Minggu, 06 Januari 2019

Pengauditan Sistem Informasi Berbasis Komputer

Pengertian Audit

     Audit adalah proses sistematis untuk memperoleh dan mengevaluasi bukti mengenai pernyataan tentang tindakan dan peristiwa ekonomi untuk menentukan seberapa baik mereka sesuai dengan kriteria yang ditetapkan. Audit memerlukan perencanaan yang cermat dan pengumpulan, tinjauan, dan dokumentasi bukti audit.  Audit intenal adalah jaminan independen, obyektif dan kegiatan konsultasi yang dirancang untuk menambah nilai dan meningkatkan efektivitas dan efisiensi organisasi, termasuk membantu dalam perancangan dan implementasi SIA. Audit internal membantu organisasi mencapai tujuannya dengan mengembangkan pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas proses manajemen risiko, kontrol, dan tata kelola. Ada beberapa jenis audit internal :
  1. Audit keuangan, memeriksa keandalan dan integritas transaksi keuangan, catatan akuntansi, dan laporan keuangan.
  2. Suatu sistem informasi, atau pengendalian internal, audit meninjau kontrol dari SIA untuk menilai kepatuhannya terhadap kebijakan dan prosedur pengendalian internal dan keefektifannya dalam menjaga iiset. Audit biasanya mengevakuasi input dan output sistem; kontrol pemrosesan; rencana cadangan dan pemulihan; keamanan sistem dan fasilitas komputer.
  3. Audit operasional berkaitan dengan penggunaan sumber daya yang efisien dan pencapaian tujuan dan sasaran yang ditetapkan
  4. Audit kepatuhan menentukan apakah mematuhi hukum, peraturan, kebijakan, dan prosedur yang berlaku. Audit ini menghasilkan rekomendasi untuk meningkatkan proses dan kontrol yang digunakan untuk memastikan dengan peraturan.
  5. Audit investigasi memeriksa insiden kemungkinan penipuan, penyalahgunaan aset, pemborosan dan penyalahgunaan, atau kegiatan pemerintah yang tidak tepat

Sifat Audit

     Audit dibagi menjadi empat tahapan :
  1.  Perencanaan audit. Menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilakukan. Langkah pertama adalah menetapkan ruang lingkup dan tujuan audit. Audit direncanakan sehingga jumlah pekerjaan audit terbesar berfokus pada area dengan faktor risiko tertinggi. Ada tiga jenis risiko audit:
    1. Risiko inheren adalah kerentanan terhadap risiko material tanpa kontrol.
    2. Kontrol risiko adalah risiko bahwa salah saji material akan melewati struktur pengendalian internal dan ke dalam laporan keuangan.
    3. Risiko deteksi adalah risiko bahwa auditor dan prosedur audit mereka akan gagal mendeteksi kesalahan material atau salah saji.
  2. Pengumpulan bukti audit. Sebagian besar upaya audit dihabiskan untuk mengumpulkan bukti. Berikut ini adalah cara paling umum untuk mengumpulkan bukti audit:
    1. Mengamati aktivitas yang diaudit
    2. Peninjauan ulang dokumentasi
    3. Diskusi dengan karyawan
    4. Konfirmasi keakuratan informasi
    5. Reperformance dari perhitungan
    6. Vouching untuk vasilidasi
    7. Tinjauan analistis
  3. Evaluasi bukti Audit. Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah itu mendukung kesimpulan yang menguntungkan atau tidak menguntungkan. Jika tidak disimpulkan, auditor melakukan prosedur tambahan yang cukup untuk mencapai kesimpulan yang pasti. Karena kesalahan ada di sebagian besar sistem, auditor fokus pada mendeteksi dan melaporkan mereka yang signifikan mempengaruhi interpretasi manajemen terhadap temuan audit. Auditor mencari jaminan keyakinan bahwa tidak ada kesalahan material dalam informasi atau proses yang diaudit. 
  4. Menyampaikan hasil Audit. Auditor menyampaikan laporan akhir tentang temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak lain yang sesuai.

Pendekatan Audit Berbasis Risiko

Pendekatan evaluasi pengendalian internal berikut, yang disebut pendekatan audit berbasis risiko menyediakan kerangka kerja untuk melakukan audit sistem informasi:

  1. Tentukan ancaman (penipuan dan kesalahan) yang dihadapi perusahaan.
  2. Identifikasi prosedur kontrol yang mencegah, mendeteksi, atau memperbaiki ancaman.
  3. Evaluasi prosedur kontrol. Kontrol dievaluasi dua cara:
    1. Sebuah tinjauan sistem menentukan apakah prosedur kontrol benar-benar ada.
    2. Pengujian kontrol dilakukan untuk menentukan apakah kontrol yang ada berfungsi sebagaimana mestinya.
  4. Mengevaluasi kelemahan kontrol untuk menentukan pengaruhnya terhadap sifat, waktu, atau tingkat prosedur audit.

Audit Sistem Informasi

        Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi kontrol internal yang melindungi sistem. Ketika melakukan audit sistem informasi, auditor harus memastikan bahwa enam tujuan berikut ini terpenuhi:
  1. Ketentuan keamanan melindungi peralatan komputer, program, komunikasi dan data dari akses yang tidak sah, modifikasi atau penghancuran.
  2. Pengembangan dan akuisisi program dilakukan sesuai dengan otorisasi umum dan khusus dari manajemen.
  3. Modifikasi program memiliki otorisasi dan persetujuan manajemen.
  4. Pemrosesan atau transaksi, file, laporan, dan catatan komputer lainnya telah dikenali dan diselesaikan.
  5. Data sumber yang tidak akurat atau tidak sah diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang ditentukan.
  6. File data komputer akurat, lengkap, dan rahasia.

1. Keamanan Keseluruhan

Berikuit ini adalah Kerangka Audit untuk Keamanan Komputer Keseluruhan
  1. Jenis kesalahan dan Penipuan
    1. Pencurian atau kerusakan perangkat keras yang disengaja atau disengaja
    2. Pencurian kerugian atau akses tidak sah ke data program dan sumber daya sistem lainnya
    3. Pencurian kerugian atau pengungkapan tidak sah data rahasia
    4. Modifikasi tidak sah atau penggunaan program dan file data
    5. Interupsi aktivitas bisnis penting
  2. Prosedur Kontrol
    1. Rencana keamanan / perlindungan informasi
    2. Pembatasan akses fisik ke peralatan komputer
    3. Membatasi akses logis ke sistem menggunakan otentikasi dan kontrol otorisasi Kontrol penyimpanan dan transmisi data
    4. Prosedur perlindungan virus
    5. File cadangan dan prosedur pemulihan
    6. Desain sistem toleransi kegagalan
    7. Rencana pemulihan bencana
    8. Pemeliharaan preventif
    9. Firewall
    10. Asuransi kecelakaan dan asuransi bisnis
  3. Prosedur Audit : Tinjauan Sistem
    1. Periksa situs komputer
    2. Meninjau panduan keamanan / perlindungan dan rencana pemulihan bencana
    3. Wawancara personil sistem informasi tentang Prosedur keamanan
    4. Tinjau kebijakan dan prosedur akses fisik dan logis
    5. Tinjau cadangan file dan kebijakan dan prosedur pemulihan
    6. Tinjau kebijakan dan prosedur penyimpanan dan transmisi data
    7. Tinjau prosedur yang digunakan untuk meminimalkan waktu henti sistem
    8. Tinjau kontrak perawatan vendor
    9. Periksa log akses sistem
    10. Periksa polis asuransi kecelakaan dan gangguan bisnis
  4. Prosedur Audit : Test Kontrol
    1. Amati dan uji prosedur akses situs komputer
    2. Amati persiapan dan penyimpanan file cadangan di luar situs
    3. Uji tugas dan modifikasi prosedur untuk ID pengguna dan kata sandi
    4. Mengetahui bagaimana upaya akses yang tidak sah ditangani
    5. Verifikasi tingkat dan efektivitas enkripsi data
    6. Verifikasi penggunaan kontrol transmisi data yang efektif
    7. Verifikasi penggunaan efektif dari firewall dan prosedur perlindungan virus
    8. Sesungguhnya penggunaan pemeliharaan preventif dan power supply yang tidak pernah terputus
    9. Verifikasi jumlah dan batasan pada perlindungan asuransi
    10. Periksa hasil simulasi uji rencana pemulihan bencana
  5. Kompensasi pengendalian
    1. Kebijakan personel yang sehat, termasuk pemisahan tugas yang tidak kompatibel
    2. Pengendalian pengguna yang efektif

2. Pengembangan Program dan akuisis

       Peran auditor dalam pengembangan sistem harus dibatasi pada peninjauan independen atas tindakan pengembangan sistem. Dua hal yang bisa salah dalam pengembangan program: (1) kesalahan pemrograman yang tidak disengaja karena kesalahan spesifikasi sistem atau pemrograman yang ceroboh dan (2) instruksi tidak sah yang sengaja dimasukkan ke dalam programs. Masalah-masalah ini dapat dikendalikan dengan mengharuskan manajemen dan otorisasi pengguna dan persetujuan, pengujian menyeluruh, dan dokumentasi yang tepat. 
Berikut ini adalah Kerangka Audit untuk Pengembangan Sistem :
  1. Jenis kesalahan dan penipuan
    1. Kesalahan pemrograman yang tidak disengaja atau kode program tidak sah
  2. Prosedur kontrol
    1. Tinjau perjanjian lisensi perangkat lunak
    2. Manajemen otorisasi untuk pengembangan program dan akuisisi perangkat lunak
    3. Manajemen dan persetujuan pengguna spesifikasi pemrograman
    4. Pengujian menyeluruh terhadap program baru, termasuk tes penerimaan pengguna
    5. Dokumentasi sistem lengkap, termasuk persetujuan
  3. Prosedur Audit : Tinjauan Sistem
    1. Tinjauan independen dari proses pengembangan sistem
    2. Tinjau kebijakan dan prosedur pengembangan / akuisisi sistem
    3. Tinjau otorisasi sistem dan kebijakan dan prosedur persetujuan
    4. Tinjau standar evaluasi pemrograman
    5. Tinjauan standar program dan dokumentasi sistem
    6. Tinjau spesifikasi pengujian, data uji, dan hasil pengujian
    7. Tinjau ulang kebijakan dan prosedur appoval
    8. Tinjauan terhadap akuisisi kebijakan dan prosedur perjanjian lisensi hak cipta Diskusi dengan manajemen, pengguna, dan personel sistem informasi mengenai prosedur pengembangan
  4. Prosedur Audit : Test kontrol
    1. Wawancara pengguna tentang keterlibatan sistem mereka / pengembangan dan implementasi
    2. Ulas risalah rapat tim pengembangan untuk bukti keterlibatan
    3. Verifikasi persetujuan penerimaan pengguna dan manajemen di titik pencapaian pengembangan Tinjau spesifikasi uji, data uji, dan hasil pengujian sistem
    4. Tinjau perjanjian lisensi perangkat lunak
  5. Kompensasi kontrol
    1. Kontrol pemrosesan yang kuat
    2. Pemrosesan independen data uji oleh auditor

3. Modifikasi Program

Berikut ini kerangka kerja untuk mengaudit perubahan ke program aplikasi dan perangkat lunak sistem:
  1. Jenis Kesalahan dan Penipuan
    1. Kesalahan pemrograman tidak disengaja atau kode program tidak sah
  2. Prosedur Kontrol
    1. Buat daftar komponen program yang akan dimodifikasi
    2. Otorisasi manajemen dan persetujuan modifikasi program
    3. Persetujuan pengguna atas spesifikasi perubahan program
    4. Uji menyeluruh perubahan prcgram, termasuk tes penerimaan pengguna
    5. Dokumentasi perubahan program lengkap, termasuk persetujuan
    6. Versi pengembangan, pengujian, dan produksi terpisah dari program
    7. Perubahan diterapkan oleh personel yang tidak bergantung pada pengguna dan pemrogram
    8. Kontrol akses logis
  3. Prosedur Audit : Tinjauan Sistem
    1. Tinjau kembali kebijakan, standar, dan prosedur modifikasi program
    2. Tinjau standar dokumentasi untuk modilikasi program
    3. Tinjau dokumentasi akhir dari modifikasi program
    4. Tinjau pengujian modifikasi program dan prosedur persetujuan uji
    5. Tinjau spesifikasi pengujian, data uji, dan hasil pengujian
    6. Tinjau kebijakan dan prosedur persetujuan uji
    7. Tinjau standar evaluasi pemrograman
    8. Diskusikan kebijakan dan prosedur modifikasi dengan manajemen, pengguna, dan personel sistem
    9. Tinjau kebijakan dan prosedur kontrol akses logis
  4. Prosedur Audit : Tes Kontrol
    1. Verifikasi aplikasi pengunduran aplikasi pengguna dan maaagement untuk perubahan program
    2. Verifikasi bahwa komponen program yang akan dimodifikasi diidentifikasi dan terdaftar
    3. Verifikasi bahwa program mengubah prosedur dan dokumentasi pengujian sesuai dengan standar
    4. Verifikasi bahwa kontrol akses logis berlaku untuk perubahan program
    5. Amati implementasi perubahan program
    6. Verifikasi bahwa pengembangan terpisah, pengujian, dan versi produksi dipertahankan
    7. Verifikasi bahwa perubahan tidak dilaksanakan oleh pengguna atau personil pemrograman
    8. Uji untuk perubahan program yang tidak sah atau salah menggunakan program perbandingan kode sumber, pemrosesan ulang, dan simulasi paralel
  5. Kompensasi Kontrol
    1. Tes audit independen untuk perubahan program yang tidak sah atau salah
    2. Kontrol pemrosesan yang kuat
           Auditor harus menguji program secara mendadak untuk mencegah karyawan melontarkan perubahan program yang tidak sah setelah audit selesai dan menghapusnya sebelum audit berikutnya. Ada tiga cara pengujian auditor untuk perubahan program yang tidak sah:
  1. Setelah menguji program baru auditor menyimpan salinan kode sumbernya. Auditor menggunakan program perbandingan kode sumber untuk membandingkan versi saat ini dari program dengan kode sumber. Jika tidak ada perubahan yang diotorisasi, kedua versi harus identik; setiap perbedaan harus diselidiki. Jika perbedaannya adalah auditor perubahan yang berwenang memeriksa spesifikasi perubahan program untuk memastikan bahwa perubahan tersebut diotorisasi dan digabungkan dengan benar.
  2. Pada teknik pengolahan ulang, auditor memproses ulang data menggunakan kode sumber dan membandingkan output dengan output perusahaan. Perbedaan dalam output diselidiki.
  3. Dalam simulasi paralel auditor menulis sebuah program alih-alih menggunakan kode sumber, membandingkan output, dan menyelidiki perbedaan apa pun. Simulasi paralel dapat digunakan untuk menguji program selama proses implementasi.

4. Pemrosesan Komputer

Berikut ini adalah kerangka Audit kontrol Proses Komputer
  1. Jenis kesalahan dan penipuan
    1. Gagal mendeteksi data input yang salah, tidak lengkap atau tidak sah
    2. Kegagalan untuk memperbaiki kesalahan yang ditandai dengan benar oleh prosedur pengeditan data
    3. Pengenalan kesalahan ke dalam file atau database selama pembaruan
    4. Distribusi yang tidak benar atau pengungkapan output komputer
    5. Ketidaktepatan disengaja atau tidak disengaja dalam pelaporan
  2. Prosedur kontrol
    1. Pengeditan data rutin
    2. Penggunaan yang tepat dari label file internal dan extemal
    3. Rekonsiliasi jumlah keseluruhan
    4. Prosedur koreksi kesalahan yang efektif
    5. Dokumentasi operasi dimengerti dan menjalankan manual
    6. Pengawasan yang kompeten dari opetasi komputer
    7. Penanganan yang efektif dari input data dan output oleh personel kontrol data
    8. Persiapan daftar perubahan file dan ringkasan untuk tinjauan departemen pengguna Pemeliharaan kondisi lingkungan yang tepat di fasilitas komputer
  3. Prosedur Audit : Tinjauan Sistem
    1. Tinjau dokumentasi administratif untuk memproses standar kontrol
    2. Tinjau dokumentasi sistem untuk pengeditan data dan kontrol pemrosesan lainnya.
    3. Tinjaulah dokumentasi operasi untuk kelengkapan dan kejelasan
    4. Tinjau salinan daftar kesalahan, jumlah total laporan, dan daftar perubahan file
    5. Amati operasi komputer dan fungsi kontrol data
    6. Mendiskusikan kontrol pemrosesan dan output dengan operator dan pengawas sistem informasi
  4. Prosedur Audit : Tes Kontrol
    1. Evaluasi kecukupan standar dan prosedur pengendalian proses
    2. Evaluasi kecukupan dan kelengkapan penyuntingan pengeditan data
    3. Verifikasi kepatuhan untuk memproses prosedur kontrol dengan mengamati operasi komputer dan kontrol data
    4. Verifikasi bahwa output sistem aplikasi didistribusikan dengan benar
    5. Rekonsiliasi sampel dari total batch; menindaklanjuti ketidaksesuaia
    6. Lacak contoh kesalahan penyuntingan data rutin untuk memastikan penanganan yang tepat
    7. Verifikasi keakuratan pemrosesan transaksi sensitif
    8. Benar-benar memproses akurasi transaksi yang dihasilkan komputer
    9. Cari kode yang salah atau tidak sah melalui analisis logika program
    10. Periksa keakuratan dan kelengkapan kontrol pemrosesan menggunakan data uji
    11. Pantau secara online Sistem pemrosesan menggunakan teknik audit konkuren
    12. Buat ulang laporan terpilih untuk menguji keakuratan dan kelengkapannya
  5. Kompensasi Kontrol
    1. Kontrol pengguna yang kuat dan kontrol sumber data yang efektif
MEMPROSES DATA UJI
          Salah satu cara untuk menguji program adalah dengan memproses satu set hipotetis dari transaksi yang valid dan tidak valid. Program harus memproses semua transaksi yang valid dengan benar dan menolak semua yang tidak valid. Data yang tidak valid mencakup rekaman dengan data yang hilang, bidang yang berisi jumlah besar yang tidak wajar, nomor akun tidak valid atau kode pemrosesan, data nonnumerik dalam bidang angka, dan rekaman di luar urutan. 
Sumber daya berikut bermanfaat saat menyiapkan data uji:
  • Daftar ransaksi sebenarnya
  • Transaksi tes yang digunakan perusahaan untuk menguji program
  • Sebuah generator data uji, yang menyiapkan data uji berdasarkan spesifikasi program
TEKNIK AUDIT KONSERVASI
        Auditor menggunakan teknik audit konservasi untuk terus memantau sistem dan mengumpulkan bukti audit sementara data langsung diproses selama jam operasi reguler. teknik audit konservasin menggunakan modul audit tertanam, yang merupakan segmen kode program yang melakukan fungsi audit, melaporkan hasil tes, dan menyimpan bukti yang dikumpulkan untuk diperiksa auditor. Berikut ini Lima teknik yang digunakan Auditor untuk Audit bersamaan :
  1. Fasilitas pengujian terintegrasi (ITF) menyisipkan catatan-catatan fikrit yang mewakili divisi, departemen, pelanggan, atau pemasok fiktif dalam file induk perusahaan. Memproses transaksi pengujian untuk memperbaruinya tidak akan mempengaruhi rekaman sebenarnya. 
  2. Pada teknik snapshot, transaksi yang dipilih ditandai dengan kode khusus. Modul audit menguraikan transaksi ini dan catatan file induknya sebelum dan sesudah memproses dan menyimpan data dalam file khusus. Auditor meninjau data untuk memastikan bahwa semua langkah pemrosesan dilaksanakan dengan benar.
  3. File tinjauan audit pengendalian sistem (SCARF) menggunakan modul audit tertanam untuk terus memantau aktivitas transaksi, mengumpulkan data tentang tansactions dengan signifikansi audit khusus, menyimpannya dalam file SCARF atau log audit.
  4.  Kait Audit adalah rutinitas audit yang memberi tahu auditor tentang transaksi yang dipertanyakan, sering kali terjadi.
  5.  Continuous dan intermittent simulation (CLS) menyematkan modul audit dalam sistem manajemen basis data (DBMS) yang memeriksa semua transaksi yang memperbarui database menggunakan kriteria yang serupa dengan SCARF. 
ANALISIS LOGIKA PROGRAM 
        Jika auditor menduga bahwa program mengandung kode yang tidak sah atau kesalahan serius, analisis logika program yang mungkin diperlukan. Auditor menganalisis pengembangan, pengoperasian, dan dokumentasi program serta hasil cetakan dari kode sumber. Selain itu Audito juga menggunakan paket perangkat lunak berikut:
  1. Program flowchart otomatis menginterpretasikan kode sumber dan menghasilkan diagram alur program.
  2. Program tabel keputusan otomatis menafsirkan kode sumber dan menghasilkan tabel keputusan.
  3. Pemindaian rutin mencari program untuk semua kemunculan item yang ditentukan.
  4. Program pemetaan mengidentifikasi kode program yang tidak dieksekusi. 
  5. Melacak program secara berurutan mencetak semua langkah-langkah program yang dijalankan ketika sebuah prcgmm berjalan, berbaur dengan output biasa sehingga urutan kejadian eksekusi program dapat diamati. 
5. Sumber Data
         Matriks kontrol input digunakan untuk mendokumentasikan peninjauan kontrol data sumber. Fungsi kontrol data harus independen dari fungsi lain, memelihara log kontrol data, menangani kesalahan, dan memastikan efisiensi operasi yang berlebihan. Untuk mengkompensasi, kontrol departemen pengguna harus lebih kuat sehubungan dengan persiapan data, total kontrol batch, mengedit program, pembatasan akses fisik dan logis, dan prosedur penanganan kesalahan. Prosedur ini harus menjadi fokus dari tinjauan sistem auditor dan tes kontrol ketika tidak ada fungsi kontrol data independen. 
Berikut ini adalah kerangka kerja untuk Audit Sumber Kontrol Data

  1. Jenis Kesalahan dan Penipuan
    1. Data sumber tidak akurat atau tidak sah
  2. Prosedur Kontrol
    1. Penanganan yang efektif dari input data sumber oleh personil kontrol data
    2. Otorisasi pengguna dari input data sumber
    3. Persiapan dan rekonsiliasi total kontrol batch
    4. Mencatat tanda terima, gerakan, dan disposisi input data sumber
    5. Periksa verifikasi digit
    6. Verifikasi kunci
    7. Penggunaan dokumen turnaround
    8. Rutinitas pengeditan data
    9. Ulasan departemen pengguna daftar dan ringkasan perubahan file
    10. Prosedur yang efektif untuk mengoreksi dan mengirim kembali data yang salah
  3. Prosedur Audit : Tinjauan Sistem
    1. Tinjau dokumentasi tentang tanggung jawab fungsi kontrol data
    2. Tinjau dokumentasi administratif untuk standar kontrol data sumber
    3. Tinjau metode otorisasi dan periksa tanda tangan otorisasi
    4. Tinjau dokumentasi untuk mengidentifikasi langkah-langkah pemrosesan dan konten data sumber dan kontrol
    5. Kontrol data sumber dokumen menggunakan matriks kontrol input
    6. Diskusikan kontrol data souce dengan personel kontrol data, pengguna sistem, dan manajer
  4. Prosedur Audit : Tes Kontrol
    1. Amati dan evaluasi operasi departemen kontrol data dan prosedur kontrol. Verifikasi pemeliharaan yang tepat dan penggunaan log kontrol data
    2. Evaluasilah bagaimana error log item ditangani
    3. Periksa sumber data untuk otorisasi yang tepat
    4. Rekonsiliasi total barch dan tindak lanjuti atas ketidaksesuaian
    5. Telusuri disposisi kesalahan yang ditandai oleh rutinitas edit data
  5. Kompensasi Kontrol
    1. Kontrol pengguna dan pemrosesan data yang kuat
6. File Data
        Tujuan keenam menyangkut akurasi, integritas, dan keamanan data yang disimpan pada file yang dapat dibaca mesin. Jika kontrol file sangat kurang, terutama sehubungan dengan akses fisik atau logis atau prosedur cadangan dan pemulihan, auditor harus merekomendasikan mereka diperbaiki. 
Berikut ini adalah Kerangka untuk Audit Kontrol File Data
  1. Jenis kesalahan dan penipuan
    1. Penghancuran data yang disimpan karena kesalahan, perangkat keras atau malfungsi softwale, dan tindakan yang disengaja sabotase atau vandalisme
    2. Modifikasi tidak sah atau pengungkapan data yang disimpan
  2. Prosedur Kontrol
    1. Penyimpanan data dalam pustaka file yang aman dan pembatasan akses fisik ke file data
    2. Kontrol akses logis dan matriks kontrol akses
    3. Penggunaan yang tepat dari label file dan mekanisme perlindungan penulisan
    4. Kontrol pembaruan bersamaan
    5. Enkripsi data untuk data rahasia
    6. Perangkat lunak perlindungan virus
    7. Pencadangan off-site dari semua file data
    8. Prosedur checkpoint dan rollback untuk memfasilitasi pemulihan sistem
  3.  Prosedur Audit : Tinjauan Sistem
    1. Tinjau dokumentasi untuk operasi perpustakaan file
    2. Tinjau kebijakan dan prosedur akses logis
    3. Tinjau standar untuk perlindungan virus, penyimpanan data di luar lokasi, dan prosedur pemulihan sistem
    4. Tinjau kontrol untuk pembaruan bersamaan, enkripsi data, konversi file, dan rekonsiliasi total file master dengan total kontrol independen
    5. Periksa rencana pemulihan bencana
    6. Diskusikan prosedur kontrol file dengan manajer dan operator
  4. Prosedur Audit : Tes kontrol
    1. Amati dan evaluasi operasi file perpustakaan
    2. Tinjau catatan tugas dan modifikasi kata sandi
    3. Amati dan evaluasi prosedur penanganan file oleh personel operasi
    4. Amati persiapan dan penyimpanan di luar situs file cadangan
    5. Verifikasi penggunaan efektif dari prosedur perlindungan virus
    6. Verifikasi penggunaan kontrol pembaruan bersamaan dan enkripsi data
    7. Verifikasi kelengkapan, mata uang, dan pengujian rencana pemulihan bencana
    8. Rekonsiliasi total file master dengan total kontrol yang dipelihara secara terpisah
    9. Amati prosedur yang digunakan untuk mengontrol konversi file
  5. Kompensasi Kontrol
    1. Kontrol pengguna dan pemrosesan data yang kuat
    2. Kontrol keamanan komputer yang efektif

Perangkat Lunak Audit

        Teknik audit yang dibantu komputer (CAATS) mengacu pada perangkat lunak audit dari yang disebut perangkat lunak audit umum (GAS), yang menggunakan spesifikasi yang disediakan auditor untuk menghasilkan program yang menjalankan fungsi audit, di sana dengan mengotomatisasi atau menyederhanakan proses audit. Dua paket perangkat lunak yang paling populer adalah Audit Control Language (ACL) dan Ekstraksi Data Interaktif dan analisis (IDEA). CAATS sangat cocok untuk memeriksa file data besar untuk mengidentifikasi catatan yang membutuhkan pemeriksaan audit lebih lanjut. 
        CAATS sangat berharga bagi perusahaan dengan proses yang kompleks, operasi terdistribusi, volume transaksi tinggi, atau berbagai macam aplikasi dan sistem. Berikut ini adalah beberapa penggunaan yang lebih penting dari CAATS:
  1. Meminta file data untuk mengambil catatan yang memenuhi kriteria yang ditentukan
  2. Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file
  3. Meringkas, menyortir, dan memfilter data
  4. Mengakses data dalam berbagai format dan mengonversi data ke dalam format umum
  5. Memeriksa catatan untuk kualitas, kelengkapan, konsistensi dan kebenaran
  6. Catatan stratifikasi, memilih dan menganalisis sampel statistik
  7. Menguji risiko tertentu dan mengidentifikasi cara mengendalikan risiko tersebut
  8. Melakukan perhitungan, analisis statistik, dan operasi matematis lainnya 
  9. Melakukan tes analitik, seperti rasio dan analisis tren, mencari pola data yang tidak terduga atau tidak dapat dijelaskan yang mungkin menunjukkan penipuan
  10. Mengidentifikasi kebocoran keuangan, ketidakpatuhan kebijakan, dan kesalahan pemrosesan data 
  11. Merekonsiliasi penghitungan fisik ke jumlah yang dihitung, menguji keakuratan ekstensi dan saldo, pengujian untuk duplikat item
  12. Memformat dan mencetak laporan dan dokumen
  13. Membuat kertas kerja elektronik.

Audit Operasional dari SIA

       Teknik dan prosedur yang digunakan dalam audit operasional mirip dengan audit sistem informasi dan laporan keuangan. Perbedaan mendasar adalah ruang lingkup audit. tujuan dari audit operasional termasuk mengevaluasi efektivitas, efisiensi, dan pencapaian tujuan. Langkah pertama dalam audit operasional adalah perencanaan audit, di mana ruang lingkup dan tujuan dari audit tersebut ditetapkan, tinjauan sistem awal dilakukan, dan program audit sementara disiapkan. Langkah selanjutnya, pengumpulan bukti, termasuk kegiatan tindak lanjut:
  1. Meninjau kebijakan dan dokumentasi operasional
  2. Mengkonfirmasikan prosedur dengan manajemen dan personel operasi
  3. Mengamati fungsi dan aktivitas operasi
  4. Memeriksa rencana dan laporan keuangan dan operasi
  5. Menguji akurasi informasi operasi
  6. Kontrol pengujian.
       Pada tahap evaluasi bukti, auditor mengukur sistem terhadap sistem yang mengikuti prinsip-prinsip manajemen sistem terbaik. Satu pertimbangan penting adalah hasil dari kebijakan dan praktik manajemen yang lebih signifikan daripada kebijakan dan praktik itu sendiri. 
di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)