Nama : Amylia Nurrizky Yudhistiara
Kelas / NPM : 4KA21 / 10120135
Mata Kuliah : Audit Teknologi System Informasi
Dosen : Kurniawan B. Prianto, S.Kom., SH, MM
Standar dan Panduan Audit Sistem Informasi
·
Standar
audit
Standar Audit SI tidak lepas dari standar professional
seorang auditor SI. Standar professional adalah ukuran mutu pelaksanaan
kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam
menjalankan tanggungjawab profesinya. Standar profesional
adalah batasan kemampuan (knowledge, technical skill and professional attitude)
minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan
kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya
dibuat oleh organisasi profesi yang bersangkutan.
·
Panduan
audit
Panduan
yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar
Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi
(IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih
khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem
pengendalian intern (internal controls model/framework) lazimnya adalah COBIT.
Audit objectives dalam audit terhadap IT governance (menurut COBIT adalah:
effectiveness, confidentiality, data integrity, availability, efficiency, dan
realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT
governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu
sendiri. Karena itu istilah audit arround the computer dan audit through the computer
tidak relevan lagi di sini.
1.
ISACA is audit standards and
guidelines-COBIT 5
ISACA adalah suatu
organisasi profesi internasional di bidang tata kelola teknologi informasi yang
didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama
lengkap Information Systems Audit and Control Association, saat ini ISACA hanya
menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata
kelola teknologi informasi. ISACA
didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi
terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer.
Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan
telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota
ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar,
profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor
internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih
dari 60 negara, termasuk di Indonesia.
· Sifat
khusus audit sistem informasi, keterampilan dan pengetahuan yang diperlukan
untuk melakukan audit SI memerlukan standar yang berlaku secara global
·
ISACA
berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan
· Dalam
famework ISACA terkait, audit sistem informasi terdapat Standards, Guidelines
and procedures
· Standar
yang ditetapkan oleh ISACA harus diikuti oleh auditor.
· Guidelines
memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam
berbagai penugasan audit.
· Prosedur
memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit
tertentu sehingga dapat menerapkan standar.
· Namun,
IS auditor harus menggunakan pertimbangan profesional ketika menggunakan
pedoman dan prosedur.
Standar audit SI menurut ISACA,
antara lain:
a.
S1 Audit Charter
· Tujuan,
tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit SI atau
penilaian audit SI harus didokumentasikan dengan pantas dalam sebuah audit
charter atau perjanjian tertulis.
· Audit
charter atau perjanjian tertulis harus mendapat
persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.
b.
S2 Independence
· Professional
Independence
o
Dalam semua permasalahn yang berhubungan
dengan audit, auditor SI harus independent terhadap auditee
baik dalam sikap maupun penampilan.
· Organisational
Independence
o
Fungsi audit SI harus independen terhadap
area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit
terselesaikan
c.
S3 Professional Ethics and Standards
· Auditor SI
harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit.
· Auditor SI
harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar
audit profesional yang dipakan dalam melakukan tugas audit.
d.
S4 Professional Competence
· Auditor SI
harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan
untuk melakukan tugas audit.
·
Auditor SI harus mempertahankan kompetensi profesionalnya
secara terus menerus dengan melanjutkan edukasi dan training.
e.
S5 Planning
· Auditor sistem
informasi harus merencanakan peliputan audit sistem informasi sampai pada
tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.
· Audit
sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan
pada pendekatan audit.
f.
S6 Performance of Audit Work
· Pengawasan-staff audit
sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa
tujuan audit telah sesuai dan standar audit profesional yang ada.
· Bukti-Selama
berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup,
layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan
didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang
ada.
·
Dokumentasi-Proses
audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit
untuk mendukung temuan dan kesimpulan auditor sistem informasi.
g.
S7 Reporting
· Auditor sistem
informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian
audit.
·
Laporan
audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan
tingkatan kerja audit yang dilaksanakan.
·
Laporan
audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai
pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem
informasi bertanggung jawab terhadap audit.
· Auditor sistem
informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil
pelaporan.
Adapun tujuan Pengendalian untuk
Informasi dan Teknologi Terkait (COBIT) adalah kerangka kerja sukarela untuk
manajemen dan tata kelola TI. Ini memberikan serangkaian praktik terbaik untuk
proses operasional TI dan membantu organisasi memastikan bahwa TI mereka
selaras dengan tujuan bisnis, mengelola risiko secara efektif, dan memberikan
nilai bagi bisnis.
Audit TI berdasarkan standar COBIT
mengevaluasi tata kelola dan pengelolaan lingkungan TI perusahaan, dengan fokus
pada kinerja dan manajemen risiko untuk memastikan bahwa proses TI mendukung
tujuan strategis organisasi.
Cobit 5
COBIT 5 adalah kerangka
bisnis untuk tata kelola dan manajemen perusahaan IT (IT gevornance framework),
dan juga kumpulan alat yang mendukung para manager untuk menjembatani jarak
(gap) antara kebutuhan yang dikendalikan (control requirments), masalah teknis
(technical issues) dan resiko bisnis (business risk). COBIT 5 adalah evolusi
dari framework sebelumnya yakni, COBIT 4.1 yang ditambah dengan Val IT 2.0 dan
Risk IT.
Pengertian COBIT 5
adalah Informasi merupakan sumber daya utama bagi enterprise. Teknologi memegang peranan penting yang dapat
meningkatkan fungsi informasi pada enterprise, sosial, publik dan lingkungan
bisnis. COBIT 5 memberikan layanan kerangka kerja secara komprehensif untuk
membantu pemerintah dan manajemen IT dalam sebuah perusahaan mencapai tujuan
yang diharapkan Pengertian COBIT 5 adalah sebuah framework atau kerangka kerja
yang memberikan layanan kepada enterprise, baik itu sebuah perusahaan, organisasi,
maupun pemerintahan dalam mengelola dan memanajemen aset atau sumber daya IT
untuk mencapai tujuan enterprise tersebut.
Pada COBIT 5,
proses-proses seperti APO13 Manage Security, DSS04 Manage Continuity dan DSS05
Manage Security Services memberikan panduan dasar 76 mengidentifikasi,
mengoperasikan dan memonitor sistem untuk manajemen keamanan secara umum.
Menggambarkan
keamanan informasi pada enterprise termasuk :
1. Responsibilities
terhadap fungsi IT pada keamanan informasi.
2.
Aspek-aspek
yang akan meningkatkan efektivitas kepemimpinan dan manajemen keamanan
informasi seperti struktur organisasi, aturan-aturan dan kultur.
3.
Hubungan
dan jaringan keamanan informasi terhadap tujuan enterprise.
Memenuhi
kebutuhan enterprise untuk :
1.
Menjaga
risiko keamanan pada level yang berwenang dan melindungi informasi terhadap
orang yang tidak berkepentingan atau tidak berwenang untuk melakukan modifikasi
yang dapat mengakibatkan kekacauan.
2.
Memastikan
layanan dan sistem secara berkelanjutan dapat digunakan oleh internal dan
eksternal stakeholders.
3.
Mengikuti
hukum dan peraturan yang relevan.
Sebagai tambahan, pengembangan COBIT
5 for Information Security untuk memberikan fakta bahwa keamanan informasi
merupakan salah satu aspek penting dalam operasional sehari-hari pada
enterprise.
Prinsip dari OBIT 5
Prinsip COBIT 5 :
Prinsip 1. Meeting Stakeholder Needs
Keberadaan sebuah
perusahaan untuk menciptakan nilai kepada stakeholdernya – termasuk
stakeholders untuk keamanan informasi – didasarkan pada pemeliharaan
keseimbangan antara realisasi keuntungan dan optimalisasi risiko dan penggunaan
sumber daya yang ada. Optimalisasi risiko dianggap paling relevan untuk
keamanan informasi. Setiap perusahaan memiliki tujuan yang berbeda-beda
sehingga perusahaan tersebut harus mampu menyesuaikan atau melakukan customize
COBIT 5 ke konteks perusahaan yang dimiliki.
Prinsip 2. Covering the Enterprise
End-to-End
COBIT 5 mengintegrasikan IT
enterprise pada organisasi pemerintahan dengan cara :
· Mengakomodasi
seluruh fungsi dan proses yang terdapat pada enterprise. COBIT 5 tidak hanya
fokus pada ‘fungsi IT’, namun termasuk pada pemeliharaan informasi dan
teknologi terkait sebagai aset layaknya aset-aset yang terdapat pada
enterprise.
· Mengakomodasi
seluruh stakeholders, fungsi dan proses yang relevan dengan keamanan informasi.
Prinsip 3. Applying a Single,
Integrated Network
COBIT 5 dapat disesuaikan dengan
standar dan framework lain, serta mengizinkan perusahaan untuk menggunakan
standar dan framework lain sebagai lingkup manajemen kerangka kerja untuk IT
enterprise. COBIT 5 for Information Security 80 membawa pengetahuan dari versi
ISACA sebelumnya seperti COBIT, BMIS, Risk IT, Val IT dengan panduan dari
standar ISO/IEC 27000 yang merupakan standar ISF untuk keamanan informasi dan
U.S. National Institute of Standars and Technology (NIST) SP800-53A.
Prinsip 4. Enabling a Holistic
Approach
Pemerintahan dan manajemen perusahaan
IT yang efektif dan efisien membutuhkan pendekatan secara holistik atau
menyeluruh. COBIT 5 mendefinisikan kumpulan pemicu yang disebut enabler untuk
mendukung implementasi pemerintahan yang komprehensif dan manajemen sistem
perusahaan IT dan informasi. Enablers adalah faktor individual dan kolektif
yang mempengaruhi sesuatu agar dapat berjalan atau 7 7enablers yang digunakan
pada COBIT 5 meliputi:
1. Principles,
Policies and Frameworks
2. Processes
3. Organisational
Strucutres
4. Culture,
Ethics and Behaviour
5. Information
6. Services,
Infrastructure and Applications
7.
People, Skills and Competencies
Prinsip 5. Separating Governance from
Management
COBIT
5 dengan tegas membedakan pemerintahan dan manajemen. Kedua disiplin ini
memiliki tipe aktivitas yang berbeda, membutuhkan struktur organisasi yang
berbeda dan memiliki tujuan yang berbeda. COBIT 5 melihat perbedaan tersebut
berdasarkan sudut pandang berikut bekerja
Sumber
:
·
https://arshave24.blogspot.com/2019/10/standar-dan-panduan-audit-sistem.html
·
https://ardyanpp.wordpress.com/2020/10/05/standar-dan-panduan-audit-sistem-informasi/
·
https://faddom.com/it-audit-standards/
·
https://repository.nusamandiri.ac.id/repo/files/237916/download/Modul-Audit-Sistem-Informasi-dan-Tata-Kelola..pdf
2.
ITIL audit standards
ITIL adalah suatu rangkaian konsep dan teknik pengelolaan
infrastruktur, pengembangan, serta operasi TI. ITIL seringkali
dijadikan acuan dalam pelaksanaan IT Service Management (ITSM) suatu
organisasi. ITIL mendeskripsikan secara detail proses, prosedur, tugas dan
ceklist untuk membangun integrasi antara TI dengan strategi organisasi,
memberikan value, dan mempertahankan level minimum kompetensi. ITIL merupakan
panduan dalam melakukan perencanaan, desain, transisi, operasional dan
peningkatan layanan TI secara berkesinambungan dalam Perusahaan.
ITIL dikembangkan
oleh Office of Government Commerce (OGC) di inggris. ITIL dibuat dari Kumpulan
best practices yang ditemukan dalam area layanan TI. ITIL dibuat dari Kumpulan
best practices yang ditemukan dalam area layanan TI. Tujuan dikembangkannya ITIL
adalah membuat suatu kerangka kerja yang dapat digunakan oleh suatu organisasi
sebagai panduan untuk manajemen TI yang digunakan. ITIL versi ketiga dirilis
pada 30 Juni 2007, terdiri dari 5 bagian utama dan lebih menekankan pada
pengelolaan siklus hidup layanan TI. Kelima bagian tersebut adalah service
strategy, service design, service transition, service operation, dan continual
service improvement.
Menurut ITIL, TI bisa dikatakan
sebagai sebuah layanan jika mengandung tiga aspek yaitu dapat membantu
pelanggan mencapai tujuan, pelanggan tidak perlu membeli peralatan dan
infrastruktur yang dibutuhkan, dan resiko menjadi tanggung jawab penyedia
layanan. Sebuah layanan bisa memberikan value jika sudah memberikan garansi
terhadap empat aspek berikut : availability, capacity, security dan continuity.
Aspek-aspek tersebut biasanya menjadi komponen dalam service level agreement
(SLA).
Penjelasan dari masing-masing tahapan
dalam siklus layanan TI dalam ITIL versi 3 sebagai berikut :
1. Service
strategy (SS)
Pada
gambar diatas, menunjukan bahwa service strategy diletakan dipusat dari modul
lainnya, yang mana ini berarti bahwa service strategy memberikan praktek dan
Teknik, serta arahan dalam hal bagaimana untuk merancang, mengembangkan, dan
mengimplementasikan service management dari perspektif kemampuan organisasi dan
aset strategik. Serta mengarahkan prinsip-prinsip yang mendasari service
management yang berguna untuk mengembangkan kebijakan yang ada didalamnya, dan
proses diseluruh siklus layanan ITIL. Definisi lainnya dari service strategy
yaitu yang menspesifikasikan setiap tahap dari siklus layanan agar harus tetap
focus pada business case, dengan menetapkan tujuan bisnis, kebutuhan, dan
prinsip service management.
2. Service
design (SD)
Memberikan
arahan untuk merancang dan mengembangkan layanan serta proses ayanan tersebut. Yang
meliputi prinsip rancangan dan metode untuk merubah tujuan strategik ke dalam
portofolio layanan dan aset layanan. Ruang lingkup dari service design ini
meliputi perubahan dan perbaikan atau pengembangan yang diperlukan untuk
meningkatkan atau mempertahankan serta mengelola nilai kepada pelanggan dalam
siklus layanan, layanan berkelanjutan, pencapaian Tingkat layanan dan
kesesuaian terhadap standar dan peraturan. Juga memandu organisasi mengenai
bagaimana mengembangkan kemampuan merancang untuk service management. Selain
itu juga memastikan bahwa infrastruktur teknologi informasi yang ada harus
mencakup “fit for purpose” dan “fit for use”.
3. Service
transition (ST)
Mengarahkan
dalam hal pengembangan dan perbaikan atau peningkatan kemampuan dalam masa transisi layanan yang baru dan
berubah menjadi operasi. Juga mengarahkan pada bagaimana kebutuhan service
strategy diletakan dalam service design yang efektif untuk operasional layanan
Ketika mengelola resiko kegagalan dan gangguan. Pada bagian ini, framework ITIL
menggabungkan praktek didalam release management, program management, dan risk
management yang menempatkannya didalam konteks praktikal service management.
4. Service
operation (SO)
Mewujudkan
praktek didalam pengelolaan service operation. Termasuk mengarahkan dalam
mencapai efektifitas dan efisiensi dalam memnyampaikan dan mendukung layanan
supaya memastikan agar nilai kepada pelanggan dan kepada pemberi layanan. Dimana
service operation ini mengarah pada keseharian pengelolaan dan operasional pada
layanan bisnis IT.
5. Continual
service improvement (CSI)
Meliputi
instrumental arahan dalam membuat dan mengelola nilai kepada pelanggan melalui
rancangan yang lebih baik, praktikan dan metode dari pengelolaan kualitas,
pengelolaan perubahan, dan perbaikan kemampuan. Yang belajar untuk menyatakan peningkatan dan perbaikan
pada skala besar dalam hal kualitas layanan, efisiensi operasional dan bisnis
berkelanjutan.
ITIL terdiri dari beberapa versi,
yaitu :
·
ITIL
V1
ITIL atau Information Technology Infrastructure Library (
Pustaka Infrastruktur Teknologi Informasi), merupakan gabungan atau sekumpulan
konsep dan praktical dalam menjalankan pengelolaan infrastruktur, pengembangan,
serta operasional TI di suatu institusi. Diciptakan akhir 1980-an oleh CCTA
(Central Computer and Telecommunications Agency), organisasi milik pemerintah
Inggris yang bergerak di bidang komputer dan telekomunikasi berupa kumpulan SOP
(Standard Operating Procedure). Dikenal sebagai ITIL versi 1.
·
ITIL
V2
Tahun
1999 diterbitkan ITIL versi 2. Secara garis besar memandang perlunya
keselarasan (alignment) antara proses bisnis dengan IT.
1. Service
Support; Service Desk, Incident Management, Problem Management, Configuration
Management, Change Management, Release Management.
2. Service
Delivery; Availability Management, Capacity Management, IT Service Continuity
Management, Service Level Management, Financial Management for TI Services,
Security Management.
·
ITIL
V3
Tahun 2007 telah rilis ITIL versi 3. Dengan sudut pandang
baru integrasi antara bisnis dan layanan TI dalam sebuah daur hidup berulang. Versi
ini terdiri dari 5 proses besar yakni Service Strategy, Design, Transition,
Operation, dan Continual Service Improvement.
Dengan menyediakan pendekatan
sistematis untuk manajemen layanan TI, berbagai manfaat ITIL sebagai berikut:
· Mengurangi
biaya.
· Peningkatan
layanan TI melalui penggunaan proses-proses praktek terbaik yang telah terbukti
meningkatkan kepuasan pelanggan melalui pendekatan yang lebih profesional untuk
pelayanan standar dan pedoman.
·
Meningkatkan
produktivitas.
·
Meningkatkan
penggunaan keterampilan dan pengalaman.
·
Meningkatkan
penyampaian layanan pihak ketiga melalui spesifikasi ITIL atau ISO 20000
sebagai standar untuk pengiriman layanan pengadaan jasa.
·
Meningkatkan
waktu terhadap pasar, sehingga produk dan jasa baru dapat diciptakan.
·
Meningkatkan
ketersediaan layanan, untuk meningkatkan keuntungan bisnis.
·
Penghematan
keuangan melalui pengurangan pengerjaan ulang, waktu yang hilang, dan
peningkatan penggunaan manajemen sumber daya.
Sumber :
·
https://www.scribd.com/embeds/260342424/content?start_page=1&view_mode=scroll&access_key=key-fFexxf7r1bzEfWu3HKwf
·
https://arafarra17.blogspot.com/2019/01/itil-framework.html
1.
Konsep
dasar kontrol dan audit sistem informasi (SI)
Untuk mengetahui apakah pengelolaan sistem dan teknologi
informasi telah mencapai tujuan strategisnya, seperti meningkatkan perlindungan
terhadap aset-aset (asset saveguard), menjaga integritas data (data integrity),
meningkatkan efektifitas sistem (effectivity), dan meningkatkan efisiensi
sistem (efficiency).
Sumber
:
·
https://www.scribd.com/embeds/485320590/content?start_page=1&view_mode=scroll&access_key=key-fFexxf7r1bzEfWu3HKwf
2.
Prinsip-prinsip dasar proses audit SI
·
Ethical conduct : Berdasar pada
profesionalisme, kejujuran, integritas, kerahasiaan, dan kebijaksanaan.
·
Fair Presentation : Kewajiban melaporkan
secara jujur dan akurat.
·
Due professional care : Implementasi
dari kesungguhan dan pertimbangan yang diberikan.
·
Independence
· Evidence-base
approach
Adapun
proses-proses mengaudit, seperti :
· Perencanaan
audit (planning the audite)
·
Pengujian pengendalian (test of control)
·
Pengujian transaksi (test of transaction)
·
Pengujian keseimbangan atau keseluruhan
hasil (tests of balance or overal result)
·
Penyelesaian atau pengakhiran audit
(completion of the audit)
Sumber :
·
https://www.scribd.com/embeds/485320590/content?start_page=1&view_mode=scroll&access_key=key-fFexxf7r1bzEfWu3HKwf
3.
Standar
dan panduan audit SI
Standar yang digunakan dalam mengaudit sistem informasi
adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard, IS
Auditing Guidance dan IS Auditing Procedure. Panduan yang dipergunakan dalam
Audit System Informasi di Indonesia adalah Standar Atestasi, dan aturan-aturan
yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA di
USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA
atau IIA.
Model referensi
system pengendalian intern (internal controls model/framework) lazimnya adalah
COBIT. Audit objectives dalam audit terhadap IT governance (menurut COBIT
adalah effectiveness, confidentiality, data integrity, availability, efficiency,
dan realibility). Karena yang diperiksa adalah tata-kelola teknologi informasi
(IT governance), maka yang diperiksa antara lain adalah teknologi informasi itu
sendiri. Karena itu istilah audit around the computer dan audit through the
computer tidak relevan lagi dsini.
Standar audit SI
tidak lepas dari sandar professional seorang auiditor SI , yaitu ukuran mutu
pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota prfsi dalam
menjalankan tanggung jawab profesinya.
a. Control
Internal
Control
internal adalah proses yang dipengaruhi oleh sumber daya manusia dan system
teknologi informasi yang dirancang untuk membantu organisasi mencapai suatu
tujuan tertentu atau suatu cara untuk mengarahkan, mengawasi, dan mengukur
sumber daya suatu organisasi.
Ruang
lingkup kontrol internal yaitu menilai keefektifan sistem pengendalian intern,
pengevaluasian terhadap kelengkapan dan keefektifan sistem pengendalian
internal yang dimiliki organisasi, serta kualitas pelaksanaan tanggung jawab
yang diberikan. Sitem control internal adalah suatu system atau sosial yang
dilakukan Perusahaan yang terdiri dari struktur organisasi, metode, dan
ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak
sesuai dengan tujuan dan program Perusahaan dan mendorong efisiensi serta
dipatuhinya kebijakan manajemen.
b. Control
Objectives
Kontrol
Objectives adalah efektivitas proses departemen dalam mendukung desain dan
persetujuan kerangka pengendalian program berbasis resiko dan mengatur dan
mendukung pengumpulan dan penggunaan laporan penerima. Control risk adalah
resiko pengendalian (control risk) adalah salah satu material yang tidak dapat
dicegah ataupun dideteksi secara tepat pada waktunya oleh berbagai kebijakan
dan prosedur struktur pengendalian intern perusahaan.
c. Management
Control Framework
Management
Control Framework adalah mengumpulkan dan menggunakan informasi untuk
mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan. Application
Control Framework adalah system pengendalian intern computer yang berkaitan
dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan
ruang lingkup proses bisnis individu atau system aplikasi.
d. Corporate
IT Governance
Corporate IT Governance adalah kumpulan kebijakan,
proses atau aktifitas dan prosedur untuk mendukung pengoperasian TI agar
hasilnya sejalan dengan strategi bisnis. Aspek management control framework
antara lain :
· Defining,
creating, redefining, retiring data (dengan wawancara, observasi)
· Membuat
database tersedia untuk semua user
· Menginformasikan
dan melayani user
· Memelihara
integritas data
· Monitoring
operations
Standar ISACA
tersebut harus diikuti oleh auditor dalam melaksanakan audit sistem informasi.
Standar Audit Sistem Informasi menurut ISACA adalah:
· Standar
umum adalah prinsip-prinsip panduan dalam memberikan jaminan operasi audit
sistem informasi. Standar ini berlaku untuk semua pelaksanaan dalam penugasan
audit sistem informasi. Standar ini meliputi etika professional, independensi,
objektivitas dan kehati-hatian serta pengetahuan, kompetensi dan keterampilan.
· Standar
pelaksanaan merupakan panduan pelaksanaan penugasan, seperti perencanaan dan
pengawasan, pelingkupan, risiko dan materialitas, mobilisasi sumber daya,
pengawasan dan manajemen penugasan, bukti audit dan jaminan, dan pelaksanaan
pertimbangan profesional dan kehati-hatian.
·
Standar
pelaporan menentukan jenis laporan, alat komunikasi dan informasi yang
dikomunikasikan.
Sumber :
·
https://www.scribd.com/embeds/526909108/content?start_page=1&view_mode=scroll&access_key=key-fFexxf7r1bzEfWu3HKwf
·
https://www.kompasiana.com/harryprianto3905/6067cd9b8ede484650764622/tb-1-prof-dr-apollo-konsep-dasar-audit-sistem-informasi?page=2&page_images=1
4.
Kontrol internal Ruang lingkup
kontrol internal
Kontrol merupakan
penggunaan semua sarana perusahaan untuk meningkatkan, mengarahkan,
mengendalikan, dan mengawasi berbagai aktivitas dengan tujuan untuk memastikan
berbagai aktivitas dengan tujuan untuk memastikan bahwa tujuan perusahaan
tercapai. Ruang lingkup kontrol internal yaitu menilai keefektifan sistem
pengendalian intern, pengevaluasian terhadap kelengkapan dan keefektifan sistem
pengendalian internal yang dimiliki organisasi, serta kualitas pelaksanaan
tanggung jawab yang diberikan. Sitem control internal adalah suatu system atau
sosial yang dilakukan Perusahaan yang terdiri dari struktur organisasi, metode,
dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak
sesuai dengan tujuan dan program Perusahaan dan mendorong efisiensi serta
dipatuhinya kebijakan manajemen.
A. Model-model
control internal
a. Model
coso
Lima
komponen control internal
1.
Lingkungan
Kontrol : meliputi sikap manajemen disemua tingkatan terhadap operasi secara
umum dan konsep kontrol secara khusus.
2.
Penentuan
Risiko : mencakup penentuan risiko disemua aspek organisasi dan penentuan
kekuatan organisasi melalui risiko.
3.
Aktivitas
Kontrol : mencakup aktivitas-aktivitas yang dulunya dikaitkan dengan konsep
kontrol internal.
4.
Informasi
dan Komunikasi : komunikasi informasi tentang operasi kontrol internal
memberikan substansi yang dapat digunakan manajemen untuk mengevaluasi
efektivitas kontrol dan untuk mengelola operasinya.
5.
Pengawasan
: evaluasi rasional yang dinamis atas informasi yang diberikan pada komunikasi
informasi untuk tujuan manajemen kontrol.
b.
Model
coco
Mencakup empat komponen :
1.
Tujuan
2.
Komitmen
3.
Kemampuan
4.
Pengawasan
dan Pembelajaran
Komponen-komponen
tersebut digunakan untuk mengklasifikasikan 20 kriteria, yang bisa menjadi
bagian dari program audit.
B.
Penggunaan
Model Kontrol Di Audit Internal
Kedua jenis kontrol memiliki risiko yang dapat dijelaskan
dan diukur kemungkinan terjadi dan signifikansinya bila terjadi. Kombinasi
kedua hal ini disebut kerawanan. Jadi, bila situasi tersebut dirumuskan makan
akan terlihat sebagai berikut :
𝑃 𝑥 𝑆 = 𝑉
P
: Kemungkinan terjadi (Potential Occurrence)
S
: Signifikansi (Significance)
V
: Kerawanan (vulnerability)
C. Auditabilitas
Sistem Dan Studi Kontrol
Auditabilitas sistem dan studi kontrol memaparkan 3
konsep dasar :
a)
Keyakinan
yang wajar diperoleh jika terdapat kontrol yang efektif dari segi biaya untuk
mengurangi risiko bahwa keseluruhan tujuandan sasaran tidak tercapai sampai
pada tingkat tertentu
b)
Tujuan
didefinisikan sebagai pernyataan pencapaian yang diinginkan organisasi
c)
Sasaran
merupakan target-target khusus yang harus bisa diidentifikasikan diukur,
dicapai, dan konsisten dengan tujuan.
D.
Komponen-komponen
sistem kontrol internal
E.
Fungsi
kontrol
-
Kontrol
korektif
-
Kontrol
preventif
-
Kontrol
detektif
Sumber :
· https://fe.unisma.ac.id/MATERI%20AJAR%20DOSEN/AUDITINT/HRR/3_Audit%20Internal.pdf
Komentar
Posting Komentar