Information Systems
1. 126202007 BOBY ANANDA NASUTION
2. 126202010 CLAUDIA TARIDA BERLINA
3. 126202015 ERVINA
4. 126202020 HUBERTUS RENDY
5. 126202019 HA FU SHIN
0
6. 126202016 FERRY ARYANTO
1 Audit & Type of Audit
2 Audit Process
Learning
Objectives 3 Risk Based Audit (RBA)
2 Audit Process
Learning
Objectives 3 Risk Based Audit (RBA)
2 Audit Process
Learning
Objectives 3 Risk Based Audit (RBA)
Re-performance (Melakukan
Review Dokumentasi Perhitungan Ulang)
2410.AI – Komunikasi akhir dari kesimpulan harus, secara tepat, terdiri dari opini internal auditor secara
menyeluruh.
2 Audit Process
Learning
Objectives 3 Risk Based Audit (RBA)
Periodic Audit
Management Audit Committee
Planning
Risk Audit Assurance
Register Plan Req.
Individual Audit
Assignment
Audit
Results
Assess Risk Maturity
• Determine the threats (fraud and errors) facing the company.
• Accidental or intentional abuse and damage to which the system is exposed
• Identify the control procedures that prevent, detect, or correct the threats.
• These are all the controls that management has put into place and that auditors should review
and test, to minimize the threats
• Evaluate control procedures.
• A systems review (Are control procedures in place)
• Tests of controls (Are existing controls working)
• Evaluate control weaknesses to determine their effect on the nature, timing, or extent of auditing
procedures.
Periodic Audit Planning
• Ensure Current Risk Register
• Analyze it with Inherent Risk, Organization Stability, Control Environment, Market Risk, etc.
2013 Risk Register Model
15% 15% 20% 15% 10% 20% 5% MAN DAYS
LAST INHERENT ORG. CONTROL ACCT. MARKET LAST COUNTRY TOTAL CYCLE TIME PER
AUDIT Entity Division RISK STABILITY ENVIRON. DEPARTMENT RISK AUDIT RISK SCORE IN MONTHS AUDIT IFR DUE
01/01/2012 Operation Management Department Corp 6 6 5 6 7 2 6 5.10 12 22.00 01/01/2013
01/01/2012 Credit Corp 7 7 5 6 6 2 1 5.05 12 35.00 01/01/2013
31/03/2011 Legal Corp 3 7 7 7 1 4 5 5.10 12 25.00 31/03/2012
31/03/2011 Treasury Operation Corp 7 3 6 7 2 3 5 4.80 18 28.00 01/10/2012
15/06/2012 General Affair Corp 5 4 3 7 5 3 2 4.20 24 35.00 15/06/2014
30/06/2011 HRD Corp 5 5 3 7 5 4 4 4.65 18 25.00 30/12/2012
30/09/2009 Compliance Corp 3 7 3 7 4 6 1 4.80 18 35.00 30/03/2011
31/03/2008 Management Information Corp 5 5 4 4 4 6 4 4.70 18 25.00 01/10/2009
Corporate Funding Corp
31/03/2011 Housing and Commercial Lending HCB 7 3 3 1 7 4 4 3.95 24 35.00 31/03/2013
30/09/2011 Commercial Funding and Services HCB 7 3 3 4 3 4 3 3.95 24 25.00 30/09/2013
N/A Mortgage and Consumer Lending MCB 7 3 3 7 4 7 1 5.00 12 35.00 01/01/2013
31/03/2011 Consumer Lending MCB 7 7 4 6 4 4 4 5.20 12 35.00 31/03/2012
20/06/2011 Card Business and Electronic Banking MCB 2 5 5 5 4 3 4 4.00 24 25.00 20/06/2013
31/03/2011 Post Office Alliance MCB 5 3 3 3 3 4 4 3.55 24 25.00 31/03/2013
N/A Priority Banking and Bancasurances MCB 3 5 1 7 1 7 1 4.00 24 25.00 01/01/2013
31/05/2010 Communication Technology OP 5 3 3 4 3 5 1 3.75 24 25.00 31/05/2012
31/05/2011 Logistic and Network OP 3 3 4 3 5 4 1 3.50 24 25.00 31/05/2013
31/05/2012 Operation and Business Support OP 6 7 5 7 7 2 1 5.15 12 28.00 31/05/2013
22/06/2008 Compliance RCHC 7 1 3 7 3 6 4 4.55 18 28.00 22/12/2009
30/06/2010 Legal and Loan Document RCHC 1 5 3 5 1 5 1 3.40 36 25.00 30/06/2013
01/01/2011 Human Capital RCHC 3 3 4 7 4 3 1 3.80 24 35.00 01/01/2013
Risk Register
Impact To Company
L M H
Possibility
Audit Results
No. Risk Event Risk Owner Related Unit Key Control Risk Impact: Risk Likelihood: Risk Mitigation Plan
1 Perusahaan membiayai Credit CMO dan Staff Credit Administration memeriksa dan H H Memeriksa dokumen pengajuan aplikasi kredit, antara lain:
Customer di luar ketentuan yang memvalidasi beberapa persyaratan yang harus dipenuhi pada - Dokumen pengajuan aplikasi kredit
Administration
telah ditetapkan saat pengajuan aplikasi kredit, seperti: - Persyaratan yang diatur dalam Kebijakan Credit Administration
- usia Customer - Internal Memo deviasi (apabila ada) yang telah disetujui Pejabat
- minimum uang muka Berwenang
- maksimum tenor
- asal unit pembiayaan
2 Penyimpangan pembiayaan Credit Credit Marketing CMO dan Staff Credit Administration memeriksa dan M M Memeriksa persyaratan sebagai berikut:
sewa guna usaha yang tidak memvalidasi beberapa persyaratan pembiayaan sewa guna - Wajib memiliki NPWP
Administration Officer
teridentifikasi usaha yang harus dipenuhi oleh Customer baik atas nama - Jangka waktu pinjaman minimum 3 tahun
individu maupun badan hukum pada saat pengajuan aplikasi - Nama BPKB harus sesuai dengan nama kontrak & NPWP
kredit - Unit pembiayaan yang dibiayai hanya jenis Truck dan Pick Up
- Internal Memo deviasi (apabila ada) yang telah disetujui Pejabat
Berwenang
Audit Results
LIKELIHOOD SCALE Risk Register
1 2 3
No. Risk Event
(Low) (Medium) (High)
2 High Risks, 4 Medium Risks, 1 Low Risk
MEDIUM HIGH HIGH
1 Risiko keterbatasan market seperti adanya kebijakan dari masing-masing counter party, seperti
(H igh)
2 dan 5 1 dan 6
6 Banyak yang resign dalam waktu yang berdekatan
C ON SE QU EN C E SC ALE
LOW MEDIUM HIGH 2 Posisi aktiva BCA, SBI terus menurun dan Government Bonds tidak ada lagi
(Medium)
4
5 Keadaan ekonomi Indonesia yang dapat menjadi resiko seperti selisih kurs yang harus
B
7 dan 8
ditanggung
7 Aplikasi baru yang memungkinkan informasi kurs dapat dilihat oleh cabang tanpa bertanya lagi
LOW LOW MEDIUM kepada tresuri
8 Corporate dealer yang bertransaksi dengan corporate customer dengan jumlah transaksi yang
(Low)
besar
C
2 Audit Process
Learning
Objectives 3 Risk Based Audit (RBA)
Theft
Penggunaan yang tidak terotorisasi (fabrication). Penggunaan yang tidak terotorisasi terjadi ketika
orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan
hal tersebut.
Unauthorized access, disclose,
modification of data
Penghancuran yang tidak terotorisasi dan penolakan layanan (interruption). Seseorang dapat
merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional
komputer perusahaan tersebut tidak berfungsi.
Modifikasi yang terotorisasi (modification). Perubahan dapat dilakukan pada data, informasi, dan
peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna
output sistem tersebut mengambil keputusan yang salah.
Theft & Interruption Business
• Dapatnya terjadi pencurian baik yang dilakukan oleh pihak internal maupun eksternal Perusahaan.
• Dapat juga terjadinya gangguan aktivitas bisnis penting jika terdapat permasalahan pada ancaman
sistem informasi Perusahaan baik yang disengaja maupun tidak disengaja.
Contoh: Lupa password token bank.
1 Audit & Type of Audit
2 Audit Process
Learning
Objectives 3 Risk Based Audit (RBA)
1. Pengendalian Akses
• Identifikasi Pengguna
Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang
mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor
telepon atau titik masuk jaringan.
Information Systems Threads
• Autentifikasi Pengguna
Setelah identifkasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara
memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi.
Autentifikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatu yang menjadi
identitas diri, seperti tanda tangan atau suara atau pola suara.
Information Systems Threads
• Otorisasi Pengguna
Setelah pemeriksaan identifikasi dan autentifikasi dilalui, seseorang kemudian dapat mendapatkan
otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seorang
pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file,
sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file
tersebut.
Information Systems Threads
Langkah-langkah yang dapat dilakukan untuk mencegah information systems threads:
2. Penggunaan Antivirus
Peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang
terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan
memperingatkan si pengguna.
3. Firewall
Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data dari perusahaan
tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman untuk semua
komputer pada jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing
komputer. Firewall bisa menggunakan alamat IP Address ataupun lewat aplikasi.
Information Systems Threads
Langkah-langkah yang dapat dilakukan untuk mencegah information systems threads:
4. Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yaitu dibuka dengan
cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan.
Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara
menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang
sensitive terhadap bencana alam seperti gempa bumi, banjir, dan badai.
Information Systems Audit
Pemrosesan ulang
• Penggunaan kode sumber untuk menjalankan kembali program dan membandingkan perbedaan
Simulasi Paralel
• Program yang dibuat oleh auditor dijalankan dan digunakan untuk membandingkan dengan kode
sumber
Program Modification
Contoh Case:
Update versi software ERP karena adanya development untuk penggunaan nomor seri faktur pajak,
dimana sekarang Perusahaan perlu untuk meminta nomor seri faktur pajak terlebih dahulu sebelum
dapat menggunakannya.
Buat database baru Jika tidak ada masalah, lakukan Lakukan proses sign off
menggunakan versi ERP upgrade versi ERP Software ke Program Modification
terbaru database berjalan
Information Systems Audit
System Continuous
INTEGRATED
Control Audit and
TEST SNAPSHOT
Review File Intermittent
FACILITY
(SCARF) Simulation
Integrated Test Facility
Teknik audit yang dilakukan dengan mengumpulkan data pengujian selama pemrosesan normal.
Auditor akan membuat salinan database dari database yang sudah berjalan, kemudian akan melakukan
testing dari salinan database ini.
Misalnya: dalam sistem penggajian, auditor mungkin membuat catatan file induk untuk karyawan fiktif.
Auditor kemudian memasukkan data tersebut ke dalam salinan database, menguji nya, menganalisa
dampak nya, kemudian membuat pengendalian atas kemungkinan permasalahan yang terjadi.
Snapshot
Snapsot dilakukan dengan melakukan pengambilan “gambar” dari testing yang dilakukan. Auditor
harus memiliki point apa saja yang mau mereka snapshot sebagai dasar untuk menguji keakuratan data
yang ada.
Misalnya: pelanggan haruslah pelanggan resmi; jumlah pembelian harus dalam batas kredit tertentu;
diskon mungkin diberikan tergantung pada status pelanggan dan jenis produk yang ingin dibeli
pelanggan.
System Control Audit Review File
Menggunakan SCARF, auditor akan menaruh hal apa saja yang harus mereka periksa terkait dengan
data/ peristiwa/ transaksi yang perlu untuk dikendalikan.
Contoh: perusahaan asuransi untuk mendeteksi perubahan yang tidak sah pada catatan induk
pemegang polis yang memungkinan akan diikuti dengan penarikan dana berikutnya. Ketika perubahan
nama-dan-alamat dilakukan pada catatan pemegang polis, perubahan tersebut dapat dicatat melalui
SCARF, auditor harus cek untuk memastikan kebenaran data sebelum risiko selanjutnya terjadi.
Continuous & Intermittent Simulation
CIS ini sebenarnya mirip dengan metode SCARF, tetapi dikembangkan lebih lanjut dengan
memanfaatkan basis data yang ada, kemudian auditor membuat software/ database tersendiri untuk
mereplikasi sistem yang ada, kemudian melakukan pemeriksaan apakah perhitungan yang saat ini ada
sudah tepat/ belum.
Contoh: Misalnya di Perusahaan Leasing, ada seorang nasabah yang melakukan pelunasan dipercepat
untuk pinjaman nya. Pada saat melakukan pelunasan dipercepat, sistem secara otomatis akan
melakukan perhitungan berapa nilai yang harus dibayar (pokok, bunga, dan denda karena pelunasan
dipercepat). Di sisi lain, auditor melalui software/ database tersendiri nya, mereka akan melakukan
perhitungan tersendiri juga untuk memastikan keakuratan hasil nya. Jika terdapat perbedaan, maka hal
ini akan dimasukkan ke dalam Laporan Audit.
Source Data & Data files
• Akurasi
Data sumber dan data file harus dipastikan akurasi/ ketepatan nya. Seperti data keungan harus
dipastikan bahwa data keuangan yang ada sudah tepat secara penjumlahan, CoA yang dituju, nilai
pajak, dll.
• Integritas Data
informasi dijaga agar selalu akurat, untuk menjaga informasi tersebut maka informasi hanya boleh
diubah dengan izin pemilik informasi. Virus trojan merupakan contoh dari informasi yang integritasnya
terganggu karena virus telah mengubah informasi tanpa izin. Integritas informasi ini dapat dijaga
dengan melakukan enkripsi data atau membuat tanda tangan dijital (digital signature).
Information Systems Audit
• Ketersediaan
adanya jaminan ketika pihak berwenang membutuhkan informasi, maka informasi dapat diakses dan
digunakan. Hambatan dalam ketersediaan ini contohnya adalah adanya Denial of Service Attack (DoS).
DoS merupakan serangan yang ditujukan ke server, di mana banyak sekali permintaan yang dikirimkan
ke server dan biasanya permintaan tersebut palsu yang menyebabkan server tidak sanggup lagi
melayani permintaan karena tidak sesuai dengan kemampuan sehingga server menjadi down bahkan
error.
Contoh Kasus
Contoh Kasus
• Secara umum, seharusnya Kasir BCA memiliki SOP pada saat penanganan Customer, dan Customer
melakukan pembayaran, seharusnya di cek kesesuaian antara nomor rekening dengan nama
nasabah.
• Jika memang berbeda, maka kasir harus menginformasikan ke Customer jika terdapat perbedaan
data ini.
L M H
Possibility