Auditing Computer-Based

Information Systems
1. 126202007 BOBY ANANDA NASUTION
2. 126202010 CLAUDIA TARIDA BERLINA
3. 126202015 ERVINA
4. 126202020 HUBERTUS RENDY
5. 126202019 HA FU SHIN
0
6. 126202016 FERRY ARYANTO
 1 Audit & Type of Audit

2 Audit Process

Learning
Objectives 3 Risk Based Audit (RBA)

4 Information Systems Threads

5 Information Systems Audit
 1 Audit & Type of Audit

2 Audit Process

Learning
Objectives 3 Risk Based Audit (RBA)

4 Information Systems Threads

5 Information Systems Audit
 APA ITU AUDIT?
Auditing adalah suatu proses sistematik untuk memperoleh dan mengevaluasi
bukti secara obyektif mengenai pernyataan-pernyataan tentang kegiatan dan
kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara
pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta
penyampaian hasil-hasilnya kepada pemakai yang berkepentingan. (Mulyadi,
2002:9)

Information Systems
Melakukan review terhadap
pengendalian SIA untuk
menilai kepatuhan terhadap:
kebijakan dan prosedur
pengendalian internal, serta
efektivitas dalam melindungi
asset.
Ex: IT Infrastructure Audit &
ERP Audit.
Types of Audit
Financial Compliance Audit Investigate Audit
Memeriksa keandalan dan Menentukan apakah entitas Audit yang dilakukan untuk
integritas: Transaksi mematuhi: Hukum, memastikan kemungkinan
keuangan, catatan akuntansi, peraturan, kebijakan, dan adanya penipuan,
dan laporan keuangan. prosedur yang berlaku penyalahgunaan aset,
pemborosan dan
Ex: External Audit Ex: ISO 9001 Audit; penyalahgunaan, atau
Compliance POJK Audit aktivitas pemerintah yang
tidak tepat
Operational Audit
Penggunaan sumber daya secara ekonomis dan efisien
untuk pencapaian tujuan dan sasaran yang ditetapkan.
Ex: Production Audit & SOP Audit
Operational Audit
Compliance Audit
Compliance Audit
 1 Audit & Type of Audit

2 Audit Process

Learning
Objectives 3 Risk Based Audit (RBA)

4 Information Systems Threads

5 Information Systems Audit
 The Audit Process

Planning Collecting Evidence Evaluating Evidence Communicating

Audit Results
 Planning the Audit
• 5W & 1H (What, Why, Who, When, Where, & How).
• Memastikan:
• Audit Scope and Audit Timeline
• Tujuan Audit
• Audit Team
• Methodology Audit
• Targetkan ke yang memiliki risiko terbesar:
• Inherent (Kemungkinan adanya risiko yang terjadi tanpa adanya pengendalian)
• Control (Risiko salah saji yang tidak ditemukan oleh sistem pengendalian
internal)
• Detection (Kemungkinan salah saji tidak akan diketahui oleh auditor)
 Planning the Audit
PS 2010 : Perencanaan Audit
CAE harus membangun rencana berbasis risiko untuk menentukan prioritas dari aktivitas internal audit,
konsisten dengan tujuan organisasi.

PA 2010-1 : Hubungan Perencanaan Audit dengan Risiko dan eksposur

Point 5
Audit jadwal kerja didasarkan pada, antara lain faktor penilaian risiko dan eksposur. Prioritas diperlukan
untuk membuat keputusan dalam menerapkan sumber daya. Kebanyakan model risiko menggunakan
faktor risiko seperti dampak, kemungkinan, materialitas, likuiditas aset, kompetensi manajemen, kualitas
dan kepatuhan terhadap pengendalian internal, tingkat perubahan atau stabilitas, waktu dan hasil
penugasan audit terakhir, kompleksitas, dan karyawan dan hubungan pemerintah.
 Planning the Audit
Faktor yang dipertimbangkan internal audit dalam mengembangkan rencana audit:

• Inherent Risks - Apakah mereka diidentifikasi dan dinilai?

• Residual Risks - Apakah mereka diidentifikasi dan dinilai?
• Kontrol Mitigasi, Contingency Plans, dan Kegiatan Pemantuan - Apakah mereka
terkait dengan suatu peristiwa dan / atau risiko?
• Risk Registers - Apakah mereka sistematis, lengkap, dan akurat?
• Dokumentasi - Apakah risiko dan kegiatan didokumentasikan?
 Collecting Evidence

Observasi Konfirmasi (Dengan Pihak Ketiga)

Re-performance (Melakukan
Review Dokumentasi Perhitungan Ulang)

Diskusi Melakukan Sampling

List Pertanyaan Vouching

Perhitungan Fisik Analytical review

 Evaluating Evidence
Pada saat melakukan evaluasi bukti audit, maka harus diperhitungkan:
1. Dampak materialitas nya bagi keuangan Perusahaan.
2. Apakah ada unsur fraud di dalam nya? Ataukah karena error?
3. Risiko bagi Perusahaan.
4. Signifikansi bukti tersebut  Apakah bukti yang ada sudah cukup, atau masih
perlu bukti tambahan untuk membuktikan kebenaran hasil audit tersebut?
 Communicating Audit Results
Membuat laporan tertulis yang merangkum temuan dan rekomendasi audit:
• Manajemen perusahaan
• Komite Audit
• BoD
• Pihak lainnya yang berkepentingan
 Communicating Audit Results
PERFORMANCE STANDARDS

2400. Hasil Komunikasi

Internal auditors harus membicarakan hasil penugasan secepatnya.

2410. Kriteria dan Ruang Lingkup Komunikasi

Komunikasi harus termasuk tujuan penugasan dan termasuk kesimpulan, rekomendasi, dan rencana
tindakan yang relevan.

2410.AI – Komunikasi akhir dari kesimpulan harus, secara tepat, terdiri dari opini internal auditor secara
menyeluruh.

2410.A2 – Penugasan komunikasi harus menyatakan pemenuhan pelaksanaan.

 Communicating Audit Results
2410.CI – Komunikasi dari kemajuan dari hasil penugasan konsultasi dapat bervariasi dalam bentuk dan Isi
tergantung dari kondisi penugasan dan kebutuhan dari klien.

2420. Kualitas komunikasi

Komunikasi harus akurat, objektif, jelas, singkat, kreatif, lengkap dan tepat waktu.
2421. Kesalahan dan kelalaian
Apabila komunikasi akhir mempunyai kesalahan atau kelalaian berarti, CAE harus mengkoreksi komunikasi
dan menginformasikan kepada semua pihak yang menerima komunikasi semula.
2430. Pengungkapan Penugasan dari Noncompliance sesuai Standar yang berlaku
Ketika noncompliance dengan Standar berpengaruh pada penugasan, komunikasi dari hasil yang harus
mengungkapkan:
Standar dengan compliance penuh yang tidak tercapai
Alasan non compliance
Pengaruh dari noncompliance dalam penugasan
 Communicating Audit Results
Sample Report: Purchasing
 Communicating Audit Results
Sample Report: IT Security
 1 Audit & Type of Audit

2 Audit Process

Learning
Objectives 3 Risk Based Audit (RBA)

4 Information Systems Threads

5 Information Systems Audit
 Risk Based Audit

COSO defines risk as "the possibility that an

WHAT event will occur and adversely affect the
IS achievement of an objective”
RISK? ISO defines risk as "effect of uncertainty on
objectives"
 Risk Based Audit Framework
Assess Risk
Maturity
Audit
Strategy

Periodic Audit
Management Audit Committee
Planning
Risk Audit Assurance
Register Plan Req.

Individual Audit
Assignment
Audit
Results
 Assess Risk Maturity
• Determine the threats (fraud and errors) facing the company.
• Accidental or intentional abuse and damage to which the system is exposed
• Identify the control procedures that prevent, detect, or correct the threats.
• These are all the controls that management has put into place and that auditors should review
and test, to minimize the threats
• Evaluate control procedures.
• A systems review (Are control procedures in place)
• Tests of controls (Are existing controls working)
• Evaluate control weaknesses to determine their effect on the nature, timing, or extent of auditing
procedures.
 Periodic Audit Planning
• Ensure Current Risk Register
• Analyze it with Inherent Risk, Organization Stability, Control Environment, Market Risk, etc.
2013 Risk Register Model
15% 15% 20% 15% 10% 20% 5% MAN DAYS
LAST INHERENT ORG. CONTROL ACCT. MARKET LAST COUNTRY TOTAL CYCLE TIME PER
AUDIT Entity Division RISK STABILITY ENVIRON. DEPARTMENT RISK AUDIT RISK SCORE IN MONTHS AUDIT IFR DUE
01/01/2012 Operation Management Department Corp 6 6 5 6 7 2 6 5.10 12 22.00 01/01/2013
01/01/2012 Credit Corp 7 7 5 6 6 2 1 5.05 12 35.00 01/01/2013
31/03/2011 Legal Corp 3 7 7 7 1 4 5 5.10 12 25.00 31/03/2012
31/03/2011 Treasury Operation Corp 7 3 6 7 2 3 5 4.80 18 28.00 01/10/2012
15/06/2012 General Affair Corp 5 4 3 7 5 3 2 4.20 24 35.00 15/06/2014
30/06/2011 HRD Corp 5 5 3 7 5 4 4 4.65 18 25.00 30/12/2012
30/09/2009 Compliance Corp 3 7 3 7 4 6 1 4.80 18 35.00 30/03/2011
31/03/2008 Management Information Corp 5 5 4 4 4 6 4 4.70 18 25.00 01/10/2009
Corporate Funding Corp
31/03/2011 Housing and Commercial Lending HCB 7 3 3 1 7 4 4 3.95 24 35.00 31/03/2013
30/09/2011 Commercial Funding and Services HCB 7 3 3 4 3 4 3 3.95 24 25.00 30/09/2013
N/A Mortgage and Consumer Lending MCB 7 3 3 7 4 7 1 5.00 12 35.00 01/01/2013
31/03/2011 Consumer Lending MCB 7 7 4 6 4 4 4 5.20 12 35.00 31/03/2012
20/06/2011 Card Business and Electronic Banking MCB 2 5 5 5 4 3 4 4.00 24 25.00 20/06/2013
31/03/2011 Post Office Alliance MCB 5 3 3 3 3 4 4 3.55 24 25.00 31/03/2013
N/A Priority Banking and Bancasurances MCB 3 5 1 7 1 7 1 4.00 24 25.00 01/01/2013
31/05/2010 Communication Technology OP 5 3 3 4 3 5 1 3.75 24 25.00 31/05/2012
31/05/2011 Logistic and Network OP 3 3 4 3 5 4 1 3.50 24 25.00 31/05/2013
31/05/2012 Operation and Business Support OP 6 7 5 7 7 2 1 5.15 12 28.00 31/05/2013
22/06/2008 Compliance RCHC 7 1 3 7 3 6 4 4.55 18 28.00 22/12/2009
30/06/2010 Legal and Loan Document RCHC 1 5 3 5 1 5 1 3.40 36 25.00 30/06/2013
01/01/2011 Human Capital RCHC 3 3 4 7 4 3 1 3.80 24 35.00 01/01/2013
 Risk Register


Impact To Company

Dampak didefinisikan sebagai hal yang

mempunyai dampak keuangan atau
M kemungkinan terjadinya peristiwa
 Kemungkinan adalah kemungkinan
terjadinya dimana pengendalian yang
diterapkan
L

L M H

Possibility

No. Risk Event
1 Perusahaan membiayai
Customer di luar ketentuan yang
telah ditetapkan
2 Penyimpangan pembiayaan
sewa guna usaha yang tidak
teridentifikasi
Audit Results
Risk Owner Related Unit Key Control Risk Impact: Risk Likelihood: Risk Mitigation Plan
Credit CMO dan Staff Credit Administration memeriksa dan H H Memeriksa dokumen pengajuan aplikasi kredit, antara lain:
memvalidasi beberapa persyaratan yang harus dipenuhi pada - Dokumen pengajuan aplikasi kredit
Administration
saat pengajuan aplikasi kredit, seperti: - Persyaratan yang diatur dalam Kebijakan Credit Administration
- usia Customer - Internal Memo deviasi (apabila ada) yang telah disetujui Pejabat
- minimum uang muka Berwenang
- maksimum tenor
- asal unit pembiayaan
Credit Credit Marketing CMO dan Staff Credit Administration memeriksa dan M M Memeriksa persyaratan sebagai berikut:
memvalidasi beberapa persyaratan pembiayaan sewa guna - Wajib memiliki NPWP
Administration Officer
usaha yang harus dipenuhi oleh Customer baik atas nama - Jangka waktu pinjaman minimum 3 tahun
individu maupun badan hukum pada saat pengajuan aplikasi - Nama BPKB harus sesuai dengan nama kontrak & NPWP
kredit - Unit pembiayaan yang dibiayai hanya jenis Truck dan Pick Up
- Internal Memo deviasi (apabila ada) yang telah disetujui Pejabat
Berwenang
 Audit Results
LIKELIHOOD SCALE Risk Register
1 2 3
No. Risk Event
(Low) (Medium) (High)
2 High Risks, 4 Medium Risks, 1 Low Risk
MEDIUM HIGH HIGH
1 Risiko keterbatasan market seperti adanya kebijakan dari masing-masing counter party, seperti
(H igh)

perusahaan minyak yang tidak diijinkan bertransaksi dengan bank lokal

A

2 dan 5 1 dan 6
6 Banyak yang resign dalam waktu yang berdekatan
C ON SE QU EN C E SC ALE

LOW MEDIUM HIGH 2 Posisi aktiva BCA, SBI terus menurun dan Government Bonds tidak ada lagi
(Medium)

4
5 Keadaan ekonomi Indonesia yang dapat menjadi resiko seperti selisih kurs yang harus
B

7 dan 8
ditanggung
7 Aplikasi baru yang memungkinkan informasi kurs dapat dilihat oleh cabang tanpa bertanya lagi
LOW LOW MEDIUM kepada tresuri
8 Corporate dealer yang bertransaksi dengan corporate customer dengan jumlah transaksi yang
(Low)

besar
C

4 Change Portofolio selain besar di SBI dan Government Bonds

 1 Audit & Type of Audit

2 Audit Process

Learning
Objectives 3 Risk Based Audit (RBA)

4 Information Systems Threads

5 Information Systems Audit
 Information Systems
Threads
 Accidental or intentional damage to
system assets

 Unauthorized access, disclosure, or

modification of data and programs

 Theft

 Interruption of crucial business

activities
Accidental/ Intentional Damage to System
- Virus. Program komputer yang dapat mereplikasi
dirinya sendiri tanpa dapat diamati oleh si VIRUS

pengguna dan menempelkan salinan dirinya

pada program-program dan boot sector lain
- Worm. Program yang tidak dapat mereplikasikan
dirinya sendiri di dalam sistem, tetapi dapat ADWARE WORM

menyebarkan salinannya melalui e-mail

- Trojan Horse. Program yang tidak dapat
ANCAMAN
mereplikasi atau mendistribusikan dirinya
sendiri, namun disebarkan sebagai perangkat
- Adware. Program yang memunculkan pesan-
pesan iklan yang mengganggu SPYWARE TROJAN
- Spyware. Program yang mengumpulkan data
dari mesin pengguna
 Unauthorized access, disclose,
modification of data
Pengungkapan Informasi yang tidak terotoritasis dan pencurian (interception). Ketika suatu basis data
dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses,
hasilnya adalah hilangnya informasi atau uang.

Penggunaan yang tidak terotorisasi (fabrication). Penggunaan yang tidak terotorisasi terjadi ketika
orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan
hal tersebut.
 Unauthorized access, disclose,
modification of data
Penghancuran yang tidak terotorisasi dan penolakan layanan (interruption). Seseorang dapat
merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional
komputer perusahaan tersebut tidak berfungsi.

Modifikasi yang terotorisasi (modification). Perubahan dapat dilakukan pada data, informasi, dan
peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna
output sistem tersebut mengambil keputusan yang salah.
 Theft & Interruption Business
• Dapatnya terjadi pencurian baik yang dilakukan oleh pihak internal maupun eksternal Perusahaan.

• Dapat juga terjadinya gangguan aktivitas bisnis penting jika terdapat permasalahan pada ancaman
sistem informasi Perusahaan baik yang disengaja maupun tidak disengaja.
Contoh: Lupa password token bank.
 1 Audit & Type of Audit

2 Audit Process

Learning
Objectives 3 Risk Based Audit (RBA)

4 Information Systems Threads

5 Information Systems Audit
 Information Systems Audit
TUJUAN
Untuk melakukan review dan
mengevaluasi pengendalian
internal atas sistem informasi
Perusahaan
 Information Systems Threads
 Program Development and Acquisition
 Program Modification
 Computer Processing
 Source Files
 Data Files
 Information Systems Audit

 Information Systems Threads

 Program Development and Acquisition
 Program Modification
 Computer Processing
 Source Files
 Data Files
 Information Systems Threads
Langkah-langkah yang dapat dilakukan untuk mencegah information systems threads:

1. Pengendalian Akses

• Identifikasi Pengguna
Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang
mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor
telepon atau titik masuk jaringan.
 Information Systems Threads
• Autentifikasi Pengguna
Setelah identifkasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara
memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi.
Autentifikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatu yang menjadi
identitas diri, seperti tanda tangan atau suara atau pola suara.
 Information Systems Threads
• Otorisasi Pengguna
Setelah pemeriksaan identifikasi dan autentifikasi dilalui, seseorang kemudian dapat mendapatkan
otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seorang
pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file,
sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file
tersebut.
 Information Systems Threads
Langkah-langkah yang dapat dilakukan untuk mencegah information systems threads:

2. Penggunaan Antivirus

Peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang
terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan
memperingatkan si pengguna.

3. Firewall

Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data dari perusahaan
tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman untuk semua
komputer pada jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing
komputer. Firewall bisa menggunakan alamat IP Address ataupun lewat aplikasi.
 Information Systems Threads
Langkah-langkah yang dapat dilakukan untuk mencegah information systems threads:

4. Pengendalian Fisik

Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yaitu dibuka dengan
cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan.
Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara
menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang
sensitive terhadap bencana alam seperti gempa bumi, banjir, dan badai.
 Information Systems Audit

 Information Systems Threads

 Program Development and Acquisition
 Program Modification
 Computer Processing
 Source Files
 Data Files
 Program Development & Acquisition
Kesalahan pemrograman yang tidak disengaja karena kesalahpahaman spesifikasi sistem atau
pemrograman yang ceroboh.
 Perlunya melakukan assessment di awal terlebih dahulu sebelum melakukan development/
pembelian program.
 Perlunya mapping business process AS IS dengan TO BE.

Instruksi yang tidak sah sengaja dimasukkan ke dalam program.

 Program Development & Acquisition
Instruksi yang tidak sah sengaja dimasukkan ke dalam program.
 Program Development & Acquisition
Kontrol:
- Perlunya otorisasi dan persetujuan manajemen dan pengguna.
- Perlunya pengujian menyeluruh (Full Testing).
- Testing dengan berbagai macam kondisi yang pernah/ mungkin terjadi.
- Bukan soal banyaknya testing, tetapi variasi testing yang dilakukan.
- Dokumentasi yang tepat.
- Mapping dokumentasi dalam bentuk SOP dan Instruksi Manual.
- Dokumentasi ini juga harus sudah diotorisasi oleh seluruh pihak yang berkepentingan.
 Information Systems Audit

 Information Systems Threads

 Program Development and Acquisition
 Program Modification
 Computer Processing
 Source Files
 Data Files
 Program Modification
Perbandingan Kode Sumber
• Membandingkan program saat ini dengan source code untuk setiap ketidaksesuaian

Pemrosesan ulang
• Penggunaan kode sumber untuk menjalankan kembali program dan membandingkan perbedaan

Simulasi Paralel
• Program yang dibuat oleh auditor dijalankan dan digunakan untuk membandingkan dengan kode
sumber
 Program Modification
Contoh Case:
Update versi software ERP karena adanya development untuk penggunaan nomor seri faktur pajak,
dimana sekarang Perusahaan perlu untuk meminta nomor seri faktur pajak terlebih dahulu sebelum
dapat menggunakannya.

Lakukan testing seluruh

Lakukan review selama
transaksi menggunakan versi
berjalannya proses transaksi
ERP Terbaru
STEP 02 STEP 04

STEP 01 STEP 03 STEP 05

Buat database baru Jika tidak ada masalah, lakukan Lakukan proses sign off
menggunakan versi ERP upgrade versi ERP Software ke Program Modification
terbaru database berjalan
 Information Systems Audit

 Information Systems Threads

 Program Development and Acquisition
 Program Modification
 Computer Processing
 Source Files
 Data Files
 Computer Processing
Sistem harus dapat mendeteksi:
- Masukan yang salah
Cth: Kesalahan periode transaksi dapat diminimalisir dengan hanya membuka transaksi sesuai dengan
periode yang digunakan.
 Computer Processing
Sistem harus dapat mendeteksi:
- Koreksi Kesalahan Input yang Tidak Tepat
Cth: Kesalahan pada pencatatan transaksi dalam mata uang asing, tetapi belum mencatat kurs yang
digunakan.

- Output yang tidak tepat

Cth: Kesalahan akun pada saat terbentuknya laporan keuangan.
 Computer Processing
Sistem harus dapat mendeteksi:
- Proses Masukan Yang Salah
Cth: Pada saat melakukan proses penerimaan barang, harus melakukan pemilihan nomor Purchase
Order terlebih dahulu.
 Computer Processing
Teknik audit yang dapat dilakukan:
- Pemantauan sistem berkelanjutan saat data langsung diproses selama jam operasi regular.
- Adanya log transaksi yang dapat dilihat.
- Menggunakan modul audit yang tertanam di dalam sistem ERP.
- Menjalankan program audit, melaporkan hasil pengujian, dan menyimpan bukti yang dikumpulkan
untuk review auditor.
 Computer Processing
Untuk melakukan audit computer processing, terdapat 4 tipe audit teknik yang dapat digunakan:

System Continuous
INTEGRATED
Control Audit and
TEST SNAPSHOT
Review File Intermittent
FACILITY
(SCARF) Simulation
 Integrated Test Facility
Teknik audit yang dilakukan dengan mengumpulkan data pengujian selama pemrosesan normal.
Auditor akan membuat salinan database dari database yang sudah berjalan, kemudian akan melakukan
testing dari salinan database ini.

Misalnya: dalam sistem penggajian, auditor mungkin membuat catatan file induk untuk karyawan fiktif.
Auditor kemudian memasukkan data tersebut ke dalam salinan database, menguji nya, menganalisa
dampak nya, kemudian membuat pengendalian atas kemungkinan permasalahan yang terjadi.
 Snapshot
Snapsot dilakukan dengan melakukan pengambilan “gambar” dari testing yang dilakukan. Auditor
harus memiliki point apa saja yang mau mereka snapshot sebagai dasar untuk menguji keakuratan data
yang ada.

Misalnya: pelanggan haruslah pelanggan resmi; jumlah pembelian harus dalam batas kredit tertentu;
diskon mungkin diberikan tergantung pada status pelanggan dan jenis produk yang ingin dibeli
pelanggan.
 System Control Audit Review File
Menggunakan SCARF, auditor akan menaruh hal apa saja yang harus mereka periksa terkait dengan
data/ peristiwa/ transaksi yang perlu untuk dikendalikan.

Contoh: perusahaan asuransi untuk mendeteksi perubahan yang tidak sah pada catatan induk
pemegang polis yang memungkinan akan diikuti dengan penarikan dana berikutnya. Ketika perubahan
nama-dan-alamat dilakukan pada catatan pemegang polis, perubahan tersebut dapat dicatat melalui
SCARF, auditor harus cek untuk memastikan kebenaran data sebelum risiko selanjutnya terjadi.
 Continuous & Intermittent Simulation
CIS ini sebenarnya mirip dengan metode SCARF, tetapi dikembangkan lebih lanjut dengan
memanfaatkan basis data yang ada, kemudian auditor membuat software/ database tersendiri untuk
mereplikasi sistem yang ada, kemudian melakukan pemeriksaan apakah perhitungan yang saat ini ada
sudah tepat/ belum.

Contoh: Misalnya di Perusahaan Leasing, ada seorang nasabah yang melakukan pelunasan dipercepat
untuk pinjaman nya. Pada saat melakukan pelunasan dipercepat, sistem secara otomatis akan
melakukan perhitungan berapa nilai yang harus dibayar (pokok, bunga, dan denda karena pelunasan
dipercepat). Di sisi lain, auditor melalui software/ database tersendiri nya, mereka akan melakukan
perhitungan tersendiri juga untuk memastikan keakuratan hasil nya. Jika terdapat perbedaan, maka hal
ini akan dimasukkan ke dalam Laporan Audit.
 Source Data & Data files
• Akurasi
Data sumber dan data file harus dipastikan akurasi/ ketepatan nya. Seperti data keungan harus
dipastikan bahwa data keuangan yang ada sudah tepat secara penjumlahan, CoA yang dituju, nilai
pajak, dll.

• Integritas Data
informasi dijaga agar selalu akurat, untuk menjaga informasi tersebut maka informasi hanya boleh
diubah dengan izin pemilik informasi. Virus trojan merupakan contoh dari informasi yang integritasnya
terganggu karena virus telah mengubah informasi tanpa izin. Integritas informasi ini dapat dijaga
dengan melakukan enkripsi data atau membuat tanda tangan dijital (digital signature).
 Information Systems Audit

 Information Systems Threads

 Program Development and Acquisition
 Program Modification
 Computer Processing
 Source Files
 Data Files
 Source Data & Data files
• Kerahasiaan
informasi dijamin hanya tersedia bagi orang yang berwenang sehingga pihak yang tidak berhak tidak
bisa mengakses informasi. Contoh kerahasiaan adalah seorang administrator tidak boleh membuka
atau membaca email milik pengguna selain itu kerahasiaan harus menjamin data-data yang harus
dilindungi penggunaan dan penyebarannya baik oleh pengguna maupun administrator, seperti nama,
alamat, tempat tanggal lahir, nomor kartu kredit, penyakit yang diderita, dan sebagainya.

• Ketersediaan
adanya jaminan ketika pihak berwenang membutuhkan informasi, maka informasi dapat diakses dan
digunakan. Hambatan dalam ketersediaan ini contohnya adalah adanya Denial of Service Attack (DoS).
DoS merupakan serangan yang ditujukan ke server, di mana banyak sekali permintaan yang dikirimkan
ke server dan biasanya permintaan tersebut palsu yang menyebabkan server tidak sanggup lagi
melayani permintaan karena tidak sesuai dengan kemampuan sehingga server menjadi down bahkan
error.
Contoh Kasus
 Contoh Kasus
• Secara umum, seharusnya Kasir BCA memiliki SOP pada saat penanganan Customer, dan Customer
melakukan pembayaran, seharusnya di cek kesesuaian antara nomor rekening dengan nama
nasabah.
• Jika memang berbeda, maka kasir harus menginformasikan ke Customer jika terdapat perbedaan
data ini.

Ada di posisi sini seharusnya di dalam

H manajemen risiko. Seharusnya dibuat
dan dievaluasi manajemen risiko nya.
Impact To
Company

L M H
Possibility