Selasa, 24 Oktober 2017

Tugas 1

KONSEP AUDIT
Konsep Audit Adalah gambaran mengenai pelaksanaan proses audit. Proses audit berkaitan dengan verifikasi dan atestasi yang bertujuan untuk membuktikan validitas dan kesesuaian antara informasi yang diaudit dengan kriteria yang telah di tetapkan, serta untuk menguji temuan-temuan tersebut dengan menerbitkan laporan keuangan yang sesuai dengan jenis dan tujuan auditnya.


TUJUAN AUDIT

Tujuan audit secara umum adalah untuk menilai apakah informasi atau kondisi telah sesusai dengan kriteria ataupun prinsip yang telah di tetapkan.

PROSES AUDIT MENGANDUNG BEBERAPA KONSEP :

Proses yang Sistematis, adalah proses terstruktur sebagai suatu aktivitas yang dinamis yang dilakukan secara logis
Memperoleh dan menilai bukti, bukti bagi auditor merupakan informasi yang digunakan untuk menentukan aktivitas bisnis yang diaudit sesuai dengan kondisi yang sebenarnya
Menentukan tingkat kesesuaian informasi dengan ketentuan yang berlaku, membandingkan antara kondisi sebenarnya dengan seharusnya atau menentukan tingkat kesesuaian kondisi dimaksud
Melaporkan hasil audit, melaporkan hasil audit kepada pihak-pihak yang terkait

LANGKAH-LANGKAH AUDIT PDE
1. Merencanakan pemeriksaan
Perencanaan audit memungkinkan bagi auditor :
Memperoleh bukti yang kompeten & cukup 
Dapat melaksanakan audit secara effisien dengan biaya yang memadai 
Menghindari kesalahpahaman yang bisa timbul dengan pihak yang diperiksa 
Dalam audit PDE selain manfaat perencanaan audit, aditor juga dapat memanfaatkan sumber daya komputer dalam audit yang hendak dilaksanakannya. Dengan kata lain, apabila ia bermaksud melaksanakan audit dengan komputer maka ia dapat menggunakan komputer milik auditan maupun menggunakan komputer miliknya sendiri. 
2. Memahami lingkungan komputer (computer environment)
Audit sekitar komputer dianggap riskan karena perubahan teknologi PDE yang semakin kompleks dan teritegrasi. Tahapan kedua ini harus dimengerti oleh salah satu atau seluruh auditor dalam suatu tim audit PDE. Pengetahuan & kompetensi auditor tentang komputer atau konsep PDE diperlukan sebagai alat bagi auditor untuk memilih dan menerapkan prosedur audit secara memadai. Selain itu, dalam memahami lingkungan komputer auditor dituntut pula memahami struktur pengendalian obyek yang diperiksa. 
3. Mengevaluasi pengendalian interen 
Mengevaluasi pengendalian intern sering pula dikatakan mengakses risiko pengendalian yaitu : menilai effektivitas kebijakan dan prosedur struktur pengendalian intern dalam mencegah atau mendeteksi salah saji (misstatement). Tujuan dari memahami struktur pengendalian interen adalah: 
Mengidentifikasi jenis-jenis kesalahan yang mungkin  timbul
Mempertimbangkan faktor-faktor yang mempengaruhi risiko penyajian laporan keuangan yang secara material salah 
Merancang pengujian-pengujian substantif 
Dapat mengurangi prosedur audit lainnya 
Mengetahui faktor-faktor yang mempengaruhi risiko karena kesalahan pengungkapan dalam informasi yang diaudit 
4. Melakukan pengujian ketaatan dan pengujian substantif
Tujuan pengujian ketaatan adalah untuk menentukan apakah sistem pengendalian intern berjalan sebagaimana yang dikehendaki. 
Tujuan pengujian substantif adalah untuk memvalidasi bahwa suatu transaksi ter-tentu yang telah diotorisasikan secara memadai, disertai bukti pendukung dan dicatat. 
5. Menyelesaikan pemeriksaan 
Tahap akhir adalah penyampaian laoporan audit (audit report) sesuai dengan penugasan dan tujuan audit yang dilakukan. Penyelesaian audit berupa opini atas penyampaian laporan auditor sesuai penugasannya yaitu :
Pendapat wajar tanpa pengecualian (unqualified opinion)
Pendapat wajar tanpa pengecualian dengan pen-jelasan tambahan (unqualified opinion with notice)
Pendapat wajar dengan pengecualian (qualified opinion)
Pendapat tidak wajar (adverse opinion)
Pernyataan tidak memberikan pendapat (disclaimer)

PERENCANAAN AUDIT

1. Memperoleh bukti yang kompeten dan cukup
2. Melaksanakan audit secara efisien dengan biaya yang memadai
3. Menghindari kesalah pahaman yang bisa timbul dengan auditan

PERTIMBANGAN AUDITOR DALAM MERENCANAKAN PEMERIKSAAN

1. Memperoleh pemahaman kondisi kegiatan usaha
2. Mengidentifikasi mengapa auditor memerlukan audit
3. Memperoleh informasi kewajiban hukum serta informasi penting
4. Mengantisipasi stuktur pengendalian intern auditan
5. Menilai masalah yang timbul dari laporan keuangan
6. Mengantisipasi jenis laporan akuntan
7. Membuat program pemeriksaan

PEMAHAMAN TERHADAP LINGKUNGAN EKSTERNAL

Weber menyatakan bahwa audit sekitar komputer mempunyai konotasi negatif yang di berikan kepada auditor yang tidak memahami teknologi informasi berbasis komputer atau sering diistilahkan “gatek” gagap teknologi. Sehingga tahap ini harus di mengerti oleh salah satu atau seluruh auditor dalam suatu tim PDE

MEMBANGUN FUNGSI AUDIT INTERNAL TI YANG EFEKTIF

Dalam bab ini kita akan membahas tujuan departemen audit internal dan bagaimana cara terbaik memanfaatkannya untuk memberi manfaat bagi perusahaan
Misi audit departemen nyata
Konsep kemandirian dan cara menghindari penyalahgunaan
Bagaimana menambahkan nilai di luar audit formal melalui konsultasi dan keterlibatan awal
Bagaimana meningkatkan efektivitas dengan membangun hubungan
Peran audit teknologi Informasi (TI) dan bagaimana memilih fokus yang benar
Bagaimana membangun dan memelihara tim audit TI yang efektif

MISI DEPARTEMEN AUDIT INTERNAL

Tujuan departemen audit internal harus mempromosikan pengendalian internal dan membantu perusahaan mengembangkan solusi efektif biaya untuk menangani masalah. Ini memerlukan pergeseran fokus dari pelaporan ke peningkatan seperti departemen lain, departemen audit ada untuk memberi nilai tambah kepada perusahaan melalui wilayah spesifik keahlian dalam kasus ini, pengetahuan tentang pengendalian internal dan bagaimana mengevaluasinya.

LANGKAH-LANGKAH UNTUK MENILAI RESIKO PENGENDALIAN, YAITU :

1. Menilai apakah entitas yang diaudit tersebut layak audit (auditable)
2. Mengindentifikasi tujuan-tujuan audit yang harus dicapai
3. Mengidentifikasi kebijakan-kebijakan dan prosedur-prosedur khusus
4. Mengidentifikasi dan mengevaluasi kelemahan-kelamahan
PENYELESAIAN AUDIT
Penyampaian laporan audit (audit report) sesuai dengan penugasan dan tujuan audit yang dilakukan. Dalam laporan ini di kemukakan apa yang telah dilakukan oleh auditor dan kesimpulan-kesimpulan yang diambil


PROSES AUDIT
Tahap-tahap dasar proses audit :
• Berbagai jenis kontrol internal
• Bagaimana Anda harus memilih apa yang harus di audit
• Bagaimana melakukan tahap dasar audit
• Perencanaan
• Kerja lapangan dan dokumentasi
• Mengeluarkan penemuan dan validasi masalah
• Solusi pengembangan
• Melaporkan penyusunan dan penerbitan
• Pelacakan masalah
Tujuan nya untuk memberikan beberapa panduan tentang cara terbaik untuk melaksanakan proses audit untuk memastikannya bahwa tim audit TI Anda seefektif mungkin.

Pengendalian Internal

Kontrol internal, dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang memastikan tepat berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari keberadaannya risiko terhadap tujuan tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan untuk mengurangi risiko tersebut

Jenis Pengendalian Internal Kontrol 

bisa bersifat preventif, detektif, atau reaktif, dan bisa bersifat administratif, teknis, dan implementasi fisik. Contoh implementasi administratif termasuk item seperti kebijakan dan proses. Implementasi teknis adalah alatnya dan perangkat lunak yang secara logis menerapkan kontrol (seperti kata sandi). Implementasi fisik termasuk kontrol seperti petugas keamanan dan pintu terkunci (Gambar 2-1).

Kontrol Pencegahan

Kontrol pencegahan menghentikan kejadian buruk terjadi. ingat bahwa kontrol preventif tidak selalu merupakan biaya yang paling efektif, dan jenis kontrol lainnya mungkin lebih masuk akal dari sudut pandang biaya / manfaat.

Kontrol Detektif

Kontrol detektif merekam kejadian buruk setelah kejadian itu terjadi. Misalnya, logging semua Kegiatan yang dilakukan pada sistem akan memungkinkan Anda untuk meninjau log untuk mencari yang tidak sesuai kegiatan setelah acara

Kontrol Reaktif (alias Kontrol Korektif)

Kontrol reaktif turun antara kontrol preventif dan detektif. Mereka tidak mencegah sebuah Kejadian buruk terjadi, namun memberikan cara sistematis untuk mendeteksi kapan terjadi peristiwa yang buruk telah terjadi dan memperbaiki situasi, itulah sebabnya mereka terkadang dipanggil kontrol korektif Misalnya, Anda mungkin memiliki sistem antivirus pusat yang dapat mendeteksi


Gambar 2.1

Idealnya, Anda bisa melarang akses jaringan ke mesin apapun yang tidak sesuai. Namun, ini mungkin tidak praktis dari sudut pandang bisnis. Oleh karena itu, alternatif mungkin untuk log PC yang tidak sesuai dan melakukan beberapa kegiatan tindak lanjut yang ketat untuk mendapatkan PC sesuai atau menghapus kemampuannya untuk mengakses jaringan
Contoh Pengendalian Internal :
Auditor harus memahami tujuan bisnis dari apa yang dia atau dia sedang mengaudit, memikirkan risiko untuk mencapai tujuan itu, dan kemudian mengidentifikasi kontrol internal yang ada yang mengurangi risiko tersebut.

Kontrol Perubahan Perangkat Lunak 

Jika perubahan pada kode sistem itu sendiri tidak disetujui dan diuji dengan benar, Anda mungkin melakukannya temukan bahwa logika yang dieksekusi oleh kode itu keliru. Ini mungkin berarti Anda kehilangan kepercayaan diri Anda terhadap integritas data di dalam sistem, yang mengakibatkan ketidakmampuan untuk mengetahui pasti siapa yang telah membayar perusahaan Anda dan siapa yang tidak. Jadi apa saja kontrol internal yang akan mengurangi risiko ini?
Jangan biarkan akses logis pemrogram untuk memperbarui kode produksi.
Orang yang memiliki akses logis untuk memperbarui kode produksi mungkin tidak melakukannya jadi tanpa bukti pengujian dan persetujuan.

Kontrol Akses

Jika akses ke sistem diberikan kepada orang-orang yang tidak memiliki kebutuhan akan akses tersebut, data sistem bisa diubah, ditambah, atau dihapus secara tidak tepat. Apa saja internal kontrol yang akan mengurangi risiko ini?
• Mengharuskan user ID dan password untuk mengakses sistem.
• Memiliki sejumlah administrator keamanan aplikasi yang mengendalikan kemampuan untuk menambahkan akun pengguna baru ke sistem.
• Pastikan administrator keamanan aplikasi mengetahui individu yang tahu pengguna mana yang benar-benar membutuhkan akses ke sistem
Rencana Pemulihan dan Pemulihan Bencana
Jika sistem atau datanya hilang, fungsionalitas sistem tidak akan tersedia, hasilnya kehilangan kemampuan Anda untuk melacak piutang yang terutang atau mengirim pembayaran baru. Apa beberapa kontrol internal yang akan mengurangi risiko ini?
• Back up sistem dan datanya secara berkala.
• Mengirimkan kaset cadangan ke luar kantor.
• Dokumentasikan rencana pemulihan bencana.

Menentukan Apa yang Harus di Audit

Anda harus efisien dan efektif dalam menggunakan sumber daya terbatas Anda dengan menghabiskan jam audit TI Anda melihat area yang paling banyak pentingnya. Hal ini seharusnya tidak dilakukan dengan secara sewenang - wenang menarik potensi audit .Sebagai gantinya, seharusnya proses logis dan metodis memastikan semua potensi audit telah dipertimbangkan

Menciptakan Lingkup Audit

Salah satu langkah pertama dalam memastikan proses perencanaan yang efektif adalah menciptakan audit TI dalam lingkungan anda.  Anda bisa melewati lingkungan TI dengan berbagai cara, dan tidak ada yang khusus benar atau salah.

Fungsi TI Terpusat

Pertama, tentukan apa fungsi TI yang terpusat, dan letakkan masing-masing yang terpusat berfungsi dalam daftar audit TI potensial Anda (lihat Tabel 2-1). Ini bisa termasuk proses administrasi seperti manajemen akun, manajemen perubahan, masalah manajemen, manajemen patch, pemantauan keamanan, dan proses lainnya akan berlaku untuk seluruh lingkungan. 
Kemudian, jika rencana auditor keuangan meminta dilakukannya audit atas aplikasi keuangan tertentu yang berada pada sebuah Server Unix, partisipasi Anda dalam audit itu hanya bisa mengaudit keamanan dari server tertentu tanpa harus menghabiskan waktu untuk memahami prosesnya mengelola server itu (yang sudah tercakup dalam audit terpusat Anda). Tentu saja, setiap perusahaan akan memusatkan fungsi inti inti semacam ini agar berbeda derajat. Anda dapat menghapus fungsi terpusat yang telah ada diaudit dari ruang lingkup audit. Misalnya, Anda melakukan audit terhadap lingkungan TI di setiap situs, namun Konfigurasi dan dukungan jaringan terpusat. Tidak efisien untuk berbicara dengan kelompok jaringan tentang proses mereka selama setiap audit lokasi. Sebagai gantinya, kamu harus melakukan satu audit meliputi proses mereka, dan kemudian lingkup daerah yang diluar dari audit anda

Fungsi TI yang Terdesentralisasi

.Audit ini dapat berupa review terhadap pengendalian TI yang terdesentralisasi yang dimiliki oleh setiap situs, seperti data center keamanan fisik dan pengendalian lingkungan. Server dan Dukungan PC juga mungkin terdesentralisasi di perusahaan Anda. Kuncinya adalah memahami kontrol TI apa yang dimiliki di tingkat situs dan mengulasnya.Semuanya tergantung pada kompleksitas lingkungan, hirarki organisasi, dan staf Anda tingkat. Anda harus menentukan apa yang paling efektif di lingkungan Anda.


Aplikasi Bisnis

Anda juga bisa membuat potensi audit untuk setiap aplikasi bisnis. Anda harus melakukannya tentukan apakah lebih efektif melakukan audit ini di audit IT  atau di audit finansial. Dalam banyak hal, sangat masuk akal untuk memilikinya audit didorong oleh auditor keuangan, (seperti review dari server yang mana aplikasi pengadaan berada, kontrol perangkat lunak sistem kontrol, sistem itu rencana pemulihan bencana, dan sebagainya).

Kepatuhan Terhadap Peraturan

Contoh umum termasuk audit kepatuhan terhadap Sarbanes-Oxley, Portabilitas dan Akuntabilitas Asuransi Kesehatan UU (HIPPA), dan peraturan dan standar Industri Kartu Pembayaran (PCI). Anda mungkin memiliki audit terpisah di alam audit Anda untuk menguji kepatuhan masing-masing peraturan.

Peringkat Lingkup Audit

Setelah Anda menciptakan alam semesta audit TI Anda, Anda harus mengembangkan metodologi untuk mendapatkan rangking audit potensial tersebut (Gambar 2-2) untuk menentukan rencana Anda untuk tahun ini (atau kuartal, bulan, dan seterusnya). Anda bisa memasukkan semua jenis faktor dalam metodologi ini, tapi Berikut adalah beberapa hal penting: 
Masalah yang diketahui di area Jika Anda mengetahui ada masalah di area, Anda harus lebih mungkin untuk melakukan audit daerah itu.
Tapi pengalaman Anda memberitahu Anda bahwa daerah ini rentan terhadap masalah, jadi Anda harus mempertimbangkan untuk melakukan audit. Misalnya, mungkin Anda secara konsisten temukan masalah penting saat mengaudit kontrol TI tingkat situs yang mendukung sebuah aktivitas manufaktur tertentu
Manfaat melakukan audit di daerah Pertimbangkan manfaat dari melakukan audit di wilayah tersebut, dengan fokus terutama pada apakah audit akan menambah nilai bagi perusahaan. Ini memberikan offset macam pada item pertama dalam daftar ini, Anda harus juga mempertimbangkan pentingnya daerah untuk perusahaan.
Jika petugas informasi kepala (CIO) dan / atau anggota kunci dari tim kepemimpinan TI prihatin dengan sebuah daerah dan ingin Anda mengauditnya, maka masukan itu harus membebani Anda dengan berat proses keputusannya, Sebenarnya, jika hubungan itu sehat dan Anda sedang melakukan sebuah pekerjaan yang baik untuk mempertahankan kontak sepanjang tahun, rencana audit Anda seharusnya hampir menciptakan dirinya sendiri.



Faktor lainnya dapat dimasukkan dalam model peringkat audit, namun empat faktor sebelumnya sangat penting Faktor lainnya bisa ditambahkan berdasarkan lingkungan di tempat Anda perusahaan (misalnya, memiliki faktor yang mengukur jumlah aset yang diwakili oleh daerah atau faktor yang mencerminkan hasil audit sebelumnya di wilayah tersebut). Selain itu, lingkungan di perusahaan Anda dapat membawa Anda ke berat beberapa faktor-faktor tersebut lebih banyak dibanding yang lain. Sebagai contoh bagaimana model peringkat akan Bekerja, Anda mungkin memutuskan untuk memberi peringkat masing-masing faktor dari 1 sampai 10. Jika CIO dan seluruh pimpinan Tim mendorong Anda untuk melakukan audit, faktor masukan manajemen mungkin akan mendapatkan 10. Namun, jika Anda tidak melihat banyak risiko inheren di area itu, Anda mungkin memberi faktor itu 5. Dan ini berlanjut sampai Anda memberi nilai poin pada masing-masing faktor setiap potensi audit di alam audit mu. Anda juga mungkin memutuskan itu, misalnya, Faktor "masalah yang diketahui" membutuhkan bobot yang lebih tinggi daripada yang lain, jadi Anda bisa menghitungnya faktor itu ganda. Kuncinya adalah membuat sekian banyak audit potensial Anda didefinisikan dan kemudian buat beberapa proses yang membantu Anda menentukan peringkat relatif masing-masing audit potensial tersebut

Menentukan Apa yang Harus Diperiksa : Keputusan Akhir

Setelah Anda melakukan peringkat Anda, Anda perlu memperkirakan persyaratan sumber daya untuk setiap potensi audit untuk menentukan garis potong rencana audit Anda (sejak Anda seharusnya sudah tahu sumber daya apa yang tersedia untuk Anda). Singkatnya, sebelum Anda merasa nyaman bahwa Anda mengaudit hal yang benar, Anda harus menentukan jagad audit potensial Anda dan kemudian mengembangkan sebuah metodologi untuk memeringkat audit tersebut. Setelah Anda menentukan apa yang akan Anda audit, Anda dapat melaksanakan setiap audit dalam rencana tersebut. Sisa dari bab ini dikhususkan untuk membahas metodologi 


Tahap Tahap Sebuah Audit

Sekarang setelah Anda memahami proses memilih apa yang harus di audit. Kita akan membahas hal berikut enam fase audit utama (Gambar 2-3):
1. Perencanaan
2. Kerja lapangan dan dokumentasi
3. Terbitkan penemuan dan validasi
4. Solusi pengembangan
5. Melaporkan penyusunan dan penerbitan
6. Pelacakan masalah
Anda akan belajar bagaimana melakukan setiap tahap ini dengan sangat efektif.

Perencanaan



Jika Proses perencanaan dilaksanakan secara efektif, maka tim audit akan sukses. Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai tanpa rencana dan tanpa jelas arah, upaya tim audit bisa berakibat pada kegagalan. Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit. Anda perlu menentukan apa yang ingin Anda capai dengan ulasannya.. Proses perencanaan ini membutuhkan penelitian yang cermat, pemikiran, dan pertimbangan untuk setiap audit. Berikut adalah beberapa sumber dasar yang seharusnya 
Direferensikan sebagai bagian dari setiap proses perencanaan audit:
• melepaskan dari manajer audit
• Survei pendahuluan
• Permintaan pelanggan
• Daftar periksa standar
• Penelitian

Terlepas dari Manajer Audit

 Jika audit termasuk dalam rencana audit, pasti ada beberapa alasan. Manajer audit harus menyampaikan kepada tim audit informasi tersebut yang menyebabkan audit dijadwalkan. Ini mungkin termasuk komentar dari IT manajemen dan / atau kekhawatiran yang diketahui di daerah tersebut. Faktor-faktor yang menyebabkan terjadinya audit dijadwalkan perlu dicakup dalam rencana audit. Selain itu, manajer audit harus dapat memberikan tim audit kontak kunci untuk audit tersebut.

Survei Awal 

Tim audit harus meluangkan waktu sebelum setiap audit melakukan survei pendahuluan di wilayah yang akan diaudit untuk memahami apa auditnya akan memerlukan. Hal ini kemungkinan akan mencakup wawancara dengan pelanggan audit untuk memahami fungsi sistem atau proses yang sedang ditinjau, serta review dari setiap yang bersangkutan dokumentasi. Tujuannya adalah untuk mendapatkan latar belakang dan pemahaman dasar area yang akan ditinjau. Hal ini diperlukan untuk melakukan penilaian awal terhadap risiko di daerah.

Permintaan Pelanggan 

Tim audit seharusnya tanyakan pada pelanggan area apa yang mereka pikir harus ditinjau dan area mana yang menjadi perhatian. Masukan ini harus sesuai dengan hasil penilaian risiko obyektif auditor untuk menentukan ruang lingkup audit. Tentu, terkadang auditor tidak akan menggunakan masukan pelanggan.

Daftar Standar

Daftar periksa audit standar untuk area yang sedang diperiksa adalah sering tersedia Daftar periksa di Bagian II buku ini dapat menjadi awal yang baik titik untuk banyak audit Selain itu, departemen audit mungkin memiliki daftar periksa sendiri untuk sistem dan proses standar di perusahaan. Memiliki standar, repeatable audit daftar periksa untuk area umum dapat memberikan awal yang berguna bagi banyak audit. Mereka Daftar periksa, bagaimanapun, harus dievaluasi dan diubah seperlunya untuk setiap audit tertentu.Memiliki daftar periksa standar tidak menghilangkan persyaratan auditor untuk melakukan penilaian risiko sebelum setiap audit.

Penelitian

Akhirnya, Internet, buku, dan materi pelatihan harus dirujuk dan digunakan sesuai untuk setiap audit untuk mendapatkan informasi tambahan tentang area tersebut diaudit

Penilaian

auditor harus melakukan penilaian terhadap risiko di wilayah yang ditinjau untuk mengidentifikasi langkah-langkah yang harus dilakukan selama audit Konsep ini diilustrasikan di bagian "Internal Controls". auditor perlu pikirkanlah melalui risiko terhadap sistem atau fungsi teknologi yang dimaksud. Hasil dari latihan sebelumnya harus menjadi penentuan lingkup dari audit, termasuk menentukan dan mengkomunikasikan apa yang berada di luar jangkauan dan menyusun daftar langkah yang harus dilakukan untuk mencapai cakupan itu. Langkah-langkah ini seharusnya didokumentasikan dengan detail yang cukup untuk memungkinkan auditor melakukan audit Pahami risikonya ditangani setiap langkahnya. Penting juga agar Anda mendokumentasikan langkah-langkah audit sehingga mereka berulang dan mudah digunakan oleh orang berikutnya yang melakukan audit serupa, sehingga berfungsi sebagai alat pelatihan dan memungkinkan dilakukannya pengulangan ulang yang lebih efisien audit.

Penjadwalan

Elemen penting dari proses perencanaan adalah penjadwalan audit (yaitu, menentukan saat audit akan berlangsung). Daripada mendikte kapan audit akan terjadi berdasarkan semata-mata pada kenyamanan tim audit, penjadwalan audit harus dilakukan bekerja sama dengan nasabah audit. Ini akan memungkinkan tim audit untuk melakukannya pertimbangkan absensi personil dan waktu aktivitas tinggi, di mana tim audit mungkin tidak bisa mendapatkan waktu dan perhatian yang tepat dari organisasi mereka.

Memulai Rapat 

Menjelang akhir proses perencanaan, memulai harus dilakukan dengan audit pelanggan sehingga Anda dapat mengkomunikasikan apa yang masuk dan keluar dari ruang lingkup proyek audit dan juga menerima masukan terakhir mereka.

Kerja Lapangan dan Dokumentasi



Sebagian besar audit terjadi selama fase ini, ketika langkah - langkah audit dibuat selama tahap sebelumnya dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisis potensi risiko dan menentukan risiko mana yang tidak dimitigasi secara tepat. Dokumentasi merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang memadai untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Itu Tujuannya adalah untuk mendokumentasikan pekerjaan dengan cukup detail sehingga cukup mendapat informasi Orang bisa mengerti apa yang telah dilakukan dan sampai pada kesimpulan yang sama dengan auditor.
Ini akan menjadi penting bahwa dokumentasi ada untuk menjelaskan dan proses auditing dan mendukung kesimpulan. jika di audit dilakukan lagi suatu hari nanti, mempertahankan dokumentasi terperinci akan memungkinkan audit berikutnya tim untuk belajar dari pengalaman tim audit sebelumnya, sehingga memungkinkan untuk perbaikan dan efisiensi terus menerus. Satu catatan terakhir tentang kerja lapangan: Selama tahap perencanaan, Anda akan menyusun daftar periksa seperti apa yang Anda rencanakan untuk diperiksa selama audit berlangsung. Tim harus tetap tinggal fleksibel selama audit dan bersiap untuk mengeksplorasi jalan yang tidak diperhatikan selama tahap perencanaan. Anggota tim selalu perlu mengingat Tujuan audit secara keseluruhan. Langkah-langkah ini harus menjadi pedoman untuk mencapai suatu tujuan, dan setiap auditor perlu tetap kreatif dalam bagaimana langkah tersebut dilakukan.

Terbitkan Penemuan dan Validasi.



Saat melaksanakan penelitian lapangan, auditor akan mengembangkan daftar masalah potensial. Ini adalah jelas salah satu fase audit yang lebih penting, dan auditor harus mengambilnya peduli untuk menggandakan daftar isu potensial untuk memastikan bahwa semua masalah tersebut valid dan relevan. Dengan semangat kolaborasi, auditor harus mendiskusikan potensi permasalahan dengan pelanggan sesegera mungkin Tidak ada yang mau menunggu auditor menyelesaikannya audit dan kemudian harus menanggung daftar masalah.

Pengembangan Solusi



Setelah Anda mengidentifikasi potensi masalah di area yang Anda audisi dan telah divalidasi Fakta dan risiko, Anda dapat bekerja sama dengan pelanggan untuk mengembangkan rencana tindakan untuk menangani setiap masalah .Tiga pendekatan umum digunakan untuk pengembangan dan menetapkan item tindakan untuk menangani masalah audit:
• Pendekatan rekomendasi
• Pendekatan manajemen-respon
• Pendekatan solusi

Pendekatan Rekomendasi

Dengan menggunakan pendekatan umum ini, auditor mengangkat isu dan memberikan rekomendasi mengatasinya Mereka kemudian bertanya kepada pelanggan apakah mereka menyetujui rekomendasi tersebut dan jika demikian, kapan mereka akan menyelesaikannya.

Pendekatan Manajemen-Respon

Dengan pendekatan manajemen-respon, auditor mengembangkan daftar isu dan kemudian melemparkan mereka ke pelanggan untuk respon dan rencana tindakan mereka. Terkadang para auditor kirimkan rekomendasi mereka untuk resolusi beserta masalahnya, dan kadang-kadang mereka hanya mengirim masalah tanpa rekomendasi

Pendekatan Solusi

Dengan menggunakan pendekatan ini, auditor bekerja sama dengan pelanggan untuk mengembangkan solusi itu merupakan rencana tindakan yang saling dikembangkan dan disepakati untuk menangani masalah ini diangkat selama audit. Ini adalah kombinasi dari dua pendekatan sebelumnya, membawa di terbaik dari masing-masing. Seperti pendekatan rekomendasi, auditor menyediakan ide untuk resolusi berdasarkan pengetahuan kontrol mereka. Mereka perlu dipersiapkan untuk memberi tahu pelanggan apakah solusinya diusulkan tidak memenuhi kebutuhan minimum mitigasi risiko.

Panduan Pengembangan Solusi

Terlepas dari pendekatan yang Anda gunakan, Anda perlu menetapkan siapa yang bertanggung jawab untuk mengeksekusi rencana tindakan dan tanggal jatuh tempo dimana mereka akan selesai. Ini menyediakan akuntabilitas dan dasar untuk tindak lanjut auditor. Seiring rencana aksi ini ditangani, auditor harus fleksibel mengenai bagaimana rencana kerja yang direncanakan harus selesai berada dalam laporan audit
Beberapa masalah memberi solusi langsung, seperti mengubah system pengaturan atau penguncian hak akses file. Dalam kasus ini, Anda akan mengharapkan pelanggan bisa mengatakan kapan solusi akan diimplementasikan. Namun, Masalah lain memerlukan solusi yang kompleks dan melibatkan banyak organisasi dan mengembangkan proses yang kompleks atau memperoleh teknologi baru. Anda dapat mengaturnya sebuah tanggal sementara dimana mereka akan memilih solusi dan mengembangkan garis waktu. Setelah tanggal tersebut tercapai, jika mereka memang telah mengembangkan rencana aksi yang rinci, Anda bisa melakukannya menetapkan tanggal jatuh tempo yang baru berdasarkan rencana tersebut.
auditor harus objektif dan memastikan bahwa Resiko tak tanggung-tanggung tidak beralasan. Penting juga agar Anda bekerja dengan pelanggan audit agar fleksibel saat menyetel tanggal jatuh tempo untuk mengeluarkan resolusi. Seperti yang telah dibahas sebelumnya, auditor harus bekerja dengan tekun untuk mencapai kesepakatan dengan pelanggan mengenai isu dan solusi dari audit. 
Meningkatnya masalah sering akan menghasilkan hasil positif bagi pelanggan, seperti sumber tambahan dialokasikan untuk memungkinkan masalah ditangani, jadi eskalasinya Proses tidak harus menjadi perdebatan. Dan terkadang pelanggan ingin auditor meningkatkan masalah untuk memberikan dukungan tambahan untuk alamat yang diketahui Isu yang mungkin belum mendapat perhatian yang tepat sebelum di audit. Saat masalah meningkat ke manajemen, pastikan untuk memindahkan rantai komando sehingga tidak ada yang merasa dirinya dibutakan.

Pembuatan Laporan dan Penerbitan



Begitu Anda menemukan masalah di lingkungan yang diaudit, validasikannya Dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, Anda dapat menyusun laporan audit. Ini melayani dua fungsi utama: 
• Bagi Anda dan pelanggan audit, ini berfungsi sebagai catatan audit, hasilnya, dan rencana aksi yang dihasilkan.
 • Untuk manajemen senior dan komite audit, ini berfungsi sebagai "rapor" di area yang diaudit

Elemen Penting dari Laporan Audit 

Ada banyak format laporan audit karena ada departemen audit internal. Namun, Berikut adalah elemen penting dari laporan audit: 
• Pernyataan lingkup audit 
• Ringkasan bisnis plan
 • Daftar masalah, beserta rencana tindakan untuk menyelesaikannya

Pernyataan Ruang Lingkup Audit 

Buatlah jelas dalam laporan yang disertakan dalam audit dan, jika perlu, apa yang tidak termasuk dalam audit. Jika ada area atau topik Khususnya dikeluarkan dari audit, penting untuk menyatakan sebanyak mungkin laporan tersebut hindari kesalahpahaman.

Ringkasan Eksekutif

Ringkasan ini harus bisa berdiri sendiri sebagai dokumen informatif, bahkan jika telah dihapus dari sisa laporan.harus mencerminkan informasi yang relevan tentang hasil audit, dengan asumsi pembaca tidak membaca bagian lain dari laporan tersebut. Itu harus tidak termasuk kata-kata kasar dan pernyataan samar-samar.

Daftar Isu dan Rencana Aksi 

Ini adalah inti dari laporan karena menyediakan rincian tentang semua masalah signifikan yang ditemukan selama audit dan apa yang sedang terjadi yang harus dilakukan untuk memperbaikinya. Kualitas dan kejelasan penulisan sangat penting, karena setiap terbitan harus didokumentasikan sedemikian rupa sehingga beberapa tingkat pembaca bisa memahaminya. Orang yang berurusan dengan area dari hari ke hari harus bisa memahami masalah Anda dan rencana, dan manajemen senior juga harus bisa memahami risikonya dan mengapa itu perlu dikurangi. Jelaskan konsep dalam istilah orang awam dan jelaskan setiap risiko.

Unsur Tambahan dari Laporan Audit

Anda mungkin mempertimbangkan untuk menambahkan beberapa elemen lain untuk laporan Anda.

Kontrol Kunci

Selain masalah yang Anda temukan, Anda pasti menyadarinya beberapa hal baik yang sudah dilakukan. Beberapa kontrol penting sudah ada di tempat yang Anda andalkan selama penilaian Anda. Jika kontrol ini tidak dilakukan atau diubah, itu akan mengubah keseluruhan penilaian lingkungan Anda

Item Tertutup 

Jika pelanggan audit Anda menyelesaikan masalah selama audit berlangsung, memberi mereka kredit untuk itu Cantumkan masalah yang telah diselesaikan dalam bagian terpisah. Hal ini membuat item tertutup menyumbat bagian "Masalah", memberi pelanggan Anda kredit untuk bersikap proaktif, dan juga memastikan bahwa laporan audit mencerminkan keseluruhan gambar masalah yang ada pada saat review.

Masalah Kecil 

Terkadang Anda menemukan masalah kecil selama proyek yang tidak mewakili sebuah risiko besar Anda tidak berminat untuk melacak resolusi mereka karena apakah pelanggan mengatasinya atau tidak tidak penting. Namun Anda ingin membuat pelanggan sadar akan pengamatan Anda sehingga mereka bisa melakukan tindakan jika mereka mau. Masalah kecil dapat dicantumkan di bagian mereka sendiri.

Mendistribusikan Laporan Audit

Setelah menyusun laporan, Anda harus membiarkan pelanggan meninjau dan berkomentar di atasnya sebelum dikeluarkan. Tujuannya harus untuk pelanggan merasa nyaman dengan dan sesuai dengan apa yang ada dalam laporan. Setelah itu laporan tersebut disusun dan ditinjau oleh pelanggan .Sebagian besar departemen audit menerbitkan semua laporan audit kepada manajemen senior (termasuk CIO, CFO, dan CEO) dan terkadang bahkan ke komite audit

Pelacakan Masalah



Adalah umum bagi auditor untuk merasa seperti audit "selesai" begitu laporan auditnya dikabarkan.Biasanya bijaksana bagi auditor yang melakukan atau memimpin audit untuk bertanggung jawab untuk menindaklanjuti poin dari audit tersebut dengan pelanggan yang bertanggung jawab sebagai tanggal jatuh tempo untuk setiap titik pendekatan. Auditor tidak harus menunggu sampai titik tersebut jatuh tempo atau sebelum jatuh tempo sebelum menghubungi pelanggan, namun harus berada dalam kontak reguler mengenai status dari masalah Ini melayani sejumlah tujuan. Auditor harus tentukan seberapa penting risikonya dan buatlah keputusan mengenai tingkat manajemennya perlu menyadari risiko itu dan membuat keputusan tentang apakah akan menguranginya. Masalah harus ditingkatkan ke tingkat manajemen ini jika perlu. Setiap masalah kecil tidak perlu ditingkatkan ke komite audit, karena risikonya terkait beberapa masalah tidak menjaminnya. Anda tidak perlu memberi tahu komite audit tentang seseorang Pengguna memiliki kata sandi yang buruk, misalnya.

Ringkasan

Bab ini membahas hal-hal berikut:
• Kontrol internal, dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang memastikan berfungsinya proses dalam perusahaan. Kontrol bisa jadi preventif, detektif, atau reaktif dan memiliki administrasi, teknis, dan implementasi fisik
• Rencana audit Anda harus memfokuskan auditor Anda pada area yang memiliki risiko paling besar dan di mana Anda bisa menambahkan nilai paling banyak. Jagung audit komprehensif dan Model peringkat yang efektif merupakan elemen penting untuk mencapai tujuan ini.
• Audit memiliki enam tahap utama: perencanaan, kerja lapangan dan dokumentasi, masalah penemuan dan validasi, pengembangan solusi, pembuatan laporan dan penerbitan, dan pelacakan masalah
• Beberapa sumber dasar yang harus dirujuk sebagai bagian dari setiap perencanaan audit Prosesnya meliputi melepaskan dari manajer audit, survei pendahuluan, pelanggan permintaan, daftar periksa standar, dan penelitian.
• Selama kerja lapangan dan dokumentasi, sedapat mungkin, auditor harus melakukannya mencari cara untuk memvalidasi secara independen informasi yang diberikan kepada mereka dan efektivitas lingkungan pengendalian.
• Jika Anda bekerja dengan pelanggan Anda sepanjang audit untuk memvalidasi masalah dan sampai pada kesepakatan mengenai risiko yang menjadi masalah, kesimpulan dari audit akan  berjalan lebih lancar dan cepat.
• Tiga pendekatan umum digunakan untuk mengembangkan dan menetapkan item aksi untuk menangani masalah audit: pendekatan rekomendasi, respon manajemen pendekatan, dan pendekatan solusinya.
• Elemen penting dari laporan audit adalah pernyataan lingkup audit, daftar masalah beserta rencana aksi untuk menyelesaikannya, dan eksekutif ringkasan.
• Audit tidak benar-benar lengkap sampai masalah yang diangkat dalam audit diselesaikan. 


AUDIT APLIKASI
Aplikasi audit adalah jenis audit umum untuk perusahaan menengah dan besar, terutama jika beberapa aplikasi dikembangkan secara internal. Ada beberapa prinsip dasar aplikasi audit yang perlu diketahui dan dipahami oleh akuntan TI. Artikel dua bagian ini menjelaskan satu kerangka kerja untuk melakukan audit aplikasi yang efektif.
Kerangka kerja yang berorientasi proses mencakup langkah-langkah yang serupa dengan berikut ini:
• RENCANAKAN AUDIT.
• MENENTUKAN TUJUAN AUDIT.
• SISTEM MAP DAN ALIRAN DATA.
• IDENTIFIKASI KUNCI.
• MEMAHAMI FUNGSIONALITAS APLIKASI.
• LAKUKAN TES YANG SESUAI.
• HINDARI KOMPLIKASI.
• LAPORAN KEUANGAN.
• PERTIMBANGKAN ALAT YANG BERGUNA.
• LENGKAPI LAPORANNYA

Beberapa langkah, seperti sistem pemetaan dan aliran data, diperluas. Sementara pemetaan kartu harus dilakukan pada awal audit, sementara pemetaan kartu harus dilakukan pada awal audit, hal ini berperan dalam sebagian besar langkah lainnya. Lainnya, seperti laporan keuangan, mungkin atau mungkin tidak berlaku. Namun, kerangka kerja yang tercantum menyediakan serangkaian langkah yang adil yang memungkinkan pengendalian aplikasi yang efektif. Perlu diingat artikel ini menjelaskan tiga langkah pertama yaitu perencanaan, menentukan tujuan dan pemetaan.

RENCANAKAN AUDIT

Rencana audit mencakup pertimbangan semua faktor yang relevan yang menentukan tujuan audit. Pertimbangan ini diperlukan untuk merencanakan audit dengan benar.

Pertimbangan Tujuan

Salah satu pendorong utama audit aplikasi selama proses berlangsung adalah kondisi atau keadaan dimana audit tersebut muncul. Artinya, apa yang mendorong kebutuhan audit? Apakah itu rencana audit rutin? Apakah ini audit ad hoc? Kebutuhan itu biasanya berhubungan langsung dengan tujuan utama audit. Misalnya, jika manajemen ingin mendapatkan kepastian bahwa aplikasi baru berjalan sesuai yang dirancang, fakta tersebut akan mendorong tujuan dan rencana audit.

Pertimbangan Risiko

Faktor kunci kedua dan pengemudi adalah pertimbangan risiko yang terkait dengan audit tertentu, mengingat tujuan audit yang telah ditentukan sebelumnya. Auditor IT, atau tim audit, perlu mengidentifikasi risiko yang terkait dengan aplikasi dan data, sumber, infrastruktur dan sistem yang terkait. Untuk mengikuti contoh sebelumnya, skenario risiko mungkin termasuk kurangnya fungsionalitas (misalnya, tidak benar-benar memenuhi persyaratan informasi), kesalahan dan / atau bug, ketidakmampuan untuk mengintegrasikan / berinteraksi dengan aplikasi atau sistem lain, kesalahan data, dan risiko serupa lainnya.

Pertimbangan Lingkungan Pengendalian

Biasanya, rencana audit harus mempertimbangkan lingkungan pengendalian seputar aplikasi, dalam konteks tujuan audit. Jika tujuan utama audit adalah mengaudit fungsi yang tepat, kontrol mungkin merupakan pengendalian pengembangan aplikasi atau pengendalian siklus hidup pengembangan sistem (SDLC). Secara khusus, kontrol untuk pengujian aplikasi adalah penting.

Pertimbangan penerapan Pra atau Pasca implementasi

Terkadang audit aplikasi melibatkan aplikasi pra-implementasi, namun kemungkinan besar, ini akan menjadi situasi pasca-implementasi. Preaudit cenderung melibatkan tujuan, cakupan dan prosedur khusus yang sesuai dengan aplikasi dan tujuan tersebut. Postauditat sering mengikuti serangkaian tujuan umum (lihat bagian Tentukan Tujuan Audit).

Pertimbangan Ruang Lingkup

Pertimbangan yang sangat penting dalam perencanaan adalah menetapkan batasan lingkup. Itu berarti menentukan teknologi dan kontrol yang relevan yang terkait dengan audit aplikasi, seperti:
• Antarmuka ke aplikasi lain
• Sistem sumber
• Sistem target / tujuan
• Infrastruktur atau komponennya
• Database
• Fasilitas area stage / testing

Pertimbangan Kompetensi

Seperti dalam semua audit, salah satu pemimpin atau manajer tim audit perlu menilai kompetensi staf terhadap kebutuhan audit. Misalnya, jika antarmuka melibatkan Oracle, ada kemungkinan pakar Oracle akan benar-benar mengaudit aplikasi tersebut.

MENENTUKAN TUJUAN AUDIT

Pemetaan adalah salah satu alat paling efektif yang dimiliki auditor TI untuk audit TI. Tujuannya agak terkait dengan pertimbangan pra / pasca implementasi. Seperti yang dinyatakan sebelumnya, tujuannya cenderung berpemilik untuk aplikasi pra-implementasi. Hal yang sama juga berlaku untuk tujuan tertentu. Bagi orang lain, tujuannya cenderung menjadi salah satu yang khas untuk audit: 
• Efisiensi (terkait dengan biaya pengembangan, kinerja operasional, dll.)
• Efektivitas (terkait dengan memenuhi persyaratan / fungsi informasi, tujuan otorisasi asli, integrasi   dengan TI lainnya, kinerja operasional, dll.)
• Kepatuhan (hukum dan peraturan, kontrak, dll)
• Lansiran (jika peringatan disertakan dengan aplikasi)
• Implikasi pelaporan keuangan

SISTEM MAP DAN ARUS DATA

Pemetaan adalah salah satu alat paling efektif yang dimiliki auditor TI untuk audit TI. Dalam aplikasi audit, penting untuk benar lingkup TI lain yang mempengaruhi atau dipengaruhi oleh aplikasi. Para ahli percaya bahwa pemetaan dapat membantu auditor TI dalam memperoleh pemahaman menyeluruh tentang teknologi yang relevan, proses, kontrol dan bagaimana semuanya sesuai. Ini juga memberdayakan auditor TI untuk melakukan langkah terbaik dalam kerangka ini dari perencanaan hingga pelaporan, ini juga berdampak komprehensif terhadap kualitas audit TI. Item yang harus diperhatikan dalam memetakan aplikasi dengan benar antara lain:
• Komponen TI yang relevan (deskripsi)
• Pemilik bisnis atau lini bisnis
• Mengubah kebijakan dan prosedur manajemen
• Peran dan dampak dari vendor
• Proses bisnis
• Kontrol
• Administrasi akses dan keamanan

Faktor-faktor ini dapat memandu auditor TI dalam membuat peta, menentukan apa yang seharusnya ada di peta atau menentukan kolom apa yang harus digunakan dalam spreadsheet yang menggambarkan pemetaan. Mendokumentasikan dan memetakan risiko mungkin melibatkan item seperti risiko, area risiko, tujuan, referensi, prosedur, hari audit, persentase yang dilakukan, hari untuk menyelesaikan, ruang lingkup sistem dan catatan.
Auditor TI perlu memetakan proses dan aliran data menggunakan diagram alir data konvensional (DFD), use cases, diagram alir sistem atau Unified Modeling Language (UML). Diagram nonkonvensional dapat berfungsi sebagai model yang lebih baik untuk menggambarkan proses dan arus data.



IDENTIFIKASI KUNCI KONTROL

Saat mengevaluasi kontrol yang relevan, auditor TI ingin membedakan antara kontrol yang disesuaikan dan yang terdapat dalam perangkat lunak off-the-shelf komersial (COTS). Untuk kontrol yang dibuat khusus, penyelidikan adalah tempat yang baik untuk memulai evaluasi. Salah satu pertanyaan utamanya adalah meminta manajemen keahlian pengendalian khusus yang disuntikkan ke dalam proses pengembangan aplikasi. Artinya, siapa atau kelompok apa yang menyediakan keahlian yang memastikan kontrol yang memadai tertanam dalam aplikasi baru? Bagaimana tujuan itu tercapai? Dan akhirnya, auditor TI harus memastikan bahwa kontrol tersebut telah didokumentasikan dan diuji dengan benar.
Bagi COTS, auditor TI mungkin akan memulai dengan walk-through untuk menentukan kontrol apa yang sebenarnya ada dalam aplikasi dan bagaimana fungsinya. Jalan-jalan akan melibatkan mengikuti transaksi atau proses langkah demi langkah, keystroke oleh keystroke, dengan orang yang masuk ke data menjelaskan apa yang mereka lakukan dan mengapa. Proses semacam itu harus memungkinkan auditor TI untuk memperoleh pemahaman umum tentang kontrol aplikasi, kecukupan kontrol dan sifatnya (yaitu efektivitas). Jalan-jalan ini sangat penting untuk pertama kalinya aplikasi digunakan oleh entitas.
Juga untuk COTS, auditor TI harus menetapkan garis dasar tes kontrol untuk memahami keandalan dan efektivitas. Ini termasuk konfigurasi untuk aplikasi, seperti SAP dan Oracle.
Bagi COTS, auditor TI perlu menentukan tanggung jawab vendor yang terlibat. Tujuannya adalah mengapa angka 1, yang merupakan bagian dari langkah pemetaan dan terperinci di bagian 1 artikel ini, memiliki informasi tentang vendor dan sifat pemeliharaan aplikasi. Bila terjadi masalah dengan aplikasi, manajemen perlu memiliki kepastian dari siapa yang harus di andalkan untuk memecahkan masalah. Tentunya, praktik pengelolaan vendor berlaku.
Jenis kontrol dapat dinilai dengan menggunakan model sistem yang khas: input, proses dan output. Kontrol input meliputi:
• Akses keamanan
• Pemisahan tugas secara logika (SoD)
• Validasi data
• Integritas data
• Coding
• Kesalahan koreksi masukan
• Kontrol batch (jika ada) Kontrol proses tipikal meliputi:
• Tingkat otomasi (misalnya, sepenuhnya otomatis, bergantung pada IT, sepenuhnya manual)
• Job scheduler dependencies (untuk job processing)
• Pemantauan jadwal kerja
• Perhitungan otomatis
• Rekonsiliasi otomatis
• Pemberitahuan otomatis
• Kontrol output tipikal meliputi:
• Rekonsiliasi
• Ulasan
• Persetujuan
• Laporan / daftar kesalahan deteksi / kesalahan
• Kontrol atas laporan fisik (kontrol tambahan)

MEMAHAMI FUNGSIONALITAS APLIKASI

Biasanya, fungsi audit adalah tujuan audit utama. Prosedur melibatkan verifikasi fungsi operasional, yang harus dijelaskan dalam persyaratan informasi dalam proses pengembangan aplikasi (AppDev). Selain meninjau dokumen otorisasi untuk aplikasi, auditor TI harus meninjau laporan penerimaan pengguna akhir.
Beberapa tujuan khas terkait dengan tujuan aplikasi. Saat menguji aplikasi, pertimbangan diberikan pada berbagai skenario yang dibutuhkan untuk menguji aplikasi dengan benar. Jika tujuan aplikasi mengarah pada hasil dikotomis, tes seseorang mungkin cukup (ya atau tidak, disetujui atau tidak disetujui, dll.). Tapi, jika aplikasinya adalah update untuk proses penggajian, misalnya ada sejumlah besar skenario yang perlu dipertimbangkan untuk menguji semua kombinasi berbagai faktor yang masuk ke dalam perhitungan pajak gaji. Hal yang sama mungkin terjadi pada pengujian keamanan dan kontrol akses.
Beberapa pertimbangan khusus mencakup setidaknya beberapa hal yang pengguna akhir dan manajer bisnis tipikal cenderung mengabaikannya dalam tahap pengumpulan kebutuhan informasi: keamanan dan cakupan data yang tepat diambil. Tingkat keamanan yang tepat jelas merupakan faktor penentu keberhasilan di AppDev dan, karenanya, perlu dievaluasi. Biasanya, pengguna dan manajer tidak sepenuhnya memahami cakupan data yang perlu ditangkap pada titik kejadian dan transaksi. Fakta ini sangat penting jika entitas memiliki rencana untuk pernah mempekerjakan, misalnya, business intelligence (BI) atau business analytics. Data yang kaya menjadi penting untuk data "irisan dan dadu" dengan alat data mining untuk mendapatkan keuntungan maksimal dari data penggunaan BI.
Kontrol operasional mungkin ada dalam lingkup, tergantung pada pertimbangan tujuan. Hal yang sama berlaku untuk kontrol pelaporan keuangan.
Menggunakan model sistem ini cenderung membuat analisis dan pengujian fungsi aplikasi lebih mudah dan lebih lengkap.

LAKUKAN TES YANG SESUAI

Ketika sebuah aplikasi gagal untuk melakukan dengan benar, ketika ada kesalahan yang dibuat, ketika proses yang disematkan di aplikasi gagal bekerja dengan baik, biasanya dapat ditelusuri kembali ke tahap pengujian yang tidak tepat. Pengujian aplikasi lebih dari sekedar melakukan tes tunggal.
Praktik terbaik untuk pengujian melibatkan beberapa tingkat pengujian. Pertama, aplikasi yang diuji berdiri sendiri. Itu biasanya dilakukan oleh seorang programmer senior atau analis yang terutama bertanggung jawab atas proyek AppDev. Kemudian, aplikasi berjalan melalui beberapa kontrol kualitas di departemen TI. Artinya, ini diuji secara independen oleh beberapa ahli di departemen TI.
Selanjutnya, aplikasi ini diuji oleh pengguna sebenarnya. Seringkali, pengguna akhir ini terlibat secara siklis saat aplikasi dikembangkan. Tapi, minimal, satu atau lebih pengguna akhir harus menguji aplikasi begitu dikembangkan sepenuhnya untuk menentukan fungsionalitas, kelengkapan, akurasi dan efisiensinya. Setelah selesai, biasanya pengguna akhir tersebut menandatangani laporan penerimaan pengguna akhir, mendokumentasikan hasil tes.
Kemudian, aplikasi diuji bersamaan dengan aplikasi lain dalam modul, siklus, atau kelas transaksi yang sama. Itu sering membutuhkan lingkungan yang lebih kuat daripada pengujian aplikasi sebelumnya yang berdiri sendiri. Area pementasan telah menjadi salah satu cara terbaik untuk melakukan tes ini, di mana simulator dibuat dari infrastruktur, aplikasi, sistem, dan basis data entitas. Tapi, itu bukan
akhir baik Aplikasi harus diuji dalam konteks sistem perusahaan, dengan semua transfer data dan antarmuka yang berjalan dalam operasi TI aktual. Proses itu membutuhkan area pementasan.

HINDARI KOMPLIKASI

Ada sejumlah komplikasi yang secara inheren berisiko dan, oleh karena itu, perlu dipertimbangkan selama audit aplikasi. Pertama, aplikasi proprietary (custom-built) memiliki risiko inheren tinggi. Fakta ini mempengaruhi tujuan, perencanaan, pengendalian dan langkah-langkah risiko.
Jika sebuah gudang data (DW) dilibatkan, ada risiko inheren yang relatif tinggi. Hampir secara universal, ketika DW diimplementasikan, data yang diimpor ke DW memiliki risiko tinggi karena, misalnya, ketidakkonsistenan data (bidang yang sama dengan nama yang berbeda), data yang hilang dan data buruk (yaitu, kesalahan). Jadi, ketika data diambil dari sistem pemrosesan transaksi (TPS), perawatan harus dilakukan dalam pemetaan data dan menggunakan proses ETL (ekstrak, transformasi dan beban) untuk mengidentifikasi dan memperbaiki anomali data yang telah disebutkan sebelumnya.
Untuk DW yang sedang berjalan, pemilik data bisa, misalnya, mengganti nama field dan menambahkan field, dan jika kontrol perubahan tidak efektif, data tidak dapat melewati proses ETL berikutnya dengan sukses. Dengan demikian, perubahan kontrol manajemen untuk DW sangat penting. Hal yang sama berlaku untuk fungsi integrasi serupa lainnya.
Beberapa perbedaan harus dibuat antara dua jenis risiko dengan DW. Pertama, ada integritas proses. Integritas ini adalah tentang apakah prosesnya berhasil. Apakah aplikasi melakukan apa yang seharusnya dilakukan terkait dengan fungsi pemrosesannya? Kedua, ada integritas data atau kualitas data, yang menyangkut keandalan dan integritas data yang sedang diproses, ditransfer dan direkam. Apakah data masuk valid? Apakah data sumbernya valid, akurat dan lengkap? Apakah transfer data dari sumber ke target selesai secara efektif, tanpa kesalahan?

LAPORAN KEUANGAN

Ketika pelaporan keuangan dalam lingkup, aplikasi perlu menangani asertifikasi utama dari saldo akun, kelas transaksi atau pengungkapan. Apakah aplikasi mencakup kontrol yang sesuai yang terkait dengan laporan utama dari hasil akhir saldo akun atau kelas transaksi? Auditor TI, jika ada, harus menguji aplikasi terhadap pernyataan yang sesuai. Misalnya, jika laporan akurat, pengujian bisa mencakup hal-hal seperti:
• Kontrol validasi entri data
• Perhitungan otomatis
• Rekonsiliasi otomatis
Pernyataan keberadaan mungkin diuji untuk kontrol validasi entri data. Pernyataan kelengkapan bisa diuji untuk kontrol / rekonsiliasi atau proses kerja / batch.

PERTIMBANGKAN ALAT YANG BERGUNA

Beberapa alat yang berguna untuk pengujian aplikasi adalah teknik audit yang dibantu komputer (CAAT) dan ETL. CAAT sangat membantu dalam melakukan prosedur, seperti data mining, yang memeriksa hasil data dari posting oleh aplikasi untuk menentukan apakah kontrol aplikasi bekerja, jika aplikasi bekerja dengan benar dan jika aplikasi menghasilkan kesalahan. CAAT juga berguna dalam menganalisis data untuk tujuan seperti integritas data.
ETL berguna dalam mendeteksi data cacat yang dapat ditelusuri kembali ke aplikasi yang menghasilkannya dan, dengan demikian, memberikan kesempatan untuk memperbaiki kekurangan pada aplikasi.

Pengujian Kontrol

Beberapa kemungkinan tes kontrol meliputi:
• Rekonsiliasi
• Perhitungan ulang
• Duplikasi
• Kesenjangan
Contoh rekonsiliasi mungkin memverifikasi ID pelanggan dalam file transaksi terhadap ID pelanggan di file induk. Artinya, apakah pelanggan dalam file transaksi benar-benar ada dalam daftar pelanggan resmi? Contoh lain adalah menghitung ulang di mana auditor TI dapat memperpanjang basis data inventaris untuk melihat apakah total biaya persediaan sesuai dengan jumlah kontrol dalam buku besar (mis., Saldo akun). Duplikat dan kesenjangan berguna dalam mendeteksi kesalahan dalam pengolahan data.

Data Mining

Data mining dapat digunakan untuk mendukung tujuan audit. Secara khusus, ini berguna dalam melakukan prosedur substantif terkait TI, seperti persetujuan pengujian atau kesalahan klasifikasi yang terkait dengan kode yang benar.
Pesanan Pembelian Ambang batas
Setiap kali sebuah aplikasi melibatkan ambang batas di mana persetujuan awal / tambahan diperlukan, CAAT berguna untuk menentukan apakah pengendalian tersebut berjalan efektif. Misalnya, jika aplikasinya berupa pesanan pembelian atau pengeluaran, dan jika pembelian dan pembayaran dilakukan satu banding satu (misalnya, pencairan dibayar dengan faktur dan bukan pernyataan), sebuah uji sederhana untuk mengekstraksi semua pencairan di atas ambang terhadap data file yang berisi persetujuan (misalnya, file pesanan pembelian) akan mengekspos pengecualian apapun ke control / threshold. Ini juga memiliki manfaat tambahan dari deteksi kecurangan jika seseorang membuat frustrasi ambang batas dengan sengaja melakukan kecurangan.

LENGKAPI LAPORANNYA

Jelas semua audit diakhiri dengan semacam laporan. Laporan tersebut umumnya berpemilik dalam format. Tapi, mereka cenderung memasukkan tujuan audit, tes yang dilakukan, hasil tes (biasanya) dan rekomendasi




REGULASI COSO
COSO kepanjangannya Committee of Sponsoring Organizations of the Treadway Commission. Sejarahnya, COSO ini ada kaitannya sama FCPA yang dikeluarkan sama SEC dan US Congress di tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA adalah inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih merupakan inisiatif dari sektor swasta.
Sektor swasta ini membentuk ‘National Commission on Fraudulent Financial Reporting’ atau dikenal juga dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini disponsori oleh 5 professional association yaitu: AICPA, AAA, FEI, IIA, IMA. Tujuan komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi2 yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan.
Walaupun disponsori sama 5 professional association, tapi pada dasarnya komisi ini bersifat independen dan orang2 yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik, Bursa Efek, dan investor. Nama ‘Treadway’ sendiri berasal dari nama ketua pertamanya yaitu James C. Treadway, Jr.
Komisi ini mengeluarkan report pertamanya pada 1987. Isi reportnya di antaranya adalah merekomendasikan dibuatnya report komprehensif tentang pengendalian internal (integrated guidance on internal control). Makanya terus dibentuk COSO, yang kemudian bekerjasama dengan Coopers & Lybrand (Ehm, kira2 bisa dibilang mbahnya PwC gitu) untuk membuat report itu.
Coopers & Lybrand mengeluarkan report itu pada 1992, dengan perubahan minor pada 1994, dengan judul ‘Internal Control – Integrated Framework’. Report ini berisi definisi umum internal control dan membuat framework untuk melakukan penilaian (assessment) dan perbaikan (improvement) atas internal control. Gunanya report ini salah satunya adalah untuk mengevaluasi FCPA compliance di suatu perusahaan.
Poin penting dalam report COSO ‘Internal Control – Integrated Framework’ (1992):

Definisi internal control menurut COSO

Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
Efektifitas dan efisiensi operasional
Reliabilitas pelaporan keuangan
Kepatuhan atas hukum dan peraturan yang berlaku

Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:

Control Environment
Risk Assessment
Control Activities
Information and communication
Monitoring



KOMPONEN PENGENDALIAN INTERNAL COSO

1. Pengendalian Lingkungan (Control Environment) Pengendalian lingkungan mengatur “warna” organisasi. Merupakan dasar dari semua komponen pengendalian internal, berupa aturan dan struktur. Faktor pegendalian lingkungan termasuk integritas, nilai etika, kompetensi staff, filosofi manajemen dan gaya operasional, cara manajemen memberikan otoritas dan tanggung jawab serta pengembangan staff, perhatian dan arahan dari dewan direksi.
2. Risk Assessment (Penilaian Risiko) Setiap entitas dalam organisasi akan menghadapi beragam risiko yang berasal dari eksternal dan internal yang harus dinilai/diperkirakan. Penilaian/identifikasi risiko merupakan identifikasi dan analisa dari risiko yang relevan dalam mencapai sasaran, yang kemudian mengarah pada bagaimana risiko dikelola. Karena kondisi ekonomi, industri, peraturan/regulasi, dan operasional akan terus berubah, sebuah mekanisme diperlukan untuk mengidentifikasi dan mengelola risiko karena perubahan.
3. Aktivitas Pengendalian Aktivitas pengendalian merupakan kebijakan dan prosedur yang membantu manjamin bahwa manajemen dijalankan dengan baik. Hal ini akan menjamin bahwa tindakan penting diambil untuk menyelesaikan risiko dan mencapai sasaran entitas. Aktivitas pengendalian dijalankan di seluruh organisasi, di semua level dan fungsi. Termasuk di dalamnya, aktivitas untuk persetujuan, keamanan aset dan pemisahan tugas. 
4. Informasi dan Komunikasi Menurut COSO, informasi harus diidentifikasi, disimpan dan dikomunikasikan dalam sebuah form dan time frame yang memungkinkan individu dapat menjalankan tanggung jawabnya. Sistem informasi memproduksi laporan yang berisi operasional, keuangan dan pemenuhan informasi yang digunakan untuk menjalankan dan mengendalikan bisnis. Informasi tidak hanya berasal dari data internal, tetapi juga berasal dari kejadian, aktivitas dan kondisi eksternal yang perlu untuk proses pengambilan keputusan dan pelaporan eksternal. Komunikasi yang efektif harus disampaikan dengan jelas dari manajemen atas bahwa pengendalian harus dijalankan dengan serius. Masing-masing individu harus mengerti peran dalam sistem pengendalian internal. 
5. Pengawasan (Monitoring) Sistem pengendalian internal harus diawasi, sebuah proses yang menjamin kualitas dari kinerja pengendalian untuk masa waktu tertentu.    
6. Hubungan antar Komponen Terdapat sinergi dan keterkaitan diantara komponen pengendalian internal tersebut, yang membentuk sistem yang terintegrasi yang bereaksi secara dinamis terhadap perubahan kondisi. Sistem pengendalian internal terjalin dengan keseluruhan aktivitas operasi dan ada sebagai dasar bisnis. Pengendalian internal akan lebih efektif jika disusun ke dalam infrastruktur dan menjadi bagian dari enterprise.




STANDAR DAN KERANGKA KERJA AUDIT

Manajemen risiko Enterprise adalah sebuah proses yang diaplikasikan dalam perumusan strategi dan dirancang untuk mengidentifikasi kejadian potensial yang mungkin akan berdampak pada keseluruhan organisasi, dan pengelolaan risiko. Kategori sasaran dalam manajemen risiko :
Strategis : tujuan tingkat tinggi, selaras dengan dan mendukung misi 
Operasional : penggunaan sumberdaya secara efektif dan efisien 
Pelaporan : keandalan pelaporan 
Pemenuhan : pemenuhan hukum dan peraturan yang berlaku
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
Internal Environment
Objective Setting
Event Identification
Risk Assessment
Risk Response
Control Activities
Information and Communication
Monitoring



STANDAR KINERJA 


Mengelola Aktivitas Audit Internal 

Kepala Audit Internal harus mengelola aktivitas audit internal secara efektif untuk meyakinkan bahwa aktivitas tersebut memberikan nilai tambah bagi organisasi. 

Interpretasi: 
Aktivitas audit internal telah dikelola secara efektif apabila: 
• Hasil pekerjaan aktivitas audit internal mencapai tujuan dan tanggung jawab sebagaimana tercantum pada piagam audit internal; 
• Aktivitas audit internal sesuai dengan Definisi Audit Internal dan Standar; 
• Individu yang berpartisipasi dalam kegiatan audit internal menunjukkan kepatuhannya terhadap Kode Etik dan Standar; dan 
• Aktivitas audit internal dikatakan memberi nilai tambah bagi organisasi (dan pemangku kepentingannya) apabila dapat memberikan asurans yang objektif dan relevan, serta berkontribusi pada peningkatan efektivitas dan efisiensi proses tata kelola, manajemen risiko, dan pengendalian. 

Perencanaan

Kepala Audit Internal harus menyusun perencanaan berbasis risiko (risk-based plan) untuk menetapkan prioritas kegiatan aktivitas audit internal sesuai dengan tujuan organisasi. 

Interpretasi: 
Kepala Audit Internal bertanggung jawab membangun perencanaan berbasis risiko. Kepala Audit Internal memanfaatkan kerangka manajemen risiko organisasi, termasuk penggunaan tingkat risk appetite yang ditetapkan manajemen pada berbagai aktivitas atau bagian organisasi. Apabila kerangka tersebut belum ada, Kepala Audit Internal menggunakan pertimbangan risikonya sendiri setelah mempertimbangkan masukan dari Manajemen Senior dan Dewan. Kepala Audit Internal harus mengkaji dan menyesuaikan perencanaan seperlunya untuk merespon perubahan dalam berbagai hal: usaha, risiko, operasi, program, sistem, dan pengendalian organisasi. 

Pengelolaan Sumber Daya

Kepala Audit Internal harus memastikan bahwa sumber daya audit internal telah sesuai, memadai, dan dapat digunakan secara efektif dalam rangka pencapaian rencana yang telah disetujui.

Interpretasi: 
Sesuai mengacu pada gabungan dari pengetahuan, kecakapan/keahlian, dan kompetensi lain yang diperlukan untuk melaksanakan rencana. Memadai mencakup kuantitas sumber daya yang diperlukan untuk mencapai rencana. Sumber daya digunakan secara efektif apabila digunakan dengan cara yang dapat mengoptimalkan pencapaian tujuan yang telah disetujui.  

Sifat Dasar Pekerjaan

Aktivitas audit internal harus melakukan evaluasi dan memberikan kontribusi dalam peningkatan proses tata kelola, manajemen risiko, dan pengendalian dengan menggunakan pendekatan yang sistematis dan teratur.

Tata Kelola

Aktivitas audit internal harus menilai dan memberikan rekomendasi yang sesuai untuk peningkatan proses tata kelola dalam pencapaian tujuan-tujuan sebagai berikut: 

Pengembangan etika dan nilai-nilai yang sesuai dalam organisasi; 
Memastikan bahwa pengelolaan dan akuntabilitas kinerja organisasi telah efektif; 
Mengkomunikasikan informasi risiko dan pengendalian pada area yang sesuai dalam organisasi; dan 
Mengkoordinasikan kegiatan dan mengkomunikasikan informasi secara efektif diantara Dewan Pengawas, auditor eksternal dan internal, serta manajemen. 

Perencanaan Penugasan

Auditor Internal harus menyusun dan mendokumentasikan rencana untuk setiap penugasan yang mencakup tujuan penugasan, ruang lingkup, waktu, dan alokasi sumber daya. 

Pertimbangan Perencanaan

Dalam merencanakan penugasan, auditor internal harus mempertimbangkan: 

• Sasaran dari kegiatan yang sedang diperiksa dan mekanisme yang digunakan dalam mengendalikan kinerjanya; 
• Risiko signifikan atas kegiatan, sasaran, sumber daya, dan operasi yang diperiksa, dan bagaimana menurunkan dampak risiko tersebut sampai pada tingkat yang dapat diterima; 
• Kecukupan dan efektivitas tata kelola, manajemen risiko dan proses pengendalian dibandingkan dengan kerangka atau model yang relevan; dan 
• Peluang untuk meningkatkan secara signifikan tata kelola, manajemen risiko, dan proses pengendalian. 

a) Sewaktu menyusun rencana penugasan yang akan diberikan kepada pihak di luar organisasi, auditor internal harus membuat kesepahaman dengan mereka tentang tujuan, ruang lingkup, tanggung jawab masingmasing pihak, dan harapan lainnya, termasuk pembatasan distribusi hasil penugasan dan akses terhadap catatan penugasan.
b) Auditor Internal harus membuat nota kesepahaman dengan klien penugasan konsultansi yang memuat tujuan, ruang lingkup, tanggung jawab masing-masing pihak, dan harapan lain klien.  Untuk penugasan yang signifikan, nota kesepahaman ini harus didokumentasikan. 

Tujuan Penugasan

Tujuan harus ditetapkan untuk setiap penugasan.   

- Auditor Internal harus melakukan penilaian pendahuluan terhadap risiko yang relevan atas kegiatan yang dikaji. Tujuan penugasan harus mencerminkan hasil penilaian tersebut.   

- Auditor Internal harus mempertimbangkan kemungkinan timbulnya kesalahan yang signifikan, kecurangan, ketidaktaatan, dan eksposur lain pada saat menyusun tujuan penugasan.   

- Kriteria yang memadai diperlukan untuk mengevaluasi tata kelola, manajemen risiko, dan pengendalian. Auditor Internal harus memastikan seberapa jauh manajemen dan/atau Dewan telah menetapkan kriteria memadai untuk menilai apakah tujuan dan sasaran telah tercapai. Apabila memadai, auditor internal harus menggunakan kriteria tersebut dalam evaluasinya. Apabila tidak memadai, auditor internal harus bekerja dengan manajemen dan/atau Dewan untuk membangun kriteria evaluasi yang sesuai.   

- Tujuan penugasan konsultansi harus diarahkan pada proses tata kelola, risiko, dan pengendalian, sesuai dengan kesepakatan yang dibuat dengan klien.   

- Tujuan penugasan konsultansi harus konsisten dengan nilai, strategi, dan tujuan organisasi.

Ruang Lingkup Penugasan

Ruang lingkup penugasan yang ditetapkan harus memadai untuk dapat mencapai tujuan penugasan.   
Ruang lingkup penugasan harus mempertimbangkan sistem, catatan, personel dan properti fisik yang relevan, termasuk yang berada dibawah pengelolaan pihak ketiga. 
Jika timbul peluang dilakukannya jasa konsultansi yang signifikan pada saat penugasan asurans, nota kesepahaman tertulis khusus yang mencakup tujuan, ruang lingkup, tanggung jawab masing-masing pihak, dan harapan lain harus dibuat dan hasil penugasan konsultansi dikomunikasikan berdasarkan standar penugasan konsultansi.
Dalam penugasan konsultansi, auditor internal harus memastikan bahwa ruang lingkup penugasan telah memadai untuk mencapai tujuan yang telah disepakati. Jika Auditor Internal  merasa berkeberatan tentang ruang lingkup selama penugasan, keberatan tersebut harus didiskusikan dengan klien untuk menentukan kelanjutan penugasan.   
Selama penugasan konsultansi, auditor internal harus memperhatikan pengendalian yang terkait dengan tujuan penugasan serta waspada terhadap berbagai permasalahan pengendalian yang signifikan. 
Alokasi Sumber Daya Penugasan Auditor Internal harus menentukan sumber daya yang sesuai dan memadai untuk mencapai tujuan penugasan, berdasarkan evaluasi atas sifat dan tingkat kompleksitas setiap penugasan, keterbatasan waktu, dan sumber daya yang dapat digunakan.

COSO Definisi Pengendalian Internal

Pengendalian internal adalah proses, dipengaruhi oleh dewan direksi, manajemen, dan perusahaan personil lainnya, yang dirancang untuk memberikan keyakinan memadai mengenai pencapaian tersebut
tujuan dalam kategori berikut:
• Efektivitas dan efisiensi operasi
• Keandalan pelaporan keuangan
• Kepatuhan terhadap hukum dan peraturan yang berlaku

Konsep Utama Pengendalian Internal

Berikut ini adalah konsep kunci pengendalian internal menurut COSO:
• Kontrol internal adalah sebuah proses. Ini adalah sarana untuk mencapai tujuan, bukan tujuan itu sendiri.
• Kontrol internal dipengaruhi oleh orang. Ini bukan hanya manual kebijakan dan
bentuk, tapi orang-orang di setiap tingkat organisasi.
• Pengendalian internal dapat diharapkan hanya memberikan kepastian yang memadai, tidak
kepastian mutlak, terhadap manajemen dan dewan direksi.
• Pengendalian internal diarahkan pada pencapaian tujuan dalam satu atau lebih
terpisah tapi tumpang tindih kategori.



MANAJEMEN RESIKO
Risiko TI

TI memainkan peran sentral  dalam organisasi, sehingga dampak risiko TI terlalu besar untuk dapat diabaikan.
Dampak insiden risiko TI:
Secara signifikan merugikan pihak-pihak terkait baik internal maupun eksternal (konsumen/ publik, rekanan, dsb.)
Merusak reputasi organisasi, tidak hanya manajemen TI tetapi manajemen organisasi secara umum.

Penyebab Risiko TI

Mayoritas risiko TI bukan karena masalah teknis tetapi kegagalan proses pengawasan dan tatakelola TI organisasi: proses-proses pengambilan keputusan yang mengabaikan (sengaja atau tidak) potensi konsekuensi bisnis dari risiko TI.
Kegagalan mengakibatkan rangkaian keputusan dan struktur aset TI yang bermasalah.
Manifestasi kelemahan manajemen risiko TI:

Tatakelola TI yang tidak efektif
Kompleksitas yang tidak terkendali, dan
Kurangnya kesadaran terhadap risiko.

Kelemahan Tatakelola TI

Tidak adanya struktur dan proses yang memungkinkan keterlibatan pihak bisnis dalam pengambilan keputusan tentang TI (termasuk investasi TI) berdampak:

Keoptimalan keputusan hanya diukur secara lokal (bagian/divisi/unit) untuk merespon kebutuhan lokal. Cepat atau lambat akan membatasi kelincahan organisasi untuk dapat tanggap terhadap kebutuhan bisnis (integrasi, layanan baru, dsb.)
Tanpa keterlibatan bisnis, pengambil keputusan TI dapat salah dalam menilai tingkat risiko. Berakibat pada prioritasi penerapan kontrol yang tidak tepat.

Kompleksitas Tak Terkendali

Kompleksitas aset TI yang tinggi (bervariasi dan saling tumpang-tindih) meningkatkan kerawanan terhadap risiko

Rumit dan beratnya beban kerja pengelolaannya.
Keterbatasan SDM berkeahlian menimbulkan ketergantungan pada pihak ketiga.

Kurangnya Kesadaran terhadap Risiko

Ketidak-pekaan terhadap sumber risiko TI:

Kelemahan dalam perencanaan SDM: mutasi, PHK, dan ketergantungan pada kontraktor pihak ketiga. 
Kelemahan pengelolaan infrastruktur: digunakannya perangkat infrastruktur yang tidak handal.
Ketidak-tahuan dan ketidak-pedulian karyawan terhadap usaha menghindari resiko keamanan TI.
Tidak-adanya fasilitas (kontrol) untuk mendeteksi dan mencegah terjadinya aktivitas yang merugikan.

Menuju Lingkungan Peka Risiko

Manajemen risiko TI adalah tanggung jawab bersama:
Pimpinan TI harus dapat menjelaskan kepada eksekutif bisnis tentang konsekuensi risiko TI.
Pimpinan TI harus menciptakan mekanisme pengambilan keputusan yang memungkinkan pembahasan risiko TI dari perspektif bisnis.

Risiko TI bukan hanya masalah TI yang dipecahkan dengan teknologi dan keahlian pengelolaannya saja:
Inisiatif mitigasi risiko membutuhkan komitmen dari pimpinan organisasi, termasuk untuk berinvestasi dalam mengimplementasikan kontrol yang dibutuhkan.

Kemampuan Tatakelola Resiko TI

Perusahaan yang mapan membangun kemampuan tatakelola risiko TI dengan:
Menerapkan kerangka-kerja terpadu dalam mengelola risiko TI sehingga dapat mengambil keputusan secara rasional dengan menimbang untung-ruginya dari perspektif bisnis

Adanya kesamaan persepsi terhadap risiko TI.
Menekankan pada tiga pilar utama manajemen resiko:

Penyederhanaan arsitektur TI
Penerapan proses tatakelola risiko, dan 
Penciptaan budaya peka risiko.

Definisi Risiko dan Manajemennya

Risiko
Kondisi atau kejadian (event) yang dapat berdampak positif atau negatif pada hasil suatu kegiatan.
Berbeda dengan problem, risiko adalah potensi (belum terjadi) timbulnya kerugian.

Manajemen Resiko:
Proses identifikasi, analisa dan antisipasi risiko secara proaktif. 
Tujuannya untuk memaksimalkan dampak positif (peluang) dan meminimalkan dampak negatif (kerugian).

Prinsip Dasar Manajemen Risiko

Bersifat proaktif:
Antisipatif, bukan reaktif
Mengatasi penyebab, bukan gejala
Menyiapkan rencana penanggulangan sebelum kejadiannya
Menerapkan prosedur penanggulangan yang baku
Menerapkan mekanisme preventif (mengurangi kemungkinan terjadinya) sejauh memungkinkan.

Bersifat kolektif: melibatkan setiap pihak (dengan bidang tanggung jawab masing-masing) dalam proses manajemen risiko.
Prinsip Dasar Manajemen Risiko
Bersifat partisipatif: secara terbuka membahas berbagai potensi risiko demi kesuksesan bersama untuk menghindari adanya risiko tersembunyi.
Bersifat iteratif: melalui siklus untuk memfasilitasi proses belajar (memahami risiko) dari pengalaman. Menjadikan evaluasi ulang risiko sebagai bagian dari siklus kegiatan.
Siklus Manajemen Risiko
Siklus secara umum :
1. Identifikasi
2. Analisa & Prioritasi
3. Perencanaan & Implementasi Penanggulangan
4. Pantau & Laporkan
5. Kontrol

Identifikasi Risiko

Merupakan aktivitas kolektif dengan sasaran tercapainya kesepakatan tentang daftar risiko yang dihadapi.
Mempertimbangkan:
Pengalaman anggota tim
Pengetahuan umum tentang kategori dan jenis risiko:

Operational, financial, technological, dsb.
Kebijakan dan prosedur organisasi tentang manajemen risiko
Karakteristik kegiatan: konteks, tujuan, status pelaksanaan, catatan historisnya, dsb.

Pernyataan Risiko

Setiap risiko dalam daftar resiko memiliki risk statement yang minimal mendefinisikan:
Penyebab (root cause)
Kondisi (atau event)
Akibat langsung (consequence) bagi kegiatan
Dampak (downstream efect) bagi bisnis

Analisa dan Prioritasi Risiko

Karena keterbatasan sumber daya, risiko harus dianalisa untuk diprioritaskan mana yang utama harus ditanggulangi.
Mempertimbangkan:
Pengalaman anggota tim
Risk statement
Pengetahuan tentang risiko tsb.
Kebijakan dan prosedur manajemen risiko organisasi
Penilaian pihak manajemen.

Analisa Risiko

Menghitung derajad risiko (risk exposure) berdasarkan dua komponen:
Peluang terjadinya (probability)
Besarnya dampak (impact)
Metoda penilaian kualitatif (semi kuantitatif) dan kuantitatif.
risk exposure = probability x impact

Probabilitas

Peluang terjadinya dapat diperkirakan berdasarkan:
Statistik terjadinya event (atau event serupa) pada masa lalu.
Perkiraan ahli di bidang terkait, dapat juga melalui konsensus anggota tim.

Diukur secara kuantitatif atau semi-kuantitatif :



Rencana Penanggulangan

Penyusunan rencana untuk mengendalikan risiko-risiko dengan prioritas tinggi
Berupa implementasi mekanisme kontrol yang terintegrasi dalam prosedur kegiatan.

Prinsip:
Kendalikan penyebab untuk memperkecil probability
Kendalikan akibat untuk memperkecil impact
Untuk risiko yang diluar wilayah kewenangan/ kendali, limpahkan ke pihajk yang berwenang.

Alternatif Tindakan

Accept, terima jika masih dalam batas toleransi organisasi (risk appetite).
Avoid, hindari dengan membatasi lingkup kegiatan.
Transfer, alihkan kepada pihak lain termasuk dengan outsourcing/subcontract/purchase atau dengan asuransi.
Mitigate, menerapkan mekanisme untuk menurunkan peluang terjadinya atau meminimalisasi dampaknya sampai batas yang dapat ditolerir.
Contingency, menerapkan prosedur penanggulangan untuk meminimalkan dampak.
Pemantauan Risiko
Memantau kerja mekanisme pengendalian risiko dengan:
Metrik indikator terjadinya risiko yang diukur dari aspek-aspek kinerja kegiatan (misalnya: kelambatan proses, peningkatan jumlah gangguan, jumlah pengerjaan ulang, dsb.)

Mengaktifkan rencana contingency jika batas ambang terlampaui (trigger). 




Tidak ada komentar:

Posting Komentar