambah dengan
kemungkinan tindakan segera yang lebih tinggi. Pada gilirannya, hal ini dapat menghasilkan
laporan akhir yang lebih menguntungkan jika tindakan yang tepat diambil. Laporan interim
secara efektif memberikan peluang tindak lanjut selama audit itu sendiri.
C. Penutup Konferensi
Sebelum laporan audit akhir diterbitkan, rapat penutupan sering dilakukan. Hal ini
memungkinkan tinjauan keseluruhan atas tujuan dan temuan audit dan merupakan
kesempatan terakhir untuk menjernihkan kesalahpahaman atau kelalaian sebelum penerbitan
laporan. Ini memastikan presentasi yang adil dan seimbang dan memungkinkan auditee untuk
menyatakan pendapat mereka. Ini juga memberikan umpan balik auditor tentang cara audit
ditangani dari perspektif klien.
D. Laporan tertulis minimal harus dibuat pada akhir audit. Laporan umumnya harus:
1. Akurat,
2. Objektif,
3. Jelas,
4. Ringkas
5. Menyelesaikan Tepat Waktu
6. Konstruktif
Laporan tertulis harus mencakup tujuan audit, ruang lingkup, hasil, opini auditor,
rekomendasi untuk perbaikan potensial, pengakuan atas kinerja yang memuaskan, dan
jawaban auditi atas opini dan rekomendasi auditor. Karena laporan audit yang diterbitkan
merupakan cerminan dari kompetensi dan citra profesional dari seluruh fungsi audit
Teknologi Informasi (TI), laporan tersebut harus ditinjau dan disetujui oleh auditor yang
bertugas sebelum diterbitkan.
E. Teknik Penulisan Yang Jelas
Mengingat bahwa tujuan komunikasi audit adalah untuk menginformasikan, membujuk, dan
mempengaruhi, penulis laporan harus menggunakan teknik penulisan yang jelas untuk
menyampaikan pesan seefektif mungkin. Metode komunikasi manusiawi kita yang normal
menggunakan gaya percakapan yang cenderung lebih dapat dipertahankan daripada metode
komunikasi formal lainnya. Sayangnya, sifat manusia apa adanya, percakapan sehari-hari
berbentuk pernyataan, pertanyaan, dan jawaban. Dalam komunikasi tertulis, auditor tidak
 tersedia untuk menjawab pertanyaan yang muncul dari pernyataan tertulis di benak pembaca.
Dengan demikian, komunikasi tertulis harus mengantisipasi pertanyaan yang diajukan dan
menjawabnya dalam laporan. Agar persuasif, auditor harus, sembari memastikan bahwa
poinnya
tersampaikan, hindari memusuhi penerima laporan audit. Perbaikan terjadi sebagai hasil dari
rekomendasi yang diterapkan, dan rekomendasi tidak akan dilaksanakan dengan sukarela jika
penanggung jawab bereaksi negatif terhadap laporan audit. Dimana kontrol kekurangan
dilaporkan, kehati-hatian harus diambil untuk menghindari referensi pribadi dan laporan audit
harus mengkritik praktik yang buruk daripada individu.
F. Persiapan Untuk Menulis
Sejak awal audit, auditor sudah memiliki gambaran mental tentang laporan tersebut. Pada saat
ruang lingkup dan tujuan disetujui, audiens yang diantisipasi diketahui dan selanjutnya semua
pekerjaan audit harus diketahui dilakukan dengan mempertimbangkan laporan audit. Subyek
diketahui dan ruang lingkup dan tujuan diketahui dan, meskipun hasil sebenarnya dari audit
tidak diketahui pada tahap ini, kemungkinan bidang yang akan dimasukkan dalam laporan
harus jelas pada akhir survei pendahuluan. Penulisan laporan audit dilakukan pada akhir audit
setelah penutupan pekerjaan lapangan ketika waktu hampir habis, dan hal ini sering
mengakibatkan laporan audit yang terburu-buru dan berkualitas buruk. Waktu yang memadai
harus dianggarkan sejak awal untuk memungkinkan pembuatan laporan audit yang
komunikatif dan berkualitas tinggi. Sebagian besar auditor setuju bahwa bagian tersulit dalam
menulis laporan audit sebenarnya adalah permulaan. Beberapa auditor menemukan latihan
yang dikenal sebagai menulis bebas membantu mengendurkan otot mental. Teknik ini
melibatkan penulisan beberapa bagian teks yang tidak terkait seperti surat sebelum memulai
laporan yang sebenarnya. Teorinya adalah bahwa ini memastikan bahwa otak bekerja dalam
model komunikasi logis sebelum penulisan laporan dimulai dan aliran ide dipermudah.
G. Laporan Audit Dasar
Isi sebagian besar laporan audit mengikuti pola yang sama dan mencakup:
1. Latar belakang, ruang lingkup, dan tujuan
2. Ringkasan temuan utama
3. Opini audit
4. Temuan dan rekomendasi terperinci
5. Pengakuan atas kinerja yang memuaskan
6. Lampiran teknis terperinci
Sampul hampir selalu diinginkan karena menampilkan nada profesional dari awal. Itu harus
mencakup judul laporan, nama dan lokasi auditee, dan tanggal cakupan audit.
H. Ringkasan Bisnis Plan
Sebagian besar laporan audit menyertakan ringkasan eksekutif yang mencakup masalah dan
temuan terpenting dari sudut pandang bisnis secara keseluruhan. Ringkasan eksekutif
memberikan perspektif awal untuk keseluruhan laporan dan berfokus pada risiko terhadap
organisasi dan efek spesifik dari kelemahan pengendalian. Mungkin hanya itu yang dibaca
dan, dalam banyak kasus di mana ringkasan semacam itu diberikan kepada eksekutif senior,
hanya itu yang harus dibaca. Dua pendekatan dimungkinkan dalam ringkasan eksekutif,
tergantung pada sifat audiens eksekutif. Dengan eksekutif yang berpengetahuan luas,
pendekatan ringkas dan hilangkan dapat digunakan. Ini melibatkan penjelasan singkat tentang
temuan audit utama, dalam urutan kepentingan eksekutif dan referensi silang ke isi laporan.
Pendekatan pengarahan yang menginformasikan, menasihati, dan menafsirkan mungkin lebih
tepat dalam audit khusus di mana eksekutif mungkin tidak sepenuhnya paham dengan
implikasi temuan.
I. Temuan Rinci
Temuan rinci biasanya merupakan badan laporan. Aneh kedengarannya, temuan bukanlah
sesuatu yang ditemukan. Temuan audit terdiri dari empat bagian berbeda:
1.Kondisi. Mencatat apa yang ditemukan oleh auditor (yaitu, apa yang ditunjukkan oleh
bukti)
 2. Kriteria. Menunjukkan apa yang seharusnya terjadi dalam hal pertimbangan kontrol
3. Penyebab. Menunjukkan apakah kondisi tersebut disebabkan oleh tidak adanya
pengendalian internal atau kegagalan salah satunya
4. Efek. Menunjukkan dampak terhadap bisnis dari penyebab kondisi tersebut Banyak auditor
berjuang untuk memutuskan berapa banyak detail yang harus disertakan dalam isi laporan.
Temuan rinci harus mencakup cukup informasi bagi pembaca untuk memahami sifat temuan,
kepentingan relatif temuan, dan apa yang perlu dilakukan terkait temuan tersebut. Tidak ada
aturan yang jelas mengenai hal ini karena tergantung pada tingkat pengetahuan dan
pengalaman audiens yang dikomunikasikan. Selama pelaksanaan audit, auditor harus menilai
berapa banyak detail yang diperlukan dalam laporan akhir. Untuk memastikan laporan akhir
dapat dibaca, pameran dan lampiran biasanya ditempatkan dalam lampiran jika menempatkan
informasi dalam badan laporan akan membuatnya terlalu panjang atau tidak dapat dibaca.
Semua grafik, bagan, foto, dan tabulasi keuangan harus diberi label dengan jelas dalam
laporan jika dirujuk di dua atau tiga tempat. Jika lampiran digunakan, lampiran harus dirujuk
silang ke laporan.
J. Menyusun Laporan
Karena laporan audit merupakan cerminan dari profesionalisme dan kompetensi seluruh
fungsi IT Audit, maka laporan tersebut harus tampil seprofesional mungkin. Memoles laporan
melibatkan tinjauan yang ketat sebelum diterbitkan. Hal ini dapat dilakukan dengan
menggunakan daftar periksa untuk memastikan keterbacaan dan pemahaman laporan atau
dengan menggunakan kelompok sejawat, yang biasanya melibatkan satu auditor yang tidak
memiliki pengetahuan tentang area audit tertentu sehingga asumsi dapat ditantang. Pada
akhirnya laporan akan ditandatangani oleh auditor yang bertanggung jawab atau wakil yang
ditunjuk. Salah satu keluhan auditee utama adalah bahwa laporan yang berisi masalah kritis
diterbitkan terlambat dan mereka diharapkan untuk menerapkan rekomendasi dengan segera.
Oleh karena itu penting bahwa auditor tidak menunda untuk melaporkan penerbitan.
K. Menyebarkan Laporan
Laporan audit biasanya didistribusikan ke berbagai tingkat manajerial. Laporan harus
diarahkan pada tingkat otoritas pertama yang mampu mengambil tindakan yang tepat. Daftar
distribusi lengkap biasanya diketahui di awal proses audit; namun, rantai komando auditee
dapat menyebabkan konsekuensi politik internal. Banyak laporan audit TI dikirim ke
penerima melalui email. Secara umum, metode pengiriman harus mempertimbangkan baik
kerahasiaan informasi yang dilaporkan maupun keterpencilan penerima. Kurir atau
pengiriman langsung mungkin lebih disukai tetapi tidak praktis. Jika email digunakan, teknik
enkripsi yang memadai harus diterapkan untuk memastikan kerahasiaan dan integritas pesan
yang disampaikan. Jika isi laporan audit sangat rahasia, kontrol detektif dapat diterapkan
untuk
melacak salinan individual jika terjadi kebocoran. Yang paling jelas dari teknik ini adalah
penomoran salinan, tetapi salah eja yang disengaja atau penulisan ulang kata-kata di area
kritis juga dapat digunakan.
L. Pelaporan Tindak Lanjut
Eksekutif audit TI harus menetapkan proses tindak lanjut untuk memantau kemajuan dan
memastikan bahwa tindakan manajemen telah diterapkan secara efektif atau bahwa
manajemen senior telah menerima risiko tidak mengambil tindakan. Kedua alternatif ini
menyebabkan kegiatan tindak lanjut yang berbeda. Jika manajemen memilih untuk
mengambil tindakan yang tepat atas temuan audit, auditor harus mencari tahu tindakan apa
yang telah diambil dan menentukan apakah tindakan tersebut tepat. Mereka biasanya akan
menerbitkan laporan tindak lanjut yang biasanya ditujukan kepada penerima laporan asli dan
fokus utamanya harus pada pencapaian tujuan pengendalian, tidak harus pada penerapan
rekomendasi audit. Jika manajemen menerima risiko tidak mengambil tindakan, laporan
tindak lanjut mungkin tidak diperlukan. Mengingat sifat temuan audit yang beragam,
diharapkan manajemen akan menerapkan beberapa rekomendasi dan menerima beberapa
risiko. Ini harus dicatat dalam laporan tindak lanjut.
M. Jenis Tindakan Tindak Lanjut
Auditor umumnya akan meninjau tanggapan auditee dan tindakan korektif, mengevaluasi
kecukupan tanggapan dan tindakan korektif tersebut, dan melaporkan temuan tindak lanjut.
Tindakan tindak lanjut akan bervariasi secara signifikan untuk audit yang berbeda dalam hal
keluasan, tingkat fokus, kedalaman, dan jangkauan pemeriksaan tindak lanjut. Pertimbangan
praktis seperti waktu yang tersedia harus dipertimbangkan. Auditor cenderung optimis dalam
hal waktu dan tindak lanjut sering digunakan untuk mengambil jalan pintas. Dalam banyak
kasus tindak lanjut benar-benar dihilangkan. Untuk mengurangi waktu yang diperlukan untuk
tindak lanjut, auditor harus berusaha untuk:
1. Menindaklanjuti sebanyak mungkin selama audit itu sendiri
2. Meninjau tanggapan tertulis sebelum penelaahan
3. Meninjau hanya dokumentasi tindakan korektif untuk temuan yang kurang
kritis
4. Menghindari pelaksanaan pekerjaan audit sama sekali pada item minor
5. Batasi pengujian tindak lanjut hanya untuk masalah yang dicatat Tidak
perlu tindak lanjut dilakukan oleh auditor asli atau tim audit.
Dalam beberapa kasus berisiko rendah, yang mungkin diperlukan hanyalah konfirmasi dari
manajemen bahwa tindakan yang disepakati telah diambil. Dalam kasus lain, komite audit
sendiri dapat meminta jaminan dari manajemen bahwa