Tugas Softskill 2 || Audit Around The Computer dan Audit Through The Computer

1.  Audit Around The Computer

Hanya memeriksa dari sisi user saja. Pada masukan dan keluarannya tidak memeriksa lebih lanjut terhadap sistemnya atau programnya. Dokuman sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya bentu tersebut masih bisa dilihat secara kasat mata. Dokumen-dokumen tersebut disimpan daam file dengan cara yang mudah ditemukan. Keluaran dari program tersebut dapat diperoleh dari daftar yang terinci dan auditor dapat dengan mudah menelusuri setiap transaksi dari dokumen.

Kelebihan:

1. Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam.

2. Tidak harus mengetahui seuruh proses penanganan sistem.

3. Umumnya database mencangkup jumlah data yang banyak dan sulit untuk ditelusuri secara manual.

4. Tidak membuat auditor memahami sistem komputer dengan lebih baik.

5. Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam sistem.

6. Lebih berkenaan dengan hal yang lalu dari pada dengan audit yang preventif.

7. Kemampuan komputer sebagai fasilitas penunjang audit tidak terpakai.

8. Tidak mencakup keseluruhan maksud dan tujuan auditor.

2.  Audit Through The Computer

Dimana selain auditor memeriksa data masukan dan keluaran, auditor juga melakukan uji coba proses program dan sistemnya, atau yang biasa disebut dengan white box, sehingga auditor dapat merasakan sendiri langkah demi langkah pelaksanaan sistem serta mengetahui bagaimana sistem dapat dijalankan pada proses tertentu.

Kelebihan:

1. Dapat meningkatkan kekuatan pengujian sistem aplikasi secara efektif.

2. Dapat memeriksa secara langsung logika pemprosesan dan sistem aplikasi.

3. Kemampuan sistem yang dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang.

4. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap kebenaran hasil kerjanya.

• Obyek Audit : Entity-Level Auditing Controls

Kontrol tingkat entitas adalah pengendalian internal yang membantu memastikan bahwa arahan manajemen yang berkaitan dengan keseluruhan entitas dilakukan. Mereka adalah tingkat kedua pendekatan top-down untuk memahami risiko organisasi. Umumnya, entitas mengacu pada keseluruhan perusahaan.

Menguji Langkah untuk Auditing Entity Level Control

1. Meninjau struktur organisasi TI secara keseluruhan untuk memastikan bahwa tugas tersebut memberikan tugas dan wewenang yang jelas atas operasi TI dan memastikan pemisahan tugas secara memadai.

            Struktur organisasi TI yang kurang jelas dapat menyebabkan kebingungan mengenai tanggung jawab, sehingga fungsi dukungan TI dapat dilakukan secara tidak efisien atau tidak efektif. Misalnya, fungsi kritis dapat terbengkalai atau dilakukan secara berlebihan. Juga, jika garis wewenang tidak jelas, dapat menyebabkan ketidaksepakatan mengenai siapa yang memiliki kemampuan tertinggi untuk membuat keputusan akhir. Akhirnya, jika tugas TI tidak dipisahkan secara tepat, hal itu dapat menyebabkan kegiatan penipuan dan mempengaruhi integritas informasi dan proses perusahaan

2. Meninjau proses perencanaan strategis TI dan pastikan itu sejalan dengan strategi bisnis. Evaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.

            Untuk memberikan keefektifan jangka panjang, organisasi TI harus memiliki semacam strategi mengenai tujuannya, berlawanan dengan mode reaktif secara konstan, di mana masalah dan krisis sehari-hari adalah satu-satunya pertimbangan. Organisasi TI harus menyadari kebutuhan bisnis dan perubahan lingkungan yang akan datang sehingga dapat merencanakan dan meresponsnya

3. Tentukan apakah strategi teknologi dan aplikasi dan peta jalan ada, dan evaluasi proses perencanaan teknis jarak jauh.

TI adalah lingkungan yang berubah dengan cepat, dan penting bagi organisasi TI untuk memahami dan merencanakan perubahan. Jika tidak, lingkungan TI perusahaan berisiko mengalami teknologi usang dan / atau tidak sepenuhnya memanfaatkan keuntungan perusahaan.

.

4. Tinjau kembali indikator kinerja dan pengukuran untuk TI. Pastikan proses dan metrik tersedia (dan disetujui oleh pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan untuk melacak kinerja terhadap kesepakatan tingkat layanan, anggaran, dan persyaratan operasional lainnya.

            Organisasi TI ada untuk mendukung bisnis dan operasi sehari-hari. Jika standar kinerja minimum tidak ditetapkan dan diukur, sulit bagi bisnis untuk menentukan apakah layanan organisasi TI dilakukan pada tingkat yang dapat diterima.

5. Tinjau proses organisasi TI untuk menyetujui dan memprioritaskan proyek baru. Tentukan apakah proses ini memadai untuk memastikan bahwa proyek akuisisi dan pengembangan sistem tidak dapat dimulai tanpa persetujuan. Memastikan bahwa manajemen dan pemangku kepentingan utama meninjau status proyek, jadwal, dan anggaran secara berkala selama masa proyek yang signifikan.

            Tanpa proses terstruktur untuk menyetujui dan memprioritaskan proyek TI baru, sumber daya TI mungkin tidak akan digunakan secara efisien. Sebagai gantinya, mereka akan ditugaskan secara ad hoc untuk proyek potensial apa pun yang akan terjadi selanjutnya. Selain itu, proyek-proyek TI dapat dimulai yang tidak memenuhi kebutuhan bisnis dan / atau yang tidak sepenting proyek potensial lainnya dimana sumber daya tersebut dapat digunakan.

6. Meninjau dan mengevaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab mereka didefinisikan secara jelas dan memantau kinerjanya.

Banyak perusahaan melakukan outsourcing beberapa atau semua proses dukungan TI mereka, termasuk area seperti dukungan PC, server web hosting, dukungan sistem, pemrograman, dan sebagainya. Jika vendor ini tidak dikelola dengan tepat, ini bisa menyebabkan layanan yang buruk dan kualitas yang tidak dapat diterima di lingkungan TI. Bergantung pada bagian lingkungan TI mana yang telah dioutsourcing, masalah ini dapat secara signifikan mempengaruhi operasi perusahaan..

7. Meninjau dan mengevaluasi proses untuk mengendalikan akses logis karyawan.

Sebagian besar perusahaan mempekerjakan beberapa tingkat outsourcing dan tenaga kerja kontrak untuk menambah tenaga kerja internal mereka. Selain itu, beberapa perusahaan mengizinkan vendor pihak ketiga mendapatkan akses logis ke sistem yang dibeli untuk mendapatkan pemecahan masalah dan tujuan dukungan. Karena personil ini bukan pegawai perusahaan, mereka cenderung tidak memiliki investasi perorangan dalam kesuksesan perusahaan atau kesadaran akan kebijakan dan budaya perusahaan.

8. Meninjau dan mengevaluasi proses untuk memastikan bahwa perusahaan mematuhi lisensi perangkat lunak yang berlaku

Menggunakan perangkat lunak secara ilegal dapat mengakibatkan hukuman, denda, dan tuntutan hukum. Semakin mudah bagi karyawan perusahaan mendownload software dari internet. Jika perusahaan tidak mengembangkan proses untuk mencegah atau melacak aktivitas semacam itu (dan juga melacak penggunaan lisensi perusahaan untuk perangkat lunak yang dibeli), mereka dapat menemukan dirinya tunduk pada audit vendor perangkat lunak tanpa kemampuan untuk memperhitungkan dengan benar penggunaan vendor perusahaan perangkat lunak.

9. Mengkaji dan mengevaluasi kontrol atas akses jarak jauh ke dalam jaringan perusahaan (seperti dial-up, VPN, koneksi eksternal khusus).

Mengizinkan akses jarak jauh ke jaringan pada dasarnya menghasilkan jaringan yang diperpanjang melampaui batas normalnya, melewati kontrol perimeter normal seperti firewall. Kurangnya kontrol yang kuat mengenai akses ini dapat mengakibatkan akses yang tidak tepat ke jaringan dan jaringan yang dikompromikan.

10. Pastikan prosedur perekrutan dan pemutusan hubungan kerja jelas dan komprehensif.

Prosedur perekrutan memastikan bahwa karyawan diserahkan ke layar  dan pemeriksaan latar belakang, di mana undang-undang setempat mengizinkan, sebelum mulai bekerja dalam organisasi. Prosedur Termi-nation memastikan bahwa akses terhadap sistem dan fasilitas perusahaan dicabut sebelumnya

11. Meninjau dan mengevaluasi kebijakan dan prosedur pengendalian pengadaan dan pergerakan perangkat keras.

Manajemen aset adalah pengendalian, pelacakan, dan pelaporan aset organisasi untuk memudahkan akuntansi atas aset. Tanpa pengelolaan aset yang efektif, perusahaan akan dikenai peningkatan biaya peralatan duplikat dalam situasi di mana peralatan tersedia namun belum diketahui. Perusahaan juga akan dikenai biaya sewa yang tidak perlu jika peralatan sewa tidak dilacak secara memadai dan dikembalikan tepat waktu. Demikian pula, tanpa pengelolaan aset yang memadai, kondisi peralatan akhir kehidupan mungkin tidak diperhatikan, sehingga meningkatkan risiko kegagalan perangkat keras.

12. Pastikan bahwa sistem konfigurasi dikendalikan denga perubahan manajemen untuk menghindari pemadaman sistem yang tidak perlu.

            Manajemen perubahan konfigurasi memastikan bahwa perubahan sistem dikendalikan dan dilacak untuk mengurangi risiko pemadaman sistem. Ini mencakup perencanaan, penjadwalan, penerapan, dan perubahan pelacakan terhadap sistem untuk mengurangi risiko perubahan lingkungan tersebut.

13. Pastikan media transportasi, penyimpanan, penggunaan kembali, dan pembuangan ditangani secara memadai oleh kebijakan dan prosedur perusahaan

Media kontrol  memastikan bahwa informasi yang tersimpan di media penyimpan data tetap confi-dential dan terlindungi dari kerusakan atau kerusakan dini. Kebijakan, prosedur penyimpanan, penggunaan kembali, dan pembuangan limbah yang tidak memadai, mengekspos organisasi terhadap kemungkinan pengungkapan atau penghancuran informasi penting yang tidak sah.

14. Verifikasi bahwa kebijakan dan prosedur perusahaan secara memadai menangani pengawasan dan perencanaan kapasitas.

Mengantisipasi dan memantau kapasitas pusat data, sistem komputer dan aplikasi merupakan kunci untuk memastikan ketersediaan sistem. Ketika perusahaan mengabaikan kontrol ini, mereka sering mengalami gangguan sistem dan kehilangan data.

15. Berdasarkan struktur proses dan proses TI organisasi anda, identifikasi dan audit proses TI lainnya di tingkat entitas.

Dengan mengidentifikasi kontrol TI dasar, anda harus dapat mengurangi pengujian selama audit lain dan menghindari pengulangan. Misalnya, jika perusahaan anda hanya memiliki satu pusat data produksi, anda dapat menguji keamanan fisik dan kontrol lingkungan dari pusat data itu satu kali. Kemudian, dengan mengaudit sistem individual yang ada di pusat data tersebut, alih-alih mengaudit kontrol keamanan fisik dan lingkungan dari setiap sistem tersebut (yang akan sangat berulang karena semuanya ada di tempat yang sama), anda dapat lihat saja audit tingkat entitas anda terhadap isu-isu tersebut dan lanjutkan.

• Rencana Audit

Audit kontrol tingkat entitas

Daftar periksa audit untuk kontrol tingkat entitas

1. Tinjau keseluruhan struktur organisasi TI untuk memastikan bahwa proyek tersebut memberikan tugas dan tanggung jawab yang jelas terhadap operasi TI dan memberikan pemisahan peran yang memadai.

2. Tinjau proses perencanaan TI strategis untuk memastikan keselarasan dengan strategi bisnis. Evaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.

3. Tentukan apakah strategi dan teknologi dan peta jalan implementasi ada dan evaluasi proses perencanaan teknis jangka panjang.

4. Tinjau kembali indikator kinerja dan ukuran TI. Pastikan proses dan metrik diterapkan (dan disetujui oleh pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan untuk melacak kinerja terkait dengan perjanjian tingkat layanan, anggaran dan persyaratan operasional lainnya.

5. Kaji ulang proses organisasi TI untuk menyetujui dan memprioritaskan proyek baru. Tentukan apakah proses ini memadai untuk memastikan bahwa proyek akuisisi dan pengembangan sistem tidak dapat dimulai tanpa persetujuan. Memastikan manajemen kunci dan pemangku kepentingan meninjau status proyek, jadwal, dan anggaran secara berkala selama masa proyek yang signifikan.

6. Evaluasi peraturan yang mengatur pelaksanaan proyek TI dan memastikan kualitas produk yang dikembangkan atau diakuisisi oleh organisasi TI. Tentukan bagaimana standar ini dikomunikasikan dan ditegakkan.

7. Pastikan bahwa kebijakan keamanan TI ada dan berikan persyaratan yang memadai untuk keselamatan lingkungan. Tentukan bagaimana kebijakan ini dikomunikasikan dan bagaimana kepatuhan dipantau dan ditegakkan.

8.   Mengkaji dan mengevaluasi proses penilaian risiko yang diterapkan untuk organisasi TI.

9. Mengkaji dan mengevaluasi proses untuk memastikan bahwa karyawan perusahaan memiliki keterampilan dan pengetahuan untuk melakukan pekerjaan mereka.

Daftar periksa audit untuk kontrol tingkat entitas (lanjutan)

10. Meninjau dan mengevaluasi kebijakan dan proses untuk menetapkan kepemilikan data perusahaan, mengklasifikasikan data, melindungi data sesuai dengan klasifikasi, dan menentukan siklus hidup data.

11.  Pastikan ada proses yang efektif untuk mematuhi undang-undang dan peraturan yang berlaku yang mempengaruhi TI (seperti HIPAA, Sarbanes-Oxley) dan untuk menjaga kesadaran akan perubahan di lingkungan peraturan.

12. Mengkaji dan mengevaluasi proses untuk memastikan bahwa pengguna akhir lingkungan TI memiliki kemampuan untuk melaporkan masalah, berpartisipasi secara benar dalam keputusan TI, dan merasa puas dengan layanan yang diberikan oleh TI.

13. Tinjau dan evaluasi proses manajemen layanan pihak ketiga, pastikan peran dan tanggung jawab mereka didefinisikan secara jelas dan pantau kinerjanya.

14.   Meninjau dan mengevaluasi proses untuk mengendalikan akses logis non-karyawan.

15. Mengkaji dan mengevaluasi proses untuk memastikan bahwa perusahaan mematuhi perangkat lunak yang berlaku.

• Susunan Instrumen Audit

Regulasi :

• Sarbanes-Oxley Act of 2002

            Sebagai hasil dari beberapa skandal akuntansi dan auditing, kongres mengeluarkan Sarbenes-Oxley Act of 2002. Bagian 404 dari tindakan tersebut mengharuskan manajemen perusahaan untuk menilai dan melaporkan efektivitas pengendalian internal perusahaan. Ini juga mengharuskan auditor independen perusahaan untuk membuktikan pengungkapan manajemen mengenai efektivitas pengendalian internal. Tindakan tersebut juga menciptakan Public Company Accounting Oversight Board (PCAOB).

• PCAOB Auditing Standard No. 5

The Public Company Accounting Oversight Board (PCAOB) menjadi regulator utama audit perusahaan publik. Pada bulan Juni 2007, PCAOB mengadopsi Standar Audit No. 5 (AS5).Standar ini berisi standar untuk melakukan audit pengendalian internal atas pelaporan keuangan yang terintegrasi dengan audit atas laporan keuangan.Auditor harus menguji kontrol tingkat entitas yang penting bagi kesimpulan auditor tentang apakah perusahaan memiliki pengendalian internal yang efektif atas pelaporan      keuangan.

Bergantung pada evaluasi auditor terhadap efektivitas pengendalian tingkat entitas,auditor dapatmeningkatkan atau mengurangi jumlah pengujian yang akan mereka lakukan. Kontrol tingkat badan sangat bervariasi di alam dan presisi. Efeknya terhadap rencana audit bervariasi sesuai dengan seberapa tepatnya mereka.

• Penggunaan Instrumen Audit yang akan digunakan

Definisi kontrol tingkat entitas terpilih yang diatur dalam kerangka COSO

Lingkungan kontrol

Kode etik

Norma yang disetujui oleh organisasi secara sukarela untuk dipatuhi. Misalnya, kode etik perusahaan mungkin termasuk kebijakan untuk melarang karyawan menerima hadiah dari vendor.

Pemerintahan

Mekanisme untuk memantau bagaimana sumber daya suatu organisasi dimanfaatkan secara efisien oleh manajemen, dengan penekanan pada transparansi dan akuntabilitas.

Penugasan Kewenangan dan Tanggung Jawab

Istilah “kewenangan” mengacu pada hak untuk melakukan aktivitas organisasi. Istilah “tanggung jawab” mengacu pada kewajiban untuk melakukan kegiatan yang ditugaskan. Hal ini penting untuk pencapaian tujuan pengendalian bahwa otoritas dan tanggung jawab konsisten dengan tujuan kegiatan bisnisnya dan ditugaskan kepada personil yang tepat.

Praktek rekrutmen dan penyimpanan

Perekrutan dan penyimpanan sumber daya khusus sangat penting bagi keberhasilan sebuah organisasi. Kebijakan dan prosedur yang berkaitan dengan definisi pekerjaan, perekrutan, pelatihan, evaluasi kinerja, program retensi karyawan dan pengelolaan keluar karyawan merupakan komponen penting dalam pengelolaan sumber daya manusia.

Pencegahan kecurangan Pencegahan / Deteksi pengendalian dan prosedur analitik

Ini mengacu pada pengendalian dan prosedur anti-kecurangan yang digunakan oleh manajemen untuk mencegah, mendeteksi dan mengurangi kecurangan. Contohnya mungkin mencakup pemisahan tugas, pembuatan garis etika langsung dan rotasi kerja berkala.

Penilaian Risiko

Metodology Penilaian Risiko

Pendekatan sistematis untuk mengidentifikasi, mengevaluasi dan memprioritaskan risiko.

Teknik Analitik untuk Penilaian Risiko

Teknik analisis, jika digunakan dengan benar, dapat berfungsi sebagai alat dalam proses penilaian risiko. Karena risiko adalah hasil persepsi, teknik analisis membantu menghilangkan subjektivitas, sampai batas tertentu dengan mengumpulkan dan menyajikan data secara sistematis untuk evaluasi dampak potensial dan kemungkinan terjadinya atau risiko.

Informasi dan Komunikasi

Komunikasi Internal dan Pelaporan Kinerja

Ini mengacu pada jalur komunikasi yang berjalan melalui struktur organisasi, baik top-down dan bottom-up, termasuk komunikasi antar rekan. Pelaporan kinerja adalah bagian dari komunikasi internal, dan biasanya melibatkan proses dua arah untuk menetapkan harapan dan memantau kinerja terhadap ekspektasi yang disepakati.

Pengaturan nada

Pengaturan nada mengacu pada berbagai komponen “nada di bagian atas,” yaitu blok bangunan karakter organisasi. Setelah menetapkan nada yang tepat, sama pentingnya memiliki saluran komunikasi terbuka sehingga orang-orang di dalam dan di luar organisasi memahami dan bertindak atasnya. Contoh komponen nada seperti itu mencakup kode etik dan praktik tata kelola perusahaan.

Pelaporan Dewan Komisaris / Komite Audit

Anggota dewan, termasuk direksi independen, mengambil tanggung jawab fidusia yang meminta mereka untuk memiliki akses terhadap informasi yang akurat dan relevan. Meskipun sebagian besar negara telah memberlakukan undang-undang mengenai pelaporan formal kepada Dewan Direksi dan Komite Audit Dewan, hal ini biasanya merupakan prosedur dan persyaratan awal. Perusahaan bebas untuk menerapkan langkah-langkah yang lebih ketat mengenai Pelaporan Dewan / Komite Audit, seperti mengadakan Rapat Komite Audit formal yang lebih sering daripada yang dipersyaratkan oleh undang-undang.

Komunikasi Eksternal

Ini mengacu pada komunikasi kepada pemegang saham, pasar saham, pelanggan, regulator, vendor, dan entitas lain di luar batas formal perusahaan. Laporan tahunan ini merupakan contoh komunikasi eksternal seputar kinerja perusahaan, laporan keuangan, visi, sasaran dan sasaran.

Aktivitas pengendalian

Kebijakan dan prosedur

Kebijakan adalah peraturan bisnis dan praktik formal yang harus diperhatikan oleh organisasi dan karyawannya. Kebijakan dan prosedur ini diatur oleh persyaratan hukum / peraturan, dan filosofi manajemen. Misalnya, kebijakan akuntansi biasanya disesuaikan dengan standar akuntansi yang berlaku, sedangkan kebijakan kredit bergantung pada risk appetite manajemen.

Tinjauan Audit Internal

Audit internal berfungsi sebagai alat untuk Komite Audit dan manajemen untuk menyelami lebih dalam ke area berisiko tinggi yang diidentifikasi untuk mengidentifikasi masalah dan rekomendasi mengenai remediasi mereka. Audit internal sering dilaporkan ke Komite Audit, dan dapat dikelola secara internal maupun eksternal.

Pemisahan tugas

Konsep ini memerlukan tinjauan independen terhadap pekerjaan yang dilakukan oleh individu, mencegah seseorang untuk tidak dapat memulai – dan menyelesaikan – transaksi kritis. Pemisahan tugas adalah kontrol anti-kecurangan utama.

Rekonsiliasi Akun

Rekonsiliasi akun secara periodik membantu identifikasi kesalahan, kelalaian dan bahkan kecurangan. Misalnya, rekonsiliasi akun pelanggan dapat mengidentifikasi pembayaran yang diterima, namun tidak diterapkan, ke akun pelanggan yang benar.

Sistem Balancing dan Exception Reporting

Penyeimbangan sistem mengacu pada pemeriksaan sistem internal untuk memverifikasi integritas data yang ditransfer dari aplikasi lain. Contohnya termasuk mekanisme untuk membandingkan jumlah total antara sumber data asli dan data yang ditransfer ke aplikasi baru. Pelaporan pengecualian berkaitan dengan pelaporan item pengecualian kepada manajemen sehingga penggunaan waktu pengelolaan yang lebih efektif dapat dicapai. Misalnya, Manajer Penjualan berpotensi meninjau semua transaksi penjualan selama sehari. Tetapi lebih efisien waktu jika proses review dan persetujuan difokuskan pada transaksi yang tidak terjual pada harga daftar, atau dijual di atas persentase diskon tertentu yang telah ditentukan sebelumnya.

Manajemen Perubahan

Ini mengacu pada pengelolaan perubahan pada proses, orang, struktur organisasi, dan sebagainya, dengan cara meminimalkan gangguan bisnis yang dapat membahayakan keseluruhan kinerja bisnis.

Monitoring

Memantau Kegiatan Yang Sedang Berlangsung

Peninjauan ulang proses dan control menggunakan alat pelaporan manajemen yang relevan. Sebagai contoh, kegiatan memantau kegiatan yang sedang berlangsung ini termasuk tinjauan akun bulanan untuk menentukan tingkat simpanan yang harus dibayar untuk hutang hutang.

Mekanis Penilaian Secara Indenpenden

Penggunaan spesialis eksternal atau profesional untuk meninjau dan menilai pengendalian internal. Misalnya, ini mungkin termasuk penggunaan profesional pajak eksternaluntuk meninjau kontrol seputar posisi pajak yang dikembangkan oleh tim pajak internal.

Perbedaan analisa pelaporan

Perbandingan dan pelaporan kinerja aktual terhadap tolok ukur yang telah ditentukan sebelumnya, jika digunakan dengan tepat, dapat berfungsi sebagai peringatan awal. Misalnya, peningkatan omset debitur yang stabil dapat mengindikasikan berbagai tingkat masalah terkait koleksi.

Mekanis Remediasi

Ini mengacu pada pendekatan sistematis untuk menyelesaikan masalah pengendalian internal yang teridentifikasi. Meskipun sebuah isu dapat diidentifikasi dengan mekanisme pemantauan internal atau eksternal, mekanisme remediasi biasanya hanya dimiliki manajemen.

Pemicu Manajemen Tertanam dalam sistem TI

Sebagian besar aplikasi perusahaan mengonfigurasi aturan bisnis dengan cara mencegah, memerlukan persetujuan, atau memberi peringatan kepada manajemen terkait jika ambang batas yang ditentukan sebelumnya tidak diperhatikan. Misalnya, aplikasi penjualan dapat menerapkan kontrol yang mencegah transaksi penjualan melebihi batas kredit pelanggan yang ditentukan.

Pedoman Pemantauan Sistem Pengendalian Internal

Perusahaan telah banyak berinvestasi dalam meningkatkan kualitas pengendalian internal mereka; Namun, COSO mencatat bahwa banyak organisasi tidak sepenuhnya memahami pentingnya komponen pemantauan kerangka kerja COSO dan peran yang dimainkannya dalam merampingkan proses penilaian. Pada bulan Januari 2009, COSO menerbitkan Pedoman Pengawasan Sistem Pengendalian Intern untuk mengklarifikasi komponen pemantauan pengendalian internal.

Pemantauan waktu yang efektif dapat menyebabkan efisiensi organisasi dan mengurangi biaya yang terkait dengan pelaporan publik mengenai pengendalian internal karena masalah diidentifikasi dan ditangani secara proaktif, bukan reaktif.

Panduan Monitoring COSO dibangun berdasarkan dua prinsip dasar yang ditetapkan dalam COSO’s 2006 Guidance:

• Evaluasi berkelanjutan dan / atau terpisah memungkinkan manajemen untuk menentukan apakah komponen lain dari pengendalian internal terus berfungsi dari waktu ke waktu, dan
• Kekurangan pengendalian internal diidentifikasi dan dikomunikasikan secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk melakukan tindakan korektif dan manajemen serta dewan direksi sebagaimana mestinya.

Panduan pemantauan lebih lanjut menunjukkan bahwa prinsip-prinsip ini paling baik dicapai melalui pemantauan yang didasarkan pada tiga elemen luas:

• Menetapkan landasan untuk pemantauan, termasuk (a) nada yang tepat di bagian atas; (b) struktur organisasi yang efektif yang memberikan peran pemantauan kepada orang-orang dengan kemampuan, objektivitas dan kewenangan yang sesuai; dan (c) titik awal atau “dasar” pengendalian internal efektif yang diketahui dari mana pemantauan dan evaluasi terpisah dapat dilaksanakan;
• Merancang dan melaksanakan prosedur pemantauan yang berfokus pada informasi persuasif tentang pengoperasian kontrol kunci yang menangani risiko yang berarti terhadap tujuan organisasi; dan
• Menilai dan melaporkan hasil, yang mencakup evaluasi tingkat keparahan kekurangan yang teridentifikasi dan melaporkan hasil pemantauan kepada personil dan dewan terkait untuk tindakan dan tindak lanjut yang tepat waktu jika diperlukan.

Audit Teknologi Sistem Informasi

A.  Konsep Audit

Audit dan kontrol teknologi informasi menjadi penting karena organisasi membutuhkan acuan, parameter dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada pencapaian tujuan organisasi secara terintegratif dan komprehensif. IT Audit dan Kontrol menjelaskan sebuah proses untuk mereview dan memposisikan IT sebagai instrument penting dalam pencapaian usaha/bisnis korporasi. Audit IT dan control melakukan proses sistematik, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan resiko dari implementasi teknologi. Kemampuan mengetahui pengetahuan dan skill pada IT Audit dan control selain juga menunjukkan jenjang professional tertentu dalam professional, juga membuat seseorang akan menganalisa, merancang, membangun, mengimplementasikan, memonitor dan melakukan pengembangan berkelanjutan TIK tidak sekedar beroperasi tetapi juga mengikuti kaidah industri dan standar internasional.

B.  Proses Audit

Proses Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi yaitu:

1.    Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak

2.    Tetapkan langkah-langkah audit yang rinci

3.    Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat

4.    Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan

5.    Telah apakah tujuan audit tercapai

6.    Sampaikan laporan kepada pihak yang berkepentingan

7.   Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.

C.  Teknik Audit

           1. Teknik audit yang dapat digunakan untuk pengujian fisik adalah :

·Observasi/pengamatan 

Peninjauan dan pengamatan atas suatu objek secara hati-hati, ilmiah, dan berkesinambungan selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah.

·Inventarisasi/opname 

Pemeriksaan fisik dengan menghitung fisik barang, menilai kondisinya dan membandingkan dengan saldo menurut buku, kemudian mencari sebab-sebab terjadinya perbedaan apabila ada. hasil opname biasanya dituangkan dalam suatu berita acara.

·Inspeksi

Meneliti secara langsung ketempat kejadian, yang lazim pula disebut on the spot inspection, yang dilakukan secara rinci dan teliti.

           2. Teknik audit yang digunakan untuk mengumpulkan bukti dokumen adalah :

·     Verifikasi 

Pengujian secara rinci dan teliti tentang kebenaran, ketelitian perhitungan, kesahihan, pembukuan, kepemilikan, dan eksistensi suatu dokumen.

·         Cek

Menguji kebenaran atau keberadaan sesuatu dengan teliti.

·         Uji atau Test 

Uji atau test adalah penelitian secara mendalam terhadap hal-hal secara esensial atau penting.

·         Footing 

Menguji kebenaran penjumlahan subtotal dan total dari atas ke bawah. Footing dilakukan terhadap data yang disediakan audit, tujuan teknik footing adalah untuk menentukan apakah data atau laporan yang disediakan audit dapat dibenarkan ketepatan perhitungannya.

·         Vouching 

Menelusuri suatu informasi atau data dalam suatu dokumen dari pencatatan menuju kepada adanya bukti pendukung atau menelusuri mengikuti prosedur yang berlaku dari hasil menuju awal kegiatan.

·         Telusuri 

Teknik audit dengan menelusuri suatu bukti transaksi atau kejadian menuju ke penyajian dalam suatu dokumen.

·         Scanning 

Penelaahan secara umum dan dilakukan dengan cepat tetapi teliti, untuk menemukan hal-hal yang tidak lazim atas suatu informasi.

·         Rekonsiliasi 

Mencocokan dua data yang terpisah, mengenai hal yang sama dikerjakan oleh bagian yang berbeda.

      3. Teknik-teknik audit yang dapat digunakan untuk mengumpulkan bukti analisis adalah

·    Analisis memecah atau mengurai data informasi ke dalam unsur-unsur yang lebih    kecil atau bagian-bagian, sehingga dapat diketahui pola hubungan antar unsur atau unsur penting tersembunyi. Teknik ini sering disebut bencmarking membandingkan dengan unit lain yang sejenis.

·      Evaluasi merupakan cara memperoleh suatu kesimpulan dengan mencari pola hubungan atau dengan menghubungkan atau merakit berbagai informasi yang telah diperoleh baik bukti intern maupun ekstern.

·       Investigasi adalah suatu upaya untuk mengupas secara intensif suatu permasalahan melalui penjabaran, penguraian, atau penelitian secara mendalam. tujuan yaitu memastikan apakah indikasi yang diperoleh dari teknik audit yang lainnya dilakukanmemang benar terjadi.

·       Pembandingan yaitu membandingkan data dari satu unit kerja dengan unit kerja lain, atas hal sama dan periode yang sama atau hal yang sama dengan periode yang berbeda kemudian ditarik kesimpulan.

      4. Teknik audit untuk mengumpulkan bukti keterangan adalah :

·  Konfirmasi : adalah memperoleh bukti sebagai kepastian bagi auditor, dengan cara mendapatkan mendapatkan informasi yang sah dari pihak luar audit. konfirmasi terdapat konfirmasi positif yaitu konfirmasi yang harus dijawab secara tertulis oleh pihak luar dan konfirmasi negatif merupakan konfirmasi yang meminta jawaban tertulis bila data yang dikonfirmasi berbeda.

·    Permintaan informasi : Permintaan informasi yang dilakukan dengan tujuan menggali informasi tertentu berbagai pihak yang berkompeten. hal-hal yang perlu diperhatikan yaitu sumber informasi.

D.  Regulasi Audit TSI

Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan sebagaimana berikut :

1.   Tahapan Pengidentifikasian Objek yang Diaudit

Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab.

      2.   Tahapan Evaluasi Audit

Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI.

E.  Standard dan Kerangka Kerja Audit

Standar Audit SI tidak lepas dari standar professional seorang auditor SI. Standar professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya. Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan. Beberapa diantaranya adalah:

• ISACA     : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and      Control Professionals

• IIA            : International Professional Practices Framework / IPPF

• IASII        : Standar Audit Sistem Informasi

• BI             : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB

• BPPT        : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi

Berikut ini adalah standar audit TSI Menurut ISACA :

S1 Audit Charter

• Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis.

• Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada   tingkatan yang tepat dalam organisasi.

S2 Independence

   • Professional Independence

   • Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem  informasi harus independen terhadap auditee baik dalam sikap maupun penampilan.

   • Organisational Independence

   • Fungsi audit sistem informasi harus independen tehadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan.

S3 Professional Ethics and Standards

   • Auditor  sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit.

   • Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai dalam melakukan tugas audit.

S4 Professional Competence

   • Auditor sistem informasi harus seorang profesional yang kompeten, memiliki  keterampilan dan pengetahuan untuk melakukan tugas audit.

   • Auditor sistem informasi harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.

S5 Planning

   • Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.

   • Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.

S6 Performance of Audit Work

   • Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.

   • Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada.

• Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.

S7 Reporting

   • Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit.

   • Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.

   • Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit.

   • Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung  hasil pelaporan.

F.  Manajemen Resiko

Didalam TSI, hal-hal yang perlu diperhatikan salah satunya adalah penilaian resiko. Konsep resiko dalam hal ini meliputi ancaman, kelemahan dan dampak dari penilaian resiko. Ancaman yang sering terjadi salah satunya adalah adanya kompleksitas dari TSI itu sendiri. Berbagai macam elemen dan variasi yang terdapat dalam TSI mewarnai perkembangan TSI kedepannya.

Tipe-tipe resiko terdiri dari:
1. Resiko pengembangan
2. Resiko Kesalahan
3. Resiko Terhentinya Bisnis
4. Resiko Pengungkapan Informasi
5. Resiko Penggelapan

Proses penilaian resiko dapat dilakukan melalui tahap-tahap berikut ini:
a. Identifikasi objek (asset) yang akan dilindungi
b. Penentuan ancaman yang dihadapi
c. Menetapkan peluang kejadian
d. Menghitung besarnya dampak dan kelemahan sistem
e. Menilai alat-alat pengamanan yang ada
f. Rekomendasi dan implementasi

Sumber:

      IT Auditing : Using controls to protect information assets, Chris Davis, Mike Sciller,    McGrowHill, 2011.

Audit dan Kontrol Teknologi Informasi, Mardhani Riasetiawan, Inside technology Publisher, 2016.

http://oktatinoyudha.blogspot.com/2017/10/konsep-metode-dan-regulasi-audit.html

http://mohamadagus666.blogspot.com/2017/11/menyusun-perencanaan-audit-tsi.html

http://ardyrizaldy01.blogspot.com/2017/10/konsep-audit-tsi.html

http://abdulrohmet.blogspot.com/2017/10/konsep-meteode-alat-dan-regulasi-audit.html