Chapter 2 - Proses Audit TI (1)

Machine Translated by Google
SI2112 – Informasi
Kontrol Sistem dan
Audit
03 – Proses Audit TI
Ringkasan
•Bab 3 membahas proses audit TI dan tuntutan yang akan

dihadapi profesi ini di masa depan.
•Bab ini mencakup penilaian risiko, perencanaan audit, tahapan

yang diperlukan dalam penugasan audit TI, dan pentingnya
dokumentasi audit TI ketika mendukung audit laporan keuangan.
Tujuan
1. Jelaskan apa yang dimaksud dengan dunia audit, dan ilustrasikan contohnya.
2. Menentukan tujuan pengendalian informasi dan teknologi terkait dan menjelaskan

mengapa hal tersebut berguna bagi organisasi dan auditor.
3. Jelaskan apa yang dimaksud dengan penilaian risiko dan signifikansinya terhadap
fungsi audit. Ilustrasikan contoh penilaian risiko mengikuti metodologi Institut
Standar dan Teknologi Nasional.
4. Menjelaskan rencana audit dan komponen-komponennya. Ilustrasikan contoh

dokumentasi audit TI yang mendukung audit laporan keuangan.
5. Tentukan proses audit dan jelaskan tahapan penugasan audit

TI.
6. Diskusikan jenis audit lain yang dilakukan di bidang TI.
Isi
• Audit Alam Semesta
•COBIT
•Tugas beresiko
•Rencana Audit
•Proses Audit
•Jenis Audit TI Lainnya

Audit Semesta
• Salah satu praktik terbaik untuk fungsi audit adalah dengan memiliki
semesta audit.
• Dunia audit adalah inventarisasi seluruh area audit potensial dalam suatu
organisasi.
• Area audit fungsional dasar dalam suatu organisasi mencakup penjualan,
pemasaran, layanan pelanggan, operasi, penelitian dan pengembangan,
keuangan, sumber daya manusia, teknologi informasi, dan hukum.
• Dunia audit mendokumentasikan proses bisnis utama dan risiko suatu

organisasi. • Mendokumentasikan
proses dan, khususnya, risiko telah terbukti menjadi praktik terbaik bagi
organisasi.
Audit Universe lanjutan.

• Dunia audit mencakup area audit fungsional dasar, tujuan organisasi, proses
bisnis utama yang mendukung tujuan organisasi tersebut, tujuan audit spesifik,
risiko tidak tercapainya tujuan tersebut, dan pengendalian yang memitigasi risiko.
• Mengikat dunia audit dengan tujuan organisasi menghubungkan seluruh proses

audit dengan tujuan dan risiko bisnis, sehingga memudahkan untuk
mengomunikasikan dampak defisiensi pengendalian. • Dunia audit
merupakan suatu proses yang berkelanjutan; ketika suatu organisasi berubah,
risiko-risiko baru muncul atau risiko-risiko yang ada berubah, dan peraturan-
peraturan baru diperkenalkan. •
Audit TI, misalnya, memiliki proses TI khusus untuk dimasukkan ke dalam lingkup
audit.
• Tujuan Pengendalian untuk Informasi dan Teknologi Terkait (COBIT) menyediakan

daftar lengkap proses TI penting, yang dapat digunakan sebagai titik awal.
• Gambar 3.1 menunjukkan contoh dunia audit yang berkaitan dengan

bidang TI suatu organisasi.
COBIT
• COBIT adalah serangkaian praktik TI atau tujuan pengendalian yang
diterima secara umum dan internasional yang membantu karyawan,
manajer, eksekutif, dan auditor dalam: memahami sistem TI, melaksanakan
tanggung jawab fidusia, dan menentukan tingkat keamanan dan
pengendalian yang memadai. •
COBIT mendukung kebutuhan untuk meneliti, mengembangkan,
mempublikasikan, dan mempromosikan tujuan pengendalian TI terkini
yang diterima secara internasional. • Penekanan utama kerangka COBIT
yang dikeluarkan oleh Yayasan Audit dan Pengendalian Sistem Informasi
pada tahun 1996 adalah untuk memastikan bahwa teknologi menyediakan
informasi yang relevan, tepat waktu, dan berkualitas bagi bisnis untuk tujuan pen
• Manfaat kerangka standar pengendalian TI, seperti COBIT, adalah
memungkinkan manajemen untuk mengukur lingkungannya dan
membandingkannya dengan organisasi lain.
Lanjutan COBIT.
• Auditor TI juga dapat menggunakan COBIT untuk mendukung internal mereka
penilaian dan opini pengendalian.
• Karena kerangka kerja ini komprehensif, maka kerangka ini memberikan
jaminan bahwa keamanan dan
pengendalian TI ada. • Kerangka kerja COBIT 5 berguna untuk semua jenis
organisasi, termasuk organisasi komersial, nirlaba, atau sektor
publik. • Kerangka kerja yang komprehensif memberikan serangkaian tujuan
pengendalian yang tidak hanya membantu profesional manajemen dan tata
kelola TI dalam mengelola operasi TI mereka, namun juga membantu auditor
TI dalam upaya mereka untuk memeriksa tujuan tersebut.
• Proses COBIT dapat disesuaikan dengan lingkungan organisasi . Auditor TI
dapat membantu manajemen audit mengidentifikasi aplikasi yang terkait
dengan proses bisnis dan keuangan yang penting, serta pengendalian yang
diperlukan untuk membuat area yang diaudit bebas dari paparan risiko yang
signifikan.
COBIT 5
• COBIT 5 membantu organisasi menciptakan nilai optimal dari TI dengan menjaga
keseimbangan antara mewujudkan manfaat dan mengoptimalkan tingkat risiko
dan penggunaan sumber daya.
• COBIT 5 didasarkan pada lima prinsip (lihat Gambar 3.2). COBIT 5
mempertimbangkan kebutuhan TI pemangku kepentingan internal dan eksternal
(Prinsip 1), sekaligus mencakup tata kelola organisasi dan manajemen informasi
dan teknologi terkait (Prinsip 2).
• COBIT 5 menyediakan kerangka kerja terintegrasi yang dapat diselaraskan dan

diintegrasikan dengan mudah dengan kerangka kerja lain (misalnya, Committee of
Sponsoring Organizations of the Treadway Commission-Enterprise Risk
Management (COSOERM), dll.), standar, dan praktik terbaik yang digunakan
(Prinsip 3).
COBIT 5 memungkinkan TI diatur dan dikelola secara holistik untuk seluruh

organisasi (Prinsip 4) melalui: a. Menetapkan prinsip,
kebijakan, dan pedoman praktis untuk pengelolaan sehari-hari. B. Menerapkan
proses untuk
mencapai tujuan terkait TI secara keseluruhan dan
tujuan.
C. Menerapkan struktur organisasi dengan kemampuan pengambilan keputusan
utama.
D. Mempromosikan budaya, etika, dan perilaku yang baik dalam organisasi.
e. Menyadari bahwa informasi tersebar luas di seluruh organisasi, dan sering
kali merupakan produk utama organisasi itu sendiri. F. Mempertimbangkan
infrastruktur, teknologi, dan aplikasi yang menyediakan pemrosesan dan layanan
TI bagi organisasi. G. Menyadari bahwa orang, keterampilan, dan
kompetensi diperlukan untuk keberhasilan penyelesaian semua kegiatan dan
pengambilan keputusan yang tepat.
COBIT 5 lanjutan.
• COBIT 5 membantu organisasi dalam memisahkan tata kelola dari tujuan

pengelolaan (Prinsip 5). • Tata kelola dan manajemen dijelaskan di
bawah ini. A. Tata Kelola—mengoptimalkan penggunaan sumber daya
organisasi untuk mengatasi risiko secara efektif.
Tata Kelola memastikan bahwa Dewan Direksi (“dewan”): mengevaluasi

kebutuhan pemangku kepentingan untuk
Saya.
mengidentifikasi tujuan, ii. memandu manajemen dengan

memprioritaskan tujuan, dan iii. memantau kinerja
manajemen secara keseluruhan. B. Manajemen—merencanakan, membangun,
menjalankan, dan memantau aktivitas dan proses yang digunakan oleh
organisasi untuk mencapai tujuan yang ditetapkan oleh dewan.
Tugas beresiko
• Penilaian risiko dianggap sebagai landasan fungsi audit karena membantu dalam
mengembangkan proses perencanaan audit individu.
• Secara khusus, penilaian risiko:

• meningkatkan kualitas, kuantitas, dan aksesibilitas data perencanaan,
seperti bidang risiko, audit dan hasil yang lalu, serta informasi anggaran;
• memeriksa proyek-proyek audit potensial di dunia audit dan memilih proyek-proyek

yang memiliki paparan risiko terbesar untuk dilaksanakan terlebih dahulu; Dan
• memberikan kerangka kerja untuk mengalokasikan sumber daya audit untuk mencapai
manfaat maksimal.
Lanjutan Penilaian Risiko.
• Proses perencanaan penilaian risiko yang efektif memungkinkan audit menjadi

lebih fleksibel dan efisien untuk memenuhi kebutuhan organisasi yang terus
berubah, seperti: • mengidentifikasi
area risiko baru • mengidentifikasi
perubahan pada area risiko yang ada • mengakses
informasi peraturan dan hukum terkini • memanfaatkan
informasi yang dikumpulkan selama proses audit untuk meningkatkan penilaian
risiko
Lanjutan Penilaian Risiko.
• Dalam penilaian risiko TI, misalnya, aplikasi keuangan merupakan

audit/proyek yang umum untuk diberi peringkat. Risikonya dapat
diidentifikasi, dinilai, dan diprioritaskan.
• Pengendalian (pengamanan) juga diidentifikasi untuk diterapkan guna
mengatasi dan memitigasi risiko-
risiko tersebut. • Risiko TI seputar aplikasi keuangan dapat diidentifikasi
melalui:
• Audit, peninjauan, inspeksi
• Membaca diagram alur operasi •
Menggunakan kuesioner analisis
risiko • Menganalisis tren laporan
keuangan • Melengkapi daftar periksa kebijakan asuransi
Rencana Audit
• Fungsi audit harus merumuskan rencana jangka panjang dan tahunan .
• Perencanaan adalah fungsi dasar yang diperlukan untuk menggambarkan

apa yang harus dicapai, termasuk anggaran waktu dan biaya, dan menyatakan
prioritas sesuai dengan tujuan dan kebijakan organisasi.
• Tujuan perencanaan audit adalah untuk mengoptimalkan penggunaan audit
sumber daya.
• Untuk mengalokasikan sumber daya audit secara efektif, departemen audit internal
harus memperoleh pemahaman komprehensif tentang lingkup audit dan risiko yang
terkait dengan setiap item di dalamnya.
• Kegagalan dalam memilih item yang tepat dapat mengakibatkan hilangnya

peluang untuk meningkatkan pengendalian dan efisiensi operasional. •
Departemen audit internal yang mengembangkan dan memelihara file audit
semesta menyediakan kerangka kerja yang kuat untuk perencanaan audit.
Lanjutan Rencana Audit.
• Mengidentifikasi, mengukur, dan mengukur masalah di bidang TI

sulit.
• Selama fase perencanaan audit, manajer audit TI harus bertemu dengan chief
information officer (CIO) dan anggota senior manajemen TI untuk mendapatkan
masukan dan persetujuan mereka dengan penilaian risiko proses TI di dunia audit.
• Jika ada komite pengarah TI, maka dunia audit harus melakukannya
ditinjau dengan itu juga.
• Hal ini akan membantu memastikan keselarasan antara TI, bisnis,

dan audit pada area
risiko utama. • Pertemuan dengan CIO dan manajer TI juga harus
memperkenalkan staf audit dan mengkomunikasikan ruang
lingkup, tujuan, jadwal, anggaran, dan proses komunikasi yang
akan digunakan selama penugasan.
Lanjutan Rencana Audit.
• Hal ini juga merupakan kesempatan untuk diskusi terbuka mengenai persepsi
manajemen TI terhadap area risiko, perubahan signifikan pada area yang ditinjau,
dan identifikasi kontak yang sesuai di bidang TI.
• Minimal, rencana audit TI, setelah mengumpulkan pemahaman komprehensif tentang lingkup audit dan
risiko yang terkait dengan masing-masing bidang audit, harus: 1. Membuat daftar tujuan audit dan
menjelaskan konteksnya 2. Mengembangkan jadwal audit 3. Membuat jadwal
audit anggaran audit dan tentukan ruang lingkup 4. Buat daftar anggota tim
audit, jelaskan tugas audit, tentukan
tenggat waktu
Tujuan dan Konteks

• Tujuan dan konteks pekerjaan merupakan elemen kunci dalam setiap pekerjaan
lingkungan audit dan tidak boleh diabaikan.
• Tujuan adalah apa yang ingin dicapai. Konteksnya adalah lingkungan di mana
pekerjaan akan dilakukan. • Misalnya, jika auditor TI mempunyai
Penilaian Pengendalian Umum, tujuan audit mungkin adalah untuk memverifikasi
bahwa semua pengendalian seputar aplikasi keuangan dan terkait dengan
pusat data, operasi sistem informasi, keamanan informasi, dan manajemen
pengendalian perubahan sudah memadai. • Oleh karena itu, auditor TI perlu
memverifikasi pengendalian karena auditor keuangan mengandalkan
sistem komputer keuangan untuk menyediakan informasi keuangan yang benar.
• Konteksnya adalah dimana keterampilan analitis auditor yang sesungguhnya
berperan.
Tujuan dan Konteks lanjutan.

• Di sini, lingkungan toko pada umumnya selalu berbeda dari satu toko ke toko
lainnya.
• Auditor harus menilai konteks yang dia masuki dan mengambil keputusan
mengenai bagaimana lingkungan harus ditangani (misalnya, perusahaan besar,
perusahaan kecil, staf besar, staf kecil, dll.). • Dengan mendefinisikan tujuan dan
konteks pekerjaan
yang tepat, manajemen dapat memastikan bahwa audit akan memverifikasi
kebenaran fungsi dan pengendalian seluruh area audit utama.
• Tujuan/konteks umum yang ditetapkan untuk audit TI adalah untuk mendukung

audit laporan keuangan.
Audit TI Dilakukan untuk Mendukung

Audit Laporan Keuangan
• Setelah auditor memahami secara umum prosedur akuntansi dan keuangan klien,
bidang kepentingan audit tertentu harus diidentifikasi.
• Auditor harus memutuskan permohonan apa yang harus diajukan

diperiksa pada tingkat yang lebih rinci.
• Untuk aplikasi yang digunakan untuk mendukung proses bisnis yang signifikan, auditor
harus menentukan kecanggihan dan cakupan penggunaannya. • Studi pendahuluan
ini cukup mendalam bagi auditor untuk mengevaluasi kompleksitas dan kecanggihan
aplikasi dan menentukan prosedur yang harus diikuti dalam mengevaluasi pengendalian
internalnya.
• Memahami aplikasi keuangan dan menentukan apakah pengendalian TI diterapkan

untuk mengamankannya secara efektif dan informasi yang dihasilkan mewakili proses
penting yang berkaitan dengan audit laporan keuangan secara keseluruhan.
Jadwal Audit
• Departemen audit internal membuat jadwal audit tahunan untuk mendapatkan persetujuan
dari dewan mengenai area audit, mengomunikasikan area audit dengan departemen
fungsional, dan membuat rencana proyek/sumber daya untuk tahun tersebut.
• Jadwal audit harus dikaitkan dengan tujuan dan risiko bisnis saat ini berdasarkan biaya
relatifnya dalam hal potensi hilangnya niat baik, hilangnya pendapatan, atau ketidakpatuhan
terhadap undang-undang dan peraturan.
• Perencanaan dan penjadwalan merupakan tugas yang berkelanjutan seiring dengan

perubahan risiko, prioritas, sumber daya yang tersedia, dan jadwal.
Anggaran Audit dan Pelingkupan
• Idealnya, anggaran audit harus dibuat setelah audit

jadwal ditentukan.
• Namun, sebagian besar organisasi memiliki anggaran dan sumber daya

kendala.
• Pendekatan alternatif mungkin diperlukan ketika menyusun jadwal audit.
• Ruang lingkup audit mendefinisikan area (misalnya, aplikasi keuangan yang relevan,
database, sistem operasi, jaringan, dll.) yang akan ditinjau. • Ruang lingkup harus
menyatakan lebih lanjut
bidang pengendalian umum, tujuan pengendalian, dan kegiatan pengendalian yang akan
ditinjau.
Tim Audit, Tugas, dan Tenggat Waktu

• Rencana audit harus mencakup bagian yang mencantumkan anggota audit,
jabatan dan jabatan mereka, serta tugas umum yang akan mereka emban.
• Misalnya, audit pada umumnya melibatkan anggota staf, senior,

manajer, atau manajer senior, dan partner, prinsipal, atau direktur
(PPD) yang akan mengawasi keseluruhan audit. • Pada
tingkat staf (biasanya auditor dengan pengalaman kurang dari 3
tahun), sebagian besar pekerjaan lapangan dilakukan, antara lain
termasuk pengumpulan dokumentasi, pertemuan dengan personel,
pembuatan kertas kerja audit. • Auditor
tingkat senior tidak hanya mengawasi pekerjaan staf auditor, namun
juga membimbing mereka dalam melaksanakan pekerjaan (misalnya,
mendampingi staf auditor untuk bertemu dengan pengguna,
membantu staf dalam memilih informasi spesifik apa yang harus
dikumpulkan, bagaimana mendokumentasikan informasi tersebut dalam ke
• Berikutnya adalah manajer atau manajer senior (manajer senior biasanya

dilibatkan sebagai bagian dari audit besar) yang mengawasi pekerjaan audit
yang disiapkan oleh staf dan ditinjau oleh senior. • Manajer melakukan
peninjauan rinci terhadap kertas kerja dan memastikan tujuan audit telah tercapai.
• Manajer sering bertemu dengan klien audit, dan memberi
mereka status audit, temuan awal yang teridentifikasi, jam kerja yang diperlukan
dan waktu yang tersisa untuk diselesaikan, dll. • Manajer juga sering memberikan
status pekerjaan audit kepada PPD
yang ditugaskan, dan mereka melapor secara langsung.
• Terakhir, PPD melakukan peninjauan tingkat tinggi terhadap pekerjaan (seperti

yang dilakukan oleh manajer), dengan fokus pada area berisiko tinggi,
pengendalian yang diterapkan tidak dirancang secara memadai atau tidak
dijalankan secara efektif, temuan yang teridentifikasi dan dampaknya terhadap
audit secara keseluruhan, dll.
• PPD cenderung mengandalkan tinjauan rinci yang dilakukan oleh manajer atau
manajer senior, dan juga memastikan tujuan audit secara keseluruhan telah
tercapai.
• Batas waktu merupakan komponen penting dalam

rencana audit. • Persyaratan tersebut harus ditinjau dan disetujui oleh
organisasi klien sejak awal audit sehingga memenuhi persyaratan
yang ditetapkan oleh pihak ketiga (misalnya bank, lembaga keuangan,
dll.) dan regulator (misalnya pemerintah, organisasi swasta, dll. ).
• Batas waktu harus dipikirkan dengan matang dengan

mempertimbangkan informasi dan sumber daya yang harus tersedia
untuk melaksanakan pekerjaan audit sesuai persyaratan yang ditetapkan.
Proses Audit
Tinjauan Awal
• Dalam fase ini, auditor harus memperoleh dan meninjau informasi tingkat
ringkasan dan mengevaluasinya dalam kaitannya dengan tujuan audit.
• Tujuan dari fase tinjauan awal penugasan audit TI adalah untuk mengumpulkan
pemahaman tentang lingkungan TI, termasuk pengendalian yang ada yang
penting untuk memenuhi tujuan audit secara keseluruhan.
• Auditor TI melakukan tinjauan awal ini pada tingkat umum, tanpa memeriksa
rincian masing-masing aplikasi dan proses yang terlibat.
• Sebaliknya, auditor TI mewawancarai personel kunci untuk menentukan kebijakan

dan praktik, dan menyiapkan informasi audit tambahan jika diperlukan.
• Informasi tinjauan awal berfungsi sebagai dasar untuk

mendukung informasi yang disertakan dalam rencana audit TI.
Informasi Umum tentang TI

Lingkungan
• Lingkungan TI mengacu pada kebijakan, prosedur, dan praktik yang diterapkan oleh
organisasi untuk memprogram, menguji, menyampaikan, memantau, mengendalikan,
dan mendukung infrastruktur TI mereka (misalnya perangkat keras, perangkat lunak,
jaringan, dll.).
• Lingkungan TI juga mencakup aplikasi dan program yang digunakan oleh organisasi
untuk mendukung operasi bisnis penting (yaitu operasi keuangan) dan mencapai
strategi bisnis.
• Auditor TI harus memperoleh pemahaman mendalam tentang lingkungan TI, khususnya
bagaimana organisasi merespons risiko yang timbul dari TI, dan apakah pengendalian
TI yang diterapkan telah dirancang secara memadai dan beroperasi secara efektif
untuk mengatasi risiko tersebut.
• Dari sudut pandang keuangan, pengetahuan tentang lingkungan TI sangat penting
bagi auditor TI untuk memahami bagaimana transaksi keuangan dimulai, diotorisasi,
dicatat, diproses, dan dilaporkan dalam laporan keuangan.
• Untuk sistem aplikasi di mana organisasi menggunakan komputer untuk

memproses data keuangan yang signifikan, auditor TI akan mengumpulkan
sejumlah item bukti tertentu, seperti: • Kebijakan dan
prosedur yang diterapkan organisasi serta infrastruktur TI dan perangkat
lunak aplikasi yang digunakannya untuk mendukung operasional bisnis
dan mencapai strategi bisnis.
• Narasi atau diagram alur ikhtisar aplikasi keuangan, antara lain termasuk
nama server, merek dan model, sistem operasi pendukung, database, dan
lokasi fisik. • Apakah aplikasi keuangan
dikembangkan sendiri, dibeli dengan sedikit atau tanpa penyesuaian, dibeli
dengan penyesuaian signifikan, atau hak milik disediakan oleh organisasi
layanan.
• Apakah organisasi jasa menghosting aplikasi keuangan dan jika ya, aplikasi
apa saja yang ada dan layanan relevan apa yang mereka berikan.
• Pengendalian yang ada mendukung area operasi sistem informasi,

seperti mendukung penjadwalan pekerjaan, data dan pemulihan,
pencadangan, dan penyimpanan di luar lokasi.
• Terdapat pengendalian yang mendukung bidang keamanan informasi,
seperti pengendalian yang mendukung teknik autentikasi (misalnya
kata sandi), prosedur akses atau penghentian baru, penggunaan
firewall dan cara konfigurasinya, keamanan
fisik, dll. • Pengendalian yang mendukung bidang tersebut manajemen
pengendalian perubahan, seperti yang mendukung implementasi
perubahan pada aplikasi, sistem operasi, dan basis data; menguji
apakah akses pemrogram memadai; dll.
Prosedur Audit Desain

• Pada fase ini, auditor TI harus menyiapkan program audit untuk area
yang diaudit, memilih tujuan pengendalian yang berlaku untuk setiap
area, dan mengidentifikasi prosedur atau aktivitas untuk menilai
tujuan tersebut.
• Program audit adalah rencana formal untuk meninjau dan menguji
setiap bidang subjek audit penting yang diungkapkan selama
pengumpulan fakta.
• Auditor harus memilih bidang subjek pengujian yang mempunyai
dampak signifikan terhadap pengendalian aplikasi dan bidang subjek
yang berada dalam ruang lingkup yang ditentukan oleh tujuan
audit. • Area audit TI sangat spesifik untuk jenis auditnya. Untuk TI,
COBIT adalah titik awal yang sangat baik karena mencantumkan
risiko, tujuan, dan kontrol utama per area audit TI.
Mengidentifikasi Aplikasi Keuangan

• Dengan bantuan manajemen, auditor TI harus memutuskan sistem
aplikasi apa yang harus diperiksa pada tingkat yang lebih rinci
(yaitu, pelingkupan).
• Sebagai dasar penyusunan rencana audit, auditor TI juga harus
menentukan, secara umum, berapa lama waktu yang diperlukan,
jenis orang dan keterampilan apa yang diperlukan untuk melakukan
pemeriksaan; dan kira-kira bagaimana jadwalnya.
• Identifikasi aplikasi keuangan dapat dicapai dengan pemahaman
auditor terhadap prosedur dan proses akuntansi organisasi.
• Pentingnya menentukan penerapan keuangan yang signifikan

harus diketahui melalui analisis awal. • Fase peninjauan
awal adalah langkah penting dalam proses audit yang memeriksa
sistem keuangan organisasi dan memberikan dasar bagi auditor
untuk memilih area audit untuk analisis dan evaluasi yang lebih
rinci, baik secara manual maupun terkomputerisasi.
• Auditor yang terlibat dalam peninjauan aplikasi keuangan harus

memusatkan perhatiannya pada aspek pengendalian aplikasi.
• Hal ini memerlukan keterlibatan mereka sejak transaksi dimulai hingga
transaksi tersebut diposting ke buku besar organisasi. • Secara
khusus, auditor harus memastikan bahwa ketentuan telah dibuat untuk:
• Jejak audit yang memadai sehingga transaksi dapat ditelusuri ke depan
dan mundur melalui aplikasi keuangan
• Dokumentasi dan adanya pengendalian atas akuntansi untuk
semua data (misalnya transaksi, dll.) yang dimasukkan ke dalam
aplikasi dan pengendalian untuk memastikan integritas transaksi
tersebut di seluruh segmen aplikasi yang terkomputerisasi.
• Menangani pengecualian dan penolakan dari, aplikasi keuangan
• Pengujian unit dan terpadu, dengan pengendalian yang diterapkan untuk

menentukan apakah aplikasi berfungsi sesuai
yang dinyatakan. • Pengendalian atas perubahan pada aplikasi untuk
menentukan apakah otorisasi yang tepat telah diberikan dan didokumentasikan
• Prosedur otorisasi untuk penggantian sistem aplikasi dan
dokumentasi proses tersebut
• Menentukan apakah kebijakan dan prosedur organisasi dan pemerintah

dipatuhi dalam implementasi sistem
• Melatih personel pengguna dalam pengoperasian aplikasi keuangan
• Menyusun kriteria evaluasi secara rinci sehingga dapat diketahui

apakah aplikasi yang diterapkan telah memenuhi spesifikasi yang
telah ditentukan. • Kontrol
yang memadai antar sistem aplikasi yang saling berhubungan. •
Prosedur keamanan yang memadai untuk melindungi data
pengguna. kelangsungan bisnis • Memastikan teknologi yang disediakan
oleh vendor yang berbeda (misalnya platform
operasional) kompatibel dan terkendali
• Basis data yang dirancang dan dikendalikan secara memadai untuk

memastikan bahwa definisi umum data digunakan di seluruh
organisasi, redundansi dihilangkan atau dikendalikan, dan data yang
ada di beberapa basis data diperbarui secara bersamaan
Kontrol Tes
• Auditor TI melaksanakan beberapa prosedur untuk menguji pengendalian,
proses, dan paparan nyata.
• Prosedur audit ini dapat mencakup pemeriksaan bukti dokumenter, serta
melakukan wawancara yang menguatkan, inspeksi, dan observasi pribadi.
• Bukti dokumenter dapat berupa berbagai bentuk dokumentasi

pada sistem aplikasi yang sedang ditinjau.
Contohnya termasuk catatan dari pertemuan tentang sistem subjek,
catatan pemrogram, dokumentasi sistem, tangkapan layar, panduan
pengguna, dan dokumentasi kontrol perubahan dari perubahan sistem
atau operasi apa pun sejak awal, dan salinan kontrak jika ada pihak
ketiga yang terlibat.
• Pemeriksaan bukti dokumenter tersebut mungkin memerlukan auditor TI
untuk mengajukan pertanyaan kepada pengguna, pengembang, dan
manajer untuk membantunya menetapkan kriteria pengujian yang tepat
untuk digunakan. Ini juga membantu dalam mengidentifikasi aplikasi dan
proses penting yang akan diuji.
Kontrol Tes lanjutan.
• Wawancara yang menguatkan juga merupakan bagian dari proses pengujian, dan dapat
mencakup prosedur seperti: • Mengajukan
pertanyaan yang sama kepada personel yang berbeda dan membandingkan kinerja mereka.
jawaban
• Mengajukan pertanyaan yang sama dengan cara yang berbeda pada waktu
yang berbeda. • Membandingkan jawaban terhadap dokumentasi pendukung, kertas
kerja, program, tes, atau hasil lain yang dapat diverifikasi
• Membandingkan jawaban observasi dan hasil sistem sebenarnya
Pengujian Substantif
• Jika pengendalian dianggap tidak efektif, pengujian substantif
mungkin diperlukan untuk menentukan apakah terdapat masalah
material dengan informasi keuangan yang dihasilkan. •
Dalam audit TI, pengujian substantif digunakan untuk menentukan
keakuratan dan kelengkapan informasi yang dihasilkan oleh suatu
proses atau aplikasi.
• Bertentangan dengan pengujian kepatuhan yang tujuan auditornya
adalah memastikan apakah organisasi mematuhi kebijakan, prosedur,
peraturan, dan regulasi yang berlaku.
• Contoh prosedur uji kepatuhan adalah memverifikasi bahwa
perubahan atau peningkatan dalam aplikasi keuangan telah diuji,
disetujui, dan didokumentasikan secara memadai sebelum
penerapannya .
Pengujian Substantif lanjutan.
• Pengujian audit substantif dirancang dan dilaksanakan untuk

memverifikasi keakuratan fungsional, efisiensi, dan pengendalian
subjek audit.
• Selama audit aplikasi keuangan, misalnya, auditor TI akan
membuat dan memproses data pengujian untuk memverifikasi
langkah pemrosesan aplikasi tersebut.
Hasil Dokumen
• Tahap audit berikutnya mencakup pendokumentasian hasil
pekerjaan yang dilakukan, serta pelaporan temuannya.
• Hasil audit harus mencakup uraian temuan audit,
kesimpulan dan rekomendasi.
Temuan Audit
• Istilah temuan, pengecualian, kekurangan, penyimpangan, masalah,
dan masalah pada dasarnya sama dalam dunia audit, dan berarti
auditor mengidentifikasi situasi di mana pengendalian, prosedur,
atau efisiensi dapat ditingkatkan.
• Temuan mengidentifikasi dan menjelaskan subjek audit yang tidak
akurat, tidak efisien, atau tidak cukup terkontrol.
• Contoh temuan audit TI adalah perubahan yang diterapkan pada
aplikasi keuangan yang tidak menyertakan otorisasi manajemen
yang tepat.
• Contoh lain termasuk auditor TI yang menemukan bahwa manual
prosedur organisasi tidak memerlukan izin manajemen sebelum
menerapkan perubahan ke dalam aplikasi.
Temuan Audit lanjutan.

• Temuan audit harus didokumentasikan secara individual dan
setidaknya mencakup hal-hal berikut:
• Nama lingkungan TI (sistem operasi yang menampung aplikasi keuangan
relevan) yang dievaluasi. • Area TI yang terkena
dampak (operasi IS, keamanan informasi, manajemen kendali perubahan )
• Referensi pengujian kertas kerja di mana temuan tersebut diidentifikasi •

Tujuan dan aktivitas pengendalian umum yang gagal • Uraian
singkat mengenai temuan tersebut •
Di mana temuan tersebut dikomunikasikan secara formal kepada manajemen
(hal ini harus mengacu pada Surat Manajemen di dalam Auditor
Laporan)
Temuan Audit lanjutan.

• Klasifikasi individual atas temuan per standar audit
AU 325, Komunikasi Tentang Defisiensi Kontrol di an
Audit Laporan Keuangan, baik karena kekurangan, kekurangan
signifikan, atau kelemahan material*
• Evaluasi temuan, khususnya apakah temuan tersebut teridentifikasi
pada tingkat desain (yaitu, tidak ada pengendalian umum yang
diterapkan) atau pada tingkat operasional (yaitu, pengendalian umum
sudah ada, namun tidak diuji secara efektif)
• Apakah temuan tersebut mewakili atau tidak pervasif atau entitas-
tingkat risiko
• Apakah temuan tersebut dapat dimitigasi dengan pengendalian umum

lain yang memberikan kompensasi, dan jika demikian, sertakan referensi
di mana pengendalian ini telah berhasil diuji
kesimpulan dan rekomendasi

• Kesimpulan adalah opini auditor, berdasarkan bukti terdokumentasi, yang
menentukan apakah suatu bidang subjek audit memenuhi tujuan audit. • Semua
kesimpulan harus
berdasarkan data faktual yang diperoleh dan
didokumentasikan oleh auditor sebagai hasil kegiatan audit.
• Sejauh mana kesimpulan tersebut didukung oleh bukti merupakan fungsi dari
jumlah bukti yang diperoleh auditor.
• Kesimpulan didokumentasikan dalam kertas kerja audit dan

harus mendukung prosedur audit yang dilakukan.
• Kertas kerja adalah kumpulan formal tulisan, dokumen, diagram alur, korespondensi,
hasil observasi, rencana dan hasil pengujian, rencana audit, risalah rapat, catatan
terkomputerisasi, file data atau hasil penerapan, dan evaluasi yang
mendokumentasikan auditor. aktivitas selama seluruh periode audit.
Kesimpulan dan Rekomendasi lanjutan.
• Kertas kerja yang lengkap, terorganisir dengan baik, memiliki referensi silang, dan
dapat dibaca sangat penting untuk mendukung temuan, kesimpulan, dan rekomendasi
sebagaimana tercantum dalam Laporan Audit.
• Biasanya, salinan Laporan Audit akhir disimpan di tempat kerja

dokumen.
• Rekomendasi adalah pernyataan formal yang menggambarkan serangkaian tindakan
yang harus diterapkan oleh manajemen perusahaan untuk memulihkan atau
memberikan akurasi, efisiensi, atau pengendalian yang memadai terhadap subjek
audit.
• Rekomendasi harus diberikan oleh auditor untuk setiap temuan audit agar laporan
tersebut berguna bagi manajemen.
Komunikasi
• Nilai suatu audit sebagian besar bergantung pada seberapa efisien dan
efektif hasilnya dikomunikasikan.
• Pada akhir pengujian audit, yang terbaik adalah mendiskusikan temuan
yang teridentifikasi dengan manajemen TI untuk mendapatkan
persetujuan mereka dan memulai tindakan perbaikan yang diperlukan.
Jenis Audit TI Lainnya

Arsitektur Perusahaan •
Manajemen TI harus mengembangkan prosedur organisasi untuk memastikan
arsitektur yang terkendali dan efisien untuk pemrosesan informasi.
• Prosedur ini juga harus menentukan komputer dan peralatan periferal yang
diperlukan untuk mendukung semua fungsi secara ekonomis dan tepat waktu. •
Karena sistem perusahaan menjadi
sangat penting bagi bisnis skala menengah dan besar saat ini, kebutuhan untuk
memantau dan memvalidasi integritas operasional sistem perencanaan sumber
daya perusahaan merupakan proses yang penting. • Audit TI memainkan peran
penting dalam memelihara, memvalidasi,
dan memantau arsitektur perusahaan.
Sistem Komputerisasi dan

Aplikasi
• Jenis audit sistem dan aplikasi yang terkomputerisasi memverifikasi bahwa
sistem dan aplikasi organisasi (yang bersifat operasional dan non-keuangan)
adalah: • sesuai dengan kebutuhan
pengguna, • efisien, dan • terkendali
secara memadai
untuk memastikan valid, andal, tepat waktu, dan mengamankan input,
pemrosesan, dan output pada tingkat aktivitas sistem saat ini dan yang
diproyeksikan.
Fasilitas Pemrosesan Informasi

• Audit terhadap fasilitas pemrosesan informasi memastikan
pemrosesan aplikasi yang tepat waktu, akurat, dan efisien dalam
kondisi normal dan berpotensi mengganggu.
Pengembangan Sistem
• Audit TI yang berkaitan dengan pengembangan sistem akan

memastikan bahwa aplikasi dan sistem yang sedang
dikembangkan memenuhi tujuan organisasi, memenuhi
kebutuhan pengguna, dan menyediakan aplikasi dan sistem
yang efisien, akurat, dan hemat biaya.
• Jenis audit ini memastikan bahwa aplikasi dan sistem ditulis,
diuji, dan dipasang sesuai dengan standar pengembangan
sistem yang diterima secara umum.
Perencanaan Kelangsungan Usaha/Bencana

Perencanaan Pemulihan
• Menurut Sys Admin, Audit, Jaringan, Keamanan (SANS)
Institute, rencana kelangsungan bisnis (atau ketahanan) (BCP)
mencakup aktivitas dan prosedur untuk memulihkan seluruh operasi
bisnis (tidak hanya TI) dari gangguan atau kejadian buruk.* •
Rencana pemulihan bencana (DRP) mencakup serangkaian prosedur
untuk memulihkan dan melindungi infrastruktur TI organisasi jika
terjadi keadaan darurat atau
bencana. • Kedua rencana tersebut harus didokumentasikan secara
formal, dan terus diperbarui dalam organisasi.
• Audit BCP mengevaluasi bagaimana proses kesinambungan
organisasi dikelola.
• Jenis audit ini mendefinisikan risiko atau ancaman terhadap
keberhasilan rencana , dan menilai pengendalian yang diterapkan
untuk menentukan apakah risiko atau ancaman tersebut dapat diterima
dan sejalan dengan tujuan organisasi.
Perencanaan Kesinambungan Bisnis/Perencanaan

Pemulihan Bencana lanjutan.
• Audit ini juga mengukur dampak kelemahan rencana dan memberikan
rekomendasi untuk perbaikan rencana kesinambungan bisnis. • Audit DRP
membantu
memastikan bahwa infrastruktur TI dan semua peralatan terkait yang
digunakan untuk mengembangkan, menguji, mengoperasikan, memantau,
mengelola, dan/atau mendukung layanan TI (misalnya, perangkat keras,
perangkat lunak, jaringan, pusat data, dll.) dipelihara secara memadai dan
dilindungi untuk memastikan ketersediaannya yang berkelanjutan sesuai
dengan tujuan organisasi.
• Audit DRP mempertimbangkan antara lain faktor-faktor seperti penunjukan
lokasi alternatif, pelatihan personel, dan masalah asuransi.
Ikhtisar Pelajaran
• Bab ini membahas proses audit TI dan tuntutan yang akan dihadapi profesi ini di
masa depan. • Auditor TI harus mempersiapkan diri dan
memasuki dunia yang benar-benar bergantung pada sistem komputer yang besar dan
sangat terintegrasi.
• Sistem ini dapat dicirikan oleh penggunaan teknologi baru seperti pemrosesan
terdistribusi, jaringan area lokal, klien/server, Internet/intranet, teknologi mikro,
firmware, transmisi satelit, dan lain-lain.
• Auditor TI saat ini dihadapkan pada banyak kekhawatiran mengenai paparan sistem
informasi komputer terhadap berbagai risiko. • Dari permasalahan ini timbullah tujuan
dari proses audit dan
fungsi.
• Untuk mencapai tujuan-tujuan tersebut memerlukan dukungan dan keterlibatan

seluruh pihak yang terlibat sebagaimana dijelaskan dalam bab ini.
Ringkasan
• Selama beberapa dekade, komputer telah digunakan untuk mendukung

operasional sehari-hari, terutama dalam lingkungan sains dan bisnis. •
Sebagian besar perusahaan menyadari bahwa mereka harus menggunakan
teknologi komputer secara efektif agar tetap kompetitif.
• Namun sifat teknologi terus berubah dengan cepat. • Akibatnya, perusahaan
terus mengintegrasikan sistem akuntansi dan operasi mereka.
• Profesi audit juga telah melakukan penyesuaian ini. • Di seluruh dunia,

organisasi profesi telah mengeluarkan panduan dan instruksi yang berguna
untuk membantu manajer dan profesional audit.
Ringkasan
• Penting untuk mengintegrasikan komputer ke dalam proses audit mulai dari

permulaan proyek hingga tahap pelaporan akhir.
• Otomatisasi penuh akan memungkinkan auditor memanfaatkan seluruh sumber
daya yang tersedia secara lebih efisien dan meningkatkan kredibilitas audit yang
dilakukan.
• Penggunaan teknologi komputer secara efektif dapat memberdayakan auditor
untuk melakukan audit di lingkungan yang sangat otomatis saat ini.
Tanya Jawab

Chapter 2 - Proses Audit TI (1)

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Chapter 2 - Proses Audit TI (1)

Diunggah oleh

Hak Cipta:

Format Tersedia

Machine Translated by Google

•Bab 3 membahas proses audit TI dan tuntutan yang akan

•Bab ini mencakup penilaian risiko, perencanaan audit, tahapan

2. Menentukan tujuan pengendalian informasi dan teknologi terkait dan menjelaskan

4. Menjelaskan rencana audit dan komponen-komponennya. Ilustrasikan contoh

5. Tentukan proses audit dan jelaskan tahapan penugasan audit

•Jenis Audit TI Lainnya

• Dunia audit mendokumentasikan proses bisnis utama dan risiko suatu

Audit Universe lanjutan.

• Mengikat dunia audit dengan tujuan organisasi menghubungkan seluruh proses

• Tujuan Pengendalian untuk Informasi dan Teknologi Terkait (COBIT) menyediakan

• Gambar 3.1 menunjukkan contoh dunia audit yang berkaitan dengan

• COBIT 5 menyediakan kerangka kerja terintegrasi yang dapat diselaraskan dan

COBIT 5 memungkinkan TI diatur dan dikelola secara holistik untuk seluruh

• COBIT 5 membantu organisasi dalam memisahkan tata kelola dari tujuan

Tata Kelola memastikan bahwa Dewan Direksi (“dewan”): mengevaluasi

mengidentifikasi tujuan, ii. memandu manajemen dengan

• Secara khusus, penilaian risiko:

• memeriksa proyek-proyek audit potensial di dunia audit dan memilih proyek-proyek

Lanjutan Penilaian Risiko.

• Proses perencanaan penilaian risiko yang efektif memungkinkan audit menjadi

Lanjutan Penilaian Risiko.

• Dalam penilaian risiko TI, misalnya, aplikasi keuangan merupakan

• Fungsi audit harus merumuskan rencana jangka panjang dan tahunan .

• Perencanaan adalah fungsi dasar yang diperlukan untuk menggambarkan

• Kegagalan dalam memilih item yang tepat dapat mengakibatkan hilangnya

Lanjutan Rencana Audit.

• Mengidentifikasi, mengukur, dan mengukur masalah di bidang TI

• Hal ini akan membantu memastikan keselarasan antara TI, bisnis,

Lanjutan Rencana Audit.

Tujuan dan Konteks

Tujuan dan Konteks lanjutan.

• Tujuan/konteks umum yang ditetapkan untuk audit TI adalah untuk mendukung

Audit TI Dilakukan untuk Mendukung

• Auditor harus memutuskan permohonan apa yang harus diajukan

• Memahami aplikasi keuangan dan menentukan apakah pengendalian TI diterapkan

• Perencanaan dan penjadwalan merupakan tugas yang berkelanjutan seiring dengan

Anggaran Audit dan Pelingkupan

• Idealnya, anggaran audit harus dibuat setelah audit

• Namun, sebagian besar organisasi memiliki anggaran dan sumber daya

Tim Audit, Tugas, dan Tenggat Waktu

• Misalnya, audit pada umumnya melibatkan anggota staf, senior,

• Berikutnya adalah manajer atau manajer senior (manajer senior biasanya

yang ditugaskan, dan mereka melapor secara langsung.

• Terakhir, PPD melakukan peninjauan tingkat tinggi terhadap pekerjaan (seperti

• Batas waktu merupakan komponen penting dalam

• Batas waktu harus dipikirkan dengan matang dengan

• Sebaliknya, auditor TI mewawancarai personel kunci untuk menentukan kebijakan

• Informasi tinjauan awal berfungsi sebagai dasar untuk

Informasi Umum tentang TI

• Untuk sistem aplikasi di mana organisasi menggunakan komputer untuk

• Pengendalian yang ada mendukung area operasi sistem informasi,

Prosedur Audit Desain

Mengidentifikasi Aplikasi Keuangan

• Pentingnya menentukan penerapan keuangan yang signifikan

• Auditor yang terlibat dalam peninjauan aplikasi keuangan harus

• Pengujian unit dan terpadu, dengan pengendalian yang diterapkan untuk

• Menentukan apakah kebijakan dan prosedur organisasi dan pemerintah

• Menyusun kriteria evaluasi secara rinci sehingga dapat diketahui

• Basis data yang dirancang dan dikendalikan secara memadai untuk

• Bukti dokumenter dapat berupa berbagai bentuk dokumentasi

Kontrol Tes lanjutan.

Pengujian Substantif lanjutan.

• Pengujian audit substantif dirancang dan dilaksanakan untuk