EDP AUDIT

Dosen Drs.Antoni Djajasaputra.M.M.

Referensi :
1. Buku Wajib:
James E.Hunton, Core Concept of Information
Technology Auditing (CCITA), 2nd Edition, John
Wiley & Sons Inc, New Jersey, 2005.
2. Buku Penunjang:
Ron Weber, Information Systems Control and
Audit (ISCA), 2nd Edition, Prentice Hall, New
Jersey, 1999
IT Governance Institute, CobiT, 4th Edition, 2000
3. Perangkat Lunak Penunjang:
ACL Software for Windows, Versi 8.

P-2 (Chapter 3)
Risiko dan Pengendalian Teknologi Informasi
(information Technolgy Risks and Controls)
Materi :
1.
2.
3.
4.
5.

Identifikasi Risiko TI (Identifying Information

Technology Risks)
Penilaian Risiko TI (Assessing Information
Technology Risks)
Identifikasi Pengendalian TI (Identifying
Information Technology Controls)
Dokumentasi Pengendalian TI (Documenting
Information Technology Controls)
Monitor Risiko dan Pengendalian TI (Monitoring
Information Technology Risks and Controls)

Identifikasi Risiko TI
(Identifying Information Technology Risks)
(1)

Apa itu resiko? Sederhananya, risiko adalah kemungkinan

hasil negatif
(what is risk? Simply put, risks are the chances of negative
outcomes)

Usaha bisnis menghadapi bermacam resiko, termasuk

urusan bisnis, audit, sekuritas, dan kesinambungan risks.

Perusahaan bisnis menghadapi berbagai risiko, termasuk

bisnis, audit, keamanan, dan risks.Managers kontinuitas dan
auditor berusaha untuk menyeimbangkan risiko, bukan
menghilangkannya. Memang benar bahwa tidak ada risiko
berarti tidak ada imbalan).
(Business enterprises face a variety of risks, including
business, audit, security, and continuity risks.Managers and
auditors strive to balance risk, rather than eliminate it. It is
true that no risks means no reward).

Identifikasi Risiko TI
(Identifying Information Technology Risks)
(2)
Ini juga benar bahwa IT dalam beberapa
kasus membuat berisiko bisnis dan dalam
kasus lain membuatnya lebih aman.
Klasifikasi risiko dapat membantu dalam
mengidentifikasi risiko spesifik.
(It's also true that IT in some cases makes
business riskier and in other cases makes it
more secure. Classifying risks can be helpful
in identifying specific risks).

Identifikasi Risiko TI
(Identifying Information Technology Risks)
(3)

Suatu risiko usaha adalah suatu kemungkinan bahwa

suatu organisasi tidak akan mencapai sasaran bisnis
dan sasaran hasil.
Kedua faktor internal dan eksternal dapat berperan
dalam hal ini. Untuk memahami risiko usaha
organisasi tertentu, seorang auditor yang utama
adalah harus terbiasa dengan perencanaan strategis
perusahaan
(A business risk is the likelihood that an organization
will not achieve its business goals and objectives.
Both external and internal factors can contribute to
the chances of this occurrence. To understand a
particular organization's business risk, an auditor
must first become familiar with the enterprise's
strategic plan).

Resiko Audit
(Audit Risk)

Resiko audit adalah kemungkinan bahwa sorang

auditor eksternal dalam organisasi melakukan
kesalahan ketika mengeluarkan satu pendapat dalam
menegaskan kewajaran tentang laporan keuangan
atau hal itu, merupakan suatu kegagalan auditor IT
untuk membongkar suatu kesalahan teramat penting
atau penipuan.
(audit risk is the likelihood that an organization's
external auditor makes a mistake when issuing an
opinion attesting to the fairness of its financial
statements or that n IT auditor fail to uncover a
material error or fraud).

Resiko Audit Model

(The Audit Risk Model)
Resiko

Audit =Resiko Yang Tidak Bisa

Dipisahkan (IR) x Control Risk (CR) x
Detection Risk (DR)
(Audit Risk = Inherent Risk (IR) x
(multiply) Control Risk (CR) x
(multiply) Detection Risk (DR))

Resiko Sekuritas
(Security Risk)

Ada banyak hasil negatif yang berpotensi menghubungkan

akses data yang tidak sah. Secara minimum, akses data oleh
para pemakai yang tidak sah berkompromi tentang kerahasiaan
data. Hackera kadang-kadang membenarkan tindakan mereka
dengan menyatakan bahwa mereka tidak "mengambil" apapun.
Bagaimanapun, hanya mengamati data, anda tidak mempunyai
suatu hak untuk merubahnya, keleluasaan pribadi dan
kerahasiaan data. Tentu saja, pada hal ekstrim lain, para
pemakai yang tidak sah boleh juga menolong diri mereka
terhadap satu informasi organisasi atau Aktiva lainnya
(There are many potential negative outcomes associated with
unauthorized data access. At a minimum, access to data by
unauthorized users compromises the confidentiality of data.
Hackera sometimes justify their actions by asserting that they
didn't "take" anything. However, simply viewing data you do not
have a right to see violates the privacy and confidentiality of the
data. Of course, at the other extreme, unauthorized users may
also help themselves to an organization's information or oher
assets)

Resiko Kesinambungan
(Continuity Risk)

Termasuk resiko-resiko yang dihubungkan dengan satu

ketersediaan dan cadangan milik sistem informasi dan pemulihan.
Ketersediaan mengacu pada sekuritas yang memastikan bahwa
satu sistem informasi adalah selalu dapat diakses bagi para
pemakai. Sebagai contoh, para hacker boleh mengancam
ketersediaan dengan memenuhi suatu sistim melalui pos dan
memuat server berlebihan supaya menutup suatu Intranet atau
Situs web perusahaan. Ketika suatu eceran Situs web adalah tak
tersedia untuk konsumen, tidak hanya penjualan yang hilang
untuk satu periode, serta lokasi yg tak tersedia, tetapi
juga kehilangan konsumen yang membeli di tempat lain
oleh karena ketakutan tentang keandalan / kepercayaan.
(includes risks associated with an information system's
availability and backup and recovery. Availability refers to
security that ensures that an information system is always
accessible to users. For example, hackers may threaten
availability by flooding a system with mail and over loading the
servers so as to shut down a company's Intranet or Web site.
When a retail Web site is unavailable to consumers, there are not
only lost sales for the period the siteis unavailable, but also lost
consumers who buy elsewhere because of fears about reliability.

Menaksir Teknologi Informasi Mengambil

resiko
(Assessing Information Technology Risks)

Para Manajer dan Auditor harus menilai IT Risks dalam

menentukan bagaimana caranya menerapkan sumber daya
dalam mengelola risiko. Mencoba pengelolaan risiko untuk
menyeimbangkan resiko adalah berlawanan dengan kebutuhan
suatu organisasi. Untuk menyeimbangkan resiko, anda
memerlukan kedua-duanya dalam mengidentifikasi dan
pengukuran. Itu juga memerlukan penentuan tingkat risiko
yang diterima karena tidak ada organisasi yang dapat
mengusahakan dalam membelanjakan sumber daya yang
dapat mengendalikan resiko untuk mengukur.
(Managers and auditors must assess IT Risks in order to
determine how to apply resources to risk management. Risk
management attempts to balance risk against the needs of an
organization. To balance risk, you must asses it. This requires
both identification and measurement. It also requires
determining levels of acceptable risk since no organization can
afford to expend the resources to control risk to zero levels.)

Ancaman dan Kerentanan

(Threats and Vulnerabilities)

Suatu Pendekatan Ke Arah Penaksiran Risiko IT (An Approach to IT
Risk Assessment):
Identifikasi Threats/Exposures (Identify Threats/Exposures )
Examples:
Kerahasiaan Data (Data Confidentiality)
Ketersediaan Data (Data Availability)
Integritas Data (Data Integrity)
Ketepatan waktu Data (Data Timeliness)
IT prasarana (IT infrastructure)
Nilai Sifat yang sensitif (Assess Vulnerabilities to Threats/Exposures)
Examples:
Akses jauh oleh para pemakai yang tidak sah (Remote access by
unauthorized users)
Akses di tempat oleh yang tidak sah (On-site access by
unauthorized)
Tentukan menerima Risiko Terukur (Determine Acceptable Risk
Levels)
Nilai Probability Vulnerabilities (Assess the Probability of
Vulnerabilities)
Kesempatan untuk mengakses remote dari para pemakai yang tidak
sah sebesar 5 persen (Chance of remote access by unauthorized
users is 5 percent)

(Risks
Indicators and Risk Measurement)
(1)

Ambil Resiko Pengukuran Indikator dan Resiko

Cara

lain untuk menilai resiko dalam

mengidentifikasi IT proses, dengan
mengembangkan satu set indikator resiko
yang berhubungan dengan aspek
keseluruhan. Indikator resiko akan
menunjuk kesuatu kebutuhan untuk
pengendalian.

(Another way to assess risk is to identify IT

processes and then develop a set of risk
indicators relative to these. The risk
indicators would point to a need for
controls).

Ambil Resiko Pengukuran Indikator dan Resiko

(Risks Indicators and Risk Measurement)

(2)

Sebagai contoh, dalam memperoleh aplikasi perangkat lunak, suatu

indikator resiko akan merupakan kegagalan dalam menetapkan
perangkat lunak, suatu indikator resiko akan merupakan kegagalan
untuk menetapkan akuisisi perangkat lunak dalam perencanaan
strategis. Indikator resiko, dalam beberapa hal adalah bagian
pengawasan internal yang objektif. Suatu organisasi dapat mencatat
kehadiran atau ketidakhadiran indikator resiko untuk masing-masing
IT proses, kemudian memilih untuk mengendalikan mereka atau
tidak, tergantung pada satu analisa apakah resiko itu bisa
diterima atau tidak. Dalam buku disajikan bagaimana

mengidentifikasi indikator resiko yang berhubungan dengan

beberapa proses IT dan teknologi spesifik.
(For example, in acquiring software applications (an IT process), a
risk indicator would be failure to map software (an IT process), a risk
indicator would be failure to map software acquisitions to the
strategic plan. The risk indicator is, in a sense, a mirror of an internal
control objective. An organization can note the presence or absence
of risk indicators for each IT process, and then choose to control
them or not, depending on an analysis as to whether or not the risk
is acceptable. In this book identify risk indicators associated with
several IT processes and specific technologies).

Ambil Resiko Pengukuran Indikator dan Resiko

(Risks Indicators and Risk Measurement)

(3)

Pengukuran penaksiran risiko, penting karena

mengizinkan para Auditor IT untuk membatasi lingkup
audit dan memaksimalkan daya guna dan tepat guna.
Ada beberapa jalan atau cara untuk mengukur resiko.
Salah satu cara adalah dengan mengkalkulasi nilai
yang diharapkan seperti yang diharapkan atau hanya
untuk menugaskan suatu nilai ke masing-masing
resiko indikator yang didasarkan suatu penilaian pada
tingkat kesulitannya
(Risk assessment measurement is important because
it allows IT auditor to narrow the audit scope and
maximize efficiency and effectiveness. There are
several ways to measure risk. One way is to calculate
expected value of loses as described or to simply
assign a value to each risk indicator based on an
assessment of its criticality)

Mengidentifikasi Teknologi Informasi Mengendalikan

(Identifying Information Technology Controls)

Patokan

Kendali Mutu (Quality Control Standards):

Sistem pengawasan internal adalah satu komponen
penting dalam kepemilikan perusahaan. Sebagai
tambahan terhadap penggunaan keuangan internal
dan pengendalaian operasional, banyak organisasi
sudah meningkatkan keyakinan publik dalam
produk mereka dan proses dalam mengadopsi
kendali mutu standard.

(Internal control systems are an essential component

of sound corporate governance. In addition to using
internal financial and operational controls, many
organizations have sought to improve public
confidence in their products and processes by
adopting quality control standards).

Pernyataan Tentang Patokan-patokan Pengauditan

(Statements on Auditing Standards)

Auditing

Standard Board (ASB) dari Institut Amerika

Certified Public Accounting (AICPA) mengeluarkan
Statements di Auditing Standards (SAS) sebagai
petunjuk untuk pengaudit eksternal dalam
melaksanakan audit laporan keuangan. Beberapa
petunjuk ini terkait dengan isu dalam meramal
risiko, IT pengelolaan risiko, dan pengawasan
internal.

(The Auditing Standard Board (ASB) of the American

Institute of Certified Public Accounting (AICPA) issues
Statements on Auditing Standards (SAS) as
guidelines for external auditors in conducting the
financial statement audit. Several of these guidelines
are relevant to the issues of risks assessment, IT risk
management, and internal control).

Teknologi Informasi Dokumen Mengendalikan (Documenting

Information Technology Controls)
Pengawasan

Internal Naratif (Internal Control

Narratives)
Satu pengawasan internal naratif hanyalah
menguraikan teks pengendalian atas resiko tertentu.
Uraian naratif pengawasan internal perlu
menguraikan asal usul dan disposisi dari tiap
dokumen (surat hutang atau elektronik), langkah-

langkah pemrosesan daftar, dan menguraikan

pengawasan internal seperti persetujuan dan otorisasi.
(An internal control narrative is simply text describing
controls over particular risk. Narrative descriptions of
internal controls should describe the origin and
disposition of each document (paper or electronic), list
processing steps, and describe internal controls such as
approvals and authorizations).
* Narratives: Cerita

Kuestioner-kuestioner Pengawasan Internal

(Internal Control Questionnaires)
Ada

beberapa keuntungan dalam menggunakan

kuestioner pengawasan internal.
Pertama, mereka memastikan bahwa pengaudit
tidak melewatkan setiap pengendalian ketika
mereka mengevaluasi berbagai resiko.
Kedua, instrumen yang diselesaikan menyediakan
pengaudit dengan peluang itu untuk bertukar
pikiran antar beberapa individu. Akhirnya,
jawaban itu dapat membantu pengaudit di dalam
membangun satu pengawasan internal naratif atau
diagram alur

Monitoring Teknologi Informasi Mengambil resiko dan

Mengendalikan

(Monitoring Information Technology Risks and

Controls) (1)
Management

Resiko memerlukan pengelolaan yang

konstan.
Model CobiT mengidentifikasi beberapa sasaran hasil
kendali yang berhubungan dengan pengawasan. Ini
termasuk: monitoring proses, memperkirakan
kebutuhan pengawasan internal, memperoleh jaminan
yang mandiri, dan melengkapi satu audit independen.
(Risk management requires constant attention.
The CobiT model identifies several control objectives
associated with monitoring. These include: monitoring
the processes, assessing internal control adequacy,
obtaining independent assurance, and providing for an
independent audit).

Monitoring Teknologi Informasi Mengambil resiko dan

Mengendalikan
(Monitoring Information Technology Risks and Controls) (2)
SAS

no94 memerlukan pengaudit eksternal untuk

mengatur auditor untuk mengambil resiko). Tambahan pula,
organisasi boleh menanyakan, apakah para auditor eksternal
dalam melakukan suatu pengikatan jaminan keandalan
sistem, atau untuk menyediakan jaminan mengenai IT nya
lain. Jenis lain dari pengaudit perikatan boleh terlaksana
untuk menyediakan jaminan yang dihubungkan dengan IT
resiko adalah suatu testing penetrasi.
(SAS no.94 requires external auditors to managing audit
risks). Additionally, organizations may ask their external
auditors to conduct a systems reliability assurance
engagement, or to provide other assurance regarding its IT.
Yet another type of engagement auditors may perform to
provide assurance related to IT risk is penetration testing).

DISCUSSION QUESTIONS
1.

2.

Tolong saudara jelaskan mengapa

indentifikasi dan penilaian Resiko IT
itu penting sebelum
mengembangkan pengawasan
internal IT ?
Apakah saudara setuju bahwa
flowchart sebagai dokumen, jauh
lebih baik untuk pengawasan internal
daripada dengan pengawasan
internal naratif ?

EXERCISES
KASUS 1
Coba saudara cari informasi tentang cobiT
melalui www.isaca.org.
Buat resume dari informasi yang anda
peroleh !
Uraikan secara rinci mengenai cobiT melalui
situs tersebut, dan jelaskan pendapat
saudara !
Apakah cobiT dapat dijadikan satu acuan
dalam praktik didalam EDP Audit

EXERCISES
KASUS 2
Uraikan secara rinci mengenai cobiT melalui situs
tersebut, dan jelaskan pendapat saudara !
Apakah cobiT dapat dijadikan satu acuan dalam
praktik didalam EDP Audit
KASUS 2
Setelah itu saudara cari informasi mengenai
COSOs tentang internal controls and risk
assessment frameworks melalui www.coso.org
Buat resume dari informasi yang anda peroleh !
Sejauh mana COSOs dapat mengatasi
permasalahan mengenai internal controls and
risk assesesment frameworks

P-3 (Chapter 4)
Risiko Penggunaan Teknologi Informasi
(IT
Deployment
Risks)
Materi:
1.
2.
3.
4.
5.

Membuat Rencana Strategis (Developing

Strategic Plans)
Mengelola Pembuatan Proyek (Managing
Development Projects)
Mendapatkan Aplikasi Perangkat Lunak
(Acquiring Software Applications)
Merubah Aplikasi Perangkat Lunak (Changing
Software Applications)
Implementasi Aplikasi Perangkat Lunak
(Implementing Software Applications)