Makalab audit TI Page

BAB I
PENDAHULUAN

Bab sebelumnya diIokuskan pada penyediaan alat dan teknik yang paling sering
digunakan auditor IT sebagai alat perdagangan. Banyak buku membahas pengendalian internal
dan topik lainnya erat dengan audit TI, tetapi gagal untuk menjelaskan bagaimana pentingnya
pelaksanaan audit TI. Dengan tersedianya alat saat ini, bab ini akan menjelaskan dasarnya, yaitu,
bagaimana audit TI terjadi.

Banyak orang merujuk sebuah "audit TI" seolah-olah hanya ada satu jenis audit TI.
Sebenarnya, auditor IT terlibat dalam berbagai jenis audit. Tetapi terlepas dari jenis audit, ada
siklus hidup ditentukan melalui audit TI berlangsung. Kita menyebut proses ini sebagai "siklus
hidup TI audit," di mana prosedur dasar yang sama untuk setiap audit TI.

Bab ini dimulai dengan merinci siklus hidup audit TI yang berlaku untuk semua jenis
audit TI. Kami kemudian memberikan gambaran dari empat jenis utama dari audit TI. Kami
menyertakan program audit yang diperlukan untuk menyampaikan siIat praktis dari bab ini.
Karena ada begitu banyak jenis audit TI, adalah mustahil bagi kita untuk menjelaskan secara
rinci setiap jenis audit TI dalam lingkup terbatas buku ini. Selain itu, topik-topik seperti audit
keamanan jaringan dan audit aplikasi sangat teknis, dan prosedur audit tergantung pada
perangkat keras dan perangkat lunak yang digunakan oleh klien. Namun, tujuan akhir kita dalam
bab ini adalah untuk meninggalkan Anda dengan kesan bahwa Anda memiliki pemahaman yang
luas atas logistik untuk melakukan audit TI.

A. $%ANDAR AUDI%

Sebagaimana dibahas dalam Bab 1 dan 3, ada segudang standar audit yang auditor TI harus
pertimbangkan. Ini termasuk Statements oI Auditing Standards (SASs), yang dikeluarkan oleh
American Institute oI CertiIied Public Accountants (AICPA); Standar Audit IS, Pedoman, dan
Prosedur dari InIormation Systems Audit an d Control Association (ISACA); Pernyataan
AICPA pada Statement on Standards Ior Attestation Engagements (SSAE); Standar Audit
Internasional dari International Federation oI Accountants (IFAC), dan ISACA Control Control
Objectives Ior InIormation and Related Technology (CobiT). Auditor TI harus membedakan
mana standar yang sesuai untuk audit. Untuk inIormasi lebih lanjut tentang berbagai jenis
standar audit, lihat Bab 1 dan 3.

B. $IKLU$ HIDUP AUDI% %I

Semua audit TI melalui proses siklus yang kita sebut " siklus hidup Audit TI." Proses ini
meliputi: perencanaan, penilaian risiko, pengembangan program audit, pengumpulan bukti,
membuat kesimpulan, mempersiapkan opini audit, dan menindaklanjuti.

. Perencanaan
Langkah satu melibatkan perencanaan proyek audit TI. Ini berarti menentukan apa risiko yang
melekat dalam audit, mengakrabkan diri dengan klien audit dan lingkungan di mana klien
beroperasi, dan menentukan rencana untuk melakukan audit, termasuk yang akan staI audit dan
bagaimana audit umumnya akan dilakukan.
Standar ISACA 050,010, "Perencanaan Audit," menyatakan: " sistem inIormasi Auditor adalah
untuk merencanakan pekerjaan sistem inIormasi audit untuk menentukan tujuan audit dan
mematuhi standar audit proIesional yang berlaku." Pedoman ISACA 050.010.020 memberikan
Makalab audit TI Page

panduan yang lebih spesiIik pada perencanaan. Per pedoman, auditor harus melakukan tugas
berikut selama Iase perencanaan:
enetapkan ruang lingkup dan tujuan pengendalian atas pekerjaan yang akan dilakukan
auditor;
Lakukan penilaian awal pengendalian yang relevan atas proses yang auditor akan audit;
emperoleh pemahaman tentang organisasi dan bisnisnya, keuangan, dan risiko yang
melekat, serta masalah lingkungan yang erat dengan industri atau klien;
engidentiIikasi sejauh mana klien bergantung pada outsourcing;
engembangkan program audit berisi prosedur audit yang spesiIik yang auditor akan
lakukan selama melakukan audit kerja lapangan;
engembangkan rencana audit untuk melakukan audit secara keseluruhan; dan
endokumentasikan kertas kerja audit dengan rencana audit dan program audit dan
dokumentasi lain yang diperlukan untuk substantiI pemahaman tentang operasi bisnis
klien dan lingkungan operasi.

O ruang lingkup dan tujuan pengendalian
Ruang lingkup audit menentukan siIat dan tingkat pengujian yang akan dilakukan dalam audit.
Sebagai contoh, jika tujuan audit TI adalah untuk mengevaluasi program perubahan kontrol,
ruang lingkup yang ditentukan sesuai, dan semua pekerjaan audit direncanakan dan dilakukan
dalam lingkup tersebut. Tujuan pengendalian, pada gilirannya, ditentukan untuk memberikan
dukungan atas lingkup audit.

O aterialitas Seperti dalam audit keuangan, pengaturan tingkat materialitas dilakukan
selama Iase perencanaan. Tingkat materialitas menetapkan benchmark dimana auditor
mengukur pentingnya pengecualian. Dalam audit keuangan, auditor biasanya
menetapkan materialitas sebagai persentase dari total penjualan atau aset total. Dalam
audit TI, Pedoman 050.010.010 memerintahkan auditor untuk mempertimbangkan 1)
tingkat agregat kesalahan yang ditoleransi oleh manajemen dan tim audit, dan 2) potensi
adanya kesalahan kecil dan kelemahan dalam kontrol yang dapat menjadi material.
Pedoman 050.010.010 memerintahkan auditor untuk menetapkan materialitas menggunakan
kriteria sebagai berikut:
Auditor memilih pengendalian untuk memeriksa berdasarkan materialitas. Kontrol
adalah material jika ketiadaannya mencegah terpenuhinya tujuan pengendalian;
Auditor menentukan materialitas untuk sistem inIormasi atau operasi yang memproses
transaksi keuangan dengan menilai nilai aset yang dikendalikan oleh sistem atau volume
transaksi yang diproses melalui sistem.

Auditor menentukan materialitas untuk sistem inIormasi atau operasi yang memproses transaksi
non-Iinansial dengan mempertimbangkan biaya sistem, kekritisan inIormasi diproses, dan biaya
potensi kesalahan, antara barang-barang lainnya yang tercantum dalam Pedoman.

O 4uts4urcing Selama perencanaan, auditor TI harus mempertimbangkan sejauh mana
klien bergantung pada outsourcing jasa kepada pihak ketiga. Pedoman 010.010.020
mengharuskan auditor untuk memperoleh pemahaman tentang siIat, lingkup, dan waktu
layanan tersebut dengan meninjau perjanjian layanan yang ada. Selain itu, auditor
mereview kontrol di tempat relatiI terhadap layanan outsourcing. Jika pihak ketiga telah
memiliki SAS 70
audit yang dilakukan, auditor TI harus mendapatkan salinan dari opini audit, memastikan bahwa
itu adalah pendapat wajar tanpa pengecualian, dan menambahkan pendapat tersebut ke kertas
kerja audit. SAS 70 perikatan akan dijelaskan secara lebih rinci nanti dalam bab ini.

Makalab audit TI Page

. Penilaian Risik4 atau "Apa yang Bisa $alah?"
Karena penilaian risiko adalah sebuah topik penting dalam audit TI, kami telah mengabdikan
seluruh bab (lihat Bab 3) untuk diskusi tentang risiko. Untuk alasan itu, kami akan menjaga
diskusi singkat penilaian risiko di sini.

Banyak auditor saat ini menggunakan pendekatan audit berbasis risiko dalam melakukan audit.
Dalam jenis audit ini, penilaian risiko berkisar pada pertanyaan "Apa yang bisa salah?" Artinya,
pada awalnya auditor TI Iokus pada penentuan proses pendukung yang penting untuk proses
audit yang dilakukan. Selanjutnya, mereka bertanya pada diri sendiri apa yang mungkin bisa
salah dalam proses-proses pendukung tersebut. Hal ini membantu auditor mengidentiIikasi
kontrol yang harus di tempatkan untuk menjaga integritas dari proses audit. Auditor termasuk
kontrol bahwa dia dianggap sebagai barang-barang materi yang akan diuji dalam program audit.

Pendekatan berbasis risiko mengharuskan auditor untuk memiliki pemahaman yang menyeluruh
tentang klien, industri dan lingkungan di mana klien beroperasi, dan siIat dari proses bisnis
klien. Tanpa pemahaman yang menyeluruh, auditor mungkin gagal untuk dengan benar
mengidentiIikasi proses bisnis kritis dan kontrol internal yang sesuai yang harus dia evaluasi.
aterialitas juga memainkan peranan penting dalam penilaian risiko. Jika kontrol tidak ada,
seberapa material control tersebut? Jika itu adalah proses ringan, auditor dapat tidak menguji
kontrol, sebagai manIaat melakukannya, tidak akan memperberat biaya.

Tentu saja, pengendalian internal adalah tanggung jawab manajemen. Beberapa perusahaan,
mengakui dan merangkul tanggung jawab ini, melakukan penilaian pengendalian internal
mereka. Jenis lingkungan pengendalian dapat sangat membantu auditor dalam menilai
eIektivitas pengendalian.

. Pr4gram Audit
Tidak ada standar program audit untuk audit TI karena prosedur audit harus disesuaikan dengan
perangkat keras dan perangkat lunak klien, arsitektur jaringan dan topologi, dan sejumlah
pertimbangan lingkungan dan spesiIikasi industri. Program audit yang kami sediakan kemudian
dalam bab ini adalah program audit generik, dengan rincian yang akan auditor sesuaikan sesuai
kebutuhan.
Sebuah program audit generik mencakup komponen-komponen berikut:
Ruang lingkup audit;
Tujuan audit;
Prosedur audit, dan
Rincian Administrasi seperti perencanaan dan pelaporan.

Program audit, yang harus didokumentasikan dalam kertas kerja, berIungsi sebagai template
untuk pekerjaan yang harus dilakukan. Setelah audit selesai, program audit menyediakan
dokumentasi untuk yang melakukan prosedur audit individu dan reIerensi ke kertas kerja dimana
hasil dari setiap langkah pengujian dan audit dapat dilihat.

. engumpulkan Bukti
Tujuan pekerjaan lapangan adalah untuk mengumpulkan "... bukti yang cukup, handal, relevan
dan berguna untuk mencapai tujuan audit secara eIektiI. Temuan audit dan kesimpulan harus
didukung oleh analisis yang tepat dan interpretasi buktinya" (ISACA Standar 060,020," Bukti ")
engumpulkan bukti materi adalah jantung dari audit, karena menyediakan dasar bagi opini
audit yang diberikan akhirnya..

Makalab audit TI Page

Pedoman ISACA 060.020.030 mengidentiIikasi beberapa jenis bukti IT yang akan auditor
kumpulkan sebagai bagian dari kerja lapangan, termasuk:
engamati proses dan keberadaan barang-barang Iisik seperti operasi komputer atau
prosedur backup data;
Dokumenter bukti seperti log mengubah program, sistem log akses, dan tabel otorisasi;
Representasi seperti diagram alur disediakan klien, narasi, dan kebijakan dan prosedur
tertulis, dan
Analisis seperti prosedur CAATs berjalan pada Iile data disediakan klien.

Jika auditor tidak memperoleh bukti yang cukup, ia mungkin perlu meminta lebih banyak data
dari klien dalam rangka untuk memenuhi tujuan tertentu. Jika bukti yang memadai tidak dapat
diperoleh, auditor harus mempertimbangkan materialitas bukti dan eIeknya pada lingkup audit.

Tidak semua bukti yang ada sama. Sebaliknya, auditor harus membedakan kualitas, atau
keandalan, atas bukti yang mereka kumpulkan selama melakukan audit kerja lapangan. Sebagai
contoh, bukti yang diberikan secara independen dari sumber-sumber luar dianggap lebih dapat
diandalkan daripada bukti yang diperoleh dari dalam perusahaan klien. Itu sebabnya, misalnya,
auditor memperoleh pernyataan yang berbeda langsung dari bank dan konIirmasi piutang
pelanggan langsung dari klien bukan hanya berdasarkan pernyataan klien mengenai jumlahnya.
Selain itu, bukti obyektiI yang diperoleh dianggap lebih dapat diandalkan daripada sebaliknya.
Sebagai contoh, rekaman inventaris perpustakaan klien lebih handal daripada interpretasi auditor
kontrol mengenai rekxdaman perpustakaan berdasarkan diskusi dengan personel klien.

. sampling isu
Pedoman ISACA 060.020.040 mendeIinisikan sampel sebagai "... penerapan prosedur audit
menjadi kurang dari 100 dari populasi untuk mengaktiIkan |TI| Auditor untuk mengevaluasi
bukti audit tentang beberapa karakteristik dari item yang dipilih dalam rangka untuk membentuk
atau membantu dalam membentuk suatu kesimpulan tentang populasi. " Seperti disebutkan
dalam Bab 8, IT auditor menggunakan perangkat lunak seperti ACL yang dapat melakukan
analisis dan kalkulasi ulang pada seluruh populasi ketika Iile tersebut ada dalam Iormat
elektronik. Sampling diperlukan jika tidak mungkin atau praktis untuk melakukan prosedur audit
terhadap seluruh penduduk yang berkepentingan.

Ada dua jenis pendekatan sampling? atribut sampel dan sampel variabel. Sampling Atribut
adalah pendekatan yang digunakan oleh sebagian besar IT auditor, karena melibatkan pengujian
pengendalian internal seputar proses yang dianggap penting selama perencanaan audit. Auditor
akan memilih untuk pengujian item yang relevan dengan tujuan kontrol yang dinilai sesuai
dengan lingkup audit. Setelah pengujian kontrol, auditor menentukan apakah tujuan kontrol
dapat dicapai atau tidak. Dengan demikian, auditor TI dapat menghitung jumlah penyimpangan
dari kontrol dan termasuk yang dianggap (persen) sebagai bukti. Sampling variabel yang paling
relevan dengan audit laporan keuangan, karena melibatkan pengujian substantiI dari
karakteristik populasi yang bervariasi (yaitu, dolar atau bobot).

6. Pembentukan Kesimpulan
Setelah semua bukti audit dikumpulkan, adalah tugas auditor untuk mengevaluasi bukti dan
mengambil kesimpulan tentang apakah tujuan audit terpenuhi dan memadaikah prosedur audit
yang dilakukan dalam mencapai suatu opini audit secara keseluruhan. Auditor juga akan
mengidentiIikasi setiap ketentuan pelaporan. Hal ini mengacu untuk setiap situasi yang ada,
untuk perhatian auditor yang mewakili kelemahan kontrol substansial. Ketentuan pelaporan
biasanya disusun dalam Surat anajemen, yang dibahas dengan komite audit dan manajemen
klien dalam sebuah wawancara di akhir audit.
Makalab audit TI Page

Kesimpulan auditor tidak boleh menjadi kejutan bagi manajemen personalia. Jika auditor
menyingkap kelemahan substansial dalam pengendalian internal dan / atau salah saji material
dalam laporan keuangan, auditor harus menyampaikan anomali tersebut kepada manajemen
ketika ditemukan. Pada akhir audit, manajemen harus merekonsiliasi dan menyelesaikan
masalah tersebut. Jika tidak, auditor mungkin perlu untuk memberi kalimat pernyataan terhadap
opini audit.

. Pendapat Audit
Sama seperti tidak adanya program audit TI standar, tidak ada laporan audit standar. Beberapa
jenis audit TI memiliki kriteria khusus untuk apa yang akan dimasukkan dalam laporan audit
mereka. Audit laporan untuk attestations, temuan dan rekomendasi, SAS 70 audit, dan SAS 94
audit dibahas kemudian dalam bab ini.

Pedoman untuk item umum yang dimasukkan dalam laporan audit yang disediakan oleh
Pedoman ISACA 070.010.010. Item berikut harus dimasukkan dalam laporan audit:
Nama organisasi yang diaudit;
Sebuah judul, tanda tangan, dan tanggal;
Sebuah pernyataan dari tujuan audit dan apakah audit mencapai tujuan tersebut;
Ruang lingkup audit, termasuk "area audit yang Iungsional, periode audit tertutup dan
sistem inIormasi, aplikasi atau pengolahan lingkungan yang diaudit;"
Pengakuan batasan ruang lingkup di mana auditor tidak dapat melakukan audit secara
memadai untuk mencapai tujuan audit tertentu;
Para penonton dimaksudkan untuk laporan, termasuk pembatasan pada distribusi
laporan;
Standar dan kriteria di mana auditor melakukan audit;
Sebuah penjelasan rinci dari semua temuan yang signiIikan;
Sebuah kesimpulan pada area audit yang dievaluasi, termasuk keberatan atau kualiIikasi
signiIikan;
Saran untuk tindakan korektiI atau perbaikan bila sesuai, dan
Peristiwa signiIikan berikutnya yang terjadi setelah audit lapangan selesai.


8. F4ll4ing Up
Tahap akhir dari siklus hidup audit TI merupakan tindak lanjut (Iollow up). Setelah auditor
mengkomunikasikan hasil audit kepada klien dan memberikan opini audit kepada klien, auditor
dan klien akan membuat ketentuan untuk menindaklanjuti setiap kondisi dilaporkan atau
kekurangan audit yang ditemukan selama audit. Sebagai contoh, jika kekurangan kontrol yang
signiIikan dicatat, auditor dan klien dapat merencanakan untuk meninjau kembali masalah ini
dalam tiga puluh hari untuk menentukan apakah kekurangan itu telah dikoreksi.

Tentu saja, beberapa kekurangan mungkin memakan waktu lebih lama untuk diselesaikan oleh
klien. Selama wawancara, auditor dan klien akan setuju pada tingkat dan waktu prosedur tindak
lanjut. Tindak lanjut dapat mengambil bentuk panggilan telepon ke manajemen dan dokumentasi
percakapan berikutnya, atau auditor dapat menjadwalkan prosedur audit tambahan untuk
memuaskan semua pihak bahwa manajemen telah mengoreksi kelemahan material kontrol
internal.

. EPA% 1ENI$ U%AA AUDI% %I

Makalab audit TI Page

Seperti yang kita bahas pada Bab 1, ada empat jenis utama dari audit TI: 1) atestasi; 2) temuan
dan rekomendasi; 3) SAS 70 audit; dan 4) SAS 94 audit. Kita akan membahas masing-masing
pada gilirannya.

. PENGE$AHAN
Dalam membuktikan keterlibatan, auditor memberikan keyakinan pada sesuatu yang
dipertanggung jawabkan klien. Sebagai contoh, klien bertanggung jawab untuk menjaga
struktur pengendalian internal yang eIektiI. Perwakilan klien - mengatakan, pengontrol
perusahaan dalam hal ini disebut pihak yang bertanggung jawab. Pihak yang bertanggung
jawab membuat pernyataan menggunakan beberapa kriteria. Dalam contoh ini, controller
membuat pernyataan dalam bentuk surat representasi bahwa struktur pengendalian internal
perusahaan adalah eIektiI menggunakan standar COSO. Auditor kemudian melakukan
pemeriksaan, review, atau prosedur yang telah disepakati (AUP) dan memberikan laporan
tertulis, sering disebut sebagai "Laporan ke anajemen," pada temuan. Biasanya sebuah AUP
adalah laporan jaminan negatiI. Artinya, auditor menyatakan apa yang diminta untuk dilakukan
dan setiap temuan - atau kurangnya temuan - untuk memberikan umpan balik kepada pengguna
laporan.

Panduan atestasi disediakan oleh laporan Auditing Standards Board (ASB)'s pada Standards Ior
Attestation Engagements (SSAE) No. 10, Standar Atestasi: Revisi dan RecodiIication, yang
eIektiI tanggal 1 Juni 2001. SSAE 10 terdiri dari tujuh bab yang memberikan panduan tentang
berbagai layanan atestasi dan menggantikan semua SSAEs sebelumnya. Gambar 9-2
menunjukkan komponen SSAE 10.

enurut SSAE 10, kriteria, atau standar, terhadap yang auditor lakukan atestasi harus cocok dan
tersedia bagi pengguna laporan atestasi. SSAE 10 khusus mengidentiIikasi beberapa criteria
yang cocok, seperti COSO. Jika tidak tercantum secara khusus, kriteria akan dianggap cocok
bila objektiI, terukur, lengkap, dan relevan.

Sangat mudah untuk membingungkan atestasi keterlibatan dan temuan dan rekomendasi
keterlibatan (sering disebut sebagai "konsultasi"). Salah satu tujuan SSAE 10 adalah untuk
memperjelas perbedaan antara keduanya. Gambar 9-3 menunjukkan perbedaan utama. Secara
umum, dalam membuktikan keterlibatan, klien secara khusus setuju untuk prosedur yang harus
diterapkan, sementara dalam temuan dan rekomendasi keterlibatan, klien menyatakan secara
umum apa yang dia ingin lakukan tapi item baris tertentu tidak disepakati oleh auditor dan klien.
Selain itu, laporan tertulis tidak diperlukan dalam keterlibatan konsultan, padahal diperlukan
untuk keterlibatan pengesahan.


konsulLasl
keLerllbaLan membukLlkan per[an[lan
Laporan LerLulls
memberlkan [amlnan
Yes No
represenLasl suraL
Tidak diperlukan pada setiap
membuktikan
No

keLerllbaLan LeLapl serlng
dlgunakan

dlLulls pernyaLaan ulperlukan hanya unLuk yang
Lelah dlsepakaLl
No

prosedur keLerllbaLan pada
kepaLuhan

Makalab audit TI Page

aLau lnLernal konLrol aLas kepaLuhan
CAM8A8 93 erbedaan anLara membukLlkan vs 1emuan dan 8ekomendasl (konsulLasl) erLunangan


Contoh prosedur pembuktikan yang paling mungkin dilakukan auditor TI meliputi review Data
analitik, review perjanjian komisi, keterlibatan WebTrust dan SysTrust , proyeksi keuangan, dan
ulasan kepatuhan. Selain itu, Bagian 404 dari Sarbanes-Oxley Act kemungkinan akan menjadi
sumber yang signiIikan atas pelaksanaan atestasi bagi auditor sebagaimana klien berusaha untuk
mematuhi persyaratan pengendalian internal dari Undang-Undang.

REVIEW DA%A ANALI%I$ Dalam review data analitik, auditor TI membuat penggunaan
signiIikan dari soItware seperti ACL untuk menentukan apakah angka-angka dalam laporan
keuangan wajar. Biasanya, ini melibatkan analisis rasio, recalculations, veriIikasi, dan
meringkas nomor laporan keuangan untuk memastikan mereka kewajarannya. Jenis review
analitis ini selalu dilakukan dalam audit laporan keuangan yang khas. Namun, jika klien
menginginkan analisis tambahan, mungkin didasarkan pada dugaan kesalahan atau
penyimpangan, klien dapat melakukan kontrak dengan perusahaan audit untuk melakukan jenis
analisis tambahan sebagai prosedur yang telah disepakati.

REVIEW PER1AN1IAN KOI$I Dalam review perjanjian komisi, pekerjaan auditor TI
adalah untuk memveriIikasi bahwa perjanjian komisi klien benar-benar dipertanggungjawabkan.
Sebagai contoh, sebuah perusahaan yang memiliki perjanjian komisi dengan pihak ketiga dapat
melibatkan auditor untuk melakukan jenis analisis ini. Kadang-kadang review ini diperlukan
dalam kontrak antara klien dan pihak ketiga. Atau, sebuah perusahaan yang membayar komisi
kepada karyawan sebagai bagian integral dari rencana kompensasi yang mungkin melakukan
audit proses komisi untuk integritas.

ON%OH Perusahaan Penjualan ABC ingin melakukan audit review komisi. Secara
khusus, mereka ingin jaminan pada integritas sistem pembayaran komisi mereka. ereka
telah menyewa Auditor Eksternal XYZ untuk mendapatkan jaminan ini. Perikatan ini
merupakan prosedur yang telah disepakati di mana auditor dan klien secara khusus setuju
atas apa yang akan dibuktikan. Program audit mungkin terlihat seperti pada gambar 9-4.

Auditor TI kemungkinan akan terlibat dalam audit ini, tetapi tidak dalam semua langkah. Dalam
program audit di atas, auditor TI akan terlibat dalam perencanaan, dalam mendownload Iile
klien, dalam analisis, dan dalam perhitungan kembali komisi. Auditor TI akan menggunakan
ACL atau alat serupa untuk mengekstrak komisi populasi yang dibayarkan kepada pihak ketiga
dan menghitung ulang berapa komisi yang harus dibayar.

Opini audit dalam prosedur atestasi yang disepakati mencatat siIat dari pekerjaan yang dilakukan
oleh auditor dan menyatakan bahwa pekerjaan tersebut bukanlah audit.

Lingkup Audit W/P Ref 4mpleted
Revie dari sistem pembayaran k4misi
%ujuan Audit
1. Untuk memastikan integritas sistem pembayaran komisi.
2. Untuk mengevaluasi eIektivitas pengendalian internal sekitar
sistem pembayaran komisi.

Langkah Audit
Makalab audit TI Page 8

Perencanaan
1. Bertemu dengan manajemen klien dan mendapatkan pemahaman
tentang perikatannya.
2. Tinjauan perikatan yang sebelumnya dilakukan untuk klien yang
sama, jika ada, untuk menentukan masalah di masa lalu.
3. Lakukan penilaian risiko awal untuk menentukan risiko dan
kerentanan.
4. enulis program audit rinci.
5. enentukan StaI audit tergantung pada keterampilan teknis yang
diperlukan.
6. engatur anggaran audit.


Kerja Lapangan
1. Wawancara personil kunci klien yang terlibat dalam proses
komisi.
2. endapatkan pemahaman tentang lingkungan bisnis klien dan
struktur organisasi dan dokumentasikan pemahaman ini dalam
kertas kerja audit.
3. eminta salinan elektronik dari Iile klien yang relevan.
4. Hitung kembali jumlah komisi dan membandingkannya dengan
catatan sebelumnya.
5. Tes umum dan aplikasi kontrol di sekitar proses pembayaran
komisi. (Bagian ini akan mencakup prosedur audit rinci untuk
pengujian pengendalian umum dan aplikasi.)
6. Lakukan analisis untuk menentukan kewajaran, ketepatan waktu,
dan veriIikasi penerima pembayaran komisi.
7. Pastikan dokumentasi yang tepat termasuk dalam kertas kerja
audit untuk semua bukti yang dikumpulkan.

Kesimpulan dan Pelap4ran
1. erumuskan kesimpulan untuk integritas sistem pembayaran
komisi dan eIektivitas pengendalian internal sekitar sistem
pembayaran komisi.
2. ReviewIindings dengan manajemen klien dan komite audit.
3. Preparethe laporan audit.
4. Tindak lanjuti pada kondisi dilaporkan dengan klien pada waktu
yang disepakati.

GABAR 9-4 Contoh Program Audit Komisi Tinjauan Setuju-Setelah Prosedur.

KE%ERLIBA%AN WEB%RU$% Baik WebTrust dan SysTrust dibahas secara rinci dalam Bab
7. Sebuah keterlibatan WebTrust merupakan bagian dari set yang lebih besar atas layanan
jaminan bahwa CPA dapat menyediakan. Sementara masih dianggap sebagai layanan
pembuktian, pedoman WebTrust disediakan secara terpisah oleh AICPA dan Canadian
Institute of Chartered Accountants (CICA) (lihat www.aicpa.org/assurance/webtrust/index.htm
and www.aicpa.org/assurance/systrust/index.htm)

Tujuan dari keterlibatan WebTrust adalah untuk mengevaluasi situs Web perusahaan menurut
standar AICPA / CICA. IT auditor sering terlibat karena siIat teknis dari keterikatan. Secara
khusus, mengevaluasi integritas transaksi seperti yang dipersyaratkan oleh standar WebTrust
berarti auditor harus memastikan bahwa transaksi diproses dengan benar melalui situs Web, dan
ini memerlukan keahlian khusus.
Makalab audit TI Page 9

KE%ERLIBA%AN $$%RU$% Tujuan dari keterlibatan SysTrust adalah untuk mengevaluasi
keandalan sistem inIormasi perusahaan bisnis. Standar AICPA / CICA mendeIinisikan
keandalan bersama empat dimensi: ketersediaan, keamanan, integritas, dan perawatan.
Kemahiran teknologi yang tinggi dibutuhkan untuk keterlibatan SysTrust. Karena siIat yang
kompleks keterlibatan SysTrust, AICPA menyediakan model kompetensi yang menyediakan
kerangka kerja untuk mengidentiIikasi spesialisasi TI tertentu di mana auditor perlu melakukan
keterlibatan SysTrust (www.aicpa.org/assurance/systrust/comp.htm). Berdasarkan pelatihan
mereka, IT auditor sering disadap untuk melakukan tes keamanan dan integritas yang diperlukan
untuk memveriIikasi keandalan sistem.

PROEK$I KEUANGAN proyeksi keuangan meliputi perkiraan laporan keuangan dan pro
Iorma inIormasi keuangan. Analisis ini sering dilakukan dalam hubungannya dengan mencari
pinjaman atau menerbitkan saham. IT auditor kurang terlibat dengan jenis layanan pembuktian
ini. ereka biasanya hanya terlibat ketika auditor perlu menggunakan soItware khusus untuk
melakukan proyeksi.

REVIEW KEPA%UHAN Review Kepatuhan biasanya melibatkan memveriIikasi kepatuhan
perusahaan dengan peraturan bisnis. Sebagai contoh, perusahaan mungkin terlibat dengan
sebuah perusahaan audit untuk menentukan apakah pelaksanaan bisnis perusahaan sesuai dengan
peraturan mengenai lingkungan yang berlaku untuk industri mereka. Sebuah pabrik manuIaktur
mungkin tertarik dalam menentukan apakah usaha mereka sesuai dengan peraturan tentang
Keselamatan dan Kesehatan Administrasi (OSHA).

Review kepatuhan mungkin menggunakan IT auditor, tetapi biasanya hanya sejauh ketika
diperlukan untuk mengakses teknologi yang digunakan oleh perusahaan klien. Sebagai contoh,
auditor TI mungkin terlibat dalam peninjauan keamanan enkripsi PIN (nomor identiIikasi
pribadi). Sebuah tinjauan enkripsi PIN adalah tipe khusus dari AUP dimana auditor menguji
integritas proses enkripsi klien untuk nomor identiIikasi pribadi. isalnya, bank dapat menyewa
auditor untuk menguji integritas skema enkripsi untuk PIN AT. Jenis keterlibatan ini
memerlukan keahlian khusus dari auditor, yang akan perlu menerima pelatihan khusus pada
kunci PIN management. Bab 6 dari SSAE 10 mencakup tinjauan kepatuhan.

. %EUAN DAN REKOENDA$I
Sebuah temuan dan laporan rekomendasi meliputi ulasan yang akan dianggap "konsultasi" atau
"penasehat" layanan. Contoh keterlibatan yang termasuk dalam kategori ini termasuk
implementasi sistem, termasuk implementasi perencanaan sumber daya perusahaan (ERP)
(misalnya, keterlibatan implementasi SAP, Oracle, atau PeopleSoIt); review keamanan, review
aplikasi database; diperlukannya inIrastruktur TI dan peningkatkan keterlibatan, manajemen
proyek, dan layanan audit internal TI.

Sebuah temuan dan rekomendasi laporan tidak menghasilkan pendapat. Sebaliknya, itu adalah
ringkasan dari pekerjaan yang dilakukan sehubungan dengan keterlibatan. IT auditor yang sering
digunakan pada jenis keterlibatan ini, sekali lagi karena kompleksitas dari proyek yang sedang
diambil. Sebagai contoh, implementasi ERP akan memerlukan pengetahuan khusus tentang
sistem hardware dan soItware yang dibutuhkan. Sejauh IT auditor dapat memberikan keahlian
teknis yang dibutuhkan, hal itu adalah pilihan logis untuk staI/melakukan keterlibatan tersebut.

. $A$ Audit
Sebagaimana teknologi menjadi semakin kompleks dan mahal, perusahaan sering menggunakan
aplikasi outsourcing seperti akuntansi, penggajian, e-commerce, dan layanan komputer lain dari
Makalab audit TI Page

pihak ketiga penyedia layanan. Banyak perusahaan telah melakukannya selama bertahun-tahun.
Sebagai contoh, sebuah perusahaan yang tidak memiliki keahlian untuk mengelola penggajian
di-rumah mungkin outsourcing tugas ini ke ADP, penyedia layanan penggajian yang digunakan
secara luas. Perusahaan yang mempekerjakan ADP disebut sebagai "organisasi pengguna."
Ketika perusahaan mengalami pemeriksaan tahunan, auditor eksternal ("auditor pengguna")
mungkin ingin jaminan untuk kontrol terhadap ADP relatiI terhadap layanan penggajian nya.
Jika ADP telah mengalami SAS 70 audit, ADP dapat memberikan laporan auditor (disebut
Laporan Auditor Service) untuk perusahaan ini dan semua klien mereka yang lain. Para
pengguna utama dari laporan SAS 70 adalah manajemen penyedia layanan, pelanggan, dan
auditor independen dari pengguna atas penyedia layanan.

Laporan SAS 70 juga merupakan alat yang eIektiI untuk digunakan manajemen ketika
mempertimbangkan bagaimana organisasi pelayanan mempengaruhi lingkungan pengendalian
internal. Selanjutnya, hal ini membantu mengidentiIikasi kontrol tambahan yang harus dimiliki
organisasi di samping kontrol organisasi pelayanan atau untuk kompensasi atas kurangnya
kontrol.

Sebuah audit SAS 70 berlaku untuk setiap organisasi pelayanan yang ingin menjamin klien
berkaiand dengan keberadaan dan eIektivitas pengendalian internal. Contoh layanan yang sering
mendapatkan opini tahunan SAS 70 termasuk penyedia senrvice aplikasi, bank, klaim pusat
pengolahan, penyedia layanan Internet, dan biro pengolahan data pelayanan.

anIaat organisasi pelayanan dari jenis audit ini karena memungkinkan organ isasi untuk
memberikan inIormasi yang berharga terhadap sistem pendendalian internal dan, dalam kasus
tertentu, eIektivitas dari kontrol di organisasi pelayanan relatiI untuk layanan yang disediakan.
(Perhatikan bahwa opini SAS 70 tidak menutupi seluruh struktur pengendalian internal dari
organisasi pelayanan, tetapi terbatas pada kontrol sekitar layanan yang tersedia). Tanpa jaminan
tersebut, organisasi pengguna kemungkinan harus membayar auditor mereka sendiri untuk
memeriksa kontrol dari penyedia layanan

Kasus-in-P4int 9-
TSI, Inc, sebuah divisi dari layanan telepon Verizon, mencatat bahwa itu akan memiliki
130 auditor di situs dari 130 pelanggan jika harus mengakomodasi auditor eksternal
pelanggan 'individual. Sebaliknya, TSI memiliki SAS 70 audit yang dilakukan setiap
tahun, dan hasilnya dibuat tersedia untuk semua pelanggan eksternal auditors.

Audit SAS 70 berbasis opini dan mencakup dua jenis utama dari laporan: laporan Tipe I
menjelaskan pengendalian internal perusahaan, tetapi tidak melakukan pengujian rinci dari
kontrol ini. Sebaliknya, auditor melakukan "langkah-langkah" dari kontrol, di mana auditor
memvalidasi pemahaman tentang kontrol yang ada. Sebuah laporan Tipe I yang tidak memenuhi
syarat setara dengan menganggap kontrol yang ada"eIektiI, tapi belum diuji melalui suatu
panduan." Laporan Tipe II melangkah lebih lanjut dalam yang mengontrol organisasi pelayanan
yang ditinjau dan diuji selama minimal enam bulan (meskipun standar industri adalah periode
satu tahun.) Sebuah laporan Tipe II yang tidak memenuhi persyaratan setara dengan
menganggap kontrol " eIektiI dan diuji melalui suatu langkah-langkah." Auditor eksternal
("auditor pengguna") dapat menggunakan baik laporan Tipe I dan Tipe II SAS 70 untuk
mengurangi pengujian substantiI mereka, namun, pengujian substantiI tidak berkurang sebanyak
laporan Tipe I SAS 70 karena kontrol tidak diuji berdasarkan langkah-langkah.



Sebuah gambaran darl proses organlsasl layanan yang konLrol lnLernal yang sedang dlevaluasl
2 Sebuah pen[elasan llngkup alam dan wakLu prosedur audlL yang dllakukan
3 Sebuah pernyaLaan Lu[uan darl keLerllbaLan dan pendapaL apakah
Crganlsasl [asa Lelah dlsa[lkan adll dalam semua hal yang maLerlal kebl[akan pengendallan
lnLernal dan prosedur yang relevan dengan sLrukLur pengendallan lnLernal mereka dan proses
aLau [asa yang audlL sedang dllakukan
2 Apakah kebl[akan pengendallan lnLernal dan prosedur operaslonal pada Langgal yang speslflk
3 Apakah kebl[akankebl[akan pengendallan lnLernal yang memadal dlrancang unLuk memenuhl
Makalab audit TI Page

Audit SAS 70 mempekerjakan auditor TI ketika teknologi yang akan diaudit cukup kompleks
dan membutuhkan keahlian khusus. Sebagai contoh, audit dari sebuah penyedia layanan aplikasi
akan memerlukan perolehan pemahaman tentang bagaimana sistem bekerja, bagaimana data
mengalir melalui sistem, dan di mana titik kontrol. Ini juga akan diperlukan untuk memperoleh
pemahaman tentang lingkungan aplikasi, termasuk platIorm dimana aplikasi berada dan
perangkat keras yang mendukung aplikasi. IT auditor sering memberikan jenis keahlian teknis.











CAM8A8 97 Apa yang harus dlserLakan dalam Laporan SAS 1ype ll


. $A$ 9 Audit
SAS 94, Pengaruh Technologi InIormasi pada Pertimbangan Auditor terhadap Pengendalian
Internal dalam Audit Laporan Keuangan, perubahan SAS No 55, Pertimbangan Pengendalian
Sebuah gambaran darl proses organlsasl pelayanan yang konLrol lnLernalnya yang sedang dlevaluasl
2 Sebuah pen[elasan aLas llngkup slfaL dan wakLu prosedur audlL yang dllakukan Lermasuk deskrlpsl
darl semua pengu[lan aLas konLrol dan efekLlvlLas operasl yang dllakukan
3 Sebuah pernyaLaan darl perlode wakLu yang dlcakup oleh laporan audlLor lndependen (harus
mlnlmal enam bulan)
4 Sebuah laporan Lu[uan darl keLerllbaLan dan pendapaL apakah
Crganlsasl [asa Lelah dlsa[lkan adll dalam semua hal yang maLerlal kebl[akan pengendallan
lnLernal dan prosedur yang relevan dengan sLrukLur pengendallan lnLernal dan proses aLau [asa yang
sedang dlaudlL
2 Apakah kebl[akankebl[akan pengendallan lnLernal beroperasl dengan efekLlvlLas yang cukup
unLuk memberlkan [amlnan yang wa[ar bahwa Lu[uan pengendallan perusahaan dlcapal selama
perlode LerLenLu
3 laporan rlslko dalam memproyekslkan perlode mendaLang aLas Lemuan saaL lnl pada konLrol
lnLernal
6 Sebuah laporan yang membaLasl penggunaan laporan kepada plhak yang LepaL (blasanya
perusahaan kllen dan audlLor darl kllen)
7 Laporan bahwa Lldak ada peker[aan yang dllakukan Lerhadap organlsasl pengguna lndlvldu
Makalab audit TI Page

Internal dalam Audit Laporan Keuangan. Hal ini eIektiI untuk audit laporan keuangan untuk
periode yang dimulai pada atau setelah 1 Juni 2001.

Standar ini membahas tanggung jawab auditor untuk memahami teknologi klien sebagai bagian
dari memperoleh pemahaman tentang pengendalian internal klien dalam melakukan audit
laporan keuangan. Hal ini juga membantu auditor dalam menentukan apakah auditor TI dan
keahlian khusus mereka harus dipanggil untuk membantu dalam audit keuangan. Jika perlu,
auditor eksternal harus menggunakan auditor TI untuk menyediakan keahlian dan jaminan
bahwa risiko deteksi terbatas pada tingkat yang dapat diterima.

Ketika sebuah perusahaan mengalami audit keuangan, SAS 94 mengharuskan auditor untuk
mempertimbangkan eIek dari teknologi inIormasi perusahaan pada penilaian risiko
pengendalian. Khususnya, ketika sebuah perusahaan memiliki jumlah transaksi yang signiIikan
yang diproses secara elektronik di mana auditor tidak dapat membatasi risiko deteksi ke tingkat
yang dapat diterima hanya dengan melakukan pengujian substantiI, SAS 94 mengharuskan
auditor untuk:
Pertimbangkan bagaimana TI klien mempengaruhi proses pengendalian internal, masalah
bukti, dan penilaian risiko kontrol;
emperoleh pemahaman tentang bagaimana transaksi dimulai, dimasukkan, dan
diproses melalui sistem inIormasi klien; dan
emperoleh pemahaman tentang bagaimana berulang dan tidak berulang jurnal entri
dimulai, dimasukkan, dan diproses melalui sistem inIormasi perusahaan.

eskipun SAS 94 hanya berlaku untuk perusahaan yang memiliki sejumlah besar transaksi yang
diproses secara elektronik, praktis berbicara, ini biasanya mencakup sebagian besar perusahaan
yang akan mengalami audit. Audit di mana kedua komponen keuangan dan TI dievaluasi disebut
sebagai audit terpadu atau komprehensiI. SAS 94 audit membuat mayoritas audit TI dilakukan.

SAS 94 Audit dapat melibatkan salah satu atau semua dari enam langkah-langkah berikut, yang
diidentiIikasi oleh Sayana (2002): 1) review Iisik dan lingkungan, 2) review sistem administrasi;
3) review soItware aplikasi; 4) review keamanan jaringan; 5) review kontinuitas bisnis, dan 6)
review integritas data. Seleksi auditor atas daerah peninjauan tergantung pada area yang
teridentiIikasi selama tahap penilaian risiko sebagai area yang memiliki risiko dan kerentanan
yang paling besar. ari kita lihat apa yang ada dalam masing-masing enam area tersebut.

%IN1AUAN FI$IK DAN LINGKUNGAN Dalam review Iisik dan lingkungan, auditor TI
ragu dengan keamanan Iisik dari pusat data itu sendiri. Sebagai contoh, apakah sistem di lokasi
yang aman dan dalam lingkungan yang bersih, bebas debu? Apakah ruangan berventilasi baik
dan didinginkan? Banyak sistem komputer membutuhkan pengendalian lingkungan yang ketat
dan berIungsi dengan baik. Apakah sistem didukung oleh uninterruptible power supply?
Perangkat ini akan mempertahankan listrik hingga satu jam setelah pemadaman listrik, memberi
waktu pengguna untuk menutup program. Apakah sistem detektor asap dan pemadam api
diinstal? Apakah kabel dan pemasangan kabel ditandai dan dapat diidentiIikasi?

Auditor TI juga membahas akses kontrol yang relevan ke pusat data dan sistem inIormasi.
Sebagai contoh, adalah akses ke Iasilitas computer yang diatur oleh kebijakan keamanan?
Apakah ada penjaga keamanan, jika dipandang perlu? Apakah identiIikasi yang diperlukan
untuk mendapatkan akses ke pusat data (seperti badge, kartu gesek, keypad elektronik, atau
perangkat biometrik)? Semua pertanyaan ini akan dimasukkan sebagai prosedur audit review
kontrol umum.

Makalab audit TI Page

REVIEW $I$%E ADINI$%RA$I Sebuah sistem administrasi Tinjauan melibatkan

penelaahan atas sistem operasi, sistem database manajemen, dan kepatuhan dengan prosedur
sistem administrasi. Bekerja di daerah ini sangat teknis karena memerlukan pengetahuan yang
mendalam tentang berbagai sistem seperti UNIX, IB AS/400, dan Windows NT. Auditor TI
akan mengumpulkan inventarisasi dari semua perangkat keras dan perangkat lunak dan skematis
untuk platIorm tertentu dan akan mengevaluasi sandi dan kontrol akses lainnya. Auditor dapat
menggunakan program seperti Crack untuk menentukan apakah ada password yang tidak eIektiI.
Auditor juga akan meninjau siapa yang memiliki akses ke password utama yang dapat
memberikan akses ke semua Iile dan aplikasi yang berjalan pada sistem dan untuk melihat apa
jenis kontrol akses yang ada. Perhatikan bahwa banyak hacker berusaha untuk memperoleh
akses utama. Dalam lingkungan UNIX, akses root disebut sebagai akses super user. Auditor TI
juga akan meninjau proIil pengguna untuk menentukan apa hak pengguna memiliki hak akses
dan apakah pengguna yang tepat untuk tanggung jawab pekerjaan mereka.

REVIEW APLIKA$I $OF%WARE Pada langkah ini, auditor akan meninjau setiap aplikasi
yang diidentiIikasi dalam tahap penilaian risiko sebagai rentan, termasuk aplikasi akuntansi,
penggajian, soItware waktu dan penagihan, persediaan, atau aplikasi yang diserahkan kepada
pihak ketiga. Sebuah review soItware aplikasi berIokus pada validasi input data, pengolahan,
dan output, kontrol akses dan otorisasi, penanganan error, dan prosedur sistem log.

Validasi input data terdiri dari sejumlah pemeriksaan kesalahan yang dirancang untuk
memastikan bahwa hanya data akurat dan lengkap yang dapat dimasukkan. Seorang operator
komputer yang mencoba untuk memasukkan data yang tidak valid atau tidak lengkap ke dalam
program/sistem yang jenis validasi datanya telah diatur biasanya akan bertemu dengan bip
menjengkelkan. Ada banyak pemeriksaan validasi input data. Beberapa yang lebih umum
termasuk:

Limit cek. enetapkan suatu batas atas untuk data yang diterima. Contoh: tidak ada
karyawan per jam menghasilkan lebih dari $I5 per jam.
Rentang cek. irip dengan limit cek kecuali bahwa pemeriksaan pada data yang valid
berlaku untuk kedua batas yang atas dan bawah. Contoh: jam kerja harus antara 0 dan 40
(dengan asumsi tidak ada lembur).
Validity cek. enentukan nomor atau karakter yang diijinkan sebagai valid. Sebagai
contoh, jika perusahaan melakukan bisnis hanya di Florida dan Louisiana, mungkin FL
dan LA ditetapkan sebagai satu-satunya entri yang diijinkan.
Kelengkapan cek. encegah nol atau kosong dapat diterima di bidang nilai-nilai yang
tidak valid.

Jika kesalahan tetap ada setelah melakukan kontrol validasi input, kontrol atas proses dapat
mendeteksi kesalahan. Beberapa kontrol proses yang lebih umum meliputi:
Run-to-run total, di mana komputer secara otomatis menghitung untuk memveriIikasi
data diolah dengan benar;
Operator perhitungan kembali kontrol bets total untuk total komputer yang dihasilkan;
Batasi pemeriksaan pada bidang yang dihitung selama pemrosesan (seperti gaji kotor),
dan
Kontrol terprogram yang berjalan di belakang dan mendeteksi kesalahan pengolahan
dan, dalam beberapa kasus, memulai tindakan korektiI.

engontrol output memastikan bahwa apapun output yang dihasilkan sistem inIormasi dapat
dikendalikan dengan baik. Sebagai contoh, prosedur harus ada untuk mengatur distribusi laporan
sensitiI, termasuk yang menerima laporan tersebut dan apakah mereka harus menandatangani
Makalab audit TI Page

laporan. Pembuangan yang tepat dari laporan ini juga penting. Lebih dari satu perusahaan telah
dikenal untuk terlibat dalam "penyelam tempat sampah" dalam upaya untuk mendapatkan
inIormasi tentang pesaing. Kontrol harus mengatur berapa lama dan di mana organisasi
menyimpan laporan, dan bagaimana mereka mengamankan laporan selama penyimpanan.

Auditor juga bertugas dengan memveriIikasi bahwa organisasi menangani kesalahan dengan
tepat. Untuk tujuan ini, auditor harus menentukan bagaimana kesalahan ditangani. Tujuannya
adalah untuk menentukan apakah ada proses sistematis untuk mengidentiIikasi dan menangani
kesalahan secara tepat. Jika error log tersedia, auditor akan memeriksanya agar akrab dengan
jenis kesalahan yang paling umum dan untuk mengidentiIikasi pola-pola yang mungkin
terdeteksi.

Auditor biasanya menguji aplikasi melalui penggunaan beberapa alat-alat dan teknik audit. Kita
akan membahas teknik-teknik, seperti meja uji dan Iasilitas pengujian terpadu, secara rinci
dalam bab berikutnya.

Audit program untuk meninjau aplikasi perangkat lunak sangat spesiIik untuk klien. Prosedur
dan audit lapangan yang akan auditor lakukan akan tergantung pada isu-isu seperti sistem
operasi aplikasi yang berjalan, kompleksitas proses, apakah aplikasi adalah "canned" (oII-the-
shelI) perangkat lunak atau aplikasi yang disesuaikan , dan apakah aplikasi berjalan di atas
database atau lingkungan ERP. Biasanya, auditor TI akan mulai dengan program industri-
spesiIik audit yang generik dan menyesuaikan program untuk klien sesuai keperluan.

REVIEW KEAANAN 1ARINGAN Kami meliputi keamanan jaringan dan kontrol yang
seharusnya melindungi jaringan secara rinci dalam Bab 6. Sebuah tinjauan keamanan jaringan
berIokus pada veriIikasi dan validasi dari prosedur pengendalian seluruh jaringan sistem
inIormasi, termasuk Iirewall, router akses kontrol, sistem deteksi intrusi, rencana respon insiden,
port scanning, pengujian penetrasi, dan perlindungan atas virus / worm. Auditor TI akan
mengevaluasi keberadaan kontrol yang diperlukan dan menguji kontrol yang dianggap material
untuk memastikan bahwa mereka bekerja. Sekali lagi, auditor TI biasanya akan mulai dengan
program audit generik dan menyesuaikan prosedur agar sesuai dengan lingkungan operasi dan
jaringan klien.













Lingkup audit W/P ReI Completed
$c4pe Revie payr4ll system
%ujuan Audit
1. emastikan integritas sistem penggajian.
2. enguji control internal disekitar sistem penggajian.

kerja lapangan
1. mengidentiIikasi personil kunci yang terlibat dalam proses
penggajian dan aplikasi perangkat lunak yang digunakan.
2. Review semua dokumentasi yang ada untuk sistem penggajian
untuk mendapatkan pemahaman dari aliran Iisik dan logis data
melalui system. Penggajian ini akan mencakup sistem, program,
dan diagram alur analitik, narasi, data Ilow diagram, tabel
keputusan, dll
3. Biasakan diri Anda dengan program penggajian yang digunakan.
4. Interview personil kunci penggajian.
5. Dokumentasi pemahaman Anda mengenai proses penggajian.
6. enyiapkan Data uji untuk menguji validasi kontrol proses.
(Bagian ini akan mencakup prosedur audit rinci untuk input
pengujian dan pengolahan kontrol.)
7. enjalankan validasi kontrol input dan mendokumentasikan
hasilnya.
8. engidentiIikasi dan merekonsiliasi eksepsi.
9. enyiapkan dan menjalankan kontrol atas pengolahan. (Bagian
ini akan mencakup prosedur audit rinci untuk kontrol

Makalab audit TI Page

GABAR 9-8 Audit Program Generik untuk Tinjauan Aplikasi SoItware

REVIEW BI$NI$ KON%INUI%A$ Sebuah tinjauan kelangsungan bisnis berIokus pada
pengujian auditor apakah sistem inIormasi dapat terus berIungsi bahkan jika ada kegiatan yang
mengganggu operasi bisnis normal. Prosedur ini meliputi prosedur cadangan, rencana pemulihan
bencana, dan pemeliharaan sistem Iault tolerant. Beberapa prosedur ini juga dibahas dalam
kajian keamanan jaringan. Akibatnya, jika auditor yang terlibat untuk melakukan kedua review
securitv jaringan, akan ada beberapa tumpang tindih.
Lingkup Audit ________ ____________________ W/P Ref ___ 4mpleted By
Revie sistem inf4rmasi jaringan
%ujuan Audit
1. enjamin keamanan jaringan klien.
2. enjamin prosedur pemulihan bencana dan
cadangan klien yang memadai.



Langkah-langkahAudit

Perencanaan (Sama dengan Figure 9-4)
Field W4rk








1. engidentiIikasi dan mendokumentasi personil utama jaringan seperti
administrator jaringan, programmer, database administrator, pustakawan, dan
operator.
2. eminta diagram jaringan lengkap dari klien yang meliputi konIigurasi untuk
server, workstation, bridges, repeater, dll
3. enentukan topologi jaringan.
4. engidentiIikasi sistem operasi dan platIorm khusus perangkat keras dan
perangkat lunak.
5. emperoleh diagram alur sistem dan program untuk aplikasi yang berjalan pada
jaringan.
6. emperoleh rencana pemulihan bencana dan review klien, mencatat kapan dan
seberapa sering rencana diuji.
7. emperoleh rencana pemulihan insiden klien, jika ada.
8. emperoleh log backup dan menentukan kecukupan backup, termasuk prosedur
pemulihan dan penyimpanan oII-site.
9. emveriIikasi bahwa perlindungan terhadap virus dikelola oleh jaringan,
workstation, dan tingkat aplikasi.
10.IdentiIikasi dan dokumentasikan kontrol akses jaringan, termasuk keberadaan
petugas keamanan, kartu gesek, biometrik, akses tombol elektronik, dll
11.IdentiIikasi dan menguji Iirewall.
Makalab audit TI Page

GABAR 9-9 Audit Program Generic Tinjauan Keamanan Jaringan

Auditor TI akan mendapatkan dokumentasi dari klien pada prosedur backup-nya. isalnya,
apakah prosedur tertulis secara rutin diuji? Apakah ada ketentuan untuk cadangan oII-site?
Serangan World Trade Center menyoroti kebutuhan untuk cadangan oII-site, karena beberapa
perusahaan di salah satu menara WTC memiliki sistem inIormasi cadangan yang tersimpan di
salah satu bangunan lain. IT auditor, yang akan mengunjungi Iasilitas penyimpanan oII-site,
akan memveriIikasi bahwa prosedur cadangan oII-sitenya memadai.

Sayangnya, banyak perusahaan menghabiskan banyak uang menyewa konsultan untuk
membantu mereka menyusun rencana pemulihan bencana, hanya untuk gagal dalam
memperbarui teknologi mereka sebagaimana perusahaan tumbuh dan berubah. Seperti
perlindungan virus, rencana pemulihan bencana hanya eIektiI jika organisasi secara teratur
memelihara dan menguji rencana. Rencana pemulihan bencana akan diperiksa sebagai bagian
dari prosedur audit. Organisasi harus memiliki rencana tertulis, dan itu harus diuji, secara
mendadak, berkala.

Auditor juga akan menyelidiki keberadaan asuransi gangguan bisnis. Asuransi tersebut
melindungi perusahaan terhadap hilangnya pendapatan operasional karena peristiwa bencana
seperti kerusuhan, cuaca yang berhubungan dengan penutupan bisnis, atau kejadian tak terduga
lainnya yang dapat mengganggu operasi bisnis.

REVIEW IN%EGRI%A$ DA%A Dalam review integritas data, auditor TI memveriIikasi dan
memvalidasi data klien menggunakan bantuan teknik komputer audit seperti yang dibahas dalam
Bab 8. Sebagai contoh, prosedur penilaian risiko awal mungkin telah menunjukkan program
piutang merugi dari beberapa eksposur. Auditor TI akan menggunakan program seperti ACL
untuk melakukan recalculations dan analisis lain yang diperlukan.

. ENGGUNAKAN OBI% UN%UK ELAKUKAN AUDI%

Kami memperkenalkan pembaca terhadap COBIT dalam Bab 1 sebagai kerangka kontrol
terintegrasi untuk teknologi inIormasi. Kerangka COBIT dikembangkan oleh Sistem InIormasi
Audit dan Control Association (ISACA) dan dimaksudkan untuk menjembatani beberapa model
pengawasan teknis dan internal. Jadi, COBIT dirancang untuk digunakan oleh beberapa pihak,
termasuk manajemen, internal, dan auditor eksternal. Bagian ini mengasumsikan keinginan
auditor internal atau eksternal untuk melakukan audit TI dan berencana untuk menggunakan
COBIT sebagai kerangka kontrol.

Kerangka COBIT terdiri dari enam komponen yang saling terkait:
Ringkasan EksekutiI;
Kerangka;
tujuan Kontrol;
Makalab audit TI Page

pedoman anajemen;
Implementasi toolset, dan
pedoman Audit.

Auditor akan menggunakan Framework, Tujuan Pengendalian, dan Pedoman Audit untuk
merumuskan program audit. COBIT adalah sebuah "standar terbuka," yang berarti, bahwa
sebagian dari enam komponen yang tersedia di Internet. Satu-satunya komponen yang tidak
tersedia secara bebas adalah komponen Pedoman Audit, yang menyediakan prosedur audit
tertentu untuk mencapai tujuan pengendalian yang diidentiIikasi. Pedoman Audit adalah,
bagaimanapun, tersedia tanpa biaya kepada anggota ISACA.

COBIT mendeIinisikan proses TI dalam empat domain: Perencanaan & Organisasi, Akuisisi &
Implementasi, Pengiriman & Dukungan, dan Pemantauan. Keempat domain berisi total tiga
puluh empat tujuan tingkat tinggi pengendalian. Setiap Tujuan kontrol tingkat tinggi berisi
beberapa tujuan kontrol rinci, untuk total 318 tujuan pengendalian rinci. Gambar 9-10
menunjukkan kerangka kerja COBIT.

Audit yang dilakukan dengan menggunakan COBIT tidak berbeda dari siklus hidup audit TI
yang kami sajikan pada awal bab ini. Satu-satunya perbedaan adalah pengembangan program
audit. Auditor harus terlebih dahulu menentukan jika ada suatu program audit yang ada. Jika
demikian, auditor TI dapat memetakan prosedur audit COBIT kembali ke tujuan audit dan
prosedur audit yang telah ada. Selain itu, auditor dapat menggunakan Pedoman Audit COBIT
untuk mengidentiIikasi daerah yang tidak cukup tercakup dalam program audit yang ada. Jika
tidak ada program audit yang dapat digunakan untuk memulai, Pedoman Audit dapat digunakan
untuk membangun suatu program audit. Gambar 9-11 menunjukkan langkah-langkah dalam
mengembangkan program audit menggunakan COBIT.













CAM8A8 9 kerangka ker[a CC8l1 CopyrlghL996 998 2 SlsLem lnformasl AudlL dan konLrol
?ayasan ulceLak ulang dengan lzln darl AudlL SlsLem lnformasl dan ?ayasan ConLrol dan l1 Covernance
lnsLlLuLe
D4main
Planning and Organization P01
P02
P03
P04
P05
P06
P07
P08
P09
P010
P011
Acquisition and Implementation AI1
AI2
AI3
AI4
AI5
AI6
Delivery and Support DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
onitoring 1
2
3
4
%ujuan Pengendalian %ingkat %inggi
enetapkan rencana TI strategis
enetapkan arsitektur inIormasi
enentukan arah teknologi
enetapkan organisasi TI dan hubungannya
engelola investasi TI
Komunikasikan tujuan dan arah manajemen
engelola sumber daya manusia
emastikan kepatuhan dengan persyaratan eksternal
enilai risiko
engelola proyek
engelola kualitas
engidentiIikasi solusi otomatis
emperoleh dan memelihara aplikasi soItware
emperoleh dan memelihara inIrastruktur teknologi
engembangkan dan memelihara prosedur
Instal dan mengakreditasi sistem
engelola perubahan
enetapkan dan mengelola tingkat layanan
engelola layanan pihak ketiga
engelola kinerja dan kapasitas
Pastikan pelayanan yang berkesinambungan
Pastikan sistem keamanan
engidentiIikasi dan mengalokasikan biaya
endidik dan melatih pengguna
embantu dan menyarankan pelanggan
engelola konIigurasi
engelola masalah dan insiden
engelola data
engelola Iasilitas
engelola operasi
onitor proses
enilai kecukupan pengendalian internal
emperoleh keyakinan yang independen
enyediakan audit independen
Makalab audit TI Page 8

Gambar 9-10 CobiTs Framework Copyright-1996, 1998, 200. InIormation Systems Audit and Control Foundation.
Reprinted with the permission oI the InIormation Systems Audit and Control Foundation and IT Governance
Institute










Gambar 9-11 enggunakan COBIT untuk engembangkan Program audit



RINGKA$AN
Semua audit TI mengikuti perkembangan tertentu, yang kita sebut " siklus hidup audit TI."
Langkah-langkah ini mencakup perencanaan strategis, penilaian risiko, mempersiapkan program
audit, pengumpulan bukti audit, membentuk kesimpulan berdasarkan bukti yang diperoleh,
mempersiapkan opini audit, dan menindaklanjuti. Kami juga mengidentiIikasi empat jenis utama
dari audit TI, termasuk pengesahan, temuan dan rekomendasi ("konsultasi"), SAS 70 audit, dan
SAS 94 laporan. eskipun ada jenis lain dari audit, ini adalah, audit utama di mana auditor TI
umumnya terlibat. Atestasi dan temuan dan keterlibatan rekomendasi serupa, perbedaan
utamanya adalah apakah spesiIik, prosedur yang disebutkan disepakati antara klien dan auditor
atau hanya yang diinginkan klien secara umum, saran luas. Sebuah audit SAS 70 dirancang
untuk memberikan jaminan pengendalian internal perusahaan mengenai layanan yang
disediakan kepada pihak lain. Sebuah SAS 94 Audit berlangsung sebagai bagian dari audit
keuangan biasa. Jenis audit ini berlaku ketika sebuah perusahaan memiliki sejumlah besar
transaksi diproses secara elektronik, dan auditor harus mendapatkan pengetahuan dan
pemahaman tentang sistem inIormasi dan pengolahan transaksi-transaksi melalui sistem dalam
rangka untuk mengurangi risiko kontrol. Akhirnya, bab ini membahas bagaimana ISACA yang
COBIT Framework, Tujuan Pengendalian, dan Pedoman Audit dapat digunakan untuk
merancang suatu program audit.





Lakukan penllalan rlslko
unLuk menenLukan LlngkaL
yang LepaL Lu[uan konLrol
LlngkaL Llnggl
lllh Lu[uan konLrol
rlncl yang LepaL
!elaskan eksposur yang
mungkln Llmbul darl
kegagalan unLuk
mencapal seLlap Lu[uan
konLrol dllndenLlflkasl
Menggunakan pedoman
audlL CoblLs menghlLung
prosedur audlL yang akan
dllakukan