Chapter 2 - Proses Audit TI (1)
Chapter 2 - Proses Audit TI (1)
SI2112 – Informasi
Kontrol Sistem dan
Audit
03 – Proses Audit TI
Machine Translated by Google
Ringkasan
Tujuan
1. Jelaskan apa yang dimaksud dengan dunia audit, dan ilustrasikan contohnya.
3. Jelaskan apa yang dimaksud dengan penilaian risiko dan signifikansinya terhadap
fungsi audit. Ilustrasikan contoh penilaian risiko mengikuti metodologi Institut
Standar dan Teknologi Nasional.
Isi
• Audit Alam Semesta
•COBIT
•Tugas beresiko
•Rencana Audit
•Proses Audit
Audit Semesta
• Salah satu praktik terbaik untuk fungsi audit adalah dengan memiliki
semesta audit.
• Dunia audit adalah inventarisasi seluruh area audit potensial dalam suatu
organisasi.
• Area audit fungsional dasar dalam suatu organisasi mencakup penjualan,
pemasaran, layanan pelanggan, operasi, penelitian dan pengembangan,
keuangan, sumber daya manusia, teknologi informasi, dan hukum.
COBIT
• COBIT adalah serangkaian praktik TI atau tujuan pengendalian yang
diterima secara umum dan internasional yang membantu karyawan,
manajer, eksekutif, dan auditor dalam: memahami sistem TI, melaksanakan
tanggung jawab fidusia, dan menentukan tingkat keamanan dan
pengendalian yang memadai. •
COBIT mendukung kebutuhan untuk meneliti, mengembangkan,
mempublikasikan, dan mempromosikan tujuan pengendalian TI terkini
yang diterima secara internasional. • Penekanan utama kerangka COBIT
yang dikeluarkan oleh Yayasan Audit dan Pengendalian Sistem Informasi
pada tahun 1996 adalah untuk memastikan bahwa teknologi menyediakan
informasi yang relevan, tepat waktu, dan berkualitas bagi bisnis untuk tujuan pen
• Manfaat kerangka standar pengendalian TI, seperti COBIT, adalah
memungkinkan manajemen untuk mengukur lingkungannya dan
membandingkannya dengan organisasi lain.
Machine Translated by Google
Lanjutan COBIT.
• Auditor TI juga dapat menggunakan COBIT untuk mendukung internal mereka
penilaian dan opini pengendalian.
• Karena kerangka kerja ini komprehensif, maka kerangka ini memberikan
jaminan bahwa keamanan dan
pengendalian TI ada. • Kerangka kerja COBIT 5 berguna untuk semua jenis
organisasi, termasuk organisasi komersial, nirlaba, atau sektor
publik. • Kerangka kerja yang komprehensif memberikan serangkaian tujuan
pengendalian yang tidak hanya membantu profesional manajemen dan tata
kelola TI dalam mengelola operasi TI mereka, namun juga membantu auditor
TI dalam upaya mereka untuk memeriksa tujuan tersebut.
• Proses COBIT dapat disesuaikan dengan lingkungan organisasi . Auditor TI
dapat membantu manajemen audit mengidentifikasi aplikasi yang terkait
dengan proses bisnis dan keuangan yang penting, serta pengendalian yang
diperlukan untuk membuat area yang diaudit bebas dari paparan risiko yang
signifikan.
Machine Translated by Google
COBIT 5
• COBIT 5 membantu organisasi menciptakan nilai optimal dari TI dengan menjaga
keseimbangan antara mewujudkan manfaat dan mengoptimalkan tingkat risiko
dan penggunaan sumber daya.
• COBIT 5 didasarkan pada lima prinsip (lihat Gambar 3.2). COBIT 5
mempertimbangkan kebutuhan TI pemangku kepentingan internal dan eksternal
(Prinsip 1), sekaligus mencakup tata kelola organisasi dan manajemen informasi
dan teknologi terkait (Prinsip 2).
COBIT 5 lanjutan.
Tugas beresiko
• Penilaian risiko dianggap sebagai landasan fungsi audit karena membantu dalam
mengembangkan proses perencanaan audit individu.
• memberikan kerangka kerja untuk mengalokasikan sumber daya audit untuk mencapai
manfaat maksimal.
Machine Translated by Google
Rencana Audit
• Untuk mengalokasikan sumber daya audit secara efektif, departemen audit internal
harus memperoleh pemahaman komprehensif tentang lingkup audit dan risiko yang
terkait dengan setiap item di dalamnya.
• Selama fase perencanaan audit, manajer audit TI harus bertemu dengan chief
information officer (CIO) dan anggota senior manajemen TI untuk mendapatkan
masukan dan persetujuan mereka dengan penilaian risiko proses TI di dunia audit.
• Jika ada komite pengarah TI, maka dunia audit harus melakukannya
ditinjau dengan itu juga.
• Hal ini juga merupakan kesempatan untuk diskusi terbuka mengenai persepsi
manajemen TI terhadap area risiko, perubahan signifikan pada area yang ditinjau,
dan identifikasi kontak yang sesuai di bidang TI.
• Minimal, rencana audit TI, setelah mengumpulkan pemahaman komprehensif tentang lingkup audit dan
risiko yang terkait dengan masing-masing bidang audit, harus: 1. Membuat daftar tujuan audit dan
menjelaskan konteksnya 2. Mengembangkan jadwal audit 3. Membuat jadwal
audit anggaran audit dan tentukan ruang lingkup 4. Buat daftar anggota tim
audit, jelaskan tugas audit, tentukan
tenggat waktu
Machine Translated by Google
• Tujuan adalah apa yang ingin dicapai. Konteksnya adalah lingkungan di mana
pekerjaan akan dilakukan. • Misalnya, jika auditor TI mempunyai
Penilaian Pengendalian Umum, tujuan audit mungkin adalah untuk memverifikasi
bahwa semua pengendalian seputar aplikasi keuangan dan terkait dengan
pusat data, operasi sistem informasi, keamanan informasi, dan manajemen
pengendalian perubahan sudah memadai. • Oleh karena itu, auditor TI perlu
memverifikasi pengendalian karena auditor keuangan mengandalkan
sistem komputer keuangan untuk menyediakan informasi keuangan yang benar.
• Konteksnya adalah dimana keterampilan analitis auditor yang sesungguhnya
berperan.
Machine Translated by Google
• Untuk aplikasi yang digunakan untuk mendukung proses bisnis yang signifikan, auditor
harus menentukan kecanggihan dan cakupan penggunaannya. • Studi pendahuluan
ini cukup mendalam bagi auditor untuk mengevaluasi kompleksitas dan kecanggihan
aplikasi dan menentukan prosedur yang harus diikuti dalam mengevaluasi pengendalian
internalnya.
Jadwal Audit
• Departemen audit internal membuat jadwal audit tahunan untuk mendapatkan persetujuan
dari dewan mengenai area audit, mengomunikasikan area audit dengan departemen
fungsional, dan membuat rencana proyek/sumber daya untuk tahun tersebut.
• Jadwal audit harus dikaitkan dengan tujuan dan risiko bisnis saat ini berdasarkan biaya
relatifnya dalam hal potensi hilangnya niat baik, hilangnya pendapatan, atau ketidakpatuhan
terhadap undang-undang dan peraturan.
• Ruang lingkup audit mendefinisikan area (misalnya, aplikasi keuangan yang relevan,
database, sistem operasi, jaringan, dll.) yang akan ditinjau. • Ruang lingkup harus
menyatakan lebih lanjut
bidang pengendalian umum, tujuan pengendalian, dan kegiatan pengendalian yang akan
ditinjau.
Machine Translated by Google
• PPD cenderung mengandalkan tinjauan rinci yang dilakukan oleh manajer atau
manajer senior, dan juga memastikan tujuan audit secara keseluruhan telah
tercapai.
Machine Translated by Google
Proses Audit
Machine Translated by Google
Tinjauan Awal
• Dalam fase ini, auditor harus memperoleh dan meninjau informasi tingkat
ringkasan dan mengevaluasinya dalam kaitannya dengan tujuan audit.
• Tujuan dari fase tinjauan awal penugasan audit TI adalah untuk mengumpulkan
pemahaman tentang lingkungan TI, termasuk pengendalian yang ada yang
penting untuk memenuhi tujuan audit secara keseluruhan.
• Auditor TI melakukan tinjauan awal ini pada tingkat umum, tanpa memeriksa
rincian masing-masing aplikasi dan proses yang terlibat.
Kontrol Tes
• Auditor TI melaksanakan beberapa prosedur untuk menguji pengendalian,
proses, dan paparan nyata.
• Prosedur audit ini dapat mencakup pemeriksaan bukti dokumenter, serta
melakukan wawancara yang menguatkan, inspeksi, dan observasi pribadi.
• Wawancara yang menguatkan juga merupakan bagian dari proses pengujian, dan dapat
mencakup prosedur seperti: • Mengajukan
pertanyaan yang sama kepada personel yang berbeda dan membandingkan kinerja mereka.
jawaban
• Mengajukan pertanyaan yang sama dengan cara yang berbeda pada waktu
yang berbeda. • Membandingkan jawaban terhadap dokumentasi pendukung, kertas
kerja, program, tes, atau hasil lain yang dapat diverifikasi
• Membandingkan jawaban observasi dan hasil sistem sebenarnya
Machine Translated by Google
Pengujian Substantif
• Jika pengendalian dianggap tidak efektif, pengujian substantif
mungkin diperlukan untuk menentukan apakah terdapat masalah
material dengan informasi keuangan yang dihasilkan. •
Dalam audit TI, pengujian substantif digunakan untuk menentukan
keakuratan dan kelengkapan informasi yang dihasilkan oleh suatu
proses atau aplikasi.
• Bertentangan dengan pengujian kepatuhan yang tujuan auditornya
adalah memastikan apakah organisasi mematuhi kebijakan, prosedur,
peraturan, dan regulasi yang berlaku.
• Contoh prosedur uji kepatuhan adalah memverifikasi bahwa
perubahan atau peningkatan dalam aplikasi keuangan telah diuji,
disetujui, dan didokumentasikan secara memadai sebelum
penerapannya .
Machine Translated by Google
Hasil Dokumen
• Tahap audit berikutnya mencakup pendokumentasian hasil
pekerjaan yang dilakukan, serta pelaporan temuannya.
• Hasil audit harus mencakup uraian temuan audit,
kesimpulan dan rekomendasi.
Machine Translated by Google
Temuan Audit
• Istilah temuan, pengecualian, kekurangan, penyimpangan, masalah,
dan masalah pada dasarnya sama dalam dunia audit, dan berarti
auditor mengidentifikasi situasi di mana pengendalian, prosedur,
atau efisiensi dapat ditingkatkan.
• Temuan mengidentifikasi dan menjelaskan subjek audit yang tidak
akurat, tidak efisien, atau tidak cukup terkontrol.
• Contoh temuan audit TI adalah perubahan yang diterapkan pada
aplikasi keuangan yang tidak menyertakan otorisasi manajemen
yang tepat.
• Contoh lain termasuk auditor TI yang menemukan bahwa manual
prosedur organisasi tidak memerlukan izin manajemen sebelum
menerapkan perubahan ke dalam aplikasi.
Machine Translated by Google
• Kertas kerja yang lengkap, terorganisir dengan baik, memiliki referensi silang, dan
dapat dibaca sangat penting untuk mendukung temuan, kesimpulan, dan rekomendasi
sebagaimana tercantum dalam Laporan Audit.
• Rekomendasi harus diberikan oleh auditor untuk setiap temuan audit agar laporan
tersebut berguna bagi manajemen.
Machine Translated by Google
Komunikasi
• Nilai suatu audit sebagian besar bergantung pada seberapa efisien dan
efektif hasilnya dikomunikasikan.
• Pada akhir pengujian audit, yang terbaik adalah mendiskusikan temuan
yang teridentifikasi dengan manajemen TI untuk mendapatkan
persetujuan mereka dan memulai tindakan perbaikan yang diperlukan.
Machine Translated by Google
Machine Translated by Google
• Prosedur ini juga harus menentukan komputer dan peralatan periferal yang
diperlukan untuk mendukung semua fungsi secara ekonomis dan tepat waktu. •
Karena sistem perusahaan menjadi
sangat penting bagi bisnis skala menengah dan besar saat ini, kebutuhan untuk
memantau dan memvalidasi integritas operasional sistem perencanaan sumber
daya perusahaan merupakan proses yang penting. • Audit TI memainkan peran
penting dalam memelihara, memvalidasi,
dan memantau arsitektur perusahaan.
Machine Translated by Google
Pengembangan Sistem
Ikhtisar Pelajaran
• Bab ini membahas proses audit TI dan tuntutan yang akan dihadapi profesi ini di
masa depan. • Auditor TI harus mempersiapkan diri dan
memasuki dunia yang benar-benar bergantung pada sistem komputer yang besar dan
sangat terintegrasi.
• Sistem ini dapat dicirikan oleh penggunaan teknologi baru seperti pemrosesan
terdistribusi, jaringan area lokal, klien/server, Internet/intranet, teknologi mikro,
firmware, transmisi satelit, dan lain-lain.
• Auditor TI saat ini dihadapkan pada banyak kekhawatiran mengenai paparan sistem
informasi komputer terhadap berbagai risiko. • Dari permasalahan ini timbullah tujuan
dari proses audit dan
fungsi.
Ringkasan
Ringkasan
Tanya Jawab