Studi Kasus 1

Backup database
Jenis-Jenis Kesalahan dan Penipuan (Indikasi Risiko Atas Proses Yang Sedang Audit)
Data pada database tidak dibackup dengan lengkap
Backup tidak dilakukan secara berkala.
sesuai dengan waktu transaksi harian
Prosedur Pengendalian
Dilakukan kontrol dan pengawasan data backup pada
seluruh server database setiap hari dan memastikan Penyimpanan backup di tempat yang aman
database dibackup secara lengkap baik transaksi dan terenkripsi.
harian, mingguan, bulanan dan tahunan
Prosedur Audit : Tinjauan atas Sistem
Auditor akan melakukan pengecekkan data backup
dan melakukan crosscheck dengan data real transaksi Auditor melakukan cek prosedur backup
pada server database apakah ada kesesuaian atau database yang ada di perusahaan
tidak
Prosedur Audit : Uji Pengendalian
Auditor melakukan wawancara dengan admin backup
di Divisi IT untuk mengetahui kesesuaian proses Memeriksa log akses backup untuk
pelaksanaan backup database dengan prosedur yang memastikan hanya orang yang berwenang
berlaku dan tindakan pengawasan serta kontrol atas yang memiliki akses.
proses backup database yang telah dilakukan
Pengendalian Pengimbang : Pengujian Tambahan Yang Perlu Dilakukan oleh Auditor
Auditor melakukan uji data transaksi pada DRC
(Data Recovery Center) untuk melihat apakah data
sepenuhnya dibackup dengan real time / Melakukan rekonstruksi data dari backup
komprehensif atas ada indikasi resiko data transaksi jika terjadi kerusakan.
yang tidak dibackup dari real server database aplikasi
ke DRC
Penambahan data user access
Jenis-Jenis Kesalahan dan Penipuan (Indikasi Risiko Atas Proses Yang Sedang Audit)
Data user access tidak dihapus ketika
Penambahan data user access tidak dilakukan sesuai
karyawan sudah tidak lagi bekerja di
dengan prosedur yang telah ditetapkan
perusahaan
Prosedur Pengendalian
Dilakukan monitoring terhadap data
Dilakukan kontrol dan pengawasan terhadap proses user access secara berkala dan
penambahan data user access, termasuk verifikasi dan dilakukan penghapusan data user
otorisasi oleh pihak yang berwenang access ketika karyawan sudah tidak
lagi bekerja di perusahaan
Prosedur Audit : Tinjauan atas Sistem
Auditor akan melakukan pengecekan terhadap prosedur Auditor akan melakukan pengecekan
penambahan data user access dan memastikan prosedur terhadap proses monitoring dan
tersebut telah sesuai dengan peraturan yang berlaku penghapusan data user access
Prosedur Audit : Uji Pengendalian
Auditor melakukan pemeriksaan log
Auditor melakukan wawancara dengan pihak yang
akses user untuk memastikan data
berwenang untuk mengetahui proses penambahan data user
user access yang sudah tidak aktif
access, termasuk verifikasi dan otorisasi yang dilakukan
telah dihapus
Pengendalian Pengimbang : Pengujian Tambahan Yang Perlu Dilakukan oleh Auditor
Melakukan simulasi akses user untuk
Auditor melakukan uji petik terhadap data user access
memastikan tidak ada user access
untuk memastikan data tersebut telah sesuai dengan
yang tidak sah yang masih dapat
kebutuhan dan tidak ada data yang tidak sah
digunakan
Perbaikan data dalam database
Jenis-Jenis Kesalahan dan Penipuan (Indikasi Risiko Atas Proses Yang Sedang Audit)
Perbaikan data dalam database tidak dilakukan sesuai Data yang diperbaiki tidak
dengan prosedur yang telah ditetapkan didokumentasikan dengan baik
Prosedur Pengendalian
Dilakukan dokumentasi terhadap
Dilakukan kontrol dan pengawasan terhadap proses setiap perubahan data dalam
perbaikan data dalam database, termasuk verifikasi dan database, termasuk alasan
otorisasi oleh pihak yang berwenang perubahan dan pihak yang
melakukan perubahan
Prosedur Audit : Tinjauan atas Sistem
Auditor akan melakukan pengecekan terhadap prosedur Auditor akan melakukan
perbaikan data dalam database dan memastikan prosedur pengecekan terhadap dokumentasi
tersebut telah sesuai dengan peraturan yang berlaku perubahan data dalam database
Prosedur Audit : Uji Pengendalian
Auditor melakukan pemeriksaan
Auditor melakukan wawancara dengan pihak yang log perubahan data untuk
berwenang untuk mengetahui proses perbaikan data dalam memastikan setiap perubahan data
database, termasuk verifikasi dan otorisasi yang dilakukan telah didokumentasikan dengan
baik.
Pengendalian Pengimbang : Pengujian Tambahan Yang Perlu Dilakukan oleh Auditor
Auditor melakukan uji petik terhadap data yang telah
Melakukan rekonstruksi data dari
diperbaiki untuk memastikan data tersebut telah sesuai
backup jika terjadi perubahan data
dengan kenyataan dan tidak ada perubahan data yang tidak
yang tidak sah
sah
Pembuatan New Core System
Jenis-Jenis Kesalahan dan Penipuan (Indikasi Risiko Atas Proses Yang Sedang Audit)
Pembuatan new core system tidak dilakukan sesuai New core system tidak diuji dengan baik
dengan prosedur yang telah ditetapkan sebelum diimplementasikan
Prosedur Pengendalian
Dilakukan pengujian new core system
Dilakukan kontrol dan pengawasan terhadap proses
secara menyeluruh sebelum
pembuatan new core system, termasuk review dan
diimplementasikan, termasuk pengujian
persetujuan oleh pihak yang berwenang
unit, integrasi, dan sistem
Prosedur Audit : Tinjauan atas Sistem
Auditor akan melakukan pengecekan
Auditor akan melakukan pengecekan terhadap
terhadap rencana pengujian new core
prosedur pembuatan new core system dan
system dan memastikan rencana pengujian
memastikan prosedur tersebut telah sesuai dengan
tersebut telah sesuai dengan standar yang
peraturan yang berlaku
berlaku
Prosedur Audit : Uji Pengendalian
Auditor melakukan wawancara dengan tim project Auditor melakukan observasi terhadap
new core system untuk mengetahui proses pembuatan proses pengujian new core system untuk
new core system, termasuk review dan persetujuan memastikan pengujian dilakukan dengan
yang dilakukan benar dan komprehensif
Pengendalian Pengimbang : Pengujian Tambahan Yang Perlu Dilakukan oleh Auditor
Melakukan pemantauan kinerja new core
Auditor melakukan uji coba new core system untuk
system setelah diimplementasikan untuk
memastikan new core system telah sesuai dengan
memastikan new core system berjalan
kebutuhan dan tidak ada bug atau error yang
dengan baik dan tidak ada masalah yang
signifikan
signifikan
Studi Kasus 2

Identifikasi Pertanyaan Perkiraan Jawaban Auditee

"Ya, kami memiliki prosedur yang terdokumentasi

"Apakah perusahaan
Pengendalian memiliki prosedur untuk
Data Sumber memastikan keakuratan dan
keandalan data sumber?"
untuk mengendalikan data sumber. Prosedur ini
meliputi penomoran dokumen sumber secara
berurutan, verifikasi kelengkapan dan keakuratan
data, serta otorisasi data oleh personel yang
berwenang."

"Bisakah Anda menjelaskan

lebih detail tentang "Prosedur pengendalian data sumber kami diterapkan
Prosedur
bagaimana prosedur pada setiap tahap proses input data. Berikut adalah
Pengendalian
pengendalian data sumber beberapa contohnya:
diterapkan?"

Identifikasi Bukti Audit Penilaian Audit

- Apakah prosedur pengendalian data

- Dokumentasi prosedur pengendalian
sumber terdokumentasi dengan baik? -
Pengendalian data sumber. - Wawancara dengan
Apakah personel yang bertanggung
Data Sumber personel yang bertanggung jawab atas
jawab memahami dan mengikuti
pengendalian data sumber.
prosedur?

- Observasi penerapan prosedur - Apakah prosedur pengendalian data

Prosedur pengendalian data sumber. - Pengujian sumber diterapkan secara efektif? -
Pengendalian sampel data sumber untuk memastikan Apakah data sumber lengkap, akurat,
kelengkapan, keakuratan, dan otorisasi. dan diotorisasi dengan benar?

Jenis-Jenis - Analisis data sumber untuk

- Apakah terdapat potensi kesalahan dan
Kesalahan dan mengidentifikasi potensi kesalahan dan
penipuan dalam data sumber?
Penipuan penipuan.

- Dokumentasi pengendalian - Apakah pengendalian pengimbang

Pengendalian pengimbang. - Wawancara dengan terdokumentasi dengan baik? - Apakah
Pengimbang personel yang bertanggung jawab atas personel yang bertanggung jawab
pengendalian pengimbang. memahami dan mengikuti prosedur?
 Identifikasi Kesimpulan Saran Audit

Prosedur pengendalian
- Perkuat kontrol akses terhadap data sumber. -
Pengendalian data sumber telah
Lakukan pelatihan berkala bagi personel yang
Data Sumber terdokumentasi dan
bertanggung jawab atas pengendalian data sumber.
diterapkan.

- Lakukan review dan update prosedur pengendalian

Prosedur pengendalian
Prosedur data sumber secara berkala. - Pertimbangkan
data sumber umumnya
Pengendalian penggunaan teknologi untuk meningkatkan efisiensi
diterapkan secara efektif.
dan efektivitas pengendalian data sumber.

- Lakukan analisis data sumber secara berkala untuk

Jenis-Jenis Terdapat potensi kesalahan
mendeteksi potensi kesalahan dan penipuan. -
Kesalahan dan dan penipuan dalam data
Implementasikan program edukasi anti-fraud kepada
Penipuan sumber.
seluruh karyawan.

- Lakukan review dan update dokumentasi

Pengendalian pengimbang
Pengendalian pengendalian pengimbang secara berkala. - Perkuat
telah terdokumentasi dan
Pengimbang koordinasi antar bagian yang bertanggung jawab atas
diterapkan.
pengendalian pengimbang.
STUDI KASUS 3

1. Aktivitas-aktivitas pada tahap survei pendahuluan

Tahap survei pendahuluan merupakan tahap awal dalam proses audit sistem informasi. Pada
tahap ini, auditor melakukan beberapa aktivitas untuk mendapatkan pemahaman awal tentang
entitas yang diaudit, lingkungan sistem informasi, dan risiko-risiko yang terkait. Aktivitas-
aktivitas yang perlu dilakukan pada tahap survei pendahuluan adalah sebagai berikut:

 Memperoleh pemahaman tentang entitas yang diaudit. Aktivitas ini meliputi

mempelajari sejarah dan struktur organisasi entitas, memahami kegiatan usaha utama
entitas, dan mengidentifikasi sistem informasi yang digunakan oleh entitas.

 Memahami lingkungan sistem informasi. Aktivitas ini meliputi mempelajari

infrastruktur teknologi informasi entitas, memahami arsitektur sistem informasi
entitas, dan mengidentifikasi sistem aplikasi utama yang digunakan oleh entitas.

 Mengidentifikasi risiko-risiko yang terkait dengan sistem informasi. Aktivitas ini

meliputi mempelajari risiko-risiko yang terkait dengan entitas secara keseluruhan,
mengidentifikasi risiko-risiko yang terkait dengan sistem informasi entitas, dan
menilai kemungkinan dan dampak dari risiko-risiko tersebut.

 Menentukan tujuan dan ruang lingkup audit. Aktivitas ini meliputi menentukan
tujuan audit, menentukan ruang lingkup audit, dan mengembangkan rencana audit.

2. Risiko-risiko yang dapat dihadapi perusahaan dalam pengelolaan Teknologi

Informasi Komunikasi di suatu operasional perusahaan

Perusahaan dapat menghadapi berbagai risiko dalam pengelolaan Teknologi Informasi

Komunikasi (TIK) di suatu operasional perusahaan. Risiko-risiko tersebut dapat
diklasifikasikan menjadi beberapa kategori, yaitu:

 Risiko operasional. Risiko operasional adalah risiko yang terkait dengan kegagalan
sistem informasi atau proses bisnis yang didukung oleh sistem informasi. Risiko
operasional dapat disebabkan oleh berbagai faktor, seperti kesalahan manusia,
kegagalan perangkat keras atau perangkat lunak, bencana alam, dan serangan siber.

 Risiko kepatuhan. Risiko kepatuhan adalah risiko yang terkait dengan kegagalan
perusahaan untuk mematuhi peraturan dan perundang-undangan yang berlaku. Risiko
 kepatuhan dapat disebabkan oleh berbagai faktor, seperti perubahan peraturan,
kegagalan untuk menerapkan kontrol yang tepat, dan pelanggaran data.

 Risiko keuangan. Risiko keuangan adalah risiko yang terkait dengan kerugian
finansial yang dapat terjadi akibat kegagalan sistem informasi atau proses bisnis yang
didukung oleh sistem informasi. Risiko keuangan dapat disebabkan oleh berbagai
faktor, seperti kehilangan data, penipuan, dan gangguan bisnis.

 Risiko reputasi. Risiko reputasi adalah risiko yang terkait dengan kerusakan reputasi
perusahaan akibat kegagalan sistem informasi atau proses bisnis yang didukung oleh
sistem informasi. Risiko reputasi dapat disebabkan oleh berbagai faktor, seperti
kebocoran data, pelanggaran privasi, dan gangguan layanan.

3. Informasi yang perlu disampaikan pada suatu laporan audit sistem informasi

Laporan audit sistem informasi adalah dokumen yang berisi temuan-temuan audit dan
rekomendasi untuk perbaikan. Laporan audit sistem informasi harus disusun dengan jelas,
ringkas, dan informatif. Informasi yang perlu disampaikan pada suatu laporan audit sistem
informasi adalah sebagai berikut:

 Identitas entitas yang diaudit. Identitas entitas yang diaudit meliputi nama entitas,
alamat entitas, dan informasi kontak entitas.

 Tujuan dan ruang lingkup audit. Tujuan dan ruang lingkup audit meliputi tujuan
audit, ruang lingkup audit, dan metode audit yang digunakan.

 Temuan-temuan audit. Temuan-temuan audit harus dijelaskan secara jelas dan

ringkas. Setiap temuan audit harus diidentifikasi dengan jelas dan harus dijelaskan
dampak dari temuan audit tersebut.

 Rekomendasi untuk perbaikan. Rekomendasi untuk perbaikan harus spesifik, dapat

diukur, dapat dicapai, relevan, dan berjangka waktu (SMART). Rekomendasi untuk
perbaikan harus menjelaskan bagaimana temuan audit dapat diatasi dan harus
memberikan saran untuk mencegah terjadinya temuan audit yang sama di masa depan.

 Kesimpulan. Kesimpulan harus meringkas temuan-temuan audit dan rekomendasi

untuk perbaikan. Kesimpulan juga harus menjelaskan dampak dari temuan audit dan
rekomendasi untuk perbaikan tersebut terhadap entitas yang diaudit.